ΔΙΟΙΚΗΤΙΚΑ ΕΓΓΡΑΦΑ Απόφ.ΑΠΔΠΧ 24/2023 Αποστολή προωθητικών μηνυμάτων e-mail χωρίς προηγούμενη συγκατάθεση

Εμφάνιση περισσότερων Εμφάνιση λιγότερων Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Περίληψη

Η Αρχή εξέτασε, κατόπιν καταγγελίας, το ζήτημα της αποστολής προωθητικών μηνυμάτων ηλεκτρονικού ταχυδρομείου από την εταιρεία ... . Αν και ο καταγγέλλων απέσυρε, κατά την εξέταση της υπόθεσης, την καταγγελία του, η Αρχή συνέχισε την εξέτασή της αυτεπαγγέλτως. Διαπιστώθηκε ότι η εν λόγω εταιρεία έχει προβεί στην αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου προωθητικού χαρακτήρα χωρίς την προηγούμενη ειδική συγκατάθεση των παραληπτών των μηνυμάτων, καθώς και χωρίς να έχει προηγηθεί παρόμοια πώληση προϊόντων ή υπηρεσιών, στο πλαίσιο της οποίας να αποκτήθηκαν τα στοιχεία επαφής ηλεκτρονικού ταχυδρομείου, ενώ επίσης δεν ήταν σε θέση να προσδιορίσει επακριβώς την πηγή των δεδομένων, αναφέροντας γενικά ότι είχε προβεί σε συλλογή επαγγελματικών καρτών από τις οποίες αντλούσε στοιχεία επικοινωνίας για αποστολή προωθητικών μηνυμάτων. Η Αρχή, λαμβάνοντας υπόψη ότι υπήρξε μόνο μία σχετική καταγγελία, ότι δεν είχαν διαπιστωθεί κατά το παρελθόν άλλες παραβάσεις για την εν λόγω εταιρεία, ότι η εταιρεία προέβη αμέσως σε ενέργειες για τη γενικότερη συμμόρφωσή της και ανταποκρίθηκε χωρίς καθυστέρηση στα έγγραφα της Αρχής, όπως επίσης και τα οικονομικά της στοιχεία, απηύθυνε επίπληξη στην ... για την παραβίαση της διάταξης του άρθρου 5 παρ. 1 του ΓΚΠΔ, ενώ επέβαλε και την κύρωση της προειδοποίησης για παραβιάσεις του άρθρου 11 του ν. 3471/2006.

Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Διοικητικό Έγγραφο

ΑΠΟΦΑΣΗ 24/2023
Αθήνα, 12-06-2023
Αριθ. Πρωτ.: 1500
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Προέδρου της σε συνεδρίαση μέσω τηλεδιάσκεψης την 28-06-2022 σε συνέχεια της από 10-05-2022 συνεδρίασης, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος, τα τακτικά μέλη Σπυρίδων Βλαχόπουλος, Κωνσταντίνος Λαμπρινουδάκης, Χρήστος Καλλονιάτης, ως εισηγητής, Αικατερίνη Ηλιάδου και Μαρία Ψάλλα σε αντικατάσταση του τακτικού μέλους Γρηγόριου Τσόλια, ο οποίος αν και κλήθηκε νομίμως εγγράφως δεν παρέστη λόγω κωλύματος. Το τακτικό μέλος Χαράλαμπος Ανθόπουλος και το αναπληρωματικό μέλος αυτού Νικόλαος Λίβος, αν και εκλήθησαν νομίμως εγγράφως, δεν παρέστησαν λόγω κωλύματος. Στη συνεδρίαση, χωρίς δικαίωμα ψήφου, παρέστη, με εντολή του Προέδρου, ο ελεγκτής Παντελής Καμμάς, ειδικός επιστήμονας πληροφορικής, ως βοηθός εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του Τμήματος Διοικητικών Υποθέσεων, ως γραμματέας. Ο έτερος βοηθός εισηγητή Κωνσταντίνος Λιμνιώτης, ειδικός επιστήμονας πληροφορικής, απουσίαζε λόγω κωλύματος.
