Προσωπικά δεδομένα: Πρόστιμο 50.000€ σε σούπερ μάρκετ
Η Αρχή Προστασίας Δεδομένων κρίνει πως η εταιρεία δεν χειρίστηκε το περιστατικό ως παραβίαση δεδομένων, ενώ αρνήθηκε και να αναγνωρίσει την πελάτισσα ως υποκείμενο των δεδομένων
Διοικητικό πρόστιμο ύψους 50.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε σούπερ μάρκετ για σειρά παραβάσεων που διαπιστώθηκαν σε σχέση με χειρισμούς της καταγγελλόμενης εταιρείας.Η Αρχή δέχθηκε την καταγγελία πελάτισσας του σούπερ μάρκετ, η οποία διαμαρτυρήθηκε για την παράνομη επεξεργασία των προσωπικών δεδομένων της και τη μη ικανοποίηση των αιτημάτων πρόσβασης και διαγραφής, που είχε ασκήσει.
Σύμφωνα με την καταγγελία, η καταγγέλλουσα πραγματοποίησε παραγγελία από το ηλεκτρονικό κατάστημα της καταγγελλόμενης εταιρείας, μέσω του λογαριασμού της σε αυτό, καταχωρώντας τη διεύθυνση κατοικίας της και το ονοματεπώνυμο του συζύγου της, καθώς αυτό αναγραφόταν στο κουδούνι. Η παραγγελία έφτασε, ωστόσο ο μεταφορέας αρνήθηκε να ανεβάσει τα προϊόντα στο διαμέρισμα της καταγγέλλουσας, το οποίο βρισκόταν σε όροφο χωρίς ασανσέρ, αναγκάζοντάς την – και δη σε κατάσταση εγκυμοσύνης – να κατέβει στο ισόγειο και να τα ανεβάσει μόνη της.
Η καταγγέλλουσα επικοινώνησε με την εταιρεία, προκειμένου να διευκρινίσει αν η πρακτική αυτή αποτελούσε πολιτική της, ώστε να γνωρίζει κατά πόσον θα επιλέξει άλλη αλυσίδα καταστημάτων.Η καταγγελλόμενη εταιρεία τη διαβεβαίωσε πως η εξυπηρέτησή της δεν ήταν η προβλεπόμενη και της έκανε δώρο μια δωροεπιταγή των 5 ευρώ, ωστόσο λίγες ημέρες μετά η καταγγέλλουσα δέχθηκε τηλεφωνική κλήση και έλαβε μήνυμα από τον μεταφορέα, ο οποίος την κατηγόρησε για την απόλυσή του και τη συνεχάρη ειρωνικά.
Η καταγγέλλουσα διαμαρτυρήθηκε, μέσω εξωδίκου, για την παράνομη επεξεργασία των προσωπικών δεδομένων της, ενώ ζήτησε ενημέρωση για τα δεδομένα της που τηρούνταν, καθώς και τη διαγραφή τους. Με εξώδικη απάντησή της, η εταιρεία αρνήθηκε την οποιαδήποτε ευθύνη της για την κατοχή του τηλεφωνικού αριθμού της καταγγέλλουσας από τον απολυθέντα υπάλληλό της, προβάλλοντας τον ισχυρισμό πως ο αριθμός αυτός πιθανότατα διατηρήθηκε στην κατοχή του επειδή αναγραφόταν στο δελτίο παραγγελίας.
Με βάση τα ανωτέρω, η καταγγέλλουσα διαμαρτυρήθηκε ενώπιον της Αρχής για την παράνομη επεξεργασία των δεδομένων της εκ μέρους της καταγγελλόμενης εταιρείας, η οποία οφειλόταν, κατά την άποψή της, στην απουσία κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας έναντι του κινδύνου της άνευ άδειας πρόσβασης στα δεδομένα της από εργαζόμενο και η οποία της προξένησε ηθική βλάβη, για τη μη γνωστοποίηση του περιστατικού στην Αρχή κατά το άρθρο 33 ΓΚΠΔ, καθώς και για τη μη ικανοποίηση των δικαιωμάτων ενημέρωσης, πρόσβασης και διαγραφής που άσκησε σύμφωνα με τον ΓΚΠΔ.
Οι ισχυρισμοί της καταγγελλόμενης και η αντίκρουση της καταγγέλλουσας
Η καταγγελλόμενη εταιρεία απαντώντας σε σχετικό αίτημα της Αρχής, ισχυρίστηκε πως τελεί σε πλήρη συμμόρφωση με τις απαιτήσεις της νομοθεσίας, ενώ έχει υποβάλει τους εργαζομένους της και σε δήλωση εμπιστευτικότητας, στην οποία καθορίζονται λεπτομερώς οι όροι υπό τους οποίους μπορούν αυτοί να χρησιμοποιούν τα προσωπικά δεδομένα που περιέρχονται σε γνώση τους.
