GDPR. Οι πρώτες αποφάσεις της Ελληνικής Αρχής

Ενημερώθηκε: 7 Αυγ 2019


H Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέδωσε τις πρώτες αποφάσεις με βάση τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ).

Ειδικότερα, με την απόφαση αρ. 66/2018, η Αρχή απηύθυνε επίπληξη σε υπεύθυνο επεξεργασίας για μη νόμιμη επεξεργασία δεδομένων με σκοπό την αποστολή μηνυμάτων διαφημιστικού χαρακτήρα μέσω της εφαρμογής Viber. Πρόκειται μάλιστα, για την πρώτη απόφαση που εφάρμοσε τον GDPR στην χώρα μας. Η περίπτωση που απασχόλησε την Αρχή, ήταν η αποστολή μέσω της εφαρμογής Viber ενός προωθητικού μηνύματος επιχείρησης , που όπως και πολλές άλλες, προσπάθησε στις 24-5-2018, μια μέρα πριν τη θέση σε ισχύ του GDPR, να αποκτήσει την πολυπόθητη συγκατάθεση. Το μήνυμα ακολούθησε την τακτική της «υποβολής», με το γνωστό λεκτικό των ημερών εκείνων «ευχαριστούμε για τη συγκατάθεση σας», που όμως δεν είχε δοθεί ποτέ-κατά τους ισχυρισμούς του καταγγέλλοντος και τα όσα δέχθηκε η Αρχή στην απόφαση της.

Τα ζητήματα που τέθηκαν στην περίπτωση αυτή ήταν αφενός αν δικαιούταν η επιχείρηση να αποστείλει το μήνυμα αυτό στον καταγγέλλοντα, του οποίου είχε ήδη τον αριθμό τηλεφώνου, αφού είχε υπάρξει πελάτης της και αφετέρου με ποια νομική βάση θα μπορούσε να το κάνει.

Η Αρχή έκρινε ότι η εφαρμογή Viber αποτελεί υπηρεσία της Κοινωνίας της Πληροφορίας , όπως αυτή ορίζεται στο άρθρο 4 περ. 25 του ΓΚΠΔ και όχι υπηρεσία ηλεκτρονικών επικοινωνιών σε δημόσιο δίκτυο ηλεκτρονικών επικοινωνιών. Συνεπώς, η εξέταση της νομιμότητας της αποστολής του εν λόγω μηνύματος της 24/5/2018 πρέπει να γίνει με βάση τις διατάξεις του ν. 2472/1997, ενώ η μετά τις 25/5/2018 τήρηση και χρήση του αριθμού τηλεφώνου για διαφημιστικό σκοπό και η ισχύς τυχόν συγκατάθεσης του υποκειμένου των δεδομένων κρίνεται με βάση τις διατάξεις του ΓΚΠΔ.

Νομική βάση της επεξεργασίας του αριθμού του τηλεφώνου του καταγγέλλοντα, θα μπορούσε να είναι είτε η συγκατάθεση, εξεταζόμενη για την εγκυρότητα της υπό τις προϋποθέσεις του Ν. 2472/97 αρχικά και του ΓΚΠΔ στη συνέχεια, είτε το υπέρτερο έννομο συμφέρον της επιχείρησης, που όμως στην περίπτωση αυτή θα έπρεπε να πληροί τουλάχιστον τις προϋποθέσεις του άρθρου 11 παρ. 3 του 3471/2006, λαμβάνοντας υπόψη ότι η αποστολή τέτοιων μηνυμάτων ομοιάζει πολύ με την αποστολή μηνυμάτων SMS σε δημόσια δίκτυα τηλεφωνίας.

Η Αρχή, έκρινε ότι υπήρξε παράβαση τόσο του Ν. 2472/97 , όσο και του GDPR, με το σκεπτικό ότι η επιχείρηση εφάρμοσε την εν λόγω διαδικασία αποστολής μηνύματος προκειμένου να λάβει συγκατάθεση η οποία θα ήταν εν ισχύ και μετά τις 25/5/2018 και χωρίς να διαχωρίσει την επιβολή ποινής αναλόγως του χρόνου της παράβασης, εφάρμοσε για το σύνολο της το άρθρο 58 παρ. 2α του GDPR, επιβάλλοντας επίπληξη στην καταγγελλόμενη επιχείρηση, συνεκτιμώντας την (χαμηλή) βαρύτητα της παράβασης και το γεγονός ότι δεν υπήρξε άλλο παράπονο εναντίον της.

Επίσης, με την απόφαση αρ. 67/2018, απηύθυνε επίπληξη σε υπεύθυνο επεξεργασίας για παραβίαση του άρ. 32 του ΓΚΠΔ αναφορικά με την ασφάλεια της επεξεργασίας –και, κατ’ επέκταση και του άρ. 5 παρ. 1 στοιχ. στ’ του ΓΚΠΔ– λόγω του ότι η εταιρεία δεν είχε λάβει μέριμνα για ενημέρωση του χρησιμοποιούμενου λογισμικού και δεν διέθετε επαρκείς μηχανισμούς για την ανίχνευση επιθέσεων ασφαλείας ούτε διαδικασίες για την τακτική αξιολόγηση των μέτρων ασφαλείας.

Τέλος, με τις αποφάσεις αρ. 68 και 69/2018, απηύθυνε επίπληξη σε τράπεζες για μη έγκαιρη υποβολή γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων.


Πηγή: Lawspot , Αρχή Προστασίας Προσωπικών Δεδομένων

Χρήσιμοι σύνδεσμοι

Η GDPR Experts Team είναι μια σύγχρονη ομάδα , η οποία δημιουργήθηκε από τη BML Security με στόχο την εξειδίκευση και τη σωστή συμμόρφωση των επιχειρήσεων με τις απαιτήσεις του Γενικού Κανονισμού 2016/679 της ΕΕ περί Προστασίας Προσωπικών Δεδομένων, γνωστού ως GDPR που εφαρμόζεται και στη χώρα μας από τις 25 Μαϊου 2018. Την ομάδα μας απαρτίζουν άνθρωποι με γνώση και εξειδίκευση στα θέματα και τις απαιτήσεις που οριοθετεί ο Γενικός Κανονισμός, καθώς επίσης και γνώσεις νομικής φύσεως και πληροφοριακών συστημάτων. Διαθέτει Πιστοποιημένους Υπεύθυνους Προστασίας Δεδομένων (DPO) για την παροχή των υπηρεσιών DPO σε μικρές και μεγάλες επιχειρήσεις. Παρέχει ολοκληρωμένες λύσεις συμμόρφωσης με τις απαιτήσεις του Γενικού Κανονισμού για μία επιχείρηση βάση των πραγματικών αναγκών της .

© 2019 by BML Security  |  Πολιτική Απορρήτου

Επικοινωνία

2109427757

  • Grey Facebook Icon
  • Grey Twitter Icon
  • Grey G+ Icon
  • Grey Instagram Icon