Αρχική » Τηλεφωνία » Cosmote » Αρχή Προστασίας Δεδομένων : πρόστιμο 400 χιλιάδων ευρώ στον ΟΤΕ , για παραβιάσεις του Μητρώου 11

Αρχή Προστασίας Δεδομένων : πρόστιμο 400 χιλιάδων ευρώ στον ΟΤΕ , για παραβιάσεις του Μητρώου 11

Αρχή Προστασίας Δεδομένων : πρόστιμο 400 χιλιάδων ευρώ στον ΟΤΕ , για παραβιάσεις του Μητρώου 11

Ακολουθήστε μας στο Facebook πατώντας ΕΔΩ

Συμμετέχετε στο γκρουπ μας στο Facebook πατώντας ΕΔΩ

Ποιοί είμαστε

Κριτική στην σελίδα Ασφάλεια στο διαδίκτυο

Η καλύτερη Ασφάλεια για και εσείς συνεχίσετε να κάνετε τα πράγματα που έχουν σημασία για εσάς , ήσυχοι
Πατήστε πάνω στην φωτογραφία

Αρχή Προστασίας Δεδομένων : πρόστιμο 400 χιλιάδων ευρώ στον ΟΤΕ , για παραβιάσεις του Μητρώου 11

Η Αρχή έλαβε υπόψη της τα παρακάτω:

Στην Αρχή υποβλήθηκαν οι με αρ. πρωτ. Γ/ΕΙΣ/4314/30-05-2018 και Γ/ΕΙΣ/5605/25-062018 καταγγελίες φυσικών προσώπων συνδρομητών του Οργανισμού Τηλεπικοινωνιών Ελλάδος Α.Ε. (εφεξής ΟΤΕ). Κατά τη διερεύνηση των καταγγελιών αυτών στη συνεδρίαση του τμήματος της Αρχής την 6/3/2019 και από τα στοιχεία που κατατέθηκαν με το υπ’ αριθμ. Γ/ΕΙΣ/9913/10-12-2018 υπόμνημα του ΟΤΕ προέκυψε ότι από το 2013 και μετά, λόγω τεχνικού σφάλματος, δεν λειτουργούσε η διαγραφή από τις λίστες αποδεκτών των μηνυμάτων διαφημιστικού περιεχομένου για όσους παραλήπτες ασκούσαν το δικαίωμα αυτό μέσω του συνδέσμου «unsubscribe». Οι εναλλακτικοί μηχανισμοί, δηλαδή τηλεφωνικά και με αποστολή μηνύματος ηλεκτρονικού ταχυδρομείου, λειτουργούσαν.

Ειδικότερα, από το 2013 και μετά 694 συνδρομητές πέτυχαν τη διαγραφή τους από τις λίστες μέσω τηλεφωνικής επικοινωνίας. Μόλις έγινε αντιληπτό, μετά την παρέμβαση της Αρχής, διορθώθηκε το σφάλμα και o OTE προέβη στη διαγραφή 8.000 περίπου συνδρομητών, οι οποίοι είχαν ανεπιτυχώς προσπαθήσει να διαγραφούν από τις λίστες αποδεκτών από το 2013. Λαμβάνοντας υπόψη ότι προέκυψε ευρύτερο ζήτημα μη λειτουργίας της διαγραφής από τη λίστα αποδεκτών μηνυμάτων ηλεκτρονικού ταχυδρομείου ως συνέπεια τεχνικού σφάλματος, σύμφωνα με όσα αναφέρονται στο υπόμνημα του ΟΤΕ, η Αρχή έκρινε ότι πρέπει να εξετάσει το ευρύτερο ζήτημα του τεχνικού προβλήματος του μηχανισμού «unsubscribe» στα διαφημιστικά email για την εξαίρεση των συνδρομητών από την αποστολή μελλοντικών διαφημιστικών μηνυμάτων και να κληθεί εκ νέου η εταιρεία σε ακρόαση. Με το υπ’ αριθμ. πρωτ. Γ/ΕΞ/2246/22-03-2019 έγγραφό της, η Αρχή κάλεσε τον ΟΤΕ όπως παραστεί στη συνεδρίαση του τμήματός της την 10/04/2019 σε σχέση με την εν λόγω υπόθεση.

