Άρθρο 5.1 : Αρχές επεξεργασίας δεδομένων

Κατόπιν καταγγελίας ασφαλισμένου σε ιδιωτική ασφαλιστική εταιρία με ασφάλιση υγείας, ότι για την καταβολή της ασφαλιστικής αποζημίωσης ζητήθηκε η συγκατάθεσή του για την πρόσβαση της εταιρίας α) στη βάση δεδομένων του συνταγολογίου και στο ηλεκτρονικό σύστημα συνταγογράφησης του ΕΟΠΠΥ, β) στον ιατρικό φάκελο και γ) σε παρούσες, όσο και σε παρελθούσες ή μελλοντικές ιατρικές εξετάσεις όχι μόνον των δικών του αλλά και όλων των μελών του ασφαλιστικού συμβολαίου, η Αρχή 1) απέρριψε την καταγγελία, κρίνοντας ότι δεν επήλθε παραβίαση δικαιώματος του ασφαλισμένου – υποκειμένου των δεδομένων από την ασφαλιστική εταιρεία, εφόσον, παρόλο που δεν χορήγησε τη συγκατάθεσή του, έλαβε την ασφαλιστική αποζημίωση  και 2) επιφυλάχθηκε να εξετάσει συνολικά την ακολουθούμενη πρακτική και να κρίνει επί της νομιμότητας της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των ασφαλισμένων στο πλαίσιο της ασφαλιστικής σύμβασης για τη διαχείριση των αποζημιώσεων/καλύψεων προς τους ασφαλισμένους, στο πλαίσιο της εξέτασης του σχεδίου Κώδικα Δεοντολογίας της Ένωσης Ασφαλιστικών Εταιρειών που έχει υποβληθεί προς έγκριση στην Αρχή.

Η Αρχή με την υπ’ αριθμ. 31/2020 Απόφασή της έκρινε ότι είναι αβάσιμη η καταγγελία εργαζόμενης για παράνομο σύστημα βιντεοεπιτήρησης σε χώρο εργασίας. Ειδικότερα, στην εξεταζόμενη περίπτωση, ως προς την καταγγελλόμενη παράνομη επεξεργασία δεδομένων ήχου δια του εν λόγω συστήματος βιντεοεπιτήρησης στο χώρο εργασίας, η Αρχή διατηρεί αμφιβολίες εν όψει και του περιεχομένου της τεχνικής πραγματογνωμοσύνης που υπέβαλε ο ελεγχόμενος υπεύθυνος επεξεργασίας, αλλά και της σχετικής βεβαίωσης των εγκαταστατών του συστήματος βιντεοεπιτήρησης και απορρίπτει την καταγγελία. Ως προς την καταγγελλόμενη παράνομη επεξεργασία δεδομένων εικόνας δια της εγκαταστημένης κάμερας στο κατάστημα που εργαζόταν η καταγγέλλουσα, η Αρχή διαπιστώνει ότι αφενός πληρούνται οι προϋποθέσεις των άρθρων 5, 6 ΓΚΠΔ και Οδηγίας 1/2011 Αρχής Προστασίας Δεδομένων, αφετέρου, ότι με βάση το πεδίο κάλυψης όπως αποτυπώνεται στο δείγμα εικόνας που υποβλήθηκε, διαπιστώνεται ότι συλλέγονται τα απολύτως απαραίτητα δεδομένα εικόνας για την επίτευξη του επιδιωκόμενου σκοπού επεξεργασίας, ο οποίος δεν μπορεί να επιτευχθεί με ηπιότερα και εξίσου αποτελεσματικά μέσα. Σχετικά με τη νομιμότητα εγκατάστασης και λειτουργίας των υπολοίπων καμερών (υπόλοιπα καταστήματα και εγκαταστάσεις του υπευθύνου επεξεργασίας), η Αρχή επιφυλάσσεται να διερευνήσει περαιτέρω την σχετική καταγγελία προκειμένου να ασκήσει τις αρμοδιότητές της.

Η Αρχή, με την με αριθμό 30/2020 απόφασή της, έδωσε εντολή στον καταγγελλόμενο να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του άρθρου 5 ΓΚΠΔ και να καταστήσει τις πράξεις επεξεργασίας που λαμβάνουν χώρα μέσω του εγκατεστημένου συστήματος βιντεοεπιτήρησης σύμφωνες προς τις διατάξεις του ΓΚΠΔ και της Οδηγίας 1/2011 και επέβαλε πρόστιμο.

