Η Αρχή δίνει εντολή για άμεση παράδοση των στοιχείων που έχει ζητήσει (ΑΠΔΠΧ 2/2023)
Διοικητικό πρόστιμο 50.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην εταιρεία Intellexa A.E. για παραβίαση της υποχρέωσης συνεργασίας με εποπτική αρχή σύμφωνα με το άρθρο 31 Γενικού Κανονισμού Προστασίας Δεδομένων.
Η παραβίαση αυτή, η οποία χαρακτηρίζεται ως κατ’ επιλογήν τελεσθείσα, αφορά στην αδικαιολόγητη καθυστέρηση ανταπόκρισης στα αιτήματα της Αρχής, καθώς και στη μη παροχή συγκεκριμένων στοιχείων, τα οποία ζητήθηκαν και αδιαμφισβήτητα βρίσκονται στην κατοχή της εταιρείας.
Το ιστορικό
Κατόπιν δημοσιευμάτων στον τύπο για χρήση κατασκοπευτικού λογισμικού παρακολούθησης τερματικών συσκευών προσώπων εντός της Ελληνικής Επικράτειας, η Αρχή, ενεργώντας αυτεπάγγελτα, ζήτησε από το Ευρωπαϊκό Κοινοβούλιο αντίγραφο της σχετικής έκθεσης αναφορικά με την τερματική συσκευή κινητής τηλεφωνικής επικοινωνίας του Α, και παράλληλα ζήτησε από τον ίδιο αναλυτικότερη πληροφόρηση καθώς και αντίγραφο της αναφοράς που είχε καταθέσει στην Εισαγγελία του Αρείου Πάγου. Ο Α, υπέβαλε στην Αρχή αναφορά-καταγγελία, με την οποία της κοινοποίησε τη μηνυτήρια αναφορά που είχε καταθέσει ενώπιον του Εισαγγελέα του Αρείου Πάγου σχετικά με την καταγγελλόμενη απόπειρα παγίδευσης της τερματικής συσκευής κινητού του τηλεφώνου με το λογισμικό παρακολούθησης «Predator» καθώς και τη σχετική έκθεση της Ειδικής Υπηρεσίας του Ευρωπαϊκού Κοινοβουλίου, ζητώντας να πράξει η Αρχή, στο πλαίσιο των αρμοδιοτήτων της, ως ο Νόμος ορίζει και, εφόσον προκύψουν σχετικά στοιχεία, την επιβολή κάθε προβλεπόμενης κύρωσης.
Με εντολή του Προέδρου της Αρχής, ομάδα ελέγχου διενήργησε στις 15-09-2022 επιτόπιο διοικητικό έλεγχο στην έδρα της εταιρείας Intellexa A.E. στο Χαλάνδρι, όπου και διαπιστώθηκε ότι στην εν λόγω διεύθυνση διαθέτει εγκατάσταση η εταιρεία Interlog Α.Ε., η οποία παρέχει λογιστικές υπηρεσίες στην εταιρεία Intellexa A.E. (ως εκτελούσα την επεξεργασία), για τμήμα του έτους 2022. Από την εταιρεία Interlog ζητήθηκε σειρά στοιχείων για την Intellexa και συγκεκριμένα η πρόσφατη δήλωσή της, στην εφορία για το έτος 2021, καταστάσεις πελατών και προμηθευτών, τα διαθέσιμα αντίγραφα παραστατικών εξόδων (του έτους 2022) και στοιχεία από τις δηλώσεις του προσωπικού της Intellexa Α.Ε. προς τον ΕΦΚΑ.
Παράλληλα, και αφού διαπιστώθηκε ότι στην επίσημη έδρα της Intellexa Α.Ε. δεν λειτουργεί πραγματική εγκατάσταση της εταιρείας αυτής, υπήρξε επικοινωνία με τον πληρεξούσιο δικηγόρο της εταιρείας. Εν τέλει, η Αρχή ενημέρωσε τον πληρεξούσιο δικηγόρο της εταιρείας και τον νομικό της σύμβουλο σχετικά με επικείμενη διενέργεια ελέγχου στις εγκαταστάσεις της εταιρείας στο Ελληνικό, ο οποίος έλαβε χώρα στις 3-10-2022, παρουσία των ως άνω, καθώς και τεχνικού συμβούλου και ενός στελέχους της κυπριακής εταιρείας FEROVENO LIMITED, εκπροσώπου των εταιρειών του ομίλου.
