ΑΠΟΦΑΣΗ 9/2024
Αθήνα, 28-02-2024
Αριθ. Πρωτ.: 669
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε, μετά από πρόσκληση του Προέδρου της, σε έκτακτη συνεδρίαση μέσω τηλεδιάσκεψης την 28- 07-2023. Παρέστησαν οι Κωνσταντίνος Μενουδάκος, Πρόεδρος της Αρχής και τα τακτικά μέλη Σπύρος Βλαχόπουλος, Κωνσταντίνος Λαμπρινουδάκης, Χαράλαμπος Ανθόπουλος, Χρήστος Καλλονιάτης, ως εισηγητής, και Γρηγόριος Τσόλιας. Δεν παρέστη το τακτικό μέλος της Αρχής Αικατερίνη Ηλιάδου και ο αναπληρωτής αυτής Νικόλαος Φαλδαμής, παρόλο που εκλήθησαν νομίμως εγγράφως, λόγω κωλύματος. Στη συνεδρίαση, χωρίς δικαίωμα ψήφου, παρέστησαν, με εντολή του Προέδρου, ο Γεώργιος Ρουσόπουλος ειδικός επιστήμονας πληροφορικός, ως βοηθός εισηγητή, και η Γεωργία Παλαιολόγου, υπάλληλος του Τμήματος Διοικητικών Υποθέσεων, ως γραμματέας.
H Αρχή έλαβε υπόψη τα παρακάτω:
Η Αρχή έχει δεχθεί πολυάριθμες καταγγελίες από συνδρομητές τηλεφωνίας οι οποίες σχετίζονται με λήψη τηλεφωνικών κλήσεων για σκοπούς προώθησης προϊόντων και υπηρεσιών της εταιρείας ... ΠΑΡΑΓΩΓΗ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΜΟΝΟΠΡΟΣΩΠΗ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ (εφεξής ...). Στις υποθέσεις αυτές, η Αρχή, διαβίβασε κάθε καταγγελία στην ..., συνήθως εντός σύντομου χρονικού διαστήματος, ώστε η εταιρεία να διερευνήσει τα καταγγελλόμενα και να εκθέσει τις απόψεις της. Κατόπιν, η Αρχή εξέτασε τις απόψεις της ... ώστε να είναι πλήρη τα στοιχεία κάθε υπόθεσης, προβαίνοντας στην αποστολή περαιτέρω εγγράφων για διευκρινίσεις, όταν αυτό κρίθηκε αναγκαίο. Στις περιπτώσεις που η καταγγελία δεν επιβεβαιώθηκε (π.χ. όταν ο καταγγέλλων δεν είχε εγγραφεί στο Μητρώο του άρθρου 11 παρ. 2 του ν. 3471/2006 -εφεξής και Μητρώο- ή δεν είχε ασκήσει εναντίωση με βάση το άρθρο 21 του ΓΚΠΔ) η Αρχή απέρριψε την καταγγελία, απαντώντας στον καταγγέλλοντα. Για τις περιπτώσεις που μετά την ανωτέρω περιγραφόμενη εξέταση της υπόθεσης πιθανολογήθηκε ότι η καταγγελία επιβεβαιώνεται ή φαίνεται να ευσταθεί, ακόμα και αν αυτό δεν γίνεται αποδεκτό από την εταιρεία, η Αρχή ομαδοποίησε τις σχετικές υποθέσεις, ώστε να συνεξεταστούν.
Στην συγκεκριμένη περίπτωση συνεξετάζονται σαράντα (40) υποθέσεις καταγγελίας οι οποίες περιέχονται στο Παράρτημα της παρούσας. Μετά τη συμπλήρωση των φακέλων των καταγγελιών και αφού λήφθηκαν υπόψη οι απόψεις της ... επί κάθε μιας από τις καταγγελίες, αυτές κατηγοριοποιήθηκαν ως εξής:
Κατηγορία Α (6 καταγγελίες): Υποθέσεις για τις οποίες η ... φαίνεται να αποδέχεται ότι υπήρξε παράβαση, η οποία αφορά, πρωτίστως, τη δραστηριότητά της ως υπεύθυνης επεξεργασίας.
Κατηγορία Β (3 καταγγελίες): Υποθέσεις στις οποίες ο/η εκάστοτε καταγγέλλων/ουσα προσκομίζει επαρκή στοιχεία και αποδείξεις για την τεκμηρίωση της διενέργειας διαφημιστικών κλήσεων για λογαριασμό της ..., αλλά κατά τη διερεύνηση της εκάστοτε υπόθεσης καταγγελίας και τη συμπλήρωση του φακέλου της, η ... προσκόμισε στοιχεία, από τις συνεργαζόμενες με αυτή εταιρείες, με βάση τα οποία δεν αποδέχεται, τεκμηριωμένα, τη διενέργεια των κλήσεων προς τους συγκεκριμένους καταγγέλλοντες/ουσες.
Κατηγορία Γ (29 καταγγελίες): Υποθέσεις στις οποίες από την αρχική διερεύνηση των καταγγελιών και τις απόψεις της ..., προκύπτει ότι ενώ η ... έχει –ορθά– αποστείλει τα στοιχεία του τηλεφωνικού αριθμού του καταγγέλλοντος προς τις συνεργαζόμενες με αυτή εταιρείες, οι οποίες διενεργούν τηλεφωνικές κλήσεις για προωθητικούς της σκοπούς, ώστε αυτός ο αριθμός να μην κληθεί, οι εταιρείες αυτές, για διαφόρους λόγους, δεν κατάφεραν να αποκλείσουν την κλήση προς τον/την καταγγέλλοντα/καταγγέλλουσα. Συνεπώς, σε αυτές τις περιπτώσεις φαίνεται να προκύπτει ευθύνη, πέραν της ..., και της εκάστοτε εταιρείας διενέργειας τηλεφωνικών κλήσεων (εφεξής και call center). Οι καταγγελίες αυτές αφορούν τις εξής εταιρείες:
α) ... ΤΗΛΕΠΙΚΟΙΝΩΝΙΕΣ Μονοπρόσωπη ΕΠΕ (εφεξής και ...): τρεις (3) καταγγελίες (με στοιχεία Γ.Α.1 έως Γ.Α.3 στο Παράρτημα).
β) ... ΥΠΗΡΕΣΙΕΣ ΤΗΛΕΦΩΝΙΚΟΥ ΚΕΝΤΡΟΥ Ι.Κ.Ε. εφεξής και ...: έντεκα (11) καταγγελίες (με στοιχεία Γ.Β.1 έως Γ.Β.11 στο Παράρτημα)
γ) ... ΙΚΕ (εφεξής και ...): μια (1) καταγγελία (με στοιχείο Γ.Γ.1 στο Παράρτημα)
δ) ... Ε.Ε. (εφεξής και ...): οκτώ (8) καταγγελίες (με στοιχεία Γ.Δ.1 έως Γ.Δ.7 και Γ.Ε.7στο Παράρτημα)
ε) ... Μ.Ε.Π.Ε. (εφεξής και ...): επτά (7) καταγγελίες (με στοιχεία Γ.Ε.1 έως Γ.Ε.7 στο Παράρτημα)
Κατηγορία Δ (2 καταγγελίες): Υποθέσεις καταγγελιών που βρίσκονταν υπό διερεύνηση, κατά το χρόνο της κλήσης των εταιρειών σε ακρόαση στην Αρχή.
Τα ζητήματα που τέθηκαν προς εξέταση στις ανωτέρω καταγγελίες έχουν συνοπτικά ως εξής:
1. Υποθέσεις κατηγορίας Α
Στις 4 από τις 6 περιπτώσεις καταγγελίας (υποθέσεις υπό στοιχεία Α.{1,3,4,6} στο Παράρτημα) από τα στοιχεία κάθε φακέλου προκύπτει ότι η ... καθυστέρησε κατά λίγες ημέρες σε κάποιο στάδιο της διαδικασίας επικαιροποίησης και αποστολής του Μητρώου στις συνεργαζόμενες εταιρείες, με αποτέλεσμα ο αριθμός του καλούμενου συνδρομητή να μην αποσταλεί έγκαιρα στις εταιρείες call center και να διενεργηθεί κλήση προς αυτόν. Η διαδικασία αυτή, η οποία έχει περιγραφεί αναλυτικά στα υπομνήματα και τις διαδικασίες της ... περιλαμβάνει: α) λήψη μητρώου από τους παρόχους, μια φορά το μήνα, β) συνένωση του Μητρώου των διαφορετικών παρόχων και γ) αποστολή του ενοποιημένου Μητρώου προς τις συνεργαζόμενες εταιρείες, οι οποίες οφείλουν κατόπιν να το χρησιμοποιούν για τις κλήσεις που πραγματοποιούν. Η καθυστέρηση διαπιστώνεται ειδικότερα σε κάθε συγκεκριμένη υπόθεση ως εξής:
• Α.1: Η ... καθυστέρησε κατά λίγες ημέρες να διαβιβάσει το Μητρώο (έξι -6- ημέρες σύμφωνα με την αρχική απάντησή της), το μήνα Ιούνιο 2020. Η αποστολή του αρχείου έγινε στις 14/6/2020 ενώ η κλήση είχε διενεργηθεί στις 11/6/2020.
• Α.3: Η κλήση έγινε στις 17/9/2020 ενώ η καταγγέλλουσα είχε ενταχθεί στο Μητρώο το μήνα Αύγουστο 2020. Η ... συνέλεξε τα Μητρώα και τα απέστειλε προς τα call center στις 15/9/2020 (ημέρα Τρίτη). Ο εκτελών την επεξεργασία (call center) ενημέρωσε το σύστημά του (dialer) με καθυστέρηση μιας εργάσιμης ημέρας, η οποία όμως μπορεί να θεωρηθεί ως εύλογη.
• Α.4: Η κλήση έγινε στις 4/11/2020. Ο αριθμός του καταγγέλλοντα δεν συμπεριλαμβανόταν στο αρχείο που έλαβε η ... από τον πάροχό του τον Οκτώβριο 2020, αλλά βρισκόταν στο αρχείο του Νοεμβρίου. Η ... έλαβε τα αρχείο αυτό στις 9/11/2020.
• Α.6: Η συνδρομήτρια γράφτηκε στο μητρώο στις 08/02/2022, ενώ έλαβε την κλήση στις 15/3/2022. Ο αριθμός ελήφθη από την ... με το Μητρώο του Μαρτίου από τον πάροχο της καταγγέλουσας, αλλά καθώς ένας άλλος πάροχος είχε καθυστερήσει την αποστολή του δικού του Μητρώου, η ... καθυστέρησε να στείλει τα αρχεία με το Μητρώα στα call center (η αποστολή έγινε στις 16/3/2022), ενέργεια στην οποία προχώρησε χωρίς να περιλάβει τελικά το Μητρώο του παρόχου ο οποίος καθυστέρησε.
• Α.2: Από το φάκελο της υπόθεσης προκύπτει ότι κατά την εξέταση των 2 πρώτων κλήσεων τις οποίες αφορά η καταγγελία, ο κληθείς αριθμός δεν ήταν ενταγμένος στο Μητρώο. Η ... δήλωσε εγγράφως ότι συμπεριέλαβε τον αριθμό τηλεφώνου στο εσωτερικό μητρώο αντιρρήσεων (το οποίο πρακτικά τηρεί για την υλοποίηση του άρθρου 21 του ΓΚΠΔ), αλλά ακολούθησε νέα κλήση στις 20/10/2020. Η εταιρεία αναφέρει ότι από πρόδηλο και αδόκητο σφάλμα υπαλλήλου δεν είχε ολοκληρωθεί η υλοποίηση της ένταξης του αριθμού στο εσωτερικό μητρώο αντιρρήσεων.
• Α.5: Η καταγγέλλουσα ήταν συνδρομήτρια του παρόχου ... . Η ... αποδέχεται ότι δεν λάμβανε το μητρώο από αυτή την εταιρεία.
Μετά την καταγγελία συμπεριέλαβε και την εταιρεία αυτή σε αυτές προς τις οποίες στέλνει αιτήματα λήψης του Μητρώου.
2. Υποθέσεις κατηγορίας Β
Οι τρεις υποθέσεις της συγκεκριμένης κατηγορίας εμφανίζουν διαφορετικά περιστατικά.
Στην υπόθεση Β.1 η ... δέχεται ότι διενεργήθηκε μια κλήση (από δύο -2-που αναφέρονται στην καταγγελία) προς ένα αριθμό του καταγγέλλοντα, αλλά αρνείται οποιαδήποτε κλήση προς τον άλλο αριθμό. Προς τούτο προσκομίζει σχετική βεβαίωση της εταιρείας που παρέχει το λογισμικό στον εκτελούντα την επεξεργασία (call center). Όσον αφορά στην μια κλήση η οποία διενεργήθηκε, η ... υποστηρίζει ότι είχε διάρκεια ενός δευτερολέπτου και ότι έγινε κατόπιν αιτήματος εναντίωσης του συνδρομητή, με σκοπό να εγγραφεί ο αριθμός στο εσωτερικό μητρώο. Επισημαίνεται ότι η κλήση, σύμφωνα με τον καταγγέλλοντα, ήταν με απόκρυψη. Σε δεύτερη, συμπληρωματική καταγγελία, αναφέρονται δύο (2) νεότερες κλήσεις, τις οποίες ο καταγγέλλων τεκμηριώνει επαρκώς, καθώς προσκομίζει αντίγραφα οθόνης συσκευής κινητού τηλεφώνου. Η ... όμως, με νεότερό της έγγραφο, ενώ δέχεται ότι ο αριθμός ανήκει σε συνεργάτη της, αρνείται ότι έγιναν κλήσεις, προσκομίζοντας βεβαίωση της εκτελούσας την επεξεργασία, από την οποία προκύπτει ότι ο αριθμός έχει εξαιρεθεί από τις κλήσεις. Με επόμενο, τρίτο έγγραφο, η Αρχή ζήτησε εξηγήσεις για τη διαφορά μεταξύ των στοιχείων που παρέχει ο καταγγέλλων και αυτών που παραθέτει η εκτελούσα. Η εταιρεία προσκόμισε πληρέστερα στοιχεία, από τα οποία προκύπτει ότι δεν έχει διενεργηθεί η κλήση και αναφέρει ότι πρέπει, πλέον, ο συνδρομητής να προσκομίσει στοιχεία (εισερχομένων) κλήσεων. Με το τέταρτο έγγραφό του, ο συνδρομητής αναφέρει νέα κλήση (αναπάντητη αυτή τη φορά). Η εταιρεία, απαντώντας, με τέταρτό της έγγραφο, αρνείται ότι έγινε η κλήση αυτή προσκομίζοντας λίστα με εξερχόμενες κλήσεις της εκτελούσας. Με πέμπτο έγγραφό του ο καταγγέλλων αναφέρει εκ νέου κλήση συμπεριλαμβάνοντας αυτή τη φορά και επώνυμο εργαζομένου στην εταιρεία call center με την οποία συνομίλησε. Από την άλλη πλευρά, η εταιρεία call center, στην οποία ανήκει ο αριθμός, προσκόμισε έγγραφο από τον πάροχό της με αντίγραφο εξερχομένων κλήσεων για δύο μήνες, προς απόδειξη ότι δεν έκανε την κλήση, καθώς σε αυτές δεν περιλαμβάνεται ο αριθμός του καταγγέλλοντα.
Στην υπόθεση Β.2 ο αριθμός του καταγγέλλοντα ήταν εγγεγραμμένος στο Μητρώο. Η εταιρεία αρνείται την κλήση, προσκομίζοντας εκτύπωση από το σύστημα της εταιρείας call center από την οποία προκύπτει ότι δεν πραγματοποιήθηκε κλήση. Ο καταγγέλλων επανήλθε προσκομίζοντας στιγμιότυπο οθόνης από τη συσκευή του, όπου αποτυπώνεται η πρώτη κλήση και άλλες δύο ακόμα (η πρώτη στις 5/7/2021, οι επόμενες στις 26/7/2021 και 6/9/2021). Η εταιρεία επαναλαμβάνει ότι ο συνεργάτης της έστειλε αρχεία κλήσεων (που προσκόμισε στην Αρχή), από τα οποία δεν προκύπτει κλήση.
Στην υπόθεση B.3 o καταγγέλλων αναφέρει δύο κλήσεις που πραγματοποιήθηκαν στις 22/2/2022 και 25/2/2022 αντίστοιχα. Μετά την υποβολή της καταγγελίας, αναφέρει νέα κλήση στις 7/4/2022. Για τις κλήσεις προσκομίζει στιγμιότυπα οθόνης από τη συσκευή του. Προκύπτει επίσης ότι ο τηλεφωνικός αριθμός του καταγγέλλοντα είχε ενταχθεί στο Μητρώο. Σύμφωνα με την ..., από έλεγχο που πραγματοποίησε η εταιρεία call center προέκυψε ότι ουδεμία κλήση πραγματοποιήθηκε από τους τηλεφωνικούς αριθμούς της προς τον τηλεφωνικό αριθμό του καταγγέλλοντα, επισυνάπτοντας προς απόδειξη λίστα εξερχομένων κλήσεων. Από τη λίστα αυτή προκύπτει ότι διενεργήθηκε μια κλήση του καταγγέλλοντα προς την εταιρεία call center, την οποία αναφέρει και ο ίδιος και η οποία φαίνεται να έχει γίνει 4 λεπτά μετά την κλήση την οποία ο καταγγέλλων αναφέρει ότι έλαβε. Η εταιρεία πιθανολογεί ότι η εμφάνιση των αριθμών της στα αντίγραφα οθόνης οφείλεται σε πιθανή εκτροπή κλήσεων του καταγγέλλοντα.
3. Υποθέσεις κατηγορίας Γ
Γ.Α ...
Στις τρεις υποθέσεις-καταγγελιών (δύο το 2019 και μια το 2022) η ... αποδέχεται λάθη της ... (ανθρώπινο και συστημικό) για τις δύο πρώτες κλήσεις. Στην τρίτη καταγγελία, ο καταγγέλλων, ο οποίος είχε εγγραφεί στο Μητρώο, αναφέρει ότι καταχώρησε τον αριθμό του σε διαδικτυακή φόρμα με σκοπό να λάβει κλήση από την ... . Αφού έλαβε δύο σχετικές κλήσεις, ζήτησε να μην κληθεί ξανά. Η συνεργαζόμενη εταιρεία παραδέχεται ότι ενώ έλαβε το αίτημα αυτό δεν το καταχώρησε ορθά, λόγω τεχνικής αστοχίας, και προχώρησε σε επόμενες κλήσεις. Η ... αναφέρει ότι έχει ήδη λάβει μέτρα για την επίλυση τέτοιων λειτουργικών αστοχιών εγκαθιστώντας ειδικό λογισμικό.
Γ.Β ...
