Προσωπικά δεδομένα: Πρόστιμο σε ιστοσελίδα με κατάλογο ιατρών και υπηρεσία διαδικτυακού κλεισίματος ραντεβού

34

Η υπαγωγή εταιρείας σε καθεστώς εκκαθάρισης δεν νομιμοποιεί την επεξεργασία προσωπικών δεδομένων χωρίς την τήρηση των υποχρεώσεων του ΓΚΠΔ

Διοικητικό πρόστιμο ύψους 5.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε βάρος εταιρείας που διαχειρίζεται ιστότοπο ηλεκτρονικού καταλόγου ιατρών και υπηρεσίας διαδικτυακού κλεισίματος ραντεβού, μετά από καταγγελία ιατρού για τη μη ικανοποίηση του αιτήματός της για διαγραφή των δεδομένων της από την πλατφόρμα (Απόφαση 37/2021).

Η ιατρός κατήγγειλε την πρακτική αυτή στην Αρχή, ενώ στη συνέχεια ζήτησε την αρχειοθέτηση της καταγγελίας της, αφού το αίτημά της ικανοποιήθηκε, κατά τη διάρκεια της έρευνας. Παρά ταύτα, η Αρχή κράτησε την υπόθεση και ενήργησε αυτεπαγγέλτως, καθώς είχε ήδη διαπιστώσει την απουσία συμμόρφωσης της καταγγελλόμενης με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων.

● Το ιστορικό:

Την 27-7-2020 η Αρχή Προστασίας Δεδομένων έλαβε την καταγγελία ιατρού για τη μη ικανοποίηση του αιτήματος διαγραφής, που είχε υποβάλει ηλεκτρονικά και κατ’ επανάληψιν προς πλατφόρμα διαχείρισης ιατρικών ραντεβού. Σύμφωνα με την καταγγελία, η καταγγέλλουσα ιατρός είχε δηλώσει ότι δεν επιθυμεί πλέον οποιαδήποτε συνεργασία με την καταγγελλόμενη εταιρεία και ζήτησε επανειλημμένως τη διαγραφή των δεδομένων της από την ηλεκτρονική πλατφόρμα, που αυτή διαχειριζόταν, χωρίς να λάβει απάντηση και χωρίς το αίτημά της να ικανοποιηθεί.

Η Αρχή επικοινώνησε δις με την εταιρεία, ζητώντας τις απόψεις της για τα καταγγελλόμενα πραγματικά περιστατικά, αλλά και πληροφορίες σχετικά με τη γενικότερη πολιτική που ακολουθεί ως προς το δικαίωμα διαγραφής των χρηστών της πλατφόρμας, χωρίς ωστόσο να λάβει κάποια απάντηση. Παράλληλα, διαπίστωσε ότι μέχρι και τον Ιανουάριο 2021, τα στοιχεία της ιατρού παρέμεναν καταχωρημένα και δημοσίως ανηρτημένα στην πλατφόρμα.

Ακολούθως, η Αρχή κάλεσε την καταγγέλλουσα και τον νόμιμο εκπρόσωπο της καταγγελλόμενης σε ακρόαση, ενώ μια ημέρα μετά την κλήση του τελευταίου, η καταγγέλλουσα ανακάλεσε την καταγγελία της λόγω μεταγενέστερης ικανοποίησης του δικαιώματός της, ζητώντας παράλληλα «να μην εκδοθεί απόφαση και η υπόθεση να μπει στο αρχείο».

Το αίτημα αυτό δεν έγινε δεκτό, καθώς η Αρχή, κατ’ εφαρμογή του άρθρου 13 παρ.1η Ν.4624/2019, προχώρησε στον αυτεπάγγελτο έλεγχο της εταιρείας.

Με το υπόμνημα που κατέθεσε ενώπιον της Αρχής, η καταγγελλόμενη εταιρεία ισχυρίστηκε ότι βρίσκεται, ήδη από του έτους 2018, σε εκκαθάριση και είναι σε μεγάλο βαθμό ανενεργή. Παράλληλα, αναγνώρισε «την αντικειμενική ευθύνη της στην καθυστερημένη ικανοποίηση του δικαιώματος διαγραφής και την ελλιπή της συμμόρφωση με το ισχύον νομοθετικό πλαίσιο προστασίας δεδομένων», επισημαίνοντας ότι η συμμόρφωση αυτή έχει ήδη δρομολογηθεί.