Και αυτό διότι ο καταγγελλόμενος δεν προέβη σε τεκμηρίωση της νομιμότητας της εγκατάστασης και λειτουργίας του συστήματος βιντεοεπιτήρησης σύμφωνα με την αρχή της λογοδοσίας, δεν έθεσε υπόψη της Αρχής συναφή έγγραφη τεκμηρίωση της νόμιμης λειτουργίας του και από τα στοιχεία του φακέλου της υπόθεσης και την παραδοχή του καταγγελλομένου διαπιστώθηκε ότι εγκατέστησε και λειτούργησε παράνομα το σύστημα αυτό έχοντας θέσει σε λειτουργία και στρέψει την κάμερα που βρισκόταν στην οροφή της οικίας του κατά τρόπο ώστε να λαμβάνει εικόνα και να καταγράφει τις δραστηριότητες των καταγγελλόντων καθώς και κάθε φυσικού προσώπου στην ιδιοκτησία αυτών.

Η ελεγχόμενη εταιρία επεξεργάστηκε δεδομένα προσωπικού χαρακτήρα σε υπολογιστική υποδομή (υλικού και λογισμικού-διακομιστή) χωρίς να τηρήσει το σύνολο των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ και 6 παρ. 1 ΓΚΠΔ που λάμβανε χώρα, αλλά και στο πλαίσιο κάθε μεταγενέστερης ή περαιτέρω επεξεργασίας των ίδιων δεδομένων προσωπικού χαρακτήρα, ούτε απέδειξε κατ’ άρθρο. 5 παρ. 2 ΓΚΠΔ την τήρηση αυτών. Επιπλέον, παραβίασε τις διατάξεις των άρθρων 5 παρ. 1 εδ. α’ και στ’ και παρ. 2 σε συνδυασμό με τα άρθρα 24 παρ. 1 και 2 και 32 παρ. 1 και 2 ΓΚΠΔ σχετικά με την αρχή της ασφαλούς επεξεργασίας (ιδίως της «εμπιστευτικότητας») από τη μη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων, ιδίως εκείνων που αφορούσαν τον φυσικό και λογικό διαχωρισμό υλικού, λογισμικού και δεδομένων ώστε η εταιρία να αντιγράψει παράνομα το σύνολο του περιεχομένου του διακομιστή.

Η εργοδότρια εταιρία έχουσα υπόνοιες ότι ανώτερο στέλεχος της διοίκησής της προέβη σε παράνομες πράξεις σε βάρος των συμφερόντων της διενήργησε έλεγχο και ανέκτησε διαγεγραμμένα e-mail από τον διακομιστή (server) της. Η εταιρία είχε συμμορφωθεί προς τις επιταγές του ΓΚΠΔ και από τις εσωτερικές πολιτικές και κανονισμούς της προβλεπόταν η απαγόρευση χρήσης των εταιρικών μέσων ηλεκτρονικών επικοινωνιών και δικτύων για ιδιωτικούς σκοπούς καθώς και η δυνατότητα διενέργειας εσωτερικών ελέγχων. Αντίθετα, το κλειστό κύκλωμα βιντεοεπιτήρησης είχε εγκατασταθεί και λειτουργούσε παράνομα, επιπλέον δε, το καταγραφέν υλικό που προσκομίσθηκε στην Αρχή δεν ελήφθη υπόψη κατ’ άρθρο. 19 παρ. 3 Σ. Η εταιρία δεν ικανοποίησε το δικαίωμα πρόσβασης του εργαζομένου στα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονταν στον εταιρικό προσωπικό υπολογιστή που χρησιμοποιούσε. Η Αρχή επέβαλε στην εταιρία πρόστιμο 15.000 ευρώ για μη νόμιμη εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης και για περαιτέρω επεξεργασία του σχετικού υλικού.