Στις περισσότερες από τις καταγγελίες που αφορούν την εν λόγω εταιρεία (7 από τις 11) οι αναφερόμενες στις υποθέσεις κλήσεις φαίνεται να οφείλονται σε καθυστέρηση της εταιρείας αυτής να ενσωματώσει στα συστήματά της το αρχείο με το Μητρώο (ή τις ειδικές εναντιώσεις), μετά τη διαβίβασή του από την ... . Σύμφωνα με την ... αυτό οφείλεται αφενός στον μεγάλο όγκο των αρχείων (πλέον των 11.000.000 τηλεφωνικών αριθμών), τα οποία απαιτούν ξεχωριστή μορφοποίηση πριν την εισαγωγή τους στο σύστημά της, και αφετέρου στο μεγάλο χρονικό διάστημα που απαιτείται για την φόρτωσή τους στο σχετικό σύστημα, η οποία πρέπει να πραγματοποιηθεί σε μη εργάσιμες ημέρες και ώρες. Το διάστημα καθυστέρησης είναι ως εξής σε κάθε υπόθεση:
• Γ.Β.4: μια (1) πλήρης εργάσιμη (χωρίς να μεσολαβεί Σ/Κ)
• Γ.Β.5: μια (1) πλήρης εργάσιμη (χωρίς να μεσολαβεί Σ/Κ)
• Γ.Β.6: έντεκα (11) ημέρες
• Γ.Β.8: έξι (6) ημέρες (μεσολαβεί Σ/Κ)
• Γ.Β.9: τρείς (3) ημέρες (μεσολαβεί Σ/Κ)
• Γ.Β.10: τέσσερις (4) ημέρες (μεσολαβεί Σ/Κ)
• Γ.Β.11: πέντε (5) ημέρες (μεσολαβεί Σ/Κ)
Στις λοιπές υποθέσεις αναφέρονται ειδικότερα ζητήματα ως εξής:
Γ.Β.1 και Γ.Β.2: H ... αναφέρει ότι λόγω τεχνικού ζητήματος, κάποιες κλήσεις δεν "κόβονται" εκ των προτέρων, αλλά μετά από 2-3 δευτερόλεπτα. Υποστηρίζει επίσης ότι στην πρώτη περίπτωση δεν έγινε συνομιλία (κάτι που αμφισβητεί ο καταγγέλλων).
Γ.Β.3: Η ... αναφέρει ότι έγινε παράβαση που οφείλεται σε "ανυπαίτιο ανθρώπινο σφάλμα" στον εκτελούντα την επεξεργασία (την ...) καθώς είχε φορτωθεί στο σύστημα dialer το Μητρώο της ... του Μαρτίου 2021, αντί εκείνου του Απριλίου 2021.
Γ.Β.7: Η καταγγελία αφορά κλήση στις 4/1/2022. Η ... αναφέρει σφάλμα του εκτελούντα την επεξεργασία. Συγκεκριμένα, την πρώτη εργάσιμη του έτους (3/1/2022) η ... ανανέωσε και αναβάθμισε άδειες χρήσης (δεν αναφέρεται όμως ποιες επακριβώς άδειες χρήσης και ποια συστήματα επηρεάζονται). Με τη συγκεκριμένη ενημέρωση προέκυψαν σφάλματα, τα οποία διορθώθηκαν στις 8-9/1/2022 που δεν ήταν εργάσιμες ημέρες (Σαββατοκύριακο).
Γ.Γ ...
Γ.Γ.1: Η ... αποδέχεται μια μη νόμιμη κλήση. Αναφέρεται συστημικό λάθος στην εκτελούσα την επεξεργασία εταιρεία ..., λόγω αναβάθμισης, το οποίο κατόπιν διορθώθηκε.
Γ.Δ. ...
Στις περισσότερες από τις οκτώ (8) υποθέσεις καταγγελίας (Γ.Δ.1-7 και Γ.Ε.7) η ... αναφέρει ότι η εκτελούσα την επεξεργασία εταιρεία ... δηλώνει ότι έχει γίνει κάποιο σφάλμα (είτε συστημικό τεχνικής φύσης –Γ.Δ.1, Γ.Δ.2, Γ.Δ.3– είτε ανθρώπινο όταν γίνεται χειροκίνητη κλήση –Γ.Δ.4, Γ.Ε.7-).
Στις λοιπές περιπτώσεις αναφέρει τα εξής:
Γ.Δ.5-Γ.Δ.6: Στις υποθέσεις αυτές η ... φαίνεται να εμπλέκεται όχι μόνο όσον αφορά τη διενέργεια της κάθε κλήσης, αλλά και ως προς την αρχική συλλογή και επεξεργασία του αριθμού τηλεφώνου του καλούμενου συνδρομητή. Στην πρώτη περίπτωση αναφέρεται ότι η κλήση πραγματοποιήθηκε κατόπιν καταχώρησης του τηλεφώνου του καταγγέλλοντος στην ιστοσελίδα «...». H ... θεωρεί ότι υπάρχει συγκατάθεση (ακόμα και αν η ενέργεια αυτή δεν έγινε από τον καταγγέλλοντα ως υποκείμενο των δεδομένων αλλά από τρίτο π.χ. κακόβουλο). Ο καταγγέλλων υποστηρίζει ότι δεν καταχώρησε τα στοιχεία του σε τέτοια ιστοσελίδα. Με έγγραφό της, η Αρχή επισήμανε ότι η διαδικασία συγκατάθεσης, την οποία επικαλείται η εταιρεία, δεν φαίνεται να είναι σύμφωνη με την οδηγία 2/2011 και τις προϋποθέσεις συγκατάθεσης του ΓΚΠΔ. Επίσης επισημάνθηκε ότι, στην ιστοσελίδα αυτή ως υπεύθυνος επεξεργασίας αναφέρεται η Μ.Ι.Κ.Ε. με την επωνυμία «...» και το δ.τ. «...» και όχι η ... . Με το επόμενο έγγραφό της η ... αναφέρει ότι για τη συγκεκριμένη ενέργεια δεν είναι η ίδια υπεύθυνος επεξεργασίας, αλλά η συνεργαζόμενη με αυτή εταιρεία, αναφέροντας όμως ότι θα διερευνήσει το ζήτημα, αν και υποστηρίζει ότι δεν μπορεί να ελέγξει τη συγκεκριμένη ιστοσελίδα. Στη δεύτερη περίπτωση, η ... αναφέρει αβλεψία υπαλλήλου της συνεργαζόμενης εταιρείας. Η ... αναφέρει ότι ο καταγγέλλων κλήθηκε στο πλαίσιο υφιστάμενης πελατειακής σχέσης, κάτι το οποίο όμως δεν επιβεβαιώνει η ... . Σύμφωνα με τη ..., μετά από νεότερο αίτημα του καταγγέλλοντα ώστε να μην επαναληφθούν κλήσεις, ακολούθησε πράγματι μια κλήση, η οποία οφείλεται σε λάθος υπαλλήλου καθώς ο αριθμός του καταγγέλλοντα είχε καταχωρηθεί προς επανάκληση. Μετά την απάντηση προς την Αρχή, ακολούθησε νέα κλήση, αυτή τη φορά με απόκρυψη. Η ... αναφέρει ξανά λάθος του εκτελούντα την επεξεργασία (...). Προσθέτει ότι πραγματοποίησε επιτόπιο έλεγχο και απέστειλε συστάσεις με email, μεταξύ των οποίων επισημαίνεται η σύσταση να εφαρμόζει η συνεργαζόμενη εταιρεία το Μητρώο και σε όσα τηλέφωνα δηλώνονται στο «...».
Γ.Δ.7: Η εταιρεία δεν είχε συνεργαστεί με την ..., παρέχοντας τις αναγκαίες διευκρινίσεις, έως την κλήση σε ακρόαση.
Γ.Ε. ...
Σε τρεις (Γ.Ε.4, Γ.Ε.5, Γ.Ε.6) από τις επτά συνολικά υποθέσεις η ... αναφέρει ότι η κλήση πραγματοποιήθηκε αποκλειστικά λόγω συστημικού σφάλματος κατά την ενημέρωση του συστήματος «local dialer» το οποίο χρησιμοποιείται μεταξύ άλλων και για την εξαίρεση των αριθμών του Μητρώου από τις κλήσεις που πραγματοποιεί. Συγκεκριμένα, τουλάχιστον κατά τις ημερομηνίες 07-02-2022, 08-02-2022 (δύο πρώτες καταγγελίες) και 16-02-2022 η ... αναφέρει ότι αντιμετώπισε τεχνικό πρόβλημα στην διασύνδεση με τον πάροχό της λόγω τεχνικής βλάβης, με αποτέλεσμα να μην μπορούν να γίνουν οι κλήσεις από το σύστημα «cloud dialer» που βρίσκεται στην εταιρεία ... . Η ... αναφέρει ότι «γύρισε» τους υπαλλήλους-πωλητές της στο σύστημα «local dialer» που υπάρχει στις εγκαταστάσεις της (όπως προβλέπει το Σχέδιο Επιχειρησιακής Συνέχειας βάσει ISO 27001). Η ... εκτιμά ότι δεν ήταν επαρκής ο χρόνος προκειμένου το σύστημα «local dialer» να ενημερωθεί πλήρως με τους προς απόρριψη αριθμούς καθώς η διαδικασία ενημέρωσης του τοπικού συστήματος απαιτεί κάποιο χρονικό διάστημα προκειμένου να ολοκληρωθεί πλήρως.
Στις λοιπές υποθέσεις αναφέρονται τα εξής:
• Γ.Ε.1, Γ.Ε.3: Το τηλεφωνικό κέντρο κάλεσε γιατί χαρακτήρισε την ενέργεια ως "επανάκληση". Έγιναν τρεις (3) κλήσεις στην πρώτη περίπτωση, ενώ στη δεύτερη η κλήση έγινε χειροκίνητα. Δεν παρέχεται τεκμηρίωση για το σκοπό της επανάκλησης (π.χ. αν έχει προκύψει μετά από ενέργεια του συνδρομητή).
• Γ.Ε.2: Η ... αναφέρει ότι δεν βρέθηκε κλήση προς τον αριθμό του καταγγέλλοντα τη συγκεκριμένη ημέρα. Αναφέρει όμως (αυτοβούλως) ότι πραγματοποιήθηκαν κλήσεις μετά τις 22-04-2022 από την καμπάνια «...» κατά την οποία ένας πελάτης καλείται κατόπιν συνεννόησης - συναίνεσής του προς επανάκληση με σκοπό τη διευθέτηση εκκρεμοτήτων. Στην περίπτωση αυτή, δεν ελέγχεται το Μητρώο, και τούτο διότι ο ίδιος ο Πελάτης έχει ζητήσει ή/και συναινέσει να κληθεί σε ύστερο χρόνο.
• Γ.Ε.7: Σύμφωνα με την με αριθμ. πρωτ. .../07-05-2020 απάντηση της ... ο καταγγέλλων άσκησε δικαίωμα εναντίωσης στις 24-01-2020 ενώ δεν είχε εγγραφεί στο Μητρώο του παρόχου του. Ο καταγγέλλων επανήλθε αναφέροντας ότι έλαβε πέντε (5) συνολικά κλήσεις (η πρώτη κατά τις 13-02-2020, ενώ αναφέρει και τέσσερις ακόμα μετά την πάροδο μηνός από την ημερομηνία άσκησης εναντίωσης). Η ... δεν αναγνωρίζει ότι έγινε η μία από τις κλήσεις αυτές. Με νεότερο έγγραφο της ... (.../26-10-2020) παρέχεται απάντηση της ... από την οποία προκύπτει ότι έγιναν δύο κλήσεις στις 13-02-2020 και 31-03-2020 λόγω σφάλματος, παρά το ότι ο αριθμός είχε ενταχθεί στο εσωτερικό αρχείο εναντιώσεων ώστε να μην κληθεί. Με το έγγραφο αυτό η ... αναφέρει ότι τελικά ο αριθμός του καταγγέλλοντα εντάχθηκε στο εσωτερικό μητρώο αντιρρήσεων μετά τη λήψη του εγγράφου της Αρχής (που εστάλη τον Απρίλιο 2020) και όχι στις 24-01-2020 όπως είχε αναφέρει αρχικά από σφάλμα.
4. Υποθέσεις κατηγορίας Δ
Στις δύο αυτές υποθέσεις οι απόψεις της ... δεν είχαν κατατεθεί έως την ημέρα της ακρόασης στην Αρχή. Η πρώτη αφορά καταγγελία στην οποία ενδέχεται να εμπλέκεται η ... ως εκτελούσα την επεξεργασία ενώ στη δεύτερη η ... .
Όσον αφορά τη γενική της δραστηριότητα, η ... είχε επισημάνει προ της ακρόασης (βλ. έγγραφό της με αριθμ. πρωτ. .../13-04-2022) ότι πραγματοποιεί τηλεφωνικές κλήσεις μέσω εξωτερικών συνεργατών της με σκοπό την ενημέρωση των καταναλωτών για τα προϊόντα και τις υπηρεσίες της. Συμμορφούμενη με το ισχύον νομοθετικό πλαίσιο και τις αποφάσεις της Αρχής έχει διαμορφώσει συγκεκριμένες διαδικασίες για τη διενέργεια των ως άνω εξερχόμενων κλήσεων, οι οποίες περιγράφονται αναλυτικά στο με αριθμό πρωτοκόλλου .../17-10-2018 υπόμνημα που έχει καταθέσει στην Αρχή. Οι συνεργαζόμενες με αυτή εταιρείες call center, επέχουν θέση εκτελούντων την επεξεργασία, έχουν επιλεγεί με βάση αυστηρά κριτήρια, έχουν δεσμευθεί στο πλαίσιο των συμβάσεων συνεργασίας να εφαρμόζουν τις διατάξεις τόσο του ΓΚΠΔ όσο και του ν. 3471/2006 και ελέγχονται τακτικά αναφορικά με την τήρηση των προϋποθέσεων της σχετικής νομοθεσίας. Εντός του μηνός Φεβρουαρίου 2022 ολοκλήρωσε την τακτική επιθεώρηση των συνεργατών της και βρίσκεται στη διαδικασία αξιολόγησης των αποτελεσμάτων αυτής προς το σκοπό λήψεως αποφάσεων αναφορικά με τις οδηγίες που θα δοθούν σε αυτούς για ζητήματα που απαιτούν βελτιώσεις. Επισημαίνει επίσης ότι, έχει κοινοποιήσει στους συνεργάτες της συγκεκριμένες οδηγίες αναφορικά με την επεξεργασία των προσωπικών δεδομένων, στις οποίες περιλαμβάνεται και η διαδικασία πραγματοποίησης των εξερχόμενων κλήσεων (βλ. «Οδηγίες διαχείρισης δεδομένων προσωπικού χαρακτήρα σε συνεργάτες της ...»). Όλοι οι συνεργάτες πραγματοποιούν εκπαιδεύσεις των υπαλλήλων τους ανά τακτά χρονικά διαστήματα, ώστε οι τυχόν παραβιάσεις των διαδικασιών της ... να είναι ελάχιστες.
H ... επισημαίνει ειδικά τις δυσκολίες που δημιουργεί η εφαρμογή του ν. 3471/2006, τις οποίες αναφέρει ότι έχει αναγνωρίσει και η Αρχή σε διάφορες αποφάσεις της. Αναφέρει ειδικά ότι το Μητρώο αριθμεί (κατά την τελευταία επιθεώρηση) πλέον των 11.000.000 τηλεφωνικών αριθμών, μέγεθος που θεωρεί ότι δεν ανταποκρίνεται στην πραγματικότητα και εγείρει ερωτήματα αναφορικά με τη λήψη των αιτημάτων αντίρρησης από τους παρόχους. Ωστόσο και το ίδιο το μέγεθος των συγκεκριμένων αρχείων (Μητρώων) δημιουργεί πλείστα προβλήματα κατά την εκκαθάριση και μορφοποίηση του (ειδικά στις εκτελούσες την επεξεργασία), ενώ, επιπλέον, ο χρόνος που απαιτείται για την ενημέρωση των πληροφοριακών συστημάτων είναι σημαντικός. Προβλήματα εξάλλου γεννώνται κατά καιρούς από τις σχετικές καθυστερήσεις κατά την συλλογή των Μητρώων, διότι αυτά δεν αποστέλλονται εγκαίρως από τους παρόχους. Τον μήνα Μάρτιο 2022, για παράδειγμα, ένας εκ των τριών βασικών τηλεφωνικών παρόχων δεν είχε αποστείλει το Μητρώο μέχρι και την 17η ημέρα του σχετικού μήνα. Υποστηρίζει δε ότι αυτονοήτως, οι ως άνω δυσχέρειες αυξάνουν την πιθανότητα σφάλματος χωρίς υπαιτιότητα της ... και των συνεργατών της.
Κατόπιν των ανωτέρω, η Αρχή προχώρησε σε κλήση για ακρόαση στην ολομέλεια της 19/7/2022 των εξής:
• της ... για το σύνολο των καταγγελιών και για τη γενικότερη πρακτική που ακολουθεί για τις τηλεφωνικές κλήσεις για προωθητικό σκοπό
• των εταιρειών ..., ... και ..., για τις καταγγελίες των κατηγοριών Γ και Δ οι οποίες τις αφορούν και για τη γενικότερη πρακτική που ακολουθούν στο πλαίσιο της συνεργασίας τους με την ... . Ειδικά για την ... επισήμανε ότι θα εξεταστεί ο ρόλος της για τα στοιχεία που συλλέγονται μέσω της ιστοσελίδα ... .
Κατά τη συνεδρίαση της 19/7/2022 παρέστησαν και οι τέσσερις ως άνω εταιρείες που υπέβαλαν αίτημα αναβολής της συζήτησης της υπόθεσης, το οποίο έγινε δεκτό. Η Αρχή προχώρησε σε νέες κλήσεις των εταιρειών για τις 13/9/2022 (υπ’ αριθμ. πρωτ. .../06-09-2022). Στη συνεδρίαση αυτή παρέστησαν με τηλεδιάσκεψη οι εξής εκπρόσωποι των τεσσάρων εταιρειών: Εκ μέρους της ... οι Μάριος Ανδρικόπουλος, Δ/ντης Νομικού Τμήματος με ΑΜ ΔΣΑ … και από το Νομικό Τμήμα οι Δέσποινα Κόλλια με ΑΜ ΔΣΑ … και Ελένη Μίγα με ΑΜ ΔΣΑ …. Εκ μέρους της ... οι Α, … και ο πληρεξούσιος δικηγόρος της εταιρείας Αλέξανδρος Κολιοθωμάς με ΑΜΔΣΑ … ενώ παρέστη και ο Β, Υπεύθυνος Προστασίας Δεδομένων της εταιρείας. Εκ μέρους της ... η εκπρόσωπος της Γ. Εκ μέρους της ... η Δ, νόμιμος Εκπρόσωπος της εταιρείας, ο Ε, μέτοχος και ο πληρεξούσιος δικηγόρος της εταιρείας Αλέξανδρος Κολιοθωμάς με ΑΜΔΣΑ …. Οι εκπρόσωποι των εταιρειών εξέθεσαν προφορικά τις απόψεις τους, έλαβαν προθεσμία και κατέθεσαν υπομνήματα, με την εξαίρεση της εταιρείας ..., η οποία δεν κατέθεσε υπόμνημα, παραπέμποντας (όπως δήλωσε σε τηλεφωνική επικοινωνία) στις απόψεις της ... .
