ΑΠΔΠΧ 11/2021 – Αποστολή μηνυμάτων διαφημιστικού χαρακτήρα από εταιρία παρά το αίτημα του πελάτη για την διαγραφή του λογαριασμού του

Γράφει ο Στάθης Δημ. Σταματελόπουλος, Νομικός Συνεργάτης Ε.Ε.Α.


Μία αρκετά ενδιαφέρουσα απόφαση εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μετά από καταγγελία ενδιαφερομένου πολίτη σε βάρος εταιρείας, καθώς, ενώ αυτός είχε ζητήσει την διαγραφή του λογαριασμού που τηρούσε ως πελάτης της εταιρείας, αυτή συνέχισε να του αποστέλλει στην ηλεκτρονική του διεύθυνση (e-mail) μηνύματα ηλεκτρονικού ταχυδρομείου διαφημιστικού περιεχομένου (newsletter).

 

Κατά την κλήση της σε παροχή εξηγήσεων, η καταγγελλόμενη εταιρεία ισχυρίστηκε ότι, ο καταγγέλων ήταν πελάτης της και παρά το γεγονός ότι, πράγματι ζήτησε την διαγραφή του λογαριασμού του, όμως δεν άσκησε ειδικά το δικαίωμα διαγραφής από τη λίστα των αποδεκτών των newsletters.

 

Ειδικότερα η εταιρεία ισχυρίστηκε ότι, ο χρήστης έχει τη δυνατότητα να εκφράσει τις αντιρρήσεις του αναφορικά με την αποστολή μηνυμάτων διαφημιστικού χαρακτήρα, τόσο κατά το στάδιο της εγγραφής του στην ιστοσελίδα για την δημιουργία λογαριασμού, όσο και μεταγενέστερα ως εγγεγραμμένος χρήστης. Η λειτουργία των newsletters επεξηγείται με τρόπο σαφή και ξεκάθαρο στους Όρους Χρήσης και στην Πολιτική Απορρήτου της εταιρείας. Μετά την εγγραφή του ο εγγεγραμμένος πλέον χρήστης έχει τη διαρκή και απρόσκοπτη δυνατότητα, να εκφράσει ρητά τις αντιρρήσεις του, τόσο για την αποστολή newsletters όσο και για την διατήρηση του λογαριασμού του.

 

Συγκεκριμένα, η εταιρεία επικαλέστηκε το γεγονός ότι, σε περίπτωση που ο αγοραστής επιθυμεί την διαγραφή του από την λίστα ενημερωτικών emails (newsletters) μπορεί να ζητήσει την διαγραφή του στέλνοντας με email το αίτημά του, ή να πραγματοποιήσει αυτόματα την διαγραφή του στο ειδικό πεδίο που βρίσκεται στο τέλος κάθε σελίδας newsletter που λαμβάνει. Στην περίπτωση  που ο αγοραστής επιθυμεί την διαγραφή του λογαριασμού του (προφίλ) θα πρέπει να επικοινωνήσει με την Εταιρία, στέλνοντας το αίτημά του με email.

 

Έτσι η εταιρεία επέμενε ότι, από τα ανωτέρω αναφερόμενα γίνεται ευχερώς κατανοητό στον χρήστη, ότι υφίσταται σαφής διάκριση μεταξύ α) της διαγραφής του από την αποστολή newsletters, που γίνεται είτε με αποστολή email, είτε αυτόματα με επιλογή του ειδικού πεδίου που βρίσκεται στο τέλος κάθε newsletter που του αποστέλλεται και β) της διαγραφής του λογαριασμού του (προφίλ), που γίνεται με αποστολή email. Επομένως, εάν ένας χρήστης αποστείλει email, όπως στην προκειμένη περίπτωση, απέστειλε ο καταγγέλων, ζητώντας μόνο την διαγραφή του λογαριασμού του ως εγγεγραμμένου χρήστη (προφίλ), αυτό δεν σημαίνει αυτομάτως και διαγραφή του από την αποστολή ενημερωτικών emails (newsletters). Και αυτό διότι, δεν έχει εκφράσει ρητά τις αντιρρήσεις του προς τούτο. Έχει βέβαια τη διαρκή και απρόσκοπτη δυνατότητα, να εκφράσει οποτεδήποτε τις αντιρρήσεις του για την αποστολή newsletters, με τους προαναφερόμενους εύκολους και απλούς τρόπους, για τους οποίους έχει ήδη ενημερωθεί με κατανοητό τρόπο, τόσο με την Πολιτική Απορρήτου της εταιρείας, όσο και με τους Όρους Χρήσης.

 

Ωστόσο η ΑΠΔΠΧ δεν δέχτηκε τους σχετικούς ισχυρισμούς της καταγγελλόμενης εταιρείας και σχημάτισε διαφορετική άποψη κρίνοντας σχετικά ως εξής :

 

Από τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμού (ΕΕ) 2016/679 – εφεξής ΓΚΠΔ) και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι, η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων, που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.

 

Το ζήτημα, της πραγματοποίησης μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων, ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, ρυθμίζεται με το άρθρο 11 του ν. 3471/2006 για την προστασία προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών, ο οποίος ενσωμάτωσε στην εθνική έννομη τάξη την Οδηγία 2002/58/ΕΚ. Σύμφωνα με το άρθρο αυτό, μία τέτοια επικοινωνία επιτρέπεται μόνο, εφόσον ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς.

