Απόφ.ΑΠΔΠΧ 66/2022 Καταγγελία κατά εταιρείας για παραβίαση δικαιώματος πρόσβασης

ΑΠΟΦΑΣΗ 66/2022
Αθήνα, 19-12-2022
Αριθ. Πρωτ.: 3293
(Τμήμα)
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Προέδρου της σε συνεδρίαση μέσω τηλεδιασκέψεως τη Δευτέρα 04-07-2022 και ώρα 10:30, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν, ο Αναπληρωτής Πρόεδρος της Αρχής, Γεώργιος Μπατζαλέξης, κωλυόμενου του Προέδρου της Αρχής Κωνσταντίνου Μενουδάκου και τα αναπληρωματικά μέλη της Αρχής Δημοσθένης Βουγιούκας και Μαρία Ψάλλα, ως εισηγήτρια, σε αντικατάσταση των τακτικών μελών Κωνσταντίνου Λαμπρινουδάκη και Γρηγορίου Τσόλια, οι οποίοι, αν και εκλήθησαν νομίμως, δεν παρέστησαν λόγω κωλύματος. Παρούσες χωρίς δικαίωμα ψήφου ήταν η Στεφανία Πλώτα, ειδική επιστήμονας-δικηγόρος, ως βοηθός εισηγήτριας και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων της Αρχής, ως γραμματέας.
Η Αρχή έλαβε υπόψη της τα κατωτέρω:
Με την υπ’ αριθ. πρωτ. Γ/ΕΙΣ/7889/17-11-2020 καταγγελία της στην Αρχή, η Α (εφεξής «καταγγέλλουσα»), καταγγέλλει την εταιρεία με τον διακριτικό τίτλο «... Center» (εφεξής «εταιρεία») για μη ικανοποίηση δικαιώματος πρόσβασης. Ειδικότερα, η καταγγέλλουσα αναφέρει ότι παρότι υπέβαλε αίτηση στις … στην εταιρεία, την οποία παρέλαβε, όπως ισχυρίζεται η καταγγέλλουσα, υπάλληλος του καταστήματος θέτοντας την υπογραφή της και την ημερομηνία παραλαβής επί της αιτήσεως, προκειμένου να της χορηγηθούν αντίγραφα των συμβάσεων που έχει υπογράψει, καθώς και να ενημερωθεί για τις συνεδρίες που είχε παρακολουθήσει και για το πλεονασματικό υπόλοιπο που είχε καταθέσει για την παρακολούθηση του προγράμματος, δεν υπήρχε καμία ανταπόκριση από την καταγγελλόμενη εταιρεία. Στη συνέχεια ακολούθησε και εξώδικη δήλωση της καταγγέλλουσας προς την εταιρεία στις … με τα ίδια αιτήματα, χωρίς να λάβει απάντηση.
Η Αρχή, στο πλαίσιο εξέτασης της ανωτέρω καταγγελίας απέστειλε στην εταιρεία το υπ’ αριθ. πρωτ. Γ/ΕΞΕ/7889-1/23-12-2020 έγγραφο για παροχή απόψεων με ηλεκτρονικό μήνυμα στις 23-12-2020. Επειδή η Αρχή δεν έλαβε καμία απάντηση, ούτε επιβεβαίωση ότι παρελήφθη το μήνυμα, κατόπιν τηλεφωνικής επικοινωνίας με εκπρόσωπο της εταιρείας, απεστάλη εκ νέου στις 05-02-2021 ηλεκτρονικά το προαναφερόμενο έγγραφο της Αρχής και επιβεβαιώθηκε τηλεφωνικώς την ίδια ημέρα η παραλαβή αυτού, χωρίς όμως στη συνέχεια να υποβληθούν οι απόψεις της εταιρείας στην Αρχή. Στη συνέχεια, η Αρχή απέστειλε ηλεκτρονικώς στην καταγγελλόμενη εταιρεία