Διαγραφή των δεδομένων διατάσσει η αρχή προστασίας δεδομένων της Σαξονίας, μόνο όμως για τους πελάτες που παρέμειναν στον ανταγωνιστή
Ένα από τα ζητήματα που συχνά τίθενται ενώπιον των εποπτικών αρχών του ΓΚΠΔ είναι και αυτό της μεταφοράς δεδομένων πελατών από εργαζόμενο που αποχωρεί, προκειμένου αυτά να δοθούν στον νέο εργοδότη του. Μια τέτοια υπόθεση περιγράφεται στην πρόσφατη ετήσια έκθεση της αρχής προστασίας δεδομένων της Σαξονίας.
Στην προκείμενη περίπτωση, η εποπτική αρχή δέχθηκε αναφορά περί παράνομης μεταφοράς προσωπικών δεδομένων πελατών από πρώην υπάλληλο εταιρείας, η οποία είχε προσληφθεί σε ανταγωνιστή. Τα δεδομένα αυτά εισφέρθηκαν στη νέα εργοδότρια εταιρεία και χρησιμοποιήθηκαν προκειμένου να κληθούν οι πελάτες να αλλάξουν εταιρεία.
Ενδιαφέρον παρουσιάζει και η εξήγηση που δόθηκε στην εποπτική αρχή ως προς τους λόγους για τους οποίους η υπάλληλος, η ευθύνη της οποίας δεν εξετάστηκε, αποφάσισε φεύγοντας να πάρει τα δεδομένα των πελατών μαζί της. Σύμφωνα με την εξήγηση αυτή, η εν λόγω υπάλληλος απασχολείτο στην εξυπηρέτηση πελατών και είχε οικοδομήσει μια προσωπική σχέση με αυτούς. Ως εκ τούτου, θεώρησε πως ήταν πρέπον να συνεχίσει να τους εξυπηρετεί από τη νέα της εταιρεία.
Η αρχή της Σαξονίας δεν εξέτασε ούτε και τις ευθύνες της εταιρείας από την οποία έφυγαν τα δεδομένα, λόγω αναρμοδιότητας, καθώς αυτή εδρεύει σε άλλο κρατίδιο της Γερμανίας. Με τα δεδομένα αυτά, η έρευνά της περιορίστηκε στην εξέταση της νομιμότητας της συλλογής και περαιτέρω χρήσης των δεδομένων από την εταιρεία που τα έλαβε.
Ερωτηθείσα από την εποπτική αρχή, η εταιρεία αυτή διευκρίνισε πως πράγματι επεξεργάστηκε τα προσωπικά δεδομένα των πελατών της ανταγωνίστριας εταιρείας, προκειμένου να επικοινωνήσει μαζί τους και να τους προτείνει να γίνουν δικοί της πελάτες. Το εγχείρημα, μάλιστα, δεν πήγε καθόλου άσχημα, καθώς το 38% των προσώπων που έλαβαν την επικοινωνία, έγιναν τελικώς πελάτες της ελεγχόμενης εταιρείας.
Η εποπτική αρχή διαπίστωσε πως η συλλογή, αποθήκευση και χρήση των δεδομένων των πελατών της ανταγωνίστριας τελέστηκε χωρίς νομική βάση του άρθρου 6 ΓΚΠΔ. Όπως ειδικότερα αναφέρεται, πρέπει να αποκλειστούν και οι τρεις πιθανές νομικές βάσεις που θα μπορούσαν να εφαρμόζονται. Η συγκατάθεση, διότι δεν υπάρχει καμία απόδειξη περί συναίνεσης των υποκειμένων, η εκτέλεση σύμβασης, διότι η επικοινωνία και η πρόταση κατάρτισης σύμβασης δεν έγιναν κατόπιν πρωτοβουλίας των πελατών, και το έννομο συμφέρον, αφού κάτι τέτοιο δεν αποδείχθηκε από την εταιρεία.
Παράλληλα η εποπτική αρχή διαπίστωσε και την παραβίαση της αρχής του περιορισμού του σκοπού του άρθρου 5 παρ.1β’ ΓΚΠΔ, σύμφωνα με την οποία τα δεδομένα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς. Στην προκείμενη περίπτωση, τα δεδομένα είχαν διατηρηθεί από την πρώτη εταιρεία προς τον σκοπό της παροχής υποστήριξης προς τους πελάτες της, βάσει των συμβολαίων που είχε συνάψει μαζί τους. Η συλλογή, ωστόσο, και η χρήση των δεδομένων αυτών από τη δεύτερη εταιρεία προς τον σκοπό της επικοινωνίας με τα υποκείμενα και της υποβολής πρότασης για σύναψη συμβολαίου αποτελεί μια χρήση η οποία δεν είναι συμβατή με τον σκοπό της πρώτης εταιρείας.
Με βάση τις παραδοχές και διαπιστώσεις αυτές, ιδιαίτερο ενδιαφέρον εμφανίζουν τα διορθωτικά μέτρα που έλαβε η γερμανική εποπτική αρχή για την αποκατάσταση της νομιμότητας. Το σχετικό απόσπασμα της έκθεσης της αρχής δεν κάνει λόγο για καμία κύρωση στην εταιρεία που έλαβε παρανόμως τα δεδομένα των πελατών του ανταγωνιστή της και τα χρησιμοποίησε εν γνώσει της, προκειμένου να του πάρει τους πελάτες.
Η μοναδική παρέμβαση της αρχής ήταν να δοθεί εντολή διαγραφής των δεδομένων που είχαν παρανόμως συλλεγεί, με μια μεγάλη εξαίρεση: η εταιρεία μπορούσε να διατηρήσει τα δεδομένα των υποκειμένων που είχαν ήδη γίνει πελάτες της.
Επιβεβαιώνοντας προς την αρχή πως διέγραψε τα δεδομένα των υπολοίπων και δεχόμενη μια απλή επίπληξη για την παράνομη συμπεριφορά της, η εταιρεία που πήρε τα δεδομένα μάλλον βγήκε κερδισμένη από το παράνομο εγχείρημα.