Συγκεκριμένα, η ... κατέθεσε το υπ’ αριθμ. πρωτ. .../07-10-2022 υπόμνημά της, με το οποίο αναφέρει τα εξής συνοπτικά αναφερόμενα:
Οι περιπτώσεις καταγγελίας στην Αρχή αφορούν μεμονωμένες περιπτώσεις σφαλμάτων και όχι περιπτώσεις συστημικής αστοχίας εκ μέρους της εταιρείας, πολλώ δε μάλλον εσκεμμένης ενέργειας. Είναι μεμονωμένα γεγονότα, όπως μαρτυρά ο μικρός αριθμός τους, τα οποία διορθώθηκαν παραχρήμα. Είναι πρόδηλο το γεγονός ότι αναπόφευκτα κατά την καθημερινή λειτουργία των επιχειρήσεων τόσο της ... όσο και των συνεργατών της επισυμβαίνουν άλλοτε ανθρώπινα και άλλοτε τεχνικά σφάλματα, τα οποία για την εταιρεία αξιολογούνται και αποτελούν εφαλτήριο βελτίωσης προκειμένου να ληφθούν τα απαραίτητα βελτιωτικά μέτρα και να εξασφαλιστεί η πιστή και αυστηρή τήρηση των όρων και προϋποθέσεων της ισχύουσας νομοθεσίας.
H ... παρέχει τις απόψεις της επί των συγκεκριμένων υποθέσεων καταγγελίας προσθέτοντας ή διευκρινίζοντας τα ακόλουθα στοιχεία, σε σχέση με όσα είχε αναφέρει στην Αρχή κατά το στάδιο συμπλήρωσης του φακέλου κάθε υπόθεσης:
Α.1: Η μικρή καθυστέρηση κοινοποίησης του μητρώου στους συνεργάτες της οφειλόταν αποκλειστικά σε πρόδηλα ανθρώπινο σφάλμα του υπαλλήλου που είχε αναλάβει να διεκπεραιώσει την συγκεκριμένη διαδικασία, όπως προκύπτει από τα προσκομιζόμενα από την εταιρεία, στοιχεία.
Α.2: Από την εσωτερική επικοινωνία που προσκομίζεται προκύπτει ότι η ένταξη του τηλεφωνικού αριθμού στη «do not call list» της εταιρείας, είχε εκ παραδρομής εκληφθεί ως υλοποιηθείσα – με σχετική αναφορά να διαλαμβάνεται εσφαλμένως και εντός της αρχικής επιστολής της εταιρείας.
Α.3: Το συνεργαζόμενο τηλεφωνικό κέντρο (...), καθυστέρησε από πλευράς του ως προς την αποστολή των στοιχείων διερεύνησης, το οποίο έχει αξιολογηθεί ως πλημμελής συμπεριφορά του και έχει προσηκόντως συνεκτιμηθεί από την ... . Η εταιρεία έχει επίσης παράσχει ρητές οδηγίες για τη μη πραγματοποίηση κλήσεων με απόκρυψη και την κατάλληλη ενημέρωση των καλούμενων προσώπων. Προς απόδειξη προσκομίζεται και επιστολή της ... .
Α.4: Πρόκειται για περίπτωση που αποδεικνύει τις δυσκολίες εφαρμογής της ισχύουσας νομοθεσίας για την πραγματοποίηση κλήσεων για σκοπούς προώθησης προϊόντων και υπηρεσιών. Με δεδομένη την περιοδικότητα ως προς τη λήψη των κατά περίπτωση αρχείων, δημιουργείται μία ασυμμετρία μεταξύ των αριθμών που έχουν δηλωθεί στην έναρξη της εκάστοτε περιόδου και των υπολοίπων, καθώς για τους πρώτους η περίοδος των 30 ημερών έχει σχεδόν αυτομάτως παρέλθει μόλις η εταιρεία παραλαμβάνει κάθε λίστα – όπου σημειωτέον απαιτείται και ένα εύλογο διάστημα επεξεργασίας. Εγείρεται συνεπώς εν προκειμένω και ζήτημα αναλογικότητος και θεμιτής επιείκειας εάν παραταύτα ασκηθεί το δικαίωμα καταγγελίας. Αντικειμενικές δυσκολίες από την εφαρμογή των ισχυουσών διαδικασιών, όπως απορρέουν από τις σχετικές διατάξεις, δεν δύνανται να υπερκερασθούν ακόμη και με μέτρα άκρας επιμέλειας.
Α.5: Η εμπλοκή μίας όλως περιφερειακής τηλεπικοινωνιακής εταιρείας σε αριθμό συνδρομητών, θα πρέπει να συνυπολογιστεί και αξιολογηθεί. Το οικείο μητρώο αδειοδοτημένων παρόχων τηλεφωνίας αριθμεί πολλές εκατοντάδες εταιρείες. Η κάλυψη ποσοστού άνω του 99,95% του συνόλου των συνδρομητών, καθιστά την πολιτική της ... απολύτως συμμορφούμενη με τις επιταγές της ισχύουσας νομοθεσίας.
A.6: Στη συγκεκριμένη περίπτωση δεν προκύπτει ευθύνη της εταιρείας, με δεδομένο ότι για λόγους συνοχής και αποτελεσματικότητας δέον όπως αποστέλλεται ένα ενιαίο μητρώο. Τούτο δεν κατέστη δυνατόν εξαιτίας καθυστέρησης ενός εκ των κυρίων τηλεπικοινωνιακών παρόχων.
Β.1: Δεδομένων των στοιχείων της υπόθεσης, η ... θεωρεί ότι η συγκεκριμένη καταγγελία πρέπει να τεθεί στο αρχείο διότι δεν υπήρξε οιαδήποτε πλημμέλεια από την πλευρά της ή την πλευρά του συνεργάτη της.
Β.2: Η ... ζήτησε από το συνεργαζόμενο τηλεφωνικό κέντρο (...) να αποστείλει την ανάλυση εξερχόμενων κλήσεων του τηλεπικοινωνιακού παρόχου του ώστε να προσκομιστούν επιπλέον στοιχεία, εντούτοις, δεν απεστάλη σχετική ανάλυση. Κατά συνέπεια θεωρεί ότι ουδεμία ευθύνη φέρει ως προς τη συγκεκριμένη κλήση.
Β.3: Ο συνεργάτης της ... (...) ενημέρωσε ότι δεν πραγματοποιήθηκαν κλήσεις προς τον τηλεφωνικό αριθμό του καταγγέλλοντος και προς υποστήριξη των ισχυρισμών του προσκομίστηκε ανάλυση εξερχόμενων κλήσεων από τον πάροχό της. Συνεπώς η εταιρεία θεωρεί ότι δεν προκύπτει ευθύνη τόσο για την ίδια όσο και για το συνεργάτη της.
Δ.1: H ... διαβιβάζει την από 12/9/2022 απάντηση του συνεργαζόμενου τηλεφωνικού κέντρου (...), από την οποία προκύπτει καθυστέρηση από πλευράς του ως προς την αποστολή των στοιχείων, την οποία θεωρεί πλημμελή συμπεριφορά του συγκεκριμένου συνεργάτη / εκτελούντος την επεξεργασία να παράσχει εγκαίρως τις ζητηθείσες πληροφορίες και έχει αξιολογηθεί από την ... σε ό,τι αφορά το πλαίσιο της συνεργασίας τους. Περαιτέρω, θεωρεί ότι βάσει και των όσων εκθέτει η εταιρεία ..., ουδεμία ευθύνη της ... δύναται να εντοπισθεί και κρίνει ότι εν προκειμένω δεν τηρήθηκαν από την εταιρεία αυτή οι δοθείσες οδηγίες.
Δ.2: Ο συνεργάτης της ... (...) δεν προσκόμισε στοιχεία. Η πλημμελής συμπεριφορά του συγκεκριμένου συνεργάτη έχει αξιολογηθεί από την ... .
Πέραν της εξέτασης των επιμέρους καταγγελιών, η ... αναφέρει ότι συστηματικά ακολουθεί συγκεκριμένες διαδικασίες καταγραφής και παρακολούθησης των καταγγελιών και των αιτημάτων των υποκειμένων των δεδομένων με στόχο τη διαρκή βελτίωση των διαδικασιών, αλλά και την παρακολούθηση των συνεργατών της. Αποτέλεσμα αυτής της προσέγγισης είναι ο μικρός αριθμός παραπόνων, αλλά και η αποσπασματικότητά τους, καθώς κανένα εξ αυτών δεν καταδεικνύει συστηματική πλημμέλεια ή συστημική αστοχία εκ μέρους της. Επιμέρους παραλείψεις δεν αναιρούν μία γενική εικόνα συμμόρφωσης.
Η ... αναφέρει επίσης ότι διενεργεί συστηματικά επιθεωρήσεις στα συνεργαζόμενα τηλεφωνικά κέντρα μέσω εξωτερικού συμβούλου, με συχνότητα περίπου ενός ελέγχου ανά έτος, με αντικείμενο τον έλεγχο της εφαρμογής των διαδικασιών που τους έχουν κοινοποιηθεί αλλά και της εκπλήρωσης των υποχρεώσεών τους. Ο τελευταίος έλεγχος πραγματοποιήθηκε τον μήνα 02/2022 με επιτόπιους δειγματοληπτικούς ελέγχους σε όλα τα τηλεφωνικά κέντρα πλην ενός (...) όπου διενεργήθηκε μέσω ερωτηματολογίου από απόσταση. Από τον έλεγχο δεν προέκυψαν κρίσιμα ευρήματα και πάντως ετέθη προθεσμία έως το τέλος του 09/2022 προς συμμόρφωση. Εντός του πρώτου εξαμήνου του 2023 εκτιμάται ότι θα εκκινήσει νέος έλεγχος αναφορικά με τις διορθώσεις στις οποίες προέβησαν οι συνεργάτες βάσει των ευρημάτων. Σε σχέση με τις κλήσεις που οι συνεργαζόμενες εταιρείες υποστηρίζουν ότι δεν πραγματοποιήθηκαν, η ... αναφέρει ότι δεν έχει υποπέσει στην αντίληψη της η χρησιμοποίηση μηχανισμών εκτός της προβλεπόμενης διαδικασίας. Στο πλαίσιο του ελέγχου από τον σύμβουλό της αποτυπώθηκαν μεταξύ άλλων οι εφαρμογές και τα συστήματα που χρησιμοποιούνται για τις κλήσεις και σημειώθηκαν τα μέτρα που λαμβάνονται για την ορθή χρήση τους (ακολουθώντας τα πεδία του προτύπου ISO 27001). Δεν υπήρξε η δυνατότητα να ελεγχθεί αν χρησιμοποιούνταν άλλα παράλληλα μέσα ή συστήματα για την διενέργεια κλήσεων, άλλωστε τούτο απαιτεί περίπλοκη τεχνικά διαδικασία, σε κάθε όμως περίπτωση δεν υπήρξαν ενδείξεις που να παραπέμπουν στην ανάγκη ενός περαιτέρω εξειδικευμένου ελέγχου.
Οι αναλυτικές εκθέσεις ελέγχου διαβιβάστηκαν στην Αρχή. Από επόπτευσή τους, στα ζητήματα τα οποία αποτελούν το αντικείμενο των καταγγελιών, επιβεβαιώθηκαν οι παραπάνω αναφορές στο υπόμνημα της ... . Επισημαίνεται ειδικά ότι ο έλεγχος αφορούσε οργανωτικά και τεχνικά μέτρα, ενώ δεν φαίνεται να έχει περιλάβει (δειγματοληπτικό ή πλήρη) έλεγχο σε σχέση με τις κλήσεις που έχουν διενεργηθεί.
Η ... αναφέρει επίσης ότι, συμμορφούμενη με την ισχύουσα νομοθεσία ήδη από τον Μάιο του 2018, έχει θεσπίσει και εφαρμόζει συγκεκριμένη πολιτική για την προστασία των προσωπικών δεδομένων και τη χρηστή εφαρμογή του ΓΚΠΔ. Στο πλαίσιο αυτής οι συνεργάτες της, οι οποίοι επέχουν θέση εκτελούντων την επεξεργασία, έχουν επιλεγεί με βάση αυστηρά κριτήρια, έχουν δεσμευθεί στο πλαίσιο των μεταξύ τους συμβάσεων συνεργασίας να εφαρμόζουν τις διατάξεις τόσο του ΓΚΠΔ όσο και του ν. 3471/2006 και ελέγχονται τακτικά από την ... ως προς τη συμμόρφωσή τους, ενώ απευθύνονται προς αυτούς έγγραφες και προφορικές συστάσεις κατά περίπτωση. Ταυτόχρονα η εταιρεία στο πλαίσιο των συμβάσεων που συνάπτει με τους συνεργάτες της περιλαμβάνει ειδικούς όρους αναφορικά με την πραγματοποίηση των εξερχόμενων κλήσεων, πέραν των σχετικών οδηγιών που τους κοινοποιεί σχετικά.
Σε σχέση με την ιστοσελίδα ..., η ... αναφέρει ότι ήρθε σε συμφωνία με τον συνεργάτη της ... ΕΕ και συμφώνησε όπως η εν λόγω ιστοσελίδα διαμορφωθεί ως ιστότοπος που θα διαφημίζει αποκλειστικά τα προϊόντα της. Αυτό αποτυπώθηκε στη σχετική συμφωνία του έτους 2022. Συνεπώς, μετά τη σύμβαση αυτή, ο εν λόγω συνεργάτης αποτελεί εκτελούντα την επεξεργασία και η ... θεωρεί ότι έλαβε τη δέουσα μέριμνα και ενήργησε άμεσα και με λήψη κατάλληλων μέτρων συμμόρφωσης, ανεξαρτήτως τη μη άμεσης δικής της προγενέστερης ευθύνης.
Η ... κατέθεσε το υπ’ αριθμ. Πρωτ. .../07-10-2022 υπόμνημά της, με το οποίο αναφέρει τα εξής συνοπτικά αναφερόμενα:
Η ... τηρεί απαρέγκλιτα την κείμενη νομοθεσία, και εν προκειμένω την ορθή παρακολούθηση των εγγεγραμμένων στο Μητρώο τηλεφωνικών αριθμών, καταβάλλει δε διαρκώς κάθε δυνατή προσπάθεια να συμμορφώνεται προς τις υποχρεώσεις της λαμβανομένου υπόψη ότι έχει λάβει οργανωτικά μέτρα προς το σκοπό της διασφάλισης των εγγυήσεων που απαιτούνται για τη συμμόρφωσή της με τις προϋποθέσεις νομιμότητας κατά την εκτέλεση προωθητικών και άλλων ενεργειών, διαθέτοντας όχι μόνο κατάλληλες και τεκμηριωμένες διαδικασίες σύμφωνα με διεθνή πρότυπα (ISO), αλλά επίσης έχοντας δώσει έγγραφες και λεπτομερείς οδηγίες στο προσωπικό της για την απαρέγκλιτη τήρηση της διαδικασίας τήρησης του Μητρώου. Η εταιρεία συνεργάζεται με την ... ως «Εκτελών την Επεξεργασία» με βάση σύμβαση -η οποία επισυνάφθηκε-, για το σκοπό της διεύρυνσης της πελατειακής βάσης της ... διά της προώθησης και πώλησης μέσω των καναλιών πώλησης των προϊόντων στην περιοχή πωλήσεων, προς το σκοπό σύναψης συμβάσεων προμήθειας με επιλεγόμενους πελάτες. Για τον εν λόγω σκοπό, η ... πραγματοποιεί κλήσεις στη βάση «κρύας λίστας» ή/και «ζεστής λίστας» (όπως αυτές οι λίστες είναι ευρέως γνωστές στον οικείο τομέα).
Ως «κρύα λίστα» νοείται λίστα που αποτελείται αποκλειστικά και μόνο από τηλεφωνικούς αριθμούς η οποία δημιουργείται αυτοματοποιημένα βάσει του αποκαλούμενου «τυχαίου αριθμοδοτικού φάσματος».
Ως «ζεστή λίστα» νοείται η λίστα-βάση δεδομένων, συνήθως υφιστάμενου πελατολογίου του υπεύθυνου επεξεργασίας, η οποία περιέχει πλην του τηλεφωνικού αριθμού του πελάτη – συνδρομητή και λοιπά στοιχεία του τελευταίου, όπως ονοματεπώνυμο, ταχυδρομική διεύθυνση και διεύθυνση ηλεκτρονικού ταχυδρομείου (e-mail). Η λίστα αυτή διαβιβάζεται από τον υπεύθυνο επεξεργασίας στο τηλεφωνικό κέντρο προκειμένου το τελευταίο να πραγματοποιήσει τηλεφωνικές κλήσεις στους άνω πελάτες – συνδρομητές στο όνομα και για λογαριασμό του υπεύθυνου επεξεργασίας για την προώθηση προϊόντων/υπηρεσιών τού τελευταίου σύμφωνα με τις ρητές κάθε φορά εντολές και οδηγίες του.
Η εταιρεία περιγράφει αναλυτικά τη διαδικασία που ακολουθεί για τις κλήσεις με βάση «κρύα λίστα», σύμφωνα με την οποία η τελική λίστα (ηλεκτρονικό αρχείο) τηλεφωνικών αριθμών στους οποίους πρόκειται να πραγματοποιηθούν κλήσεις δημιουργείται αφού πρώτα εξαιρεθούν, με αυτοματοποιημένη διαδικασία, οι τηλεφωνικοί αριθμοί στους οποίους δεν μπορούν σύμφωνα με την κείμενη νομοθεσία να πραγματοποιηθούν προωθητικές κλήσεις και περιλαμβάνει:
Ι) Ηλεκτρονικό αρχείο με τους τηλεφωνικούς αριθμούς που είναι εγγεγραμμένοι στο Μητρώο. Το αρχείο αυτό λαμβάνεται από την Εταιρεία ηλεκτρονικά (συνήθως το πρώτο 10ήμερο κάθε μήνα για τον προηγούμενο μήνα) από όλους τους βασικούς τηλεπικοινωνιακούς παρόχους αλλά και από την εταιρεία ... σε μηνιαία βάση.
ΙΙ) Ηλεκτρονικό αρχείο με τους τηλεφωνικούς αριθμούς που είναι εγγεγραμμένοι στο Μητρώο Αντιρρήσεων που τηρεί η ... .
Αφού με την παραπάνω διαδικασία εξαιρεθούν οι τηλεφωνικοί αριθμοί, το ηλεκτρονικό αρχείο με τους εναπομείναντες τηλεφωνικούς αριθμούς του επιλεγμένου αριθμοδοτικού φάσματος εισάγεται στον dialer, ο οποίος αρχίζει εν συνεχεία να καλεί τους αριθμούς αυτούς. O dialer διαβιβάζει τις κλήσεις που πραγματοποιούνται με τον τρόπο αυτό στους επιφορτισμένους για την προωθητική ενέργεια (πώληση) υπαλλήλους της ... . Ο υπάλληλός της ενημερώνει κατ’ αρχάς τον καλούμενο για το όνομα του, από ποια εταιρεία καλεί (την ...) καθώς επίσης και ότι καλεί για λογαριασμό της εταιρείας ... . ∆εν πραγματοποιείται απόκρυψη των καλούντων αριθμών. Προσωπικά δεδομένα συλλέγονται εφόσον ο καλούμενος εκδηλώσει ενδιαφέρον για την προσφορά και πρόκειται να ξεκινήσει η διαδικασία διαπραγμάτευσης για τη σύναψη σύμβασης. Η ... δηλώνει επίσης ότι ελέγχεται ως προς την ορθή εφαρμογή του μητρώου «opt-out» και των λοιπών δικαιωμάτων των υποκειμένων, από την ... .
