Απόφαση του Προέδρου της Αρχής αριθ. 5/2022
(Μονοπρόσωπο όργανο – Προσωρινή διαταγή)
Αθήνα, 23-12-2022
Αριθ. Πρωτ.: 3410
Ο Πρόεδρος της Αρχής ως μονοπρόσωπο όργανο κατά τα άρθρα 17 παρ. 1 του ν. 4624/2019 (ΦΕΚ Α΄ 137), στο πλαίσιο των αρμοδιοτήτων που προβλέπονται στα άρθρα, 4 παρ. 3 περ. α΄ και 10 παρ. 4 του Κανονισμού Λειτουργίας της Αρχής (ΦΕΚ Β΄879/25.02.2022) και των εξουσιών που προβλέπονται στο άρθρο 15 παρ. 4 περ. γ’ και 8 του ν. 4624/2019 σε συνδυασμό με το άρθρο 58 παρ. 2 στ΄ του Κανονισμού (ΕΕ) 2016/679 (ΓΚΠΔ), εξέτασε την υπόθεση που αναφέρεται κατωτέρω στο ιστορικό της παρούσας απόφασης.
Η Αρχή έλαβε υπ’ όψιν της τα παρακάτω:
1. Επειδή η Αρχή εξετάζει αναφορές/καταγγελίες οι οποίες αφορούν απόπειρες εγκατάστασης κατασκοπευτικού λογισμικού σε τερματικές συσκευές χωρίς συγκατάθεση των χρηστών και τη σχετιζόμενη επεξεργασία δεδομένων προσωπικού χαρακτήρα, ενώ παράλληλα εξετάζει αυτεπάγγελτα δραστηριότητες εγκατάστασης τέτοιου λογισμικού και της συνδεόμενης επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Στο πλαίσιο της εν λόγω υπόθεσης, κατόπιν της υπ’ αριθμ. πρωτ. .../21-12-2022 εντολής ελέγχου, διενεργήθηκε επιτόπιος έλεγχος στην εταιρεία ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ ..., κατά τον οποίο εξετάστηκε κάθε πληροφορία που αφορά στην αποστολή ή στη διαβίβαση σύντομων γραπτών μηνυμάτων (SMS) με σκοπό την παραπλάνηση των αποδεκτών.
2. Επειδή στο πλαίσιο του ανωτέρω ελέγχου διαπιστώθηκε ότι ένα παραπλανητικό SMS, το οποίο απεστάλη προς τον αριθμό «…» την … με αναγνωριστικό αποστολέα (senderID) «…», προήλθε από το δίκτυο της εταιρείας «... (...) - Ανώνυμος Εμπορική και Βιομηχανική Εταιρία Ειδών Πληροφορικής και Τηλεπικοινωνιών, Παροχής Διαφημιστικών, Συμβουλευτικών και Εκπαιδευτικών Υπηρεσιών και Εκμετάλλευσης Ακινήτων» με δ.τ. «... Α.Ε.» και περιλάμβανε στο περιεχόμενό του αναφορά στην ιστοσελίδα «…». Περαιτέρω, από διάφορες δημόσιες αναφορέςπροκύπτει ότι υπάρχουν αρκετά ονόματα χώρου τα οποία συνδέονται με απόπειρες εγκατάστασης κατασκοπευτικού λογισμικού σε τερματικές συσκευές χωρίς συγκατάθεση των χρηστών. Ο έλεγχος ως προς αυτά τα ονόματα χώρου βρίσκεται υπό εξέλιξη.
3. Επειδή κατά την αποστολή SMS παράγονται και τυγχάνουν επεξεργασίας δεδομένα τα οποία αναφέρονται σε φυσικά πρόσωπα, όπως ιδίως στον τελικό παραλήπτη που είναι το φυσικό πρόσωπο χρήστης της τερματικής συσκευής που δέχεται το SMS. Τα δεδομένα αυτά αποτελούν δεδομένα προσωπικού χαρακτήρα, υπό την έννοια του άρθρου 4 παρ. 7 του ΓΚΠΔ. Στην περίπτωση αποστολής SMS μέσω διαδικτυακών υπηρεσιών, ένα μήνυμα μπορεί να φτάσει στον τελικό παραλήπτη μέσω αρκετών ενδιάμεσων «κόμβων», οι οποίοι ανήκουν σε διαφορετικές εταιρείες. Συνήθως, σε κάθε ενδιάμεσο κόμβο τηρούνται δεδομένα σε σχέση με την αποστολή ή τη διαβίβαση SMS για διαφόρους σκοπούς, όπως για τη χρέωση των υπηρεσιών ή για σκοπούς ασφάλειας και καταπολέμησης της απάτης, τα οποία μπορεί να περιλαμβάνουν διάφορες πληροφορίες, όπως σε σχέση με τον χρόνο αποστολής, τον αποστολέα (senderID), τον παραλήπτη, τον προηγούμενο κόμβο και το περιεχόμενο του SMS.