εκ νέου την ίδια επιστολή στις 11-02-2021, η παραλαβή της οποίας επιβεβαιώθηκε αυθημερόν με μήνυμα ηλεκτρονικού ταχυδρομείου από το email επικοινωνίας της καταγγελλόμενης εταιρείας «...». Επειδή η Αρχή δεν έλαβε καμία απάντηση, απέστειλε στην εταιρεία το υπ’ αρ. πρωτ. Γ/ΕΞΕ/1200/12-05-2021 έγγραφο, διαβιβάζοντας εκ νέου την καταγγελία και την πρώτη επιστολή της Αρχής, καλώντας την εταιρεία να αποστείλει άμεσα τις απόψεις της, χωρίς να υπάρξει κάποια ανταπόκριση εκ μέρους της καταγγελλόμενης, ενώ και η αποστολή του εγγράφου με συστημένη αλληλογραφία επεστράφη στην Αρχή ως αζήτητη. Η εν λόγω επιστολή απεστάλη στην εταιρεία εκ νέου με ηλεκτρονικό μήνυμα στις 03-08-2021 και ο κατά δήλωσή του εκπρόσωπος της εταιρείας Β, επιβεβαίωσε τηλεφωνικώς την παραλαβή της επιστολής και δεσμεύθηκε να αποστείλει τις απόψεις της εταιρείας εντός των επόμενων δέκα (10) ημερών. Επειδή η Αρχή δεν έλαβε απάντηση ούτε σε αυτήν την επιστολή, απέστειλε το υπ’ αρ. πρωτ. Γ/ΕΞΕ/2590/15-11-2021 έγγραφο, με το οποίο ετέθη προθεσμία δέκα (10) ημερών στην εταιρεία για να παράσχει τις απόψεις της, άλλως η Αρχή θα προέβαινε στην εξέταση της καταγγελίας άνευ ετέρου, αναφέροντας ότι «κάθε υπεύθυνος επεξεργασίας φέρει αυτοτελή υποχρέωση συνεργασίας με την Αρχή, δυνάμει του άρθρου 31 ΓΚΠΔ, η δε μη συμμόρφωσή του με την υποχρέωση αυτή επισύρει την επιβολή διοικητικού προστίμου, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 83 παρ.4 στοιχ. α΄ ΓΚΠΔ, πέρα από τις υπόλοιπες διορθωτικές εξουσίες που έχει η Αρχή, δυνάμει των άρθρων 58 παρ. 2 του ΓΚΠΔ 2016/679 και 15 του ν. 4624/2019». Έκτοτε, η Αρχή δεν έλαβε καμία απάντηση σε όλες τις ανωτέρω προσπάθειες επικοινωνίας με την εταιρεία.
Ενόψει των ανωτέρω, η Αρχή με τα υπ’ αρ. πρωτ. Γ/ΕΞΕ/729/18-03-2022 και Γ/ΕΞΕ/728/18-03-2022 έγγραφα κάλεσε την καταγγέλλουσα, Α, και την καταγγελλόμενη εταιρεία ... Center, αντίστοιχα, όπως παρουσιαστούν στη συνεδρίαση του Τμήματος της Αρχής την Τετάρτη 30-03-2022. Στην εν λόγω συνεδρίαση παρέστησαν η καταγγέλλουσα Α μετά του πληρεξουσίου δικηγόρου Ευάγγελου Στρατουδάκη (…), και η Αλεξάνδρα Σπανάκη (…), πληρεξούσια δικηγόρος της καταγγελλόμενης εταιρείας.
Κατά τη συνεδρίαση αυτή, οι παριστάμενοι ανέπτυξαν τις απόψεις τους και εν συνεχεία υπέβαλαν στην Αρχή εντός της ταχθείσας προθεσμίας, αφενός η καταγγέλλουσα το υπ’ αρ. πρωτ. Γ/ΕΙΣ/6126/18-04-2022 υπόμνημα και αφετέρου η καταγγελλόμενη εταιρεία το υπ’ αρ. πρωτ. Γ/ΕΙΣ/6132/18-04-2022 υπόμνημα.