H Αρχή έλαβε υπόψη τα παρακάτω:
Υποβλήθηκε ενώπιον της Αρχής η υπ’ αριθμ. πρωτ. .../23-06-2021 καταγγελία του Α (εφεξής «καταγγέλλων»), σχετικά με την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου (emails) από την ηλεκτρονική διεύθυνση ... με σκοπό την διαφήμιση προϊόντων της εταιρείας ... EE (εφεξής, υπεύθυνος επεξεργασίας). Συγκεκριμένα, ο καταγγέλλων είναι φαρμακοποιός και τα διαφημιστικά emails που δέχτηκε αφορούσαν φαρμακευτικά προϊόντα. Σύμφωνα με την καταγγελία, ο καταγγέλλων δέχτηκε μηνύματα ηλεκτρονικού ταχυδρομείου με διαφημιστικό περιεχόμενο από την παραπάνω διεύθυνση, σε τέσσερις διαφορετικές ηλεκτρονικές του διευθύνσεις, οι οποίες είναι οι: …, …, …, … . Οι ανωτέρω ηλεκτρονικές διευθύνσεις, όπως ανέφερε ο καταγγέλλων, χρησιμοποιούνται από τον ίδιο μόνο για συναλλαγές με τη δημόσια υπηρεσία ΕΟΠΥΥ. Επίσης, ο καταγγέλλων δεν είχε προηγούμενη συναλλακτική επαφή ή άλλη σχέση με τον υπεύθυνο επεξεργασίας, στο πλαίσιο της οποίας να χορηγήθηκαν οι ηλεκτρονικές του διευθύνσεις.
Η Αρχή, στο πλαίσιο εξέτασης της ως άνω καταγγελίας, απέστειλε στην ... τo υπ’ αριθμ. πρωτ. .../13-07-2021 έγγραφο, ζητώντας να αποστείλει τις απόψεις της επί των καταγγελλομένων, καθώς επίσης και να προσδιορίσει τον τρόπο με τον οποίο περιήλθαν σε γνώση της οι ως άνω αναφερόμενες διευθύνσεις ηλεκτρονικού ταχυδρομείου ειδικού σκοπού του καταγγέλλοντα.
Ο υπεύθυνος επεξεργασίας απάντησε στην Αρχή, μέσω του εκπροσώπου Β, με το υπ’ αριθμ. πρωτ. .../04-08-2021 έγγραφο, στο οποίο αναφέρει, μεταξύ άλλων, ότι η ... είναι μία νεοσυσταθείσα εταιρεία την οποία απαρτίζουν νέοι επιχειρηματίες, και ότι ο ίδιος ως μέλος και διαχειριστής της εταιρείας προσπαθεί πάντοτε να συμμορφώνεται στα εκάστοτε ισχύοντα νομοθετικά πλαίσια. Επίσης, αναφέρει ότι δεν πραγματοποιούνταν αποστολές διαφημιστικών μηνυμάτων σε όσες ηλεκτρονικές διευθύνσεις είχαν περιέλθει σε γνώση του από διάφορες πηγές και παλαιότερες συνεργασίες, πριν τον Μάιο του 2018, εκτός από ηλεκτρονικές διευθύνσεις για τις οποίες οι κάτοχοί τους είχαν δηλώσει ρητά ότι επιθυμούσαν να λαμβάνουν ενημερωτικό υλικό ή δεν εξέφρασαν αντίρρηση στην περαιτέρω αποστολή μηνυμάτων. Τέλος, ο υπεύθυνος επεξεργασίας δηλώνει προς την Αρχή αλλά και τον ίδιο τον καταγγέλλοντα, πως η αποστολή μηνυμάτων προς εκείνον έγινε από απλή παραδρομή, ακούσια και ουδεμία πρόθεση υπήρχε να οχλήσει.
