Πρόστιμο από Αρχή Προστασίας Προσωπικών Δεδομένων σε εταιρία κινητής

Γράφει ο Στάθης Δημ. Σταματελόπουλος, Νομικός Συνεργάτης Ε.Ε.Α.

Γράφει ο Στάθης Δημ. Σταματελόπουλος, Νομικός Συνεργάτης Ε.Ε.Α.


 

Με την υπ. αριθμ. 89/2017 απόφαση της, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επέβαλε διπλό πρόστιμο σε γνωστή εταιρεία κινητής τηλεφωνίας, αφενός μεν, για την μη ικανοποίηση του δικαιώματος πρόσβασης του προσφεύγοντος (υποκειμένου) σε απλά προσωπικά δεδομένα του, που η ως άνω εταιρεία τηρούσε σε αρχείο της, αφετέρου δε, για παράνομη επεξεργασία δεδομένων πιστωτικής κάρτας του προσφεύγοντος, χωρίς την συγκατάθεση του, δηλαδή για παραβάσεις δικαιωμάτων του υποκειμένου, τα οποία κατοχυρώνονται ρητά και από το νέό Γενικό Κανονισμό Προσωπικών Δεδομένων (GDPR), που ήδη από την 25/5/2018 εφαρμόζεται και στην χώρα μας.    
Ειδικότερα, η κριθείσα υπόθεση αφορούσε σε προσφυγή καταναλωτή προς την ΑΠΔΠΧ, με την οποία ζητούσε την καταδίκη εταιρείας κινητής τηλεφωνίας, η οποία έκανε χρήση στοιχείων πιστωτικής του κάρτας, την οποία ο ίδιος είχε χρησιμοποιήσει σε προηγούμενη συναλλαγή του για την πληρωμή μηνιαίου λογαριασμού του κινητής τηλεφωνίας, πλην όμως αυτή χρησιμοποιήθηκε χωρίς την συγκατάθεση του και για την πληρωμή επόμενου λογαριασμού του, καθώς η εταιρεία θεώρησε εσφαλμένα ότι, υπήρχε ¨πάγια εντολή ¨για την πληρωμή του λογαριασμού με την χρήση της εν λόγω πιστωτικής κάρτας, χωρίς να υπάρχει καμία συγκατάθεση του υποκειμένου προς τούτο, ενώ παράλληλα, ο προσφεύγων ζητούσε από την εταιρεία να του χορηγήσει και ακριβείς πληροφορίες για την εκτέλεση της συγκεκριμένης εντολής πληρωμής, καθώς και αντίγραφα των σχετικών ηχογραφημένων συνομιλιών του, με τους υπαλλήλους της εταιρείας. Σημειώνεται δε ότι, πριν προσφύγει στην ΑΠΔΠΧ ο προσφεύγων καταναλωτής είχε αρμοδίως προσφύγει και στον Συνήγορο του Καταναλωτή, καταγγέλλοντας την παράνομη αυτή άρνηση της εταιρείας για την χορήγηση των αιτούμενων πληροφοριών.
Πιο συγκεκριμένα, ο προσφεύγων ισχυρίστηκε ότι, ως συνδρομητής της εν λόγω εταιρείας κινητής τηλεφωνίας επικοινώνησε τηλεφωνικά με τους υπαλλήλους της, προκειμένου να εξοφλήσει μηνιαίο λογαριασμό και υπέδειξε τα στοιχεία της πιστωτικής του κάρτας .Τον επόμενο μήνα επικοινώνησε εκ νέου τηλεφωνικά με την εταιρεία ζητώντας την εξόφληση του λογαριασμού του, αλλά πριν υποδείξει τα στοιχεία της πιστωτικής του κάρτας ενημερώθηκε από τον υπάλληλο της εταιρείας, ότι, η συγκεκριμένη πληρωμή δεν μπορεί να εκτελεστεί χωρίς προηγούμενη έγκριση του Λογιστηρίου της εταιρείας και ότι για τον λόγο αυτό, θα τον ενημέρωναν τηλεφωνικά .Ωστόσο, την ίδια ημέρα ο προσφεύγων έλαβε μήνυμα στο κινητό του τηλέφωνο από την εταιρεία, η οποία τον ενημέρωνε ότι, ο λογαριασμός του εξοφλήθηκε από την κάρτα που είχε στην προηγούμενη συναλλαγή του δηλώσει, γεγονός που τον ανάγκασε να προβεί στην ακύρωση της πιστωτική του κάρτας για λόγους ασφαλείας και να ζητήσει την έκδοση νέας .Στην συνέχεια ο προσφεύγων ζήτησε από την εταιρεία με εξώδικη δήλωση του, που κοινοποιήθηκε και στον Συνήγορο του Καταναλωτή, να διαγραφούν όλα τα στοιχεία πιστωτικών του καρτών, που φέρονταν να τηρούνται στο αρχείο της εταιρείας, αλλά και να απαντήσει εγγράφως σε συγκεκριμένα ερωτήματα, που αφορούσαν την επεξεργασία των προσωπικών του δεδομένων.   
