ΔΙΟΙΚΗΤΙΚΑ ΕΓΓΡΑΦΑ Απόφ.ΑΠΔΠΧ 5/2023 Επιβολή προστίμου σε τηλεπικοινωνιακό πάροχο για επεξεργασία δεδομένων για προωθητικό σκοπό

Αριθμός:
5
Έτος:
2023
Είδος πράξης:
ΑΠΟΦΑΣΗ
Εκδ. Αρχή:
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Ημ. Δημοσίευσης:
02/02/2023
Πηγή:
Ιστότοπος ΑΠΔΠΧ
Μέσο Δημοσίευσης:
ΤΝΠ QUALEX
Αρ. Λέξεων:
5328
Εμφάνιση περισσότερων Εμφάνιση λιγότερων Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Περίληψη

Η Αρχή εξέτασε καταγγελία συνδρομητή, ο οποίος μετά από αίτησή του για νέα σύνδεση ... έλαβε από συνεργαζόμενη με την εταιρεία διαφημιστική εταιρεία ένα δέμα με δείγματα καταναλωτικών προϊόντων, παρά την εναντίωσή του στη χρήση των δεδομένων του για σκοπούς εμπορικής προώθησης. Σύμφωνα με την εταιρεία η αποστολή του δέματος δεν αποτελούσε προωθητική ενέργεια, αλλά παρεπόμενη παροχή της ήδη καταρτισθείσας μεταξύ των μερών σύμβασης παροχής τηλεπικοινωνιακών υπηρεσιών, η οποία αποστέλλεται σε όλους ανεξαιρέτως τους νέους συνδρομητές που εγγράφονται μέσω της ιστοσελίδας, ανεξάρτητα από τις επιλογές τους σχετικά με τις προωθητικές ενέργειες, ενώ σχετική ενημέρωση παρέχεται μέσω banner που αναρτάται στην εν λόγω ιστοσελίδα. Η Αρχή έκρινε ότι η διαβίβαση σε διαφημιστική εταιρεία και η συναφής επεξεργασία των δεδομένων του καταγγέλλοντος έγινε με σκοπό την προώθηση, κατά παράβαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, διότι δεν ήταν απαραίτητη για τον σκοπό της σύμβασης ούτε ήταν ευλόγως αναμενόμενη για το υποκείμενο, το οποίο είχε εναντιωθεί ρητά στη χρήση και διαβίβαση των δεδομένων του για προωθητικούς σκοπούς ενώ δεν αποδείχθηκε ότι ο καταγγέλλων είχε ενημερωθεί πλήρως σύμφωνα με το άρθρο 13 ΓΚΠΔ για την εν λόγω επεξεργασία. Στην εταιρεία επιβλήθηκε πρόστιμο ύψους 10.000 ευρώ και δόθηκε εντολή να προσαρμόσει κατάλληλα την πρακτική της αναφορικά με τις εν λόγω πρόσθετες παροχές ώστε να παρέχεται στα υποκείμενα πλήρης ενημέρωση και δυνατότητα εναντίωσης

Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Διοικητικό Έγγραφο

ΑΠΟΦΑΣΗ 5/2023
Αθήνα, 02-02-2023
Αριθ. Πρωτ.: 268
(Τμήμα)
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε, μετά από πρόσκληση του Προέδρου της, σε τακτική συνεδρίαση σε σύνθεση Τμήματος στην έδρα της την 11/01/2023, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Στη συνεδρίαση μετείχε μέσω τηλεδιάσκεψης ο Γεώργιος Μπατζαλέξης, Αναπληρωτής Πρόεδρος, κωλυομένου του Προέδρου της Αρχής, Κωνσταντίνου Μενουδάκου, και παρέστησαν το αναπληρωματικό μέλος Νικόλαος Φαλδαμής, ως εισηγητής, καθώς και τα αναπληρωματικά μέλη Δημοσθένης Βουγιούκας και Μαρία Ψάλλα, σε αντικατάσταση των τακτικών μελών Κωνσταντίνου Λαμπρινουδάκη και Γρηγόριου Τσόλια οι οποίοι δεν παρέστησαν λόγω κωλύματος αν και κλήθηκαν νομίμως εγγράφως. Στη συνεδρίαση παρέστη, με εντολή του Προέδρου χωρίς δικαίωμα ψήφου, η Χάρις Συμεωνίδου, ειδική επιστήμονας – ελέγκτρια ως βοηθός εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων της Αρχής, ως γραμματέας.
