Tο αίτημα πρόσβασης δεν απαντάται επαρκώς με τη διαβίβαση της Πολιτικής Προστασίας.
Σε μια σημαντική κρίση της, η Ουγγρική Αρχή παρατηρεί πως το αίτημα πρόσβασης δεν απαντάται επαρκώς με τη διαβίβαση της Πολιτικής Προστασίας.
Στις 3 Νοεμβρίου 2018 ένας Γερμανός πολίτης έφτασε με φίλη του σε κατάλυμα, στο οποίο είχε κλείσει διαμονή διαδικτυακά. Κατά την υποδοχή τους στο διαμέρισμα, ο υπάλληλος του ιδιοκτήτη τού ζήτησε την ταυτότητά του, προκειμένου να τη φωτογραφίσει, ώστε να επιβεβαιώσει τα στοιχεία της κράτησης.
Ο πελάτης αρνήθηκε να τη δώσει, ωστόσο ο υπάλληλος επέμεινε ότι χωρίς τη διαδικασία αυτή δεν είναι δυνατή η διαμονή τους στο κατάλυμα. Προς επίλυση του αδιεξόδου, η φίλη του πελάτη συμφώνησε να δώσει τη δική της ταυτότητα, η οποία φωτογραφήθηκε και εστάλη σε εταιρικό group chat στο WhatsApp.
Τέσσερις ημέρες μετά, ο πελάτης απέστειλε στην ιστοσελίδα, από όπου είχε κάνει την κράτηση, αίτημα πρόσβασης, ζητώντας πληροφόρηση για την επεξεργασία των προσωπικών του δεδομένων, αλλά και ειδικότερη ενημέρωση για τη διαβίβαση της φωτογραφίας μέσω του WhatsApp. Μετά την άπρακτη πάροδο της προθεσμίας του άρθρου 12 ΓΚΠΔ, ο πελάτης προσέφυγε στην Αρχή Προστασίας Δεδομένων του Βερολίνου.
Δεδομένου ότι ο καταγγέλλων δεν γνώριζε τα στοιχεία του υπευθύνου επεξεργασίας, αλλά μόνο την ιστοσελίδα από την οποία έκλεισε τη διαμονή, η Γερμανική Αρχή αναζήτησε τα στοιχεία επικοινωνίας του φυσικού ή νομικού προσώπου που διαχειριζόταν τα (περισσότερα από 100) καταλύματα που διατίθεντο προς ενοικίαση. Μετά από αναζήτηση και αφού εν τέλει βρέθηκαν τα στοιχεία εταιρείας με έδρα στην Ουγγαρία, η καταγγελία διαβιβάστηκε στην Ουγγρική Αρχή, ως αρμόδια εποπτική αρχή.
Η Ουγγρική Αρχή (Nemzeti Adatvédelmi és Információszabadság Hatóság) εξέτασε την καταγγελία, η οποία εστίαζε σε τρία ζητήματα:
τη μη παροχή ενημέρωσης μέσω του ιστοτόπου κατά τη διαδικασία κράτησης, τη μη ικανοποίηση του αιτήματος πρόσβασης και την επεξεργασία της ταυτότητας μέσω φωτογράφησης και αποστολής στο WhatsApp.
Και στα τρία αυτά ζητήματα, η Αρχή διαπίστωσε την παραβίαση των διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων.
Ειδικότερα:
● Διαπιστώθηκε η παραβίαση του άρθρου 12 παρ.1 ΓΚΠΔ, καθώς η εταιρεία δεν παρείχε ενημέρωση σε εύκολα προσβάσιμη μορφή.
Κατά την έναρξη της έρευνάς της – και πριν απευθυνθεί στην καταγγελλόμενη εταιρεία – η Αρχή επιβεβαίωσε ότι ο ιστότοπός της δεν περιελάμβανε καμία αναφορά στην Πολιτική Προστασίας των δεδομένων των επισκεπτών και πελατών της. Κατά τη διάρκεια της έρευνας, η Αρχή επισκέφτηκε εκ νέου τον ιστότοπο, όπου και διαπίστωσε ότι η Πολιτική Προστασίας είχε μεν αναρτηθεί, όχι όμως με τρόπο που να καθιστά ευχερή την ανάγνωσή της από τους πελάτες, πριν τους ζητηθεί να δηλώσουν ότι έχουν ενημερωθεί.
● Διαπιστώθηκε η παραβίαση των άρθρων 12 παρ.3 και 15 ΓΚΠΔ, καθώς η εταιρεία δεν απάντησε εγκαίρως και επαρκώς στο αίτημα πρόσβασης του καταγγέλλοντος.
Το από 7 Νοεμβρίου 2018 υποβληθέν αίτημα απαντήθηκε στις 19 Ιουλίου 2019 και δη όταν πλέον η εταιρεία είχε ενημερωθεί από την Ουγγρική Αρχή για τη διεξαγωγή έρευνας σε βάρος της. Ακόμη σημαντικότερη όμως υπήρξε η διαπίστωση της ανεπάρκειας της απάντησης που δόθηκε και η οποία περιελάμβανε την Πολιτική Προστασίας της εταιρείας. Σύμφωνα με την Αρχή, αυτό δεν είναι ικανό να θεωρηθεί ως ικανοποίηση του δικαιώματος.