Ο ΟΤΕ εκπροσωπήθηκε στη συνεδρίαση αυτή δια των Ελένη Γερούτση, δικηγόρο, Παναγιώτα Κούρτη, δικηγόρο, Α και Β, υπαλλήλων του … τμήματος, ενώ παρέστη και η Γ, Υπεύθυνη Προστασίας Δεδομένων του Ομίλου. Ο ΟΤΕ, αν και έλαβε προθεσμία, δεν κατέθεσε υπόμνημα, καθώς οι εκπρόσωποί του επισήμαναν ότι οι απόψεις του είχαν εκτεθεί αναλυτικά με το υπ’ αριθμ.Γ/ΕΙΣ/9913/10-12-2018 έγγραφό του.

Η Αρχή, μετά από εξέταση όλων των στοιχείων του φακέλου, αφού άκουσε τον εισηγητή και τις διευκρινίσεις των βοηθών εισηγητή, οι οποίοι αποχώρησαν μετά τη συζήτηση και πριν από τη διάσκεψη και τη λήψη αποφάσεως, και κατόπιν διεξοδικής συζήτησης,

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ

1. Το άρθρο 2 του ν. 2472/1997 ορίζει ότι «δεδομένα προσωπικού χαρακτήρα» είναι «κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων». «Υποκείμενο των δεδομένων» είναι «το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα, και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική». Στο πλαίσιο αυτό, ο αριθμός τηλεφώνου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου του, επιτρέποντας την επικοινωνία με αυτόν.

Επισημαίνεται δε ότι, σύμφωνα και με τη Γνώμη 4/2007 της ομάδας εργασίας του άρθρου 29 της Ε.Ε. σχετικά με την έννοια των προσωπικών δεδομένων, ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έμμεσης αναγνώρισης μπορούν επαρκώς σε ορισμένες περιπτώσεις να διακρίνουν ένα άτομο από άλλα στο πλαίσιο ενός συγκεκριμένου συνόλου, ακόμα και αν δεν έχει γίνει η εξακρίβωση του ονόματός του. Σύμφωνα με το άρθρο 2 στοιχ. ζ) ν. 2472/1997, ως “υπεύθυνος επεξεργασίας” ορίζεται κάθε φυσικό ή νομικό πρόσωπο που καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

Αντίστοιχοι ορισμοί τόσο για τα δεδομένα προσωπικού χαρακτήρα όσο και για τον υπεύθυνο επεξεργασίας προβλέπονται και στο άρθρο 4 παρ. 1 και παρ. 7 του Κανονισμού (ΕΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων – ΓΚΠΔ) ο οποίος έχει τεθεί σε εφαρμογή από τις 25/5/2018.

2. Σύμφωνα με το άρθρο 11 του ν. 3471/2006 για την προστασία προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών, η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο εφόσον ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς. Όταν τα στοιχεία επαφής ηλεκτρονικού ταχυδρομείου που αποκτήθηκαν νομίμως, στο πλαίσιο της πώλησης προϊόντων ή υπηρεσιών ή άλλης συναλλαγής, μπορούν να χρησιμοποιούνται για την απευθείας προώθηση παρόμοιων προϊόντων ή υπηρεσιών του προμηθευτή ή για την εξυπηρέτηση παρόμοιων σκοπών, ακόμη και όταν ο αποδέκτης του μηνύματος δεν έχει δώσει εκ των προτέρων τη συγκατάθεση του, υπό την προϋπόθεση ότι του παρέχεται κατά τρόπο σαφή και ευδιάκριτο η δυνατότητα να αντιτάσσεται με εύκολο τρόπο και δωρεάν στη συλλογή και χρησιμοποίηση των ηλεκτρονικών του στοιχείων και αυτό κατά τη συλλογή των στοιχείων επαφής, καθώς και σε κάθε μήνυμα, σε περίπτωση που ο χρήστης αρχικά δεν είχε διαφωνήσει σε αυτήν τη χρήση.

3. Σύμφωνα με το άρθρο 21 παρ. 3 του ΓΚΠΔ, όταν τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς.

4. Από τα στοιχεία του φακέλου προκύπτει ότι, ενώ ο ΟΤΕ παρείχε στον παραλήπτη του διαφημιστικού μηνύματος τη δυνατότητα να αντιτάσσεται σε κάθε μήνυμα μέσω του σχετικού συνδέσμου, κατ’ εφαρμογή της απαίτησης του άρθρου 11 παρ. 3 του ν. 3471/2006, δεν ήταν δυνατή η ικανοποίηση του προβλεπόμενου από το άρθρο 21 του ΓΚΠΔ δικαιώματος εναντίωσης του υποκειμένου, αφού το email του συνδρομητή παρέμενε στο αρχείο του ΟΤΕ.

