Δύο πολύ ενδιαφέρουσες αποφάσεις εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «ΑΠΔΠΧ») στις 07/04/2021. Με την Απόφαση 12/2021 επέβαλε πρόστιμο 2.000 € σε εργοδότη στο πλαίσιο καταγγελίας για επιτήρηση εργαζομένου μέσω συστήματος CCTV και με την Απόφαση 13/2021 επέβαλε πρόστιμο 20.000 € σε εταιρεία για καταγγελία στο πλαίσιο προωθητικής επικοινωνίας.

Απόφαση ΑΠΔΠΧ 12/2021

Με την απόφαση 12/2021, η ΑΠΔΠΧ εξέτασε καταγγελία ενάντια σε εταιρεία (εφεξής «καταγγελλόμενη»), η οποία εγκατέστησε κάμερα εντός του χώρου εργασίας του καταγγέλλοντος, που φαίνεται ότι χρησιμοποιήθηκε όχι μόνο για σκοπούς ασφαλείας αλλά και για σκοπούς επιτήρησης. Η καταγγελλόμενη υποστήριξε ότι η τοποθέτηση της κάμερας έγινε στο πλαίσιο επίτευξης του εννόμου συμφέροντος της για την ασφάλεια της περιουσίας και των προσώπων εντός αυτής καθώς στην περιοχή όπου εδρεύει έχει παρατηρηθεί αυξημένη εγκληματικότητα ενώ παράλληλα υπάρχει βεβαρημένο ιστορικό από περιστατικά αδικημάτων στους χώρους της κατά το παρελθόν. Επιπλέον, σύμφωνα με την ίδια, η κάμερα δεν διαθέτει καταγραφικό και μεταδίδει εικόνα αποκλειστικά στο κινητό του ιδιοκτήτη της εταιρείας.

Νομικό καθεστώς

Σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 (εφεξής «Κανονισμός» ή «GDPR») μια επεξεργασία μπορεί να έχει διάφορες νομικές βάσεις, συμπεριλαμβανομένης της επίτευξης του εννόμου συμφέροντος[1] που επιδιώκει ο υπεύθυνος επεξεργασίας[2].

Σύμφωνα με την Οδηγία 01/2011 της ΑΠΔΠΧ, η νομιμότητα της επεξεργασίας δεδομένων που συλλέγονται και περεταίρω επεξεργάζονται από μια κάμερα, εξετάζεται στο πλαίσιο του σκοπού που επιδιώκει ο υπεύθυνος επεξεργασίας και σύμφωνα µε την αρχή της αναλογικότητας, η οποία επιβάλλει τα συστήµατα βιντεοεπιτήρησης να είναι πρόσφορα και αναγκαία σε σχέση µε τον επιδιωκόμενο σκοπό, για την επίτευξη του οποίου δεν θα είναι δυνατή η χρήση ηπιότερων µέσψν. Η προσφορότητα και η αναγκαιότητα της βιντεοεπιτήρησης εκτιμάται µε βάση τον κίνδυνο που ο υπεύθυνος επεξεργασίας θέλει να αντιμετωπίσει σε σχέση µε τον επιδιωκόµενο σκοπό. Επιπλέον, τα σημεία εγκατάστασης των καμερών και ο τρόπος λήψης των δεδοµένων πρέπει να προσδιορίζονται µε τέτοιο τρόπο, ώστε τα δεδοµένα που συλλέγονται να µην είναι περισσότερα από όσα είναι απολύτως αναγκαία για την εκπλήρωση του σκοπού της επεξεργασίας[3].