4. Επειδή μια εταιρεία που διαχειρίζεται έναν κόμβο αποστολής ή διαβίβασης μηνυμάτων SMS, εφόσον τηρεί δεδομένα προσωπικού χαρακτήρα, αποτελεί τον υπεύθυνο επεξεργασίας, ο οποίος καθορίζει τον σκοπό και τα μέσα τήρησης των δεδομένων αυτών.
5. Επειδή το χρονικό διάστημα τήρησης των δεδομένων σε σχέση με την αποστολή ή διαβίβαση SMS, λαμβάνοντας υπόψη την αρχή του χρονικού περιορισμού της περιόδου αποθήκευσης (άρθρο 5 παρ. 1 εδαφ. ε’ ΓΚΠΔ) δεν μπορεί να είναι επ’ αόριστον, προκύπτει ότι μια εταιρεία η οποία διαχειρίζεται έναν κόμβο αποστολής ή διαβίβασης μηνυμάτων SMS πρέπει, με βάση τις εσωτερικές της διαδικασίες, να διαγράψει δεδομένα, τα οποία ενδέχεται όμως να είναι απαραίτητα για τη διερεύνηση της υπόθεσης που εξετάζει η Αρχή.
6. Επειδή η Αρχή έχει με βάση το άρθρο 15 παρ. 4 περ. γ’ και 8 του ν. 4624/19 σε συνδυασμό με το άρθρο 58 παρ. 2 στ’ ΓΚΠΔ την αρμοδιότητα να εκδώσει αυτεπαγγέλτως προσωρινή διαταγή για άμεσο ολικό ή μερικό, προσωρινό περιορισμό της επεξεργασίας.
7. Επειδή η διαγραφή ή η καταστροφή δεδομένων προσωπικού χαρακτήρα αποτελεί μορφή επεξεργασίας με βάση το άρθρο 4 περ. 2 του ΓΚΠΔ.
8. Επειδή προκειμένου η Αρχή να ασκήσει τις ελεγκτικές της αρμοδιότητες και να διασφαλιστεί η προστασία των δικαιωμάτων των επηρεαζόμενων υποκειμένων των δεδομένων παρίσταται αναγκαία η διατήρηση και μη διαγραφή των δεδομένων προσωπικού χαρακτήρα που σχετίζονται με την υπόθεση που διερευνά η Αρχή.
9. Επειδή η Αρχή έχει, με βάση το άρθρο 58 παρ. 1 του ΓΚΠΔ την εξουσία να δώσει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να παράσχει κάθε πληροφορία η οποία απαιτείται για την εκτέλεση των καθηκόντων της και, επιπλέον, με βάση το άρθρο 15 παρ. 4 εδαφ. δ’ του ν. 4624/2019 έχει την εξουσία να δώσει εντολή και να επιβάλλει την παράδοση σε αυτήν εγγράφων, συστημάτων αρχειοθέτησης, εξοπλισμού ή μέσου επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η ΑΡΧΗ
Διατάσσει την εταιρεία «... (...) - Ανώνυμος Εμπορική και Βιομηχανική Εταιρία ...» με δ.τ. «... Α.Ε.»
α) όπως αναστείλει την επεξεργασία της καταστροφής των δεδομένων προσωπικού χαρακτήρα τα οποία τηρούνται σε σχέση με υπηρεσίες αποστολής ή διαβίβασης μηνυμάτων SMS, μέχρι εκδόσεως νέας απόφασης της Αρχής.
β) όπως παράσχει αμελλητί στην Αρχή κάθε προσωπικό δεδομένο το οποίο τηρείται στην εταιρεία και σχετίζεται με αποστολή ή διαβίβαση SMS στα οποία περιέχεται κάποιο από τα σαράντα τέσσερα (44) ονόματα χώρου που αναφέρονται στο παράρτημα της παρούσας, καθώς και κάθε σχετική πληροφορία.
Ο Πρόεδρος
Κωνσταντίνος Μενουδάκος