Στο υπόμνημα που υπέβαλε η καταγγέλλουσα στην Αρχή, ανέφερε ότι, παρότι είχαν παρέλθει περίπου δύο έτη από την εξώδικη πρόσκληση προς την εταιρεία για να συμμορφωθεί με τα αιτήματα που είχε υποβάλει προς αυτήν για να λάβει γνώση αλλά και να της χορηγήσει αντίγραφα: i. των υπογραφόμενων από την ίδια συμβολαίων, καθώς και το σώμα των υπογραφέντων συμβολαίων και το κόστος ενός εκάστου εξ αυτών που εξετάστηκαν, ii. των συνεδριών που έχει παρακολουθήσει και κάθε είδους έγγραφη ενημέρωση για αυτές, καθώς και των τυχόν αναλυτικών καρτελών που έχουν εκδοθεί στο όνομά της καθώς και iii. να λάβει βεβαίωση για το πλεονασματικό υπόλοιπο που έχει καταθέσει για την παρακολούθηση του προγράμματος, το οποίο τελικώς δεν επιθυμεί να παρακολουθήσει ώστε να της αποδοθούν τα χρήματα αυτά από την εταιρεία, η καταγγελλόμενη εταιρεία δεν τα είχε ικανοποιήσει. Στη συνέχεια και μετά την υποβολή της καταγγελίας στην Αρχή, απεστάλησαν στην καταγγέλλουσα οι ειδικοί όροι των προγραμμάτων που επιθυμούσε να παρακολουθήσει, όταν συνεβλήθη με την εταιρεία και το από 02-10- 2019 έγγραφο με το οποίο βεβαιώνεται η παρακολούθηση από την καταγγέλλουσα εικοσάλεπτου προγράμματος, καθώς και ένα ανυπόγραφο και αχρονολόγητο, όπως αναφέρεται, έγγραφο, «χωρίς καμία έννομη σημασία, το οποίο θα μπορούσε οποιοσδήποτε να συντάξει» στο οποίο αναφέρονται τα προγράμματα που είχε παρακολουθήσει η καταγγέλλουσα, ενώ τα αποδεικτικά παρακολούθησης των προγραμμάτων μέχρι και την ημέρα υποβολής του υπομνήματος της καταγγέλλουσας δεν είχαν χορηγηθεί σε αυτή. Καίτοι η καταγγέλλουσα αιτήθηκε και τα λοιπά αποδεικτικά παρακολούθησης, ουδέποτε της εδόθησαν, όπως αναφέρει και επισημαίνει ότι σε συνέχεια της από 30-03-2022 συζήτησης ενώπιον της Αρχής, «ακόμη και στην επιταγή του αξιότιμου κ. Πρόεδρου, προκειμένου να χορηγηθούν όλα τα αποδεικτικά παρακολούθησης των προγραμμάτων από εμένα, η εταιρεία μέχρι σήμερα και τη στιγμή αυτή δεν συμμορφώθηκε. Η απαξίωσή της επομένως δεν περιλαμβάνει μόνο τους πελάτες της αλλά και την ίδια την έννομη τάξη, καθώς όχι μόνο δεν έχει επιδείξει το παραμικρό ενδιαφέρον να ενημερώσει για όσα καταγγέλλεται αλλά κωφεύει και σε ρητή εντολή που δόθηκε από τον αξιότιμο κο Πρόεδρο».
Η καταγγελλόμενη εταιρεία στο υπ΄ αρ. πρωτ. Γ/ΕΙΣ/6132/18-04-2022 υπόμνημά της, αναφέρει καταρχάς ότι η επωνυμία της καταγγελλόμενης εταιρείας «... Center» είναι «... Ο.Ε.» και ότι η καταγγέλλουσα έδωσε η ίδια τα στοιχεία της στην εταιρεία τον … και σύνηψε με την εταιρεία πέντε (5) συμβάσεις παροχής υπηρεσιών, παραθέτοντας τα βασικά σημεία αυτών. Η εταιρεία ισχυρίζεται ότι η καταγγέλλουσα κατά την κατάρτιση των συμβάσεων ήταν πλήρως και αναλυτικά ενημερωμένη τόσο για τους όρους της σύμβασης, όσο και για τον τρόπο πληρωμής και τις τιμές ανά υπηρεσία, αναλύοντας τα ζητήματα οικονομικής φύσεως που προκύπτουν από τη συμβατική σχέση, επισημαίνοντας ότι οι εν θέματι συμβάσεις ουδέποτε καταγγέλθηκαν από την καταγγέλλουσα, ουδέποτε υπαναχώρησε από την εκτέλεσή τους, ούτε προφορικά, ούτε γραπτά και για τον λόγο αυτό παραμένουν ενεργές μέχρι και σήμερα. Πρέπει να σημειωθεί ότι η καταγγελλόμενη εταιρεία στο μετ΄ ακρόαση υπόμνημά της δεν προσκόμισε οιοδήποτε έγγραφο αναφορικά με την ικανοποίηση του δικαιώματος πρόσβασης και τη συμμόρφωσή της με το νομοθετικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα και δεν ανέφερε τους λόγους για τους οποίους δεν ανταποκρίθηκε στα αιτήματα της Αρχής, παρότι είχε επιβεβαιώσει τη λήψη αυτών.
Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου, αφού άκουσε την εισηγήτρια και τις διευκρινίσεις από τη βοηθό εισηγήτρια, η οποία παρέστη χωρίς δικαίωμα ψήφου, κατόπιν διεξοδικής συζητήσεως
ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Επειδή, από τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ») και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.
2. Επειδή, το άρθρο 5 του ΓΚΠΔ καθορίζει τις αρχές επεξεργασίας που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα, ορίζεται στην παράγραφο 1 ότι τα δεδομένα προσωπικού χαρακτήρα, μεταξύ άλλων: «α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα, διαφάνεια»), β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς (…), γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων») (…)».
3. Επειδή, σύμφωνα με το άρθρο 5 παρ. 2 του ΓΚΠΔ «ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις αρχές της επεξεργασίας που καθιερώνονται στην παράγραφο 1 («λογοδοσία»)». Όπως έχει κρίνει η Αρχή, με τον ΓΚΠΔ υιοθετήθηκε ένα νέο μοντέλο συμμόρφωσης, κεντρικό σημείο του οποίου συνιστά η αρχή της λογοδοσίας στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρμόζει και εν γένει λαμβάνει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των δεδομένων να είναι σύμφωνη με τις σχετικές νομοθετικές προβλέψεις. Επιπλέον, ο υπεύθυνος επεξεργασίας βαρύνεται με το ειδικότερο καθήκον να αποδεικνύει ο ίδιος και ανά πάσα στιγμή τη συμμόρφωσή του με τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ. Δεν είναι τυχαίο ότι ο ΓΚΠΔ εντάσσει τη λογοδοσία (άρθρο 5 παρ. 2 ΓΚΠΔ) στη ρύθμιση των αρχών (άρθρο 5 παρ. 1 ΓΚΠΔ) που διέπουν την επεξεργασία, προσδίδοντας σε αυτήν, τη λειτουργία ενός μηχανισμού τήρησής τους, αντιστρέφοντας κατ’ ουσίαν το «βάρος της απόδειξης» ως προς τη νομιμότητα της επεξεργασίας (και εν γένει την τήρηση των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ), μεταθέτοντάς τη στον υπεύθυνο επεξεργασίας, ώστε να υποστηρίζεται βάσιμα ότι εκείνος φέρει το βάρος της επίκλησης και απόδειξης της νομιμότητας της επεξεργασίας. Έτσι, συνιστά υποχρέωση του υπευθύνου επεξεργασίας αφενός να λαμβάνει από μόνος του τα αναγκαία μέτρα προκειμένου να συμμορφώνεται προς τις απαιτήσεις του ΓΚΠΔ, αφετέρου, να αποδεικνύει ανά πάσα στιγμή την ανωτέρω συμμόρφωσή του, χωρίς μάλιστα να απαιτείται η Αρχή, στο πλαίσιο άσκησης των ερευνητικών - ελεγκτικών εξουσιών της, να υποβάλλει επιμέρους – εξειδικευμένα ερωτήματα και αιτήματα προς διαπίστωση της συμμόρφωσης.
4. Επειδή, σύμφωνα με τους ορισμούς του άρθρου 4 αρ. 1 και 2 ΓΚΠΔ «νοούνται ως «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου».
5. Επειδή, σύμφωνα με τις διατάξεις του άρθρου 15 παρ. 1, 3 και 4 ΓΚΠΔ: «1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα […]. 3. Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία.[…] 4. Το δικαίωμα να λαμβάνεται αντίγραφο που αναφέρεται στην παράγραφο 3 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων».
6. Επειδή, σύμφωνα με το άρθρο 12 παρ. 3 και 4 ΓΚΠΔ «Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 15 έως 22 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με ηλεκτρονικά μέσα, εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό. 4. Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, ενημερώνει εντός μηνός από την παραλαβή του αιτήματος το υποκείμενο των δεδομένων για τους λόγους, για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας σε εποπτική αρχή και άσκησης δικαστικής προσφυγής».