H Αρχή έλαβε υπόψη τα παρακάτω:
Με τη με αριθ. πρωτ..../05-08-2021 καταγγελία του ο Α (στο εξής καταγγέλλων), στρέφεται κατά της εταιρείας ... Α.Ε.Ε.Τ. (στο εξής καταγγελλόμενη), παραπονούμενος για παράνομη επεξεργασία και διαβίβαση σε τρίτη εταιρεία των προσωπικών του δεδομένων με σκοπό την απευθείας εμπορική προώθηση, παρά τη ρητή εναντίωσή του ως υποκειμένου. Ειδικότερα, σύμφωνα με την καταγγελία, τον …, ο καταγγέλλων απέκτησε νέα τηλεφωνική σύνδεση καρτοκινητού ... με αριθμό τον οποίο μετέφερε από άλλο δίκτυο (…). Στο πλαίσιο αυτό, ο καταγγέλλων υπέβαλε στις … στην καταγγελλόμενη υπεύθυνη δήλωση σχετικά με τα στοιχεία τηλεφωνικού καταλόγου και τις επιλογές του ως προς τη χρήση των προσωπικών του δεδομένων, με βάση τις οποίες αντιτάχθηκε ρητώς (επιλέγοντας την ένδειξη «ΔΕΝ ΣΥΝΑΙΝΩ» στο προδιατυπωμένο έντυπο της καταγγελλόμενης), μεταξύ άλλων, στις παρακάτω ενέργειες: «στην επεξεργασία εκ μέρους της ... των προσωπικών δεδομένων του και στην ανακοίνωσή τους σε συνεργαζόμενες ή συνδεδεμένες εταιρείες, συνιστάμενα σε στοιχεία προσδιοριστικά της ταυτότητας του και πληροφορίες που αφορούν τις υπηρεσίες που χρησιμοποιεί, με σκοπό την παροχή προσωποποιημένης εξυπηρέτησης και την εμπορική προώθηση εξατομικευμένων προϊόντων ή υπηρεσιών ...», «στην επεξεργασία εκ μέρους της ... προσωπικών δεδομένων του και ανακοίνωσή τους σε συνεργαζόμενες ή συνδεδεμένες εταιρείες τα οποία και σχετίζονται με τη συμπεριφορά του όταν περιηγείται στο διαδίκτυο ή τις συνήθειές του βάσει των δεδομένων κίνησης και θέσης που έχει στη διάθεσή της η ... καθώς και τα δεδομένα που αφορούν τις συσκευές του, με σκοπό την προσωποποιημένη εξυπηρέτηση και εμπορική προώθηση εξατομικευμένων προϊόντων ή υπηρεσιών ...», «στη λήψη διαφημιστικών επικοινωνιών με σκοπό την προσαρμοσμένη στα ενδιαφέροντά του εμπορική προώθηση προϊόντων ή υπηρεσιών ... χωρίς ανθρώπινη παρέμβαση», «στη λήψη διαφημιστικών επικοινωνιών με ανθρώπινη παρέμβαση». Παρ’ όλα αυτά, όπως καταγγέλλεται, στις … ο καταγγέλλων παρέλαβε μέσω εταιρείας ταχυμεταφορών, χωρίς να έχει προηγηθεί παραγγελία εκ μέρους του, δέμα με το λογότυπό της καταγγελλόμενης (...), με αποστολέα την εταιρεία ... A.E. και διαφημιστικό περιεχόμενο (εμπορικά δείγματα, εκπτωτικά κουπόνια κ.λπ.). Κατόπιν σχετικής διαμαρτυρίας του μέσω e-mail στη διεύθυνση data.privacy.gr@....com την ίδια ημέρα, για το γεγονός ότι παρά τη ρητή του εναντίωση η καταγγελλόμενη κοινοποίησε σε τρίτη διαφημιστική εταιρεία, τουλάχιστον το ονοματεπώνυμό του, τη διεύθυνσή του και τον τηλεφωνικό του αριθμό για σκοπούς εμπορικής προώθησης, ο καταγγέλλων έλαβε, όπως αναφέρει, εκ μέρους της καταγγελλόμενης την απάντηση ότι «η συγκεκριμένη ενέργεια έλαβε χώρα στο πλαίσιο της πελατοκεντρικής φιλοσοφίας της ... […] ως ένα μικρό «ευχαριστώ» από μέρους σας […] και δεν αποτελεί σε καμία περίπτωση προωθητική ενέργεια», ενώ επιπλέον η καταγγελλόμενη του δήλωσε ότι «τα προσωπικά δεδομένα του [ονοματεπώνυμο και διεύθυνση] για την αποστολή του δέματος διαβιβάστηκαν στη συνεργαζόμενη προς τούτο εταιρεία «... ΑΕ», η οποία προέβη για λογαριασμό της ... στη σχετική διανομή, αποκλειστικά και μόνο για την περαίωση της εν λόγω διανομής και ακολούθως διεγράφησαν πλήρως από αυτή».
Η Αρχή, στο πλαίσιο εξέτασης της ανωτέρω καταγγελίας, με το με αριθ. πρωτ. .../04-11-2021 έγγραφό της, κάλεσε την καταγγελλόμενη να εκθέσει τις απόψεις της επί των καταγγελλομένων, διευκρινίζοντας ιδίως, ποια είναι η Πολιτική που εφαρμόζει όσον αφορά τις αποστολές διαφημιστικού υλικού μέσω ταχυδρομείου και με ποιο τρόπο λαμβάνονται υπόψη οι αντιρρήσεις που τυχόν έχουν εκφραστεί από το υποκείμενο κατά τη σύναψη της σύμβασης, όπως στην περίπτωση του καταγγέλλοντος εν προκειμένω.
Η καταγγελλόμενη στην από …απάντησή της (με αρ. πρωτ. Αρχής .../23-11-2021) υποστηρίζει ότι η αποστολή του συγκεκριμένου πακέτου – δώρου στον καταγγέλλοντα δεν αποτελεί ενέργεια με σκοπό την προώθηση, αλλά αποτελεί παρεπόμενη παροχή της ήδη καταρτισθείσας μεταξύ των μερών σύμβασης παροχής τηλεπικοινωνιακών υπηρεσιών. Η εν λόγω παρεπόμενη παροχή αφορά, κατά την ίδια απάντηση, όλους τους νέους συνδρομητές που εγγράφονται μέσω της ιστοσελίδας www...., ανεξάρτητα από τις επιλογές τους σχετικά με τις προωθητικές ενέργειες («Η αποστολή του δώρου δεν είχε προωθητικό σκοπό, έλαβε χώρα στο πλαίσιο της ήδη συναφθείσας σύμβασης και αφορούσε στους νέους συνδρομητές, που υπέβαλαν με ηλεκτρονικό τρόπο την αίτηση τους, ήτοι μέσω της ιστοσελίδας της εταιρείας. Για το λόγο αυτό οι επιλογές του συνδρομητή, που έχουν δηλωθεί κατά την κατάρτιση της σύμβασής του με την Eταιρεία μας και αφορούν την επεξεργασία των προσωπικών του δεδομένων για σκοπούς εμπορικής προώθησης, δεν τυγχάνουν, εν προκειμένω, εφαρμογής, και ως εκ τούτου δεν ελήφθησαν υπόψιν κατά την αποστολή του δέματος στον καταγγέλλοντα»).
Παράλληλα, από την επισκόπηση της παρεχόμενης προς τα υποκείμενα ενημέρωσης στην ιστοσελίδα της καταγγελλόμενης (https://www.....gr/privacy-policy/#?panel=note-403), προκύπτει ότι στο κείμενο αυτό δεν γίνεται οποιαδήποτε αναφορά στην υπό κρίση επεξεργασία δεδομένων των νέων συνδρομητών.
Δεδομένων των ανωτέρω, η Αρχή, με σχετικές κλήσεις κάλεσε τους εμπλεκόμενους στο συμβούλιο του Τμήματος της Αρχής στις 02-11-2022, προκειμένου να εκθέσουν τις απόψεις τους για την υπόθεση.