Η Αρχή έγινε αποδέκτης καταγγελιών συνδρομητών τηλεφωνίας του ΟΤΕ οι οποίοι, αν και είχαν εγγραφεί στο μητρώο αντιρρήσεων («opt-out») του άρθρου 11 του ν. 3471/2006 του παρόχου τους, είχαν λάβει τηλεφωνικές κλήσεις από τρίτες εταιρείες για σκοπούς προώθησης προϊόντων και υπηρεσιών. Όπως διαπιστώθηκε, οι εν λόγω συνδρομητές είχαν υποβάλει αίτημα φορητότητας για τη μεταφορά της τηλεφωνικής τους σύνδεσης σε άλλο πάροχο. Στο πλαίσιο της ενέργειας αυτής, ο ΟΤΕ διέγραψε τα στοιχεία τους από το μητρώο. Ωστόσο, όταν οι συγκεκριμένοι συνδρομητές ακύρωσαν το αίτημα φορητότητας, δεν υπήρχε ορθή διαδικασία για την ακύρωση της διαγραφής τους. Οι συνδρομητές εμφανίζονταν μεν ως εγγεγραμμένοι στο μητρώο στην εσωτερική εφαρμογή πελατειακών σχέσεων, αλλά οι τηλεφωνικοί αριθμοί τους δεν περιλαμβάνονταν στο μητρώο που έστελνε ο ΟΤΕ στις διαφημιζόμενες εταιρείες. Η Αρχή διαπίστωσε ότι το περιστατικό αυτό επηρέασε μεγάλο αριθμό φυσικών προσώπων/συνδρομητών και, με την απόφαση 31/2019, επέβαλε στον ΟΤΕ διοικητικό πρόστιμο ύψους 200.000 ευρώ.

Η Αρχή με αφορμή καταγγελία διερεύνησε αυτεπαγγέλτως την νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των υποκειμένων – εργαζομένων της εταιρίας «PRICEWATERHOUSECOOPERS BUSINNES SOLUTIONS ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ ΠΑΡΟΧΗΣ ΕΠΙΧΕΙΡΗΜΑΤΙΚΩΝ ΚΑΙ ΛΟΓΙΣΤΙΚΩΝ ΥΠΗΡΕΣΙΩΝ A.E» με διακριτικό τίτλο «PRICEWATERHOUSECOOPERS  BUSINNES  SOLUTIONS  Α.Ε.»  (PWC  BS), σύμφωνα  με  την οποία εξαναγκάσθηκαν στην παροχή συγκατάθεσης προκειμένου να λάβει χώρα επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Η Αρχή έκρινε ότι προκειμένου τα δεδομένα προσωπικού χαρακτήρα να τύχουν νόμιμης επεξεργασίας, ήτοι επεξεργασίας σύμφωνης προς τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) υπ’ αρ. 679/2016, θα πρέπει να πληρούνται σωρευτικά οι προϋποθέσεις εφαρμογής και τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ.

Η αναγνώριση και επιλογή της κατάλληλης νομικής βάσης εκ των προβλεπομένων στο άρθρο 6 παρ. 1 ΓΚΠΔ είναι στενά συνδεδεμένη με την αρχή της θεμιτής ή δίκαιης επεξεργασίας καθώς και με την αρχή του περιορισμού του σκοπού, ο δε υπεύθυνος επεξεργασίας οφείλει όχι μόνο να επιλέγει την κατάλληλη νομική βάση προ της έναρξης της επεξεργασίας, τεκμηριώνοντας εσωτερικά την επιλογή αυτή κατ’ εφαρμογή της αρχής της λογοδοσίας, αλλά και να ενημερώνει κατ’ αρ. 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠΔ για την χρήση της το υποκείμενο των δεδομένων καθώς η επιλογή της κάθε νομικής βάσης ασκεί έννομη επιρροή στην εφαρμογή των δικαιωμάτων των υποκειμένων.

Κεντρικό μέγεθος του μοντέλου συμμόρφωσης που υιοθετήθηκε από τον ΓΚΠΔ συνιστά η αρχή της λογοδοσίας στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα αναγκαία μέτρα συμμόρφωσης προς τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ και να αποδεικνύει αυτά από μόνος του χωρίς μάλιστα να απαιτείται η Αρχή, στο πλαίσιο άσκησης των ερευνητικών - ελεγκτικών εξουσιών της, να υποβάλλει επιμέρους – εξειδικευμένα ερωτήματα και αιτήματα προς διαπίστωση της συμμόρφωσης.

Επισημαίνεται ότι η Αρχή εξαιτίας του ότι διανύεται το πρώτο χρονικό διάστημα εφαρμογής του ΓΚΠΔ υποβάλλει εξειδικευμένα ερωτήματα και αιτήματα στο πλαίσιο άσκησης των συναφών ερευνητικών – ελεγκτικών εξουσιών της ώστε να διευκολύνει την από μέρους των υπευθύνων επεξεργασίας τεκμηρίωση της λογοδοσίας.