Η εφαρμογή της αρχής της αναλογικότητας έχει ιδιαίτερη σημασία στις περιπτώσεις λειτουργίας συστημάτων βιντεοεπιτήρησης σε χώρους εργασίας. Σύμφωνα με την ΑΠΔΠΧ, κάμερες δεν θα πρέπει να χρησιμοποιούνται για την επιτήρηση των εργαζομένων εντός των χώρων αυτών, εκτός από συγκεκριμένες εξαιρέσεις. Για παράδειγμα, σε έναν τυπικό χώρο γραφείων επιχείρησης, οι προσλαμβανόμενες εικόνες δεν πρέπει να περιλαμβάνουν την πλήρη εμβέλεια της κάμερας αλλά θα πρέπει να περιορίζονται σε χώρους εισόδου και εξόδου, χωρίς να επιτηρούνται συγκεκριμένες αίθουσες γραφείων ή διάδρομοι[4]. Επιπλέον, σε κάθε περίπτωση η επεξεργασία δεδομένων ήχου απαγορεύεται[5]. Άλλωστε αυτό έρχεται και σε ευθεία αντίθεση με την αρχή της ελαχιστοποίησης σύμφωνα με την οποία τα δεδομένα πρέπει να είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία[6].

Σύνοψη Σκεπτικού Απόφασης

Η ΑΠΔΠΧ επέβαλε διοικητικό πρόστιμο ύψους των 2.000 € για το μη αναλογικό χαρακτήρα της επεξεργασίας. Σύμφωνα με τις εικόνες που εξέτασε η ΑΠΔΠΧ, διαπιστώθηκε ότι η εμβέλεια της κάμερας λαμβάνει εικόνα όλου του επιτηρούμενου χώρου και δεν υπάρχει περιορισμός στο χώρο εισόδου/εξόδου, ως οφείλεται. Η επεξεργασία δεδομένων εικόνας των χώρων εργασίας συνιστά παραβίαση της αρχής της ελαχιστοποίησης των εργαζομένων ενώ η επιτήρηση σε πραγματικό χρόνο δεν αποτελεί πρόσφορο μέτρο για την ασφάλεια των προσώπων και αγαθών για τον οποίο τοποθετήθηκε η κάμερα εξ’ αρχής.

Απόφαση ΑΠΔΠΧ 13/2021

Με την απόφαση 13/2021, η ΑΠΔΠΧ εξέτασε καταγγελία ενάντια σε εταιρεία (εφεξής «καταγγελλόμενη») για ηλεκτρονική επικοινωνία μέσω SMS στις 09/07/2019, για την οποία ο αποδέκτης (εν προκειμένω ο καταγγελλόμενος) είχε προηγουμένως εναντιωθεί.

Η καταγγελλόμενη υποστήριξε ότι τα στοιχεία επικοινωνίας του καταγγέλλοντος δεν διαγράφηκαν αμέσως λόγω ανθρώπινης αμέλειας και ότι σε κάθε περίπτωση έχουν προβεί στις απαραίτητες ενέργειες, ώστε να μην ξανασυμβεί στο μέλλον για κανένα άλλον πελάτη.

Εντούτοις, παρά τη δήλωση της καταγγελλόμενης ότι τα στοιχεία επικοινωνίας του καταγγέλλοντος διαγράφηκαν, ο τελευταίος επανήλθε με νέα καταγγελία για SMS που έλαβε στις 06/11/2019. Η καταγγελλόμενη υποστήριξε ότι το τηλέφωνο δεν διαγράφηκε από λάθος/παράλειψη του απασχολούμενου στο χειρισμό της ηλεκτρονικής πλατφόρμας και ότι το λάθος δεν έγινε αντιληπτό ούτε από εν λόγω υπάλληλο ούτε από τη διοίκηση της εταιρείας.

Επιπροσθέτως, η καταγγελλόμενη υποστήριξε ότι υπήρχε αρχική έγκριση του καταγγέλλοντος καθώς ο τελευταίος δεν χρησιμοποίησε τη δυνατότητα απεγγραφής (opt-out) από το SMS, αλλά έστειλε μήνυμα ηλεκτρονικού ταχυδρομείου προς την ηλεκτρονική διεύθυνση της εξυπηρέτησης πελατών.