Κατά τη διενέργεια του ελέγχου, το τριώροφο κτίριο της εταιρείας στο Ελληνικό βρέθηκε παντελώς άδειο και χωρίς λειτουργική δικτυακή υποδομή ή πληροφοριακό σύστημα. Ζητήθηκε από την ελεγχόμενη εταιρεία να προσκομίσει τα συγκεκριμένα στοιχεία, τα οποία εξηγήθηκαν αναλυτικά κατά τη διενέργεια του ελέγχου και για τα οποία οι ελεγχόμενοι τήρησαν σημειώσεις, ώστε να ανταποκριθούν άμεσα, όπως διαβεβαίωσαν προφορικά., ενώ υποστήριξαν πως κάποια από τα στοιχεία ήταν ήδη διαθέσιμα, καθώς είχαν παραδοθεί στην Εθνική Αρχή Διαφάνειας. Επ’ αυτού, η Αρχή επισημαίνει ότι είχε ζητήσει από την Εθνική Αρχή Διαφάνειας (ΕΑΔ) το πόρισμα της σε σχέση με τον έλεγχο εταιρειών στις οποίες συμπεριλαμβάνεται και η Intellexa A.E., το οποίο και έλαβε σε μορφή χωρίς αναφορές και στοιχεία απορρήτων εγγράφων και χωρίς το σύνολο των τεκμηρίων.
Μετά από αίτημα των εκπροσώπων της Intellexa για γραπτή αποστολή των ερωτημάτων της, η Αρχή απέστειλε στις 6-10-2022 έγγραφο με τις ερωτήσεις του ελέγχου, στο οποίο τα προς απάντηση ζητήματα κατηγοριοποιήθηκαν σε είκοσι τέσσερα (24) σημεία ερωτήσεων και ζήτησε την όσο το δυνατόν ταχύτερη παροχή των αιτούμενων πληροφοριών και τεκμηρίων, ενημερώνοντας ότι αυτή μπορεί να γίνει και τμηματικά.
Παρά τις σχετικές διαβεβαιώσεις που παρασχέθηκαν, η εταιρεία δεν απάντησε ποτέ στα ερωτήματα της Αρχή, για το λόγο αυτό εκλήθη σε ακρόαση για τη συνεδρίαση της 29-11-2022, με αντικείμενο τον έλεγχο της συμμόρφωσής της προς τις επιταγές του άρθρου 31 ΓΚΠΔ. Λίγες ώρες μετά την αποστολή της κλήσης, με μήνυμα ηλεκτρονικού ταχυδρομείου στις 18-11-2022 και ώρα 16:35, η εταιρεία έστειλε απάντηση στα ερωτήματα του ελέγχου, με την Αρχή να παρατηρεί ότι για ορισμένα από τα ερωτήματα αυτά, δεν παρασχέθηκαν οι πληροφορίες που είχαν ζητηθεί, μολονότι αυτές βρίσκονταν αδιαμφισβήτητα στην κατοχή της και δεν απαιτείτο κάποια ιδιαίτερη ενέργειά της για να παρασχεθούν.
Κατά τη συνεδρίαση που πραγματοποιήθηκε με τηλεδιάσκεψη η Intellexa παρέστη διά του δικηγόρου της και του νομικού συμβούλου της και κατέθεσε υπόμνημα.
Η απόφαση της Αρχής (απόσπασμα)
5. Η Αρχή διαπιστώνει ότι η Intellexa Α.Ε. έχει καθυστερήσει αδικαιολόγητα να ανταποκριθεί στα αιτήματά της και δεν έχει παράσχει πληροφορίες οι οποίες βρίσκονται στην κατοχή της και ζητήθηκαν από την Αρχή. Συγκεκριμένα:
α) Η εταιρεία καθυστέρησε υπερβολικά να απαντήσει στα ερωτήματα της Αρχής και ανταποκρίθηκε μετά από επανειλημμένες υπομνήσεις της ομάδας ελέγχου και μετά την πάροδο χρονικού διαστήματος πλέον των σαράντα (40) ημερών, μόνον αφού παρέλαβε την κλήση της σε ακρόαση ενώπιον της Αρχής. Το χρονικό διάστημα αυτό δεν μπορεί να θεωρηθεί σε καμία περίπτωση ως εύλογο. Σημειώνεται μάλιστα ότι με το με αριθμ. πρωτ. Γ/ΕΞΕ/2481/06-10-2022 έγγραφό της η Αρχή είχε ενημερώσει την εταιρεία ότι η παροχή των απαντήσεων θα μπορούσε να γίνει και τμηματικά. Η θέση της εταιρείας, σύμφωνα με την οποία καταβλήθηκε κάθε προσπάθεια συνεργασίας με την Αρχή, προβάλλεται αναπόδεικτα και πάντως δεν δικαιολογείται τόσο μεγάλη καθυστέρηση. Αντίθετα, από τις ενέργειες της εταιρείας, όπως αποδεικνύεται και με όσα διαλαμβάνονται στο υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/11225/24-10-2022 έγγραφό της, προκύπτει ότι οι διαβεβαιώσεις της περί συνεργασίας και αποστολής των εγγράφων υπήρξαν αποκλειστικά ρηματικές. Αρκεί να αναφερθεί ότι η εταιρεία δήλωσε εγγράφως στις 21-10-2022 ότι αναμένει να υποβάλει τις απαντήσεις «στις αρχές της επόμενης εβδομάδας» ενώ τελικά κατέθεσε τις απαντήσεις της μετά την πάροδο τεσσάρων εβδομάδων.
