Πρόστιμο 40.000 ευρώ συνολικά επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε δύο υπεύθυνους επεξεργασίας για μη ικανοποίηση του δικαιώματος πρόσβασης καταναλωτή σε αλληλογραφία μεταξύ τους.
Σύμφωνα με το ιστορικό της υπόθεσης, ο καταγγέλλων έπειτα από επιστροφή προϊόντος ζήτησε από το κατάστημα (Dixons South East Europe ΑΕΒΕ-ΚΩΤΣΟΒΟΛΟΣ) μέσω facebook-messenger να του κοινοποιηθεί το αίτημα αποχρέωσης των δόσεων της πιστωτικής του κάρτας, που είχε σταλεί ηλεκτρονικά προς την τράπεζα (Εθνική Τράπεζα).
Ο υπεύθυνος επεξεργασίας αρνήθηκε να το ικανοποιήσει και στη συνέχεια ο καταγγέλλων άσκησε το ίδιο δικαίωμα προς την τράπεζα, η οποία δεν του έδωσε καμία απάντηση.
Η κρίση της Αρχής
Ως προς την πρώτη εταιρεία, η Αρχή σημειώνει, μεταξύ άλλων, ότι ενώ κατά δήλωσή της και στην πράξη χρησιμοποιούσε την εφαρμογή κοινωνικής δικτύωσης Facebook για την διαχείριση αιτημάτων σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων, περιλαμβανομένου του δικαιώματος πρόσβασης, εν τούτοις δεν την είχε περιλάβει στην οικεία Πολιτική ή Διαδικασία και επομένως η τελευταία υπήρξε ελλιπής και μη ανταποκρινόμενη στη πραγματικότητα.
Ως εκ τούτου τα υποστηριζόμενα από την ίδια στο μετ’ ακρόαση υπόμνημά της σύμφωνα με τα οποία οι υπάλληλοί της ενώ είχαν λάβει γνώση της Πολιτικής, εν τέλει δεν εξέλαβαν το εν λόγω αίτημα ως αίτημα πρόσβασης επειδή δεν ήταν εξοικειωμένοι, δεν μπορεί να γίνει δεκτό.
Οι υπάλληλοι της Εταιρίας, οι οποίοι σημειωτέον υπάγονται και αποτελούν μέρος του υπευθύνου επεξεργασίας, δεν ανταποκρίθηκαν στο αίτημα πρόσβασης μέσω της εφαρμογής κοινωνικής δικτύωσης Facebook γιατί ουδέποτε είχαν ενημερωθεί για μια τέτοια δυνατότητα καθώς η σχετική «Οδηγία» της Εταιρίας δεν περιελάμβανε τέτοια περίπτωση, ούτε είχαν εκπαιδευθεί να αναγνωρίζουν και να διακρίνουν τα αιτήματα των υποκειμένων σε σχέση με τα εκ του ΓΚΠΔ και της κείμενης νομοθεσίας, δικαιώματά τους για την περίπτωση αυτή.
Ως προς την τράπεζα, η Αρχή σημειώνει ότι δεν παρείχε καμία απάντηση στον καταγγέλλοντα προς ικανοποίηση ή μη του δικαιώματός του.
Η Τράπεζα ισχυρίστηκε ότι η γραπτή αίτηση του καταγγέλλοντος διά του καταστήματος [περιοχής] Χ δεν συνιστά άσκηση του δικαιώματος πρόσβασης, καθώς από το περιεχόμενό του προκύπτει ότι αφορούσε τον τρόπο επιστροφής χρημάτων από τρίτη εταιρία εμπορίας καταναλωτικών αγαθών για συναλλαγή η οποία διενεργήθηκε μεν με χρέωση κάρτας έκδοσης της Εθνικής Τράπεζας όμως εκκαθαρίστηκε από άλλη τράπεζα.
Από το περιεχόμενο της εν λόγω αίτησης προκύπτει ότι ο καταγγέλλων αιτήθηκε «να ενημερωθεί για το αν υπάρχει αίτημα από την εταιρία Κωτσόβολος/Dixons που να αφορά την ωρίμανση των δόσεων και αποδέσμευση του ποσού από την πιστωτική μου κάρτα για προϊόν που έχει επιστραφεί στην εταιρία. Η εταιρία ισχυρίζεται ότι το αίτημα έχει υποβληθεί στην Εθνική Τράπεζα 22/6 και ότι έχει λάβει επιβεβαίωση παραλαβής του αιτήματος από την τράπεζα στις 23/6».
Από το ανωτέρω περιεχόμενο, προκύπτει ότι ο αιτών ζήτησε ενημέρωση σχετικά με την ύπαρξη ή μη αιτήματος από την Εταιρία αναφορικά με το ζήτημά του και επιπλέον ζήτησε επιβεβαίωση ή μη εάν το σχετικό αίτημα έχει υποβληθεί στην Τράπεζα σε συγκεκριμένη ημερομηνία και εάν έχει αποσταλεί επιβεβαίωση παραλαβής του.
Η από μέρους του καταγγέλλοντος αίτηση προς την Τράπεζα προς επιβεβαίωση ή μη της ύπαρξης των εν λόγω αιτημάτων που διακινήθηκαν μέσω ηλεκτρονικής αλληλογραφίας και περιελάμβαναν προσωπικά του δεδομένα, σύμφωνα με όσα προεκτέθηκαν αναλυτικά σε σχέση τόσο με την Εταιρία όσο και με την Τράπεζα, συνιστά αίτημα πρόσβασης σε προσωπικά δεδομένα του ιδίου κατ’ αρ. 15 παρ. 1 ΓΚΠΔ, χωρίς να απαιτείται, όπως ομοίως προεκτέθηκε, να περιβληθεί συγκεκριμένο τύπο ή να ασκηθεί με πανηγυρικό τρόπο, ούτε όμως να περιλαμβάνει τους λόγους για τους οποίους το υποκείμενο των δεδομένων ασκεί το δικαίωμα πρόσβασης (ΑΠΔ 16/2017 σκ. 3) .
Επιπλέον, με το άρθρο 15 παρ. 1 ΓΚΠΔ, η ελεγχόμενη Τράπεζα, ως υπεύθυνος επεξεργασίας των προσωπικών δεδομένων του καταγγέλλοντος στο πλαίσιο παραλαβής της ηλεκτρονικής αλληλογραφίας που απεστάλη από την Εταιρία κατά τα προεκτεθέντα, προκειμένου να διευθετηθεί το ζήτημα που αφορούσε τη χρέωση της πιστωτικής κάρτας του καταγγέλλοντος, την ωρίμανση των δόσεων και την αποχρέωσή τους, προέβη σε αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων και επομένως είχε την υποχρέωση, να απαντήσει σε κάθε περίπτωση, έστω και αρνητικά στο αίτημα του καταγγέλλοντος (σχετικά βλ. ΣτΕ 2627/2017, ΑΠΔΠΧ 15/2021).
Επομένως, η Αρχή έκρινε ότι, ενώ η Τράπεζα είχε την ιδιότητα του υπευθύνου επεξεργασίας και αυτοματοποιημένα επεξεργαζόταν προσωπικά δεδομένα του καταγγέλλοντος στο πλαίσιο του ανωτέρω αιτήματός του, απέτυχε να το αξιολογήσει ορθά ως αίτημα πρόσβασης κατ’ αρ. 15 ΓΚΠΔ και συνακόλουθα, αφενός, δεν παρείχε απάντηση, έστω και αρνητική, αφετέρου, δεν ικανοποίησε το νόμιμο αίτημα του καταγγέλλοντος ως όφειλε.
Στο πλαίσιο αυτό, η Αρχή προχώρησε στην επιβολή διοικητικού προστίμου ύψους 20.000 ευρώ σε καθέναν από τους υπεύθυνους επεξεργασίας.
Δείτε αναλυτικά την απόφαση 36/2021 στο dpa.gr
ΠΗΓΗ
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου