Άρθρο 5.2 : Αρχή της λογοδοσίας

Η Αρχή εξέτασε καταγγελία κατά υπευθύνου επεξεργασίας για μη ικανοποίηση του δικαιώματος διαγραφής υποκειμένου από την ιστοσελίδα που διατηρεί και περιλαμβάνει δημόσιο κατάλογο ιατρών. Η καταγγέλλουσα άσκησε δύο φορές το δικαίωμα διαγραφής της μέσω ηλεκτρονικού μηνύματος στη διεύθυνση που παρέχει ο υπεύθυνος επεξεργασίας ως μέσο επικοινωνίας στην ιστοσελίδα του, ωστόσο δεν έλαβε καμία απάντηση. Η Αρχή διαπίστωσε παραβίαση της αρχής της νομιμότητας και του περιορισμού της επεξεργασίας κατ’ άρ. 5 παρ. 1 εδ. α’, ε’ και 6 παρ. 1 ΓΚΠΔ από την παράνομη διατήρηση και επεξεργασία των προσωπικών δεδομένων στην ιστοσελίδα της ελεγχόμενης εταιρίας παρά την ύπαρξη νόμιμου αιτήματος διαγραφής. Επιπλέον, η  Αρχή διαπίστωσε έλλειψη συμμόρφωσης της εταιρίας, ως υπευθύνου επεξεργασίας, προς τις  διατάξεις του ΓΚΠΔ και ειδικότερα όσον αφορά την ικανοποίηση δικαιωμάτων των υποκειμένων. Η Αρχή έδωσε εντολή για συμμόρφωση εντός μηνός και επέβαλε στον υπεύθυνο επεξεργασίας διοικητικό πρόστιμο 5.000 ευρώ.

Η Αρχή εξέτασε καταγγελία κατά δύο υπευθύνων επεξεργασίας, για μη ικανοποίηση του δικαιώματος πρόσβασης καταναλωτή σε αλληλογραφία μεταξύ τους. Ο καταγγέλλων έπειτα από επιστροφή προϊόντος ζήτησε από το κατάστημα μέσω facebook-messenger να του κοινοποιηθεί το αίτημα αποχρέωσης των δόσεων της πιστωτικής του κάρτας, που είχε σταλεί ηλεκτρονικά προς την τράπεζα. Ο υπεύθυνος επεξεργασίας αρνήθηκε να το ικανοποιήσει και στη συνέχεια ο καταγγέλλων άσκησε το ίδιο δικαίωμα προς την τράπεζα, η οποία δεν του έδωσε καμία απάντηση. Η Αρχή επέβαλε σε κάθε υπεύθυνο επεξεργασίας διοικητικό πρόστιμο 20.000 ευρώ για μη ικανοποίηση του δικαιώματος πρόσβασης.

Η Αρχή επέβαλε πρόστιμο ύψους 15.000,00 ευρώ σε εταιρεία για παράνομη εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης στους χώρους γραφείων των εργαζομένων και στην κουζίνα του χώρου εργασίας κατά παράβαση των άρθρων 5 παρ. 1 α’ και γ’ και 5 παρ. 2 του Κανονισμού (ΕΕ) 2016/679. Επιπλέον, η Αρχή διέταξε την απεγκατάσταση των καμερών και τη διαγραφή τυχόν συλλεγέντος υλικού.

Η μετάδοση της εικόνας των προσώπων που βρίσκονται στην εμβέλεια των καμερών στην οθόνη προβολής του ηλεκτρονικού υπολογιστή του διαχειριστή της εταιρείας, ο οποίος είχε την τεχνική δυνατότητα να εμφανίσει στην οθόνη την πλήρη εικόνα ή να την καλύψει μαυρίζοντας την οθόνη, ανά πάσα στιγμή και με εύκολο τρόπο μέσω σχετικής ρύθμισης από το καταγραφικό, ακόμα και αν για τη ρύθμιση αυτή χρειαζόταν η συνδρομή του εγκαταστάτη των καμερών, συνιστά επεξεργασία προσωπικών δεδομένων η οποία παραβιάζει τις διατάξεις του ΓΚΠΔ. Περαιτέρω, η ύπαρξη και μόνο καμερών σε χώρους για τους οποίους έχει ήδη κριθεί με την υπ’ αριθμ. 1/2011 Οδηγία της Αρχής ότι απαγορεύεται εγκατάσταση και λειτουργία συστημάτων βιντεοεπιτήρησης, όπως χώρους γραφείων και εστίασης, προσβάλλει υπέρμετρα τα δικαιώματα των εργαζομένων και παραβιάζει τις διατάξεις του ΓΚΠΔ.