Όπως χαρακτηριστικά παρατηρείται στην απόφαση: «Η Πολιτική Προστασίας που επισυνάφθηκε στην απάντηση, παρέχει γενική πληροφόρηση ως προς την επεξεργασία των δεδομένων, ήτοι ικανοποιεί τη γενική υποχρέωση παροχής ενημέρωσης, σύμφωνα με το άρθρο 13 ΓΚΠΔ. Σε αντίθεση με αυτό, στην περίπτωση αιτημάτων που σχετίζονται με την άσκηση του δικαιώματος πρόσβασης του άρθρου 15 ΓΚΠΔ, η πληροφόρηση που παρέχεται πρέπει να είναι σαφής και να καλύπτει την πραγματική επεξεργασία που διενεργείται σε σχέση με το συγκεκριμένο υποκείμενο των δεδομένων, καθώς ελλείψει αυτού παραβιάζεται το δικαίωμα του υποκειμένου να ελέγχει τη νομιμότητα της επεξεργασίας των δεδομένων του. Η παροχή ενημέρωσης μέσω Πολιτικής Προστασίας είναι ανεπαρκής στην περίπτωση αιτήματος πρόσβασης επειδή η Πολιτική Προστασίας παρέχει ενημέρωση για κάθε πράξη επεξεργασίας δεδομένων, ακόμη και δυνητικής, χωρίς όλες αυτές οι πράξεις επεξεργασίας να είναι συναφείς με την επεξεργασία των προσωπικών δεδομένων του συγκεκριμένου υποκειμένου. Ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να αξιολογεί το πώς επεξεργάζεται στην πράξη τα προσωπικά δεδομένα ενός υποκειμένου και επ’ αυτού να παρέχει πληροφόρηση κατόπιν αιτήματος πρόσβασης του άρθρου 15 ΓΚΠΔ.»
● Διαπιστώθηκε η παραβίαση των άρθρων 5 παρ.1γ και 6 παρ.1 ΓΚΠΔ, καθώς η φωτογράφηση της ταυτότητας του πελάτη δεν ήταν αναγκαία για το σκοπό της επιβεβαίωσης των στοιχείων της κράτησης.
Η Ουγγρική Αρχή διέκρινε το τρίτο σκέλος της καταγγελίας από τα δύο προηγούμενα, καθώς αυτό αφορούσε στην επεξεργασία δεδομένων τρίτου προσώπου (της φίλης του) και όχι του καταγγέλλοντος. Ωστόσο, ερεύνησε το κατά πόσον η καταγγελλόμενη πρακτική είναι σύμφωνη με τις διατάξεις του Γενικού Κανονισμού.
Σύμφωνα με την καταγγελλόμενη εταιρεία, η φωτογράφηση της ταυτότητας του πελάτη γίνεται με σκοπό την επιβεβαίωση των στοιχείων, στα οποία έχει γίνει η κράτηση. Η Αρχή, ορθώς, εκτίμησε ότι ο σκοπός αυτός μπορεί να ικανοποιηθεί και μέσω της απλής επίδειξης των σχετικών εγγράφων, χωρίς να είναι αναγκαία η λήψη φωτοαντιγράφων και η αποθήκευσή τους. Κατά συνέπεια, η φωτογράφηση της ταυτότητας παραβίασε την αρχή ελαχιστοποίησης του Γενικού Κανονισμού.
Ως προς την ειδικότερη πράξη της ανάρτησης και αποστολής της φωτογραφίας σε εταιρική ομάδα στο WhatsApp, η Ουγγρική Αρχή διαπίστωσε πως αυτή αποτελεί επεξεργασία χωρίς νομική βάση, κατά συνέπεια συνιστά παραβίαση του άρθρου 6 παρ.1 ΓΚΠΔ.
Υπό τις διαπιστώσεις αυτές, η Ουγγρική Αρχή:
α. Διέταξε την εταιρεία όπως καταστήσει εύκολα προσβάσιμη την Πολιτική Προστασίας της, τόσο κατά την πρώτη επίσκεψη χρήστη στον ιστότοπό της, όσο και κατά τη διαδικασία της κράτησης.
β. Διέταξε την εταιρεία όπως ικανοποιήσει το αίτημα πρόσβασης του καταγγέλλοντος εντός 30 ημερών.
γ. Διέταξε την εταιρεία όπως απόσχει εφεξής από τη λήψη φωτογραφιών της ταυτότητας των πελατών της.
δ. Επέβαλε στην εταιρεία διοικητικό πρόστιμο 360.000 φιορινιών Ουγγαρίας, ήτοι 1.031 ευρώ.
Η απόφαση [EDPBI:HU:OSS:D:2020:167] είναι διαθέσιμη στο αρχείο αποφάσεων του άρθρου 60 του ΕΣΠΔ.