Νομικό καθεστώς

Ο εννοιολογικός προσδιορισμός της «ηλεκτρονικής επικοινωνίας» περιλαμβάνει τα ακόλουθα μέσα[7]:

  • Σύντομα γραπτά μηνύματα (SMS) και μηνύματα πολυμέσων (MMS),
  • Μηνύματα ηλεκτρονικού ταχυδρομείου (e-mail),
  • Ηλεκτρονικά μηνύματα που αποστέλλονται μέσω εφαρμογών ανταλλαγής μηνυμάτων υπηρεσιών «της κοινωνίας των πληροφοριών» π.χ Viber, Whatsapp, Skype, Facebook Messenger, FaceΤime, κτλ,
  • Επικοινωνία μέσω τηλεομοιοτυπίας (φαξ),
  • Αυτόματες τηλεφωνικές κλήσεις, κατά τις οποίες με την αποδοχή της κλήσης ακούγεται μαγνητοφωνημένο μήνυμα,
  • Φωνητικά μηνύματα που αποθηκεύονται μέσω υπηρεσίας αυτόματου τηλεφωνητή.

Η σύννομη διενέργεια ηλεκτρονικής επικοινωνίας για την προώθηση προϊόντων ή υπηρεσιών μπορεί να γίνει είτε βάσει της έγκυρης συγκατάθεσης του αποδέκτη[8] είτε βάσει προηγούμενης συναφούς συναλλαγής, αρκεί να παρέχεται κατά τρόπο σαφή και ευδιάκριτο η δυνατότητα να αντιτάσσεται, με εύκολο τρόπο και δωρεάν τόσο κατά τη συλλογή όσο και σε κάθε μήνυμα[9]. Σημειώνεται ότι ο τρόπος με τον οποίο θα αντιταχθεί είναι αδιάφορος καθώς η προστασία των υποκειμένων χαρακτηρίζεται από «τεχνολογική ουδετερότητα»[10].

Επιπλέον, ο GDPR προβλέπει συγκεκριμένα δικαιώματα για τα άτομα, τα οποία αφορούν τα δεδομένα (εφεξής «Υποκείμενα Δεδομένων») μεταξύ των οποίων περιλαμβάνονται το δικαίωμα διαγραφής[11] και εναντίωσης στην απευθείας εμπορική προώθηση[12]. Ειδικότερα το δικαίωμα διαγραφής προβλέπει ότι το υποκείμενο, υπό συγκεκριμένες προϋποθέσεις, δύναται να αιτηθεί να διαγραφούν πλήρως τα δεδομένα του ενώ με την εναντίωση του στην εμπορική προώθηση, δηλώνει ότι τα δεδομένα του δεν θα χρησιμοποιούνται πλέον για το σκοπό αυτό. Ανεξάρτητα από το περιεχόμενο του αιτήματος του υποκειμένου, ο Υπεύθυνος Επεξεργασίας φέρει συγκεκριμένες υποχρεώσεις διαφάνειας καθώς και ορισμένο χρονικό διάστημα (1 μήνα) ανταπόκρισης στο αίτημα[13].

Τέλος, μια επιχείρηση που ενεργεί ως Υπεύθυνος Επεξεργασίας προσωπικών δεδομένων, φέρει την υποχρέωση προστασίας δεδομένων ήδη από τον σχεδιασμό[14]. Αυτό σημαίνει, μεταξύ άλλων, ότι θα πρέπει να λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζονται τα δικαιώματα των υποκειμένων των δεδομένων.

Σύνοψη Σκεπτικού Απόφασης

Αρχικά, η ΑΠΔΠΧ δεν εξέτασε τη νομιμότητα της διενεργούμενης επικοινωνίας αλλά την αποτελεσματικότητα στη διαδικασία διεκπεραίωσης των αιτημάτων διαγραφής και εναντίωσης.