Οι αρχές της σύννομης, θεμιτής (ή δίκαιης) και με διαφανή τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα κατ’ αρ. 5 παρ. 1 εδ. α’ ΓΚΠΔ επιτάσσουν την επιλογή της συγκατάθεσης ως νομικής βάσης κατ’ αρ. 6 παρ. 1 ΓΚΠΔ μόνο εφόσον οι υπόλοιπες νομικές βάσεις δεν εφαρμόζονται, ώστε να καθίσταται μεταγενέστερα της αρχικής επιλογής αδύνατη η αλλαγή και μετάβαση σε άλλη νομική βάση. Σε περίπτωση κατά την οποία το υποκείμενο των δεδομένων ανακαλέσει τη συγκατάθεσή του, δεν επιτρέπεται η συνέχιση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα υπό άλλη νομική βάση. Όταν εφαρμόζεται ορθά η νομική βάση της συγκατάθεσης, υπό την έννοια ότι ουδεμία άλλη νομική βάση τυγχάνει εφαρμογής, η μη χορήγηση ή η ανάκληση της ισοδυναμεί με απόλυτη απαγόρευση επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

Η συγκατάθεση των υποκειμένων των δεδομένων στο πλαίσιο των εργασιακών σχέσεων δεν μπορεί να θεωρηθεί ως ελεύθερη λόγω της εγγενούς ανισότητας των μερών.

Στην προκειμένη περίπτωση, η επιλογή της νομικής βάσης της συγκατάθεσης υπήρξε εσφαλμένη καθώς η επεξεργασία των δεδομένων προσωπικού χαρακτήρα αποσκοπούσε στην διενέργεια πράξεων που συνδέονταν άμεσα με την εκτέλεση της σύμβασης εργασίας, την συμμόρφωση σε προβλεπόμενες εκ του νόμου υποχρεώσεις και στην εύρυθμη και αποτελεσματική λειτουργία της επιχείρησης.

Επιπλέον δε, η εταιρία δημιούργησε την εσφαλμένη εντύπωση στους εργαζόμενους ότι επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα τους κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης ενώ στην πραγματικότητα τα επεξεργαζόταν με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι, κατά παράβαση της αρχής της διαφάνειας και συνακόλουθα κατά παραβίαση της υποχρέωσης ενημέρωσης κατ’ άρθρο 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠΔ.

Σε περίπτωση κατά την οποία ο υπεύθυνος επεξεργασίας έχει αμφιβολίες για την νομιμότητά της επεξεργασίας οφείλει να άρει αυτές προ της επεξεργασίας ή να απέχει από την επεξεργασία μέχρι την άρση των αμφιβολιών.

Τέλος, η Αρχή διαπίστωσε στην προκειμένη περίπτωση την από μέρους του υπευθύνου επεξεργασίας παραβίαση της αρχής της λογοδοσίας κατ’ αρ. 5 παρ. 2 ΓΚΠΔ καθώς, αφενός η εταιρία δεν ανταποκρίθηκε στην συναφή υποχρέωση της και ιδίως στο αίτημα της Αρχής να προσκομίσει εσωτερική τεκμηρίωση της επιλογής της νομικής βάσης που εφάρμοσε. Αφετέρου, η εταιρία μετέφερε τις υποχρεώσεις συμμόρφωσης της στους εργαζόμενους ζητώντας τους να υπογράψουν δήλωση σύμφωνα με την οποία αποδέχονται ότι τα δεδομένα προσωπικού χαρακτήρα που τηρεί και επεξεργάζεται συνδέονται άμεσα με τις ανάγκες της σχέσης απασχόλησης και οργάνωσης της εργασίας καθώς και ότι αποδέχονται επίσης ότι είναι συναφή και πρόσφορα στο πλαίσιο της σχέσης απασχόλησης και της οργάνωσης της εργασίας.

Εν όψει των ανωτέρω, η Αρχή κατέληξε στο ότι η εταιρία PWC BS ως υπεύθυνος επεξεργασίας:

1. υπέβαλε σε μη σύννομη επεξεργασία κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της καθώς εφάρμοσε ακατάλληλη νομική βάση.
2. υπέβαλε σε μη θεμιτή και χωρίς διαφανή τρόπο κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. β’ και γ’ ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της καθώς τους δημιούργησε την εσφαλμένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης κατ’ αρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ, ενώ στην πραγματικότητα τα επεξεργάσθηκε με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι.
3. ως υπεύθυνος επεξεργασίας αν και έφερε την ευθύνη, δεν ήταν σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 του άρθρου 5 ΓΚΠΔ καθώς και ότι παραβίασε την προβλεπόμενη από τη διάταξη του άρθρου 5 παρ. 2 ΓΚΠΔ αρχή της λογοδοσίας μεταφέροντας το βάρος της απόδειξης της συμμόρφωσης στα υποκείμενα των δεδομένων.

