logo-print

Πρόστιμο 40.000 ευρώ σε τηλεπικοινωνιακό πάροχο για μη γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων (ΑΠΔΠΧ 7/2023)

Η καταγγέλλουσα, κατόπιν αιτήματος πρόσβασής της σε ηχογραφημένες συνομιλίες της με εκπροσώπους της εταιρείας, έλαβε ένα CD με καταγεγραμμένες συνομιλίες τρίτου προσώπου

08/05/2023

06/09/2023

Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων και Ευθύνη για Αποζημίωση
Δίκαιο πληροφορικής - E έκδοση

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε στον τηλεπικοινωνιακό πάροχο Vodafone πρόστιμο ύψους 40.000 ευρώ για παραβίαση του δικαιώματος πρόσβασης και της υποχρέωσης γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων (ΑΠΔΠΧ 7/2023).

Πιο αναλυτικά, συνδρομήτρια απευθυνόμενη στην Αρχή κατήγγειλε ότι, κατόπιν αιτήματος πρόσβασής της στις ηχογραφημένες τηλεφωνικές συνομιλίες της με εκπροσώπους της καταγγελλόμενης εταιρείας, το οποίο, όπως αναφέρεται, υποβλήθηκε με τον τρόπο που της υποδείχθηκε από το κέντρο τηλεφωνικής εξυπηρέτησης της καταγγελλόμενης και στο πλαίσιο αμφισβήτησης του συνδρομητικού προγράμματος που πωλήθηκε στην καταγγέλλουσα τηλεφωνικά, εστάλη μέσω courier από την εκτελούσα την επεξεργασία στη διεύθυνση κατοικίας της και της παραδόθηκε ένας φάκελος που περιείχε CD με καταγεγραμμένες συνομιλίες τρίτου προσώπου με την καταγγελλόμενη και όχι τις συνομιλίες της καταγγέλλουσας.

Η καταγγέλλουσα ενημέρωσε τηλεφωνικά την καταγγελλόμενη για την λανθασμένη αποστολή αμέσως μόλις άκουσε το CD, ζητώντας να λάβει τη διαβεβαίωση της τελευταίας ότι τα δικά της προσωπικά δεδομένα δεν έχουν σταλεί σε άλλο πελάτη, χωρίς, ωστόσο, να λάβει καμία απάντηση σχετικά.

Ειδικότερα, για το εν λόγω περιστατικό η καταγγελλόμενη ενημερώθηκε, ως υπεύθυνος επεξεργασίας, αρχικά απευθείας από την καταγγέλλουσα, στη συνέχεια στο πλαίσιο της αναφοράς της τελευταίας στο Συνήγορο του Καταναλωτή και, τέλος, στο πλαίσιο της υπό κρίση καταγγελίας στην Αρχή. Παρ’ όλα αυτά η αντίδρασή της περιορίστηκε αφενός στην επικοινωνία της μέσω ηλεκτρονικού ταχυδρομείου με την εκτελούσα την επεξεργασία και αφετέρου στην έγγραφη επιστολή προς την καταγγέλλουσα με την οποία την καλούσε να επιστρέψει το υλικό.

Η Αρχή διαπίστωσε ότι η καταγγελλόμενη δεν διερεύνησε ενεργά το πιθανό περιστατικό που τέθηκε εις γνώση της, αλλά μετέθεσε το βάρος της ευθύνης για τη συγκέντρωση των σχετικών πληροφοριών στην καταγγέλλουσα.

Η καταγγελλόμενη, ως υπεύθυνος επεξεργασίας, θα μπορούσε εύκολα να διαπιστώσει εάν πράγματι είχε σταλεί στην καταγγέλλουσα συνομιλία έτερου προσώπου (και ποιου), αντί να περιμένει παθητικά να παραδοθεί το εν λόγω CD από την καταγγέλλουσα, με δική της πρωτοβουλία και χρέωση, σε κάποιο κατάστημα Vodafone ή στην έδρα της.

Επιπλέον, στην εκτελούσα την επεξεργασία, η καταγγελλόμενη απευθύνθηκε μετά την πάροδο αρκετών ημερών και όχι αμέσως μόλις έλαβε την αρχική πληροφορία για πιθανό περιστατικό παραβίασης, παρά το γεγονός ότι στη σχετική Διαδικασία Διαχείρισης Περιστατικών Παραβίασης Δεδομένων που προσκόμισε με το υπόμνημά της περιλαμβάνεται η υποχρέωση άμεσης προώθησης και αξιολόγησης των ειδοποιήσεων (alerts) που λαμβάνονται, από το αρμόδιο τμήμα, με σκοπό την επιβεβαίωση ύπαρξης ή μη περιστατικού παραβίασης και τη συνακόλουθη τήρηση των υποχρεώσεών της ως υπεύθυνου επεξεργασίας, απέναντι στην Αρχή και στα υποκείμενα των δεδομένων.

Περαιτέρω, η καταγγελλόμενη δεν προέβη σε αποστολή του σωστού αρχείου προς την καταγγέλλουσα, με σκοπό την ικανοποίηση του δικαιώματος πρόσβασής της στις ηχογραφημένες συνομιλίες της.

Κατόπιν των ανωτέρω, η Αρχή έκρινε ότι έλαβε χώρα εκ μέρους της καταγγελλόμενης Vodafone:

α) παράβαση του άρθρου 15 ΓΚΠΔ, καθώς δεν απέδειξε (σύμφωνα με την αρχή της λογοδοσίας) ότι ικανοποίησε το δικαίωμα πρόσβασης της καταγγέλλουσας στη ζητηθείσα ηχογραφημένη κλήση, δεδομένου ότι η τελευταία αμφισβήτησε το περιεχόμενο του CD που παρέλαβε και η Vodafone δεν προχώρησε σε οποιαδήποτε ενέργεια σχετικά (π.χ. επανάληψη της αποστολής του ορθού αρχείου).

β) παράβαση του άρθρου 33 ΓΚΠΔ, διότι παρότι είχε ένδειξη για περιστατικό παραβίασης δεδομένων, η Vodafone δεν διερεύνησε ενεργά το συμβάν και δεν το γνωστοποίησε στην Αρχή, αλλά αφ’ ενός μεν αρκέστηκε στην απάντηση της εκτελούσας την επεξεργασία I-CALL ότι δεν βρήκε την καταγγέλλουσα στο τηλέφωνο, αφ’ ετέρου δε, μετά την πάροδο αρκετών μηνών και μετά την προσφυγή της καταγγέλλουσας στο Συνήγορο του Καταναλωτή, με έγγραφο που κοινοποιήθηκε στην καταγγέλλουσα την κάλεσε να επιστρέψει το CD, αναμένοντας με τον παθητικό τρόπο αυτό να επιβεβαιώσει εάν συνέβη ή όχι περιστατικό παραβίασης.

Δείτε αναλυτικά την απόφαση στο dpa.gr

Αοριστία και Νομική Αβασιμότητα της Αγωγής
Διοικητικό Δικονομικό Δίκαιο
send