Η ιταλική αρχή προστασίας δεδομένων επιβάλλει πρόστιμο σε φορέα που δεν ανταποκρίθηκε εγκαίρως σε αίτημα διόρθωσης δεδομένων
Πέντε διαφορετικές διευθύνσεις email παρέχω στα υποκείμενα των δεδομένων, προκειμένου αυτά να ασκούν τα δικαιώματά τους, καθώς και ειδική πλατφόρμα υποβολής αιτημάτων και ο καταγγέλλων πήγε και το υπέβαλε στο κεντρικό πρωτόκολλο.
Αυτός ήταν ο ισχυρισμός παρόχου υπηρεσιών υγείας στο ερώτημα της ιταλικής αρχής προστασίας δεδομένων Garante ως προς τον λόγο για τον οποίο ο πάροχος δεν είχε – επί 150 ημέρες – ανταποκριθεί στο αίτημα διόρθωσης που ο καταγγέλλων είχε υποβάλει.
Σύμφωνα με την καταγγελία που υποβλήθηκε στη Garante, ο καταγγέλλων είχε ζητήσει μέσω ηλεκτρονικού μηνύματος τη διόρθωση των προσωπικών δεδομένων του και συγκεκριμένα της διεύθυνσης κατοικίας του, χωρίς καμία ανταπόκριση από πλευράς υπευθύνου επεξεργασίας.
Η Garante ζήτησε τις απόψεις του παρόχου ως προς τους λόγους για τους οποίους δεν είχε ικανοποιήσει το υποβληθέν αίτημα, για να πάρει την απάντηση πως αυτό είχε υποβληθεί σε μη προβλεπόμενο λογαριασμό ηλεκτρονικού ταχυδρομείου και συγκεκριμένα στο email του κεντρικού πρωτοκόλλου. Όπως επισημάνθηκε, ο υπεύθυνος επεξεργασίας είχε ενημερώσει τα υποκείμενα των δεδομένων, μέσω του ιστοτόπου και της πολιτικής προστασίας του για τις ηλεκτρονικές διευθύνσεις στις οποίες μπορούν να αποστέλλουν τα όποια αιτήματά τους, με το κεντρικό πρωτόκολλο να μην είναι μια από αυτές. Παρόλα αυτά, ο φορέας ενημέρωσε την Αρχή πως το αίτημα τελικώς ικανοποιήθηκε λίγες ημέρες μετά την υποβολή της καταγγελίας και πριν το αίτημα για παροχή απόψεων.
Ο καταγγελλόμενος φορέας επικαλέστηκε, προς ενίσχυση των ισχυρισμών του, τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων στις Κατευθυντήριες Γραμμές 1/2022 για το δικαίωμα πρόσβασης, σύμφωνα με την οποία: «Θα πρέπει να σημειωθεί ότι ο υπεύθυνος επεξεργασίας δεν υποχρεούται να ενεργήσει κατόπιν αιτήματος που έχει αποσταλεί σε τυχαία ή εσφαλμένη ηλεκτρονική (ή ταχυδρομική) διεύθυνση, η οποία δεν έχει παρασχεθεί απευθείας από τον υπεύθυνο επεξεργασίας, ή σε οποιονδήποτε δίαυλο επικοινωνίας που σαφώς δεν προορίζεται να λαμβάνει αιτήματα σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων εάν ο υπεύθυνος επεξεργασίας έχει παράσχει κατάλληλο δίαυλο επικοινωνίας, ο οποίος μπορεί να χρησιμοποιηθεί από το υποκείμενο των δεδομένων». (σκ. 54)
Σύμφωνα με τον καταγγελλόμενο, το ΕΣΠΔ αναγνωρίζει μια εξαίρεση από την υποχρέωση ανταπόκρισης σε αίτημα, όταν αυτό υποβάλλεται σε ηλεκτρονική διεύθυνση που δεν χρησιμοποιείται για να δέχεται τέτοια ερωτήματα, κάτι το οποίο συνέβη και στην επίμαχη περίπτωση.
Η Garante δεν συμφώνησε με την άποψη αυτή. Σύμφωνα με την ιταλική αρχή, «τυχαία ή εσφαλμένη» ηλεκτρονική διεύθυνση δεν είναι οποιαδήποτε ηλεκτρονική διεύθυνση πέραν αυτής που δημιουργείται για την υποβολή των αιτημάτων ή ορίζεται προς τον σκοπό αυτό. Άλλωστε, το ίδιο του ΕΣΠΔ δεν αποκλείει τη δυνατότητα του υποκειμένου να επικοινωνήσει με τον υπεύθυνο επεξεργασίας μέσω διαύλου επικοινωνίας διαφορετικού από αυτόν που έχει οριστεί επίσημα ή προτιμάται από αυτόν.