β) Η εταιρεία παρά τις επανειλημμένες οχλήσεις, δεν παρείχε συγκεκριμένα στοιχεία τα οποία ζήτησε η Αρχή και τα οποία αφορούν τις Ερωτήσεις 11 και 15 (οικονομικά στοιχεία και στοιχεία συμβάσεων σε σχέση με τις δραστηριότητές της). Ειδικότερα, αντί της παροχής των αιτηθέντων στοιχείων, παρέπεμψε στα στοιχεία τα οποία είχε χορηγήσει προς την ΕΑΔ στο πλαίσιο διαφορετικού διοικητικού ελέγχου που διενεργήθηκε από την τελευταία. Επισημαίνεται συγκεκριμένα ότι αντί της παροχής των στοιχείων, η εταιρεία υποστήριξε τα εξής: «Επαναλαμβάνουμε την προσδοκία μας ότι οι αρμόδιες αρχές στην Ελλάδα θα πρέπει να ενεργούν συντονισμένα και με συνέπεια». Η αντίληψη που διατυπώνεται από την εταιρεία στο σημείο αυτό παραγνωρίζει πλήρως την αυτοτέλεια των διαδικασιών ελέγχου που διεξάγονται από την Αρχή, η οποία είναι άμεση συνέπεια της ίδιας της κατοχύρωσης της ανεξαρτησίας της τόσο σε επίπεδο συνταγματικών κανόνων, όσο και στο επίπεδο κανόνων δικαίου ΕΕ, συναρτάται δε με την αποτελεσματική άσκηση των καθηκόντων της στο πλαίσιο του καταστατικού σκοπού της προστασίας των δεδομένων προσωπικού χαρακτήρα. Ενόψει τούτων και λαμβανομένου υπόψη του διαφορετικού σκοπού που επιδιώκεται σε έκαστη των περιπτώσεων διενέργειας ελέγχου, δεν τίθεται θέμα διοικητικού συντονισμού κατά την έννοια που υπονοείται από την εταιρεία. Πέραν τούτων, παρότι η εταιρεία κατά τον έλεγχο είχε αναφέρει ότι οι απαντήσεις προς την ΕΑΔ ήταν άμεσα διαθέσιμες και θα αποστέλλονταν άμεσα στην Αρχή, αυτό ουδέποτε συνέβη. Άλλωστε, τα στοιχεία που η Intellexa A.E. παρείχε στην ΕΑΔ αφορούν περιορισμένο χρονικό διάστημα και μόνο σε σχέση με τις σχέσεις δημοσίων υπηρεσιών μαζί της. Κατ’ αποτέλεσμα, συνιστούν μικρό μόλις υποσύνολο αυτών που ζήτησε η Αρχή. Σε κάθε περίπτωση, η εταιρεία είχε, αδιαμφισβήτητα, στην κατοχή της τα εν λόγω αιτηθέντα από την Αρχή στοιχεία και επέλεξε να μην τα χορηγήσει στην Αρχή. Από τις παραπάνω διαπιστώσεις προκύπτει ότι η εταιρεία Intellexa Α.Ε. έχει κατ’ επιλογή παραβιάσει την υποχρέωση συνεργασίας με την εποπτική αρχή του άρθρου 31 του ΓΚΠΔ.
6. Η Αρχή λαμβάνει επίσης υπόψη ότι η φύση και η βαρύτητα της παράβασης είναι ιδιαίτερα σοβαρή. Η διαπιστωθείσα παράβαση περιλαμβάνεται σε αυτές του άρθρου 83 παρ. 4 του ΓΚΠΔ (παραβάσεις με μέγιστο ύψος 10.000.000 ευρώ) και αφορά τις διερευνώμενες δραστηριότητες επεξεργασίας προσωπικών δεδομένων της εταιρείας, από το έτος 2019 έως και το 2022, οι οποίες σχετίζονται με την παραγωγή, την υποστήριξη και τη λειτουργία λύσεων λογισμικού/υλικού για επεξεργασία πάσης φύσης προσωπικών δεδομένων, μη εξαιρουμένων ειδικών κατηγοριών προσωπικών δεδομένων. Περαιτέρω, η εταιρεία έχει πλήρη γνώση του θεσμικού πλαισίου και επιλέγει να μην συνεργαστεί. Λαμβάνεται επίσης υπόψη ο ετήσιος κύκλος εργασιών της Intellexa Α.Ε. για το 2021 (5.481.120,55 ευρώ), όπως προκύπτει από τα στοιχεία του ΓΕΜΗ.
Δείτε αναλυτικά την απόφαση.