5. Περαιτέρω, στο άρθρο 25 παρ. 1 του ΓΚΠΔ καθορίζεται η έννοια της προστασίας των δεδομένων ήδη από τον σχεδιασμό και προβλέπεται ότι ο υπεύθυνος επεξεργασίας «Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων».

Από τα στοιχεία του φακέλου προκύπτει ότι ο ΟΤΕ δεν διέθετε το κατάλληλο οργανωτικό μέτρο, δηλαδή καθορισμένη διαδικασία μέσω της οποίας να εντοπίζει ότι το δικαίωμα εναντίωσης του υποκειμένου δεν μπορούσε να ικανοποιηθεί. Αυτό προκύπτει αφού, και κατόπιν αναφοράς υποκειμένου των δεδομένων ότι παρά την υποβολή αιτήματος εξαίρεσης συνεχίζει να λαμβάνει προωθητικά μηνύματα, δεν προέβη σε καμία σχετική ενέργεια προς αποκατάσταση του ζητήματος.

6. Η χρονική διάρκεια του συμβάντος κατά το οποίο συνδρομητές φυσικά πρόσωπα του ΟΤΕ στερήθηκαν του δικαιώματός τους ήταν ιδιαίτερα μεγάλη, αφού από το 2013 8.000 περίπου συνδρομητές είχαν ανεπιτυχώς προσπαθήσει να διαγραφούν.

7. Ο υπεύθυνος επεξεργασίας είναι εταιρεία που δραστηριοποιείται ως πάροχος υπηρεσιών ηλεκτρονικής επικοινωνίας, ο οποίος υποχρεούται γενικά να εξασφαλίζει υψηλό επίπεδο ασφάλειας για τα προσωπικά δεδομένα των συνδρομητών του, συμπεριλαμβανομένων των φυσικών προσώπων. Σύμφωνα με τα στοιχεία που είναι δημόσια διαθέσιμα στο Γ.Ε.Μ.Η., τα έσοδα του ομίλου ΟΤΕ για το έτος 2018 ήταν 2.887,6 εκατομμύρια ευρώ1.

Η Αρχή έχει διαπιστώσει στο παρελθόν ότι ο ΟΤΕ έφερε ευθύνη σε περιστατικό (Υπ’ αριθμ. πρωτ. 1585114/05-07-2018 ανακοίνωση της Γ.Γ. Εμπορίου και Προστασίας Καταναλωτή παραβίασης δεδομένων προσωπικού χαρακτήρα, επιβάλλοντας την κύρωση του προστίμου με την απόφαση 1/2015. )

8. Η Αρχή δέχεται ότι το συμβάν δεν οφείλεται σε δόλο του υπευθύνου επεξεργασίας και ότι μόλις ο υπεύθυνος επεξεργασίας το πληροφορήθηκε από την Αρχή ενήργησε για την επανόρθωση της παράβασης, συνεργαζόμενος μαζί της.

9. Η Αρχή, λαμβάνοντας υπόψη την ανωτέρω διαπιστωθείσα παράβαση των άρθρων 21 και 25 παρ. 1 του ΓΚΠΔ και τα στοιχεία του φακέλου, κρίνει ότι πρέπει να επιβάλει την προβλεπόμενη στο άρθρο 58 παρ. 1 θ΄ του ΓΚΠΔ κύρωση του διοικητικού προστίμου. Δυνάμει του άρθρου 83 του Κανονισμού και προκειμένου η κύρωση να είναι αποτελεσματική, αναλογική και αποτρεπτική, συνυπολογίζοντας τα επιβαρυντικά στοιχεία που αναφέρονται στις σκέψεις 6 και 7 της παρούσας και τα ελαφρυντικά στοιχεία που αναφέρονται στη σκέψη 8 της παρούσας, το ύψος του προστίμου προσδιορίζεται σε διακόσιες χιλιάδες (200.000) ευρώ.

