Μπορεί ένα e-shop να υποχρεώνει τους πελάτες του στη δημιουργία λογαριασμού προκειμένου να αγοράσουν προϊόντα;
Η φινλανδική αρχή προστασίας δεδομένων όχι μόνο απάντησε αρνητικά, αλλά και επέβαλε στο e-shop πρόστιμο 856.000 ευρώ
Επιμέλεια: Δημήτρης Βέρρας
Μια καταγγελία ενός υποψήφιου πελάτη ήταν αρκετή για να οδηγήσει στην επιβολή βαρύτατου διοικητικού προστίμου σε βάρος της εταιρείας που διαχειρίζεται το φινλανδικό ηλεκτρονικό κατάστημα verkkokauppa.com και στην υποχρέωσή της για αλλαγή των πρακτικών και πολιτικών της.
Ο καταγγέλλων επιχείρησε να αγοράσει προϊόντα από το e-shop, αλλά διαπίστωσε πως προϋπόθεση για την αγορά αυτή ήταν να δημιουργήσει λογαριασμό. Η απαίτηση αυτή του ηλεκτρονικού καταστήματος τον εξαγρίωσε και τον οδήγησε στην υποβολή καταγγελίας ενώπιον της φινλανδικής αρχής προστασίας δεδομένων. Επειδή μάλιστα δεν προχώρησε στην αγορά των προϊόντων, ως εκ τούτου δεν κατέστη υποκείμενο των δεδομένων, η καταγγελία του εξετάστηκε αυτεπαγγέλτως και χωρίς τη συμμετοχή του, αφού κανένα δικαίωμά του δεν είχε παραβιαστεί.
Διαβάστε σχετικά: 856.000 ευρώ πρόστιμο για τη διατήρηση δεδομένων χωρίς πρόβλεψη για διαγραφή
Το γεγονός αυτό, ωστόσο, δεν απέτρεψε τη φινλανδική αρχή από το να εξετάσει αναλυτικά τις πρακτικές της καταγγελλόμενης εταιρείας και εν τέλει να την κατακεραυνώσει για την απόλυτα συνειδητή επιλογή πολιτικών που παραβιάζουν θεμελιώδεις απαιτήσεις νομιμότητας του Γενικού Κανονισμού Προστασίας Δεδομένων: την αρχή του περιορισμού της περιόδου αποθήκευσης (άρθρο 5 παρ.1ε’ ΓΚΠΔ) και την προστασία δεδομένων από τον σχεδιασμό και εξ ορισμού (άρθρο 25 ΓΚΠΔ).
Σύμφωνα με τη φινλανδική εποπτική αρχή, η πρακτική της απαίτησης δημιουργίας λογαριασμού ως προϋπόθεσης για την πραγματοποίηση αγορών δεν τελούσε σε συμμόρφωση με τα άρθρα 5.1ε’ και 25 ΓΚΠΔ, ενώ οδηγούσε και στη διατήρηση δεδομένων για χρονικό διάστημα μεγαλύτερο από αυτό που θα απαιτείτο στην περίπτωση μεμονωμένης αγοράς.
Η εταιρεία ισχυρίστηκε πως πουθενά δεν προβλέπει ο ΓΚΠΔ την υποχρέωση των ηλεκτρονικών καταστημάτων να δέχονται αγορές από πελάτες που δεν έχουν δημιουργήσει λογαριασμό, με το ζήτημα αυτό να επαφίεται στην κρίση του εμπόρου και στην ελευθερία της οικονομικής του δραστηριότητας και της επιλογής επιχειρηματικού μοντέλου.
