Άρθρο 6.1.στ : Νομική βάση υπέρτερου έννομου συμφέροντος

Η Αρχή επέβαλε την κύρωση του διοικητικού χρηματικού προστίμου στον ΔΟΠΑΚΑ του Δήμου Ταύρου Μοσχάτου για παράνομη επεξεργασία, σύμφωνα με τα άρθρα 5 και 6 παρ. 1 στοιχ. γ΄ ΓΚΠΔ και μη ικανοποίηση δικαιώματος διαγραφής, σύμφωνα με το άρθρο 17 παρ. 1 στοιχ. δ΄ του ιδίου Κανονισμού. Ειδικότερα, η Αρχή έκρινε ότι ο ΔΟΠΑΚΑ προέβη σε παράνομη επεξεργασία μέσω της ανάρτησης στο Πρόγραμμα Διαύγεια εγγράφων περιεχόντων προσωπικά δεδομένα του προσφεύγοντος κατά παράβαση του οικείου ν. 3861/2010 και ακολούθως δεν ικανοποίησε το αίτημα διαγραφής του προσφεύγοντος αναφορικά με την εν λόγω παράνομη ανάρτηση παραβιάζοντας με τον τρόπο αυτό το δικαίωμα διαγραφής του άρθρου 17 ΓΚΠΔ.

Η Αρχή επέβαλε, με βάση τα άρθρο 5 παρ. 1 γ’  και 6 παρ. 1 στ’ του Κανονισμού (ΕΕ) 2016/679 πρόστιμο ύψους δύο χιλιάδων (2.000,00) ευρώ, σε εταιρεία, για μη νόμιμη χρήση κάμερας σε χώρο εργαζομένων. Κατά την εξέταση της υπόθεσης διαπιστώθηκε ότι η λήψη της κάμερας δεν περιοριζόταν σε χώρους που ήταν απαραίτητο για σκοπούς προστασίας προσώπων και αγαθών, αλλά λάμβανε εικόνα από χώρο γραφείων, ενώ παράλληλα υπήρχε η δυνατότητα εξ αποστάσεως παρακολούθησης σε πραγματικό χρόνο.

Η ελεγχόμενη εταιρία επεξεργάστηκε δεδομένα προσωπικού χαρακτήρα σε υπολογιστική υποδομή (υλικού και λογισμικού-διακομιστή) χωρίς να τηρήσει το σύνολο των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ και 6 παρ. 1 ΓΚΠΔ που λάμβανε χώρα, αλλά και στο πλαίσιο κάθε μεταγενέστερης ή περαιτέρω επεξεργασίας των ίδιων δεδομένων προσωπικού χαρακτήρα, ούτε απέδειξε κατ’ άρθρο. 5 παρ. 2 ΓΚΠΔ την τήρηση αυτών. Επιπλέον, παραβίασε τις διατάξεις των άρθρων 5 παρ. 1 εδ. α’ και στ’ και παρ. 2 σε συνδυασμό με τα άρθρα 24 παρ. 1 και 2 και 32 παρ. 1 και 2 ΓΚΠΔ σχετικά με την αρχή της ασφαλούς επεξεργασίας (ιδίως της «εμπιστευτικότητας») από τη μη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων, ιδίως εκείνων που αφορούσαν τον φυσικό και λογικό διαχωρισμό υλικού, λογισμικού και δεδομένων ώστε η εταιρία να αντιγράψει παράνομα το σύνολο του περιεχομένου του διακομιστή.

Η εργοδότρια εταιρία έχουσα υπόνοιες ότι ανώτερο στέλεχος της διοίκησής της προέβη σε παράνομες πράξεις σε βάρος των συμφερόντων της διενήργησε έλεγχο και ανέκτησε διαγεγραμμένα e-mail από τον διακομιστή (server) της. Η εταιρία είχε συμμορφωθεί προς τις επιταγές του ΓΚΠΔ και από τις εσωτερικές πολιτικές και κανονισμούς της προβλεπόταν η απαγόρευση χρήσης των εταιρικών μέσων ηλεκτρονικών επικοινωνιών και δικτύων για ιδιωτικούς σκοπούς καθώς και η δυνατότητα διενέργειας εσωτερικών ελέγχων. Αντίθετα, το κλειστό κύκλωμα βιντεοεπιτήρησης είχε εγκατασταθεί και λειτουργούσε παράνομα, επιπλέον δε, το καταγραφέν υλικό που προσκομίσθηκε στην Αρχή δεν ελήφθη υπόψη κατ’ άρθρο. 19 παρ. 3 Σ. Η εταιρία δεν ικανοποίησε το δικαίωμα πρόσβασης του εργαζομένου στα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονταν στον εταιρικό προσωπικό υπολογιστή που χρησιμοποιούσε. Η Αρχή επέβαλε στην εταιρία πρόστιμο 15.000 ευρώ για μη νόμιμη εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης και για περαιτέρω επεξεργασία του σχετικού υλικού.