Λόγω του ότι στην ανωτέρω απάντηση δεν υπήρχαν σαφείς διευκρινήσεις σχετικά με την προέλευση των ηλεκτρονικών διευθύνσεων του καταγγέλλοντα, όπως είχε ζητηθεί στο υπ’ αριθμ. πρωτ. .../13-07-2021 έγγραφο, η Αρχή απέστειλε στην ... τo υπ’ αριθμ. πρωτ. .../31-08-2021 έγγραφο, με το οποίο έθεσε εκ νέου το ζήτημα του ακριβούς προσδιορισμού του τρόπου με τον οποίο περιήλθαν σε γνώση του υπευθύνου επεξεργασίας οι διευθύνσεις ηλεκτρονικού ταχυδρομείου του καταγγέλλοντα.
Αμέσως μετά την κοινοποίηση του ανωτέρω εγγράφου στον καταγγέλλοντα, με σκοπό την ενημέρωσή του για την εξέλιξη της καταγγελίας του, ο καταγγέλλων απέστειλε το υπ’ αριθμ. πρωτ. .../31-08-2021 συμπληρωματικό έγγραφο στην Αρχή, μέσω email, στο οποίο αναφέρει ότι αφού έλαβε γνώση της επιστολής του Β, δεν επιθυμεί να συνεχιστεί η εξέταση της καταγγελίας του, διότι όπως αντιλαμβάνεται δεν υπήρχε δόλος και ότι ήταν ένα μεμονωμένο περιστατικό για το οποίο ο Β έχει λάβει τα μέτρα του ώστε να μην επαναληφθεί.
Ακολούθως, υποβλήθηκε στην Αρχή η νεότερη απάντηση της ... με το υπ’ αριθμ. πρωτ. .../14-09-2021 έγγραφο, στο οποίο αναφέρεται ότι στο πλαίσιο της ανάπτυξης της εταιρείας, ο εκπρόσωπός της Β ταξιδεύει σε πολλές περιοχές της Ελλάδας και έρχεται σε επαφή με πολλούς διαφορετικούς επαγγελματίες από διάφορους κλάδους, με τους οποίους ανταλλάσσει πληροφορίες για προϊόντα και για την αγορά. Επίσης, λαμβάνει επαγγελματικές κάρτες και στοιχεία επαφής και επικοινωνίας παραγόντων, για τους οποίους έχει ακούσει ότι ενδιαφέρονται για την προμήθεια των ειδών εμπορίας του. Έτσι, κατά τη διάρκεια αυτών των ταξιδιών είναι πολύ πιθανό να επισκέφθηκε κάποιο από τα δύο φαρμακεία που διατηρεί ο καταγγέλλων. Τέλος, δυστυχώς, όπως ο ίδιος αναφέρει, δεν μπορεί να προσδιορίσει την ακριβή πηγή των εν λόγω διευθύνσεων. Όμως επιβεβαιώνει ότι ουδεμία, πλέον, ηλεκτρονική διεύθυνση κατέχει ούτε προτίθεται να αποστείλει μηνύματα marketing (spam) εφ’ εξής.
Η Αρχή αποφάσισε τη συνέχιση της εξέτασης της καταγγελίας αυτεπάγγελτα και κάλεσε σε ακρόαση τον υπεύθυνο επεξεργασίας στη συνεδρίαση, μέσω τηλεδιάσκεψης, της Ολομέλειας της 10-05-2022 (βλ. κλήση με αριθ. πρωτ. .../18-04-2022), προκειμένου να συζητηθεί το γενικότερο ζήτημα της μη ζητηθείσας επικοινωνίας που πραγματοποιεί μέσω email για σκοπό απευθείας εμπορικής προώθησης προϊόντων και υπηρεσιών, συμπεριλαμβανομένου του τρόπου συλλογής των ηλεκτρονικών διευθύνσεων και της διαφάνειας της συλλογής αυτής. Κατά τη συνεδρίαση παρέστη ο Β ως διαχειριστής και εκπρόσωπος της καταγγελλόμενης εταιρείας μετά του δικηγόρου του Ευάγγελου Μαργαρίτη (ΑΜ ΔΣΑ …). Μετά τη συνεδρίαση ο υπεύθυνος επεξεργασίας έλαβε προθεσμία για υποβολή υπομνήματος, το οποίο και υπέβαλε, εντός της ταχθείσας προθεσμίας, με το υπ’ αριθμ. πρωτ. .../24-05-2022 έγγραφο.