Ειδικότερα, σύμφωνα με την ΑΠΔΠΧ, το ότι ο καταγγέλλων δεν χρησιμοποίησε τη δυνατότητα αυτοματοποιημένης διαγραφής που υπήρχε ενσωματωμένη στα προωθητικά SMS και έστειλε μήνυμα ηλεκτρονικού ταχυδρομείου στην εξυπηρέτηση πελατών της εταιρείας δεν επηρεάζει τη νομιμότητα του αιτήματος και δεν απαλλάσσει την καταγγελλόμενη από την υποχρέωση διεκπεραίωσης του αιτήματος αυτού. Συνεπώς, η μη διακοπή της διενεργούμενης επικοινωνίας καθώς και η μη ενημέρωση του καταγγέλλοντος, όταν η επικοινωνία διεκόπη μετά από παρέμβαση της ΑΠΔΠΧ, συνιστά παραβίαση του δικαιώματος διαγραφής και εναντίωσης στην εμπορική προώθηση καθώς και της υποχρέωσης διαφάνειας του υπευθύνου.

Επιπλέον, με την αποστολή του δεύτερου μηνύματος διαπιστώθηκε ότι η εταιρεία δεν διέθετε, στην πράξη, τις απαραίτητες διαδικασίες ώστε να εξασφαλίσει τη διαγραφή των δεδομένων και ως εκ τούτου την προστασία των δικαιωμάτων των υποκειμένων αποτελεσματικά. Δεδομένου ότι ο υπεύθυνος επεξεργασίας διαθέτει ηλεκτρονικό κατάστημα και χρησιμοποιεί τεχνικές ηλεκτρονικής επικοινωνίας, όφειλε να έχει φροντίσει για την ορθή και άμεση ανταπόκριση στα αιτήματα άσκησης δικαιωμάτων και ως εκ τούτου θεμελιώθηκε παραβίαση της αρχής της προστασίας των δεδομένων ήδη από το σχεδιασμό.

Βάσει των ανωτέρω η ΑΠΔΠΧ επέβαλε στην καταγγελλόμενη εταιρεία διοικητικό πρόστιμο ύψους 20.000 €.

 


*Για τη ΔΙΚΗΓΟΡΙΚΗ ΕΤAIPEIA

Ν . ΚΑΝΕΛΛΟΠΟΥΛΟΣ- Χ. ΖΕΡΒΑ & ΣΥΝΕΡΓΑΤΕΣ

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ Ε.Ε.Α.

Στέργιος Κωνσταντίνου

Δικηγόρος, Advanced LLM

IP & ICT Law | CIPP/E

[1] Άρθρο 6 παρ. 1 στοιχ. στ’

[2] Άρθρο 4 στοιχ. 7 ΓΚΠΔ «Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα»

[3] Άρθρο 5 Οδηγία 01/2011 ΑΠΔΠΧ

[4] Άρθρο 7 Οδηγία 01/2011 ΑΠΔΠΧ

[5] Άρθρο 6 Οδηγία 01/2011 ΑΠΔΠΧ

[6] Άρθρο 5 παρ.1 στοιχ. γ’ ΓΚΠΔ

[7] Άρθρο 2 στοιχ. 9 ν.3471/2006 & ΑΠΔΠΧ, Κατευθυντήριες οδηγίες σχετικά με την επεξεργασία προσωπικών δεδομένων με σκοπό την επικοινωνία πολιτικού χαρακτήρα, σελ. 3

[8] Άρθρο 11 παρ. 1 ν.3471/2006 & Άρθρο 4 στοιχ 11 & Άρθρο 7 ΓΚΠΔ

[9] Άρθρο 11 παρ. 3 ν.3471/2006

[10] Αιτιολογική σκέψη 15, εδ. α’ ΓΚΠΔ

[11] Άρθρο 17 ΓΚΠΔ

[12] Άρθρο 21 παρ. 3 ΓΚΠΔ

[13] Άρθρο 12 παρ. 3 ΓΚΠΔ

[14] Άρθρο 25 παρ. 1 ΓΚΠΔ