• Business

    Επεβλήθη το πρώτο πρόστιμο για προσωπικά δεδομένα- 5.000 ευρώ σε ιατρική εταιρεία

    GDPR


    Πρόστιμο ύψους 5.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα  στην εταιρεία, ΑΝΑΝΕΩΣΗ ΙΔΙΩΤΙΚΟ ΙΑΤΡΕΙΟ, με την υπ. αριθμ. 13/2019 απόφαση της, για την διενέργεια τηλεφωνικών κλήσεων σε πολίτες, οι οποίοι είχαν ζητήσει από τον τηλεφωνικό τους πάροχο την εγγραφή τους στο ειδικό μητρώο του άρθρου 11 του Ν. 3471/2006 (opt out).
    Ειδικότερα, η Αρχή έλαβε τις καταγγελίες δύο πολιτών, οι οποίοι δέχτηκαν τηλεφωνικές κλήσεις από Ιατρική Εταιρεία, για την προώθηση  των προϊόντων που παρείχε, ενώ παράλληλα, οι υπάλληλοι της εταιρείας αρνήθηκαν να ενημερώσουν τους πολίτες  για τα στοιχεία της εταιρείας .

    Η εταιρεία αρνούμενη τις αποδιδόμενες καταγγελίες αντέτεινε ότι, οι κλήσεις έγιναν με τυχαίο και αυτοματοποιημένο τρόπο για το σκοπό της ενημέρωσης και ευαισθητοποποίησης του κοινού στα πλαίσια της κοινωνικής εταιρικής ευθύνης και επομένως η ενέργεια αυτή δεν είχε σκοπό την διαφήμιση, δηλαδή την εμπορική προώθηση προϊόντων και υπηρεσιών.

    Ειδικότερα η απόφαση της Αρχής αναφέρει τα εξής:

    Το ζήτημα των τηλεφωνικών κλήσεων για σκοπούς απευθείας προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς ρυθμίζεται στο άρθρο 11 του Ν.3471/2006, στο οποίο ορίζονται  τα σχετικά με τις μη ζητηθείσες επικοινωνίες (παρ. 1 και 2). Σημειώνεται ότι, με τις διατάξεις του άρθρου 16 παρ. 1 και 2 του Ν.3917/2011 τροποποιήθηκαν οι παρ. 1 και 2  του άρθρου 11 του Ν.3471/2006, ώστε με το άρθρο 11 παρ. 1 του Ν.3471/2006 ορίζεται πλέον ότι ……….η χρησιμοποίηση αυτόματων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεμοιοτυπίας, ή ηλεκτρονικού ταχυδρομείου και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς επιτρέπεται μόνο αν, ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς ,……, ενώ με την παράγραφο 2  του ίδιου άρθρου ορίζεται ότι …δεν επιτρέπεται η πραγματοποίηση μη ζητηθεισών επικοινωνιών με ανθρώπινη παρέμβαση (κλήσεων) για τους ανωτέρω σκοπούς, εφόσον ο συνδρομητής έχει δηλώσει προς τον φορέα παροχής της διαθέσιμης στο κοινό υπηρεσίας ότι, δεν επιθυμεί γενικώς να δέχεται τέτοιες κλήσεις.

    Ο φορέας υποχρεούται να καταχωρεί δωρεάν τι δηλώσεις αυτές σε ειδικό κατάλογο συνδρομητών, το οποίο είναι στην διάθεση κάθε ενδιαφερομένου.Κατά συνέπεια, μετά την 1/9/2011, ημερομηνία από την οποία άρχισε η ισχύς της αναφερόμενης διάταξης, οι τηλεφωνικές κλήσεις με ανθρώπινη παρέμβαση, ενόψει των ανωτέρω σκοπών, επιτρέπονται, εκτός αν ο καλούμενος έχει δηλώσει ότι δεν τις επιθυμεί (σύστημα opt – out) .

    Το σύστημα opt – out έχει ως συνέπεια ότι, τα φυσικά ή νομικά πρόσωπα μπορούν να απευθύνουν τις αντιρρήσεις τους, όσον αφορά την επεξεργασία των δεδομένων τους, είτε ειδικά απευθείας στον υπεύθυνο επεξεργασίας ( δηλαδή στον διαφημιζόμενο ) ασκώντας  το δικαίωμα της αντίρρησης, ως προς την επεξεργασία προσωπικών δεδομένων βάση του άρθρου 13 του Ν. 2472/1997, είτε γενικά, μέσω της εγγραφής τους στον ειδικό κατάλογο συνδρομητών του παρόχου, που προβλέπει το άρθρο 11 παρ. 2 του Ν.3471/2006 . Ο νόμος προβλέπει την δημιουργία μητρώου (opt – out) σε κάθε πάροχο και ο συνδρομητής μπορεί να δηλώσει ατελώς στο δικό του πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών ότι, δεν επιθυμεί να λαμβάνει τηλεφωνικές κλήσεις για απευθείας εμπορική προώθηση.

    Ο κάθε πάροχος φέρει με την προαναφερόμενη διάταξη, την υποχρέωση να τηρεί με αυτές τις δηλώσεις Δημόσιο Μητρώο που επιτελεί έναν δημόσιο σκοπό και στο οποίο έχει πρόσβαση όποιος ενδιαφέρεται να το χρησιμοποιήσει για απευθείας εμπορική προώθηση.

    Περαιτέρω, ο αριθμός τηλεφώνου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο,. αφού μπορεί να λειτουργήσει, ως στοιχείο άμεσης αναγνώρισης του κατόχου του (άρθρο 4 παρ. 1 Κανονισμού (ΕΕ) 2016/679, εφεξής ΓΚΠΔ) επιτρέποντας την επικοινωνία με αυτόν.

    Επισημαίνεται δε ότι, σύμφωνα και με την Γνώμη 4/2007 της ομάδας εργασίας του άρθρου 29 της ΕΕ, σχετικά με την έννοια των προσωπικών δεδομένων, ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έμμεσης αναγνώρισης, μπορούν επαρκώς σε ορισμένες περιπτώσεις να διακρίνουν ένα άτομο από άλλο, στο πλαίσιο ενός συγκεκριμένου συνόλου, ακόμα και αν δεν έχει γίνει η εξακρίβωση του ονόματος του.

    Με βάση την αρχή της Λογοδοσίας, όπως ορίζεται στο άρθρο 5  παρ. 2 του ΓΚΠΔ …ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (λογοδοσία) …..Περαιτέρω, στο άρθρο 24 παρ. 1 και 2 του ΓΚΠΔ αναφέρεται ότι …….λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι, η επεξεργασία διενεργείται σύμφωνα με τον παρόντα Κανονισμό.

    Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο. 2. Όταν δικαιολογείται η σχέση με τις δραστηριότητες επεξεργασίας τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας.



    ΣΧΟΛΙΑ