Παράνομη επεξεργασία των προσωπικών δεδομένων των υφιστάμενων πελατών με σκοπό τη διενέργεια των διαφημιστικών κλήσεων, μη ικανοποίηση δικαιωμάτων εναντίωσης και μη διευκόλυνση στην άσκηση των δικαιωμάτων
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε πρόστιμο ύψους 20.000 ευρώ σε εταιρεία που διενεργεί τηλεφωνικές εξ αποστάσεως πωλήσεις, η οποία χρησιμοποίησε για την προώθηση προϊόντων και υπηρεσιών της τα στοιχεία πελάτη, τα οποία συνέλεξε κατά την αγορά προϊόντων.
Σύμφωνα με την κρίση της Αρχής, δεν εξασφαλίστηκε κατάλληλη ενημέρωση του υποκειμένου των δεδομένων κατά το στάδιο της συλλογής αυτών, ώστε να γνωρίζει ότι τα δεδομένα του θα χρησιμοποιηθούν για έναν επιπλέον διαφορετικό σκοπό, δεν έγιναν σεβαστές οι αντιρρήσεις των πελατών, ενώ δεν ήταν σαφής στα υποκείμενα των δεδομένων η ταυτότητα του υπευθύνου επεξεργασίας (απόφαση 48/2021).
Πιο αναλυτικά, σύμφωνα με το σκεπτικό της Αρχής, η επεξεργασία των δεδομένων των καταγγελλόντων (τουλάχιστον του αριθμού τηλεφώνου αλλά και των λοιπών στοιχείων που τηρήθηκαν μετά την συναλλαγή του εκάστοτε πελάτη με την καταγγελλόμενη εταιρεία) για το σκοπό της προώθησης προϊόντων βασίζεται, σύμφωνα με τη δήλωση του υπευθύνου επεξεργασίας, σε συγκατάθεση του υποκειμένου, η οποία προέκυψε μετά από τηλεφωνική αγορά.
Αν και στις περιπτώσεις αυτές προέκυψε ότι πράγματι έγινε αγορά, στο πλαίσιο της οποίας χορηγήθηκαν προς την καταγγελλόμενη εταιρεία τα εν λόγω δεδομένα, δεν υπάρχουν στοιχεία τα οποία να αποδεικνύουν ότι είχε παρασχεθεί συγκατάθεση.
Ο ισχυρισμός του υπευθύνου επεξεργασίας περί συνδρομής «προφορικής συγκατάθεσης», ελλείψει στοιχείων απόδειξής του, δεν έγινε δεκτός.
Περαιτέρω, η καταγγελλόμενη εταιρεία υποστήριξε πως η επεξεργασία των δεδομένων των υφιστάμενων πελατών της για προωθητικές κλήσεις μπορεί να έχει ως νομική βάση το υπέρτερο έννομο συμφέρον της, κατ’ άρθρο 6 παρ. 1 στ’ ΓΚΠΔ. Η Αρχή, αν και αναγνώρισε ότι στις ηλεκτρονικές επικοινωνίες υφίσταται προβάδισμα του υπεύθυνου επεξεργασίας, ο οποίος στο πλαίσιο συναλλαγής αποκτά δεδομένα επικοινωνίας πελάτη του κατ’ άρθρο 11 παρ. 3 Ν. 3471/2006, ωστόσο επειδή πρόκειται ουσιαστικά για χρήση δεδομένων για άλλο σκοπό από αυτόν για τον οποίο έχουν αρχικά συλλεγεί, θα πρέπει να εξασφαλίζονται τα κριτήρια του άρθρου 6 παρ. 4 ΓΚΠΔ και να ικανοποιούνται οι αρχές της επεξεργασίας του άρθρου 5 του ΓΚΠΔ.
Θα έπρεπε, δηλαδή, κατ’ ελάχιστον, να εξασφαλίζεται κατάλληλη ενημέρωση του υποκειμένου των δεδομένων κατά το στάδιο της συλλογής των δεδομένων, ώστε αυτό να γνωρίζει ότι τα δεδομένα του θα χρησιμοποιηθούν για έναν επιπλέον διαφορετικό σκοπό, ενώ, παράλληλα, να του δίνεται και η δυνατότητα έκφρασης εναντίωσης. Επίσης, θα έπρεπε ο υπεύθυνος επεξεργασίας να διασφαλίσει ότι σέβεται τις αντιρρήσεις των πελατών του, είτε όταν εκφράζονται ατομικά προς τον ίδιο είτε όταν εκφράζονται γενικά μέσω του μητρώου του άρθρου 11 του Ν. 3471/2006.
Εν προκειμένω, ο υπεύθυνος επεξεργασίας δεν απέδειξε ότι τήρησε τις εν λόγω προϋποθέσεις για τη διασφάλιση της νομιμότητας, ως οφείλει με βάση την αρχή της λογοδοσίας. Επιπλέον, η Αρχή διαπίστωσε πως δεν έγινε σαφής στα υποκείμενα των δεδομένων ούτε καν η ταυτότητα του υπευθύνου επεξεργασίας.
Σε σχέση με τη μη ικανοποίηση του δικαιώματος εναντίωσης προέκυψε ότι οι καταγγέλλοντες έχουν ασκήσει προφορικά και κατά τη διάρκεια των κλήσεων εναντίωση, η οποία δεν έγινε δεκτή.
