Online dating: Πρόστιμο 200.000 ευρώ σε site γνωριμιών για παραβάσεις του ΓΚΠΔ
Η ιταλική αρχή προστασίας δεδομένων διαπίστωσε πως εκατομμύρια χρήστες έδιναν τα δεδομένα τους σε μια εταιρεία που δεν είχε εκπληρώσει βασικές απαιτήσεις νομιμότητας
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Διοικητικό πρόστιμο 200.000 ευρώ επέβαλε η ιταλική αρχή προστασίας δεδομένων Garante σε δημοφιλή ιστοσελίδα γνωριμιών της χώρας, μετά από έρευνα που διενήργησε, στην οποία διαπιστώθηκε η μη συμμόρφωση με πολλαπλές απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων. Πρόκειται, όπως χαρακτηριστικά επισημαίνει η ιταλική αρχή, για την πρώτη φορά που επιβάλλει κυρώσεις σε dating site.
Η Garante αποφάσισε να ξεκινήσει αυτεπάγγελτο έλεγχο νομιμότητας στην εταιρεία που διαχειρίζεται τον ιστότοπο www.nirvam.it/, με τον έλεγχο αυτό να περιλαμβάνει και την έρευνα στα γραφεία της εταιρείας στο Μπέργκαμο. Κατά τον έλεγχο αυτό διαπιστώθηκε πως η βάση δεδομένων πελατών της εταιρείας περιλαμβάνει 4.788.451 λογαριασμούς χρηστών, εκ των οποίων 1.012.421 έχουν προχωρήσει τη διαδικασία επιβεβαίωσης του email, ενώ 9.147 διατηρούν ενεργό συνδρομή.
Οι εντυπωσιακοί αυτοί αριθμοί δεν συνοδεύονταν ωστόσο από τις ανάλογες πολιτικές και πρακτικές για την προστασία των προσωπικών δεδομένων των χρηστών της ιστοσελίδας. Όπως διαπιστώθηκε, η εταιρεία είχε παραβιάσει - και δη επί σειρά ετών – κρίσιμες αρχές για τη νομιμότητα της επεξεργασίας, ενώ παράλληλα δεν είχε ορίσει DPO και δεν είχε εκπονήσει μελέτη εκτίμησης αντικτύπου, ως όφειλε.
Ειδικότερα:
A. Η παραβίαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας (άρθρα 5 παρ.1α. 9 και 13 ΓΚΠΔ)
Η Garante παρατήρησε πως η παροχή της υπηρεσίας μέσω του dating site προϋποθέτει και συνεπάγεται την επεξεργασία προσωπικών δεδομένων των χρηστών, οι οποίοι καλούνται σε πρώτο στάδιο να δηλώσουν πληροφορίες όπως προτιμήσεις σε γνωριμία, χώρα, περιοχή, ημερομηνία γέννησης και ψευδώνυμο, ενώ μετά την ολοκλήρωση της εγγραφής δύνανται να προσθέσουν ειδικότερα στοιχεία, όπως ύψος, χρώμα μαλλιών, επάγγελμα, επίπεδο σπουδών, αλλά και να ανεβάσουν τη φωτογραφία τους.
Η επεξεργασία αυτή, η οποία αφορά περίπου ένα εκατομμύριο εγγεγραμμένους χρήστες, δεν περιορίζεται σε «απλά» προσωπικά δεδομένα αυτών, αλλά καταλαμβάνει και ειδικές κατηγορίες δεδομένων του άρθρου 9 ΓΚΠΔ, αφού τα δεδομένα που συλλέγονται αποκαλύπτουν πληροφορίες σχετικές με τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό των υποκειμένων.
Η ιταλική αρχή επεσήμανε πως, μολονότι μια τέτοια επεξεργασία θα απαιτούσε την ύπαρξη μιας εκ των προϋποθέσεων του άρθρου 9 παρ.2 ΓΚΠΔ και ειδικότερα της ρητής συγκατάθεσης των υποκειμένων των δεδομένων, η εταιρεία δεν μπορούσε να τεκμηριώσει τη λήψη της, σύμφωνα με τις απαιτήσεις του Γενικού Κανονισμού.
Περαιτέρω, η πληροφόρηση που δινόταν στους χρήστες δεν ήταν επαρκής, σύμφωνα με τις απαιτήσεις των άρθρων 7 παρ.3 και 13 ΓΚΠΔ, προκειμένου τα υποκείμενα να αντιλαμβάνονται τα βασικά χαρακτηριστικά της επεξεργασίας που θα πραγματοποιηθεί. Ειδικότερα και σύμφωνα με τις παρατηρήσεις της ιταλικής αρχής, από το ενημερωτικό κείμενο που παρείχε η εταιρεία απουσίαζαν οι σκοποί και η νομική βάση της επεξεργασίας, οι κατηγορίες αποδεκτών και η δυνατότητα άσκησης των δικαιωμάτων των υποκειμένων.