Σε σχέση με τις επιμέρους υποθέσεις καταγγελιών, η ... αναφέρει τα εξής:
Γ.Β.1: Αποδέχεται ότι πραγματοποίησε κλήσεις κατά τις ημερομηνίες και ώρες περίπου που αναγράφονται στην καταγγελία (21-01-2021 και 03-02-2021), υποστηρίζοντας όμως ότι ήταν αναπάντητες και τερματίστηκαν εντός 2 δευτερολέπτων, χωρίς να δέχεται ότι υπήρξε επικοινωνία του καταγγέλλοντα με υπάλληλό της. Η εταιρεία αναφέρει ότι ο αριθμός του καταγγέλλοντα περιλαμβανόταν στο Μητρώο του Ιανουαρίου 2021, αλλά όχι του Φεβρουαρίου 2021 και ότι καθώς «φορτώνει» στα πληροφοριακά της συστήματα το Μητρώο που αποστέλλει η εταιρεία ... σε μηνιαία βάση, το οποίο, ανέρχεται σε 14 εκατομμύρια τηλεφωνικούς αριθμούς περίπου, συμβαίνει (πολύ σπάνια) όταν κάποιος χρήστης της εταιρείας καταπονεί πολύ το πληροφοριακό σύστημα (π.χ. τραβήξει ένα πολύ βαρύ report ή φορτώσει μια νέα λίστα) το σύστημα να αργεί να «αντιδράσει», αλλά και πάλι είναι ζήτημα δευτερολέπτων. Υποστηρίζει ότι για το λόγο αυτό ο τηλεφωνικός αριθμός του καταγγέλλοντος, κλήθηκε από τον dialer της εταιρείας, ο οποίος (dialer) τερμάτισε τις άνω τηλεφωνικές κλήσεις εντός 2 δευτερολέπτων (διότι «αναγνώρισε» (sic) ότι ο τηλεφωνικός αριθμός είναι εγγεγραμμένος στο Μητρώο). Η εταιρεία αποδίδει τις κλήσεις σε ήσσονος σημασίας τεχνική καθυστέρηση.
Γ.Β.2: Αν και ο αριθμός του καταγγέλλοντα συμπεριλαμβανόταν στο αρχείο του Μητρώου που έλαβε από την ... στις 03-02-2021, η «φόρτωση» του συγκεκριμένου Μητρώου στα πληροφοριακά της συστήματα ολοκληρώθηκε λίγο μετά τη στιγμή που η ... κάλεσε τον καταγγέλλοντα στις 05-05-2021 (κλήση για την οποία ο καταγγέλλων δεν παραπονέθηκε στην Αρχή). Η εν λόγω κλήση δεν απαντήθηκε και δρομολογήθηκε στο πληροφοριακό σύστημα της εταιρείας προς αυτόματη επανάκληση, η οποία συνέβη στης 23-02-2021. Η εταιρεία αναφέρει ότι η κλήση διήρκησε μόλις 2,8 δευτερόλεπτα και τερματίσθηκε (χωρίς να απαντηθεί) σχεδόν αμέσως από τον dialer ο οποίος «αναγνώρισε» με αυτήν την απειροελάχιστη καθυστέρηση ότι ο τηλεφωνικός αριθμός του καταγγέλλοντος είναι πλέον εγγεγραμμένος στο Μητρώο.
Γ.Β.3: Το σύστημα dialer δεν θα έπρεπε να έχει καλέσει τον τηλεφωνικό αριθμό του καταγγέλλοντος στις 28/04/2021, διότι ήδη είχε ληφθεί το ηλεκτρονικό αρχείο με το Μητρώο του μηνός Μαρτίου 2021 από την ... από τις 08/04/2021. Από την περαιτέρω έρευνά της προέκυψε ότι ο υπεύθυνος πληροφοριακών συστημάτων της εταιρείας φόρτωσε το αρχείο του μηνός Φεβρουαρίου 2021, εκ παραδρομής και χωρίς σκοπιμότητα.
Γ.Β.4: Αποδέχεται ότι πραγματοποίησε κλήση στις 09-06-2021 προς τον αριθμό του καταγγέλλοντα, ο οποίος ήταν ενταγμένος στο Μητρώο, η οποία οφείλεται αποκλειστικά και μόνο στον χρόνο λήψης του συγκεκριμένου Μητρώου και στον χρόνο που απαιτήθηκε προκειμένου αυτό να «φορτωθεί» στα πληροφοριακά συστήματά της. Συγκεκριμένα, έλαβε το Μητρώο του μηνός Απριλίου 2021 (σημ. προφανώς Μαΐου καθώς ο συνδρομητής εγγράφηκε στο Μητρώο στις 07-05-2021), μόλις στις 07-06-2021 και η «φόρτωση» του συγκεκριμένου Μητρώου στα πληροφοριακά συστήματά της ολοκληρώθηκε λίγη ώρα μετά από την πραγματοποίηση της επίδικης κλήσης, ήτοι στις 09-06-2021 και μετά το πέρας της βάρδιας εκείνης της ημέρας, ουδεμία δε εφεξής κλήση πραγματοποιήθηκε στον τηλεφωνικό αριθμό.
Γ.Β.5 – Γ.Β.6: Αποδέχεται ότι πραγματοποίησε κλήσεις στις 09-07-2021 και στις 16-07-2021 προς τους αριθμούς των καταγγελλόντων, οι οποίοι ήταν ενταγμένοι στο Μητρώο, οι οποίες οφείλονται αποκλειστικά και μόνο στον χρόνο λήψης του συγκεκριμένου Μητρώου (07-07-2021) και στον χρόνο που απαιτήθηκε προκειμένου αυτό να «φορτωθεί» στα πληροφοριακά συστήματά της, λαμβάνοντας υπόψη τις καλοκαιρινές άδειες και απουσία συγκεκριμένου υψηλόβαθμου στελέχους. Μετά την ενάσκηση του δικαιώματος εναντίωσης από τους καταγγέλλοντες κατά τη διάρκεια των επίμαχων τηλεφωνικών κλήσεων, η ... προχώρησε άμεσα στις απαιτούμενες ενέργειες θεραπείας για την αποφυγή οιασδήποτε εφεξής όχλησής τους με σκοπό διαφημιστικές, προωθητικές ή άλλες ενέργειες και επιπλέον έχει εντάξει τους τηλεφωνικούς τους αριθμούς και στο μητρώο αντιρρήσεων που τηρεί η ίδια, και ουδεμία άλλη κλήση έχει πραγματοποιηθεί.
Γ.Β.7: Αποδέχεται ότι πραγματοποίησε κλήση στις 04-01-2022 προς τον αριθμό του καταγγέλλοντα, ο οποίος ήταν ενταγμένος στο Μητρώο. Την πρώτη εργάσιμη ημέρα του έτους (03-01-2022) η εταιρεία ανανέωσε και αναβάθμισε κάποιες άδειες χρήσης (σημ. οι οποίες δεν προσδιορίζονται ρητά). Με το συγκεκριμένο «update» προέκυψαν κάποια σφάλματα (σημ. τα οποία επίσης δεν προσδιορίζονται), τα οποία διορθώθηκαν στις 08-01-2022 και 09-01-2022 οι οποίες δεν ήταν εργάσιμες ημέρες (Σαββατοκύριακο). Η εταιρεία αναφέρει ότι «Προφανώς στα πλαίσια του συγκεκριμένου τεχνικού προβλήματος που αντιμετωπίσαμε, έγινε και αυτή η κλήση, η οποία σε καμία περίπτωση δεν οφείλεται σε δόλο, κακή πρόθεση ή συνειδητή μη τήρηση των εκ του νόμου υποχρεώσεων της Εταιρείας μας», καθώς και ότι έχει εντάξει τον τηλεφωνικό αριθμό και στο μητρώο αντιρρήσεων που τηρεί η ίδια, και ουδεμία άλλη κλήση έχει πραγματοποιηθεί.
Γ.Β.8: Αποδέχεται ότι πραγματοποίησε κλήση στις 17-01-2022 προς τον αριθμό του καταγγέλλοντα, ο οποίος ήταν ενταγμένος στο Μητρώο. Η κλήση οφείλεται αποκλειστικά και μόνο στον χρόνο λήψης του συγκεκριμένου Μητρώου από τον πάροχό της και στον χρόνο που απαιτήθηκε προκειμένου αυτό να «φορτωθεί» στα πληροφοριακά συστήματά της. Συγκεκριμένα, αναφέρει ότι έλαβε το Μητρώο στις 11-01-2021 και η «φόρτωσή» του στα πληροφοριακά συστήματά της ολοκληρώθηκε μετά από την πραγματοποίηση της επίδικης κλήσης, και ουδεμία εφεξής κλήση πραγματοποιήθηκε στον τηλεφωνικό αριθμό.
Γ.Β.9 – Γ.Β.10: Αποδέχεται ότι πραγματοποίησε κλήσεις στις 14-02-2022 και 15-02-2022 προς τους αριθμούς των καταγγελλουσών, οι οποίοι ήταν ενταγμένοι στο Μητρώο. Οι κλήσεις οφείλονται αποκλειστικά και μόνο στον χρόνο λήψης του συγκεκριμένου Μητρώου και στον χρόνο που απαιτήθηκε προκειμένου αυτό να «φορτωθεί» στα πληροφοριακά συστήματά της. Συγκεκριμένα, αναφέρει ότι έλαβε το Μητρώο στις 10-02-2022 και η «φόρτωσή» του στα πληροφοριακά συστήματά της ολοκληρώθηκε μετά από την πραγματοποίηση των επίδικων κλήσεων, και ουδεμία εφεξής κλήση πραγματοποιήθηκε στους τηλεφωνικούς αριθμούς.
Γ.Β.11: Αποδέχεται ότι πραγματοποίησε κλήση στις 22-03-2022 προς τον αριθμό του καταγγέλλοντα, ο οποίος ήταν ενταγμένος στο Μητρώο. Η κλήση οφείλεται αποκλειστικά και μόνο στον χρόνο λήψης του συγκεκριμένου Μητρώου από τον πάροχό της και στον χρόνο που απαιτήθηκε προκειμένου αυτό να «φορτωθεί» στα πληροφοριακά συστήματά της. Συγκεκριμένα, αναφέρει ότι έλαβε το Μητρώο στις 16-03-2022 και η «φόρτωσή» του στα πληροφοριακά συστήματά της ολοκληρώθηκε μετά από την πραγματοποίηση της επίδικης κλήσης, ουδεμία δε εφεξής κλήση πραγματοποιήθηκε στον τηλεφωνικό αριθμό.
Δ.1: Αποδέχεται ότι πραγματοποίησε κλήση στις 08-03-2022 προς τον αριθμό του καταγγέλλοντα, ο οποίος ήταν ενταγμένος στο Μητρώο που παρέλαβε στις 10- 01-2022 και 10-02-2022. Ειδικότερα αναφέρει ότι η κλήση διήρκησε μόλις 2,8 δευτερόλεπτα και τερματίσθηκε (χωρίς να απαντηθεί) σχεδόν αμέσως από τον dialer ο οποίος «αναγνώρισε» με αυτήν την απειροελάχιστη καθυστέρηση ότι ο εν λόγω τηλεφωνικός αριθμός του καταγγέλλοντος είναι εγγεγραμμένος στο Μητρώο. Αναφέρει επίσης ότι η καθυστέρηση των 2-3 δευτερολέπτων προκειμένου ο dialer να τερματίσει την κλήση σε τηλεφωνικό αριθμό που είναι εγγεγραμμένος στο Μητρώο έχει επαναληφθεί, αλλά είναι κάτι που προσπαθεί να θεραπεύσει η εταιρεία.
Συμπερασματικά, η ... υποστηρίζει ότι οι επίδικες καταγγελίες εμπίπτουν σε δύο βασικές κατηγορίες:
(α) στις περιπτώσεις εκείνες κατά τις οποίες για την «φόρτωση» κάθε μήνα στον dialer του Μητρώου απαιτούνται κατά μέσο όρο τέσσερις περίπου εργάσιμες μέρες από την ημερομηνία λήψης του. Σε τούτο θα πρέπει να συνυπολογισθεί ότι το ογκωδέστατο αρχείο του Μητρώου απαιτεί, κάθε φορά, προηγούμενη χρονοβόρα επεξεργασία ως προς τη μορφοποίηση (format) καθώς και ότι η επεξεργασία του αρχείου αυτού καθώς και η «φόρτωση» του τελευταίου λαμβάνει χώρα σε μη εργάσιμες ώρες.
(β) πραγματοποιούνται κλήσεις σε τηλεφωνικούς αριθμούς οι οποίοι είναι εγγεγραμμένοι στο Μητρώο, εντούτοις οι κλήσεις αυτές τερματίζονται αυτομάτως από τον dialer με μία απειροελάχιστη καθυστέρηση των 2-3 δευτερολέπτων περίπου, χωρίς βεβαίως να απαντηθούν. Τούτο οφείλεται στο γεγονός ότι εκείνη τη στιγμή μπορεί να καταπονείται το πληροφοριακό σύστημα της Εταιρείας (π.χ. διότι κάποιος τραβάει ένα μεγάλο αρχείο) με αποτέλεσμα να σημειώνεται αυτή η μικρή καθυστέρηση στον τερματισμό της κλήσης.
Η ... θεωρεί ότι οι περιπτώσεις αυτές αφορούν μεμονωμένα περιστατικά χωρίς να συντρέχει δόλος. Τούτο δε διότι οι επίδικες τηλεφωνικές κλήσεις πραγματοποιήθηκαν σε διάστημα δύο ετών (έξι κλήσεις στο έτος 2021 και έξι κλήσεις στο έτος 2022), ενώ η συστηματική και επί σκοπώ πραγματοποίηση τηλεφωνικών κλήσεων σε τηλεφωνικούς αριθμούς που είναι ενταγμένοι στο Μητρώο προκειμένου να αποκομιστεί κάποιο ουσιαστικό οικονομικό όφελος από την εταιρεία θα προέκυπτε, ως εικός, μόνον από μία συστηματική και για μικρό χρονικό διάστημα παραβίαση του Μητρώου. Ούτε από οιαδήποτε αναγωγή θα μπορούσε να προκύψει κάποιο ουσιαστικό οικονομικό όφελος για την εταιρεία. Τουναντίον, τέτοιου είδους κλήσεις, όπως οι επίδικες, και με δεδομένη την ευαισθησία των καταναλωτών (που γνωρίζουν ότι ο τηλεφωνικός αριθμός είναι ενταγμένος στο Μητρώο του άρθρου 11) είναι μόνο εις βάρος της εταιρείας.
Σε όλες τέλος τις περιπτώσεις η εταιρεία προχώρησε άμεσα στις απαιτούμενες ενέργειες για την αποφυγή οιασδήποτε εφεξής όχλησης των καταγγελλόντων με σκοπό διαφημιστικές ή προωθητικές ενέργειες έχοντας εντάξει τους τηλεφωνικούς τους αριθμούς στο μητρώο αντιρρήσεων που τηρεί η εταιρεία (...), και ουδεμία κλήση έχει πραγματοποιηθεί εφεξής από αυτή.
Τέλος, η εταιρεία αναφέρει ότι ουδέποτε έχει απασχολήσει την Αρχή, με δεδομένες δε τις γνωστές παθογένειες του Μητρώου, ενώ καταβάλλει διαρκώς κάθε δυνατή προσπάθεια να συμμορφώνεται προς τις υποχρεώσεις της, λαμβανομένου υπόψη ότι έχει λάβει οργανωτικά μέτρα προς το σκοπό της διασφάλισης των εγγυήσεων που απαιτούνται για τη συμμόρφωσή της με τις προϋποθέσεις νομιμότητας κατά την εκτέλεση προωθητικών και άλλων ενεργειών, διαθέτοντας όχι μόνο κατάλληλες και τεκμηριωμένες διαδικασίες σύμφωνα με διεθνή πρότυπα (ISO), αλλά επίσης έχοντας δώσει έγγραφες και λεπτομερείς οδηγίες στο προσωπικό της για την απαρέγκλιτη τήρηση της διαδικασίας τήρησης του Μητρώου του άρθρου 11 του ν. 3471/2006.
Η ... κατέθεσε το υπ’ αριθμ. πρωτ. .../07-10-2022 υπόμνημά της, το οποίο είναι όμοιο με αυτό της ..., έως το σημείο που γίνεται αναφορά στις επιμέρους υποθέσεις καταγγελιών οι οποίες είχαν αναφερθεί στο με αριθμ. πρωτ. .../11-07-2022 έγγραφο της Αρχής και την αφορούν. Σε σχέση με τις υποθέσεις αυτές η ... αναφέρει τα εξής:
Γ.Ε.1: Αποδέχεται ότι πραγματοποιήθηκαν κλήσεις στις 22-06-2020 και 03-07-2020, κατά τις ώρες που αναφέρονται στην καταγγελία κι ενώ ο αριθμός του καταγγέλλοντα είχε ενταχθεί στο Μητρώο. Από την έρευνά της προέκυψε ότι ο αριθμός είχε κληθεί από την ... πριν την ένταξή του στο Μητρώο και χαρακτηρίστηκε ως «επανάκληση». Η ... αναφέρει ότι οι δύο κλήσεις στις παραπάνω ημέρες πραγματοποιήθηκαν από επιφορτισμένο υπάλληλο της εταιρείας χειροκίνητα ο οποίος «πιθανολογείται» σφόδρα ότι κράτησε σε εκκρεμότητα τον τηλεφωνικό αριθμό του καταγγέλλοντα και τον εκκάλεσε, θεωρώντας, εσφαλμένως, ότι ο άνω τηλεφωνικός αριθμός εξακολουθεί να μην είναι εγγεγραμμένος στο Μητρώο. Η εταιρεία αναφέρει ότι προχώρησε άμεσα στις απαιτούμενες ενέργειες θεραπείας για την αποφυγή οιασδήποτε εφεξής όχλησης του καταγγέλλοντος με προωθητικό σκοπό και επιπλέον έχει εντάξει τον τηλεφωνικό του αριθμό και στο μητρώο αντιρρήσεων που αυτή τηρεί, ουδεμία δε άλλη κλήση έχει πραγματοποιηθεί.
