Προϋποθέσεις για τη χορήγηση προσωπικών δεδομένων μέσω WeTransfer
Επισημάνσεις της Αρχής Προστασίας Δεδομένων για τις υποχρεώσεις του υπευθύνου επεξεργασίας όταν απαντά σε αίτημα πρόσβασης με χρονικό περιορισμό
Μια πολύ ενδιαφέρουσα περίπτωση ικανοποίησης του αιτήματος πρόσβασης του ΓΚΠΔ εξέτασε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην προσφάτως δημοσιευθείσα Ετήσια Έκθεσή της για το έτος 2023. Πρόκειται για την περίπτωση όπου τα δεδομένα χορηγούνται μέσω της υπηρεσίας WeTransfer.
Υπηρεσίες όπως το WeTransfer χρησιμοποιούνται συχνά για τη διαβίβαση εγγράφων και αρχείων, καθώς έχουν το πλεονέκτημα πως μπορούν να μεταφορτώσουν μεγάλο όγκο πληροφοριών. Δεύτερο χαρακτηριστικό των υπηρεσιών αυτών είναι πως μετά τη μεταφόρτωση των αρχείων δημιουργείται ένας υπερσύνδεσμος, ο οποίος και αποστέλλεται στον ενδιαφερόμενο παραλήπτη, προκειμένου αυτός να κατεβάσει το περιεχόμενο της μεταφόρτωσης. Ο σύνδεσμος αυτός όμως δεν παραμένει εσαεί ενεργός, καθώς τα σχετικά αρχεία παραμένουν διαθέσιμα για διάστημα λίγων ημερών και στη συνέχεια διαγράφονται.
Μια τέτοια περίπτωση τέθηκε υπόψιν της Αρχής, μετά από καταγγελία υποκειμένου των δεδομένων για παραβίαση του δικαιώματος πρόσβασης.
Ο καταγγέλλων ζήτησε από τον υπεύθυνο επεξεργασίας τη χορήγηση αντιγράφου των δεδομένων του, σύμφωνα με το άρθρο 15 παρ.3 ΓΚΠΔ, και ειδικότερα τη χορήγηση αντιγράφου ηχογραφημένης συνομιλίας. Ο υπεύθυνος επεξεργασίας ανταποκρίθηκε έγκαιρα και μεταφόρτωσε το αρχείο που είχε ζητηθεί στο WeTransfer, ειδοποιώντας παράλληλα τον αιτούντα μέσω email.
Διαβάστε επίσης: Το δικαίωμα πρόσβασης σε τηλεφωνική συνομιλία δεν περιλαμβάνει τη συμμετοχή του υπαλλήλου
Ο αιτών, ωστόσο, δεν προχώρησε έγκαιρα στη λήψη του αρχείου, με αποτέλεσμα αυτό να διαγραφεί μετά την πάροδο της περιόδου των 7 ημερών που θέτει το WeTransfer για το κατέβασμα των αρχείων που φιλοξενεί. Ταυτόχρονα, ο αιτών δεν υπέβαλε νέο αίτημα αποστολής του αρχείου του, με αποτέλεσμα ο υπεύθυνος επεξεργασίας να προβεί στη διαγραφή των επίμαχων δεδομένων λόγω συμπλήρωσης της περιόδου διατήρησης που είχε καθορίσει με τις πολιτικές του.
Εξετάζοντας το πρωτότυπο αυτό ιστορικό, η Αρχή δεν καταλόγισε ευθύνες στον υπεύθυνο επεξεργασίας για τις ενέργειές του επί του αιτήματος που είχε λάβει, τού έκανε όμως μια σύσταση με δύο υποχρεώσεις που πρέπει εφεξής να εκπληρώνει:
Α. Στην περίπτωση όπου η απάντησή του επί αιτήματος πρόσβασης γίνεται κατά τρόπο που ενέχει χρονικούς περιορισμούς, τον κάλεσε «να ενημερώνει ταυτόχρονα το υποκείμενο για την ανάγκη να προβεί σε ενέργειες εντός του αντίστοιχου χρονικού διαστήματος, προκειμένου να εξασφαλίζεται σε κάθε περίπτωση η ορθή ικανοποίηση του δικαιώματος πρόσβασης».
Β. Παράλληλα, τον κάλεσε να μεριμνά για την αναστολή της προγραμματισμένης διαγραφής των δεδομένων, μέχρι να πάρει από το υποκείμενο την επιβεβαίωση πως τα δεδομένα που του απέστειλε έχουν παραληφθεί.
Διαβάστε επίσης: Δικαίωμα πρόσβασης στα στοιχεία υπαλλήλου που επικοινώνησε με πελάτισσα μέσω προσωπικού λογαριασμού
Το πλήρες απόσπασμα από την Ετήσια Έκθεση της Αρχής έχει ως εξής:
Περαιτέρω, υποβλήθηκε στην Αρχή καταγγελία κατά εταιρείας περί παραβίασης δικαιώματος πρόσβασης σε ηχογραφημένη συνομιλία.
Η Αρχή αφού εξέτασε το σύνολο των στοιχείων του φακέλου της υπόθεσης, με έγγραφό της (Γ/ΕΞΕ/3250/2023) διαπίστωσε ότι το δικαίωμα είχε ικανοποιηθεί εγκαίρως με αποστολή του αρχείου μέσω της υπηρεσίας WeTransfer και ειδοποίηση του καταγγέλλοντος με email, ωστόσο ο καταγγέλλων δεν προχώρησε σε λήψη του αρχείου εντός της περιόδου διατήρησης στην εν λόγω υπηρεσία (7 ημερών), με αποτέλεσμα να διαγραφεί. Επιπλέον δεν υπέβαλε νέο αίτημα αποστολής του αρχείου στην καταγγελλόμενη εταιρεία, η οποία προχώρησε στην προγραμματισμένη βάσει πολιτικής διαγραφή των δεδομένων εντός 120 ημερών από τη συλλογή τους.
Επίσης, η Αρχή διαπίστωσε ότι πλέον η παρεχόμενη στα υποκείμενα ενημέρωση αναφορικά με τον χρόνο τήρησης των δεδομένων είναι ορθή και λαμβάνοντας υπόψη τη διάταξη του άρθρου 12 παρ. 2 εδ. α΄ του ΓΚΠΔ, η Αρχή απηύθυνε σύσταση στην καταγγελλόμενη εταιρεία, ώστε σε περίπτωση απάντησης σε αίτημα πρόσβασης υποκειμένου των δεδομένων κατά τρόπο που ενέχει χρονικούς περιορισμούς, όπως στην προκειμένη περίπτωση, να ενημερώνει ταυτόχρονα το υποκείμενο για την ανάγκη να προβεί σε ενέργειες εντός του αντίστοιχου χρονικού διαστήματος, προκειμένου να εξασφαλίζεται σε κάθε περίπτωση η ορθή ικανοποίηση του δικαιώματος πρόσβασης και να λαμβάνει μέτρα, ώστε να αναστέλλεται η προγραμματισμένη διαγραφή των δεδομένων μέχρι τη λήψη επιβεβαίωσης παραλαβής τους εκ μέρους του υποκειμένου.
