Πρόστιμο 600 ευρώ για την απουσία ενημέρωσης σε website
Η ισπανική αρχή προστασίας δεδομένων δέχθηκε καταγγελία για την απουσία της ενημέρωσης του άρθρου 13 ΓΚΠΔ από τον ιστότοπο εκδότη βιβλίων
Το άρθρο 13 του Γενικού Κανονισμού Προστασίας Δεδομένων προβλέπει πως τα υποκείμενα των δεδομένων δικαιούνται να λαμβάνουν συγκεκριμένες πληροφορίες, όταν τα δεδομένα τους συλλέγονται από τον υπεύθυνο επεξεργασίας.
Η ενημέρωση αυτή πρέπει να δίνεται κατά τη λήψη των δεδομένων, χωρίς η υποχρέωση αυτή να συναντά εξαιρέσεις όταν η συλλογή γίνεται μέσω ιστοτόπου. Στην τελευταία περίπτωση, η ενημέρωση του άρθρου 13 είθισται να παρέχεται μέσω των κειμένων που είναι γνωστά ως Πολιτικές Απορρήτου ή Πολιτικές Προστασίας Προσωπικών Δεδομένων.
Η υποχρέωση αυτή δεν εκπληρωνόταν στην περίπτωση ενός εκδοτικού οίκου, ο ιστότοπος του οποίου δεν παρείχε την απαιτούμενη ενημέρωση, μολονότι έδινε τη δυνατότητα υποβολής προσωπικών δεδομένων και δη με πολλούς διαφορετικούς τρόπους. Η παράλειψη αυτή έγινε αντιληπτή από πολίτη, που υπέβαλλε καταγγελία στην αρμόδια ισπανική αρχή προστασίας δεδομένων AEPD.
Η καταγγελία συνοδευόταν και από screenshots του επίμαχου ιστοτόπου. Σε αυτά απεικονιζόταν η απουσία ενημερωτικού κειμένου στη φόρμα υποβολής στοιχείων για την αγορά βιβλίων, ενώ μάλιστα στους «όρους αποστολής» εμφανιζόταν ένα checkbox, το οποίο απλώς υποχρέωνε τους χρήστες να αποδεχθούν τους όρους και τις προϋποθέσεις της νομοθεσίας για τα προσωπικά δεδομένα, χωρίς καμία περαιτέρω πληροφορία.
Σημειωτέον πως η ισπανική αρχή δεν διευκρινίζει στην απόφασή της το αν ο καταγγέλλων/ουσα συμπλήρωσε τελικώς τα δεδομένα του και προχώρησε στην αγορά, ως εκ τούτου κατέστη υποκείμενο των δεδομένων, ή το απέφυγε λόγω της απουσίας ενημέρωσης. Το ζήτημα παρουσιάζει ερμηνευτικό ενδιαφέρον, καθώς συνδέεται με το κατά πόσον μπορεί ένας πολίτης να καταγγείλει την παραβίαση των κανόνων διαφάνειας και νομιμότητας στην επεξεργασία των δεδομένων, όταν αυτός δεν έχει υποβάλει τα δεδομένα του και δεν έχει καταστεί υποκείμενο, ακριβώς εξαιτίας των διαφαινόμενης παραβίασης αυτής.
Διαβάστε επίσης: Διαγραφή δεδομένων απολυθείσας υπαλλήλου από την ιστοσελίδα του (πρώην) εργοδότη
Η AEPD αναζήτησε τα στοιχεία του υπευθύνου επεξεργασίας και του εκπροσώπου του και πραγματοποίησε έλεγχο στον επίμαχο ιστότοπο. Από τον έλεγχο αυτό διαπίστωσε πως ο εκδότης συνέλεγε προσωπικά δεδομένα με τους εξής τρόπους:
Α. Την υποβολή αιτημάτων- ερωτημάτων μέσω του email επικοινωνίας,
Β. Μέσω της ενότητας «στείλτε το χειρόγραφό σας»
Γ. Κατά την ολοκλήρωση αγορών.
Παράλληλα, διαπιστώθηκε πως, όπως ορθά είχε καταγγείλει το υποκείμενο, ο ιστότοπος δεν παρείχε καμία πληροφόρηση σχετικά με τη συλλογή και επεξεργασία προσωπικών δεδομένων, για καμία από τις ως άνω περιπτώσεις.
Χωρίς ιδιαίτερη δυσκολία, η ισπανική αρχή διαπίστωσε την παραβίαση του άρθρου 13 ΓΚΠΔ.
Σύμφωνα με την απόφαση της AEPD, ο εκδότης συλλέγει μέσω του ιστοτόπου του προσωπικά δεδομένα διαφόρων κατηγοριών, μεταξύ αυτών και τραπεζικές κάρτες, και για διαφορετικές κατηγορίες υποκειμένων των δεδομένων, όπως πελάτες ή συγγραφείς.
Στην κεντρική του σελίδα, ο εκδότης έδινε κάποιες πληροφορίες σχετικά με τη χρήση των cookies ή τον σκοπό της επεξεργασίας, ωστόσο δεν παρείχε μια πλήρη πολιτική απορρήτου, ενώ απουσίαζαν σχεδόν όλες οι πληροφορίες που προβλέπονται από το άρθρο 13 ΓΚΠΔ.
Μεταξύ των πληροφοριών αυτών είναι και η ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και κατά περίπτωση του εκπροσώπου του, με την AEPD να παρατηρεί πως και η ίδια χρειάστηκε να προβεί σε πρόσθετες ενέργειες, προκειμένου να τα εντοπίσει.
Η ισπανική αρχή επέβαλε στον εκδότη, ως υπεύθυνο επεξεργασίας, πρόστιμο 600 ευρώ για την παραβίαση του άρθρου 13 ΓΚΠΔ, ενώ παράλληλα του έδωσε εντολή όπως διορθώσει τα λάθη και τις ελλείψεις που εντοπίστηκαν εντός ενός μήνα.