Η Αρχή επέβαλε την κύρωση του διοικητικού χρηματικού προστίμου στον ΔΟΠΑΚΑ του Δήμου Ταύρου Μοσχάτου για παράνομη επεξεργασία, σύμφωνα με τα άρθρα 5 και 6 παρ. 1 στοιχ. γ΄ ΓΚΠΔ και μη ικανοποίηση δικαιώματος διαγραφής, σύμφωνα με το άρθρο 17 παρ. 1 στοιχ. δ΄ του ιδίου Κανονισμού. Ειδικότερα, η Αρχή έκρινε ότι ο ΔΟΠΑΚΑ προέβη σε παράνομη επεξεργασία μέσω της ανάρτησης στο Πρόγραμμα Διαύγεια εγγράφων περιεχόντων προσωπικά δεδομένα του προσφεύγοντος κατά παράβαση του οικείου ν. 3861/2010 και ακολούθως δεν ικανοποίησε το αίτημα διαγραφής του προσφεύγοντος αναφορικά με την εν λόγω παράνομη ανάρτηση παραβιάζοντας με τον τρόπο αυτό το δικαίωμα διαγραφής του άρθρου 17 ΓΚΠΔ.

Κατόπιν καταγγελίας ασφαλισμένου σε ιδιωτική ασφαλιστική εταιρία με ασφάλιση υγείας, ότι για την καταβολή της ασφαλιστικής αποζημίωσης ζητήθηκε η συγκατάθεσή του για την πρόσβαση της εταιρίας α) στη βάση δεδομένων του συνταγολογίου και στο ηλεκτρονικό σύστημα συνταγογράφησης του ΕΟΠΠΥ, β) στον ιατρικό φάκελο και γ) σε παρούσες, όσο και σε παρελθούσες ή μελλοντικές ιατρικές εξετάσεις όχι μόνον των δικών του αλλά και όλων των μελών του ασφαλιστικού συμβολαίου, η Αρχή 1) απέρριψε την καταγγελία, κρίνοντας ότι δεν επήλθε παραβίαση δικαιώματος του ασφαλισμένου – υποκειμένου των δεδομένων από την ασφαλιστική εταιρεία, εφόσον, παρόλο που δεν χορήγησε τη συγκατάθεσή του, έλαβε την ασφαλιστική αποζημίωση  και 2) επιφυλάχθηκε να εξετάσει συνολικά την ακολουθούμενη πρακτική και να κρίνει επί της νομιμότητας της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των ασφαλισμένων στο πλαίσιο της ασφαλιστικής σύμβασης για τη διαχείριση των αποζημιώσεων/καλύψεων προς τους ασφαλισμένους, στο πλαίσιο της εξέτασης του σχεδίου Κώδικα Δεοντολογίας της Ένωσης Ασφαλιστικών Εταιρειών που έχει υποβληθεί προς έγκριση στην Αρχή.

Η Αρχή, με την με αριθμό 30/2020 απόφασή της, έδωσε εντολή στον καταγγελλόμενο να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του άρθρου 5 ΓΚΠΔ και να καταστήσει τις πράξεις επεξεργασίας που λαμβάνουν χώρα μέσω του εγκατεστημένου συστήματος βιντεοεπιτήρησης σύμφωνες προς τις διατάξεις του ΓΚΠΔ και της Οδηγίας 1/2011 και επέβαλε πρόστιμο.

Και αυτό διότι ο καταγγελλόμενος δεν προέβη σε τεκμηρίωση της νομιμότητας της εγκατάστασης και λειτουργίας του συστήματος βιντεοεπιτήρησης σύμφωνα με την αρχή της λογοδοσίας, δεν έθεσε υπόψη της Αρχής συναφή έγγραφη τεκμηρίωση της νόμιμης λειτουργίας του και από τα στοιχεία του φακέλου της υπόθεσης και την παραδοχή του καταγγελλομένου διαπιστώθηκε ότι εγκατέστησε και λειτούργησε παράνομα το σύστημα αυτό έχοντας θέσει σε λειτουργία και στρέψει την κάμερα που βρισκόταν στην οροφή της οικίας του κατά τρόπο ώστε να λαμβάνει εικόνα και να καταγράφει τις δραστηριότητες των καταγγελλόντων καθώς και κάθε φυσικού προσώπου στην ιδιοκτησία αυτών.

Η Αρχή, με την υπ’ αριθμ. 18/2020 Απόφαση, εξέτασε καταγγελία για πραγματοποίηση στοχευμένης τηλεφωνικής κλήση με την οποία το New York College πρότεινε τη συμμετοχή του καταγγέλλοντος σε επιδοτούμενο από τον ΟΑΕΔ σεμινάριο που απευθύνεται σε ανέργους. Ο υπεύθυνος επεξεργασίας δεν προσκόμισε στοιχεία με τα οποία να εξηγεί τον τρόπο με τον οποίο επεξεργάστηκε τα προσωπικά δεδομένα του καταγγέλλοντος, δηλαδή δεν μπόρεσε να τεκμηριώσει την νομιμότητα της επεξεργασίας, κατά παράβαση της αρχής της λογοδοσίας, όπως επίσης δεν  παρείχε στοιχεία για τη γενική πολιτική που ακολούθησε για την εν λόγω επεξεργασία. Η Αρχή επέβαλε πρόστιμο ύψους 5.000 για μη σύννομη επεξεργασία και μη τήρηση της υποχρέωσης λογοδοσίας και έδωσε εντολή εντός τριών μηνών από την παραλαβή της απόφασης να καταστούν σύμφωνες με τις διατάξεις του ΓΚΠΔ οι πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σχετικά των ενδιαφερόμενων για συμμετοχή σε επιδοτούμενα προγράμματα εκπαίδευσης και να ληφθούν όλα τα αναγκαία μέτρα εσωτερικής συμμόρφωσης και λογοδοσίας προς τις αρχές του άρθρου 5 παρ. 1 και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ.

Η ελεγχόμενη εταιρία επεξεργάστηκε δεδομένα προσωπικού χαρακτήρα σε υπολογιστική υποδομή (υλικού και λογισμικού-διακομιστή) χωρίς να τηρήσει το σύνολο των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ και 6 παρ. 1 ΓΚΠΔ που λάμβανε χώρα, αλλά και στο πλαίσιο κάθε μεταγενέστερης ή περαιτέρω επεξεργασίας των ίδιων δεδομένων προσωπικού χαρακτήρα, ούτε απέδειξε κατ’ άρθρο. 5 παρ. 2 ΓΚΠΔ την τήρηση αυτών. Επιπλέον, παραβίασε τις διατάξεις των άρθρων 5 παρ. 1 εδ. α’ και στ’ και παρ. 2 σε συνδυασμό με τα άρθρα 24 παρ. 1 και 2 και 32 παρ. 1 και 2 ΓΚΠΔ σχετικά με την αρχή της ασφαλούς επεξεργασίας (ιδίως της «εμπιστευτικότητας») από τη μη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων, ιδίως εκείνων που αφορούσαν τον φυσικό και λογικό διαχωρισμό υλικού, λογισμικού και δεδομένων ώστε η εταιρία να αντιγράψει παράνομα το σύνολο του περιεχομένου του διακομιστή.

Η εργοδότρια εταιρία έχουσα υπόνοιες ότι ανώτερο στέλεχος της διοίκησής της προέβη σε παράνομες πράξεις σε βάρος των συμφερόντων της διενήργησε έλεγχο και ανέκτησε διαγεγραμμένα e-mail από τον διακομιστή (server) της. Η εταιρία είχε συμμορφωθεί προς τις επιταγές του ΓΚΠΔ και από τις εσωτερικές πολιτικές και κανονισμούς της προβλεπόταν η απαγόρευση χρήσης των εταιρικών μέσων ηλεκτρονικών επικοινωνιών και δικτύων για ιδιωτικούς σκοπούς καθώς και η δυνατότητα διενέργειας εσωτερικών ελέγχων. Αντίθετα, το κλειστό κύκλωμα βιντεοεπιτήρησης είχε εγκατασταθεί και λειτουργούσε παράνομα, επιπλέον δε, το καταγραφέν υλικό που προσκομίσθηκε στην Αρχή δεν ελήφθη υπόψη κατ’ άρθρο. 19 παρ. 3 Σ. Η εταιρία δεν ικανοποίησε το δικαίωμα πρόσβασης του εργαζομένου στα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονταν στον εταιρικό προσωπικό υπολογιστή που χρησιμοποιούσε. Η Αρχή επέβαλε στην εταιρία πρόστιμο 15.000 ευρώ για μη νόμιμη εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης και για περαιτέρω επεξεργασία του σχετικού υλικού.

Η Αρχή, με την με αριθμό 52/2018 απόφασή της, αποφάνθηκε ομοφώνως ότι δεν έχει υποχρέωση να απαντά στα ερωτήματα και αιτήματα είτε των υπευθύνων επεξεργασίας, είτε των υποκειμένων των δεδομένων ή τρίτων σχετικά με ζητήματα επεξεργασίας προσωπικών δεδομένων που δεν εμπίπτουν στις προβλεπόμενες με τις διατάξεις του ΓΚΠΔ αρμοδιότητές της. Το ίδιο ισχύει και για τις εκκρεμείς κατά την 25.5.2018 αιτήσεις και ερωτήματα, δεδομένου ότι υπό το προϊσχύον νομοθετικό καθεστώς της οδηγίας 95/46 ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του αντίστοιχου ν. 2472/1997 αφενός η Αρχή δεν είχε υποχρέωση να επιλαμβάνεται ερωτημάτων και αιτημάτων των υποκειμένων των δεδομένων και τρίτων και αφετέρου η προβλεπόμενη στη διάταξη του άρθρου 19 παρ. 1 περ. ιγ ́ του ν. 2472/1997 αρμοδιότητά της να εξετάζει αιτήσεις των υπευθύνων επεξεργασίας, με τις οποίες ζητείται ο έλεγχος και η εξακρίβωση της νομιμότητας της επεξεργασίας, δεν συνάδει με την αρχή της λογοδοσίας που καθιερώνεται με τον ΓΚΠΔ.