logo-print

Ολλανδία: Πρόστιμο 850.000 ευρώ οργανισμό για περιορισμούς στο δικαίωμα πρόσβασης των υποκειμένων

Ενδιαφέρουσες παρατηρήσεις σχετικά με το χρονικό περιορισμό και τη δωρεάν παροχή παροχή πληροφοριών

10/07/2020

15/07/2020

"Κάθε πρόσωπο έχει δικαίωμα να δει τα οικονομικά στοιχεία του δωρεάν, μια φορά το χρόνο, μέσω ταχυδρομείου. Θέλετε να αποκτήσετε ηλεκτρονική πρόσβαση πιο συχνά και πιο εύκολα; Διαλέξτε ένα από τα προγράμματα Basic, Plus ή Premium, όπου έναντι ετήσιας συνδρομής θα μπορείτε να βλέπετε τα δεδομένα σας όσες φορές επιθυμείτε".

Κάπως έτσι ήταν, μέχρι τον Απρίλιο του 2019, η πολιτική πρόσβασης προσωπικών δεδομένων του ανεξάρτητου οργανισμού διαχείρισης πιστώσεων της Ολλανδίας BKR.

Με ρόλο παρεμφερή με αυτόν του Τειρεσία, η BKR τηρεί τα αρχεία πιστώσεων 11 εκατομμυρίων ολλανδών δανειοληπτών, με σκοπό τον έλεγχο της πιστοληπτικής ικανότητας, ενώ παράλληλα παρέχει και σειρά υπηρεσιών προς τους πολίτες.

Στις 6 Ιουλίου 2018, η ολλανδική αρχή προστασίας δεδομένων Autoriteit Persoonsgegevens (AP) αποφάσισε να διερευνήσει την πολιτική αυτή, έχοντας δεχθεί σειρά καταγγελιών από φυσικά πρόσωπα, ότι δεν μπορούν να αποκτήσουν πρόσβαση στις πληροφορίες τους.

Σύμφωνα με τις καταγγελίες αυτές, γεγονός που επιβεβαιώθηκε και από τον έλεγχο που διενήργησε η Αρχή, η BKR είχε ερμηνεύσει τις απαιτήσεις του άρθρου 12 ΓΚΠΔ με ιδιαίτερο τρόπο.

Με βάση την ερμηνεία αυτή:

- η BKR έδινε στους πολίτες, των οποίων τα οικονομικά δεδομένα τηρούνταν στα αρχεία της, τη δυνατότητα να αποκτούν δωρεάν πρόσβαση στα δεδομένα αυτά, υπό δύο περιοριστικούς όρους. Αφενός, να ασκούν μέχρι ένα αίτημα το χρόνο, αφετέρου να ασκούν το αίτημά τους αυτό εκτυπώνοντας και αποστέλλοντας ταχυδρομικά ειδικό έντυπο που διέθετε στην ιστοσελίδα της. Το έντυπο αυτό έπρεπε να συνοδεύεται από έγγραφο ταυτοποίησης του αιτούντος, ενώ οι σχετικές πληροφορίες αποστέλλονταν επίσης μέσω ταχυδρομείου.

- για τους πολίτες που επιθυμούσαν πιο εύκολη, άμεση και κυρίως πιο συχνή πρόσβαση στα δεδομένα τους, η BKR προσέφερε τρία πακέτα πρόσβασης με ετήσια συνδρομή: το Basic, το Plus και το Premium, στην τιμή των 4.95, 7.50 και 12.50 ετησίως, αντίστοιχα. Στην περίπτωση αγοράς μιας εκ των συνδρομών αυτών, η πρόσβαση του αιτούντος γινόταν άμεσα και ηλεκτρονικά.

Οι διαπιστώσεις της Αρχής και οι ισχυρισμοί της BKR

● Εν πρώτοις, η Αρχή διαπίστωσε ότι η χρέωση των υποκειμένων για την παροχή ηλεκτρονικής πρόσβασης στα δεδομένα τους έρχεται σε αντίθεση με το άρθρο 12 παρ.5 του Γενικού Κανονισμού, το οποίο προβλέπει ότι οι πληροφορίες των άρθρων 13-14 και οι ενέργειες των άρθρων 15-22 «παρέχονται δωρεάν», εκτός εάν, μεταξύ άλλων, το αίτημα έχει επαναλαμβανόμενο χαρακτήρα. Στην περίπτωση αυτή, η εκ προοιμίου χρέωση των υποκειμένων δεν μπορεί να θεωρηθεί ότι πληροί την προϋπόθεση αυτή.