Κατά τη συνεδρίαση παρέστησαν εκ μέρους της καταγγελλόμενης εταιρείας οι πληρεξούσιοι δικηγόροι της Εμμανουήλ Χαλκιαδάκης (…), Απόστολος Βόρρας (…), Εμμανουήλ Δημογεροντάκης (…) και Κωνσταντίνα – Μαρία Καροπούλου (…) και ο Β, Υπεύθυνος Προστασίας Δεδομένων της εταιρείας, ενώ ο καταγγέλλων δεν παρέστη αλλά υπέβαλε το υπ’ αρ. πρωτ. .../27-10-2022 υπόμνημά του. Κατά τη συνεδρίαση η καταγγελλόμενη έλαβε προθεσμία και στη συνέχεια κατέθεσε εμπροθέσμως το υπ’ αρ. πρωτ. .../21-11-2022 έγγραφο υπόμνημά της, αφού προηγουμένως ζήτησε και έλαβε αντίγραφο του ως άνω υπομνήματος του καταγγέλλοντος.
Με το υπόμνημά του ο καταγγέλλων ανέφερε ότι τα πραγματικά περιστατικά που εκθέτει στην καταγγελία του συνομολογούνται από την καταγγελλόμενη μέσω του .../23-11-2021 εγγράφου απόψεών της, ενώ επεσήμανε ότι σε αντίθεση με τα υποστηριζόμενα από την καταγγελλόμενη, διαβιβάστηκε όχι μόνο το ονοματεπώνυμο και η διεύθυνσή του αλλά και ο αριθμός κινητού τηλεφώνου του. Όσον αφορά το είδος και το σκοπό της επικοινωνίας που έλαβε ο καταγγέλλων τόνισε ότι το δέμα που παρέλαβε περιείχε κατά κύριο λόγο εμπορικά δείγματα διάφορων καταναλωτικών προϊόντων, όπως κάψουλες καφέ, αποσμητικό σώματος, συσκευασία στιγμιαίας σούπας, αναψυκτικό κλπ., ενώ, όπως ανέφερε, δεν γίνεται αντιληπτή κάποια άμεση σύνδεση των εν λόγω δειγμάτων με το κύριο αντικείμενο της υποκείμενης σχέσης του με την καταγγελλόμενη εταιρεία, η οποία συνιστά σύμβαση παροχής τηλεπικοινωνιών υπηρεσιών, επαναλαμβάνοντας ότι στο δέμα περιλαμβανόταν συνοδευτικό φυλλάδιο στο οποίο αναφέρονταν τα εξής: «Γίνε κι εσύ ...» … «…μπες στο www.... κάνε κλικ εκεί που πρέπει για να γραφτείς, συμπλήρωσε τα στοιχεία σου» (…) και προτροπή «άνοιξέ το, δοκίμασέ το, ζήσε το, μοιράσου το στα κοινωνικά δίκτυα» (στα αγγλικά), συμπεραίνοντας ότι πρόκειται για επικοινωνία με χαρακτήρα διαφημιστικής – εμπορικής προώθησης. Η καταγγελλόμενη τόσο κατά την ακρόαση όσο και με το υπόμνημά της, υποστήριξε τα εξής:
α) Ότι δεν επρόκειτο για επικοινωνία με σκοπό την εμπορική προώθηση, καθώς η εταιρεία έχει επιλέξει να μην πραγματοποιεί ενέργειες εμπορικής προώθησης μέσω ταχυδρομείου.
β) Ότι σκοπός της αποστολής του δέματος εν προκειμένω ήταν η εκπλήρωση της σχετικής παρεπόμενης υποχρέωσης που είχε αναλάβει βάσει σύμβασης, στο πλαίσιο απόφασης που έχει λάβει η εταιρεία να επιβραβεύει τους νέους πελάτες της με διάφορους τρόπους που εμφανίζονται κατά καιρούς στην ιστοσελίδα της, στη συγκεκριμένη περίπτωση δε με την αποστολή του εν λόγω δώρου που ήταν ευτελούς αξίας.
γ) Ότι για το λόγο αυτό δεν έλαβε υπόψη κατά την αποστολή του δώρου την από … υπεύθυνη δήλωση του καταγγέλλοντος, στην οποία ο τελευταίος είχε δηλώσει την εναντίωσή του σε προωθητικές ενέργειες.
δ) Ότι αναφορικά με την επεξεργασία δεδομένων των συνδρομητών της για τον παραπάνω σκοπό η ίδια είναι υπεύθυνος επεξεργασίας, ενώ η ... A.E. εκτελούσα την επεξεργασία. Όμως, για την επεξεργασία δεδομένων που συλλέγονται μέσω της ιστοσελίδας www.... της ..., Υπεύθυνος Επεξεργασίας είναι η τελευταία.
ε) Ότι η σχετική ενημέρωση παρεχόταν κατά το χρόνο των πραγματικών περιστατικών στην ιστοσελίδα από την οποία ο καταγγέλλων αιτήθηκε νέα συνδρομή, ενώ ο ίδιος ενημερώθηκε και με sms πριν την αποστολή του δέματος.
στ) Ότι η ενέργεια αυτή εμπίπτει στη σύμβασή της με τον καταγγέλλοντα, και ότι αν από την Αρχή κρινόταν ότι απαιτείται συγκατάθεση ώστε οι συνδρομητές να λαμβάνουν επωφελείς πρόσθετες παροχές για λόγους επιβράβευσης, αυτό θα είχε πολύ σημαντικές συνέπειες, αφού δεν θα μπορούσαν να σταλούν μηνύματα ενημέρωσης για την παροχή π.χ. επιπλέον GB, χρόνου ομιλίας κλπ. και οι εν λόγω παροχές προς συνδρομητές θα εξαρτώνταν από την παροχή της συγκατάθεσής τους, η οποία δεν θα ήταν ελεύθερη αφού θα παρεχόταν έναντι οικονομικού οφέλους.
ζ) Στην ερώτηση μέλους της Αρχής εάν παρέχεται δικαίωμα σύναψης σύμβασης χωρίς τη λήψη του εν λόγω δώρου, η εταιρεία επιφυλάχθηκε να απαντήσει με το υπόμνημα. Ωστόσο δεν δόθηκε σχετική απάντηση στο υπόμνημά της.
Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου και αφού άκουσε τον εισηγητή και τις διευκρινίσεις από τη βοηθό εισηγητή, η οποία παρέστη χωρίς δικαίωμα ψήφου, κατόπιν διεξοδικής συζητήσεως,
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Από τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμού (ΕΕ) 2016/679 – εφεξής, ΓΚΠΔ) και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Ειδικότερα, από τις διατάξεις των άρθρων 57 παρ. 1 στοιχ. στ΄ του ΓΚΠΔ και 13 παρ. 1 στοιχ. ζ΄ του νόμου 4624/2019 προκύπτει ότι η Αρχή έχει αρμοδιότητα να επιληφθεί της καταγγελίας του Α κατά της ... Α.Ε.Ε.Τ. και να ασκήσει, αντίστοιχα, τις εξουσίες που της απονέμονται από τις διατάξεις των άρθρων 58 του ΓΚΠΔ και 15 του νόμου 4624/2019.
2. Με το άρθρο 5 παρ. 1 του Γενικού Κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (εφεξής ΓΚΠΔ) τίθενται οι αρχές που πρέπει να διέπουν μια επεξεργασία. Ειδικότερα, στην παράγραφο 1 ορίζεται ότι: «Τα δεδομένα προσωπικού χαρακτήρα: α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»), […]». Σύμφωνα δε με την αρχή της λογοδοσίας που εισάγεται με τη δεύτερη παράγραφο του ως άνω άρθρου, ο υπεύθυνος επεξεργασίας «φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»)». Η αρχή αυτή, η οποία συνιστά ακρογωνιαίο λίθο του ΓΚΠΔ, συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει τη συμμόρφωσή του προς την εποπτική αρχή.
3. Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο των δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις πληροφορίες που ορίζει το άρθρο 13 παρ. 1 και 2 ΓΚΠΔ. Σύμφωνα με τις Κατευθυντήριες Γραμμές της ΟΕ 29 σχετικά με τη διαφάνεια (WP260 rev.01) κατά την ενημέρωση των υποκειμένων σύμφωνα με τα άρθρα 13-14 ΓΚΠΔ, οι παρεχόμενες πληροφορίες θα πρέπει να είναι συγκεκριμένες και οριστικές: «Η χρήση γλωσσικών προσδιορισμών όπως «ενδέχεται», «ορισμένος», «συχνά» και «πιθανός» θα πρέπει επίσης να αποφεύγεται. Όταν οι υπεύθυνοι επεξεργασίας δεδομένων επιλέγουν να χρησιμοποιούν αόριστη διατύπωση, θα πρέπει να είναι σε θέση, σύμφωνα με την αρχή της λογοδοσίας, να αποδεικνύουν τον λόγο για τον οποίο η χρήση τέτοιας διατύπωσης δεν ήταν δυνατό να αποφευχθεί και γιατί δεν υπονομεύει τη νομιμότητα της επεξεργασίας» (§ 13).
4. Σύμφωνα με το άρθρο 6 παρ. 1 του ΓΚΠΔ «1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας, δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί». Επιπλέον, η παράγραφος 4 του ιδίου άρθρου ορίζει ότι «όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων: α) τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας, β) το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπευθύνου επεξεργασίας, γ) τη φύση των δεδομένων προσωπικού χαρακτήρα, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 9, ή κατά πόσο δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 10, δ) τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων, ε) την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση». Περαιτέρω, σύμφωνα με τις Αιτιολογικές Σκέψεις 47 και 50 του ΓΚΠΔ «Τα έννομα συμφέροντα του υπευθύνου επεξεργασίας, περιλαμβανομένων εκείνων ενός υπευθύνου επεξεργασίας στον οποίο μπορούν να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα ή τρίτων, μπορεί να παρέχουν τη νομική βάση για την επεξεργασία, υπό τον όρο ότι δεν υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, λαμβάνοντας υπόψη τις θεμιτές προσδοκίες των υποκειμένων των δεδομένων βάσει της σχέσης τους με τον υπεύθυνο επεξεργασίας. Τέτοιο έννομο συμφέρον θα μπορούσε λόγου χάρη να υπάρχει όταν υφίσταται σχετική και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, όπως αν το υποκείμενο των δεδομένων είναι πελάτης του υπευθύνου επεξεργασίας ή βρίσκεται στην υπηρεσία του. Εν πάση περιπτώσει η ύπαρξη έννομου συμφέροντος θα χρειαζόταν προσεκτική αξιολόγηση, μεταξύ άλλων ως προς το κατά πόσον το υποκείμενο των δεδομένων, κατά τη χρονική στιγμή και στο πλαίσιο της συλλογής των δεδομένων προσωπικού χαρακτήρα, μπορεί εύλογα να αναμένει ότι για τον σκοπό αυτό μπορεί να πραγματοποιηθεί επεξεργασία. Ειδικότερα, τα συμφέροντα και τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων θα μπορούσαν να υπερισχύουν των συμφερόντων του υπευθύνου επεξεργασίας, όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε περιπτώσεις κατά τις οποίες το υποκείμενο των δεδομένων δεν αναμένει ευλόγως περαιτέρω επεξεργασία των δεδομένων του» (Αιτ. 47) και «Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά θα πρέπει να επιτρέπεται μόνο εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά. Σε αυτήν την περίπτωση, δεν απαιτείται νομική βάση χωριστή από εκείνη που επέτρεψε τη συλλογή των δεδομένων προσωπικού χαρακτήρα. […] Για να εξακριβωθεί αν ο σκοπός της περαιτέρω επεξεργασίας είναι συμβατός με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, εφόσον πληροί όλες τις απαιτήσεις για τη νομιμότητα της αρχικής επεξεργασίας, θα πρέπει να λάβει υπόψη, μεταξύ άλλων: τυχόν συνδέσμους μεταξύ των σκοπών αυτών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας· το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους· τη φύση των δεδομένων προσωπικού χαρακτήρα· τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων· και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας» (Αιτ. 50).
5. Το άρθρο 21 παρ. 1-3 του ΓΚΠΔ περί του δικαιώματος εναντίωσης προβλέπει τα εξής: «1. Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο ε) ή στ), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. 2. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση. 3. Όταν τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς».