7. Τέλος, σύμφωνα με το άρθρο 31 ΓΚΠΔ «ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, κατά περίπτωση, οι εκπρόσωποί τους συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή για την άσκηση των καθηκόντων της». Η διάταξη αυτή εισάγει αυτοτελή γενική υποχρέωση κάθε υπευθύνου επεξεργασίας να συνεργάζεται με την εποπτική αρχή, όταν υποβάλλεται σχετικό αίτημα κατά την άσκηση των καθηκόντων που της έχει αναθέσει ο ευρωπαίος νομοθέτης, ενώ η παραβίαση εκπλήρωσής της επισύρει αυτοτελώς την επιβολή του διοικητικού προστίμου του άρθρου 83 παρ. 4 στοιχ. α΄ ΓΚΠΔ. Επισημαίνεται ότι η υποχρέωση αυτή μαζί με την αρχή της λογοδοσίας του άρθρου 5 παρ. 2 ΓΚΠΔ ενισχύει τον ρόλο της εποπτικής Αρχής κατά την άσκηση των αρμοδιοτήτων της προς την πραγμάτωση του σκοπού της αποτελεσματικής εφαρμογής των κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα .
8. Λαμβάνοντας υπόψη τα ανωτέρω, από το σύνολο των στοιχείων του φακέλου της υπόθεσης, την ακροαματική διαδικασία και τα υποβληθέντα υπομνήματα προκύπτει ότι η καταγγέλλουσα αιτήθηκε να λάβει από την καταγγελλόμενη εταιρεία αντίγραφα συμβάσεων, στις οποίες η ίδια ήταν συμβαλλόμενο μέρος και επομένως τα εν λόγω έγγραφα περιείχαν δεδομένα προσωπικού χαρακτήρα που την ταυτοποιούσαν και την αφορούσαν, καθώς και να πληροφορηθεί ως υποκείμενο των δεδομένων για δεδομένα που την αφορούσαν και διατηρούσε η εταιρεία, ήτοι για τις συνεδρίες που είχε παρακολουθήσει και για το πλεονασματικό υπόλοιπο που είχε καταθέσει για την παρακολούθηση του προγράμματος, ασκώντας το δικαίωμα πρόσβασης του άρθρου 15 ΓΚΠΔ. Ως εκ τούτου, η καταγγέλλουσα ως υποκείμενο των δεδομένων είχε κατά το άρθρο 15 παρ. 1 και 3 ΓΚΠΔ δικαίωμα να λάβει από την καταγγελλόμενη εταιρεία, υπό την ιδιότητα αυτής ως υπευθύνου επεξεργασίας, πρόσβαση στα ανωτέρω αναφερθέντα έγγραφα και πληροφορίες, για την οποία δεν έλαβε οιαδήποτε απόκριση από την εταιρεία. Η καταγγελλόμενη εταιρεία ως υπεύθυνος επεξεργασίας έχει υποχρέωση να απαντήσει αιτιολογημένα στο δικαίωμα πρόσβασης του υποκειμένου ακόμα και αρνητικά, σε περίπτωση κατά την οποία δεν συντρέχει κατά την άποψη του υπευθύνου επεξεργασίας νόμιμος λόγος ικανοποίησης του αιτήματος, εντός μηνός από την παραλαβή του αιτήματος, σύμφωνα με το άρθρο 12 παρ. 3 ΓΚΠΔ. Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, ενημερώνει εντός μηνός από την παραλαβή του αιτήματος το υποκείμενο των δεδομένων για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας σε εποπτική αρχή και άσκησης δικαστικής προσφυγής, σύμφωνα με το άρθρο 12 παρ. 4 ΓΚΠΔ. Η μη απάντηση του υπευθύνου επεξεργασίας σε αίτημα πρόσβασης και ενημέρωσης του υποκειμένου για τα προσωπικά του δεδομένα συνιστά αυτοτελή παραβίαση κατ΄ άρθρο 15 ΓΚΠΔ, καθώς το υποκείμενο στην υπό κρίση περίπτωση δεν έλαβε απάντηση στο αίτημα πρόσβασης που υπέβαλε στον υπεύθυνο επεξεργασίας εγγράφως, παρά μόνο κατόπιν της παρέμβασης της Αρχής, έλαβε μέρος των αιτηθέντων δεδομένων, χωρίς να ικανοποιηθεί προσηκόντως το ασκηθέν δικαίωμα πρόσβασης. Ως εκ τούτου, η Αρχή κρίνει ότι ο υπεύθυνος επεξεργασίας έχει παραβιάσει τις διατάξεις των άρθρων 12 παρ. 3 και 4 και 15 παρ. 1 και 3 για μη ικανοποίηση του δικαιώματος πρόσβασης του υποκειμένου.
