GDPR και τηλεφωνία: Νέο διπλό πρόστιμο-ρεκόρ ύψους 400.000 ευρώ
Αιμίλιος ΚορωναίοςΔικηγόρος παρ’ Αρείω ΠάγωLL.M. (Aberdeen), ΜΔΕ (Αθήνα)Με τις υπ’ αρ. 31/2019 και 34/2019 αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), που αναρτήθηκαν στην ιστοσελίδα της στις 7 Οκτωβρίου, καταγράφεται νέο πρόστιμο-ρεκόρ στη μετά GDPR εποχή. Με κάθε μία εξ αυτών επιβάλλεται πρόστιμο ύψους 200.000 ευρώ στην ίδια πολύ μεγάλη εταιρεία παροχής υπηρεσιών τηλεφωνίας για παραβάσεις του GDPR. Είτε μεμονωμένα (200.000 ευρώ έκαστο) είτε αθροιστικά (400.000 ευρώ) τα εν λόγω πρόστιμα ανεβάζουν σημαντικά τον πήχη για τα ελληνικά δεδομένα. Υπενθυμίζεται ότι το σχετικό ρεκόρ κατείχε μέχρι προ ολίγων ημερών η υπ’ αρ. 26/2019 απόφαση της ΑΠΔΠΧ για πρόστιμο ύψους 150.000 ευρώ. Το εν λόγω πρόστιμο είχε επιβληθεί σε μεγάλη εταιρεία παροχής επιχειρηματικών και λογιστικών υπηρεσιών κατόπιν καταγγελίας λογιστών.Λίγα λόγια για εκάστη εκ των δύο νέων υποθέσεων. Η απόφαση υπ’ αρ. 31/2019 αφορά τα μητρώα αντιρρήσεων, τα οποία προβλέπονται στο άρθρο 11 παρ. 2 του Ν. 3471/2006 και τηρούνται υποχρεωτικά από τις εταιρείες παροχής υπηρεσιών τηλεφωνίας. Σε αυτά δικαιούνται να εγγράφονται συνδρομητές τους δωρεάν, ώστε να μη λαμβάνουν ανεπιθύμητες τηλεφωνικές κλήσεις, ιδίως για προώθηση προϊόντων και υπηρεσιών. Για την επίτευξη αυτού του στόχου, τα μητρώα αντιρρήσεων είναι δημόσια. Έτσι, κάθε ενδιαφερόμενος που επιθυμεί να προβεί σε προωθητικές κλήσεις δικαιούται να τα λάβει, ώστε να μην καλεί τους εγγεγραμμένους σε αυτά. Στην εν λόγω υπόθεση η ΑΠΔΠΧ κινητοποιήθηκε κατόπιν καταγγελιών δύο συνδρομητών της εμπλεκόμενης εταιρείας τηλεφωνίας. Τα τηλέφωνα αυτών δεν περιλαμβάνονταν στα ειδικά μητρώα αντιρρήσεων (opt-out), τα οποία χορηγούσε η εταιρεία τηλεφωνίας σε διαφημιζόμενες εταιρείες, παρά το ότι αυτοί είχαν προβεί στη σχετική εγγραφή. Αυτό συνέβαινε εξαιτίας τεχνικού προβλήματος της εταιρείας τηλεφωνίας, ήτοι τη μη καλή αλληλεπίδραση μεταξύ δύο εφαρμογών. Έτσι, η μη ορθή τήρηση του μητρώου αντιρρήσεων είχε ως αποτέλεσμα συνδρομητές, όπως οι καταγγέλλοντες, να λαμβάνουν προωθητικές κλήσεις, παρά τη δήλωσή τους ότι δεν το επιθυμούσαν. Η παράλειψη αυτή έθιξε περισσότερους από 16.000 συνδρομητές για περισσότερο από 3 χρόνια.Κατά την ΑΠΔΠΧ, εν προκειμένω παραβιάστηκε η αρχή της ακρίβειας των προσωπικών δεδομένων (άρθρο 5 παρ. 1 περ. δ΄ GDPR), καθώς τα προσωπικά δεδομένα που τηρούσε η εταιρεία τηλεφωνίας ήταν ανακριβή. Παραβιάστηκε επίσης και η υποχρέωση της προστασίας προσωπικών δεδομένων ήδη από τον σχεδιασμό των σχετικών συστημάτων τήρησής τους (άρθρο 25 GDPR), με αποτέλεσμα την ανακρίβεια των δεδομένων. Για τους λόγους αυτούς η ΑΠΔΠΧ αποφάσισε την επιβολή προστίμου ύψους 200.000 ευρώ, λαμβάνοντας υπόψη, μεταξύ άλλων, τα ετήσια έσοδα της εταιρείας τηλεφωνίας, που για το 2018 ήταν σε επίπεδο ομίλου περίπου 2,9 δις ευρώ.