Ο υπεύθυνος επεξεργασίας, τόσο με το υπόμνημά του όσο και κατά την ακρόαση, επανέλαβε τις θέσεις που είχε υποστηρίξει με τα υπ’ αρ. πρωτ. .../04-08-2021 και .../14-09-2021 έγγραφα απόψεών του και συγκεκριμένα προέβαλε τους εξής ισχυρισμούς:
α) Δεν αμφισβητεί την αποστολή email η οποία όμως ήταν μεμονωμένο περιστατικό και συνέβη λόγω άγνοιας.
β) Ο ισχυρισμός του καταγγέλλοντα ότι χρησιμοποιεί τις εν λόγω διευθύνσεις μόνο για επικοινωνία με την υπηρεσία ΕΟΠΥΥ είναι αναπόδεικτος και ως εκ τούτου αβάσιμος.
γ) Πραγματοποιήθηκαν επαγγελματικά ταξίδια στη βόρεια Ελλάδα και συγκεκριμένα στις … στην περιοχή της Ξάνθης, Κομοτηνής και Έβρου, καθώς και στις … στην πόλη της Θεσσαλονίκης. Στα ανωτέρω ταξίδια ο εκπρόσωπος του υπευθύνου επεξεργασίας συναντήθηκε με επαγγελματίες από διάφορους κλάδους με τους οποίους ανταλλάσσουν πληροφορίες για προϊόντα και την αγορά. Οι ηλεκτρονικές διευθύνσεις του καταγγέλλοντα περιήλθαν σε γνώση του από συνεργάτη στη βόρεια Ελλάδα ο οποίος δήλωσε ότι ο καταγγέλλων ενδιαφερόταν για τη διενέργεια εμπορικών συναλλαγών στο αντικείμενο της εταιρείας. Για τα παραπάνω ταξίδια επισυνάπτονται στο υπόμνημα σχετικά παραστατικά, όπως αποδείξεις από τα διόδια και τα ξενοδοχεία διαμονής.
δ) Δεν χρησιμοποίησε ούτε κατέχει κάποια «κρυφή λίστα» ηλεκτρονικών διευθύνσεων παρανόμου και αμφιβόλου προελεύσεως. Η πλειονότητα εκείνων στους οποίους εστάλησαν τα ηλεκτρονικά μηνύματα προέρχεται από τις επαγγελματικές κάρτες που έχει συλλέξει στα επαγγελματικά ταξίδια του Β. Στο υπόμνημά του επισυνάπτεται φωτοαντίγραφο σελίδας στην οποία διακρίνονται οι ανωτέρω επαγγελματικές κάρτες καθώς και αντίγραφο της λίστας με τις διευθύνσεις στις οποίες απεστάλησαν τα μηνύματα. Μαζικά μηνύματα μέσω πλατφόρμας εστάλησαν μόνο μία φορά.
ε) Η εταιρεία ... είναι μία start up επιχείρηση χονδρικής προμήθειας ειδών φαρμακείου η οποία ιδρύθηκε την 01-04-2020. Ο τζίρος της για το πρώτο έτος λειτουργίας της ανήλθε σε 82.015,25 € με καθαρά κέρδη 23.492,78 €, εκ των οποίων ο φόρος που αναλογεί ανέρχεται σε 5.638,27 €, ενώ κλήθηκε να πληρώσει και επιπλέον προκαταβολή φόρου 1973,39 €, πλέον τέλους επιτηδεύματος. Για το έτος 2021 ο τζίρος της εταιρείας ανήλθε σε 49.306,81 €, οποίος είναι εμφανώς μειωμένος σε σχέση με το προηγούμενο έτος. Για τα παραπάνω οικονομικά στοιχεία επισυνάπτονται στο υπόμνημα δηλώσεις Φ.Π.Α. καθώς και η μηνιαία κατάσταση εσόδων της εταιρείας.