10. Όσον αφορά στις δύο καταγγελίες φυσικών προσώπων συνδρομητών του ΟΤΕ που αναφέρονται στην αρχή της παρούσης, όπως αποδέχεται και ο υπεύθυνος επεξεργασίας, το υπό κρίση συμβάν επηρέασε και τα δικά τους δεδομένα, συνεπώς, η Αρχή διαπιστώνει ότι οι καταγγελίες είναι βάσιμες. Το διορθωτικό μέτρο του διοικητικού προστίμου, όπως αυτό αναλύθηκε στην προηγούμενη σκέψη, επιβάλλεται για το σύνολο της παράβασης, στην οποία περιλαμβάνονται και οι δύο περιπτώσεις των καταγγελλόντων, οι οποίοι αποτελούν αποδέκτες της απόφασης.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα: Επιβάλλει στην «Οργανισμός Τηλεπικοινωνιών της Ελλάδος Α.Ε.» το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στη συγκεκριμένη περίπτωση σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους διακοσίων χιλιάδων (200.000,00) ευρώ.

Δελτίο Τύπου:
Α Π Ο Φ Α Σ Η ΑΡ. 31/2019 (Τμήμα)

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνεδρίασε σε σύνθεση Τμήματος στην έδρα της την Τετάρτη 24 Ιουλίου 2019 μετά από πρόσκληση του Προέδρου της, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν οι Γεώργιος Μπατζαλέξης, Αναπληρωτής Πρόεδρος, κωλυομένου του Προέδρου της Αρχής, Κωνσταντίνου Μενουδάκου, τα τακτικά μέλη Κωνσταντίνος Λαμπρινουδάκης και Χαράλαμπος Ανθόπουλος και το αναπληρωματικό μέλος Παναγιώτης Ροντογιάννης ως εισηγητής και σε αναπλήρωση του τακτικού μέλους Αντώνιου Συμβώνη ο οποίος αν και εκλήθη νομίμως εγγράφως, δεν παρέστη λόγω κωλύματος. Στη συνεδρίαση παρέστησαν, με εντολή του Προέδρου, οι Γεωργία Παναγοπούλου και Γεώργιος Ρουσόπουλος, ειδικοί επιστήμονες – ελεγκτές ως βοηθοί εισηγητή. Επίσης, παρέστη, με εντολή του Προέδρου, και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του Διοικητικού Τμήματος της Αρχής, ως γραμματέας.

Η Αρχή έλαβε υπόψη της τα παρακάτω:

Στην Αρχή υποβλήθηκαν οι υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/5535/21-06-2018 και Γ/ΕΙΣ/6870/16-08-2018 καταγγελίες φυσικών προσώπων συνδρομητών τηλεφωνίας του Οργανισμού Τηλεπικοινωνιών Ελλάδος Α.Ε. (εφεξής ΟΤΕ). Η Αρχή διερευνώντας τις καταγγελίες στη συνεδρίαση του τμήματός της την 6/3/2019 διαπίστωσε ότι οι διαφημιζόμενες εταιρείες ορθά ανέφεραν ότι οι τηλεφωνικοί αριθμοί των εν λόγω φυσικών προσώπων δεν περιλαμβάνονταν στα μητρώα αντιρρήσεων («opt-out») που είχαν λάβει από τον ΟΤΕ.

Από τα στοιχεία που κατατέθηκαν με το υπ’ αριθμ. Γ/ΕΙΣ/422/21-01-2019 υπόμνημα του ΟΤΕ προέκυψε ότι το συγκεκριμένο πρόβλημα αφορά σε 7.499 συνδρομητές μετά το 2016 και σε 8.700 περίπου συνδρομητές για το προηγούμενο χρονικό διάστημα, χωρίς να υπάρχει δυνατότητα να επιβεβαιωθεί με ακρίβεια ο τελευταίος αριθμός.