6. Στην υπό εξέταση περίπτωση, από τα στοιχεία του φακέλου και μετά την ακροαματική διαδικασία προέκυψαν τα εξής:
Τον … του …, ο καταγγέλλων απέκτησε νέα τηλεφωνική σύνδεση καρτοκινητού ... με αριθμό τον οποίο μετέφερε από άλλο δίκτυο (…), υποβάλλοντας τη σχετική αίτηση μέσω της ιστοσελίδας www.... . Στο πλαίσιο αυτό ο καταγγέλλων υπέβαλε στις … στην καταγγελλόμενη υπεύθυνη δήλωση σχετικά με τα στοιχεία τηλεφωνικού καταλόγου και τις επιλογές του ως προς τη χρήση των προσωπικών του δεδομένων, με τις οποίες αντιτάχθηκε ρητώς (επιλέγοντας την ένδειξη «ΔΕΝ ΣΥΝΑΙΝΩ» στο προδιατυπωμένο έντυπο της καταγγελλόμενης), μεταξύ άλλων, στις παρακάτω ενέργειες: «στην επεξεργασία εκ μέρους της ... των προσωπικών δεδομένων του και στην ανακοίνωσή τους σε συνεργαζόμενες ή συνδεδεμένες εταιρείες, συνιστάμενα σε στοιχεία προσδιοριστικά της ταυτότητας του και πληροφορίες που αφορούν τις υπηρεσίες που χρησιμοποιεί, με σκοπό την παροχή προσωποποιημένης εξυπηρέτησης και την εμπορική προώθηση εξατομικευμένων προϊόντων ή υπηρεσιών ...», «στην επεξεργασία εκ μέρους της ... προσωπικών δεδομένων του και ανακοίνωσή τους σε συνεργαζόμενες ή συνδεδεμένες εταιρείες τα οποία και σχετίζονται με τη συμπεριφορά του όταν περιηγείται στο διαδίκτυο ή τις συνήθειές του βάσει των δεδομένων κίνησης και θέσης που έχει στη διάθεσή της η ... καθώς και τα δεδομένα που αφορούν τις συσκευές του, με σκοπό την προσωποποιημένη εξυπηρέτηση και εμπορική προώθηση εξατομικευμένων προϊόντων ή υπηρεσιών ...», «στη λήψη διαφημιστικών επικοινωνιών με σκοπό την προσαρμοσμένη στα ενδιαφέροντά του εμπορική προώθηση προϊόντων ή υπηρεσιών ... χωρίς ανθρώπινη παρέμβαση», «στη λήψη διαφημιστικών επικοινωνιών με ανθρώπινη παρέμβαση». Ακολούθως, στις … ο καταγγέλλων παρέλαβε μέσω εταιρείας ταχυμεταφορών, δέμα με το λογότυπο ..., με αποστολέα την ... A.E. και διαφημιστικό περιεχόμενο (εμπορικά δείγματα, εκπτωτικά κουπόνια κ.λπ.), στο οποίο περιλαμβανόταν φυλλάδιο που διαφήμιζε την ιστοσελίδα www.... της εν λόγω διαφημιστικής εταιρείας («Γίνε κι εσύ ...» … «…μπες στο www...., κάνε κλικ εκεί που πρέπει για να γραφτείς, συμπλήρωσε τα στοιχεία σου» (…) «άνοιξέ το, δοκίμασέ το, ζήσε το, μοιράσου το στα κοινωνικά δίκτυα»). Κατόπιν σχετικής διαμαρτυρίας του μέσω e-mail στη διεύθυνση data.privacy.gr@....com την ίδια ημέρα, για το γεγονός ότι παρά τη ρητή του εναντίωση η καταγγελλόμενη κοινοποίησε σε τρίτη διαφημιστική εταιρεία, τουλάχιστον το ονοματεπώνυμό του, τη διεύθυνσή του και τον τηλεφωνικό του αριθμό για σκοπούς εμπορικής προώθησης, ο καταγγέλλων έλαβε την απάντηση ότι η συγκεκριμένη ενέργεια έλαβε χώρα στο πλαίσιο της πελατοκεντρικής φιλοσοφίας της ... ως ένα μικρό «ευχαριστώ», ότι δεν αποτελεί προωθητική ενέργεια, και ότι τα δεδομένα του διαβιβάστηκαν για τον σκοπό αυτό στην εταιρεία ... Α.Ε. η οποία προέβη για λογαριασμό της ... στη σχετική διανομή και ακολούθως διεγράφησαν πλήρως από αυτή. Η καταγγελλόμενη προσκόμισε στην Αρχή την από 17/7/2018 Σύμβαση Επεξεργασίας Δεδομένων (Data Processing Agreement) μεταξύ της ... ως Υπευθύνου Επεξεργασίας και της ... A.E. ως εκτελούσας την επεξεργασία. Σύμφωνα με το Παράρτημα 3 (Schedule 3) της εν λόγω σύμβασης, η εκτελούσα την επεξεργασία είναι διαφημιστική εμπορική εταιρεία (“advertising and commercial company”), σκοπός της επεξεργασίας προσωπικών δεδομένων για λογαριασμό της ... εκ μέρους της είναι η προσέλκυση νέων συνδρομητών (“Purpose of the processing: Recruitment of new subscribers”), ενώ όσον αφορά την περίοδο διατήρησης των δεδομένων (“Retention period”) δεν αναφέρεται οποιοδήποτε χρονικό διάστημα (“no”). Σύμφωνα με την καταγγελλόμενη, η αποστολή του εν λόγω δώρου ήταν παρεπόμενη παροχή της σύμβασης του καταγγέλλοντος, αν και δεν προέκυψε ότι η παροχή αυτή προβλεπόταν στο κείμενο της σύμβασής του, η οποία είχε ως κύριο αντικείμενο την παροχή τηλεπικοινωνιακών υπηρεσιών. Η καταγγελλόμενη υποστηρίζει ότι ο καταγγέλλων ενημερώθηκε αφ’ ενός μεν για το γεγονός ότι