Γ.Ε.2: Αναφέρει ότι ο καταγγέλλων είχε κληθεί στις 03-04-2020, πριν την ένταξη του αριθμού του στο Μητρώο στις 09-04-2020. Ενώ δεν αποδέχεται την πραγματοποίηση κλήσης κατά την ημερομηνία που αναφέρεται στην καταγγελία, αναφέρει (αυτοβούλως) ότι ο αριθμός αυτός είχε ενταχθεί σε ειδική καμπάνια προς επανάκληση με σκοπό τη διευθέτηση εκκρεμοτήτων για τις οποίες δεν ελέγχεται το Μητρώο. Η εταιρεία αναφέρει ότι προχώρησε άμεσα στις απαιτούμενες ενέργειες θεραπείας για την αποφυγή οιασδήποτε εφεξής όχλησης του καταγγέλλοντος με προωθητικό σκοπό και επιπλέον έχει εντάξει τον τηλεφωνικό του αριθμό και στο μητρώο αντιρρήσεων που αυτή τηρεί, ουδεμία δε άλλη κλήση έχει πραγματοποιηθεί.
Γ.Ε.3: Αναφέρει ότι κάλεσε πράγματι τον αριθμό της καταγγέλλουσας στις 26-10-2020, αλλά αυτός ο αριθμός δεν περιλαμβανόταν στο Μητρώο το οποίο έλαβε η ... από την ... στις 05-10-2020. Κατά την κλήση ο αριθμός σημειώθηκε με «status ΑΜΕΣΗ ΑΡΝΗΣΗ» και εντάχθηκε στο μητρώο αντιρρήσεων της ... . Η ... επισημαίνει ότι ο τηλεφωνικός αριθμός της καταγγέλλουσας εμφανίζεται για πρώτη φορά ως ενταγμένος στο Μητρώο που έλαβε από την εταιρεία ... στις 09-11-2020. Επισημαίνεται πάντως ότι με βάση τις απόψεις της ... (με αριθμ. πρωτ. .../16-12-2020), o αριθμός της καταγγέλλουσας είχε σταλεί στην ... στις 05-10-2020, ενώ η ίδια η καταγγέλλουσα με νεότερο έγγραφό της είχε αποκλείσει την περίπτωση να είχε κληθεί στο παρελθόν από την ... και η νέα κλήση να προέκυψε κατόπιν δικού της αιτήματος επανάκλησης, όπως είχε υποστηρίξει στις απόψεις της η ... με βάση αυτά που, όπως αναφέρει, ενημερώθηκε από την ... .
Γ.Ε.4 – Γ.Ε.5.: Αποδέχεται κλήσεις προς τους αριθμούς των καταγγελλόντων στις 07-02-2022 και 08-02-2022, τις οποίες αποδίδει αποκλειστικά σε συστημικό σφάλμα. Η εταιρεία αναφέρει ότι αντιμετώπισε τεχνικό πρόβλημα στην διασύνδεση με τον πάροχό της λόγω τεχνικής βλάβης, με αποτέλεσμα να μην μπορούν να γίνουν οι κλήσεις από τον cloud dialer που βρίσκεται στην εταιρεία ... . Έτσι, προκειμένου να λειτουργήσει η δραστηριότητα τη συγκεκριμένη ημέρα, και αφού προηγουμένως είχε ξεκινήσει την ενημέρωση του «local dialer» με τα ανανεωμένα μητρώα, γύρισαν τους πωλητές στον «local dialer» που υπάρχει στις εγκαταστάσεις της εταιρείας (όπως προβλέπει το Σχέδιο Επιχειρησιακής Συνέχειας βάσει ISO: 27001 της εταιρείας). H ενημέρωση όμως αυτή απαιτεί χρόνο προκειμένου να ολοκληρωθεί πλήρως, και με δεδομένο ότι είχαν ήδη εκκινήσει τις τηλεφωνικές κλήσεις από τον «local dialer», καθώς είχε παρέλθει ήδη ικανό χρονικό διάστημα από την παύση των κλήσεων μέσω του «cloud dialer», φαίνεται ότι δεν ήταν επαρκής ο χρόνος προκειμένου ο «local dialer» να ενημερωθεί πλήρως, με αποτέλεσμα να κληθούν οι αριθμοί.
Γ.Ε.6: Αποδέχεται κλήση προς τον αριθμό του καταγγέλλοντα στις 16-02-2022, η οποία οφείλεται σε συστημικό σφάλμα στην διασύνδεση με τον πάροχό της λόγω τεχνικής βλάβης, όπως στις δύο προηγούμενες περιπτώσεις.
Η εταιρεία αναφέρει ότι στις ανωτέρω περιπτώσεις τεχνικής βλάβης του «cloud dialer» προχώρησε άμεσα στις απαιτούμενες ενέργειες θεραπείας, και δη ταυτόχρονη συστηματικά ενημέρωση τόσο του «cloud dialer» όσο και του «local dialer» µε το ανανεωμένο κάθε φορά Μητρώο και το μητρώο αντιρρήσεων που τηρεί αυτή.
Επισημαίνεται ότι, αν και είχε ζητηθεί κατά την ακρόαση, η ... δεν προσκόμισε περαιτέρω τεκμηρίωση για τα παραπάνω περιστατικά, όπως τεχνικές αναφορές από τον πάροχό της ή τη ..., εσωτερικές τεχνικές αναφορές ή εσωτερική τεκμηρίωση του περιστατικού και των μέτρων αντιμετώπισης.
Γ.Ε.7: Αποδέχεται μόνο μια κλήση, στις 24-01-2020 η οποία διήρκησε 5 δευτερόλεπτα και σημειώθηκε με «status» «ΑΜΕΣΗ ΑΡΝΗΣΗ». Η εταιρεία αναφέρει ότι ενέταξε άμεσα τον τηλεφωνικό αριθμό στο μητρώο αντιρρήσεων που αυτή τηρεί και ουδεμία κλήση έχει πραγματοποιηθεί εφεξής από αυτήν προς τον εν λόγω αριθμό. Επισημαίνεται όμως ότι η δήλωση αυτή έρχεται σε αντίθεση με τα στοιχεία που η ... χορήγησε στην ... (βλ. το με αριθμ. πρωτ. .../26-10-2020 έγγραφο) από τα οποία προκύπτει ότι πραγματοποιήθηκαν δύο κλήσεις στις 13-02-2020 και 31-03-2020.
Συμπερασματικά, η ... αναφέρει ότι οι επίδικες κλήσεις είναι ελάχιστες και καλύπτουν διάστημα τριών ετών, αφορούν σε μεμονωμένα περιστατικά, δεν θα μπορούσε να προκύψει οικονομικό όφελος για την εταιρεία, δεν υπερβαίνουν το «ψυχολογικό όριο» των 10 που έχει θέσει η Αρχή και τελικά μπορεί να αποβούν μόνο εις βάρος της, καθώς την ζημιώνουν και την εκθέτουν.
Τέλος, η εταιρεία αναφέρει ότι ουδέποτε έχει απασχολήσει την Αρχή (σημ: επισημαίνεται όμως ότι με την απόφαση 38/2019 η Αρχή έχει επιβάλει την κύρωση της επίπληξης στην ... για παράβαση του άρθρου 32 του ΓΚΠΔ κατά την επεξεργασία δεδομένων φυσικού προσώπου συνδρομητή, ο οποίος έλαβε κλήση ενώ είχε εντάξει τον αριθμό του στο Μητρώο), με δεδομένες δε τις γνωστές παθογένειες του Μητρώου, καταβάλλει δε διαρκώς κάθε δυνατή προσπάθεια να συμμορφώνεται προς τις υποχρεώσεις της λαμβανομένου υπόψη ότι έχει λάβει οργανωτικά μέτρα προς το σκοπό της διασφάλισης των εγγυήσεων που απαιτούνται για τη συμμόρφωσή της με τις προϋποθέσεις νομιμότητας κατά την εκτέλεση προωθητικών και άλλων ενεργειών, διαθέτοντας όχι μόνο κατάλληλες και τεκμηριωμένες διαδικασίες σύμφωνα με διεθνή πρότυπα (ISO), αλλά επίσης έχοντας δώσει έγγραφες και λεπτομερείς οδηγίες στο προσωπικό της για την απαρέγκλιτη τήρηση της διαδικασίας τήρησης του Μητρώου του άρθρου 11 του ν. 3471/2006.
Η Αρχή, μετά από εξέταση όλων των στοιχείων του φακέλου και αφού άκουσε τον εισηγητή και το βοηθό εισηγητή, μετά από διεξοδική συζήτηση.
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Το ζήτημα των τηλεφωνικών κλήσεων, για σκοπούς απευθείας προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, ρυθμίζεται στο άρθρο 11 του ν. 3471/2006, με το οποίο εισάγονται ρυθμίσεις σχετικά με τις μη ζητηθείσες επικοινωνίες (βλ. παρ. 1 και 2). Συγκεκριμένα, στο άρθρο 11 παρ. 1 του ν. 3471/2006 ορίζεται ότι: «Η χρησιμοποίηση αυτόματων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεομοιοτυπίας (φαξ) ή ηλεκτρονικού ταχυδρομείου, και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς», ενώ με την παράγραφο 2 του ιδίου άρθρου ορίζεται ότι: «Δεν επιτρέπεται η πραγματοποίηση μη ζητηθεισών επικοινωνιών με ανθρώπινη παρέμβαση (κλήσεων) για τους ανωτέρω σκοπούς, εφόσον ο συνδρομητής έχει δηλώσει προς τον φορέα παροχής της διαθέσιμης στο κοινό υπηρεσίας, ότι δεν επιθυμεί γενικώς να δέχεται τέτοιες κλήσεις. Ο φορέας υποχρεούται να καταχωρίζει δωρεάν τις δηλώσεις αυτές σε ειδικό κατάλογο συνδρομητών, ο οποίος είναι στη διάθεση κάθε ενδιαφερομένου». Κατά συνέπεια, οι τηλεφωνικές κλήσεις με ανθρώπινη παρέμβαση, ενόψει των ανωτέρω σκοπών, επιτρέπονται, εκτός αν ο καλούμενος έχει δηλώσει ότι δεν τις επιθυμεί (σύστημα «opt-out»). Οι διαφημιζόμενοι, εφόσον πραγματοποιούν τηλεφωνικές προωθητικές ενέργειες με ανθρώπινη παρέμβαση, οφείλουν να λαμβάνουν από όλους τους παρόχους επικαιροποιημένα αντίγραφα των μητρώων του άρθρου 11 του ν. 3471/2006 και να εξασφαλίζουν ότι έχουν διαθέσιμες τις δηλώσεις των συνδρομητών που έχουν πραγματοποιηθεί έως τριάντα ημέρες πριν από την πραγματοποίηση της τηλεφωνικής κλήσης (βλ. και τις υπ’ αριθμ. 62-67/2016 Αποφάσεις της Αρχής).
2. Περαιτέρω, ο αριθμός τηλεφώνου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου του (πρβλ. άρθρο 4 παρ. 1 Κανονισμού (ΕΕ) 2016/679, εφεξής ΓΚΠΔ), επιτρέποντας την επικοινωνία με αυτόν. Σύμφωνα δε με τη Γνώμη 4/2007 της ομάδας εργασίας του άρθρου 29 της Ε.Ε. σχετικά με την έννοια των προσωπικών δεδομένων, ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έμμεσης αναγνώρισης, μπορούν επαρκώς σε ορισμένες περιπτώσεις να διακρίνουν ένα άτομο από άλλα στο πλαίσιο ενός συγκεκριμένου συνόλου, ακόμα και αν δεν έχει γίνει η εξακρίβωση του ονόματός του.
3. Η διενέργεια τηλεφωνικών κλήσεων με σκοπό την προώθηση προϊόντων και υπηρεσιών, ρυθμίζεται κατ΄ αρχήν από το άρθρο 11 του ν. 3471/2006. Επισημαίνεται όμως ότι, στο άρθρο 3 παρ. 2 του νόμου αυτού διευκρινίζεται ότι «Ο ν. 2472/1997, όπως ισχύει, και οι εκτελεστικοί του άρθρου 19 του Συντάγματος νόμοι, όπως ισχύουν, εφαρμόζονται για κάθε ζήτημα σχετικό με την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών, που δεν ρυθμίζεται ειδικότερα από τον παρόντα νόμο». Πλέον, μετά τη θέση σε εφαρμογή του ΓΚΠΔ, κάθε παραπομπή στο ν. 2472/1997, ο οποίος είχε εκδοθεί σε συμμόρφωση με την οδηγία 95/46/ΕΚ, νοείται ως παραπομπή στο ΓΚΠΔ (βλ. και άρθρο 94 παρ. 1 ΓΚΠΔ). Συνεπώς, για κάθε ζήτημα σχετικό με την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών σε συνδρομητές ή χρήστες που είναι φυσικά πρόσωπα και το οποίο δεν ρυθμίζεται ειδικότερα στο ν. 3471/2006 εφαρμόζεται ο ΓΚΠΔ (βλ. επίσης και άρθρο 95 ΓΚΠΔ όπως και την αιτιολογική σκέψη υπ’ αριθμ. 173, καθώς και τη Γνώμη 5/2019 του ΕΣΠΔ σχετικά με την αλληλεπίδραση μεταξύ της Οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και του ΓΚΠΔ, ιδίως όσον αφορά την αρμοδιότητα, τα καθήκοντα και τις εξουσίες των αρχών προστασίας δεδομένων).
4. Στο άρθρο 4 παρ. 7 του ΓΚΠΔ ορίζεται ως υπεύθυνος επεξεργασίας «…το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα…». Ο εκτελών την επεξεργασία ορίζεται στην επόμενη παράγραφο του ιδίου άρθρου ως «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας».
5. Στο άρθρο 28 του ΓΚΠΔ, με το οποίο ρυθμίζονται τα θέματα που αφορούν τον εκτελούντα την επεξεργασία, και ειδικότερα στην παρ. 1, προβλέπεται ότι όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. Στην παρ. 3 του ιδίου άρθρου ορίζεται ότι η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα, μεταξύ άλλων, ότι ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας και λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32 του ΓΚΠΔ.
6. Στο άρθρο 29 του ΓΚΠΔ ορίζεται ότι «Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ' εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.» Η διάταξη αυτή εισάγει υποχρέωση για τον εκτελούντα της επεξεργασίας, να επεξεργάζεται δεδομένα μόνο κατ’ εντολή του υπεύθυνου της επεξεργασίας, εκτός αν νόμος ορίζει άλλη υποχρέωση. Συνεπώς, παράβαση της διάταξης αυτή από εκτελούντες την επεξεργασία αποτελεί παράβαση του ΓΚΠΔ εκ μέρους τους.
7. Στο άρθρο 32 του ΓΚΠΔ ορίζεται, μεταξύ άλλων, ότι τόσο ο υπεύθυνος επεξεργασίας όσο και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται μόνο κατ’ εντολή του υπευθύνου επεξεργασίας. Από τις διατάξεις αυτές συνάγεται ότι η ευθύνη για την τήρηση των κατάλληλων μέτρων ασφάλειας βαρύνει τόσο τον υπεύθυνο επεξεργασίας όσο και τον εκτελούντα την επεξεργασία και, συνεπώς, η ευθύνη για μια παραβίαση μέτρων ασφάλειας θα πρέπει να επιμερίζεται και να αποδίδεται κατάλληλα.
8. Στις Κατευθυντήριες γραμμές του ΕΣΠΔ 07/2020 σχετικά με τις έννοιες του υπευθύνου και του εκτελούντα στο ΓΚΠΔ αναφέρεται (σκέψη 127) ότι το επίπεδο των οδηγιών που παρέχει ο υπεύθυνος επεξεργασίας στον εκτελούντα ως προς τα μέτρα που πρέπει να ληφθούν εξαρτάται από τις συγκεκριμένες συνθήκες. Σε ορισμένες περιπτώσεις, ο υπεύθυνος επεξεργασίας μπορεί να παρέχει σαφή και λεπτομερή περιγραφή των μέτρων ασφαλείας που πρέπει να εφαρμοστούν. Σε άλλες περιπτώσεις, ο υπεύθυνος επεξεργασίας μπορεί να περιγράψει τους ελάχιστους στόχους ασφαλείας που πρέπει να επιτευχθούν, ζητώντας ταυτόχρονα από τον εκτελούντα την επεξεργασία να προτείνει την εφαρμογή συγκεκριμένων μέτρων ασφαλείας. Σε κάθε περίπτωση, ο υπεύθυνος επεξεργασίας πρέπει να παρέχει στον εκτελούντα μια περιγραφή των δραστηριοτήτων επεξεργασίας και των στόχων ασφαλείας (με βάση την εκτίμηση κινδύνου του υπεύθυνου επεξεργασίας), καθώς και την έγκριση των μέτρων που προτείνει ο εκτελών την επεξεργασία.
9. Στην παρ. 10 του άρθρου 28 ορίζεται ότι «Με την επιφύλαξη των άρθρων 82, 83 και 84, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.» Συνεπώς, σε περιπτώσεις που ένας εκτελών την επεξεργασία, ακόμα και στο ευρύτερο πλαίσιο της συνεργασίας του με ένα υπεύθυνο επεξεργασίας, προβεί σε δραστηριότητες επεξεργασίας για τις οποίες δεν έχει καταγεγραμμένες εντολές (είτε ειδικές, είτε γενικές) του υπεύθυνου επεξεργασίας, τότε πρέπει να θεωρείται αυτός ως υπεύθυνος της επεξεργασίας, καθώς καθορίζει το σκοπό και τα μέσα των εν λόγω δραστηριοτήτων.
10. Από τα στοιχεία του φακέλου προκύπτει ότι η ..., μέσω σύμβασης, αναθέτει σε συνεργαζόμενες εταιρείες call center τη διενέργεια διαφημιστικών κλήσεων για προώθηση των δικών της προϊόντων και υπηρεσιών. Με τις συμβάσεις, τις έντυπες οδηγίες και τις λοιπές εντολές που παρέχει στις εν λόγω εταιρείες, η ... θέτει μια σειρά από προδιαγραφές, με τις οποίες καθορίζεται το πλαίσιο δραστηριοποίησης του εκάστοτε συνεργάτη της με στόχο την ικανοποίηση των απαιτήσεων του ΓΚΠΔ και του ν. 3471/2006. Η ... καθορίζει πλήρως το στόχο της επεξεργασίας, άρα και το σκοπό αυτής, ενώ καθορίζει και τα βασικά χαρακτηριστικά για τα μέσα της επεξεργασίας. Όπως προκύπτει ρητά από τις οδηγίες της ... προς τις συνεργαζόμενες εταιρείες (βλ. σελ. 8 εντύπου οδηγιών) «H λίστα επικοινωνίας με τα στοιχεία προσώπων που καλούνται από τους συνεργάτες της ... είτε αποστέλλεται από την ... στον συνεργάτη είτε παράγεται βάσει τυχαίου αριθμοδοτικού φάσματος.» Συνεπώς, η ... αποτελεί τον υπεύθυνο επεξεργασίας τόσο για τις κλήσεις σε «κρύα λίστα» όσο και σε στοχευμένες λίστες («ζεστή λίστα»).