Η Αρχή διαπίστωσε ότι η μη αποστολή των τηλεφωνικών αριθμών των εν λόγω συνδρομητών του ΟΤΕ στις διαφημιζόμενες εταιρείες ήταν αποτέλεσμα τεχνικού προβλήματος το οποίο έχει επηρεάσει σημαντικά μεγαλύτερο αριθμό συνδρομητών και έκρινε ότι πρέπει να παραπέμψει την υπόθεση για ολοκληρωμένη εξέταση με νέα κλήση, στην οποία θα εξεταστεί το ευρύτερο ζήτημα που αφορά στη μη ορθή τήρηση του μητρώου του άρθρου 11 παρ. 2 του ν. 3471/2006 (εφεξής «μητρώο αρ. 11») από τον ΟΤΕ. Με το υπ’ αριθμ. πρωτ. Γ/ΕΞ/2247/22-03-2019 έγγραφό της, η Αρχή κάλεσε τον ΟΤΕ όπως παραστεί στη συνεδρίαση του τμήματός της την 10/04/2019 σε σχέση με την εν λόγω υπόθεση. Ο ΟΤΕ εκπροσωπήθηκε στη συνεδρίαση αυτή δια των Ελένη Γερούτση, δικηγόρο, Παναγιώτα Κούρτη, δικηγόρο, Α και Β υπαλλήλων του … τμήματος, ενώ παρέστη και η Γ, Υπεύθυνη Προστασίας Δεδομένων του Ομίλου.

Ο ΟΤΕ αν και έλαβε προθεσμία, δεν κατέθεσε υπόμνημα, καθώς οι εκπρόσωποί του επισήμαναν ότι οι απόψεις του είχαν εκτεθεί αναλυτικά με το υπ’ αριθμ. Γ/ΕΙΣ/422/21-01-2019 έγγραφό του. Στο εν λόγω έγγραφο αναφέρεται ότι η εταιρεία καταχωρεί τα στοιχεία των συνδρομητών της στο σύστημα διαχείρισης πελατειακών σχέσεων (CRM) Siebel, το οποίο διασυνδέεται με τον διαδικτυακό τόπο (portal) του ΟΤΕ, από όπου οι ενδιαφερόμενοι μπορούν να αντλήσουν τα στοιχεία του μητρώου άρ. 11. Διαπιστώθηκε ότι ο κώδικας διασύνδεσης μεταξύ Siebel και portal δεν λειτούργησε σωστά, με αποτέλεσμα να μη μεταφέρεται η εικόνα συγκεκριμένης κατηγορίας συνδρομητών από το Siebel στο portal. Ειδικότερα, όταν ένας συνδρομητής ενταγμένος στο μητρώο άρ. 11 υπέβαλε αίτημα φορητότητας, ξεκινούσε η διαδικασία διαγραφής από το Siebel και ακολούθως από το portal τόσο των συνδρομητών όσο και των επιλογών τους, συμπεριλαμβανομένης της επιλογής του μητρώου άρ. 11.

Όταν κάποιος συνδρομητής ανακαλούσε την αίτηση φορητότητας, τα στοιχεία του επανεγγράφονταν στο Siebel αλλά, λόγω σφάλματος στον κώδικα, η εικόνα αυτή δεν μεταφερόταν στο portal. Ο ΟΤΕ αναφέρει ότι μόλις έλαβε γνώση του προβλήματος προχώρησε σε διόρθωση του κώδικα, πραγματοποίησε επανέλεγχο των εγγραφών των συνδρομητών του, εντοπίζοντας τα προβλήματα και επανεγγράφοντας όλους τους αριθμούς αυτούς στο μητρώο. Οι συνδρομητές για τους οποίους εντοπίστηκε το πρόβλημα ήταν 7.499 συνδρομητές από το 2016 και μετά και εκτιμώνται σε 8.700 περίπου συνδρομητές για το προηγούμενο χρονικό διάστημα.

Ο ΟΤΕ δηλώνει ότι το πρόβλημα δεν είχε γίνει αντιληπτό γιατί ακόμα κι αν κάποιος συνδρομητής ρωτούσε για το αν έχει εγγραφεί στο μητρώο αρ.11, λάμβανε από τους υπαλλήλους θετική απάντηση, βάσει των στοιχείων του συστήματος Siebel.

Η Αρχή, μετά από εξέταση όλων των στοιχείων του φακέλου, αφού άκουσε τον εισηγητή και τις διευκρινίσεις των βοηθών εισηγητή, οι οποίοι αποχώρησαν μετά τη συζήτηση και πριν από τη διάσκεψη και τη λήψη αποφάσεως, και κατόπιν διεξοδικής συζήτησης,