● Η κρίση της Αρχής:

Α. Ως προς τη μη ικανοποίηση του αιτήματος διαγραφής:

Η ΑΠΔΠΧ διαπίστωσε, όπως ήταν αναμενόμενο, την αδράνεια της καταγγελλόμενης επί του υποβληθέντος αιτήματος διαγραφής, επισημαίνοντας ότι η δήλωση και μόνο της ιατρού πως «δεν επιθυμεί καμία συνεργασία» συνιστούσε ανάκληση της συγκατάθεσής της, η οποία αποτελεί και λόγο για τη διακοπή της επεξεργασίας των προσωπικών της δεδομένων.

Όπως ειδικότερα επισημαίνεται (οι επισημάνσεις από τον συντάκτη του παρόντος):

«Η από μέρους της καταγγέλλουσας άσκηση του δικαιώματος διαγραφής των προσωπικών δεδομένων της βασίζεται στην προκειμένη περίπτωση, σύμφωνα με τα στοιχεία που έχει η Αρχή στη διάθεσή της, στην ανάκληση της αρχικής δήλωσης της προς την ιστοσελίδα της καταγγελλόμενης με την οποία της παρείχε έγκριση να καταχωρηθούν τα προσωπικά δεδομένα της, η οποία ερμηνεύεται ως παροχή συγκατάθεσης. Με το αίτημά της για την διαγραφή των προσωπικών της δεδομένων από την ιστοσελίδα, η καταγγέλλουσα άσκησε το προβλεπόμενο από τις διατάξεις του άρθρου 17 παρ. 1 εδ. β’ ΓΚΠΔ δικαίωμα λόγω ανάκλησης της συγκατάθεσης, ενώ δεν διαπιστώθηκε η δυνατότητα διατήρησης των δεδομένων δυνάμει άλλης νομικής βάσης.

Ειδικότερα, έπειτα από την από 2/7/2019 δήλωση της καταγγέλλουσας μέσω e-mail ότι δεν επιθυμεί καμία συνεργασία με την καταγγελλόμενη, με την οποία ανακάλεσε την αρχική δήλωση και συγκατάθεσή της, εξέλιπε η νομική βάση για την επεξεργασία των δεδομένων της καταγγέλλουσας και συνεπώς η καταγγελλόμενη όφειλε να διακόψει τη σχετική επεξεργασία, ανεξαρτήτως της τυχόν υποβολής αιτήματος διαγραφής, κατ’ εφαρμογή της αρχής του περιορισμού της περιόδου αποθήκευσης του άρ. 5 παρ. 1 εδ. ε’ ΓΚΠΔ. Πολλώ δε μάλλον, η καταγγελλόμενη όφειλε να ικανοποιήσει χωρίς αδικαιολόγητη καθυστέρηση το δικαίωμα διαγραφής σύμφωνα με το άρθρο 17 παρ. 1 ΓΚΠΔ, μετά την άσκησή του. Η εφεξής διατήρηση και επεξεργασία των προσωπικών δεδομένων της καταγγέλλουσας στην ιστοσελίδα παρά και μετά τη δήλωσή της ότι δεν επιθυμεί καμία συνεργασία με την καταγγελλόμενη και το υποβληθέν αίτημα διαγραφής λόγω ανάκλησης της συγκατάθεσής της, καθίσταται παράνομη καθώς πλέον ελλείπει η νόμιμη βάση επεξεργασίας των προσωπικών δεδομένων κατ’ αρ. 6 παρ. 1 ΓΚΠΔ με συνέπεια να επέλθει παραβίαση του άρθρου 5 παρ. 1 εδ. α’ ΓΚΠΔ και ιδίως της αρχής της νομιμότητας.

