Άρθρο 6.1.α : Νομική βάση συγκατάθεσης

Η Αρχή εξέδωσε, στη συνεδρίαση της 26/3/2019, κείμενο κατευθυντήριων οδηγιών σχετικά με την επεξεργασία προσωπικών δεδομένων με σκοπό την πολιτική επικοινωνία. Με το κείμενο αυτό επιχειρείται η επικαιροποίηση των ρυθμίσεων της Οδηγίας 1/2010, λαμβάνοντας υπόψη τις τροποποιήσεις στο άρθρο 11 του ν. 3471/2006, οι οποίες επήλθαν με το ν. 3917/2011, τις νέες τεχνολογικές εξελίξεις και κυρίως την ισχύ πλέον του Γενικού Κανονισμού Προστασίας Δεδομένων 2016/679.

Στο κείμενο αυτό εξειδικεύονται οι κανόνες για τη σύννομη επεξεργασία προσωπικών δεδομένων προς τον σκοπό της πολιτικής επικοινωνίας, η οποία πραγματοποιείται με ποικίλους τρόπους και σε οποιαδήποτε χρονική περίοδο, συμπεριλαμβανομένης της προεκλογικής, από πολιτικά κόμματα, βουλευτές, ευρωβουλευτές, παρατάξεις και κατόχους αιρετών θέσεων στην τοπική αυτοδιοίκηση ή υποψηφίους στις βουλευτικές εκλογές, τις εκλογές του Ευρωπαϊκού Κοινοβουλίου και τις εκλογές τοπικής αυτοδιοίκησης. 

Ειδικότερα, στις κατευθυντήριες οδηγίες της Αρχής περιγράφονται οι κανόνες για τη σύννομη επεξεργασία προσωπικών δεδομένων μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση αλλά και με χρήση ηλεκτρονικών μέσων χωρίς ανθρώπινη παρέμβαση (SMS, MMS, email, εφαρμογές ανταλλαγής μηνυμάτων υπηρεσιών «της κοινωνίας των πληροφοριών», αυτόματες τηλεφωνικές κλήσεις με προηχογραφημένο μήνυμα και φωνητικά μηνύματα που αποθηκεύονται μέσω υπηρεσίας αυτόματου τηλεφωνητή).

Η Αρχή εξέτασε καταγγελία πελάτη εμπορικής επιχείρησης, ο οποίος μία ημέρα πριν από την εφαρμογή του ΓΚΠΔ, έλαβε μέσω της εφαρμογής Viber μήνυμα με το οποίο τον ενημέρωνε ότι θα συνεχίσει να αποστέλλει περαιτέρω μηνύματα προωθητικού χαρακτήρα. Ο πελάτης είχε χορηγήσει τον τηλεφωνικό του αριθμό στην επιχείρηση στο πλαίσιο προηγούμενης συναλλαγής. Η Αρχή έκρινε ότι στην περίπτωση της εφαρμογής Viber εφαρμοζόταν κατά τον χρόνο αποστολής του μηνύματος ο ν. 2472/1997 και πλέον εφαρμόζεται ο ΓΚΠΔ (και όχι η νομοθεσία για την προστασία των προσωπικών δεδομένων στις ηλεκτρονικές υπηρεσίες) και ότι η αποστολή του μηνύματος δεν ήταν νόμιμη, καθώς ούτε υπήρξε συγκατάθεση, ούτε μπορεί να τεκμηριωθεί υπέρτερο έννομο συμφέρον του υπευθύνου επεξεργασίας, καθώς ο πελάτης δεν είχε ενημερωθεί ειδικά για τον σκοπό της περαιτέρω χρήσης του αριθμού του. Η διαδικασία ενημέρωσης και αποδοχής της λήψης ενός μηνύματος μέσω της εφαρμογής Viber δεν αποτελεί έγκυρο τρόπο συγκατάθεσης και εναπόκειται στον εκάστοτε υπεύθυνο επεξεργασίας να εξασφαλίζει ότι πληρούνται οι προϋποθέσεις νόμιμης συγκατάθεσης. Συνεπώς, η τήρηση του αριθμού είναι μη νόμιμη. Η Αρχή απηύθυνε σχετική σύσταση.

Η Αρχή με αφορμή καταγγελία διερεύνησε αυτεπαγγέλτως την νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των υποκειμένων – εργαζομένων της εταιρίας «PRICEWATERHOUSECOOPERS BUSINNES SOLUTIONS ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ ΠΑΡΟΧΗΣ ΕΠΙΧΕΙΡΗΜΑΤΙΚΩΝ ΚΑΙ ΛΟΓΙΣΤΙΚΩΝ ΥΠΗΡΕΣΙΩΝ A.E» με διακριτικό τίτλο «PRICEWATERHOUSECOOPERS  BUSINNES  SOLUTIONS  Α.Ε.»  (PWC  BS), σύμφωνα  με  την οποία εξαναγκάσθηκαν στην παροχή συγκατάθεσης προκειμένου να λάβει χώρα επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Η Αρχή έκρινε ότι προκειμένου τα δεδομένα προσωπικού χαρακτήρα να τύχουν νόμιμης επεξεργασίας, ήτοι επεξεργασίας σύμφωνης προς τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) υπ’ αρ. 679/2016, θα πρέπει να πληρούνται σωρευτικά οι προϋποθέσεις εφαρμογής και τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ.