Ειδικότερα, προκύπτουν και εξετάζονται οι εξής δραστηριότητες επεξεργασίας προσωπικών δεδομένων και πραγματοποίησης τηλεφωνικών κλήσεων με σκοπό την εμπορική προώθηση σε συνδρομητές, οι οποίοι περιλαμβάνουν σε μεγάλο βαθμό φυσικά πρόσωπα:
i. Κλήσεις από τις συνεργαζόμενες με την ... εταιρείες σε τυχαίο αριθμοδοτικό φάσμα, όπως αυτό επιλέγεται με κριτήρια από την ... («κρύα λίστα»). Για τις κλήσεις αυτές, νομική βάση της επεξεργασίας, λαμβανομένου υπόψη του άρθρου 11 παρ. 1 και 2 του ν. 3471/2006, μπορεί να αποτελεί το άρθρο 6 παρ. 1 στ’ του ΓΚΠΔ («η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί»), στο βαθμό που εξασφαλίζεται ότι δεν θα κληθούν αριθμοί που έχουν ενταχθεί στο Μητρώο και εξασφαλίζονται οι αρχές του άρθρου 5 του ΓΚΠΔ και οι λοιπές προϋποθέσεις που θέτει ο Κανονισμός, όπως σε σχέση με την ικανοποίηση της αρχής της διαφάνειας (βλ. ιδίως άρθρο 14 ΓΚΠΔ) και την ικανοποίηση των δικαιωμάτων των καλούμενων υποκειμένων των δεδομένων.
ii. Στοχευμένες κλήσεις σε αριθμούς, οι οποίοι έχουν προεπιλεγεί με διάφορα κριτήρια, όπως λόγω επιθυμίας του καταναλωτή, λόγω σημείωσης «προς επανάκληση» κ.α..
Επιμέρους περιπτώσεις αυτής της κατηγορίας κλήσεων αποτελούν οι εξής ενέργειες:
α. Κλήσεις με βάση λίστες που παρέχει η ... («ζεστή λίστα») π.χ. λίστες πελατών προς προσέγγιση.
β. Κλήσεις που προκύπτουν μετά από αίτημα του καλούμενου συνδρομητή, όπως π.χ. όταν αυτός ζητάει επανάκληση.
γ. Κλήσεις προς αριθμούς μετά από ενέργεια συλλογής απευθείας από τους συνδρομητές δεδομένων τους προς κλήση, όπως για παράδειγμα μέσω της ιστοσελίδας «...».
Για τις κλήσεις αυτές, νομική βάση της επεξεργασίας, λαμβανομένου υπόψη του άρθρου 11 παρ. 1 και 2 του ν. 3471/2006, μπορεί να αποτελεί:
Για την α΄ περίπτωση είτε το προαναφερόμενο άρθρο 6 παρ. 1 στ’ του ΓΚΠΔ, όπως π.χ. για κλήσεις σε υφιστάμενους πελάτες του υπεύθυνου επεξεργασίας, εφόσον αυτοί δεν έχουν εκδηλώσει εναντίωση (είτε γενικά μέσω του Μητρώου είτε ειδικά) είτε το άρθρο 6 παρ. 1 α’ του ΓΚΠΔ (συγκατάθεση). Κλήσεις με βάση τη συγκατάθεση μπορεί να γίνουν ακόμα και σε συνδρομητές οι οποίοι έχουν εγγραφεί στο Μητρώο του άρθρου 11 παρ. 2 του ν. 3471/2006.
Για την β’ περίπτωση, η νομική βάση που μπορεί να τύχει ευχερέστερα εφαρμογής στην περίπτωση του αιτήματος του καλούμενου συνδρομητή είναι η συγκατάθεσή του, ενώ ειδικά σε περιπτώσεις που ο καλούμενος συνδρομητής έχει εγγραφεί στο Μητρώο η συγκατάθεση είναι η μόνη νομική βάση για να μπορεί να κληθεί, ακόμα και σε περίπτωση επανάκλησης.
Για την γ’ περίπτωση, το πρώτο στάδιο της δραστηριότητας επεξεργασίας περιλαμβάνει συλλογή δεδομένων απευθείας από το υποκείμενο (τον προς κλήση συνδρομητή) με δικές του ενέργειες, συνεπώς, καταλληλότερη νομική βάση μπορεί να είναι και πάλι η συγκατάθεση χωρίς να μπορεί να αποκλειστεί και η νομική βάση της επεξεργασίας που είναι απαραίτητη για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης (αρ. 6 παρ. 1 β΄ ΓΚΠΔ).
Εξυπακούεται ότι σε όλες τις περιπτώσεις πρέπει να τηρούνται οι λοιπές προϋποθέσεις που προβλέπονται στον ΓΚΠΔ, τόσο σε σχέση με τις βασικές αρχές του άρθρου 5 (ιδίως την ικανοποίηση της αρχής της διαφάνειας και των απαιτήσεων του άρθρου 14 του ΓΚΠΔ) όσο και σε σχέση με τις απαιτήσεις της νόμιμης συγκατάθεσης, όπως αυτή προσδιορίζεται στα άρθρα 4 περ. 11 και 7 του ΓΚΠΔ. Επισημαίνεται ιδίως ότι σε περιπτώσεις συγκατάθεσης ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε στην πράξη επεξεργασίας. Συγκεκριμένα, ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τη συγκατάθεση με τέτοιο τρόπο ώστε να είναι δυνατό να εξακριβωθεί με ασφάλεια ότι το συγκεκριμένο υποκείμενο δεδομένων προέβη σε θετική ενέργεια δήλωσης. Συνεπώς, δεν μπορεί να θεωρηθεί ως έγκυρη συγκατάθεση μια σημείωση σε ένα πληροφοριακό σύστημα που εισάγεται από ένα υπάλληλο του υπεύθυνου ή του εκτελούντα την επεξεργασία, καθώς δεν παρέχονται επαρκή στοιχεία για την απόδειξη ότι ο συγκεκριμένος συνδρομητής φυσικό πρόσωπο ζήτησε την κλήση. Επίσης, δεν μπορεί να θεωρηθεί ως έγκυρη συγκατάθεση η μη απάντηση ενός συνδρομητή σε μια κλήση προς αυτόν, όταν η αρχική κλήση δεν έχει διενεργηθεί με νομική βάση τη συγκατάθεση. Τέλος, για την εφαρμογή της νομικής βάσης του άρθρου 6 παρ. 1 β’, ο υπεύθυνος επεξεργασίας θα πρέπει να είναι βέβαιος ότι το αίτημα προέρχεται από τον πραγματικό συνδρομητή και όχι κάποιον τρίτο, συνεπώς, οφείλει να εφαρμόζει μέτρα για να είναι βέβαιος ότι ο συγκεκριμένος συνδρομητής (φυσικό πρόσωπο) αιτήθηκε την κλήση κατά το προσυμβατικό στάδιο. Τα μέτρα αυτά πρέπει να είναι αντίστοιχα με την περίπτωση της απόδειξης της συγκατάθεσης.
iii. Η δραστηριότητα που αφορά στη συγκέντρωση του Μητρώου μέσω των παρόχων υπηρεσίας τηλεφωνίας, την ενοποίησή του και την ενδεχόμενη αποστολή του στους τελικούς αποδέκτες (π.χ. εκτελούντες την επεξεργασία), προς χρήση κατά τη διενέργεια των κλήσεων. Η δραστηριότητα αυτή διαπιστώθηκε ότι διενεργείται από την ... . Αναφέρεται επίσης ότι κάποιες από τις συνεργαζόμενες εταιρείες συλλέγουν επίσης το Μητρώο. Η δραστηριότητα αυτή, είναι απαραίτητη με βάση το άρθρο 11 του ν. 3471/2006 (και άρα έχει νομική βάση στο άρθρο 6 παρ. 1 γ’ του ΓΚΠΔ, το οποίο αφορά την επεξεργασία που είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας) και βαρύνει ως υποχρέωση τον υπεύθυνο επεξεργασίας και όχι τους εκτελούντες την επεξεργασία, οι οποίοι μπορούν να προχωρήσουν σε τέτοιες δραστηριότητες για το συγκεκριμένο σκοπό, μόνο μετά από ρητή εντολή του υπευθύνου της επεξεργασίας.
iv. Η δραστηριότητα που αφορά στην τήρηση ειδικού μητρώου εναντιώσεων από συνδρομητές φυσικά πρόσωπα, δηλαδή του μητρώου των συνδρομητών οι οποίοι, ασκώντας κατά το άρθρου 21 του ΓΚΠΔ δικαίωμα εναντίωσης, αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, με δήλωση η οποία, με βάση το άρθρο 21 παρ. 3 του ΓΚΠΔ πρέπει να έχει ως αποτέλεσμα την παύση της επεξεργασίας των δεδομένων των εν λόγω συνδρομητών φυσικών προσώπων για προωθητικούς σκοπούς από τον υπεύθυνο επεξεργασίας. Ως προς τη δραστηριότητα αυτή διαπιστώθηκε ότι τέτοιο μητρώο εναντίωσης τηρείται τόσο από την ... όσο και από συνεργαζόμενες με την ... εταιρείες, όπως οι εταιρείες ... και ..., για τις κλήσεις που αυτές διενεργούν για προωθητικούς σκοπούς της ... και ενδεχομένως και τρίτων.
Η δραστηριότητα αυτή, είναι απαραίτητη για την ικανοποίηση του ως άνω άρθρου 21 του ΓΚΠΔ (και άρα έχει νομική βάση στο προαναφερόμενο άρθρο 6 παρ. 1 γ’ του ΓΚΠΔ) και βαρύνει ως υποχρέωση τον υπεύθυνο επεξεργασίας (...) αλλά όχι τους εκτελούντες την επεξεργασία. Ο υπεύθυνος επεξεργασίας είναι με βάση το άρθρο 12 του ΓΚΠΔ αρμόδιος για την ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων. Οι εκτελούντες την επεξεργασία μπορούν να προχωρήσουν σε τέτοιες δραστηριότητες για το συγκεκριμένο σκοπό, μόνο μετά από ρητή εντολή του υπευθύνου της επεξεργασίας. Όσον αφορά στο μητρώο εναντιώσεων, διαπιστώνεται ότι η ... έχει περιλάβει συγκεκριμένο όρο στο κείμενο οδηγιών με το οποίο δεσμεύει τις συνεργαζόμενες με αυτή εταιρείες Call Center. Σε αυτό (βλ. ενότητα 8.1 σελ. 10) ρητά προσδιορίζει ότι «Ιδιαίτερα όσον αφορά τη διατύπωση εναντίωσης/αντίρρησης/μη επιθυμίας επανάκλησης του υποκειμένου την ώρα της κλήσης σχετικά με κλήσεις παρόμοιες με αυτή που διενεργείται προς το υποκείμενο, το προσωπικό του συνεργάτη θα πρέπει να καταγράφει την επιθυμία αυτή μαζί με τα στοιχεία ταυτοποίησης και επικοινωνίας του προσώπου και να ενημερώνει την ... με διαδικασία που καθορίζεται (π.χ. μέσω email, μέσω CRM) σχετικά με το αίτημα αυτό του προσώπου.» Επομένως, η τήρηση ειδικού μητρώου αντιρρήσεων εσωτερικά από κάθε εταιρεία Call Center, όταν αυτή δεν αποτελεί τον υπεύθυνο της επεξεργασίας, δεν καλύπτει τις προϋποθέσεις του άρθρου 21 του ΓΚΠΔ. Και τούτο καθώς ένα καλούμενο φυσικό πρόσωπο που έχει εκφράσει εναντίωση στη λήψη κλήσεων για προώθηση της ..., ενδέχεται να κληθεί από άλλη εταιρεία Call Center ξανά για προώθηση της ... . Τέλος, σε περίπτωση που μια εταιρεία Call Center τηρεί τέτοιο εσωτερικό μητρώο εναντιώσεων, για κλήσεις που υλοποιεί για πολλούς πελάτες της ή για κλήσεις που υλοποιεί για ένα πελάτη της χωρίς την ρητή εντολή του, τότε αυτή αποτελεί τον υπεύθυνο της επεξεργασίας και αυτή ευθύνεται για μη νόμιμη επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Επισημαίνεται ότι δεν αποτελεί αντικείμενο εξέτασης της παρούσας υπόθεσης η επεξεργασία δεδομένων ενός συνδρομητή (φυσικού προσώπου) η οποία διενεργείται μετά το στάδιο της αποδοχής μιας προσφοράς, η οποία βέβαια περιλαμβάνεται στις συμβάσεις μεταξύ της ... και των εταιρειών call center.
11. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία αναλαμβάνουν την εφαρμογή των κατάλληλων μέτρων προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων. Η ευθύνη για τη μη εφαρμογή των κατάλληλων μέτρων, κατά παράβαση των άρθρων 28, 29 και 32 του ΓΚΠΔ θα πρέπει να επιμερίζεται κατάλληλα μεταξύ του εκτελούντα την επεξεργασία και του υπευθύνου επεξεργασίας. Συνεπώς, στις περιπτώσεις που προκύπτει σφάλμα κατά την εφαρμογή μέτρων ασφάλειας από τον εκτελούντα την επεξεργασία, ο οποίος έχει εξειδικεύσει τα γενικά μέτρα που έχει ορίσει ο υπεύθυνος επεξεργασίας, ο εκτελών την επεξεργασία βαρύνεται σε μεγαλύτερο βαθμό για την εφαρμογή αυτών των μέτρων ασφάλειας. Αν όμως προκύπτει ότι ο εκτελών την επεξεργασία παραβαίνει τις υποχρεώσεις, οι οποίες του έχουν επιβληθεί με τη σύμβαση, και επεξεργάζεται δεδομένα πέραν ή κατά παράβαση των εντολών του υπεύθυνου επεξεργασίας, τότε προκύπτει παράβαση του άρθρου 29 του ΓΚΠΔ από τον εκτελούντα την επεξεργασία.
12. Σε σχέση με τα τεχνικά και οργανωτικά μέτρα, τα οποία οφείλουν να λαμβάνουν ο υπεύθυνος και ο εκτελών την επεξεργασία προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, επισημαίνεται ότι τα μέτρα αυτά δεν είναι πάντα δυνατό να προλάβουν κάθε πιθανό περιστατικό παραβίασης της ασφάλειας σε δεδομένα προσωπικού χαρακτήρα. Είναι όμως απαραίτητο, μετά από οποιαδήποτε αστοχία των μέτρων αυτών να ακολουθεί εκτίμηση και αξιολόγηση της αποτελεσματικότητάς τους, ως απαραίτητο στοιχείο για τη διατήρηση της ασφάλειας της επεξεργασίας. Συνεπώς, πρωταρχικό βήμα είναι η καταγραφή του περιστατικού, ώστε αυτό να τεκμηριώνεται και να αποδεικνύεται η συμμόρφωση του υπεύθυνου επεξεργασίας με τις αρχές του άρθρου 5 του ΓΚΠΔ, όπως άλλωστε επιβάλλεται με βάση την αρχή της λογοδοσίας. Τέτοιες αστοχίες πρέπει να καταγράφονται, ενώ στο βαθμό που αφορούν περιστατικό παραβίασης της ασφάλειας (των απαιτήσεων της εμπιστευτικότητας, της ακεραιότητας ή της διαθεσιμότητας) εφαρμόζονται και οι προβλέψεις του άρθρου 33 του ΓΚΠΔ για τη γνωστοποίηση του περιστατικού στην εποπτική αρχή. Αν μάλιστα ένα τέτοιο περιστατικό γίνει αντιληπτό από τον εκτελούντα την επεξεργασία, είναι δική του ευθύνη να ενημερώσει αμελλητί τον υπεύθυνο της επεξεργασίας για το περιστατικό, χωρίς μάλιστα καν να προβεί σε εκτίμηση κινδύνων από το περιστατικό.
13. Η ευθύνη της ... ως υπευθύνου επεξεργασίας σε σχέση με τους εκτελούντες την επεξεργασία, είναι, σε πρώτο στάδιο, να παράσχει κατάλληλα εργαλεία, κατευθύνσεις και οδηγίες ώστε να πραγματοποιούνται μόνο νόμιμες κλήσεις και μόνο νόμιμες δραστηριότητες επεξεργασίας προσωπικών δεδομένων. Στις εξεταζόμενες υποθέσεις διαπιστώθηκε ότι στο πλαίσιο των υποχρεώσεών της αυτών η ... συλλέγει τα Μητρώα από τους παρόχους σε τακτά χρονικά διαστήματα, τα ενοποιεί και τα αποστέλλει στις εκτελούσες την επεξεργασία συνεργαζόμενες εταιρείες call center. Παράλληλα, τηρεί ειδικό μητρώο με όσους έχουν ασκήσει εναντίωση στη λήψη τηλεφωνικών κλήσεων (με βάση το άρθρο 21 του ΓΚΠΔ), το οποίο και αποστέλλει επίσης στις συνεργαζόμενες εταιρείες. Διαπιστώνεται ότι η εν λόγω δραστηριότητα είναι ορθά σχεδιασμένη, αλλά απομένει να ελεγχθεί πώς έχει εφαρμοστεί σε κάθε μια από τις υποθέσεις των εξεταζόμενων καταγγελιών. Και τούτο, γιατί σε δεύτερο στάδιο, η ευθύνη της ... αφορά επίσης και την επάρκεια του ελέγχου και της εποπτείας των εκτελούντων την επεξεργασία αλλά και τις ενέργειες στις οποίες προβαίνει η ίδια η εταιρεία μόλις λαμβάνει γνώση των καταγγελιών, προκειμένου να ελέγξει την αποτελεσματικότητα των διαδικασιών της και τον τρόπο λειτουργίας των συνεργαζόμενων εταιρειών και εφαρμογής από αυτές των οδηγιών που τους παρέχει, να αναγνωρίσει σημεία στα οποία οι διαδικασίες αυτές επιδέχονται βελτίωση ή περιπτώσεις στις οποίες οι συνεργαζόμενες εταιρείες παραβαίνουν τις υποχρεώσεις τους, και σε περίπτωση που διαπιστωθεί κάποια παράβαση, να ληφθούν τα αναγκαία μέτρα ώστε να αποφεύγονται στο μέλλον αντίστοιχα περιστατικά.
14. Σε σχέση με τις επιμέρους καταγγελίες, διαπιστώνονται τα εξής: Στις υποθέσεις Α.1, Α.3, Α.4 και Α.6 διαπιστώνονται μικρές καθυστερήσεις στην λήψη και αποστολή των Μητρώων από την ..., οι οποίες είναι οριακές (δηλαδή λίγες ημέρες μετά το χρονικό διάστημα του ενός μήνα), ενώ σε μια περίπτωση (Α.6) η καθυστέρηση είναι περισσότερο αιτιολογημένη λόγω της μη ανταπόκρισης ενός παρόχου στο αίτημα της εταιρείας για λήψη του Μητρώου. Για την καταγγελία Α.2 αναφέρεται πρόδηλο και αδόκητο σφάλμα υπαλλήλου το οποίο πράγματι τεκμηριώθηκε μέσω των εσωτερικών επικοινωνιών της εταιρείας. Συνεπώς, γίνεται δεκτό ότι πρόκειται για περίπτωση μεμονωμένου σφάλματος.