Επιπλέον, η διατήρηση των προσωπικών δεδομένων της καταγγέλλουσας για χρόνο μεγαλύτερο αυτού που απαιτείται για τους σκοπούς της νόμιμης επεξεργασίας, δηλαδή για την παροχή υπηρεσιών διαδικτυακής προβολής, σκοπός ο οποίος έπαυσε σε κάθε περίπτωση με την από 2/7/2019 δήλωση της καταγγέλλουσας, αντίκειται επιπλέον στην αρχή του περιορισμού της περιόδου αποθήκευσης, του άρθρου 5 παρ. 1 εδ. ε’ ΓΚΠΔ.

Συνακόλουθα, η ελεγχόμενη εταιρία απέτυχε στο πλαίσιο της υποχρέωσης λογοδοσίας κατ’ αρ. 5 παρ. 2 ΓΚΠΔ να αποδείξει εν προκειμένω τη συμμόρφωσή της με την τήρηση της αρχής της νομιμότητας κατ’ αρ. 5 παρ. 1 εδ. α’ και 6 παρ. 1 εδ. α’ ΓΚΠΔ καθώς και της αρχής του περιορισμού του χρόνου αποθήκευσης κατ’ άρ. 5 παρ. 1 εδ. ε’ ΓΚΠΔ, παραδεχόμενη όπως θα καταδειχθεί κατωτέρω ότι δεν έχει συμμορφωθεί με τις απαιτήσεις προς τις αρχές του άρθρου 5 παρ. 1 και 2 ΓΚΠΔ».

Β. Ως προς τη μη συμμόρφωση της εταιρείας.

Η Αρχή δεν δέχθηκε τον κύριο ισχυρισμό της καταγγελλόμενης πως η απουσία συμμόρφωσής της με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων οφείλεται στο ότι αυτή βρίσκεται σε καθεστώς εκκαθάρισης, ενώ εξέφρασε σοβαρές επιφυλάξεις και ως προς την ουσιαστική βασιμότητα του ισχυρισμού αυτού.

Ως προς το νομικό σκέλος του ισχυρισμού, η Αρχή παρατηρεί ότι ένας τέτοιος ισχυρισμός δεν ασκεί έννομη επιρροή εν όψει των υποχρεώσεων που την βαρύνουν από τον ΓΚΠΔ ως υπεύθυνης επεξεργασίας. Παράλληλα, η ουσία του ισχυρισμού φάνηκε να καταρρίπτεται τόσο από την καταχώριση της εταιρείας στο ΓΕΜΗ και την ανανέωση του domain name, όσο και κυρίως από τη δηλωμένη πρόθεση της εταιρίας να ολοκληρώσει τη διαδικασία συμμόρφωσης με τον ΓΚΠΔ εντός διμήνου.

● Η απόφαση της Αρχής:

Με βάση τα ανωτέρω, η ΑΠΔΠΧ διαπίστωσε την παραβίαση των άρθρων 5 παρ. 1 εδ. α’ και ε’, παρ. 2, 6 παρ. 1, 12 παρ. 2, 3 και 17 ΓΚΠΔ.

Για τις παραβάσεις αυτές, η Αρχή αποφάσισε όπως

1. Δώσει εντολή στην εταιρεία, όπως εντός ενός μήνα:

i. καταστήσει τις πράξεις επεξεργασίας που λαμβάνουν χώρα μέσω της ιστοσελίδας που διατηρεί σύμφωνες προς τις διατάξεις του ΓΚΠΔ,

ii. λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την διευκόλυνση της άσκησης των δικαιωμάτων των υποκειμένων σύμφωνα με το άρθρο 12 ΓΚΠΔ και

iii. ενημερώσει την Αρχή σχετικά με την πραγματοποίηση των ανωτέρω ενεργειών.

2. Επιβάλλει στην εταιρεία διοικητικό πρόστιμο ύψους πέντε χιλιάδων (5.000).

Δείτε αναλυτικά την απόφαση 37/2021 στο dpa.gr

https://www.lawspot.gr/nomika-nea/prosopika-dedomena-prostimo-se-istoselida-me-katalogo-iatron-kai-ypiresia-diadiktyakoy

ΠΗΓΗlawspot.gr