Περαιτέρω, η καταγγελλόμενη ισχυρίστηκε πως τα καταγγελλόμενα περιστατικά δεν οφείλονται σε πράξη ή παράλειψή της και πως ουδεμία ανάμειξη είχε σε αυτά, ενώ η απόλυση του εργαζομένου της ουδεμία σχέση είχε με τα γεγονότα αυτά. Ως προς το ζήτημα της μη ικανοποίησης των δικαιωμάτων της καταγγέλλουσας, η εταιρεία υποστήριξε πως το αίτημα θα έπρεπε να έχει γίνει από τον σύζυγο αυτής, «καθότι τα προσωπικά δεδομένα που τηρούνται στη βάση δεδομένων της εταιρείας, δυνάμει των δύο προαναφερόμενων παραγγελιών που πραγματοποιήθηκαν ηλεκτρονικά, υποδεικνύουν τον τελευταίο ως υποκείμενο των δεδομένων, ενώ η εταιρεία δεν είναι υπόχρεη να γνωρίζει ή να ελέγχει αν τα στοιχεία που καταχωρούνται είναι αληθή ή ανήκουν σε κάποιο άλλο φυσικό πρόσωπο».
Ενημερωθείσα για τους ως άνω ισχυρισμούς της καταγγελλόμενης, η καταγγέλλουσα ενέμεινε στην καταγγελία της, τονίζοντας μάλιστα ότι παρά την άσκηση αιτήματος διαγραφής των δεδομένων της εξακολουθεί να λαμβάνει το ενημερωτικό newsletter της εταιρείας. Περαιτέρω, η καταγγέλλουσα ισχυρίστηκε πως η καταγγελλόμενη αρνήθηκε να εξετάσει το περιστατικό παραβίασης δεδομένων και να το γνωστοποιήσει στην Αρχή, ενώ δεν μεριμνά για την επιστροφή ή καταστροφή των δελτίων αποστολής, με αποτέλεσμα αυτά να παραμένουν στην κατοχή των υπαλλήλων της για άγνωστο χρονικό διάστημα και να καθίσταται έτσι δυνατή η περαιτέρω χρήση των δεδομένων των πελατών.
Ως προς τη μη ικανοποίηση των δικαιωμάτων της, η καταγγέλλουσα χαρακτήρισε την απάντηση της εταιρείας ως προσχηματική, καθώς αυτή παραβλέπει «το γεγονός ότι ο λογαριασμός χρήστη φέρει το όνομα “Β” και τη διεύθυνση e-mail …, και ότι τα στοιχεία αποστολής της παραγγελίας (όπως το ονοματεπώνυμο και το όνομα στο κουδούνι) μπορούν να τροποποιούνται σε κάθε παραγγελία από τον χρήστη του λογαριασμού ανάλογα με το πού επιθυμεί να παραδοθεί αυτή, συνεπώς η ίδια, ως χρήστης του λογαριασμού είναι η συναλλασσόμενη με την εταιρεία και το υποκείμενο των δεδομένων».
Η κρίση της Αρχής
Η Αρχή διαπίστωσε την παραβίαση τριών από τις απαιτήσεις που θέτει ο Γενικός Κανονισμός Προστασίας Δεδομένων και επέβαλε ισάριθμα πρόστιμα. Ειδικότερα:α) Διαπιστώθηκε παραβίαση των υποχρεώσεων που σχετίζονται με περιστατικό παραβίασης δεδομένων.Η Αρχή έκρινε πως «η καταγγελλόμενη εταιρεία, παρότι διαθέτει Πολιτική διαχείρισης περιστατικών παραβίασης προσωπικών δεδομένων ως υπεύθυνος επεξεργασίας, δεν προχώρησε στις κατάλληλες ενέργειες προς διερεύνηση και αξιολόγηση του εν λόγω περιστατικού, θεωρώντας εσφαλμένα ότι δεν πρόκειται για περιστατικό παραβίασης, διότι «ο υπάλληλος νομίμως είχε στην κατοχή του τα φορολογικά παραστατικά», όπως αναφέρει, παραβλέποντας το γεγονός ότι τα εν λόγω παραστατικά είχαν παραδοθεί στον πελάτη κατά την παράδοση της παραγγελίας, η δε διατήρηση του αριθμού κινητού τηλεφώνου σε προσωπικό μέσο του υπαλλήλου και η χρήση του για άλλους σκοπούς μετά τη λύση της συνεργασίας του με την εταιρεία, αποτελεί παραβίαση της εμπιστευτικότητας των δεδομένων, επομένως συνιστά περιστατικό παραβίασης με την έννοια του άρθρου 4 στοιχ. 12 ΓΚΠΔ.