 

Κατ’ εξαίρεση, σύμφωνα με το άρθρο 11 παρ. 3 του ν. 3471/2006, τα στοιχεία επαφής ηλεκτρονικού ταχυδρομείου που αποκτήθηκαν νομίμως, στο πλαίσιο της πώλησης προϊόντων, ή υπηρεσιών, ή άλλης συναλλαγής, μπορούν να χρησιμοποιούνται για την απευθείας προώθηση παρόμοιων προϊόντων ή υπηρεσιών του προμηθευτή, ή για την εξυπηρέτηση παρόμοιων σκοπών, ακόμη και όταν ο αποδέκτης του μηνύματος δεν έχει δώσει εκ των προτέρων τη συγκατάθεσή του, υπό την προϋπόθεση ότι, του παρέχεται κατά τρόπο σαφή και ευδιάκριτο η δυνατότητα να αντιτάσσεται, με εύκολο τρόπο και δωρεάν, στη συλλογή και χρησιμοποίηση των ηλεκτρονικών του στοιχείων και αυτό κατά τη συλλογή των στοιχείων επαφής, καθώς και σε κάθε μήνυμα, σε περίπτωση που ο χρήστης αρχικά δεν είχε διαφωνήσει σε αυτή τη χρήση.

 

Σύμφωνα με το άρθρο 17 παρ. 1 του ΓΚΠΔ, «Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους: (…) γ) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία, ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 2».

 

Περαιτέρω, στο άρθρο 21 παρ. 2 του ΓΚΠΔ ορίζεται ότι «Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.»

 

Σύμφωνα με το άρθρο 5, παρ. 1 α) του ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»). Σύμφωνα με το άρθρο 6 του ΓΚΠΔ η επεξεργασία προσωπικών δεδομένων είναι σύννομη, όταν ισχύουν κάποιες από τις προϋποθέσεις που αναφέρονται στο άρθρο, δηλαδή εφαρμόζεται συγκεκριμένη νομική βάση επεξεργασίας, μεταξύ άλλων η συγκατάθεση (παρ. α), ή το έννομο συμφέρον (παρ. στ).

 

Στη συγκεκριμένη περίπτωση, πραγματοποιήθηκε επεξεργασία δεδομένων προσωπικού χαρακτήρα του καταγγέλλοντος για σκοπούς προώθησης προϊόντων και υπηρεσιών από την εταιρεία, που αποτελεί τον υπεύθυνο επεξεργασίας. Ο καταγγέλλων δεν έχει δώσει ειδική συγκατάθεση για την επεξεργασία των δεδομένων του για σκοπούς προώθησης προϊόντων και υπηρεσιών, αλλά, κατ’ εφαρμογή του την άρθρου 11 παρ. 3 του ν. 3471/2006 η επεξεργασία έχει νομική βάση στο άρθρο 6 παρ. 1 του ΓΚΠΔ, δηλαδή η επεξεργασία ήταν απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας και αυτοί υπερισχύουν των συμφερόντων, ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων. Το έννομο συμφέρον του υπευθύνου επεξεργασίας υπάρχει ως νομική βάση, εφόσον υφίσταται η πελατειακή σχέση. Ο καταγγέλλων άσκησε το δικαίωμα διαγραφής βάσει του άρθρου 17 παρ. 1 του ΓΚΠΔ για τα στοιχεία που τηρεί ο υπεύθυνος επεξεργασίας για την πελατειακή σχέση.

 

Ο υπεύθυνος επεξεργασίας, εφόσον ικανοποίησε το δικαίωμα διαγραφής του υποκειμένου ως πελάτη, παύει να έχει έρεισμα στο έννομο συμφέρον, ως νομική βάση επεξεργασίας για το σκοπό προώθησης προϊόντων και υπηρεσιών και οφείλει να τον διαγράψει και από τις λίστες αποδεκτών προωθητικών ενεργειών. Συνεπώς, η επεξεργασία των δεδομένων του για την αποστολή προωθητικού μηνύματος έγινε κατά παράβαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας του άρθρου 5 παρ. 1 α’ του ΓΚΠΔ. Για να μπορεί να συνεχίσει την επεξεργασία των δεδομένων του για προωθητικούς σκοπούς, ο υπεύθυνος επεξεργασίας οφείλει να αναζητήσει άλλη νομική βάση, όπως είναι η συγκατάθεση.

 

Κατόπιν των ανωτέρω η Αρχή έκρινε ότι, η εν λόγω παράβαση αποτελεί μεν ένα μεμονωμένο περιστατικό, αλλά ενδέχεται, να επαναληφθεί και για άλλους πελάτες του υπεύθυνου επεξεργασίας, και κατά συνέπεια έκρινε ότι, κατάλληλο διορθωτικό μέτρο αποτελεί, η δυνάμει του άρθρου 58, παρ. 2 στοιχ. δ’ του ΓΚΠΔ, εντολή στον υπεύθυνο επεξεργασίας να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ, εντός ορισμένης προθεσμίας και για τους λόγους αυτούς η ΑΠΔΠΧ, δυνάμει του άρθρου 58 παρ. 2 στοιχ. δ ́του ΓΚΠ∆, κάλεσε την καταγγελλόμενη εταιρεία, να προσαρμόσει τις διαδικασίες της, εντός εξαμήνου, ώστε η διαγραφή των στοιχείων πελάτη της, που δεν έχει δώσει ειδική συγκατάθεση για την επεξεργασία των δεδομένων του για το σκοπό προώθησης προϊόντων και υπηρεσιών, να διασφαλίζει τη διαγραφή των στοιχείων του και από τις λίστες αποδεκτών μηνυμάτων με σκοπό προώθησης προϊόντων και υπηρεσιών.