Η εταιρεία απαντώντας αρχικά προς τον Συνήγορο του Καταναλωτή παραδέχτηκε ότι, το περιστατικό αυτό αποτελεί μεμονωμένο περιστατικό, που συνέβη από παρανόηση υπαλλήλου της, ο οποίος εκ παραδρομής προέβη εσφαλμένα στην καταχώριση των στοιχείων του προσφεύγοντος στο σύστημα, που η εταιρεία τηρεί για τους συνδρομητές, οι οποίοι έχουν επιλέξει την πληρωμή των λογαριασμών τους με πάγια εντολή εξόφλησης λογαριασμών με χρέωση της πιστωτικής τους κάρτας. 
Η ΑΠΔΠΧ εξετάζοντας στην συνέχεια τα στοιχεία της υπόθεσης ζήτησε διευκρινίσεις από την εταιρεία, η οποία ανέφερε ότι, την περίοδο εκείνη τα στοιχεία της πιστωτικής κάρτας κάθε πελάτη διατηρούνταν για χρονικό διάστημα τουλάχιστον τριών μηνών, ως εύλογος και αναγκαίος χρόνος τήρησης τέτοιων δεδομένων, για λόγους χειρισμού πιθανής αμφισβήτησης της συναλλαγής από την τράπεζα., ισχυρίστηκε δε ότι, προκειμένου να διασφαλίσει το απόρρητο των στοιχείων των πιστωτικών καρτών είχε προχωρήσει στην εγκατάσταση συστήματος διεθνούς προτύπου PCI ( Payment Card Industry Standard), τέλος δε επιβεβαίωνε προς την Αρχή ότι, όλα τα στοιχεία της πιστωτικής κάρτας του προσφεύγοντος είχαν ήδη διαγραφεί κατ’ αίτηση του από το πληροφοριακό σύστημα της εταιρείας.         
Στην συνέχεια η ΑΠΔΠΧ λαμβάνοντας υπόψη της, τις διατάξεις του προϊσχύσαντος Ν.2472/1997 περί προστασίας προσωπικών δεδομένων, έκρινε ότι, ο νόμος καθιερώνει το δικαίωμα πρόσβασης του υποκειμένου στα δεδομένα που το αφορούν, με κύριο σκοπό να βεβαιώνεται το υποκείμενο για την ακρίβεια και το σύννομο χαρακτήρα της επεξεργασίας των δεδομένων του και ως εκ τούτου για την ικανοποίηση του σχετικού δικαιώματος πρόσβασης δεν απαιτείται η επίκληση εννόμου συμφέροντος, αφού θεωρείται δεδομένο το έννομο συμφέρον (έστω και ηθικό) του υποκειμένου να λάβει γνώση πληροφοριών, οι οποίες το αφορούν και οι οποίες έχουν καταχωρηθεί σε αρχείο που τηρεί ο υπεύθυνος επεξεργασίας, έτσι ώστε, να πραγματώνεται η βασική αρχή του δικαίου για την προστασία των προσωπικών δεδομένων, που συνίσταται στην διαφάνεια της επεξεργασίας, ως προϋπόθεση κάθε περαιτέρω ελέγχου της νομιμότητας εκ μέρους του υποκειμένου των δεδομένων .Επιπρόσθετα ο νόμος καθιερώνει το δικαίωμα αντίρρησης του υποκειμένου των δεδομένων, με σκοπό, αφενός να προστατευτεί το συμφέρον αυτού ως θιγομένου και αφετέρου, να εξασφαλιστεί ο έλεγχος της νομιμότητας της επεξεργασίας που συντελείται. Περαιτέρω, σύμφωνα με το άρθρο 4 παρ. 3 του Ν.3471/2006, επιτρέπεται η καταγραφή συνδιαλέξεων και των συναφών δεδομένων κίνησης, όταν πραγματοποιούνται κατά την διάρκεια νόμιμης επαγγελματικής πρακτικής, με σκοπό την παροχή αποδεικτικών στοιχείων εμπορικής συναλλαγής ή άλλης επικοινωνίας επαγγελματικού χαρακτήρα, υπό την προϋπόθεση ότι και τα δύο μέρη, μετά από προηγούμενη ενημέρωση, σχετικά με τον σκοπό της καταγραφής, παρέχουν την συγκατάθεση τους  Όπως έχει εξάλλου κρίνει η ΑΠΔΠΧ όταν η καταγραφή των συνδιαλέξεων είναι νόμιμη, σύμφωνα με την διάταξη του άρθρου 4 παρ. 3 του Ν.3471/2006,, τότε δεν απαιτείται η προηγούμενη συγκατάθεση και των δύο μερών, αλλά η προηγούμενη ενημέρωση του μέρους, που δεν έχει την πρωτοβουλία της καταγραφής.  