Η αναγνώριση και επιλογή της κατάλληλης νομικής βάσης εκ των προβλεπομένων στο άρθρο 6 παρ. 1 ΓΚΠΔ είναι στενά συνδεδεμένη με την αρχή της θεμιτής ή δίκαιης επεξεργασίας καθώς και με την αρχή του περιορισμού του σκοπού, ο δε υπεύθυνος επεξεργασίας οφείλει όχι μόνο να επιλέγει την κατάλληλη νομική βάση προ της έναρξης της επεξεργασίας, τεκμηριώνοντας εσωτερικά την επιλογή αυτή κατ’ εφαρμογή της αρχής της λογοδοσίας, αλλά και να ενημερώνει κατ’ αρ. 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠΔ για την χρήση της το υποκείμενο των δεδομένων καθώς η επιλογή της κάθε νομικής βάσης ασκεί έννομη επιρροή στην εφαρμογή των δικαιωμάτων των υποκειμένων.

Κεντρικό μέγεθος του μοντέλου συμμόρφωσης που υιοθετήθηκε από τον ΓΚΠΔ συνιστά η αρχή της λογοδοσίας στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα αναγκαία μέτρα συμμόρφωσης προς τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ και να αποδεικνύει αυτά από μόνος του χωρίς μάλιστα να απαιτείται η Αρχή, στο πλαίσιο άσκησης των ερευνητικών - ελεγκτικών εξουσιών της, να υποβάλλει επιμέρους – εξειδικευμένα ερωτήματα και αιτήματα προς διαπίστωση της συμμόρφωσης.

Επισημαίνεται ότι η Αρχή εξαιτίας του ότι διανύεται το πρώτο χρονικό διάστημα εφαρμογής του ΓΚΠΔ υποβάλλει εξειδικευμένα ερωτήματα και αιτήματα στο πλαίσιο άσκησης των συναφών ερευνητικών – ελεγκτικών εξουσιών της ώστε να διευκολύνει την από μέρους των υπευθύνων επεξεργασίας τεκμηρίωση της λογοδοσίας.

Οι αρχές της σύννομης, θεμιτής (ή δίκαιης) και με διαφανή τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα κατ’ αρ. 5 παρ. 1 εδ. α’ ΓΚΠΔ επιτάσσουν την επιλογή της συγκατάθεσης ως νομικής βάσης κατ’ αρ. 6 παρ. 1 ΓΚΠΔ μόνο εφόσον οι υπόλοιπες νομικές βάσεις δεν εφαρμόζονται, ώστε να καθίσταται μεταγενέστερα της αρχικής επιλογής αδύνατη η αλλαγή και μετάβαση σε άλλη νομική βάση. Σε περίπτωση κατά την οποία το υποκείμενο των δεδομένων ανακαλέσει τη συγκατάθεσή του, δεν επιτρέπεται η συνέχιση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα υπό άλλη νομική βάση. Όταν εφαρμόζεται ορθά η νομική βάση της συγκατάθεσης, υπό την έννοια ότι ουδεμία άλλη νομική βάση τυγχάνει εφαρμογής, η μη χορήγηση ή η ανάκληση της ισοδυναμεί με απόλυτη απαγόρευση επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

Η συγκατάθεση των υποκειμένων των δεδομένων στο πλαίσιο των εργασιακών σχέσεων δεν μπορεί να θεωρηθεί ως ελεύθερη λόγω της εγγενούς ανισότητας των μερών.

Στην προκειμένη περίπτωση, η επιλογή της νομικής βάσης της συγκατάθεσης υπήρξε εσφαλμένη καθώς η επεξεργασία των δεδομένων προσωπικού χαρακτήρα αποσκοπούσε στην διενέργεια πράξεων που συνδέονταν άμεσα με την εκτέλεση της σύμβασης εργασίας, την συμμόρφωση σε προβλεπόμενες εκ του νόμου υποχρεώσεις και στην εύρυθμη και αποτελεσματική λειτουργία της επιχείρησης.

Επιπλέον δε, η εταιρία δημιούργησε την εσφαλμένη εντύπωση στους εργαζόμενους ότι επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα τους κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης ενώ στην πραγματικότητα τα επεξεργαζόταν με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι, κατά παράβαση της αρχής της διαφάνειας και συνακόλουθα κατά παραβίαση της υποχρέωσης ενημέρωσης κατ’ άρθρο 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠΔ.

Σε περίπτωση κατά την οποία ο υπεύθυνος επεξεργασίας έχει αμφιβολίες για την νομιμότητά της επεξεργασίας οφείλει να άρει αυτές προ της επεξεργασίας ή να απέχει από την επεξεργασία μέχρι την άρση των αμφιβολιών.