Περαιτέρω, μολονότι η παράγραφος 1 του άρθρου 12 προβλέπει την ηλεκτρονική ικανοποίηση των αιτημάτων, η BKR δεν παρέχει στα υποκείμενα των δεδομένων σχετική δυνατότητα, παρά μόνο εφόσον αγοράσουν μια από τις παρεχόμενες συνδρομές.

Η BKR δεν συμμερίστηκε τις διαπιστώσεις της Αρχής.

Ως προς την υποχρέωση δωρεάν παροχής των πληροφοριών, η BΚR ισχυρίστηκε ότι η υποχρέωσή της αυτή εκπληρώνεται πλήρως με την ταχυδρομική διαδικασία που έχει θεσπίσει, περαιτέρω δε, η αιτιολογική σκέψη 59 πουθενά δεν αναφέρει την υποχρέωσή της να παρέχει την υπηρεσία αυτή και ηλεκτρονικά, όπως δεν απαγορεύει την παράλληλη χρέωση που έχει καθιερώσει. Ως προς τον επαναλαμβανόμενο χαρακτήρα, που προβλέπει το 12.5 ως προϋπόθεση για τη χρέωση, η BΚR ισχυρίστηκε ότι με την αγορά πακέτου συνδρομής, οι χρήστες αποκτούν τη δυνατότητα πρόσβασης στα στοιχεία τους «για ένα χρόνο». Συνεπώς, η πρόσβαση αυτή τεκμαίρεται ότι έχει επαναλαμβανόμενο χαρακτήρα.

Οι ισχυρισμοί αυτοί δεν έγιναν δεκτοί από την Αρχή. Αντιστρέφοντας την ερμηνεία της BKR, η Αρχή παρατήρησε ότι η αιτιολογική σκέψη 59 πουθενά δεν αναφέρει τη δυνατότητα χρέωσης, παράλληλα με τη δωρεάν παροχή των πληροφοριών. Ως προς το δεύτερο ισχυρισμό περί τεκμαιρόμενης επαναλαμβανόμενης πρόσβασης, η Αρχή παρατήρησε ότι το κριτήριο αυτό δεν μπορεί να διαπιστώνεται εξαρχής, ανεξάρτητα από το πόσες φορές θα ασκήσει το κάθε υποκείμενο το δικαίωμά του. Άλλωστε, το υποκείμενο χρεώνεται ακόμη και αν χρησιμοποιήσει την υπηρεσία μόνο μια φορά. Η εφαρμογή του κριτηρίου του άρθρου 12.5 θα ήταν δυνατή μόνον εφόσον η ηλεκτρονική πρόσβαση παρεχόταν δωρεάν και διαπιστωνόταν ότι κάποιο υποκείμενο ζητούσε επανειλημμένα πρόσβαση σε σύντομο χρονικό διάστημα.

● Στη συνέχεια, η Αρχή διαπίστωσε ότι ο περιορισμός της ικανοποίησης του δικαιώματος ενημέρωσης σε ένα αίτημα ανά δώδεκα μήνες έρχεται σε αντίθεση με την υποχρέωση διευκόλυνσης του άρθρου 12 παρ.2 του Γενικού Κανονισμού.

Η BKR και πάλι δεν συμφώνησε με τη διαπίστωση της Αρχής.

Σύμφωνα με τον ελεγχόμενο οργανισμό, το διάστημα των 12 μηνών είναι ένα εύλογο χρονικό διάστημα για την άσκηση του δικαιώματος πρόσβασης ενός υποκειμένου. Η BKR προσκόμισε σχετική έρευνα, σύμφωνα με την οποία, η μέση συχνότητα υποβολής αιτημάτων πρόσβασης δανειοληπτών είναι οι 12 μήνες, ενώ περαιτέρω ισχυρίστηκε ότι η πρόβλεψη της αιτιολογικής σκέψης 63 του Γενικού Κανονισμού για άσκηση του δικαιώματος πρόσβασης «σε εύλογα χρονικά διαστήματα» δεν αποκλείει την πρακτική της, δεδομένου ότι η διατύπωση αυτή δεν έχει ερμηνευτεί από την Αρχή. Τέλος, η BKR δήλωσε ότι ουδέποτε αρνήθηκε να απαντήσει σε δεύτερο αίτημα πρόσβασης εντός του ιδίου έτους, παρά τη σχετική απαγόρευση στην πολιτική της.