Αναφορικά με το δικαίωμα της πρόσβασης με την έννοια της ενημέρωσης και πληροφόρησης του υποκειμένου,  η ΑΠΔΠΧ έκρινε ότι, τα στοιχεία που είναι απαραίτητα για πληρωμή των λογαριασμών του προσφεύγοντος αποτελούν καταρχήν απλά προσωπικά δεδομένα του υποκειμένου, η επεξεργασία των οποίων επιτρέπεται κατόπιν σχετικής συγκατάθεσης του. Ο προσφεύγων ως υποκείμενο των δεδομένων έχει δικαίωμα να λάβει σαφείς πληροφορίες, σχετικά με τα δεδομένα που τον αφορούν, καθώς και σχετικά με οποιοδήποτε άλλο στοιχείο που αφορά στην περαιτέρω επεξεργασία των δεδομένων του, όπως π.χ. οι σκοποί της επεξεργασίας, οι αποδέκτες, οι κατηγορίες αποδεκτών, η εξέλιξη της επεξεργασίας για το χρονικό διάστημα από την προηγούμενη ενημέρωση του κ.α. Με βάση τα στοιχεία της κρινόμενης υπόθεσης και τις αιτιολογίες της εταιρείας, σχετικά με την ικανοποίηση του σχετικού δικαιώματος του προσφεύγοντος η ΑΠΔΠΧ έκρινε ότι, η εταιρεία δεν ικανοποίησε το δικαίωμα πρόσβασης του υποκειμένου κατά τους όρους του νόμου, καθώς απάντησε στον προσφεύγοντα με τρόπο μη ικανοποιητικό, ιδίως λόγω των αντιφάσεων των δικαιολογιών της, αλλά και με σημαντική χρονική καθυστέρηση έξι μηνών και μόνο κατόπιν παρέμβασης της ίδιας της Αρχής.
Αναφορικά δε με το δικαίωμα πρόσβασης σε καταγεγραμμένες συνομιλίες η ΑΠΔΠΧ έκρινε ότι, αυτές αποτελούν καταρχήν απλά προσωπικά δεδομένα του υποκειμένου τους και η καταγραφή αυτών από την εταιρεία αποτελεί αυτοματοποιημένη επεξεργασία και αυτή επιτρέπεται, καθώς πραγματοποιείται στο πλαίσιο νόμιμης επαγγελματικής πρακτικής, με σκοπό την παροχή αποδεικτικών στοιχείων επικοινωνίας επαγγελματικού χαρακτήρα, ενώ και κατά την κλήση στο τηλεφωνικό κέντρο της εταιρείας ακούγεται ηχογραφημένο μήνυμα ότι, η κλήση θα καταγραφεί για λόγους ασφαλείας .Ωστόσο, η Αρχή έχει ήδη κρίνει ότι, η σχετική ενημέρωση του καλούντος για την καταγραφή της συνομιλίας του είναι αναληθής, αφού η καταγραφή πραγματοποιείται σε επόμενο στάδιο με ειδική ενημέρωση του και εφόσον είναι απαραίτητο για την συναλλαγή που πραγματοποιείται τηλεφωνικά και για τον λόγο αυτό, η Αρχή έχει ήδη απευθύνει σύσταση στην εταιρεία να αναπροσαρμόσει το σχετικό μήνυμα της.. Περαιτέρω, ο προσφεύγων ως υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης στα δεδομένα που αφορούν και περιέχονται στο σύνολο των καταγεγραμμένων αυτών συνομιλιών, ενώ η εταιρεία από την πλευρά της, ως υπεύθυνος επεξεργασίας, απάντησε καταρχάς στο σχετικό αίτημα του προσφεύγοντος και του απηύθυνε επιστολή χορηγώντας του συγχρόνως και CD με το σύνολο των καταγεγραμμένων συνομιλιών του.