Στην απόφαση υπ’ αρ. 34/2019, η ΑΠΔΠΧ κινητοποιήθηκε εκ νέου κατόπιν δύο καταγγελιών συνδρομητών της ίδιας εταιρείας τηλεφωνίας. Οι καταγγελίες αφορούσαν τη μη λειτουργία, λόγω τεχνικού σφάλματος, της δυνατότητας διαγραφής από τις λίστες παραληπτών διαφημιστικών emails της εταιρείας τηλεφωνίας, για όσους παραλήπτες ασκούσαν αυτό το δικαίωμα μέσω του συνδέσμου “unsubscribe”. Στην εταιρεία τηλεφωνίας είχε γνωστοποιηθεί το σχετικό πρόβλημα από συνδρομητή, χωρίς όμως αυτή να προβεί σε αντιμετώπισή του. Η δυσλειτουργία είχε εκδηλωθεί ήδη από το 2013, με αποτέλεσμα 8.000 περίπου συνδρομητές να επιχειρήσουν ανεπιτυχώς να διαγραφούν. Κατά την ΑΠΔΠΧ, εν προκειμένω δεν μπορούσε να ικανοποιηθεί το δικαίωμα εναντίωσης του συνδρομή (άρθρο 21 GDPR), δεδομένου ότι η προσπάθεια του να διαγραφεί από τη λίστα παραληπτών διαφημιστικών emails δεν είχε κανένα αποτέλεσμα. Απουσίαζε επίσης και το κατάλληλο οργανωτικό μέτρο από την πλευρά της εταιρείας τηλεφωνίας (άρθρο 25 ΓΚΠΔ), ώστε να μπορέσει να διαπιστώσει τη δυσλειτουργία. Για τους λόγους αυτούς η ΑΠΔΠΧ αποφάσισε και σε αυτή την περίπτωση την επιβολή δεύτερου προστίμου ύψους 200.000 ευρώ, λαμβάνοντας υπόψη, μεταξύ άλλων, για μια ακόμη φορά τα ετήσια έσοδα της εταιρείας τηλεφωνίας σε επίπεδο ομίλου. Τρεις σύντομες παρατηρήσεις για τις ως άνω δύο αποφάσεις. Παρατήρηση πρώτη: το δις εξαμαρτείν ουκ ανδρός σοφού. Δεν πάει πολύς καιρός από την επιβολή στην ίδια εταιρεία τηλεφωνίας προστίμου ύψους 150.000 ευρώ από την ΑΠΔΠΧ (απόφαση υπ’ αρ. 62/2018, 9-10-2018) για πραγματοποίηση εκατομμύριων μη νόμιμων ανεπιθύμητων τηλεφωνικών κλήσεων. Το εν λόγω πρόστιμο είχε επιβληθεί βέβαια υπό το προ του GDPR καθεστώς του Ν. 2472/1997 και αποτελούσε τότε το μεγαλύτερο δυνατό. Με τις νέες αποφάσεις σε αυτό έρχεται να προστεθεί νέο συνολικό πρόστιμο ύψους 400.000 ευρώ για νέες παραβάσεις. Παρατήρηση δεύτερη: η συμμόρφωση με τον GDPR δεν πρέπει να είναι μόνο νομικού, αλλά και τεχνικού χαρακτήρα. Και τα δύο τεχνικά προβλήματα που αντιμετώπισε η εταιρεία τηλεφωνίας, τα οποία οδήγησαν στα οικεία πρόστιμα, θα μπορούσαν να είχαν αποφευχθεί αν είχε δοθεί η δέουσα προσοχή σε τεχνικό επίπεδο. Παρατήρηση τρίτη: η συμμόρφωση με τον GDPR επιβάλλει έμφαση στη λεπτομέρεια και βλέμμα στραμμένο όχι μόνο στο μέλλον, αλλά και στο παρελθόν. Οι αστοχίες της εταιρείας τηλεφωνίας δεν οφείλονταν σε δόλο, όπως υπογράμμισε η ΑΠΔΠΧ στις σχετικές αποφάσεις της. Έρχονταν όμως από παλιά και κρύβονταν στη λεπτομέρεια, με αποτέλεσμα να αποδειχθεί μοιραία η μη επίδειξη της απαιτούμενης προσοχής.