Κάρτες προνομίων και επεξεργασία προσωπικών δεδομένων
Η ΑΠΔΠΧ καλείται να εξετάσει καταγγελία σε βάρος σούπερ μάρκετ για τη μη ικανοποίηση αιτήματος πρόσβασης
Καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα υπέβαλε πελάτισσα αλυσίδας σούπερ μάρκετ στην Ελλάδα, εκπροσωπούμενη από τη μη κυβερνητική οργάνωση Noyb.
Η καταγγελία, όπως αυτή δημοσιοποιήθηκε από τη Noyb στις 13 Αυγούστου, υποβλήθηκε σε βάρος της εταιρείας ΑΒ Βασιλόπουλος και αφορά στη μη ικανοποίηση αιτήματος πρόσβασης, συνακόλουθα και σε παραβίαση της αρχής της διαφάνειας, σχετικά με τα προσωπικά δεδομένα της καταγγέλλουσας που τυγχάνουν επεξεργασίας στη βάση της συμμετοχής της σε ένα από τα προγράμματα επιβράβευσης της εταιρείας.
Ειδικότερα και σύμφωνα με την καταγγελία, η καταγγέλλουσα έχει εγγραφεί σε ένα από τα τρια προγράμματα επιβράβευσης που διαθέτει η εταιρεία και συγκεκριμένα στο ΑΒ Plus Personal. Με βάση την εγγραφή της αυτή, η καταγγέλλουσα άσκησε το από 8-5-2024 αίτημα πρόσβασης του άρθρου 15 ΓΚΠΔ, ζητώντας ενημέρωση σχετικά με τα προσωπικά δεδομένα της που τυγχάνουν επεξεργασίας στο πλαίσιο του προγράμματος αυτού.
Η καταγγελλόμενη εταιρεία, ως υπεύθυνος επεξεργασίας, απάντησε εγκαίρως επί του αιτήματος αυτού, παρέχοντας ωστόσο «μόνο μία λίστα των συναλλαγών της καταγγέλλουσας και τα στοιχεία επικοινωνίας της σε ένα επεξεργάσιμο έγγραφο word χωρίς υπογραφή». Η καταγγέλλουσα επανήλθε και ζήτησε την παροχή των πληροφοριών του άρθρου 15 ΓΚΠΔ που δεν είχαν δοθεί, για να λάβει αρνητική απάντηση, καθώς σύμφωνα με την καταγγελία, «ο υπεύθυνος επεξεργασίας αρνήθηκε να παράσχει τις πληροφορίες και παρέπεμψε την καταγγέλλουσα στους Όρους και τις Προϋποθέσεις του προγράμματος πιστότητας AB Plus».
Περαιτέρω, ο υπεύθυνος επεξεργασίας απάντησε πως τα προσωπικά δεδομένα της καταγγέλλουσας, που είχε στη διάθεσή του, είχαν παρασχεθεί με την αρχική του απάντηση, ενώ αρνήθηκε να προσδιορίσει τους συγκεκριμένους αποδέκτες των προσωπικών δεδομένων αυτής, προβάλλοντας το επιχείρημα πως «[οι] παραλήπτες ορίζονται στους όρους του προγράμματος γενικά σε κατηγορίες σύμφωνα με την καθιερωμένη πρακτική, δεδομένου ότι ορισμένες συνεργασίες μπορεί να αλλάξουν». Παράλληλα, από την απάντηση που δόθηκε απουσίαζαν πληροφορίες σχετικά με την κατάρτιση προφίλ των καταναλωτών, που διενεργείται σύμφωνα με τους Όρους και Προϋποθέσεις της εταιρείας, όπως απουσίαζαν και πληροφορίες σχετικά με το χρηματικό ποσόν που εξοικονομήθηκε με τη χρήση της κάρτας επιβράβευσης.
Η καταγγέλλουσα απευθύνθηκε στην αρμόδια εποπτική αρχή και κατήγγειλε την παραβίαση των άρθρων 15 παρ.1 (δικαίωμα πρόσβασης) και 5 παρ.1α’ ΓΚΠΔ (αρχή της διαφάνειας) από την καταγγελλόμενη εταιρεία.
Σύμφωνα με την καταγγελία, η εταιρεία παραβίασε το άρθρο 15 παρ.1β’ ΓΚΠΔ, καθώς δεν παρείχε πλήρη πρόσβαση στις κατηγορίες δεδομένων προσωπικού χαρακτήρα που επεξεργάζεται, και 15 παρ.1γ’ ΓΚΠΔ, καθώς δεν παρείχε πρόσβαση στους αποδέκτες των προσωπικών δεδομένων της καταγγέλλουσας. Ως προς το τελευταίο, η καταγγέλλουσα υπενθύμισε την απόφαση του ΔΕΕ στην υπόθεση C-154/21 «RW κατά Österreichische Post AG», όπου κρίθηκε πως το δικαίωμα πρόσβασης περιλαμβάνει την υποχρέωση του υπευθύνου επεξεργασίας να γνωστοποιήσει στο υποκείμενο των δεδομένων τη συγκεκριμένη ταυτότητα των αποδεκτών των δεδομένων.
Επιπρόσθετα, η καταγγέλλουσα κατήγγειλε και την παραβίαση της υποχρέωσης διαφάνειας του άρθρου 5 παρ.1α’ ΓΚΠΔ, ως αποτέλεσμα της πλημμελούς ικανοποίησης του αιτήματος πρόσβασης που αυτή άσκησε.
Το πλήρες κείμενο της καταγγελίας είναι διαθέσιμο εδώ.