Β. Η παραβίαση της αρχής της περιόδου αποθήκευσης των δεδομένων (άρθρο 5 παρ.1ε’ ΓΚΠΔ).
Η εταιρεία διατηρούσε δεδομένα των χρηστών, χωρίς μάλιστα να έχει εκπονήσει συγκεκριμένη πολιτική ως προς τις περιόδους διατήρησης ανά κατηγορία.
Όπως προέκυψε από τον έλεγχο της Garante, η εταιρεία διατηρούσε δεδομένα 1.262.678 εγγεγραμμένων χρηστών, οι οποίοι είχαν πραγματοποιήσει τελευταία είσοδο πριν το 2012, αλλά και 1.145.691 χρηστών, που είχαν αποπειραθεί να εγγραφούν πριν το 2012, αλλά δεν είχαν δώσει λειτουργικό email.
Περαιτέρω, η Garante διαπίστωσε πως μετά τη διαγραφή ενός χρήστη, η εταιρεία διατηρούσε προσωπικά δεδομένα αυτού στις βάσεις δεδομένων της, μεταξύ των οποίων και η φωτογραφία, με την ιταλική αρχή να εντοπίζει 9.811 φωτογραφίες στο backend του ιστοτόπου.
Γ. Η παραβίαση της αρχής της ακεραιότητας και εμπιστευτικότητας (άρθρο 5 παρ.1στ’ ΓΚΠΔ)
Η ιταλική αρχή διαπίστωσε πως τα μέτρα ασφάλειας που είχαν ληφθεί από την εταιρεία ήταν ανεπαρκή, δεδομένης της ευαισθησίας των δεδομένων που ετύγχαναν επεξεργασίας και των κινδύνων για τα υποκείμενα των δεδομένων.
Δ. Οι πρόσθετες παραβάσεις
Εκτός των ως άνω διαπιστώσεων, η Garante διαπίστωσε πως η εταιρεία είχε παραβιάσει και τρεις σημαντικές υποχρεώσεις της βάσει ΓΚΠΔ. Δεν είχε διαμορφώσει αρχείο δραστηριοτήτων, όπως το άρθρο 30 ΓΚΠΔ απαιτεί, δεν είχε ορίσει Υπεύθυνο Προστασίας Δεδομένων, σύμφωνα με το άρθρο 37 ΓΚΠΔ, και δεν είχε εκπονήσει μελέτη εκτίμησης αντικτύπου, η οποία όμως ήταν αναγκαία με βάση τα χαρακτηριστικά της επεξεργασίας.
Οι κυρώσεις και τα διορθωτικά μέτρα της ιταλικής αρχής
Για το σύνολο των παραβάσεων αυτών, η Garante αποφάσισε να επιβάλει στην εταιρεία το πρόστιμο των 200.000 ευρώ. Παράλληλα, επέβαλε συγκεκριμένα διορθωτικά μέτρα που θα πρέπει να εφαρμοστούν από την εταιρεία, σε δύο χρόνους κατά περίπτωση.
Εντός 45 ημερών η εταιρεία εκλήθη όπως διαμορφώσει πολιτικές διατήρησης δεδομένων και να βελτιώσει τα κείμενα ενημέρωσης των χρηστών. Παράλληλα και σύμφωνα με τις πολιτικές που θα θεσπίσει, η εταιρεία εκλήθη όπως διαγράψει από οποιοδήποτε αρχείο ή πληροφοριακό της σύστημα κάθε πληροφορία που έχει υπερβεί τους χρόνους που θα καθορίζει. Στο ίδιο χρονικό διάστημα, η εταιρεία οφείλει να έχει ολοκληρώσει εκτίμηση αντικτύπου.
Εντός εννέα μηνών η εταιρεία εκλήθη να βελτιώσει και να αναδιαμορφώσει τα τεχνικά και οργανωτικά μέτρα για την ασφάλεια των δεδομένων, προχωρώντας, μεταξύ άλλων, στη διαμόρφωση ενός συστήματος πρόσβασης χρηστών στα συστήματά της και την εισαγωγή μεθόδων κρυπτογράφησης ή ψευδωνυμοποίησης για την προστασία των ευαίσθητων δεδομένων.
Η απόφαση έχει δημοσιευτεί στον ιστότοπο της ιταλικής αρχής