Για την καταγγελία Α.5, προκύπτει ότι η ... δεν λάμβανε, αρχικά, το Μητρώο ενός παρόχου με ιδιαίτερα μικρό αριθμό συνδρομητών, αλλά μόλις ενημερώθηκε για την καταγγελία, προχώρησε σε κατάλληλες διορθωτικές κινήσεις.
Συνεπώς, στις έξι (6) παραπάνω περιπτώσεις προκύπτει παράβαση της διάταξης του άρθρου 11 του ν. 3471/2006 και κλήση αριθμών συνδρομητών οι οποίοι είχαν ενταχθεί στο μητρώο του άρθρου 11 παρ. 2 του παρόχου τους. Γίνεται όμως δεκτό ότι δεν διαπιστώθηκε συστηματική πλημμέλεια ή συστημική αστοχία εκ μέρους της ... και ότι οι εν λόγω καταγγελίες αφορούν μεμονωμένα περιστατικά.
15. Για τις υποθέσεις της κατηγορίας Β, η Αρχή κρίνει ότι από τα υφιστάμενα στοιχεία δεν μπορεί να στοιχειοθετηθεί παράβαση των υπό εξέταση εταιρειών, αν και οι καταγγέλλοντες παρέχουν επαρκή στοιχεία προς απόδειξη ότι έχουν λάβει τηλεφωνικές κλήσεις. Όμως, τα στοιχεία που προσκομίζουν οι εταιρείες call center και η ... είναι επαρκή, σε αυτό το στάδιο, για την απόδειξη ότι δεν πραγματοποίησαν αυτές τις κλήσεις, ιδίως καθώς προσκομίζονται αναλυτικές λίστες εξερχόμενων κλήσεων και μάλιστα από τον πάροχό τους. Δεν μπορεί να αποκλειστεί ότι κάποια από τις εταιρείες Call Center έχει πραγματοποιήσει κλήση με άλλο τρόπο (π.χ. μέσω τεχνολογίας VoIP ή άλλης παρόμοιας τεχνικής) αλλά, με τα υφιστάμενα στοιχεία δεν είναι δυνατό να γίνει περαιτέρω διερεύνηση. Περαιτέρω, οι συγκεκριμένες περιπτώσεις αποτελούν ολιγάριθμα μεμονωμένα φαινόμενα, τα οποία δεν φαίνεται να επαναλαμβάνονται ούτε αναφέρθηκαν στην Αρχή άλλα παρόμοια περιστατικά σε σχέση με τις εν λόγω εταιρείες. Η Αρχή θα παρακολουθεί στο μέλλον για την εμφάνιση παρόμοιων καταγγελιών ώστε να κρίνει αν απαιτείται να προβεί σε εξειδικευμένη ελεγκτική ενέργεια.
Για τις περιπτώσεις των καταγγελιών της κατηγορίας Γ:
16. Όσον αφορά τις εταιρείες ... (υπόθεση Γ.Γ.1) και ... (τρεις υποθέσεις Γ.Α.1-3), διαπιστώνεται ότι λόγω μεμονωμένων σφαλμάτων οι εταιρείες πραγματοποίησαν κλήσεις προς συνδρομητές που είχαν ενταχθεί στο μητρώο, ενώ είχαν λάβει τις κατάλληλες οδηγίες από τον υπεύθυνο επεξεργασίας. Όπως προκύπτει από τα εξεταζόμενα στοιχεία, οι ίδιες οι εταιρείες αποδέχονται τα σφάλματά τους, τα οποία είναι ολιγάριθμα και αφορούν χρονικό διάστημα πλέον της διετίας, ενώ έχουν λάβει μέτρα για τον περιορισμό τους.
17. Όσον αφορά την ... ΙΚΕ:
Μια βασική διαπίστωση της Αρχής είναι η καθυστέρηση στην ενσωμάτωση του Μητρώου στα συστήματά της. Επισημαίνεται ότι δεν μπορεί να γίνει δεκτό ότι για τη διαδικασία αυτή απαιτείται ιδιαίτερα μεγάλος χρόνος. Είναι μια επαναλαμβανόμενη διαδικασία, η οποία αφορά μόνο τηλεφωνικούς αριθμούς, αν και σε αρκετά μεγάλο αριθμό, δηλαδή ένα μόνο δεδομένο με πολύ συγκεκριμένο μορφότυπο, ο οποίος εύκολα μπορεί να ελεγχθεί. Πρέπει να γίνει δεκτό ότι απαιτείται κάποιος επιπλέον χρόνος για τον έλεγχο των εγγραφών του Μητρώου το οποίο λαμβάνεται από τους παρόχους και για την ομογενοποίηση των αρχείων, καθώς ο μορφότυπος με τον οποίο τα αρχεία του Μητρώου λαμβάνονται από κάθε πάροχο διαφέρει, η Αρχή όμως εκτιμά ότι τέτοιες διεργασίες αυτοματοποιούνται, πλέον, εύκολα, καθώς μετά από την υπερδεκαετή εμπειρία λειτουργίας του Μητρώου, προβλήματα ομογενοποίησης και μορφοτύπων πρέπει να αναγνωρίζονται και να επιλύονται άμεσα, κατά βάση με αυτόματο τρόπο και με ελάχιστη ανθρώπινη παρέμβαση. Καθυστερήσεις πέραν της μίας εργάσιμης ημέρας δεν είναι εύλογες, ενώ όταν μεσολαβεί Σαββατοκύριακο, η εταιρεία έχει την ευκαιρία να ολοκληρώσει τις διεργασίες αυτές ακόμα πιο εύκολα. Η ενέργεια αυτή θα έπρεπε να αποτελεί την πρώτη προτεραιότητα της εταιρείας, καθώς σχετίζεται με την ικανοποίηση των δικαιωμάτων των πολιτών και αποτελεί εκ του νόμου υποχρέωση του υπεύθυνου επεξεργασίας, η οποία έχει ανατεθεί μέσω των συμβάσεων στις εταιρείες Call Center. Συνεπώς, μπορεί μεν να θεωρηθεί ότι στις τηλεφωνικές κλήσεις στις υποθέσεις Γ.Β.4 και Γ.Β.5 (οι οποίες συνέβησαν μια εργάσιμη ημέρα μετά την λήψη του αρχείου του Μητρώου) δεν προκύπτει παράβαση της ..., ενώ στις περιπτώσεις των πέντε (5) υποθέσεων Γ.Β.6 (11 ημέρες καθυστέρηση εφαρμογής του Μητρώου), Γ.Β.8 (6 ημέρες), Γ.Β.9 (3 ημέρες ενώ μεσολαβεί και Σαββατοκύριακο), Γ.Β.10 (4 ημέρες ενώ μεσολαβεί και Σαββατοκύριακο) και Γ.Β.11 (5 ημέρες ενώ μεσολαβεί και Σαββατοκύριακο) προκύπτει παράβαση του άρθρου 32 του ΓΚΠΔ.
Περαιτέρω, προς αποφυγή λαθών, το αυτόματο σύστημα διενέργειας και δρομολόγησης κλήσεων (dialer) πρέπει να είναι ρυθμισμένο ώστε να απορρίπτει τις κλήσεις, πριν καν αυτές ξεκινήσουν. Δεν είναι αποδεκτό να γίνεται τέτοιος έλεγχος αφού ξεκινήσει η δρομολόγηση της κλήσης, καθώς υπάρχει η πιθανότητα κλήσης συνδρομητή που έχει εναντιωθεί. Θα έπρεπε λοιπόν, στις αυτόματες κλήσεις, οι αριθμοί να απορρίπτονται πριν φορτωθούν στον dialer (υποθέσεις Γ.Β.1 και Δ.1). Για τις περιπτώσεις κλήσεων με χειροκίνητο τρόπο, οι οποίες μόνο κατ’ εξαίρεση θα ήταν επιτρεπτές, θα έπρεπε να υπάρχουν τα κατάλληλα μέτρα ώστε να ελέγχεται πριν τη διενέργεια της κλήσης ότι ο αριθμός δεν βρίσκεται στο Μητρώο ή το μητρώο αντιρρήσεων, ή ότι υφίσταται ειδική συγκατάθεση (υπόθεση Γ.Β.2). Συνεπώς, από τις συγκεκριμένες τρεις (3) περιπτώσεις καταγγελίας, προκύπτει συστημικό πρόβλημα στις εφαρμογές της εταιρείας ... και παράβαση του άρθρου 32 του ΓΚΠΔ από τον εκτελούντα την επεξεργασία.
Για τις δύο λοιπές υποθέσεις καταγγελιών (Γ.Β.3, Γ.Β.7) η ... αναφέρει ότι έχει συμβεί ανθρώπινο (στη πρώτη εξ αυτών) και τεχνικό (στη δεύτερη) σφάλμα. Δεν παρέχει όμως καμία σχετική καταγεγραμμένη απόδειξη του λάθους, ούτε καν προσκομίζονται εσωτερικές επικοινωνίες, που θα μπορούσε να θεωρηθεί ως το ελάχιστο μέσο ένδειξης για το σφάλμα. Μάλιστα, ούτε στην περίπτωση της αναβάθμισης αδειών αναφέρονται ποιες άδειες ήταν αυτές και με ποιο τρόπο επηρέασαν την επεξεργασία. Περαιτέρω, διαπιστώνεται ότι σε καμία περίπτωση δεν έχει γνωστοποιηθεί τέτοιο σφάλμα στην Αρχή ή ότι είχε κινηθεί, εσωτερικά από τον εκτελούντα την επεξεργασία, η διαδικασία ενημέρωσης του υπεύθυνου επεξεργασίας σε σχέση με το σφάλμα, όπως υποχρεούται ο εκτελών την επεξεργασία με βάση το άρθρο 33 παρ. 2 του ΓΚΠΔ. Συνεπώς, είναι απορριπτέοι ως αβάσιμοι και αναπόδεικτοι οι ισχυρισμοί της ... για την αιτιολόγηση των σφαλμάτων και άρα προκύπτουν παραβάσεις του άρθρου 32 του ΓΚΠΔ.
18. Όσον αφορά τη ..., η οποία να σημειωθεί ότι δεν κατάθεσε υπόμνημα απόψεων, παρά την παρουσία των εκπροσώπων της κατά την ακρόαση, με βάση και όσα έχουν κοινοποιηθεί στην Αρχή από την ..., διαπιστώνονται τα εξής:
Στις περιπτώσεις των έξι (6) καταγγελιών Γ.Δ.1, Γ.Δ.2, Γ.Δ.3, Γ.Δ.4, Γ.Δ.6, Γ.Ε.7 αναφέρονται σφάλματα, για τα οποία δεν παρέχεται τεκμηρίωση. Συνεπώς, με το σκεπτικό που αναπτύχθηκε παραπάνω, είναι απορριπτέοι ως αβάσιμοι και αναπόδεικτοι οι σχετικοί ισχυρισμοί της εταιρείας. Σημειώνεται ότι προς αποφυγή λαθών, ο έλεγχος των κλήσεων πρέπει να συμπεριλάβει και τις «χειροκίνητες» κλήσεις, οι οποίες μπορεί να επιτρέπονται είτε σε αριθμούς που δεν περιλαμβάνονται στο Μητρώο, είτε κατόπιν συγκατάθεσης η οποία πληροί τα χαρακτηριστικά του ΓΚΠΔ. Συνεπώς, στις παραπάνω περιπτώσεις, διαπιστώνεται παράβαση του άρθρου 32 του ΓΚΠΔ.
Στην περίπτωση της καταγγελίας Δ.2 προκύπτει, όπως αναφέρει και η ..., πλημμελής συμπεριφορά της ..., λόγω μη προσκόμισης στοιχείων προς τον υπεύθυνο επεξεργασίας. Συνεπώς, καθώς η διαδικασία διερεύνησης μιας καταγγελίας είναι απαραίτητο στάδιο για την αξιολόγηση των λαμβανόμενων μέτρων ασφάλειας, προκύπτει επίσης παράβαση του άρθρου 32 του ΓΚΠΔ για την οποία ευθύνεται η ... .
19. Όσον αφορά στη λειτουργία του διαδικτυακού τόπου ..., τη συλλογή προσωπικών δεδομένων μέσω αυτού, και την επακόλουθη διενέργεια τηλεφωνικών κλήσεων με «συγκατάθεση», προκύπτει ότι όσον αφορά τις δύο υπό διερεύνηση καταγγελίες (Γ.Δ.5-Γ.Δ.6), η ... αποτελούσε τον υπεύθυνο της επεξεργασίας, καθώς ήταν μια ενέργεια η οποία υλοποιήθηκε μεν για την προώθηση προϊόντων και υπηρεσιών της ..., αλλά πέραν των οδηγιών της ... . Η συγκεκριμένη δραστηριότητα πραγματοποιήθηκε επίσης κατά παράβαση της αρχής της διαφάνειας και της αρχής της νομιμότητας του άρθρου 5 παρ. 1 α’ του ΓΚΠΔ, καθώς στην υφιστάμενη κατά το χρόνο των καταγγελιών ενημέρωση στην ιστοσελίδα εμφανιζόταν ως υπεύθυνος επεξεργασίας διαφορετική εταιρεία και απουσίαζε κάθε πληροφόρηση για τους αποδέκτες (π.χ. την ...). Επιπλέον η συλλογή τηλεφωνικών αριθμών μέσω δήλωσης τους σε φόρμα μιας ιστοσελίδας δεν πληροί τις προϋποθέσεις της έγκυρης συγκατάθεσης. Και τούτο, γιατί ο υπεύθυνος επεξεργασίας δεν είναι σε θέση να αποδείξει ότι το συγκεκριμένο υποκείμενο των δεδομένων που είναι συνδρομητής ή έστω χρήστης του τηλεφωνικού αριθμού, συγκατατέθηκε στη πράξη επεξεργασίας, δηλαδή ήταν αυτό και όχι κάποιος τρίτος που καταχώρισε τον αριθμό του τηλεφώνου του στην ιστοσελίδα. Η Αρχή υπενθυμίζει ότι έχει εκδώσει την οδηγία 2/2010 για την ηλεκτρονική συγκατάθεση στο πλαίσιο του άρθρου 11 του ν. 3471/2006, η οποία παρέχει καθοδήγηση για τα ελάχιστα μέτρα απόδειξης της συγκατάθεσης όσον αφορά τη συλλογή αριθμών τηλεφώνου και λοιπών στοιχείων ηλεκτρονικής επικοινωνίας. Συνεπώς, δηλώσεις και λοιπά προσωπικά δεδομένα που είχαν ληφθεί από τη ... μέσω της εν λόγω ιστοσελίδας δεν έχουν συλλεγεί νομίμως και πρέπει επιπλέον να διαγραφούν.
20. Επισημαίνεται επίσης ότι ακόμα και μετά τη νέα συμφωνία της ... και της ..., με βάση την οποία η λειτουργία του διαδικτυακού τόπου ... θα γίνεται για λογαριασμό της ..., δεν είναι σαφές ότι έχει αντιμετωπιστεί ο κίνδυνος να καταχωρούνται στην διαδικτυακή φόρμα στοιχεία συνδρομητή (π.χ. τηλεφωνικός αριθμός) από τρίτους. Συνεπώς, πρέπει να αξιολογηθεί η νομιμότητα των αιτήσεων και λοιπών προσωπικών δεδομένων που έχουν ληφθεί μέσω της εν λόγω ιστοσελίδας, ακόμα και μετά τη συμφωνία με την ... και σε περίπτωση που δεν έχει αντιμετωπιστεί ο παραπάνω κίνδυνος, τα δεδομένα αυτά πρέπει επίσης να διαγραφούν.
21. Όσον αφορά την ...:
Όπως αναφέρθηκε και παραπάνω, στις περιπτώσεις «επανάκλησης» ή κλήσης μετά από επιθυμία του καλούμενου η νομική βάση της επεξεργασίας προσωπικών δεδομένων για την υλοποίηση της κλήσης φαίνεται να είναι η συγκατάθεση. Συνεπώς, θα πρέπει τα στοιχεία για την απόδειξη αυτής να παρέχουν βεβαιότητα ότι το συγκεκριμένο φυσικό πρόσωπο/συνδρομητής πραγματοποίησε την ενέργεια που θεωρείται ως συγκατάθεση κατά την έννοια του άρθρου 4 σημ. 11 του ΓΚΠΔ. Προς τούτο δεν επαρκεί μια απλή σημείωση στα συστήματα της εταιρείας, ενώ σε κάθε περίπτωση πρέπει να ελέγχεται το Μητρώο πριν την πραγματοποίηση κάθε επανάκλησης για την οποία δεν υπάρχει συγκατάθεση. Επομένως, στις τέσσερις (4) υποθέσεις καταγγελίας Γ.Ε.1, Γ.Ε.2, και Γ.Ε.3 και Γ.Ε.7 διαπιστώνεται ότι η ..., λόγω μη λήψης επαρκών μέτρων για την αποφυγή μη νόμιμων κλήσεων, παραβίασε το άρθρο 32 του ΓΚΠΔ.
Στις υποθέσεις καταγγελίας Γ.Ε.4-6 η ... αναφέρει αποκλειστικά συστημικό σφάλμα λόγω τεχνικού προβλήματος στην διασύνδεση της με τον πάροχο της και τη ... . Αν και ζητήθηκε από την Αρχή, δεν παρασχέθηκε σχετική καταγεγραμμένη απόδειξη του λάθους ούτε αναφέρθηκε ότι κινήθηκε διαδικασία διαχείρισης περιστατικού παραβίασης δεδομένων με την αμελλητί ενημέρωση του υπεύθυνου επεξεργασίας, όπως θα όφειλε από το άρθρο 33 παρ. 2 του ΓΚΠΔ. Σε κάθε περίπτωση, ένα τέτοιο περιστατικό, θα μπορούσε να αντιμετωπιστεί άμεσα με τη χρήση της υποδομής του “local dialer” αλλά, με βάση τις αναφορές της ..., η συγκεκριμένη υποδομή λειτούργησε, τουλάχιστον για κάποιες ώρες και μάλιστα σε διαφορετικές ημέρες, χωρίς τα ανανεωμένα Μητρώα, κατά παράβαση των υποχρεώσεων του εκτελούντα την επεξεργασία που απορρέουν από το άρθρο 32 του ΓΚΠΔ.
