Έπειτα από καταγγελία πολίτη πως δεν κατάφερε να διαγραφεί (unsubscribe) από τις λίστες αποδεκτών διαφημιστικών μηνυμάτων της εταιρείας
Πρόστιμο 5.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε εταιρεία που διατηρεί ιστοσελίδα με αγγελίες εργασίας για μη ικανοποίηση δικαιώματος αντίρρησης στην αποστολή μηνυμάτων για σκοπούς προώθησης προϊόντων.
Συγκριμεμένα, η Αρχή εξέτασε καταγγελία σύμφωνα με την οποία πολίτης δεν κατάφερε να διαγραφεί από τις λίστες αποδεκτών διαφημιστικών μηνυμάτων της εταιρείας.
Ο καταγγέλων προσπάθησε να κάνει χρήση του συνδέσμου που ενσωματώνεται σε κάθε email, επιλέγοντας τις κατάλληλες επιλογές στην ιστοσελίδα που εμφανίζεται αλλά τα ηλεκτρονικά μηνύματα συνέχιζαν να έρχονται κανονικά.
Αργότερα, έστειλε email με αίτημα να διαγραφεί από τις λίστες των email. Του υποδείχτηκε μια συγκεκριμένη διαδικασία με τη μέθοδο του ticketing, στην οποία προχώρησε ευθύς και με την οποία ζητούσε την πλήρη διαγραφή όλων των στοιχείων που αφορούσαν στο άτομό του από τις βάσεις δεδομένων τους.
Κατόπιν επιβεβαίωσης των στοιχείων επικοινωνίας του και του αιτήματός του, έλαβε ενημέρωση ότι έχουν διαγραφεί όλα τα προσωπικά του δεδομένα. Όμως συνέχισε να λαμβάνει μέσω email προτάσεις αγγελιών όμοιες με αγγελίες στις οποίες είχε στο παρελθόν εκδηλώσει ενδιαφέρον.
Στη συνέχεια, απέστειλε νέο μήνυμα για το ζήτημα μέσω της μεθόδου ticketing χωρίς να λάβει απάντηση και έπειτα απέστειλε προειδοποίηση για προσφυγή στην Αρχή, εφόσον δεν επιλυθεί το ζήτημα, χωρίς καμία απάντηση επίσης.
Σύμφωνα με την απόφαση, η αποτυχία διαγραφής του από τις λίστες οφειλόταν σε τεχνικό σφάλμα.
Από την εξέταση των στοιχείων της υπόθεσης προέκυψε ότι η καταγγελλόμενη εταιρεία, ως υπεύθυνος επεξεργασίας δεν διέθετε στην πράξη τις απαραίτητες διαδικασίες ώστε να εξασφαλίσει τη διαγραφή των δεδομένων, ώστε να πληρούνται οι απαιτήσεις του ΓΚΠΔ και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
Όπως αναφέρεται στην απόφαση, «μόνο μετά τη διαβίβαση της καταγγελίας από την Αρχή στην εταιρεία έγιναν οι κατάλληλες ενέργειες ώστε να ερευνηθεί ο λόγος για τον οποίο η διαγραφή των στοιχείων του καταγγέλλοντος δεν είχε γίνει, και κατά τη διερεύνηση αυτή διαπιστώθηκε ποιο ήταν το τεχνικό σφάλμα.
Από τα στοιχεία που στη συνέχεια ζήτησε Αρχή και σε συνέχεια της έρευνας του υπευθύνου επεξεργασίας προέκυψε ότι υπήρξαν άλλες 78 περιπτώσεις αποτυχίας στην ικανοποίηση του δικαιώματος διαγραφής υποκειμένων καθώς και 5 αιτήματα-διαμαρτυρίας για το ζήτημα αυτό, τα οποία ο υπεύθυνος επεξεργασίας δεν είχε εντοπίσει μέσω των διαδικασιών που εφάρμοζε, ούτε επίσης και το τεχνικό σφάλμα. Διαπιστώνεται λοιπόν ότι η εταιρεία δεν διέθετε στην πράξη τις απαραίτητες διαδικασίες ώστε να εξασφαλίσει τη διαγραφή των δεδομένων, ώστε να πληρούνται οι απαιτήσεις του ΓΚΠΔ και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων».
Σύμφωνα με την απόφαση, η Αρχή έλαβε υπόψη επιβαρυντικά, ότι η παράβαση σχετίζεται με άσκηση δικαιωμάτων του υποκειμένου των δεδομένων, ότι το τεχνικό σφάλμα είχε διάρκεια ενός εξαμήνου και είχε επηρεάσει 79 υποκείμενα των δεδομένων, ότι υπήρξαν διαμαρτυρίες 5 υποκειμένων των δεδομένων τα οποία λόγω λάθος διαδικασιών δεν έλαβαν απάντηση, ότι ο υπεύθυνος επεξεργασίας διαθέτει ηλεκτρονικό κατάστημα και χρησιμοποιεί τεχνικές ηλεκτρονικής επικοινωνίας, συνεπώς θα όφειλε να έχει φροντίσει για την ορθή ανταπόκριση στα αιτήματα άσκησης δικαιωμάτων.
Ως εκ τούτου, η Αρχή επέβαλε στην εταιρεία διοικητικό πρόστιμο ύψους πέντε χιλιάδων ευρώ (5.000,00) ευρώ, για παραβιάσεις του άρθρου 17 σε συνδυασμό με το άρθρο 21 παρ. 3 του ΓΚΠΔ και του άρθρου 25 παρ. 1 του ΓΚΠΔ.
Η απόφαση 20/2021 είναι διαθέσιμη στο dpa.gr