στ) Μετά την καταγγελία, ο υπεύθυνος επεξεργασίας συμμορφώθηκε με τις απαιτήσεις της νομοθεσίας για την ορθή διαχείριση και προστασία των δεδομένων. Συγκεκριμένα, στην ιστοσελίδα της εταιρείας ... έχει ενσωματωθεί πρωτόκολλο ασφαλείας Https, ώστε να τηρηθούν δεόντως τα αναγκαία τεχνικά μέτρα που απαιτούνται για την προστασία ηλεκτρονικών επικοινωνιών μέσω κρυπτογραφήσεως. Περαιτέρω, έχει ενσωματωθεί πολιτική απορρήτου, πολιτική cookies και κατάλληλα οργανωτικά και τεχνικά μέτρα ώστε να εξασφαλιστεί ότι ουδεμία διεύθυνση ηλεκτρονικού ταχυδρομείου θα περιέλθει εις γνώση της εταιρείας προτού επιβεβαιωθεί από τον εκάστοτε επισκέπτη της ιστοσελίδας (μέσω επιλογής στο σχετικό «κουτάκι») ότι έχει λάβει την κατάλληλη ενημέρωση μέσω ανάγνωσης της Πολιτικής Απορρήτου της εταιρείας και δηλώνει ρητά την συγκατάθεσή του. Επιπλέον, για την εγγραφή κάθε χρήστη στο Newsletter, ζητείται πλέον μια διακριτή συγκατάθεση κατά το άρθρο 11 παρ. 1 του ν. 3471/2006, σε συμμόρφωση με τα όσα έχει προδιαγράψει η Αρχή περί νομιμότητας ηλεκτρονικής συγκατάθεσης με την Οδηγία 2/2011, ενώ επίσης, όπως ειδικώς αναφέρει ο υπεύθυνος επεξεργασίας, έχει επιλεγεί να μην εφαρμόζεται η εξαίρεση του άρθρου 11 παρ. 3 του ν. 3471/2006, η οποία επιτρέπει υπό προϋποθέσεις, να αποστέλλονται μηνύματα προωθητικού περιεχομένου στους πελάτες της εταιρείας.
Η Αρχή, μετά από εξέταση όλων των στοιχείων του φακέλου και των διαμειφθέντων στην από 10-05-2022 συνεδρίαση, αφού άκουσε τον εισηγητή και τις διευκρινίσεις του βοηθού εισηγητή, και κατόπιν διεξοδικής συζήτησης,
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ
1. Σύμφωνα με τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (EE) 2016/679 (εφεξής, ΓΚΠΔ) και του άρθρου 9 του ν. 4624/2019 (ΦΕΚ Α ́ 137), η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.
2. Σύμφωνα με το άρθρο 4 στοιχ. 7 του ΓΚΠΔ, ως υπεύθυνος επεξεργασίας ορίζεται «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα».
3. Περαιτέρω, σύμφωνα με το άρθρο 5 παρ. 1 του ΓΚΠΔ, στο οποίο ορίζονται οι θεμελιώδεις προϋποθέσεις νομιμότητας κάθε επεξεργασίας δεδομένων προσωπικού χαρακτήρα, τα δεδομένα πρέπει να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), ενώ επίσης πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς («περιορισμός του σκοπού»). Εξάλλου, σύμφωνα με το άρθρο 5 παρ. 2 του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («αρχή της λογοδοσίας»).