Στις αρχικές της απόψεις ενώπιον της αρχής, η εταιρεία δικαιολόγησε τη δημιουργία λογαριασμού στην ανάγκη αναγνώρισης των πελατών της και διατήρησης στοιχείων ταυτοποίησης αυτών, επισημαίνοντας παράλληλα πως μέσω του λογαριασμού τα υποκείμενα διευκολύνονται στην άσκηση των δικαιωμάτων τους. Σύμφωνα με την εταιρεία, η επεξεργασία των δεδομένων που συλλέγονται μέσω του λογαριασμού πελάτη στηρίζεται στη σύμβαση μεταξύ των δύο μερών.
Ακολούθως και ερωτηθείσα περαιτέρω από τη φινλανδική αρχή, η εταιρεία επικαλέστηκε την ελευθερία του επιχειρείν, ενώ παρατήρησε πως η δημιουργία λογαριασμού δεν έχει κάποια πρακτική διαφορά από την αγορά υπό καθεστώς επισκέπτη, καθώς και στη δεύτερη περίπτωση η πλατφόρμα e-commerce διατηρεί τα δεδομένα του πελάτη στο σύστημα. Όπως επεσήμανε μάλιστα, η δημιουργία λογαριασμού έχει το πλεονέκτημα πως δίνει στον πελάτη τη δυνατότητα να εισέρχεται ανά πάσα στιγμή στον λογαριασμό του και να παρακολουθεί την παραγγελία του, αλλά και κάθε σχετική πληροφορία που τηρείται για αυτόν.
Εν τέλει και υποβάλλοντας για τρίτη φορά απόψεις επί των ζητημάτων που είχαν τεθεί από την εποπτική αρχή, η εταιρεία ισχυρίστηκε πως εάν επέτρεπε την πραγματοποίηση αγορών χωρίς εγγραφή στην πλατφόρμα, θα έπρεπε να συλλέγει πολλαπλά δεδομένα για κάθε παραγγελία από τον ίδιο πελάτη, κάτι το οποίο δεν εξυπηρετεί την ασφάλεια των δεδομένων, ούτε και συνάδει με την υποχρέωση της φορητότητας των δεδομένων.
Η απόφαση της φινλανδικής αρχής
Οι ισχυρισμοί της καταγγελλόμενης εταιρείας δεν βρήκαν σύμφωνη τη φινλανδική αρχή, η οποία ευθύς εξαρχής έσπευσε να καταστήσει σαφές πως η υποχρέωση δημιουργίας λογαριασμού παραβιάζει τον ΓΚΠΔ.
Η φινλανδική αρχή συνέδεσε την υποχρέωση αυτή με την περίοδο διατήρησης των δεδομένων. Εκμεταλλευόμενη την κακή πρακτική της εταιρείας ως προς το ζήτημα αυτό, σύμφωνα με την οποία τα δεδομένα των πελατών διατηρούνται για όσο χρόνο παραμένει ανοικτός ο λογαριασμός πελάτη, ενώ διαγράφονται μόνο εφόσον αυτό ζητηθεί (μέσω ειδικού αιτήματος ή απενεργοποίησης λογαριασμού), η αρχή διαπίστωσε πως η υποχρέωση ανοίγματος λογαριασμού οδηγούσε σε παραβίαση της αρχής της περιόδου διατήρησης.
Σύμφωνα με την απόφαση, το κρίσιμο ζήτημα στην υπό εξέταση περίπτωση είναι η νομιμότητα της διατήρησης των δεδομένων που συλλέγονται μέσω του λογαριασμού πελάτη, ήτοι το κατά πόσον ο ΓΚΠΔ επιτρέπει τη δημιουργία λογαριασμού ως προϋπόθεση για την πραγματοποίηση μεμονωμένης αγοράς. Η αρχή του περιορισμού της περιόδου διατήρησης απαιτεί την διατήρηση των προσωπικών δεδομένων μόνο για τον χρόνο εκείνο που είναι αναγκαίος εν όψει των σκοπών της επεξεργασίας. Κατά συνέπεια, ο σκοπός της επεξεργασίας αποτελεί κρίσιμο παράγοντα στον καθορισμό του χρόνου διατήρησης των δεδομένων, ενώ παράλληλα, ο υπεύθυνος επεξεργασίας οφείλει να μπορεί να τεκμηριώσει την αναγκαιότητα της διατήρησης με βάση τους σκοπούς που επικαλείται.
