ΑΠΔΠΧ: Καταγγελία υποψήφιου ασφαλισμένου κατά ασφαλιστικής εταιρείας για μη ικανοποίηση του δικαιώματος διαγραφής
Μία ενδιαφέρουσα σχετικά με την ικανοποίηση του δικαιώματος διαγραφής εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Η υπόθεση έφτασε ενώπιον της Αρχής έπειτα από καταγγελία του Α ότι η ΑΧΑ ασφαλιστική εταιρεία δεν ικανοποίησε το δικαίωµα διαγραφής σε δεδοµένα προσωπικού χαρακτήρα που τον αφορούν.
Συγκεκριµένα, καταγγέλλει ότι η ΑΧΑ ασφαλιστική εταιρεία δεν ικανοποίησε το αίτηµά του που αφορούσε στη διαγραφή από τα αρχεία της εταιρείας δεδοµένων προσωπικού χαρακτήρα του ιδίου και µελών της οικογενείας του, τα οποία συλλέχθηκαν από την ΑΧΑ ασφαλιστική εταιρεία δυνάµει αίτησης ασφάλισης κατά το προσυµβατικό στάδιο σύναψης σχετικής ασφαλιστικής σύµβασης, την οποία, εν τέλει, λόγω των σχετικών όρων του ασφαλιστηρίου συµβολαίου δεν αποδέχθηκε και ουδέποτε υπέγραψε.
Από την πλευράς της η ασφαλιστική εταιρεία υποστήριξε, μεταξύ άλλων, ότι το δικαίωµα του καταγγέλλοντος ικανοποιήθηκε προσηκόντως, δεδοµένου ότι κατόπιν της ανωνυµοποίησης των προσωπικών δεδοµένων, που περιλαµβάνονταν στην αίτησή του, κατέστη αδύνατη η ταυτοποίησή του.
Η απόφαση της Αρχής
Μεταξύ άλλων, η Αρχή έκρινε πως εν προκειµένω, η ΑΧΑ ασφαλιστική εταιρεία, ως υπεύθυνος επεξεργασίας, όφειλε να ικανοποιήσει το προαναφερόµενο αίτηµα διαγραφής του Α, καθόσον ο τελευταίος µε το αίτηµά του κατ’ ουσίαν ανακάλεσε τη θετική δήλωση βουλήσεως που είχε παράσχει στην εν λόγω ασφαλιστική εταιρεία για τη συλλογή των προσωπικών του δεδοµένων για το σκοπό της αίτησης ασφάλισης και δεν υπάρχει άλλη νοµική βάση για την συγκεκριµένη επεξεργασία.
Εξάλλου, δεν συντρέχει περίπτωση νόµιµης παρέκκλισης από το δικαίωµα διαγραφής για τη διατήρηση των προσωπικών δεδοµένων, σύµφωνα µε τα οριζόµενα στη διάταξη του άρθρου 17 παρ. 3 του ΓΚΠ∆, ούτε εν προκειµένω η άσκηση του δικαιώµατος διαγραφής µπορεί να υποκατασταθεί από την τυχόν ανωνυµοποίηση των συλλεγέντων δεδοµένων προσωπικού χαρακτήρα.
Περαιτέρω, η Αρχή υποστήριξε πως είναι απορριπτέος ως αβάσιµος ο ισχυρισµός της ΑΧΑ ασφαλιστικής εταιρείας για συµβατική περίοδο διατήρησης των επίµαχων δεδοµένων, δυνάµει των άρθρων 34 παρ. 3 του νόµου 4624/2019 και 192 ΑΚ, καθόσον η προαναφερόµενη διάταξη του νόµου 4624/2019 αφορώσα στη διαγραφή σε περίπτωση µη αυτοµατοποιηµένης επεξεργασίας, δεν τυγχάνει εν προκειµένω εφαρµογής στην αυτοµατοποιηµένη επεξεργασία που διενεργεί η ΑΧΑ στα πληροφοριακά της συστήµατα.
Η Αρχή σημειώνει πως, ανεξαρτήτως του ζητήµατος της σχέσης µεταξύ της διαγραφής και της ανωνυµοποίησης δεδοµένων προσωπικού χαρακτήρα χωρίς τη δυνατότητα ταυτοποίησης του συγκεκριµένου φυσικού προσώπου, η ΑΧΑ ασφαλιστική εταιρεία δεν αποδεικνύει αλλά ούτε επικαλείται, την ύπαρξη λόγου, που βρίσκει έρεισµα στον ΓΚΠ∆, για τη µη ικανοποίηση του δικαιώµατος της διαγραφής των δεδοµένων προσωπικού χαρακτήρα και την υποκατάσταση της διαγραφής µε την ανωνυµοποίηση αυτών.
Τέτοιο δε λόγο δεν συνιστά αφενός, η σχετική πρόβλεψη και επίκληση της πολιτικής τήρησης-διαχείρισης των δεδοµένων προσωπικού χαρακτήρα στο µέτρο που δεν βρίσκει έρεισµα στον ΓΚΠ∆, αφετέρου, η επιλογή των τεχνικών προδιαγραφών του πληροφοριακού συστήµατος της ΑΧΑ ασφαλιστικής εταιρείας στο µέτρο που δεν βρίσκει έρεισµα στον ΓΚΠ∆.
Στο πλαίσιο αυτό, η Αρχή:
α) κρίνει ότι η ΑΧΑ ασφαλιστική εταιρεία, ως υπεύθυνος επεξεργασίας, παραβίασε την άσκηση του δικαιώµατος διαγραφής του Α σύµφωνα µε τις διατάξεις των άρθρων 5 και 17 του ΓΚΠ∆ και απευθύνει, δυνάµει του άρθρου 58 παρ. 2 στοιχ. β΄ του ΓΚΠ∆, επίπληξη στην εν λόγω ασφαλιστική εταιρεία για την παραβίαση των διατάξεων αυτών και
β) επιφυλάσσεται να κρίνει τη νοµιµότητα της διατήρησης των προσωπικών δεδοµένων των υποψήφιων ασφαλισµένων για µία πενταετία από τη συλλογή τους κατά το προσυµβατικό στάδιο για το σκοπό της αποφυγής και καταπολέµησης της ασφαλιστικής απάτης στο πλαίσιο της εξέτασης του σχεδίου Κώδικα ∆εοντολογίας της Ένωσης Ασφαλιστικών Εταιρειών που έχει υποβληθεί προς έγκριση στην Αρχή, σύµφωνα µε τα οριζόµενα στη διάταξη του άρθρου 40 παρ. 5 του ΓΚΠ∆.
Δείτε αναλυτικά την απόφαση στο dpa.gr