Η εταιρεία δεν είχε ζητήσει απόδειξη ή στοιχείο ταυτοποίησης ως προς τα στοιχεία επικοινωνίας που δήλωσε ο συνδρομητής της, με αποτέλεσμα να καταχωρίσει λανθασμένα στοιχεία και να αποστέλλει επικοινωνία σε πρόσωπο που δεν συνδεόταν μαζί της
Ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα υποβλήθηκε καταγγελία κατά της Cosmote από μη συνδρομήτρια αυτής για τη λήψη μηνυμάτων SMS με πληροφορίες σχετικά με συνδρομητή.
● Ιστορικό
Σύμφωνα με την καταγγελία, η καταγγέλλουσα άρχισε να λαμβάνει στο κινητό της SMS και περιεχόμενο σχετικό με Προσωρινό Κωδικό, χωρίς η ίδια να διατηρεί συμβατική σχέση με την εταιρεία. Την ίδια περίοδο δέχτηκε και κλήση στο κινητό της από τεχνικό του ΟΤΕ για βλάβη σε σύνδεση σταθερής τηλεφωνίας. Κατόπιν αυτών, η καταγγέλλουσα υπέβαλε «σχετικά με το θέμα αιτήματα», καθώς και τηλεφωνικό αίτημα στο 13888.
Κληθείσα από την Αρχή όπως υποβάλει εγγράφως τις απόψεις της, η εταιρεία ισχυρίστηκε ότι «από τον έλεγχο που διενεργήθηκε προέκυψε ότι κατά την ενεργοποίηση της υπηρεσίας ηλεκτρονικής λήψης λογαριασμού σταθερής τηλεφωνίας (e-Λογαριασμός) από συνδρομητή της στις …, ο τελευταίος δήλωσε ως στοιχεία επικοινωνίας τον αριθμό κινητής τηλεφωνίας και τη διεύθυνση ηλεκτρονικού ταχυδρομείου της καταγγέλλουσας. Για την παροχή της ως άνω υπηρεσίας, δημιουργήθηκε στα συστήματα η επαφή με τα στοιχεία επικοινωνίας της καταγγέλλουσας, η οποία για τον λόγο αυτό ελάμβανε τα SMS με προσωρινό κωδικό. Σημειώνεται ότι ο προσωρινός κωδικός αφορούσε την επιβεβαίωση υποβολής αιτήματος αλλαγής email επικοινωνίας, που υπέβαλλε ο συνδρομητής και ελάμβανε η καταγγέλλουσα στην δική της σύνδεση, λόγω του ότι αυτή είχε δηλωθεί ως σύνδεση επικοινωνίας. Σε κάθε περίπτωση μέσω του προσωρινού κωδικού δεν αποκτάται πρόσβαση ούτε στον λογαριασμό του συνδρομητή ούτε στην αναλυτική κατάσταση εξερχομένων κλήσεων του. Στις … η COSMOTE προέβη σε διαγραφή των στοιχείων επικοινωνίας της καταγγέλλουσας από τα συστήματά της οπότε και σταμάτησαν οι αποστολές SMS προς την τηλεφωνική σύνδεση της καταγγέλλουσας, διότι διαπιστώθηκε πως αυτά είχαν παραμείνει στην λειτουργικότητα του portal, που αφορά τις υπηρεσίες μέσω του MyCosmote.»
● Η κρίση της Αρχής
Η Αρχή επικαλούμενη τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων σχετικά με την ακρίβεια των δεδομένων (άρθρο 5 παρ.1δ’ ΓΚΠΔ), το δικαίωμα διαγραφής (άρθρο 17 παρ.1δ’ ΓΚΠΔ) και την προθεσμία για την ενημέρωση του υποκειμένου που έχει υποβάλει αίτημα (άρθρο 12 παρ.3 ΓΚΠΔ) διαπίστωσε ότι:
«4. Στη συγκεκριμένη περίπτωση προκύπτει ότι λανθασμένα στοιχεία επικοινωνίας είχαν δηλωθεί ελεύθερα από κάτοχο σύνδεσης της Cosmote χωρίς να έχει ζητηθεί απόδειξη ή στοιχείο ταυτοποίησης για το ότι του ανήκουν. Μετά την άσκηση των δικαιωμάτων της καταγγέλλουσας τα στοιχεία της τηλεφωνικής σύνδεσης και του email της καταγγέλλουσας αποδεσμεύτηκαν από τη σύμβαση του συνδρομητή. Διαπιστώθηκε ωστόσο πως παρέμειναν στην λειτουργικότητα στην υπηρεσία MyCosmote του συνδρομητή. Η διόρθωση των στοιχείων επικοινωνίας στην εν λόγω υπηρεσία ολοκληρώθηκε αργότερα, αφού επανεξετάστηκαν τα στοιχεία που προσκομίστηκαν μέσω της καταγγελίας.
5. Η καταγγελλόμενη ανέφερε στο υπόμνημά της ότι από τον … του … έχει υλοποιηθεί μηχανισμός ασφάλειας, σύμφωνα με τον οποίο αποστέλλεται μήνυμα OTP (one time password) όταν δηλώνεται αριθμός κινητού τηλεφώνου ως επαφή επικοινωνίας σε σταθερό, που ανήκει σε άλλο συνδρομητή, με σκοπό την επιβεβαίωση της εν λόγω επιλογής από το χρήστη της σύνδεσης.»
Βάσει των ανωτέρω, η Αρχή απηύθυνε στην καταγγελλόμενη εταιρεία επίπληξη για την διαπιστωθείσα παράβαση της αρχής της ακρίβειας των προσωπικών δεδομένων (άρθρο 5 παρ. 1 δ’ του ΓΚΔΠ) καθώς και για τη διαπιστωθείσα παράβαση προθεσμίας για την ικανοποίηση του δικαιώματος διαγραφής (άρθρο 12 παρ. 3 του ΓΚΠΔ).