Τέλος, αναφορικά με τι καταγγελλόμενο περιστατικό παραβίασης της ασφάλειας των δεδομένων από την εταιρεία, δηλαδή την χρήση από αυτήν των στοιχείων της πιστωτικής κάρτας του προσφεύγοντος για την πληρωμή λογαριασμού του χωρίς την προηγούμενη συγκατάθεση του, δεδομένης και της παραδοχής της εταιρείας ότι, αυτό αποτελεί μεμονωμένο περιστατικό, η ΑΠΔΠΧ έκρινε ότι, η σχετική τεκμηρίωση από την εταιρεία της προσαρμογής των αρχείων ασφαλείας της με τα διεθνή πρότυπα PCI δεν είναι επαρκής .Ειδικότερα, η Αρχή διαπίστωσε ότι, η εταιρεία δεν απέδειξε τον ισχυρισμό της ότι, μόνο εξουσιοδοτημένοι υπάλληλοι της είχαν πρόσβαση στα αρχεία των πιστωτικών καρτών και τα αντίγραφα ασφαλείας τους, επίσης  ότι, γινόταν χρήση των στοιχείων πιστωτικής κάρτας για μη εξουσιοδοτημένες χρεώσεις, δηλαδή εν αγνοία και χωρείς της συγκατάθεση  του κατόχου της κάρτας, καθώς υπήρξε παράνομη πρόσβαση υπαλλήλου της εταιρείας σε στοιχεία πιστωτικής κάρτας, που είχαν δοθεί κατά την διάρκεια προηγούμενης συναλλαγής του και παρανόμως είχαν τηρηθεί από την εταιρεία, καθώς και περαιτέρω χρήση αυτών σε επόμενη συναλλαγή. Επισημαίνεται επίσης ότι, το χρονικό διάστημα των τριών μηνών, το οποίο η εταιρεία επικαλείται ως εύλογο και αναγκαίο για την τήρηση των στοιχείων των πιστωτικών καρτών είναι δυσανάλογο σε σχέση με την εκπλήρωση του επικαλούμενου σκοπού, ήτοι του χειρισμού πιθανής αμφισβήτησης της συναλλαγής από την αντίστοιχη τράπεζα, καθώς σύμφωνα με τα συναλλακτικά ήθη και τα διδάγματα της κοινής πείρας, τέτοιου είδους αμφισβητήσεις από τις τράπεζες λαμβάνουν χώρα το αργότερο σε λίγες μόνο ημέρες ( αν όχι και την ίδια ημέρα), από την διενέργεια της συναλλαγής. Συνεπώς αποδείχθηκε ότι, κατά την περίοδο που έλαβε χώρα η εν λόγω επεξεργασία η εταιρεία παρανόμως τηρούσε στο αρχείο τα στοιχεία πιστωτικών καρτών συνδρομητών, που προέβαιναν σε μεμονωμένες πληρωμές λογαριασμών, (δηλαδή δεν είχαν δώσει πάγια εντολή για πληρωμές λογαριασμών μέσω πιστωτικής κάρτας), χωρίς την συγκατάθεση τους και για χρονικό διάστημα τριών μηνών, παράλληλα δε, αποδείχθηκε ότι, παρανόμως η εταιρεία επεξεργάστηκε τα δεδομένα πιστωτικής κάρτας του προσφεύγοντος, που της είχαν χορηγηθεί μεν νομίμως σε προηγούμενη πληρωμή λογαριασμού από τον ίδιο, πλην όμως, αποθηκεύτηκαν χωρίς την συγκατάθεση του, ή άλλο νόμιμο λόγο και χρησιμοποιήθηκαν περαιτέρω για πληρωμή επόμενου λογαριασμού του ιδίου χωρίς την συγκατάθεση του. 
Για τους παραπάνω λόγους, η ΑΠΔΠΧ επέβαλε στην εταιρεία κινητής τηλεφωνίας πρόστιμο ύψους 5.000 Ευρώ, για την μη ικανοποίηση του δικαιώματος πρόσβασης του προσφεύγοντος, καθώς και πρόστιμο ύψους 10.000 Ευρώ, για την παράνομη επεξεργασία δεδομένων πιστωτικής κάρτας του προσφεύγοντος.