Το γεγονός ότι βάσει της σχετικής μεταξύ τους σύμβασης εμπιστευτικότητας, ο εν λόγω υπάλληλος έχει αναλάβει την αποκατάσταση τυχόν ζημίας της εταιρείας, δεν επηρεάζει την υποχρέωσή της, ως υπεύθυνου επεξεργασίας, αφ’ ενός μεν να γνωστοποιήσει το περιστατικό στην Αρχή σύμφωνα με το άρθρο 33 παρ. 1 ΓΚΠΔ, αφ’ ετέρου δε να προβεί στις κατάλληλες ενέργειες προκειμένου να χειριστεί το περιστατικό σύμφωνα με τα αναφερόμενα στην παρ. 3 του άρθρου 33 ΓΚΠΔ και συγκεκριμένα: να διερευνήσει τη φύση του περιστατικού και τις συνθήκες υπό τις οποίες συνέβη, να προσδιορίσει τις ενδεχόμενες συνέπειές του στα υποκείμενα, να εξετάσει την πιθανότητα λήψης μέτρων προς άμβλυνση των εν λόγω συνεπειών και να επανεξετάσει τα τεχνικά και οργανωτικά μέτρα ασφαλείας που εφαρμόζει ώστε να αποφευχθούν παρόμοια περιστατικά στο μέλλον, σύμφωνα με τα άρθρα 24 και 32 ΓΚΠΔ, αφού τα υπάρχοντα μέτρα δεν αποδείχθηκαν επαρκή».
Για την παράβαση αυτή των υποχρεώσεων των άρθρων 24, 32 και 33 ΓΚΠΔ, η Αρχή επέβαλε διοικητικό πρόστιμο ύψους 35.000 ευρώ.
β) Διαπιστώθηκε παραβίαση των υποχρεώσεων ως προς το δικαίωμα πρόσβασης.Η Αρχή έκρινε πως η παραβίαση αυτή τελέστηκε καθώς «η εταιρεία δεν έλεγξε εάν τηρεί προσωπικά δεδομένα της καταγγέλλουσας (λογαριασμό χρήστη στο ηλεκτρονικό της κατάστημα, username, e-mail εγγραφής, ιστορικό παραγγελιών κλπ) σύμφωνα με τα αναφερόμενα στα σημεία 3.1.2 και 3.1.3 της προσκομισθείσας Πολιτικής διαχείρισης αιτημάτων των υποκειμένων δεδομένων των, ούτε ζήτησε περαιτέρω συμπληρωματικές πληροφορίες για να ταυτοποιήσει την καταγγέλλουσα ως υποκείμενο, εάν είχε εύλογες αμφιβολίες, σύμφωνα με το άρθρο 12 παρ. 6 ΓΚΠΔ, αλλά περιορίστηκε στην αναφορά ότι οι δύο επίμαχες παραγγελίες ανέφεραν στα στοιχεία αποστολής το ονοματεπώνυμο του συζύγου της καταγγέλλουσας, Γ. Η εταιρεία δεν απέδειξε τον ισχυρισμό ότι ο λογαριασμός αυτός είχε ανοιχθεί με τα στοιχεία «Γ», υποστηρίζοντας ότι δεν είχε πλέον πρόσβαση σε αυτόν, καθότι τον είχε διαγράψει σε ικανοποίηση του δικαιώματος διαγραφής, μετά το Γ/ΕΞΕ/696/17-03-2023 έγγραφο της Αρχής για παροχή διευκρινίσεων, αφού πλέον είχε διαπιστώσει ότι ο λογαριασμός ανήκε στην καταγγέλλουσα. Ωστόσο, η εταιρεία δεν εξήγησε για ποιο λόγο ικανοποίησε μόνο το δικαίωμα διαγραφής και όχι (προηγουμένως) το δικαίωμα πρόσβασης που επίσης είχε ασκηθεί από την καταγγέλλουσα».Για την παράβαση των υποχρεώσεων του άρθρου 15 ΓΚΠΔ επιβλήθηκε διοικητικό πρόστιμο ύψους 10.000 ευρώ.
γ) Διαπιστώθηκε παραβίαση των υποχρεώσεων ως προς το δικαίωμα διαγραφής.Η Αρχή έκρινε πως η εταιρεία παραβίασε και το δικαίωμα διαγραφής, καθώς δεν ικανοποίησε το σχετικό αίτημα που είχε υποβάλει η καταγγέλλουσα «παρά μόνο μετά το ανωτέρω έγγραφο της Αρχής για παροχή διευκρινίσεων, πράγμα που αποδεικνύεται από το γεγονός ότι η καταγγέλλουσα εξακολούθησε να λαμβάνει newsletter από την καταγγελλόμενη εταιρεία». Παράλληλα, διαπιστώθηκε πως παραβιάστηκαν και οι διαδικασίες της καταγγελλόμενης για την ανταπόκριση σε αιτήματα των υποκειμένων, «διότι, παρά την υποβολή αιτήματος διαγραφής εκ μέρους της καταγγέλλουσας, η εταιρεία, ως υπεύθυνος επεξεργασίας δεν ακολούθησε τα προβλεπόμενα στα σημεία 5.2.2 και 5.2.3 της ως άνω Διαδικασίας προκειμένου να ταυτοποιήσει την καταγγέλλουσα ως υποκείμενο του λογαριασμού χρήστη με όνομα “Β” στο ηλεκτρονικό της κατάστημα και με διεύθυνση e-mail …, ώστε να τη διαγράψει από τη λίστα αποδεκτών του newsletter της».
Για την παράβαση των υποχρεώσεων του άρθρου 15 ΓΚΠΔ επιβλήθηκε διοικητικό πρόστιμο ύψους 5.000 ευρώ.
