Προσωπικά δεδομένα: Πρόστιμο 7.000 ευρώ για μη ικανοποίηση δικαιώματος πρόσβασης και μη συνεργασία με την Αρχή (ΑΠΔΠΧ 66/2022) | Νομικά Νέα

  • Αρχική
  • Νομικά Νέα
  • Προσωπικά δεδομένα: Πρόστιμο 7.000 ευρώ για μη ικανοποίηση δικαιώματος πρόσβασης και μη συνεργασία με την Αρχή (ΑΠΔΠΧ 66/2022) | Νομικά Νέα

Διοικητικό πρόστιμο 7.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε ομόρρυθμη εταιρεία, μετά από καταγγελία για μη ικανοποίηση αιτήματος πρόσβασης σε προσωπικά δεδομένα.

Αξίζει να παρατηρηθεί πως το μεγαλύτερο μέρος του προστίμου (5.000 ευρώ) υπήρξε αποτέλεσμα της απροθυμίας της εταιρείας να απαντήσει στα έγγραφα της Αρχής και δεν σχετιζόταν με το αντικείμενο της καταγγελίας.

Ιστορικό

Με καταγγελία της ενώπιον της Αρχής, η καταγγέλλουσα διαμαρτυρήθηκε για τη μη ικανοποίηση δικαιώματος πρόσβασης που ασκήθηκε προς εταιρεία. Σύμφωνα με την καταγγελία, με το αίτημα πρόσβασης που άσκησε ζήτησε «να της χορηγηθούν αντίγραφα των συμβάσεων που έχει υπογράψει, καθώς και να ενημερωθεί για τις συνεδρίες που είχε παρακολουθήσει και για το πλεονασματικό υπόλοιπο που είχε καταθέσει για την παρακολούθηση του προγράμματος, δεν υπήρχε καμία ανταπόκριση από την καταγγελλόμενη εταιρεία». Ακολούθως, απέστειλε και εξώδικο προς την εταιρεία, με τα ίδια αιτήματα, χωρίς και πάλι να λάβει απάντηση.

Η Αρχή ζήτησε την παροχή απόψεων της καταγγελλόμενης, η ανταπόκριση όμως ήταν και στην περίπτωση αυτή η ίδια. Όπως προκύπτει από την απόφαση, οι απόψεις της καταγγελλόμενης ζητήθηκαν έξι φορές από την Αρχή  (23-12-2020, 05-02-2021, 11-02-2021, 12-05-2021, 03-08-2021 και 15-11-2021), χωρίς ποτέ να υπάρξει κάποια σχετική απάντηση. Εν τέλει, η Αρχή κάλεσε καταγγέλλουσα και καταγγελλόμενη όπως παρουσιαστούν στη συνεδρίαση του Τμήματος, οπότε και παρέστησαν οι πληρεξούσιοι δικηγόροι των μερών.

Με το υπόμνημά της ενώπιον της Αρχής, η καταγγελλόμενη εταιρεία ισχυρίστηκε ότι «η καταγγέλλουσα κατά την κατάρτιση των συμβάσεων ήταν πλήρως και αναλυτικά ενημερωμένη τόσο για τους όρους της σύμβασης, όσο και για τον τρόπο πληρωμής και τις τιμές ανά υπηρεσία, αναλύοντας τα ζητήματα οικονομικής φύσεως που προκύπτουν από τη συμβατική σχέση, επισημαίνοντας ότι οι εν θέματι συμβάσεις ουδέποτε καταγγέλθηκαν από την καταγγέλλουσα, ουδέποτε υπαναχώρησε από την εκτέλεσή τους, ούτε προφορικά, ούτε γραπτά και για τον λόγο αυτό παραμένουν ενεργές μέχρι και σήμερα».

Επί των ισχυρισμών της αυτών, η Αρχή επισημαίνει πως η καταγγελλόμενη «δεν προσκόμισε οιοδήποτε έγγραφο αναφορικά με την ικανοποίηση του δικαιώματος πρόσβασης και τη συμμόρφωσή της με το νομοθετικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα και δεν ανέφερε τους λόγους για τους οποίους δεν ανταποκρίθηκε στα αιτήματα της Αρχής, παρότι είχε επιβεβαιώσει τη λήψη αυτών».