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ

1. Το ζήτημα των τηλεφωνικών κλήσεων για σκοπούς απευθείας προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς ρυθμίζεται στο άρθρο 11 του ν. 3471/2006, στο οποίο ορίζονται τα σχετικά με τις μη ζητηθείσες επικοινωνίες (βλ. παρ. 1 και 2). Σημειώνεται ότι, με τις διατάξεις του άρθρου 16 παρ. 1 και 2 του ν. 3917/2011 τροποποιήθηκαν οι παρ. 1 και 2 του άρθρου 11 του ν. 3471/2006, ώστε με το άρθρο 11 παρ. 1 του ν. 3471/2006 ορίζεται πλέον ότι: «Η χρησιμοποίηση αυτόματων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεομοιοτυπίας (φαξ) ή ηλεκτρονικού ταχυδρομείου, και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς», ενώ με την παράγραφο 2 του ιδίου άρθρου ορίζεται ότι: «Δεν επιτρέπεται η πραγματοποίηση μη ζητηθεισών επικοινωνιών με ανθρώπινη παρέμβαση (κλήσεων) για τους ανωτέρω σκοπούς, εφόσον ο συνδρομητής έχει δηλώσει προς τον φορέα παροχής της διαθέσιμης στο κοινό υπηρεσίας, ότι δεν επιθυμεί γενικώς να δέχεται τέτοιες κλήσεις.

Ο φορέας υποχρεούται να καταχωρίζει δωρεάν τις δηλώσεις αυτές σε ειδικό κατάλογο συνδρομητών, ο οποίος είναι στη διάθεση κάθε ενδιαφερομένου».

Ο νόμος προβλέπει τη δημιουργία μητρώων αντιρρήσεων («opt-out») σε κάθε πάροχο και ο συνδρομητής μπορεί να δηλώσει ατελώς, στον δικό του πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών, ότι δεν επιθυμεί να λαμβάνει τηλεφωνικές κλήσεις για απευθείας εμπορική προώθηση. Συνεπώς, ο κάθε πάροχος φέρει, με την προαναφερόμενη διάταξη, την υποχρέωση να τηρεί, με αυτές τις δηλώσεις, Δημόσιο Μητρώο που επιτελεί έναν δημόσιο σκοπό και στο οποίο έχει πρόσβαση όποιος ενδιαφέρεται να το χρησιμοποιήσει για απευθείας εμπορική προώθηση.

2. Περαιτέρω, ο αριθμός τηλεφώνου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου του (πρβλ. άρθρο 4 παρ. 1 Κανονισμού (ΕΕ) 2016/679 εφεξής ΓΚΠΔ), επιτρέποντας την επικοινωνία με αυτόν.

Επισημαίνεται δε ότι, σύμφωνα και με τη Γνώμη 4/2007 της ομάδας εργασίας του άρθρου 29 της Ε.Ε. σχετικά με την έννοια των προσωπικών δεδομένων, ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έμμεσης αναγνώρισης, μπορούν επαρκώς σε ορισμένες περιπτώσεις να διακρίνουν ένα άτομο από άλλα στο πλαίσιο ενός συγκεκριμένου συνόλου, ακόμα και αν δεν έχει γίνει η εξακρίβωση του ονόματός του.

3. Από τον συνδυασμό των δύο παραπάνω σκέψεων προκύπτει ότι κάθε πάροχος καθίσταται υπεύθυνος επεξεργασίας για τον σκοπό της τήρησης του μητρώου του άρ. 11 παρ. 2 του ν. 3471/2006, επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.

Η επεξεργασία αυτή εμπίπτει κατ΄ αρχήν στο πεδίο εφαρμογής του ν. 3471/2006, καθώς, σύμφωνα με την παρ. 1 του άρθρου 3 του εν λόγω νόμου «Οι διατάξεις των άρθρων 1 έως 17 του παρόντος νόμου έχουν εφαρμογή κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση του απορρήτου των επικοινωνιών, στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα ηλεκτρονικών επικοινωνιών περιλαμβανομένων αυτών που υποστηρίζουν συσκευές συλλογής δεδομένων και ταυτοποίησης…».