4. Το ειδικότερο ζήτημα της αποστολής μηνυμάτων, για σκοπούς απευθείας προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, ρυθμίζεται στο άρθρο 11 παρ. 1 του ν. 3471/2006, στο οποίο ορίζεται ότι «Η χρησιμοποίηση αυτόματων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεομοιοτυπίας (φαξ) ή ηλεκτρονικού ταχυδρομείου, και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς.»
5. Κατ’ εξαίρεση, σύμφωνα με το άρθ. 11 παρ. 3 του ν. 3471/2006, τα στοιχεία επαφής ηλεκτρονικού ταχυδρομείου που αποκτήθηκαν νομίμως, στο πλαίσιο της πώλησης προϊόντων ή υπηρεσιών ή άλλης συναλλαγής, μπορούν να χρησιμοποιούνται για την απευθείας προώθηση παρόμοιων προϊόντων ή υπηρεσιών του προμηθευτή ή για την εξυπηρέτηση παρόμοιων σκοπών, ακόμη και όταν ο αποδέκτης του μηνύματος δεν έχει δώσει εκ των προτέρων τη συγκατάθεσή του, υπό την προϋπόθεση ότι του παρέχεται κατά τρόπο σαφή και ευδιάκριτο η δυνατότητα να αντιτάσσεται, με εύκολο τρόπο και δωρεάν, στη συλλογή και χρησιμοποίηση των ηλεκτρονικών του στοιχείων και αυτό κατά τη συλλογή των στοιχείων επαφής, καθώς και σε κάθε μήνυμα, σε περίπτωση που ο χρήστης αρχικά δεν είχε διαφωνήσει σε αυτή τη χρήση.
6. Από την εξέταση των στοιχείων του φακέλου της υπόθεσης, προκύπτει ότι η εταιρεία ..., έχει προβεί ως υπεύθυνος επεξεργασίας στην αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου προωθητικού χαρακτήρα χωρίς την προηγούμενη ειδική προς τούτο συγκατάθεση των υποκειμένων των δεδομένων, καθώς και χωρίς να έχει προηγηθεί παρόμοια πώληση προϊόντων ή υπηρεσιών, στο πλαίσιο της οποίας να αποκτήθηκαν τα στοιχεία επαφής ηλεκτρονικού ταχυδρομείου των παραληπτών των μηνυμάτων. Και τούτο διότι ο υπεύθυνος επεξεργασίας προσκόμισε μεν επαγγελματικές κάρτες διαφόρων προσώπων προς επίρρωση των ισχυρισμών του ότι είχε τη συγκατάθεσή τους για την αποστολή τέτοιων μηνυμάτων, αλλά από το γεγονός και μόνο ότι είχε τις κάρτες αυτές στην κατοχή του δεν συνάγεται ότι έχει λάβει τη συγκατάθεση του προσώπου, τα στοιχεία του οποίου αναγράφονται σε μία επαγγελματική κάρτα, για την αποστολή προωθητικού υλικού. Εξάλλου, για κάποιες εκ των ηλεκτρονικών διευθύνσεων στις οποίες εστάλησαν ηλεκτρονικά μηνύματα (συμπεριλαμβανομένων των διευθύνσεων του καταγγέλλοντα) δεν προσκομίστηκαν ούτε οι αντίστοιχες επαγγελματικές κάρτες.