Η απόφαση της Αρχής (απόσπασμα)

8. Λαμβάνοντας υπόψη τα ανωτέρω, από το σύνολο των στοιχείων του φακέλου της υπόθεσης, την ακροαματική διαδικασία και τα υποβληθέντα υπομνήματα προκύπτει ότι η καταγγέλλουσα αιτήθηκε να λάβει από την καταγγελλόμενη εταιρεία αντίγραφα συμβάσεων, στις οποίες η ίδια ήταν συμβαλλόμενο μέρος και επομένως τα εν λόγω έγγραφα περιείχαν δεδομένα προσωπικού χαρακτήρα που την ταυτοποιούσαν και την αφορούσαν, καθώς και να πληροφορηθεί ως υποκείμενο των δεδομένων για δεδομένα που την αφορούσαν και διατηρούσε η εταιρεία, ήτοι για τις συνεδρίες που είχε παρακολουθήσει και για το πλεονασματικό υπόλοιπο που είχε καταθέσει για την παρακολούθηση του προγράμματος, ασκώντας το δικαίωμα πρόσβασης του άρθρου 15 ΓΚΠΔ.

Ως εκ τούτου, η καταγγέλλουσα ως υποκείμενο των δεδομένων είχε κατά το άρθρο 15 παρ. 1 και 3 ΓΚΠΔ δικαίωμα να λάβει από την καταγγελλόμενη εταιρεία, υπό την ιδιότητα αυτής ως υπευθύνου επεξεργασίας, πρόσβαση στα ανωτέρω αναφερθέντα έγγραφα και πληροφορίες, για την οποία δεν έλαβε οιαδήποτε απόκριση από την εταιρεία. Η καταγγελλόμενη εταιρεία ως υπεύθυνος επεξεργασίας έχει υποχρέωση να απαντήσει αιτιολογημένα στο δικαίωμα πρόσβασης του υποκειμένου ακόμα και αρνητικά, σε περίπτωση κατά την οποία δεν συντρέχει κατά την άποψη του υπευθύνου επεξεργασίας νόμιμος λόγος ικανοποίησης του αιτήματος, εντός μηνός από την παραλαβή του αιτήματος, σύμφωνα με το άρθρο 12 παρ. 3 ΓΚΠΔ. Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, ενημερώνει εντός μηνός από την παραλαβή του αιτήματος το υποκείμενο των δεδομένων για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας σε εποπτική αρχή και άσκησης δικαστικής προσφυγής, σύμφωνα με το άρθρο 12 παρ. 4 ΓΚΠΔ.

Η μη απάντηση του υπευθύνου επεξεργασίας σε αίτημα πρόσβασης και ενημέρωσης του υποκειμένου για τα προσωπικά του δεδομένα συνιστά αυτοτελή παραβίαση κατ΄ άρθρο 15 ΓΚΠΔ, καθώς το υποκείμενο στην υπό κρίση περίπτωση δεν έλαβε απάντηση στο αίτημα πρόσβασης που υπέβαλε στον υπεύθυνο επεξεργασίας εγγράφως, παρά μόνο κατόπιν της παρέμβασης της Αρχής, έλαβε μέρος των αιτηθέντων δεδομένων, χωρίς να ικανοποιηθεί προσηκόντως το ασκηθέν δικαίωμα πρόσβασης.

Ως εκ τούτου, η Αρχή κρίνει ότι ο υπεύθυνος επεξεργασίας έχει παραβιάσει τις διατάξεις των άρθρων 12 παρ. 3 και 4 και 15 παρ. 1 και 3 για μη ικανοποίηση του δικαιώματος πρόσβασης του υποκειμένου.