22. Επισημαίνεται επίσης ότι τόσο η ... όσο και η ... αναφέρουν ότι τηρούν εσωτερικό μητρώο αντιρρήσεων, βάσει του οποίου δεν καλούν εκ νέου όσους συνδρομητές διαμαρτύρονται κατά την κλήση. Επισημαίνεται ότι, όπως αναλύθηκε παραπάνω, οι εταιρείες “Call Center” δεν νομιμοποιούνται να τηρούν δικό τους αρχείο εναντιώσεων και η επεξεργασία αυτή βρίσκεται εκτός του σκοπού της σύμβασης με τον υπεύθυνο επεξεργασίας, κατά παράβαση του άρθρου 29 του ΓΚΠΔ. Αντίθετα, οφείλουν, μόλις κάποιος καλούμενος συνδρομητής τους ενημερώνει ότι επιθυμεί να ασκήσει δικαίωμα εναντίωσης, εφόσον καταγράφουν τη δήλωση αυτή, να μεταβιβάζουν αμέσως την εν λόγω πληροφορία στον υπεύθυνο επεξεργασίας, ώστε να ενταχθεί στο αρχείο αντιρρήσεων που αυτός τηρεί, όπως προβλέπεται στη σύμβαση με την ... . Σε περίπτωση που οι ανωτέρω δύο εταιρείες Call Center τηρούν ακόμα τέτοιο μητρώο, θα πρέπει να το διαβιβάσουν αμέσως προς τον υπεύθυνο επεξεργασίας (και σε περίπτωση που αυτό αφορά πολλούς υπευθύνους, στον εκάστοτε υπεύθυνο) και να το διαγράψουν. Η Αρχή κρίνει, όμως, ότι η εν λόγω δραστηριότητα πραγματοποιήθηκε χωρίς δόλο και ήταν, έστω ελλιπώς, προς το συμφέρον των καλούμενων συνδρομητών, συνεπώς δεν απαιτείται άλλο διορθωτικό μέτρο, πέραν των ανωτέρω αναφερόμενων.
23. Για το σύνολο των καταγγελιών της κατηγορίας Γ, είναι κρίσιμο να εξεταστεί και ο ρόλος της ..., ως υπεύθυνης της επεξεργασίας. Όπως αναφέρθηκε, η Αρχή δέχεται ότι η ..., διαθέτει κατάλληλες πολιτικές και διαδικασίες σε σχέση με τη διενέργεια τηλεφωνικών κλήσεων με σκοπό την προώθηση προϊόντων και υπηρεσιών της, τις οποίες και έχει κοινοποιήσει στις συνεργαζόμενες, με αυτή, εταιρείες. Παράλληλα, όπως προκύπτει από το υπόμνημά της, έχει κινήσει ενέργειες ελέγχου των οργανωτικών και τεχνικών μέτρων που ακολουθούν κάποιες από τις εταιρείες αυτές, όπως προκύπτει από τις αναλυτικές εκθέσεις ελέγχου που διαβιβάστηκαν στην Αρχή. Διαπιστώνεται όμως ότι η διαδικασία ελέγχου των καταγγελιών που η Αρχή διαβιβάζει στην ... είναι πλημμελής και δεν περιλαμβάνει ενδελεχή έλεγχο των αιτιών που οδήγησαν σε μια μη νόμιμη κλήση. Η ..., όπως και κάθε υπεύθυνος επεξεργασίας, δεν πρέπει να αρκείται στις διαβεβαιώσεις που λαμβάνει από τον εκάστοτε εκτελούντα την επεξεργασία, αλλά να εντοπίζει την πηγή του κάθε λάθους, αμέσως μόλις αυτό εντοπιστεί, και να προβαίνει σε κατάλληλα διορθωτικά μέτρα. Με τον τρόπο αυτό, θα είχαν αποφευχθεί κλήσεις οι οποίες διενεργούνται «χειροκίνητα» και με ανθρώπινο σφάλμα, χωρίς να ελέγχεται το Μητρώο. Επίσης, θα είχε, ενδεχομένως, εντοπιστεί η αστοχία στην τήρηση εσωτερικού μητρώου εναντίωσης σε κάθε εταιρεία. Τέλος, σίγουρα θα είχε εντοπιστεί η καθυστέρηση μιας εταιρείας στην ενσωμάτωση του Μητρώου γεγονός που θα έπρεπε να οδηγήσει στην άμεση λήψη σχετικών μέτρων. Επισημαίνεται επίσης ότι, ειδικά όταν ο αριθμός των προωθητικών κλήσεων είναι μεγάλος, όπως αναφέρουν όλες οι εταιρείες, η ... ως υπεύθυνος επεξεργασίας, οφείλει να λαμβάνει και προληπτικά μέτρα ελέγχου των μέτρων και διαδικασιών που εφαρμόζουν οι εκτελούντες την επεξεργασία, όπως με τη διενέργεια ελέγχων στις συνεργαζόμενες εταιρείες. Οι έλεγχοι αυτοί, δεν πρέπει να περιορίζονται σε οργανωτικά και τεχνικά ζητήματα, αλλά, όπου ο αριθμός των κλήσεων είναι μεγάλος, της τάξης των χιλιάδων ημερησίως, πρέπει να περιλαμβάνουν έλεγχο σε σχέση με τις κλήσεις που έχουν διενεργηθεί για ικανοποιητικό χρονικό διάστημα. Μάλιστα, με δεδομένο ότι η ... διαθέτει ήδη το Μητρώο ανά μήνα και ότι οι εκτελούντες την επεξεργασία οφείλουν να τηρούν αρχεία καταγραφής εξερχομένων κλήσεων, τέτοιος έλεγχος, ο οποίος συνίσταται σε αυτοματοποιημένη αντιπαραβολή αρχείων με αριθμούς (του Μητρώου και των αρχείων εξερχομένων κλήσεων), λαμβάνοντας υπόψη τη σημερινή στάθμη της τεχνολογίας, είναι απλό να υλοποιηθεί και να επαναλαμβάνεται περιοδικά σε ικανό δείγμα κλήσεων, σε χρονικό διάστημα όχι μεγαλύτερο του ενός έτους. Συνεπώς, διαπιστώνεται ότι η ... δεν έχει λάβει τα κατάλληλα μέτρα, με βάση το άρθρο 32 του ΓΚΠΔ, για τον έλεγχο των εκτελούντων την επεξεργασία.
24. Σύμφωνα με τις προηγούμενες σκέψεις, για την ... διαπιστώνονται τα εξής:
i. Σε έξι (6) περιπτώσεις, όπως αποτυπώνονται στην σκέψη 14 της παρούσης, προκύπτει παράβαση της διάταξης του άρθρου 11 του ν. 3471/2006 και κλήση αριθμών συνδρομητών οι οποίοι είχαν ενταχθεί στο Μητρώο του άρθρου 11 παρ. 2 του παρόχου τους. Ως προς αυτές η Αρχή κρίνει ότι κατάλληλη είναι η κύρωση της προειδοποίησης, με βάση το άρθρο 21 παρ. 1 εδαφ. α’ του ν. 2472/1997, σε συνδυασμό με το άρθρο 84 του ν. 4624/2019.
ii. Ως προς τα μέτρα που λαμβάνει η ... για τον έλεγχο των εκτελούντων την επεξεργασία (σκέψη 23) διαπιστώνεται παράβαση του άρθρου 32 του ΓΚΠΔ και η Αρχή κρίνει ότι πρέπει να επιβάλει διοικητικό πρόστιμο με βάση το άρθρο 58 παρ. 2 εδαφ. θ’ του ΓΚΠΔ.
iii. Παράλληλα, με βάση το άρθρο 58 παρ. 2 εδαφ. δ’ του ΓΚΠΔ, η Αρχή κρίνει ότι πρέπει να δώσει εντολή ώστε η ... εντός χρονικού διαστήματος έξι μηνών από την κοινοποίηση της απόφασης να προβεί σε σχεδίαση διαδικασίας ελέγχου των εταιρειών Call Center, στην οποία να συμπεριλαμβάνεται, τουλάχιστον μια φορά το έτος, πλήρης ή δειγματοληπτικός έλεγχος μεγάλου αριθμού εξερχόμενων κλήσεων κάθε Call Center σε σχέση με τις διενεργούμενες κλήσεις, ώστε να διαπιστωθεί η νομιμότητα αυτών. H ... θα πρέπει να ενημερώσει την Αρχή για την εφαρμογή της διαδικασίας αυτής.
25. Για τις ... και ..., σε αυτό το στάδιο, η Αρχή κρίνει ότι δεν απαιτεί κάποιο διορθωτικό μέτρο, εν όψει των διαπιστώσεων της σκέψης 16.
26. Για την ... προκύπτει παράβαση του άρθρου 32 του ΓΚΠΔ σε δέκα (10) υποθέσεις καταγγελιών, όπως αναφέρονται στη σκέψη 17, λόγω ανεπαρκούς λήψης μέτρων ασφάλειας, κατά την εκτέλεση της επεξεργασίας. Συνεπώς, κατάλληλη είναι η κύρωση του διοικητικού προστίμου με βάση το άρθρο 58 παρ. 2 εδαφ. θ’ του ΓΚΠΔ.
27. Για την ... προκύπτει παράβαση του άρθρου 32 του ΓΚΠΔ σε επτά (7) υποθέσεις καταγγελιών λόγω ανεπαρκούς λήψης μέτρων ασφάλειας, κατά την εκτέλεση της επεξεργασίας, όπως αναφέρονται στη σκέψη 18. Συνεπώς, κατάλληλη είναι η κύρωση του διοικητικού προστίμου με βάση το άρθρο 58 παρ. 2 εδαφ. θ’ του ΓΚΠΔ.
28. Περαιτέρω, για την ... προκύπτει ότι σε δύο υποθέσεις καταγγελιών (η μία περιλαμβάνει και σφάλμα κατά την κλήση) οι καταγγελλόμενοι κλήθηκαν κατόπιν καταχώρησης του τηλεφώνου τους στην ιστοσελίδα «...», όπως περιγράφεται στη σκέψη 19. Στις δύο περιπτώσεις αυτές, προκύπτει παραβίαση του άρθρου 5 παρ. 1 α’ του ΓΚΠΔ και κατάλληλη είναι η κύρωση του διοικητικού προστίμου με βάση το άρθρο 58 παρ. 2 εδαφ. θ’ του ΓΚΠΔ. Επίσης, σε σχέση με την εν λόγω ιστοσελίδα, πρέπει να δοθεί εντολή προς τη ..., με βάση το άρθρο 58 παρ. 2 εδαφ. στ’ του ΓΚΠΔ, ώστε δηλώσεις και λοιπά προσωπικά δεδομένα που είχαν ληφθεί από τη ... μέσω της εν λόγω ιστοσελίδας να διαγραφούν.
29. Για την εταιρεία ... προκύπτει παράβαση του άρθρου 32 του ΓΚΠΔ σε επτά (7) υποθέσεις καταγγελιών, όπως αναφέρεται στη σκέψη 21, λόγω ανεπαρκούς λήψης μέτρων ασφάλειας, κατά την εκτέλεση της επεξεργασίας. Συνεπώς, κατάλληλη είναι η κύρωση του διοικητικού προστίμου με βάση το άρθρο 58 παρ. 2 εδαφ. θ’ του ΓΚΠΔ.
30. Για τις εταιρείες ... και ..., σε σχέση με την τήρηση εσωτερικού μητρώου αντιρρήσεων, όπως περιγράφεται στη σκέψη 22, κατάλληλο διοικητικό μέτρο είναι η απαγόρευση της επεξεργασίας και να γίνουν οι ενέργειες που περιγράφονται στη σκέψη 22, με βάση το άρθρο 58 παρ. 2 στ του ΓΚΠΔ.
31. Για την επιμέτρηση των προστίμων, με βάση το άρθρο 83 του ΓΚΠΔ η Αρχή, λαμβάνει υπόψη τις κατευθυντήριες γραμμές 4/2022 του ΕΣΠΔ για τον υπολογισμό των διοικητικών προστίμωνκαι τα εξής:
i. Τον τελευταίο διαθέσιμο κύκλο εργασιών των εταιρειών και συγκεκριμένα:
• ...: 3.192.742.000 € (έτους 2022)
• ...: 961.496,96 € (01/07/2021-30/06/2022)
• ...: Δεν είναι δημόσια διαθέσιμα.
• ...: 4.081.489,09 € (έτους 2021)
ii. Ότι η βαρύτητα των διαπιστωμένων παραβάσεων κρίνεται σε όλες τις περιπτώσεις ως μικρή, λαμβάνοντας υπόψη τον αριθμό των παραβάσεων και των τηλεφωνικών κλήσεων που διαπιστώθηκε ότι διενεργήθηκαν κατά παράβαση της νομοθεσίας, το χρονικό διάστημα, το μικρό αριθμό των παραβάσεων ως προς τον αριθμό των συνολικών κλήσεων που πραγματοποιούνται αλλά και το ότι έχει διαπιστωθεί από τους ελέγχους της Αρχής ότι μικρό ποσοστό όσων λαμβάνουν μη νόμιμες κλήσεις προβαίνει σε καταγγελία (βλ. αποφάσεις 60-63/2018 της Αρχής), το ότι οι παραβάσεις περιλαμβάνονται σε αυτές του άρθρου 83 παρ. 4 του ΓΚΠΔ πλην της παράβασης της ... σε σχέση με την ιστοσελίδα ... που περιλαμβάνεται σε αυτές του άρθρου 83 παρ. 5 του ΓΚΠΔ.
iii. Η Αρχή λαμβάνει υπόψη ως ελαφρυντικά στοιχεία τα εξής:
α. Η ... απέδειξε ότι βελτιώνει σταδιακά τα εφαρμοζόμενα μέτρα για τη συμμόρφωσή της με το ΓΚΠΔ και το ν. 3471/2006, λαμβάνοντας μέτρα όπως η διενέργεια ελέγχων στις συνεργαζόμενες εταιρείες
β. Τη δυσκολία εφαρμογής της διάταξης του Μητρώου (για όλες τις εταιρείες).
γ. Ειδικά για την περίπτωση της ...και την ιστοσελίδα ... τις αλλαγές στη λειτουργία του, με καθορισμό του υπεύθυνου επεξεργασίας και παροχή πληρέστερης ενημέρωσης.
iv. Η Αρχή λαμβάνει υπόψη ως επιβαρυντικά στοιχεία τα εξής:
α. Οι τρεις εταιρείες call center (..., ..., ...) έχουν ως βασικό αντικείμενο δραστηριότητας τη διενέργεια τηλεφωνικών κλήσεων, συνεπώς οφείλουν να γνωρίζουν και να σέβονται πλήρως το σχετικό θεσμικό πλαίσιο
β. Στην περίπτωση της ... έχει υπάρξει προηγούμενη επίπληξη με την απόφαση 38/2019 η οποία είναι απόλυτα συναφής, ενώ οι πρώτες καταγγελίες κατά της ... αφορούν κλήσεις που διενεργήθηκαν το 2020, σε χρόνο λίγο μετά την έκδοση της απόφασης αυτής.
32. Βάσει των ανωτέρω, η Αρχή κρίνει ομόφωνα ότι, εν όψει των παραβάσεων που διαπιστώθηκαν και λαμβάνοντας υπόψη τα παραπάνω στοιχεία, συντρέχουν οι προϋποθέσεις επιβολής σε βάρος των εταιρειών ..., ..., ... και ... των διορθωτικών μέτρων που αναφέρονται στο διατακτικό της παρούσας συμπεριλαμβανομένων των διοικητικών προστίμων τα οποία κρίνονται ως αποτελεσματικά, αναλογικά και αποτρεπτικά.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή:
α. επιβάλλει, στην ... ΠΑΡΑΓΩΓΗ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΜΟΝΟΠΡΟΣΩΠΗ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ:
i. με βάση το άρθρο 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στην συγκεκριμένη περίπτωση σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους εκατόν είκοσι επτά χιλιάδων επτακοσίων εννέα ευρώ (127.709), για την ως άνω διαπιστωθείσα παραβίαση του άρθρου 32 του ΓΚΠΔ όπως αναλύεται στη σκέψη 24 σημείο ii της παρούσης.
ii. με βάση το άρθρο 58 παρ. 2 εδαφ. δ’ του ΓΚΠΔ, δίνει εντολή ώστε, εντός χρονικού διαστήματος έξι μηνών από την κοινοποίηση της απόφασης, να προβεί σε σχεδίαση διαδικασίας ελέγχου των εταιρειών Call Center, στην οποία να συμπεριλαμβάνεται, τουλάχιστον μια φορά το έτος, πλήρης ή δειγματοληπτικός έλεγχος μεγάλου αριθμού εξερχόμενων κλήσεων κάθε συνεργαζόμενης εταιρείας και να ενημερώσει την Αρχή μετά την εφαρμογή της διαδικασίας αυτής, όπως αναλύεται στη σκέψη 24 σημείο iii της παρούσης.
iii. με βάση το άρθρο 21 παρ. 1 εδαφ. α’ του ν. 2472/1997, σε συνδυασμό με το άρθρο 84 του ν. 4624/2019, την κύρωση της προειδοποίησης σε σχέση με τις έξι (6) καταγγελίες που αναλύονται στη σκέψη 24 σημείο i της παρούσης.
β. επιβάλλει, στην ... ΥΠΗΡΕΣΙΕΣ ΤΗΛΕΦΩΝΙΚΟΥ ΚΕΝΤΡΟΥ Ι.Κ.Ε.:
i. με βάση το άρθρο 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στην συγκεκριμένη περίπτωση σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους δέκα χιλιάδων ευρώ (10.000), για την ως άνω διαπιστωθείσα παραβίαση του άρθρου 32 του ΓΚΠΔ, όπως αναλύεται στη σκέψη 26 της παρούσης.
ii. με βάση το άρθρο 58 παρ. 2 εδ. στ’ του ΓΚΠΔ απαγόρευση τήρησης εσωτερικού μητρώου αντιρρήσεων, όπως αναλύεται στη σκέψη 27 της παρούσης.
γ. επιβάλλει, στην ... Ε.Ε.:
i. με βάση το άρθρο 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στην συγκεκριμένη περίπτωση σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους έξι χιλιάδων ευρώ (6.000), για την ως άνω διαπιστωθείσα παραβίαση του άρθρου 32 του ΓΚΠΔ, όπως αναλύεται στη σκέψη 27 της παρούσης.
ii. με βάση το άρθρο 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στην συγκεκριμένη περίπτωση σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους πέντε χιλιάδων ευρώ (5.000), για την ως άνω διαπιστωθείσα παραβίαση του άρθρου 5 παρ. 1 α’ του ΓΚΠΔ, όπως αναλύεται στη σκέψη 27 της παρούσης.
iii. με βάση το άρθρο 58 παρ. 2 εδαφ. στ’ του ΓΚΠΔ δίδει εντολή όπως δηλώσεις και λοιπά προσωπικά δεδομένα που έχουν ληφθεί μέσω της ιστοσελίδας ... με υπεύθυνο επεξεργασίας την ... και τηρούνται για σκοπό προώθησης προϊόντων και υπηρεσιών να διαγραφούν και κατόπιν να ενημερωθεί η Αρχή, όπως αναλύεται στη σκέψη 28 της παρούσης.
δ. επιβάλλει, στην ... Μ.Ε.Π.Ε.:
i. με βάση το άρθρο 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στην συγκεκριμένη περίπτωση σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους είκοσι χιλιάδων ευρώ (20.000), για την ως άνω διαπιστωθείσα παραβίαση του άρθρου 32 του ΓΚΠΔ, όπως αναλύεται στη σκέψη 29 της παρούσης.
ii. με βάση το άρθρο 58 παρ. 2 εδ. στ’ του ΓΚΠΔ απαγόρευση τήρησης εσωτερικού μητρώου αντιρρήσεων, όπως αναλύεται στη σκέψη 30 της παρούσης.
Ο Πρόεδρος
Κωνσταντίνος Μενουδάκος
Η Γραμματέας
Γεωργία Παλαιολόγου