Και αυτοί οι ισχυρισμοί δεν έγιναν δεκτοί από την Αρχή. Η AP έκρινε ότι αφενός οι στατιστικές ουδόλως επηρεάζουν τους όρους άσκησης του δικαιώματος πρόσβασης, αφετέρου ότι η ίδια δεν ενδιαφέρεται, ούτε αξιολογεί τυχόν καλόπιστες πρακτικές, αφού αυτό που εξετάζει είναι η συμμόρφωση των πολιτικών με τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων.

Το πρόστιμο

Με βάση τις ως άνω παραδοχές, η ολλανδική αρχή επέβαλε πρόστιμο για δυο αυτοτελείς παραβιάσεις υποχρεώσεων του άρθρου 12 ΓΚΠΔ. Για την παραβίαση του άρθρου 12.5 επεβλήθη πρόστιμο 385.000€, ενώ για την παραβίαση του άρθρου 12.2 ΓΚΠΔ το πρόστιμο ανήλθε σε 650.000€.

Παρά το γεγονός ότι οι δύο διαπιστωθείσες παραβιάσεις αναφέρονται στο ίδιο άρθρο, η Αρχή παρατήρησε ότι συνιστούν δύο διαφορετικές συμπεριφορές, που οδηγούν σε δύο διακριτές παραβιάσεις. Παρά ταύτα, η ΑP αναγνώρισε ότι η κοινή αρχή επεξεργασίας που βρίσκεται πίσω και από τις δύο αυτές υποχρεώσεις είναι η αρχή της διαφάνειας, συνιστάμενη στο έλεγχο των υποκειμένων για τα προσωπικά δεδομένα τους. Για το λόγο αυτό, αποφασίστηκε ο περιορισμός του συνολικού προστίμου κατά 20%, ανερχόμενο έτσι στο συνολικό ποσόν των 830.000€.

Ενδιαφέρον παρουσιάζει ότι:

- κατά την επιμέτρηση των περιστάσεων και στάθμιση των κριτηρίων του άρθρου 83, η Αρχή ανέφερε ότι ο αριθμός των προσώπων που υπέβαλαν ταχυδρομικώς αίτημα, κατά το επίμαχο χρονικό διάστημα, για δωρεάν πρόσβαση στα δεδομένα τους ανήλθε σε 10.000 άτομα. Αντίθετα, παρά το ότι ελήφθη υπόψιν, δεν αποκάλυψε τον αριθμό των υποκειμένων που αγόρασαν ηλεκτρονική συνδρομή.

- η απόφαση δημοσιοποιήθηκε την 6-7-2020, αν και έχει φαίνεται να έχει εκδοθεί σχεδόν ένα χρόνο πριν, στις 30-7-2019.

- με τη δημοσιοποίηση της απόφασης η BKR εξέδωσε σχετικό δελτίο τύπου, στο οποίο εκφράζει την έκπληξή της για την επιβολή του προστίμου, ειδικά με δεδομένο ότι ήδη από τον Απρίλιο του 2019 είχε συμμορφωθεί πλήρως με τις υποδείξεις της Αρχής. Παράλληλα, η BKR υπεραμύνθηκε και πάλι των απολύτως νομίμων, κατά την εκτίμησή της, πολιτικών που είχε αρχικώς θεσπίσει.

Η απόφαση της ολλανδικής αρχής και η ανακοίνωση της BKR είναι διαθέσιμες στα ολλανδικά:

https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bkr-vanwege-kosten-bij-inzage-persoonsgegevens

https://www.bkr.nl/nieuws/2020/7/persbericht-vraagtekens-bij-boetebesluit-autoriteit-persoonsgegevens/