Επισημαίνεται ότι στην παρ. 2 του άρθρου αυτού διευκρινίζεται ότι «Ο ν. 2472/1997, όπως ισχύει, και οι εκτελεστικοί του άρθρου 19 του Συντάγματος νόμοι, όπως ισχύουν, εφαρμόζονται για κάθε ζήτημα σχετικό με την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών που δεν ρυθμίζεται ειδικότερα από τον παρόντα νόμο». Πλέον, μετά τη θέση σε εφαρμογή του ΓΚΠΔ, κάθε παραπομπή στον ν. 2472/1997, ο οποίος είχε εκδοθεί σε συμμόρφωση με την οδηγία 95/46/ΕΚ, νοείται ως παραπομπή στον ΓΚΠΔ (βλ. και άρθ. 94 παρ. 1 ΓΚΠΔ). Συνεπώς, για κάθε ζήτημα σχετικό με την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών που δεν ρυθμίζεται ειδικότερα στον ν. 3471/2006 εφαρμόζεται ο ΓΚΠΔ.

4. Η αρχή της ακρίβειας είναι βασική στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα (βλ. άρ. 5 παρ. 1 γ ΓΚΠΔ). Στην πράξη, αυτό σημαίνει ότι ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει όλα τα εύλογα μέτρα ώστε τα δεδομένα που τηρεί να είναι ακριβή σε σχέση με τους σκοπούς της επεξεργασίας, αφού εξετάσει προσεκτικά τυχόν προκλήσεις για την ακρίβεια των δεδομένων, διασφαλίζοντας και μέσω προληπτικών ελέγχων ότι τα δεδομένα προσωπικού χαρακτήρα που δεν είναι ακριβή διορθώνονται.

Περαιτέρω, στο άρθρο 25 παρ. 1 του ΓΚΠΔ καθορίζεται η έννοια της προστασίας των δεδομένων ήδη από τον σχεδιασμό και προβλέπεται ότι «Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.» Οι εν λόγω ρυθμίσεις, σχετικά με την αρχή της ακρίβειας και με την έννοια της προστασίας των δεδομένων ήδη από τον σχεδιασμό, είναι πλέον βασικές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ενώ ως προς αυτές δεν υφίσταται ειδική αναφορά στον ν. 3471/2006.

Συνεπώς, οι εν λόγω ρυθμίσεις τυγχάνουν εφαρμογής και σε επεξεργασίες δεδομένων συνδρομητών, στον βαθμό που τα δεδομένα αφορούν φυσικά πρόσωπα.

5. Η έννοια του κινδύνου για τον ΓΚΠΔ αναλύεται στην υπ’ αριθμ. 75 αιτιολογική σκέψη. Στην έννοια αυτή περιλαμβάνεται οποιοσδήποτε κίνδυνος για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων μπορεί να οδηγήσει σε οικονομική απώλεια ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα και σε στέρηση δικαιώματος. Εν προκειμένω, προκύπτει ότι τα φυσικά πρόσωπα συνδρομητές του ΟΤΕ στερήθηκαν το παρεχόμενο από τον νόμο δικαίωμά τους να μη λαμβάνουν γενικά αυτόκλητες διαφημιστικές κλήσεις, ενώ είχαν την εντύπωση ότι το δικαίωμα αυτό τους παρεχόταν.

6. Από τα στοιχεία του φακέλου προκύπτει ότι η χρονική διάρκεια του συμβάντος κατά το οποία συνδρομητές φυσικά πρόσωπα του ΟΤΕ στερήθηκαν του δικαιώματός τους, ήταν ιδιαίτερα μεγάλη, περισσότερο από 3 έτη, ότι ο αριθμός των προσώπων που επηρεάστηκαν ξεπερνά τους 16.000 συνδρομητές, εκ των οποίων μεγάλο ποσοστό αντιστοιχεί σε φυσικά πρόσωπα, και οι οποίοι συνέχισαν να λαμβάνουν αζήτητες διαφημιστικές κλήσεις. Όσον αφορά στον τρόπο τήρησης του μητρώου του αρ. 11, διαπιστώνεται ότι εκ της σχεδίασης του συστήματος προβλεπόταν η τήρηση των δεδομένων σε δύο διαφορετικές εφαρμογές του ΟΤΕ (CRM Siebel και Portal).

Η σχεδίαση αυτή για να είναι σύμφωνη με την υποχρέωση για προστασία των δεδομένων ήδη από τον σχεδιασμό, λαμβάνοντας υπόψη τα κριτήρια του άρθρου 25 του ΓΚΠΔ θα έπρεπε να έχει ενσωματώσει κατάλληλα και επαρκή μέτρα ώστε να εξασφαλίζεται η ακρίβεια των δεδομένων, όπως π.χ. με περιοδικό έλεγχο ακρίβειας, δειγματοληπτικό ή συνολικό. Κανένα τέτοιο μέτρο δεν είχε ληφθεί, κατά παράβαση των διατάξεων του ΓΚΠΔ, και συγκεκριμένα του άρθρου 25 και του άρθρου 5 παρ. 1 γ’.