7. Περαιτέρω, για την ειδική περίπτωση της καταγγελίας, ανεξαρτήτως του γεγονότος ότι αυτή ανακλήθηκε, ο υπεύθυνος επεξεργασίας δεν δύναται να προσδιορίσει με ακρίβεια την πηγή προέλευσης των ηλεκτρονικών διευθύνσεων του καταγγέλλοντα, αφού αναφέρει γενικώς ότι λαμβάνει επαγγελματικές κάρτες και στοιχεία επαφής και επικοινωνίας παραγόντων κατά τη διάρκεια των ταξιδιών του, χωρίς όμως, όπως προαναφέρθηκε, να βρίσκεται στην κατοχή του κάρτα του καταγγέλλοντα. Για την περίπτωση δε αυτή, από το γεγονός ότι οι ηλεκτρονικές διευθύνσεις του καταγγέλλοντα έχουν δημιουργηθεί με τρόπο ο οποίος προσδιορίζει την επικοινωνία μόνο με μία συγκεκριμένη υπηρεσία (ΕΟΠΥΥ) και δεν χρησιμοποιούνται για άλλους σκοπούς ενώ, όπως αναφέρει και ο καταγγέλλων στην καταγγελία του (και δεν αποσύρει ουσιαστικά τον ισχυρισμό αυτό ούτε με τη μετέπειτα ανάκληση της καταγγελίας του), δεν αναγράφονται πάνω σε μία κάρτα επικοινωνίας ούτε υπάρχει άλλη δυνατή πηγή προέλευσής τους πέραν του ΕΟΠΥΥ, μπορεί να τεθεί ζήτημα αν τα δεδομένα προέρχονται από κάποιο εσωτερικό σύστημα του ΕΟΠΥΥ. Ο υπεύθυνος επεξεργασίας θεωρεί ανακριβή τον εν λόγω ισχυρισμό του καταγγέλλοντα ότι οι συγκεκριμένες ηλεκτρονικές διευθύνσεις χρησιμοποιούνται μόνο για επικοινωνία με τον ΕΟΠΥΥ και αναφέρει ότι οι διευθύνσεις αυτές δεν προήλθαν από κάποια «κρυφή λίστα», αλλά περιήλθαν σε γνώση του από συνεργάτη στη βόρεια Ελλάδα ο οποίος δήλωσε ότι ο καταγγέλλων ενδιαφερόταν για τη διενέργεια εμπορικών συναλλαγών στο αντικείμενο της εταιρείας και δεν θα μπορούσε να μείνει ανεκμετάλλευτη η ευκαιρία (με τα δεδομένα εκείνης της στιγμής, ήτοι μετά από την περίοδο του κορωνοϊού) για διεύρυνση της πελατειακής βάσης της εταιρείας. Δεν αναφέρει ωστόσο ο υπεύθυνος επεξεργασίας ποια ακριβώς ήταν η πηγή των δεδομένων του καταγγέλλοντα (δηλαδή από ποιον συνεργάτη δόθηκαν τα στοιχεία του καταγγέλλοντα). Σε κάθε δε περίπτωση, ακόμα και αν τα στοιχεία του συνεργάτη που αποτέλεσε την πηγή των δεδομένων ήταν διαθέσιμα, τούτο δεν συνιστά συγκατάθεση του καταγγέλλοντα για την αποστολή ηλεκτρονικών μηνυμάτων και, συνεπώς, προκύπτει ότι ο υπεύθυνος επεξεργασίας δεν υιοθετούσε ορθές διαδικασίες αναφορικά με τη λήψη συγκατάθεσης πριν την αποστολή μηνυμάτων προωθητικού χαρακτήρα. Εξάλλου, δεν προκύπτει ότι πληρούνται οι οριζόμενες στο ανωτέρω άρθρο 11 παρ. 3 του ν. 3471/2006 προϋποθέσεις εξαίρεσης από τη λήψη συγκατάθεσης για την απευθείας προώθηση προϊόντων ή υπηρεσιών του προμηθευτή ή για την εξυπηρέτηση παρόμοιων σκοπών.