Τέλος, η Αρχή διαπίστωσε στην προκειμένη περίπτωση την από μέρους του υπευθύνου επεξεργασίας παραβίαση της αρχής της λογοδοσίας κατ’ αρ. 5 παρ. 2 ΓΚΠΔ καθώς, αφενός η εταιρία δεν ανταποκρίθηκε στην συναφή υποχρέωση της και ιδίως στο αίτημα της Αρχής να προσκομίσει εσωτερική τεκμηρίωση της επιλογής της νομικής βάσης που εφάρμοσε. Αφετέρου, η εταιρία μετέφερε τις υποχρεώσεις συμμόρφωσης της στους εργαζόμενους ζητώντας τους να υπογράψουν δήλωση σύμφωνα με την οποία αποδέχονται ότι τα δεδομένα προσωπικού χαρακτήρα που τηρεί και επεξεργάζεται συνδέονται άμεσα με τις ανάγκες της σχέσης απασχόλησης και οργάνωσης της εργασίας καθώς και ότι αποδέχονται επίσης ότι είναι συναφή και πρόσφορα στο πλαίσιο της σχέσης απασχόλησης και της οργάνωσης της εργασίας.

Εν όψει των ανωτέρω, η Αρχή κατέληξε στο ότι η εταιρία PWC BS ως υπεύθυνος επεξεργασίας:

1. υπέβαλε σε μη σύννομη επεξεργασία κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της καθώς εφάρμοσε ακατάλληλη νομική βάση.
2. υπέβαλε σε μη θεμιτή και χωρίς διαφανή τρόπο κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. β’ και γ’ ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της καθώς τους δημιούργησε την εσφαλμένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης κατ’ αρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ, ενώ στην πραγματικότητα τα επεξεργάσθηκε με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι.
3. ως υπεύθυνος επεξεργασίας αν και έφερε την ευθύνη, δεν ήταν σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 του άρθρου 5 ΓΚΠΔ καθώς και ότι παραβίασε την προβλεπόμενη από τη διάταξη του άρθρου 5 παρ. 2 ΓΚΠΔ αρχή της λογοδοσίας μεταφέροντας το βάρος της απόδειξης της συμμόρφωσης στα υποκείμενα των δεδομένων.

Κατόπιν τούτων, η Αρχή έκρινε ότι παρέλκει η εξέταση των υπολοίπων αρχών του άρθρου 5 παρ. 1 εδ. α’ ΓΚΠΔ καθώς και ο έλεγχος οποιασδήποτε άλλης πράξης επεξεργασίας μεταγενέστερης της παράνομης συλλογής των δεδομένων προσωπικού χαρακτήρα.

Μετά την διαπίστωση των παραβιάσεων του ΓΚΠΔ η Αρχή αποφάσισε την κατ’ αρ. 58 παρ. 2 ΓΚΠΔ άσκηση των διορθωτικών της εξουσιών στην συγκεκριμένη περίπτωση με την επιβολή διορθωτικών μέτρων και αποφάσισε να δώσει εντολή στην εταιρία ως υπεύθυνο επεξεργασίας εντός τριών (3) μηνών:

• να καταστήσει τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της, όπως περιγράφονται στο υποβληθέν από την ίδια Παράρτημα Ι, σύμφωνες με τις διατάξεις του ΓΚΠΔ,
• να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ σύμφωνα με τα διαλαμβανόμενα στο σκεπτικό της απόφασης,
• να αποκαταστήσει εν συνεχεία και την ορθή εφαρμογή των λοιπών διατάξεων του άρθρου 5 παρ. 1 εδ. β-στ’ ΓΚΠΔ στο μέτρο που η διαπιστωθείσα παραβίαση επηρεάζει την εσωτερική οργάνωση και συμμόρφωση προς τις διατάξεις του ΓΚΠΔ λαμβάνοντας κάθε αναγκαίο μέτρο στο πλαίσιο της αρχής της λογοδοσίας.

Επιπλέον δε, επειδή το ανωτέρω διορθωτικό μέτρο δεν επαρκεί από μόνο του για την αποκατάσταση της συμμόρφωσης με τις παραβιασθείσες διατάξεις του ΓΚΠΔ, η Αρχή έκρινε ότι στην συγκεκριμένη περίπτωση με βάση τις περιστάσεις που διαπιστώθηκαν θα πρέπει κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ ΓΚΠΔ να επιβληθεί επιπλέον και αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ αρ. 83 ΓΚΠΔ, το οποίο ανέρχεται στο ποσό των εκατόν πενήντα χιλιάδων (150.000,00) ευρώ, λαμβάνοντας υπόψη και τις δημοσιευμένες χρηματοοικονομικές καταστάσεις της εταιρίας για τη χρήση από την 01-7-2017 έως τις 20-6-2018 σύμφωνα με τις οποίες ο καθαρός κύκλος εργασιών της ανήλθε στο ποσό των 41.936.426,00 ευρώ.