κάθε διαδικτυακή παραγγελία νέας κάρτας Sim ... συνοδεύεται από τη λήψη δώρου, μέσω του σχετικού banner που βρίσκεται αναρτημένο στο διαδικτυακό τόπο www....., αφ’ ετέρου δε για την αποστολή του συγκεκριμένου δέματος, μέσω ενημερωτικού μηνύματος sms που έλαβε στο κινητό του τηλέφωνο τρεις ημέρες πριν την αποστολή του δώρου, αν και η αποστολή τέτοιου ενημερωτικού μηνύματος sms δεν τεκμηριώθηκε από την καταγγελλόμενη ούτε επιβεβαιώθηκε από τον καταγγέλλοντα. Επιπλέον, η καταγγελλόμενη δεν απάντησε στην ερώτηση εάν είναι δυνατή η σύναψη σύμβασης χωρίς την αποστολή του δώρου, από το υπόμνημά της όμως προέκυψε η θέση της ότι είχε αναλάβει τη δέσμευση να παρέχει «ως παρεπόμενη υποχρέωση της κύριας σύμβασης τηλεπικοινωνιακών υπηρεσιών, να παρέχει ορισμένα δώρα, αδιακρίτως, στους συνδρομητές της» (σελ. 3 υπομνήματος). Επομένως προέκυψε ότι δεν παρεχόταν δυνατότητα εναντίωσης στην εν λόγω παρεπόμενη παροχή: κάθε αίτηση για νέα κάρτα sim ... μέσω της ιστοσελίδας www.... είχε ως συνέπεια την ως άνω περιγραφόμενη επεξεργασία, δηλαδή τη διαβίβαση των δεδομένων του νέου συνδρομητή στην εκτελούσα την επεξεργασία ... A.E., με σκοπό επεξεργασίας, σύμφωνα με την ανωτέρω μεταξύ τους σύμβαση, «την προσέλκυση νέων συνδρομητών» και τη χρήση των δεδομένων για την αποστολή δέματος με διαφημιστικό περιεχόμενο (εμπορικά δείγματα και προώθηση της ιστοσελίδας www....). Όσον αφορά τη διαφάνεια της επεξεργασίας, στη γενική ενημέρωση που περιλαμβάνεται στη σελίδα της καταγγελλόμενης https://www..../privacy-policy/ αναφορικά με την εκτέλεση της σύμβασης αναφέρονται τα εξής: «Εκτέλεση σύμβασης: Η ... επεξεργάζεται τα προσωπικά σας δεδομένα στο πλαίσιο εκτέλεσης της σύμβασής σας ή σύναψης νέας σύμβασης μαζί σας, όπως επίσης και για να είναι σε θέση να προβεί σε ενέργειες που σχετίζονται με τα αιτήματά σας. Ενδεικτικά, η επεξεργασία αυτή πραγματοποιείται για να μπορείτε να πραγματοποιείτε κλήσεις, να αποστέλλετε και να λαμβάνετε γραπτά μηνύματα (SMS), να περιηγείστε στο διαδίκτυο και για να είμαστε εν γένει σε θέση να σας παρέχουμε συνδεσιμότητα. Αυτό μας επιτρέπει επίσης, να εκδίδουμε το λογαριασμό σας, με βάση τη χρήση σας και να διεξάγουμε πιστωτικούς ελέγχους, όταν υποβάλλετε σχετικό αίτημα για ένα προϊόν ή μια υπηρεσία». Αναφορικά δε με τις προωθητικές ενέργειες αναφέρονται τα εξής: «Προωθητικές ενέργειες - Για να σας κρατάμε ενήμερους γενικά για νέα προϊόντα και υπηρεσίες, θα σας στέλνουμε ενημερωτικά δελτία, θα σας προσκαλούμε να συμμετάσχετε σε έρευνα ή θα σας ενημερώνουμε για προσφορές ή διαγωνισμούς. Προσαρμόζουμε αυτά τα μηνύματα με βάση τα είδη των προϊόντων και των υπηρεσιών που έχετε αγοράσει από εμάς, μόνο σε περίπτωση που μας έχετε δώσει προηγουμένως τη ρητή συγκατάθεσή σας να επεξεργαστούμε αυτές τις πληροφορίες για το σκοπό αυτό.[…] Αν μας έχετε δώσει τη συγκατάθεσή σας, θα επικοινωνήσουμε μαζί σας για να σας ενημερώσουμε για προϊόντα και υπηρεσίες άλλων εταιρειών του Ομίλου ... και άλλων εταιρειών που πιστεύουμε ότι μπορεί να σας ενδιαφέρουν (εκτός εάν εξαιρεθείτε από αυτά τα μηνύματα μάρκετινγκ από εμάς)». Επομένως, παρά τον αντίθετο ισχυρισμό της καταγγελλόμενης, από την εν λόγω ενημέρωση δεν προκύπτει ότι η εταιρεία μπορεί στο πλαίσιο εκτέλεσης της σύμβασης να αποστέλλει κάθε είδους δώρα, μη συναφή με το κύριο αντικείμενο της σύμβασης, ούτε να διαβιβάζει τα δεδομένα των συνδρομητών της σε τρίτους για το σκοπό αυτό. Πρέπει δε να σημειωθεί ότι ο σκοπός κάθε τέτοιου είδους πρόσθετης παροχής είναι κατ’ εξοχήν διαφημιστικός: από τη σύμβαση της καταγγελλόμενης με την εκτελούσα την επεξεργασία, διαφημιστική εταιρεία ... A.E. προκύπτει ότι σκοπός διαβίβασης και επεξεργασίας των δεδομένων των συνδρομητών είναι «η προσέλκυση νέων συνδρομητών». Προς το σκοπό αυτό, αρχικά εμφανίζεται διαφημιστικό banner κατά καιρούς στην ιστοσελίδα www.... μέσω του οποίου όλοι οι υποψήφιοι συνδρομητές ενημερώνονται για το δώρο της τρέχουσας περιόδου, το οποίο αποστέλλεται σε όσους