8. Περαιτέρω, σύμφωνα με τα εκτιθέμενα στην προηγούμενη σκέψη, ο υπεύθυνος επεξεργασίας δεν είναι σε θέση να προσδιορίσει, για το σύνολο των προσωπικών δεδομένων τα οποία επεξεργάστηκε εν όψει του προαναφερθέντος σκοπού, την πηγή αυτών και, συνεπώς, δεν απέδειξε ότι πληρούται η αρχή της διαφάνειας της επεξεργασίας σύμφωνα με τη σχετική υποχρέωσή του που απορρέει από την κατά την προαναφερθείσα διάταξη του άρθρου 5 παρ. 2 του ΓΚΠΔ αρχή της λογοδοσίας, με την οποία υιοθετήθηκε ένα μοντέλο συμμόρφωσης σύμφωνα με το οποίο ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρμόζει και εν γένει λαμβάνει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των δεδομένων να είναι σύμφωνη με τις σχετικές νομοθετικές προβλέψεις και, επιπλέον, οφείλει να αποδεικνύει ο ίδιος και ανά πάσα στιγμή τη συμμόρφωσή του με τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ. Επομένως, η επεξεργασία που αναφέρεται στις προηγούμενες σκέψεις συνιστά παραβίαση του άρθρου 5 παρ. 1 στοιχ. α’ του ΓΚΠΔ.
9. Η Αρχή, λαμβάνοντας υπόψη τις ανωτέρω διαπιστωθείσες παραβάσεις του άρθρου 5 παρ. 1 του ΓΚΠΔ και του άρθρου 11 του ν. 3471/2006, και συνυπολογίζοντας επίσης ότι:
α) η περίπτωση της καταγγελίας (η οποία μάλιστα αποσύρθηκε από τον καταγγέλλοντα) έχει μεμονωμένο χαρακτήρα,
β) δεν είχαν διαπιστωθεί κατά το παρελθόν άλλες παραβάσεις για τον υπεύθυνο επεξεργασίας,
γ) ο υπεύθυνος επεξεργασίας, αμέσως μόλις έλαβε γνώση της καταγγελίας, προέβη σε ενέργειες για τη γενικότερη συμμόρφωσή του με το νομικό πλαίσιο,
δ) ο υπεύθυνος επεξεργασίας ανταποκρίθηκε χωρίς καθυστέρηση στα έγγραφα της Αρχής,
ε) τα οικονομικά στοιχεία της εταιρείας, όπως παρατίθενται στο ιστορικό της παρούσας,
κρίνει ότι συντρέχουν οι προϋποθέσεις αφενός να απευθύνει στον υπεύθυνο επεξεργασίας, με βάση το άρθρο 58 παρ. 2 β΄ του ΓΚΠΔ, επίπληξη η οποία κρίνεται αποτελεσματική, αναλογική και αποτρεπτική, και αφετέρου να επιβάλει σε βάρος του ιδίου, με βάση το άρθρο 13 του ν. 3471/2006, σε συνδυασμό με το άρθρο 21 παρ. 1 στοιχ. α ́ του ν. 2472/1997 (το οποίο παραμένει σε ισχύ σύμφωνα με το άρθρο 84 του ν. 4624/2019) προειδοποίηση, η οποία κρίνεται ανάλογη με τη βαρύτητα της παραβάσεως, κατά τα αναφερόμενα στο διατακτικό της παρούσας.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή, λαμβάνοντας υπόψη τα παραπάνω:
1) Απευθύνει με βάση το άρθρο 58 παρ. 2 β’ του Κανονισμού (ΕΕ) 2016/679 επίπληξη στην «...» για την παραβίαση της διάταξης του άρθρου 5 παρ. 1 του Κανονισμού (ΕΕ) 2016/679.
2) Επιβάλλει, με βάση τα άρθρα 21 του ν. 2472/1997 και 13 παρ. 1 και 4 του ν. 3471/2006, στην «...» την κύρωση της προειδοποίησης, για τις ως άνω διαπιστωθείσες παραβιάσεις του άρθρου 11 του ν. 3471/2006.
Ο Πρόεδρος
Κωνσταντίνος Μενουδάκος
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου
anchor link
Εγγραφήκατε επιτυχώς στο newsletter!
Η εγγραφή στο newsletter απέτυχε. Παρακαλώ δοκιμάστε αργότερα.
Αρθρογραφία, Νομολογία ή Σχόλια | Άμεση ανάρτηση | Επώνυμη ή ανώνυμη | Προβολή σε χιλιάδες χρήστες σε όλη την Ελλάδα