Περαιτέρω, από το σύνολο του φακέλου της υπόθεσης, την ακροαματική διαδικασία και τα υποβληθέντα υπομνήματα, η Αρχή διαπιστώνει ότι η καταγγελλόμενη εταιρεία δεν απάντησε σε επιστολές που είχαν επανειλημμένως αποσταλεί από την Αρχή μέσα σε χρονικό διάστημα έντεκα (11) μηνών, ήτοι η πρώτη αποστολή πραγματοποιήθηκε στις 23-12-2020 και η τελευταία στις 15-11-2021, παρότι η εταιρεία επιβεβαίωσε την παραλαβή της επιστολής τόσο μέσω τηλεφωνικής επικοινωνίας στις 05-02-2021, όσο και με ηλεκτρονικό μήνυμα που απεστάλη από την ηλεκτρονική διεύθυνση επικοινωνίας της εταιρείας ... στις 11-02-2021. Η καταγγελλόμενη εταιρεία, εκτός από την επιβεβαίωση παραλαβής του ηλεκτρονικού μηνύματος δεν απέστειλε ουδεμία έγγραφη απάντηση στην εποπτική Αρχή για δεκαέξι (16) ολόκληρους μήνες, παρά μόνο το μετ’ ακροάσεως υπ’ αρ. πρωτ. Γ/ΕΙΣ/6132/18-04-2022 υπόμνημα, στο οποίο πρέπει να σημειωθεί ότι δεν γίνεται ουδεμία αναφορά σε ζητήματα επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ούτε σε σχέση με την εν θέματι καταγγελία, ούτε σε σχέση με την τυχόν συμμόρφωση της εταιρείας με το νομοθετικό πλαίσιο προστασίας των δεδομένων προσωπικού χαρακτήρα. Κατ’ ακολουθία, η Αρχή διαπιστώνει ότι η καταγγελλόμενη εταιρεία επέδειξε κατ’ εξακολούθηση αδιαφορία στις αλλεπάλληλες κλήσεις της Αρχής για παροχή διευκρινίσεων που συνιστά παραβίαση των υποχρεώσεών της ως υπευθύνου επεξεργασίας, προκαλώντας ουσιαστικά εμπόδια στην εξέταση της υπό κρίση υπόθεσης. Επισημαίνεται ότι ο υπεύθυνος επεξεργασίας έχει υποχρέωση να απαντήσει άμεσα στις κλήσεις της εποπτικής Αρχής, σύμφωνα με τη διάταξη του άρθρου 31 ΓΚΠΔ, όπως ανεφέρθη ανωτέρω. Το γεγονός της κατ’ εξακολούθηση μη απόκρισης του υπευθύνου επεξεργασίας στις κλήσεις της Αρχής για παροχή των απόψεων του επί των καταγγελλομένων για τόσο μεγάλο χρονικό διάστημα, χωρίς κάποια αιτιολόγηση της εν λόγω συμπεριφοράς, αποδεικνύει τη μη συνεργασία του με την εποπτική Αρχή και συνιστά παραβίαση της αυτοτελούς υποχρέωσης συνεργασίας με την εποπτική Αρχή που προβλέπεται στο άρθρο 31 ΓΚΠΔ.
9. Με βάση τα ανωτέρω, σε σχέση με τη διαπιστωθείσα παραβίαση των διατάξεων των άρθρων 12 παρ. 3 και 15 ΓΚΠΔ για την καταγγελλόμενη παραβίαση του δικαιώματος πρόσβασης, η Αρχή κρίνει ότι συντρέχει περίπτωση να ασκήσει τις κατά το άρθρο 58 παρ. 2 του ΓΚΠΔ διορθωτικές εξουσίες της και ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να επιβληθεί, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ ΓΚΠΔ, αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ άρθρο 83 του ΓΚΠΔ, τόσο προς αποκατάσταση της συμμόρφωσης, όσο και για την τιμωρία της παράνομης συμπεριφοράς και επίσης να δοθεί εντολή στην εταιρεία κατ’ άρθρο 58 παρ. 2 στοιχ. γ’ ΓΚΠΔ να ικανοποιήσει το δικαίωμα πρόσβασης της καταγγέλλουσας στο μέρος που έχει ασκηθεί και δεν έχει ακόμα ικανοποιηθεί.