7. Ο υπεύθυνος επεξεργασίας είναι εταιρεία που δραστηριοποιείται ως πάροχος υπηρεσιών ηλεκτρονικής επικοινωνίας, ο οποίος υποχρεούται γενικά να εξασφαλίζει υψηλό επίπεδο ασφάλειας για τα προσωπικά δεδομένα των συνδρομητών του, συμπεριλαμβανομένων των φυσικών προσώπων.

Σύμφωνα με τα στοιχεία που είναι δημόσια διαθέσιμα στο Γ.Ε.Μ.Η., τα έσοδα του ομίλου ΟΤΕ για το έτος 2018 ήταν 2.887,6 εκατομμύρια ευρώ1.

Η Αρχή έχει διαπιστώσει στο παρελθόν ότι ο ΟΤΕ έφερε ευθύνη σε περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα, επιβάλλοντας την κύρωση του προστίμου με την απόφαση 1/2015 (υπ’ αριθμ. πρωτ. Γ/ΕΞ/51/08-01-2015), ενώ ειδικά για το μητρώο του αρ. 11 του είχε επιβάλει της κύρωση της προειδοποίησης (του ν. 2472/1997) όπως τροποποιήσει τη διαδικασία δήλωσης ένταξης συνδρομητών με την απόφαση 16/2018 (υπ’ αριθμ. πρωτ. Γ/ΕΞ/1659/16-03-2016).

8. Η Αρχή δέχεται ότι το συμβάν δεν οφείλεται σε δόλο του υπευθύνου επεξεργασίας και ότι μόλις ο υπεύθυνος επεξεργασίας το πληροφορήθηκε από την Αρχή ενήργησε για την επανόρθωση της παράβασης, συνεργαζόμενος μαζί της.

9. Η Αρχή, λαμβάνοντας υπόψη την ανωτέρω διαπιστωθείσα παράβαση και τα στοιχεία του φακέλου κρίνει ότι πρέπει να επιβάλλει την προβλεπόμενη στο άρθρο 58 παρ. 1 θ΄ του ΓΚΠΔ κύρωση του διοικητικού προστίμου. Δυνάμει του άρθρου 83 του Κανονισμού και προκειμένου η κύρωση να είναι αποτελεσματική, αναλογική και αποτρεπτική, συνυπολογίζοντας τα επιβαρυντικά στοιχεία που αναφέρονται στις σκέψεις 6 και 7 της παρούσας και τα ελαφρυντικά στοιχεία που αναφέρονται στη σκέψη 8 της παρούσας, το ύψος του προστίμου προσδιορίζεται σε διακόσιες χιλιάδες (200.000) ευρώ.

10. Όσον αφορά στις δύο καταγγελίες φυσικών προσώπων συνδρομητών του ΟΤΕ που αναφέρονται στην αρχή της παρούσης, όπως αποδέχεται και ο υπεύθυνος επεξεργασίας, το υπό κρίση συμβάν επηρέασε και τα δικά τους δεδομένα, συνεπώς η Αρχή διαπιστώνει ότι οι καταγγελίες είναι βάσιμες. Το διορθωτικό μέτρο του διοικητικού προστίμου, όπως αυτό αναλύθηκε στην προηγούμενη σκέψη, επιβάλλεται για το σύνολο της παράβασης, στην οποία περιλαμβάνονται και οι δύο περιπτώσεις των καταγγελλόντων οι οποίοι αποτελούν αποδέκτες της απόφασης.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα: Επιβάλλει στην «Οργανισμός Τηλεπικοινωνιών της Ελλάδος Α.Ε.» το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στη συγκεκριμένη περίπτωση σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους διακοσίων χιλιάδων (200.000,00) ευρώ.

Αρθρογράφος Administrator

Δείτε επίσης

Τα σχολεία αρχίζουν . Προσέξτε για κακόβουλο λογισμικό στα σχολικά βοηθήματα

Η αναζήτηση σχολικών βοηθημάτων σε ηλεκτρονική μορφή στο διαδίκτυο εκθέτει τους μαθητές σε ένα ευρύ …