Συνεπώς, η Αρχή κατέληξε πως η επεξεργασία των προσωπικών δεδομένων των υφιστάμενων πελατών με σκοπό τη διενέργεια των διαφημιστικών κλήσεων έγινε κατά παράβαση του άρθρου 6 του ΓΚΠΔ, ενώ προέκυψε μη ικανοποίηση δικαιωμάτων εναντίωσης, κατά παράβαση του άρθρου 21 του ΓΚΠΔ, αλλά παράλληλα και μη διευκόλυνση στην άσκηση των δικαιωμάτων, παράβαση του άρθρου 12 παρ. 2 ΓΚΠΔ, η οποία επίσης προκύπτει από την πλήρη απουσία πληροφοριών σε σχέση με την άσκηση δικαιωμάτων.
Απόσπασμα απόφασης
Ο υπεύθυνος επεξεργασίας δεν απέδειξε ότι τήρησε τις εν λόγω προϋποθέσεις για τη διασφάλιση της νομιμότητας, ως οφείλει με βάση την αρχή της λογοδοσίας (άρ. 5 παρ. 2 ΓΚΠΔ). Για παράδειγμα, δεν προσκόμισε έγγραφο πολιτικής σε σχέση με την ενημέρωση για την (περαιτέρω) επεξεργασία των δεδομένων του πελάτη για διαφημιστικούς σκοπούς ούτε απέδειξε ότι λαμβάνει σε τακτά χρονικά διαστήματα αντίγραφα του μητρώου του άρθρου 11 του ν. 3471/2006. Επίσης, θα όφειλε, να έχει σεβαστεί τις αντιρρήσεις των καλούμενων υποκειμένων των δεδομένων οι οποίες ασκούνται κατά τη διάρκεια της κλήσης ή, τουλάχιστον, να διαθέτει διαδικασία για την άσκηση του δικαιώματος εναντίωσης και να ενημερώνει για αυτή. Οι ενέργειες αυτές θα έπρεπε να έχουν γίνει άμεσα, από την πρώτη κλήση και έκφραση αντίρρησης του πελάτη και σε κάθε περίπτωση μετά την παρέμβαση της Αρχής. Μάλιστα, σε σχέση με την αρχή της διαφάνειας, επισημαίνεται ότι όπως προκύπτει από τις καταγγελίες, στις οποίες γίνεται αναφορά σε προϊόντα, δεν γίνεται σαφής στα υποκείμενα των δεδομένων ούτε καν η ταυτότητα του υπευθύνου επεξεργασίας. Συνεπώς, προκύπτει ότι η επεξεργασία των προσωπικών δεδομένων των υφιστάμενων πελατών με σκοπό τη διενέργεια των διαφημιστικών κλήσεων έγινε κατά παράβαση του άρθρου 6 του ΓΚΠΔ. Επισημαίνεται ότι ο αρχικά δηλούμενος σκοπός της κλήσης από την ΚΛΩ (εξακρίβωση του επιπέδου ικανοποίησης του πελάτη) αμφισβητείται και από τους τρεις καταγγέλλοντες. Καθώς δεν προκύπτει από κανένα στοιχείο (π.χ. πολιτική προστασίας δεδομένων της εταιρείας) και δεν επιβεβαιώνεται από τους καταγγέλλοντες, δεν θα πρέπει να γίνει δεκτός. Άλλωστε ο ισχυρισμός αυτός δεν προβλήθηκε με το τελευταίο υπόμνημα της εταιρείας.
Σε σχέση με τη μη ικανοποίηση του δικαιώματος εναντίωσης, στις δύο πρώτες περιπτώσεις, προκύπτει ότι οι καταγγέλλοντες έχουν ασκήσει προφορικά και κατά τη διάρκεια των κλήσεων εναντίωση, η οποία δεν έγινε δεκτή. Αυτό θα πρέπει να γίνει δεκτό καθώς αναφέρεται σε όλες τις καταγγελίες ενώ ο υπεύθυνος επεξεργασίας δεν προσκόμισε έγγραφη πολιτική ή οδηγίες προς το προσωπικό του σε σχέση με την ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων κατά τις κλήσεις. Μάλιστα σε μια περίπτωση (α’) αποδεικνύεται ότι η εναντίωση δεν έγινε δεκτή ακόμα και μετά την παρέμβαση της Αρχής, καθώς ο καταγγέλλων επανήλθε με νεότερες καταγγελίες μετά το αρχικό έγγραφο της Αρχής προς την ΚΛΩ και την απάντηση της εταιρείας. Συνεπώς, προκύπτει μη ικανοποίηση δικαιωμάτων εναντίωσης κατά παράβαση του άρθρου 21 του ΓΚΠΔ αλλά παράλληλα και μη διευκόλυνση στην άσκηση των δικαιωμάτων (παράβαση του άρθρου 12 παρ. 2 ΓΚΠΔ), η οποία επίσης προκύπτει από την πλήρη απουσία πληροφοριών σε σχέση με την άσκηση δικαιωμάτων. Επισημαίνεται ότι στην τρίτη περίπτωση, αν και ο καταγγέλλων αρνείται την προηγούμενη συναλλαγή, η ΚΛΩ προσκομίζει στοιχεία αυτής. Αλλά, καθώς ο καταγγέλλων έχει εγγραφεί στο μητρώο του άρθρου 11 του ν. 3471/2006 προκύπτει επίσης παράβαση σε σχέση με την κλήση προς αυτόν, καθώς ο καταγγέλλων έχει ασκήσει γενικά εναντίωση.
Δείτε ολόκληρη την απόφαση στο dpa.gr.