10. Η Αρχή κρίνει ότι για τη διαπιστωθείσα παραβίαση της υποχρέωσης συνεργασίας με την Αρχή κατ΄ άρθρο 31 ΓΚΠΔ πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να επιβληθεί, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ ΓΚΠΔ, αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ άρθρο 83 ΓΚΠΔ, σύμφωνα και με τις Κατευθυντήριες Γραμμές «για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679» της ομάδας εργασίας του άρθρου 29 και τις Κατευθυντήριες Γραμμές 04/2022 για τον υπολογισμό των διοικητικών προστίμων υπό τον ΓΚΠΔ του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων .
11. Περαιτέρω η Αρχή, κατά την αξιολόγηση των δεδομένων, έλαβε υπόψη τα κριτήρια επιμέτρησης των προστίμων που ορίζονται στο άρθρο 83 παρ. 2 του ΓΚΠΔ, τις ως άνω αναφερθείσες Κατευθυντήριες Γραμμές, καθώς και τα πραγματικά δεδομένα της εξεταζόμενης υπόθεσης και ιδίως:
i. Το γεγονός ότι η καταγγελλόμενη δεν ικανοποίησε εμπροθέσμως και προσηκόντως το δικαίωμα πρόσβασης του υποκειμένου κατ’ άρθρο 15 ΓΚΠΔ.
ii. Το γεγονός ότι η παράβαση ήταν μεμονωμένη, ήτοι εν προκειμένω έθιξε μόνο την καταγγέλλουσα, ως υποκείμενο των δεδομένων.
iii. Την κατ’ εξακολούθηση έλλειψη συνεργασίας της καταγγελλόμενης εταιρίας με την Αρχή, δεδομένου ότι δεν παρείχε εξηγήσεις στην Αρχή αναιτιολογήτως παρά τις αλλεπάλληλες κλήσεις.
iv. Την απουσία προηγούμενων διαπιστωμένων παραβάσεων της καταγγελλόμενης, καθώς από σχετικό έλεγχο προκύπτει ότι δεν της έχει επιβληθεί μέχρι σήμερα διοικητική κύρωση από την Αρχή.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η ΑΡΧΗ
Α. Διαπιστώνει ότι η καταγγελλόμενη εταιρεία «... Ο.Ε.», ως υπεύθυνος επεξεργασίας, ικανοποίησε το δικαίωμα πρόσβασης της καταγγέλλουσας εκπρόθεσμα και ελλιπώς κατά παράβαση των οριζομένων στις διατάξεις των άρθρων 12 παρ. 3 και 15 ΓΚΠΔ και επιβάλλει στην καταγγελλόμενη εταιρεία διοικητικό πρόστιμο, κατ΄ άρθρο 58 παρ. 2 στοιχ. θ’, ύψους 2.000,00 ευρώ.
Β. Δίνει εντολή, κατ’ άρθρο 58 παρ. 2 στοιχ. γ΄ ΓΚΠΔ, στην καταγγελλόμενη εταιρεία «... Ο.Ε.», ως υπεύθυνο επεξεργασίας, να ικανοποιήσει προσηκόντως το δικαίωμα πρόσβασης της καταγγέλλουσας στο μέρος που έχει ασκηθεί και δεν έχει ακόμα ικανοποιηθεί.
Γ. Διαπιστώνει ότι η καταγγελλόμενη εταιρεία «... Ο.Ε.», ως υπεύθυνος επεξεργασίας, παραβίασε την αυτοτελή υποχρέωση συνεργασίας με την εποπτική Αρχή κατ’ άρθρο 31 ΓΚΠΔ και επιβάλει στην καταγγελλόμενη εταιρεία διοικητικό πρόστιμο, κατ’ άρθρο 58 παρ. 2 στοιχ. θ’, ύψους 5.000,00 ευρώ.
Ο Αναπληρωτής Πρόεδρος
Γεώργιος Μπατζαλέξης
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου