Πρόστιμο σε ιατρική εταιρεία για μη νόμιμη διενέργεια διαφημιστικών τηλεφωνικών κλήσεων

Την πρώτη της απόφαση για την επιβολή προστίμου με βάση τις διατάξεις του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) επέβαλε η ελληνική Αρχή για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα.Η υπόθεση έφτασε ενώπιον της Αρχής έπειτα από καταγγελίες σχετικά με λήψη τηλεφωνικών κλήσεων (τον Ιούλιο και τον Σεπτέμβριο του 2018) με σκοπό προώθηση προϊόντων ή υπηρεσιών ιατρικής εταιρείας.

Όπως επισημαίνει στην απόφασή της η ΑΠΔΠΧ, ο αριθμός τηλεφώνου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου του (πρβλ. άρθρο 4 παρ. 1 Κανονισμού (ΕΕ) 2016/679 εφεξής ΓΚΠΔ), επιτρέποντας την επικοινωνία με αυτόν. Παράλληλα, η Αρχή επικαλείται και τις διατάξεις του GDPR για την αρχή της λογοδοσίας (άρθρο 5 παρ. 2), τα τεχνικά και οργανωτικά μέτρα (άρθρο 24 παρ. 1 και 2), καθώς και την ενημέρωση του υποκειμένου (άρθρο 14 ΓΚΠΔ).

Στην συγκεκριμένη υπόθεση, η Αρχή διαπίστωσε ότι η εν λόγω εταιρεία αποδέχεται τη διενέργεια των κλήσεων, ενώ το βασικό της επιχείρημα είναι ότι η ενέργεια της δεν ήταν διαφημιστική, αλλά ενημερωτική, στο πλαίσιο δράσης «Εταιρικής – Κοινωνικής Ευθύνης».

Λαμβάνοντας υπόψη τις δύο παραβάσεις που διαπιστώθηκαν, δηλαδή τις κλήσεις προς αριθμούς συνδρομητών που είχαν εγγραφεί στο μητρώο του άρθρου 11 του ν. 3471/2006, το γεγονός ότι o υπεύθυνος επεξεργασίας δεν ενημέρωνε ορθά για τα στοιχεία του, δυσχεραίνοντας την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων και το γεγονός ότι ο υπεύθυνος επεξεργασίας αποσκοπούσε με τις ανωτέρω ενέργειες να αποκομίσει κέρδος, η Αρχή έκρινε ότι πρέπει να επιβληθεί στον υπεύθυνο επεξεργασίας πρόστιμο 5.000 Ευρώ.

Νέα διαρροή προσωπικών δεδομένων στο Instagram

Σε εξέλιξη βρίσκεται έρευνα στο Instagram, το οποίο είναι μέρος του ομίλου του Facebook, προκειμένου να διαπιστωθούν τα αίτια της νέας διαρροής προσωπικών δεδομένων.

Τα προσωπικά δεδομένα περίπου 50 εκατ. χρηστών του Instagram, διέρρευσαν καθώς ήταν αποθηκευμένα σε μία μη προστατευμένη βάση δεδομένων. Τα στοιχεία των χρηστών αφορούσαν μηνύματα ηλεκτρονικού ταχυδρομείου, αριθμούς τηλεφώνων και άλλα δεδομένα.

Το περιστατικό επιβεβαίωσε το Instagram, προσθέτοντας πως βρίσκεται σε εξέλιξη σχετική έρευνα. Την επίμαχη βάση δεδομένων διατηρούσε μία ινδική εταιρεία μάρκετινγκ, η οποία συγκέντρωνε τις πληροφορίες από τους λογαριασμούς των χρηστών και τους αποθήκευε στη βάση χωρίς μηχανισμό προστασίας.

Το Facebook επίσης ανέφερε πως ερευνά το θέμα.

Επιβολή κυρώσεων στα ΕΛΠΕ για παράνομη επεξεργασία και παράλειψη λήψης τεχνικών και οργανωτικών μέτρων

Η Αρχή επέβαλε στον Όμιλο Ελληνικά Πετρέλαια, ως υπεύθυνο επεξεργασίας, πρόστιμα ύψους 20.000 και 10.000 για παράνομη επεξεργασία σύμφωνα με τα άρθρα 4, 5 και 7 ν. 2472/1997 και μη λήψη
κατάλληλων τεχνικών και οργανωτικών μέτρων σύμφωνα με το άρθρο 10 του ως άνω νόμου, αντίστοιχα.

Συγκεκριμένα, κατόπιν δημοσιευμάτων που έκαναν λόγο για παράνομη «χαρτογράφηση πολιτών», η Αρχή εξέτασε αυτεπάγγελτα περίπτωση επεξεργασίας ευαίσθητων προσωπικών δεδομένων που έλαβε χώρα χωρίς την προηγούμενη συγκατάθεση των υποκειμένων των δεδομένων και την άδεια της Αρχής, η οποία ήταν κατά νόμο αναγκαία καθώς η επεξεργασία έλαβε χώρα πριν από την εφαρμογή του ΓΚΠΔ. Την εν λόγω επεξεργασία είχαν αναθέσει με σύμβαση τα ΕΛΠΕ στην εκτελούσα εταιρία με την επωνυμία ONE TEAM. Μάλιστα, η εν λόγω επεξεργασία διέρρευσε στο διαδίκτυο, γεγονός που κανένας από τους εμπλεκόμενους φορείς δεν ήταν σε θέση να εξηγήσει. Κατά την εξέταση της υπόθεσης, δεν διαπιστώθηκε, ούτε τεκμηριώθηκε νομιμοποιητική βάση για τη συγκεκριμένη επεξεργασία και για τον λόγο αυτό κρίθηκε παράνομη και επιβλήθηκε αντίστοιχη κύρωση στον υπεύθυνο επεξεργασίας. Επίσης, επιβλήθηκε κύρωση για τη μη λήψη μέτρων ασφαλείας για την παράνομη διαρροή στο διαδίκτυο.

Πηγή: Αρχή Προστασίας Προσωπικών Δεδομένων