Η Αρχή εξέδωσε, στη συνεδρίαση της 26/3/2019, κείμενο κατευθυντήριων οδηγιών σχετικά με την επεξεργασία προσωπικών δεδομένων με σκοπό την πολιτική επικοινωνία. Με το κείμενο αυτό επιχειρείται η επικαιροποίηση των ρυθμίσεων της Οδηγίας 1/2010, λαμβάνοντας υπόψη τις τροποποιήσεις στο άρθρο 11 του ν. 3471/2006, οι οποίες επήλθαν με το ν. 3917/2011, τις νέες τεχνολογικές εξελίξεις και κυρίως την ισχύ πλέον του Γενικού Κανονισμού Προστασίας Δεδομένων 2016/679.

Στο κείμενο αυτό εξειδικεύονται οι κανόνες για τη σύννομη επεξεργασία προσωπικών δεδομένων προς τον σκοπό της πολιτικής επικοινωνίας, η οποία πραγματοποιείται με ποικίλους τρόπους και σε οποιαδήποτε χρονική περίοδο, συμπεριλαμβανομένης της προεκλογικής, από πολιτικά κόμματα, βουλευτές, ευρωβουλευτές, παρατάξεις και κατόχους αιρετών θέσεων στην τοπική αυτοδιοίκηση ή υποψηφίους στις βουλευτικές εκλογές, τις εκλογές του Ευρωπαϊκού Κοινοβουλίου και τις εκλογές τοπικής αυτοδιοίκησης. 

Ειδικότερα, στις κατευθυντήριες οδηγίες της Αρχής περιγράφονται οι κανόνες για τη σύννομη επεξεργασία προσωπικών δεδομένων μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση αλλά και με χρήση ηλεκτρονικών μέσων χωρίς ανθρώπινη παρέμβαση (SMS, MMS, email, εφαρμογές ανταλλαγής μηνυμάτων υπηρεσιών «της κοινωνίας των πληροφοριών», αυτόματες τηλεφωνικές κλήσεις με προηχογραφημένο μήνυμα και φωνητικά μηνύματα που αποθηκεύονται μέσω υπηρεσίας αυτόματου τηλεφωνητή).

Η Αρχή εξέτασε καταγγελία πελάτη εμπορικής επιχείρησης, ο οποίος μία ημέρα πριν από την εφαρμογή του ΓΚΠΔ, έλαβε μέσω της εφαρμογής Viber μήνυμα με το οποίο τον ενημέρωνε ότι θα συνεχίσει να αποστέλλει περαιτέρω μηνύματα προωθητικού χαρακτήρα. Ο πελάτης είχε χορηγήσει τον τηλεφωνικό του αριθμό στην επιχείρηση στο πλαίσιο προηγούμενης συναλλαγής. Η Αρχή έκρινε ότι στην περίπτωση της εφαρμογής Viber εφαρμοζόταν κατά τον χρόνο αποστολής του μηνύματος ο ν. 2472/1997 και πλέον εφαρμόζεται ο ΓΚΠΔ (και όχι η νομοθεσία για την προστασία των προσωπικών δεδομένων στις ηλεκτρονικές υπηρεσίες) και ότι η αποστολή του μηνύματος δεν ήταν νόμιμη, καθώς ούτε υπήρξε συγκατάθεση, ούτε μπορεί να τεκμηριωθεί υπέρτερο έννομο συμφέρον του υπευθύνου επεξεργασίας, καθώς ο πελάτης δεν είχε ενημερωθεί ειδικά για τον σκοπό της περαιτέρω χρήσης του αριθμού του. Η διαδικασία ενημέρωσης και αποδοχής της λήψης ενός μηνύματος μέσω της εφαρμογής Viber δεν αποτελεί έγκυρο τρόπο συγκατάθεσης και εναπόκειται στον εκάστοτε υπεύθυνο επεξεργασίας να εξασφαλίζει ότι πληρούνται οι προϋποθέσεις νόμιμης συγκατάθεσης. Συνεπώς, η τήρηση του αριθμού είναι μη νόμιμη. Η Αρχή απηύθυνε σχετική σύσταση.