Η Garante επικαλέστηκε την αμέσως προηγούμενη σκέψη 53 των Κατευθυντηρίων Γραμμών, σύμφωνα με την οποία «εάν το υποκείμενο των δεδομένων υποβάλει αίτημα χρησιμοποιώντας δίαυλο επικοινωνίας που παρέχεται από τον υπεύθυνο επεξεργασίας, ο οποίος είναι διαφορετικός από εκείνον που υποδεικνύεται ως προτιμότερος, το εν λόγω αίτημα θεωρείται, κατά κανόνα, αποτελεσματικό και ο υπεύθυνος επεξεργασίας θα πρέπει να το χειριστεί αναλόγως» καθώς και την υποσημείωση της σκέψης αυτής, ως προς την έννοια του διαύλου επικοινωνίας «που παρέχεται» από τον υπεύθυνο επεξεργασίας: «Μπορεί να περιλαμβάνονται, για παράδειγμα, στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας που παρέχονται στις επικοινωνίες του που απευθύνονται απευθείας στα υποκείμενα των δεδομένων ή στοιχεία επικοινωνίας που παρέχονται από τον υπεύθυνο επεξεργασίας στο κοινό, όπως στην πολιτική του υπευθύνου επεξεργασίας για την προστασία της ιδιωτικής ζωής ή άλλες υποχρεωτικές ανακοινώσεις νομικού περιεχομένου του υπευθύνου επεξεργασίας (π.χ. στοιχεία επικοινωνίας του ιδιοκτήτη ή της επιχείρησης σε ιστότοπο)».
Περαιτέρω, η ιταλική αρχή επικαλέστηκε την εισαγωγή των Κατευθυντηρίων, όπου αναφέρεται ότι «το υποκείμενο των δεδομένων δεν υποχρεούται να χρησιμοποιήσει αυτούς τους συγκεκριμένους διαύλους και μπορεί αντ’ αυτού να αποστείλει το αίτημα σε επίσημο σημείο επαφής του υπευθύνου επεξεργασίας», καθώς και το παράδειγμα 8 του εγγράφου, σύμφωνα με το οποίο «Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας θα πρέπει να καταβάλει κάθε εύλογη προσπάθεια για την ενημέρωση των υπηρεσιών του σχετικά με το αίτημα, το οποίο υποβλήθηκε μέσω της γενικής ηλεκτρονικής διεύθυνσης, προκειμένου αυτό να ανακατευθυνθεί στο σημείο επαφής για την προστασία των δεδομένων και να απαντηθεί εντός των προθεσμιών που προβλέπονται στον ΓΚΠΔ. Επιπλέον, ο υπεύθυνος επεξεργασίας δεν δικαιούται να παρατείνει την προθεσμία απάντησης σε αίτημα απλώς και μόνο επειδή το υποκείμενο των δεδομένων απέστειλε αίτημα στη γενική ηλεκτρονική διεύθυνση του υπευθύνου επεξεργασίας και όχι στην ηλεκτρονική διεύθυνση του σημείου επαφής του υπευθύνου επεξεργασίας για την προστασία δεδομένων».
Με βάση τα ανωτέρω, η Αρχή έκρινε πως το email του κεντρικού πρωτοκόλλου του φορέα, όπου και εστάλη το αίτημα διόρθωσης, δεν μπορεί να θεωρηθεί «τυχαία ή εσφαλμένη» ηλεκτρονική διεύθυνση, ακόμη και αν η διεύθυνση αυτή δεν περιλαμβανόταν στους διαύλους επικοινωνίας που παρέχονταν προς τα υποκείμενα των δεδομένων.
Η Garante διαπίστωσε πως ο υπεύθυνος επεξεργασίας υπέπεσε σε δύο παραβάσεις:
α. Επεξεργάστηκε ορισμένα από τα προσωπικά δεδομένα του καταγγέλλοντος κατά παραβίαση της αρχής της ακρίβειας των δεδομένων του άρθρου 5 παρ.1δ’ ΓΚΠΔ, και
β. Δεν ανταποκρίθηκε στο αίτημα του υποκειμένου για διόρθωση των δεδομένων του, παραβιάζοντας έτσι το άρθρο 12 ΓΚΠΔ συνδ. άρθρο 16.
Για τις παραβάσεις αυτές επιβλήθηκε διοικητικό πρόστιμο ύψους 4.500 ευρώ