επιλέξουν να γίνουν συνδρομητές, ως επιβράβευση. Η επεξεργασία των δεδομένων των συνδρομητών αυτών για την αποστολή του δώρου, παρότι έπεται χρονικά της υπογραφής της σύμβασης, εξυπηρετεί ακριβώς το σκοπό της υλοποίησης της προωθητικής ενέργειας που έχει ξεκινήσει με την τοποθέτηση διαφημιστικού banner στην ιστοσελίδα του παρόχου, και δεν μπορεί να θεωρηθεί ότι αποτελεί επεξεργασία απαραίτητη για την εκτέλεση της σύμβασης, κατά τρόπο ώστε η σχετική επεξεργασία να εμπίπτει στη νομική βάση του άρθρου 6 παρ. 1 β). Πρέπει να σημειωθεί ότι η επεξεργασία των δεδομένων συνδρομητών με σκοπό την προσφορά πρόσθετων παροχών, όπως αυτές που επικαλείται η καταγγελλόμενη στη σελ. 3 του υπομνήματός της (δώρα όπως δωρεάν μηνύματα, επιπλέον λεπτά ομιλίας, MB, ή ηλεκτρονικές συσκευές σχετικές με την κινητή τηλεφωνία, όπως ηχεία ή power banks) και στη σελ. 5 του υπομνήματός της (παροχή δωρεάν δεδομένων (MB) ενόψει εορταστικής περιόδου, παροχή προνομίων σε περίπτωση ηλεκτρονικής εξόφλησης λογαριασμού, παροχή δωρεάν συσκευής κινητού τηλεφώνου σε σεισμόπληκτους κλπ., ή παροχή προνομίων και δωρεάν αναβάθμιση υπηρεσιών σε ορισμένες περιοχές), δηλαδή παροχών που είναι συναφείς με το κύριο αντικείμενο της σύμβασης, θα μπορούσε, κατά περίπτωση και υπό προϋποθέσεις, είτε να αποτελεί επεξεργασία για περαιτέρω συμβατό σκοπό σύμφωνα με το άρθρο 6 παρ. 4 ΓΚΠΔ είτε να εμπίπτει στη νομική βάση του άρθρου 6 παρ. 1 στ) ΓΚΠΔ (υπέρτερο έννομο συμφέρον του παρόχου να προωθεί συναφή προϊόντα και τις υπηρεσίες της στους συνδρομητές της), σε καμία περίπτωση όμως δεν δύναται να εμπίπτει στη νομική βάση της εκτέλεσης σύμβασης (άρθρο 6 παρ. 1 β) ΓΚΠΔ), αφού οι εν λόγω πρόσθετες παροχές εξ ορισμού δεν είναι απαραίτητες για την εκτέλεση της σύμβασης. Συνεπώς η εν λόγω επεξεργασία ούτως ή άλλως εξαρτάται από τη «μη αντίταξη» του υποκειμένου των δεδομένων, το οποίο έχει το δικαίωμα εναντίωσης σε αυτή, σύμφωνα με το άρθρο 21 παρ. 1 ΓΚΠΔ. Για τον λόγο αυτό άλλωστε η καταγγελλόμενη περιλαμβάνει σχετική επιλογή στο έντυπο της σύμβασης νέου συνδρομητή, στην οποία ο καταγγέλλων μάλιστα επέλεξε την ένδειξη «ΔΕΝ ΣΥΝΑΙΝΩ» («…στη λήψη διαφημιστικών επικοινωνιών με σκοπό την προσαρμοσμένη στα ενδιαφέροντά του εμπορική προώθηση προϊόντων ή υπηρεσιών ... χωρίς ανθρώπινη παρέμβαση» και «Δεν επιθυμώ να δέχομαι γενικώς τέτοιες κλήσεις», δηλ. κλήσεις με ανθρώπινη παρέμβαση για κάθε είδους διαφημιστικούς σκοπούς συμπεριλαμβανομένης της ...). Αντιθέτως, στην περίπτωση των πρόσθετων παροχών οι οποίες δεν σχετίζονται με το κύριο αντικείμενο της σύμβασης, όπως συνέβη εν προκειμένω, η επεξεργασία των δεδομένων των συνδρομητών δεν μπορεί να θεωρηθεί ότι εξυπηρετεί σκοπό συμβατό με αυτόν της αρχικής συλλογής τους, λαμβάνοντας υπόψη τα κριτήρια του άρθρου 6 παρ. 4, καθώς μια τέτοια επεξεργασία δεν είναι συναφής ούτε ευλόγως αναμενόμενη για το υποκείμενο, το οποίο ως συμβαλλόμενο μέρος επιθυμεί κατ’ αρχήν να λαμβάνει υπηρεσίες σχετικές με την κινητή τηλεφωνία. Σύμφωνα με τη βασική αρχή του περιορισμού του σκοπού (άρθρο 5 παρ. 1 β) ΓΚΠΔ), ο υπεύθυνος επεξεργασίας δεν επιτρέπεται να εντάσσει στη νομική βάση της εκτέλεσης της σύμβασης κατά τρόπο αυθαίρετο οποιαδήποτε ενέργεια που συνεπάγεται επεξεργασία δεδομένων, με την αιτιολογία ότι η ενέργεια αυτή είναι επωφελής (οικονομικά) για τα υποκείμενα. Για το λόγο αυτό, η επεξεργασία δεδομένων συνδρομητών για τέτοιου είδους πρόσθετες παροχές δεν μπορεί να ενταχθεί στη νομική βάση του άρθρου 6 παρ. 1 β) (εκτέλεση σύμβασης). Πολύ περισσότερο δε, απαιτείται χωριστός έλεγχος για τη νομιμότητα του σκοπού και ακολούθως επιλογή κατάλληλης νομικής βάσης επεξεργασίας, όταν οι εν λόγω παροχές προϋποθέτουν τη διαβίβαση προσωπικών δεδομένων των συνδρομητών σε τρίτο αποδέκτη αλλά και τη χρήση τους για τον σκοπό της προώθησης των προϊόντων/υπηρεσιών του εν λόγω τρίτου, όπως συνέβη εν προκειμένω μέσω του διαφημιστικού φυλλαδίου που αφορούσε την ιστοσελίδα www.... της εταιρείας ... A.E.
