Ο υπεύθυνος επεξεργασίας αρνήθηκε να ικανοποιήσει το αίτημα πρόσβασης σε καταγεγραμμένο συμβάν αυτοκινητιστικού δυστυχήματος από το σύστημα βιντεοεπιτήρησης που είχε εγκαταστήσει και λειτουργούσε στους χώρους ευθύνης του
Πρόστιμο ύψους 30.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στον Οργανισμό Λιμένος Ηρακλείου Α.Ε. για τη μη ικανοποίηση δικαιώματος πρόσβασης σε καταγεγραμμένο συμβάν αυτοκινητιστικού δυστυχήματος από το σύστημα βιντεοεπιτήρησης.
Συγκεκριμένα, η Αρχή εξέτασε καταγγελία ιδιοκτήτη Ι.Χ. αυτοκινήτου για παραβίαση του δικαιώματος πρόσβασης σε δεδομένα που τον αφορούν.
Ο υπεύθυνος επεξεργασίας αρνήθηκε να ικανοποιήσει το έγγραφο αίτημα πρόσβασης του υποκειμένου σε καταγεγραμμένο συμβάν αυτοκινητιστικού δυστυχήματος από το σύστημα βιντεοεπιτήρησης που είχε εγκαταστήσει και λειτουργούσε στους χώρους ευθύνης του, επικαλούμενος αρχικά διαδικασία συμμόρφωσής του με τον Γενικό Κανονισμό Προστασίας Δεδομένων και ανάγκη έκδοσης εισαγγελικής ή δικαστικής εντολής, ενώ εν συνεχεία επικαλέσθηκε ότι τα δεδομένα είχαν διαγραφεί κατά τον χρόνο άσκησης του δικαιώματος πρόσβασης.
Η Αρχή διαπίστωσε ότι κατά τον χρόνο άσκησης του δικαιώματος πρόσβασης, τα δεδομένα δεν είχαν διαγραφεί και ο υπεύθυνος επεξεργασίας επέλεξε να μην ικανοποιήσει το δικαίωμα πρόσβασης χωρίς νόμιμη αιτία.
Μεταξύ άλλων, στην απόφαση σημειώνεται ότι ο ΟΛΗ ως υπεύθυνος επεξεργασίας όφειλε να απαντήσει, έστω και αρνητικά, στο αίτημα του καταγγέλλοντος ως υποκειμένου των δεδομένων σχετικά με το εάν έχει συλλέξει και διατηρεί προσωπικά δεδομένα του (ΣτΕ 2627/2017 και ΑΠΔΠΧ 43/2019).
Ο ΟΛΗ αντί να απαντήσει με την από … επιστολή του ότι δεν διαθέτει πλέον τις καταγραφές των δεδομένων εικόνας λόγω διαγραφής τους μετά την παρέλευση του χρονικού διαστήματος των έξι (6) ημερών κατά το οποίο διατηρούνταν τα προσωπικά δεδομένα στο σύστημα βιντεοσκόπησης, σύμφωνα με όσα υποστήριξε μεταγενέστερα στο υπόμνημά του ενώπιον της Αρχής, εν τέλει απάντησε στον καταγγέλλοντα ότι βρίσκεται σε διαδικασία συμμόρφωσης και ότι είναι διατεθειμένος να συμμορφωθεί σε δικαστική ή εισαγγελική εντολή χορήγησης του υλικού.
Εάν ο ΟΛΗ είχε διαγράψει τα δεδομένα εικόνας εντός έξι (6) ημερών από τη συλλογή και την καταγραφή του υλικού, θα είχε απαντήσει στον καταγγέλλοντα ότι αδυνατούσε αντικειμενικά να ικανοποιήσει το δικαίωμα πρόσβασής του καθώς σύμφωνα με την εσωτερική πολιτική του θα είχαν ήδη διαγραφεί, σύμφωνα και με όσα έγιναν δεκτά ανωτέρω στην υπ’ αρ. 10 σκέψη. Διαπιστώθηκε επομένως ότι όσα ισχυρίσθηκε ο ΟΛΗ το πρώτον στο υπόμνημά του ενώπιον της Αρχής δεν ανταποκρίνονταν στην πραγματικότητα και ότι κατά τον χρόνο υποβολής του πρώτου αιτήματος πρόσβασης στα προσωπικά δεδομένα του καταγγέλλοντος δεν είχε διαγράψει τα προσωπικά δεδομένα του, αλλά αντιθέτως τα διατηρούσε και επομένως χωρίς νόμιμο λόγο δεν απάντησε στον καταγγέλλοντα εάν διατηρεί προσωπικά δεδομένα του, ούτε όμως του παρείχε πρόσβαση σε αυτά, χωρίς να συντρέχει ουδεμία νόμιμη περίπτωση και χωρίς να επικαλεστεί έναντι του καταγγέλλοντος οιονδήποτε νόμιμο λόγο άρνησης ικανοποίησης του δικαιώματος πρόσβασής του.
Ομοίως, ο ΟΛΗ ουδόλως ανταποκρίθηκε στα δύο (2) επόμενα αιτήματα πρόσβασης του καταγγέλλοντος, στα οποία ουδεμία απάντηση του χορήγησε.
Επομένως διαπιστώνεται ότι ο ΟΛΗ παραβίασε το δικαίωμα πρόσβασης του καταγγέλλοντος κατ’ άρ. 15 παρ. 1 σε συνδυασμό με άρ. 12 παρ. 1, 2 ΓΚΠΔ και 13 παρ. 1 της Οδηγίας 1/2011.
Κατ’ αποτέλεσμα, η Αρχή επέβαλε στον υπεύθυνο επεξεργασίας για παραβίαση των άρθρων 15 παρ. 1 συνδ. 12 παρ. 1, 2 ΓΚΠΔ και 13 παρ. 1 της Οδηγίας της Αρχής 1/2011 πρόστιμο ύψους 30.000 ευρώ για μη ικανοποίηση του δικαιώματος πρόσβασης.
Δείτε αναλυτικά την απόφαση στο dpa.gr