Κατόπιν τούτων, η Αρχή έκρινε ότι παρέλκει η εξέταση των υπολοίπων αρχών του άρθρου 5 παρ. 1 εδ. α’ ΓΚΠΔ καθώς και ο έλεγχος οποιασδήποτε άλλης πράξης επεξεργασίας μεταγενέστερης της παράνομης συλλογής των δεδομένων προσωπικού χαρακτήρα.

Μετά την διαπίστωση των παραβιάσεων του ΓΚΠΔ η Αρχή αποφάσισε την κατ’ αρ. 58 παρ. 2 ΓΚΠΔ άσκηση των διορθωτικών της εξουσιών στην συγκεκριμένη περίπτωση με την επιβολή διορθωτικών μέτρων και αποφάσισε να δώσει εντολή στην εταιρία ως υπεύθυνο επεξεργασίας εντός τριών (3) μηνών:

• να καταστήσει τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της, όπως περιγράφονται στο υποβληθέν από την ίδια Παράρτημα Ι, σύμφωνες με τις διατάξεις του ΓΚΠΔ,
• να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ σύμφωνα με τα διαλαμβανόμενα στο σκεπτικό της απόφασης,
• να αποκαταστήσει εν συνεχεία και την ορθή εφαρμογή των λοιπών διατάξεων του άρθρου 5 παρ. 1 εδ. β-στ’ ΓΚΠΔ στο μέτρο που η διαπιστωθείσα παραβίαση επηρεάζει την εσωτερική οργάνωση και συμμόρφωση προς τις διατάξεις του ΓΚΠΔ λαμβάνοντας κάθε αναγκαίο μέτρο στο πλαίσιο της αρχής της λογοδοσίας.

Επιπλέον δε, επειδή το ανωτέρω διορθωτικό μέτρο δεν επαρκεί από μόνο του για την αποκατάσταση της συμμόρφωσης με τις παραβιασθείσες διατάξεις του ΓΚΠΔ, η Αρχή έκρινε ότι στην συγκεκριμένη περίπτωση με βάση τις περιστάσεις που διαπιστώθηκαν θα πρέπει κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ ΓΚΠΔ να επιβληθεί επιπλέον και αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ αρ. 83 ΓΚΠΔ, το οποίο ανέρχεται στο ποσό των εκατόν πενήντα χιλιάδων (150.000,00) ευρώ, λαμβάνοντας υπόψη και τις δημοσιευμένες χρηματοοικονομικές καταστάσεις της εταιρίας για τη χρήση από την 01-7-2017 έως τις 20-6-2018 σύμφωνα με τις οποίες ο καθαρός κύκλος εργασιών της ανήλθε στο ποσό των 41.936.426,00 ευρώ.

Η Αρχή, κατόπιν σχετικών καταγγελιών, έκρινε ότι η αναγραφή του θρησκεύματος και της ιθαγένειας στα στοιχεία που τηρούνται στο σχολείο, στους τίτλους και τα πιστοποιητικά σπουδών της δευτεροβάθμιας εκπαίδευσης και στο πληροφοριακό σύστημα «myschool» και η δήλωση ότι ο μαθητής δεν είναι Χριστιανός Ορθόδοξος για την απαλλαγή του από το μάθημα των θρησκευτικών, δεν είναι νόμιμες, διότι αντιβαίνουν προς τη θεμελιώδη αρχή της αναγκαιότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Για τον λόγο αυτό καλεί το Υπουργείο Παιδείας να μεριμνήσει για την άμεση τροποποίηση των σχετικών ρυθμίσεων και να λάβει κάθε αναγκαίο μέτρο για τη μη αναγραφή του θρησκεύματος και της ιθαγένειας στα ανωτέρω στοιχεία και πιστοποιητικά, καθώς και στο πληροφοριακό σύστημα «myschool», και να εκδώσει κάθε αναγκαία οδηγία προς τις οικείες εκπαιδευτικές αρχές ώστε, εφεξής, το δικαίωμα στην απαλλαγή από το μάθημα των θρησκευτικών να ασκείται κατ’ επίκληση αποκλειστικά λόγων συνείδησης.