Περαιτέρω, από το σύνολο του φακέλου της υπόθεσης, την ακροαματική διαδικασία και τα υποβληθέντα υπομνήματα, η Αρχή διαπιστώνει ότι η καταγγελλόμενη εταιρεία δεν απάντησε σε επιστολές που είχαν επανειλημμένως αποσταλεί από την Αρχή μέσα σε χρονικό διάστημα έντεκα (11) μηνών, ήτοι η πρώτη αποστολή πραγματοποιήθηκε στις 23-12-2020 και η τελευταία στις 15-11-2021, παρότι η εταιρεία επιβεβαίωσε την παραλαβή της επιστολής τόσο μέσω τηλεφωνικής επικοινωνίας στις 05-02-2021, όσο και με ηλεκτρονικό μήνυμα που απεστάλη από την ηλεκτρονική διεύθυνση επικοινωνίας της εταιρείας [email protected] στις 11-02-2021. Η καταγγελλόμενη εταιρεία, εκτός από την επιβεβαίωση παραλαβής του ηλεκτρονικού μηνύματος δεν απέστειλε ουδεμία έγγραφη απάντηση στην εποπτική Αρχή για δεκαέξι (16) ολόκληρους μήνες, παρά μόνο το μετ’ ακροάσεως υπ’ αρ. πρωτ. Γ/ΕΙΣ/6132/18-04-2022 υπόμνημα, στο οποίο πρέπει να σημειωθεί ότι δεν γίνεται ουδεμία αναφορά σε ζητήματα επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ούτε σε σχέση με την εν θέματι καταγγελία, ούτε σε σχέση με την τυχόν συμμόρφωση της εταιρείας με το νομοθετικό πλαίσιο προστασίας των δεδομένων προσωπικού χαρακτήρα. Κατ’ ακολουθία, η Αρχή διαπιστώνει ότι η καταγγελλόμενη εταιρεία επέδειξε κατ’ εξακολούθηση αδιαφορία στις αλλεπάλληλες κλήσεις της Αρχής για παροχή διευκρινίσεων που συνιστά παραβίαση των υποχρεώσεών της ως υπευθύνου επεξεργασίας, προκαλώντας ουσιαστικά εμπόδια στην εξέταση της υπό κρίση υπόθεσης. Επισημαίνεται ότι ο υπεύθυνος επεξεργασίας έχει υποχρέωση να απαντήσει άμεσα στις κλήσεις της εποπτικής Αρχής, σύμφωνα με τη διάταξη του άρθρου 31 ΓΚΠΔ, όπως ανεφέρθη ανωτέρω. Το γεγονός της κατ’ εξακολούθηση μη απόκρισης του υπευθύνου επεξεργασίας στις κλήσεις της Αρχής για παροχή των απόψεων του επί των καταγγελλομένων για τόσο μεγάλο χρονικό διάστημα, χωρίς κάποια αιτιολόγηση της εν λόγω συμπεριφοράς, αποδεικνύει τη μη συνεργασία του με την εποπτική Αρχή και συνιστά παραβίαση της αυτοτελούς υποχρέωσης συνεργασίας με την εποπτική Αρχή που προβλέπεται στο άρθρο 31 ΓΚΠΔ.

[…]

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Η ΑΡΧΗ

Α. Διαπιστώνει ότι η καταγγελλόμενη εταιρεία «…», ως υπεύθυνος επεξεργασίας, ικανοποίησε το δικαίωμα πρόσβασης της καταγγέλλουσας εκπρόθεσμα και ελλιπώς κατά παράβαση των οριζομένων στις διατάξεις των άρθρων 12 παρ. 3 και 15 ΓΚΠΔ και επιβάλλει στην καταγγελλόμενη εταιρεία διοικητικό πρόστιμο, κατ΄ άρθρο 58 παρ. 2 στοιχ. θ’, ύψους 2.000,00 ευρώ.

Β. Δίνει εντολή, κατ’ άρθρο 58 παρ. 2 στοιχ. γ΄ ΓΚΠΔ, στην καταγγελλόμενη εταιρεία «…», ως υπεύθυνο επεξεργασίας, να ικανοποιήσει προσηκόντως το δικαίωμα πρόσβασης της καταγγέλλουσας στο μέρος που έχει ασκηθεί και δεν έχει ακόμα ικανοποιηθεί.

Γ. Διαπιστώνει ότι η καταγγελλόμενη εταιρεία «…», ως υπεύθυνος επεξεργασίας, παραβίασε την αυτοτελή υποχρέωση συνεργασίας με την εποπτική Αρχή κατ’ άρθρο 31 ΓΚΠΔ και επιβάλει στην καταγγελλόμενη εταιρεία διοικητικό πρόστιμο, κατ’ άρθρο 58 παρ. 2 στοιχ. θ’, ύψους 5.000,00 ευρώ.

Πηγή άρθρου