Περαιτέρω, η αρχή του περιορισμού της διατήρησης αποτελεί παράμετρο της απαίτησης για προστασία δεδομένων από τον σχεδιασμό και εξ ορισμού, η οποία θεσπίζει την υποχρέωση εφαρμογής κατάλληλων μέτρων, σχεδιασμένων για την εφαρμογή των αρχών της προστασίας δεδομένων. Ταυτόχρονα, η παράγραφος 2 του άρθρου 25 ΓΚΠΔ ρητώς προβλέπει πως τα μέτρα που εφαρμόζονται από τον υπεύθυνο επεξεργασίας πρέπει να διασφαλίζουν την επεξεργασία μόνο των αναγκαίων εν όψει του σκοπού δεδομένων, υποχρέωση η οποία καλύπτει τόσο το εύρος των δεδομένων, όσο και την περίοδο αποθήκευσης.
Στην υπό εξέταση περίπτωση, η αρχή λαμβάνει υπόψιν της το γεγονός πως σκοπός της επεξεργασίας είναι καταρχήν η πραγματοποίηση online αγορών, η οποία καθιστά αναγκαία την επεξεργασία των δεδομένων που σχετίζονται με την πραγματοποίηση της συναλλαγής και την αγορά των προϊόντων. Όταν η συναλλαγή αυτή είναι μεμονωμένη, η επεξεργασία των δεδομένων δεν απαιτεί τη δημιουργία λογαριασμού πελάτη, καθώς οδηγεί στη διατήρηση προσωπικών δεδομένων για μεγαλύτερο χρονικό διάστημα από αυτό που θα απαιτείτο για την πραγματοποίηση της αγοράς.
Δεδομένου μάλιστα πως η εταιρεία είχε συνδέσει την περίοδο διατήρησης των δεδομένων με την άσκηση δικαιώματος διαγραφής από το ίδιο το υποκείμενο – πελάτη, η φινλανδική αρχή παρατήρησε πως ο υπεύθυνος επεξεργασίας είχε μετατρέψει τον σκοπό διατήρησης από την πραγματοποίηση της αγοράς στη σχέση καταστήματος με πελάτη, αφού εν τέλει η διατήρηση των δεδομένων συνδεόταν αποκλειστικά με τη διατήρηση του λογαριασμού
Η φινλανδική αρχή έκανε και μια ακόμη παρατήρηση, σχετικά με τη νομική βάση της επεξεργασίας, χωρίς όμως να εντοπίσει ζητήματα παραβίασης των οικείων κανόνων νομιμότητας της επεξεργασίας. Σύμφωνα με την απόφαση, η επίκληση της εκτέλεσης σύμβασης (άρθρο 6 παρ.1β’ ΓΚΠΔ) ως βάσης θεμελίωσης της επεξεργασίας δεδομένων μέσω του λογαριασμού πελάτη πάσχει, καθώς η επεξεργασία αυτή δεν είναι αναγκαία για την εκτέλεση της σύμβασης.
Ο υπεύθυνος επεξεργασίας ενδέχεται να μπορεί να τεκμηριώσει τη συλλογή και διατήρηση δεδομένων σε λογαριασμούς πελατών, όπως για παράδειγμα όταν τους παρέχει ειδικά προνόμια μέλους, η επεξεργασία αυτή όμως δεν συνδέεται με την εκτέλεση σύμβασης, που πρέπει να ερμηνεύεται συσταλτικά, αν δεν είναι αντικειμενικά αναγκαία για την πραγματοποίηση μιας διαδικτυακής αγοράς. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας θα όφειλε να έχει αναζητήσει τη νομιμότητα σε διαφορετική νομική βάση.
