GDPR: Πρόστιμο σε εταιρεία για μη νόμιμη διενέργεια διαφημιστικών τηλεφωνικών κλήσεων
Την επιβολή προστίμου 5.000 ευρώ αποφάσισε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε ιατρική εταιρεία για μη νόμιμη διενέργεια διαφημιστικών τηλεφωνικών κλήσεων.Σύμφωνα με την ΑΠΔΠΧ 13/2019:»1. Το ζήτημα των τηλεφωνικών κλήσεων, για σκοπούς απευθείας προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, ρυθμίζεται στο άρθρο 11 του ν. 3471/2006, στο οποίο ορίζονται τα σχετικά με τις μη ζητηθείσες επικοινωνίες (βλ. παρ. 1 και 2). Σημειώνεται ότι, με τις διατάξεις του άρθρου 16 παρ. 1 και 2 του ν. 3917/2011 τροποποιήθηκαν οι παρ. 1 και 2 του άρθρου 11 του ν. 3471/2006, ώστε με το άρθρο 11 παρ. 1 του ν. 3471/2006 ορίζεται πλέον ότι: «Η χρησιμοποίηση αυτόματων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεομοιοτυπίας (φαξ) ή ηλεκτρονικού ταχυδρομείου, και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς», ενώ με την παράγραφο 2 του ιδίου άρθρου ορίζεται ότι: «Δεν επιτρέπεται η πραγματοποίηση μη ζητηθεισών επικοινωνιών με ανθρώπινη παρέμβαση (κλήσεων) για τους ανωτέρω σκοπούς, εφόσον ο συνδρομητής έχει δηλώσει προς τον φορέα παροχής της διαθέσιμης στο κοινό υπηρεσίας, ότι δεν επιθυμεί γενικώς να δέχεται τέτοιες κλήσεις. Ο φορέας υποχρεούται να καταχωρίζει δωρεάν τις δηλώσεις αυτές σε ειδικό κατάλογο συνδρομητών, ο οποίος είναι στη διάθεση κάθε ενδιαφερομένου».Κατά συνέπεια, μετά την 01-09-2011, ημερομηνία κατά την οποία άρχισε η ισχύς της τροποποιημένης διάταξης, οι τηλεφωνικές κλήσεις με ανθρώπινη παρέμβαση, ενόψει των ανωτέρω σκοπών, επιτρέπονται, εκτός αν ο καλούμενος έχει δηλώσει ότι δεν τις επιθυμεί (σύστημα «opt-out»). Το σύστημα «opt-out» έχει ως συνέπεια ότι τα φυσικά ή νομικά πρόσωπα μπορούν να απευθύνουν τις αντιρρήσεις τους, όσον αφορά την επεξεργασία των δεδομένων τους, είτε ειδικά απευθείας στον υπεύθυνο επεξεργασίας (δηλαδή στον διαφημιζόμενο) ασκώντας το δικαίωμα αντίρρησης ως προς την επεξεργασία προσωπικών δεδομένων βάσει του άρθρου 13 του ν. 2472/1997 είτε γενικά μέσω της εγγραφής τους στον ειδικό κατάλογο συνδρομητών του παρόχου που προβλέπει το άρθρο 11 παρ. 2 ν. 3471/2006. Ο νόμος προβλέπει τη δημιουργία μητρώων («opt-out») σε κάθε πάροχο και ο συνδρομητής μπορεί να δηλώσει ατελώς, στον δικό του πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών, ότι δεν επιθυμεί να λαμβάνει τηλεφωνικές κλήσεις για απευθείας εμπορική προώθηση. Ο κάθε πάροχος φέρει, με την προαναφερόμενη διάταξη, την υποχρέωση να τηρεί, με αυτές τις δηλώσεις, Δημόσιο Μητρώο που επιτελεί έναν δημόσιο σκοπό και στο οποίο έχει πρόσβαση όποιος ενδιαφέρεται να το χρησιμοποιήσει για απευθείας εμπορική προώθηση.2. Περαιτέρω, ο αριθμός τηλεφώνου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου του (πρβλ. άρθρο 4 παρ. 1 Κανονισμού (ΕΕ) 2016/679 εφεξής ΓΚΠΔ), επιτρέποντας την επικοινωνία με αυτόν. Επισημαίνεται δε ότι, σύμφωνα και με τη Γνώμη 4/2007 της ομάδας εργασίας του άρθρου 29 της Ε.Ε. σχετικά με την έννοια των προσωπικών δεδομένων, ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έμμεσης αναγνώρισης, μπορούν επαρκώς σε ορισμένες περιπτώσεις να διακρίνουν ένα άτομο από άλλα στο πλαίσιο ενός συγκεκριμένου συνόλου, ακόμα και αν δεν έχει γίνει η εξακρίβωση του ονόματός του.3. Με βάση την αρχή της λογοδοσίας όπως ορίζεται στο αρ. 5 παρ. 2 του ΓΚΠΔ «Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).» Περαιτέρω, στο άρθρο 24 παρ. 1 και 2 του ΓΚΠΔ αναφέρεται «1. Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο. 2. Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας.»4. Όσον αφορά στην ενημέρωση του καλούμενου χρήστη, εφαρμόζονται οι διατάξεις του άρθρου 14 ΓΚΠΔ και ο υπεύθυνος επεξεργασίας οφείλει να παρέχει στο υποκείμενο των δεδομένων μια σειρά από πληροφορίες, μεταξύ των οποίων περιλαμβάνονται η ταυτότητα και τα στοιχεία επικοινωνίας του.5. Από την εξέταση των στοιχείων της υπόθεσης προκύπτουν τα εξής: Η …………. ΕΠΕ αποδέχεται τη διενέργεια των κλήσεων. Το βασικό επιχείρημά της είναι ότι η ενέργεια της δεν ήταν διαφημιστική, αλλά ενημερωτική, στο πλαίσιο δράσης «Εταιρικής – Κοινωνικής Ευθύνης». Η δήλωση αυτή έρχεται σε αντίθεση με όσα αναφέρουν και οι δύο καταγγέλλοντες, οι οποίοι μάλιστα επισημαίνουν ότι διαφημίστηκαν «……..». Το επιχείρημα της εταιρείας ότι εσφαλμένα αναφέρει ο ένας καταγγέλλων ότι τα τρία ιατρεία είναι πολυδύναμα, δεν μπορεί να γίνει δεκτό, καθώς ακριβώς το ίδιο αναφέρει και ο δεύτερος καταγγέλλων, χωρίς να φαίνεται να υπάρχει ουδεμία σχέση μεταξύ των δύο καταγγελλόντων. Άλλωστε, και από τα στοιχεία που κατέθεσε ο υπεύθυνος επεξεργασίας (βλ. ιδίως τα πιστοποιητικά ISO27001:2013 και τις άδειες από τον Ι.Σ.Α.) προκύπτει ότι βασική δραστηριότητα της επιχείρησης είναι η Παροχή Ιατρικών Υπηρεσιών για λόγους Αισθητικής – Ιατρικής Κοσμετολογίας. Συνεπώς, οι υπηρεσίες που παρέχει ο υπεύθυνος επεξεργασίας είναι μεν ιατρικής φύσεως αλλά δεν αφορούν την κατ’ εξοχήν προαγωγή της δημόσιας υγείας. Περαιτέρω, ενέργειες «Εταιρικής – Κοινωνικής Ευθύνης» αποτελούν μια σύγχρονη μορφή διαφήμισης. Καθώς η διάταξη του αρ. 11 του ν. 3471/2006 αναφέρεται σε «…σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς» ο υπεύθυνος επεξεργασίας οφείλει ακόμα και σε περιπτώσεις δράσης εταιρικής κοινωνικής ευθύνης να σέβεται την εν λόγω διάταξη. Συνεπώς δεν μπορεί να γίνει δεκτό το επιχείρημα του υπευθύνου για το χαρακτήρα των τηλεφωνικών κλήσεων. Όσον αφορά τη μη ικανοποιητική ενημέρωση κατά τη διάρκεια της κλήσης, όπως προκύπτει από τις καταγγελίες, η εταιρεία αναφέρθηκε ως «…………….» ενώ ακόμα κι όταν ζητήθηκε, δεν δόθηκαν τα στοιχεία της. Πρέπει επίσης να εκτιμηθεί ότι και οι δύο καταγγέλλοντες δεν είχαν κανένα άλλο στοιχείο αναγνώρισης της καλούσας εταιρείας, εκτός από τον αριθμό τηλεφώνου. Συνεπώς, προκύπτει ότι ο υπεύθυνος επεξεργασίας, δεν ενημέρωνε ορθά για τα στοιχεία του.6. Λαμβάνοντας υπόψη τις ανωτέρω δύο παραβάσεις που διαπιστώθηκαν, δηλαδή τις κλήσεις προς αριθμούς συνδρομητών που είχαν εγγραφεί στο μητρώο του άρθρου 11 του ν. 3471/2006, το γεγονός ότι o υπεύθυνος επεξεργασίας δεν ενημέρωνε ορθά για τα στοιχεία του, δυσχεραίνοντας την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων και το γεγονός ότι ο υπεύθυνος επεξεργασίας αποσκοπούσε με τις ανωτέρω ενέργειες να αποκομίσει κέρδος, η Αρχή κρίνει ότι πρέπει να επιβληθεί στον υπεύθυνο επεξεργασίας η προβλεπόμενη στο άρθρο 21 παρ. 1 στοιχ. β’ του ν. 2472/1997 κύρωση που αναφέρεται στο διατακτικό της παρούσας, η οποία κρίνεται ανάλογη με τη βαρύτητα των παραβάσεων.«