7. Κατόπιν των ανωτέρω, από τα στοιχεία του φακέλου και κατόπιν της ακροαματικής διαδικασίας, η Αρχή διαπιστώνει ότι στην υπό κρίση περίπτωση έλαβε χώρα επεξεργασία των δεδομένων του καταγγέλλοντος εκ μέρους της καταγγελλόμενης, ως υπεύθυνου επεξεργασίας, και συγκεκριμένα διαβίβασή τους στην εκτελούσα την επεξεργασία ... A.E. για το σκοπό της εμπορικής προώθησης τόσο των υπηρεσιών της καταγγελλόμενης όσο και της ιστοσελίδας της εκτελούσας την επεξεργασία, χωρίς η επεξεργασία αυτή να μπορεί να στηριχθεί σε οποιαδήποτε νομική βάση και παρά το γεγονός ότι ο καταγγέλλων είχε εναντιωθεί ρητά στη χρήση και διαβίβαση των δεδομένων του σε τρίτους για σκοπούς εμπορικής προώθησης. Επιπλέον η εν λόγω επεξεργασία έλαβε χώρα χωρίς να πληρούνται οι όροι διαφάνειας της επεξεργασίας και συγκεκριμένα χωρίς να έχει ενημερωθεί κατάλληλα ο καταγγέλλων σύμφωνα με το άρθρο 13 ΓΚΠΔ για το γεγονός ότι η επιλογή του να αιτηθεί νέα σύνδεση μέσω της ιστοσελίδας www.... συνεπάγεται τη διαβίβαση των δεδομένων του στην ανωτέρω διαφημιστική εταιρεία και τη χρήση τους για το σκοπό της διαφήμισης δικών της προϊόντων και υπηρεσιών. Συνεπώς διαπιστώνεται παράβαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας σύμφωνα με το άρθρο 5 παρ. 1 α) ΓΚΠΔ σε συνδυασμό με τα άρθρα 6 παρ. 1 και 13 ΓΚΠΔ, καθώς και παράβαση της αρχής του περιορισμού του σκοπού, σύμφωνα με το άρθρο 5 παρ. 1 β) ΓΚΠΔ σε συνδυασμό με το άρθρο 6 παρ. 4 ΓΚΠΔ.
8. Με βάση τα ανωτέρω, η Αρχή κρίνει ότι συντρέχει περίπτωση να ασκήσει τις κατά το άρθρο 58 παρ. 2 θ) και 83 ΓΚΠΔ διορθωτικές εξουσίες της (επιβολή προστίμου), όσον αφορά τις ανωτέρω διαπιστωθείσες παραβάσεις. Για τον καθορισμό της κύρωσης η Αρχή λαμβάνει υπόψη τα κριτήρια επιμέτρησης του προστίμου που ορίζονται στο άρθρο 83 παρ. 2 του ΓΚΠΔ που έχουν εφαρμογή στην παρούσα υπόθεση.
Ειδικότερα, λαμβάνονται ιδιαιτέρως υπόψη:
α) Η φύση, η βαρύτητα και η διάρκεια της παράβασης: Λαμβάνεται υπόψη ότι πρόκειται για παράβαση των βασικών αρχών επεξεργασίας, η οποία εμπίπτει στη διάταξη του άρθρου 83 παρ. 5 ΓΠΚΔ, συνεπώς επισύρει ως μέγιστη κύρωση το ποσό των 20 εκ. ευρώ. Η επεξεργασία που αφορά η εν λόγω παράβαση δεν σχετίζεται άμεσα αλλά έμμεσα με τη βασική δραστηριότητα της καταγγελλόμενης επιχείρησης (παροχή τηλεπικοινωνιακών υπηρεσιών). γ) Το γεγονός ότι εν προκειμένω η παράβαση αφορά απλά δεδομένα ενός μόνο υποκειμένου, το οποίο δεν προέκυψε ότι υπέστη ζημία, πέρα από την ηθική βλάβη από τη διαβίβαση, παρά τη θέλησή του, των προσωπικών δεδομένων του σε τρίτη διαφημιστική εταιρεία.
γ) Ο βαθμός ευθύνης της καταγγελλόμενης, η οποία θεωρεί νόμιμη τη γενικότερη πρακτική της, λαμβανομένου υπόψη του μεγέθους της και του γεγονότος ότι επεξεργάζεται προσωπικά δεδομένα πάρα πολλών υποκειμένων.
δ) Το γεγονός ότι η καταγγελλόμενη είχε τζίρο ύψους 907.300.000 ευρώ το έτος 2021, σύμφωνα με το δημοσιευμένο στην ιστοσελίδα της ισολογισμό της.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η ΑΡΧΗ
Α. Επιβάλλει, στην εταιρεία ... Α.Ε.Ε.Τ. ως υπεύθυνο επεξεργασίας, με βάση το άρθρο 58 παρ. 2 εδ. θ) του ΓΚΠΔ, διοικητικό πρόστιμο ύψους δέκα χιλιάδων (10.000€) ευρώ, για τη διαπιστωθείσα επεξεργασία των δεδομένων του καταγγέλλοντος κατά παράβαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας σύμφωνα με το άρθρο 5 παρ. 1
α) ΓΚΠΔ σε συνδυασμό με τα άρθρα 6 παρ. 1 και 13 ΓΚΠΔ, καθώς και της αρχής του περιορισμού του σκοπού, σύμφωνα με το άρθρο 5 παρ. 1 β) ΓΚΠΔ σε συνδυασμό με το άρθρο 6 παρ. 4 ΓΚΠΔ.
Β. Απευθύνει εντολή στην εταιρεία ... Α.Ε.Ε.Τ. ως υπεύθυνο επεξεργασίας, με βάση το άρθρο 58 παρ. 2 εδ. δ) του ΓΚΠΔ, όπως, εντός μηνός από την κοινοποίηση της παρούσας απόφασης, προσαρμόσει κατάλληλα την πρακτική της, ώστε σε κάθε περίπτωση πρόσθετης παροχής προς συνδρομητές η οποία συνεπάγεται περαιτέρω επεξεργασία των προσωπικών δεδομένων τους, αφ’ ενός μεν να παρέχεται πλήρης ενημέρωση κατά το άρθρο 13 ΓΚΠΔ, ιδίως για τους τυχόν αποδέκτες των δεδομένων, αφ’ ετέρου δε να παρέχεται στα υποκείμενα η δυνατότητα εναντίωσης στην περαιτέρω επεξεργασία, και να ενημερώσει σχετικά την Αρχή.
Ο Πρόεδρος
Γεώργιος Μπατζαλέξης
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου
anchor link
Εγγραφή
Εγγραφήκατε επιτυχώς στο newsletter!
Η εγγραφή στο newsletter απέτυχε. Παρακαλώ δοκιμάστε αργότερα.
Αρθρογραφία, Νομολογία ή Σχόλια | Άμεση ανάρτηση | Επώνυμη ή ανώνυμη | Προβολή σε χιλιάδες χρήστες σε όλη την Ελλάδα
Δημοσιεύστε