Η καταγγέλλουσα στρέφεται κατά της καταγγελλόμενης εταιρείας διαμαρτυρόμενη για περιστατικό παραβίασης των προσωπικών δεδομένων της και μη ικανοποίηση του δικαιώματος πρόσβασής της στα δεδομένα της και διαγραφής των δεδομένων αυτών, έπειτα από παραγγελίες που η ίδια πραγματοποίησε μέσω του λογαριασμού χρήστη που διατηρεί στο εν λόγω e-shop της εταιρείας, προκειμένου να τις παραλάβει στην οικία της. Ειδικότερα, ο μεταφορέας της καταγγελλόμενης εταιρείας, με τον οποίο η εγκυμονούσα καταγγέλλουσα αναφέρει ότι επικοινώνησε αποκλειστικά μέσω του θυροτηλεφώνου, αρνήθηκε δύο φορές να μεταφέρει τα ψώνια στο διαμέρισμά της και την υποχρέωσε να κατεβεί να τα παραλάβει στην είσοδο της πολυκατοικίας, η οποία δεν διέθετε ανελκυστήρα. Σε συνέχεια του περιστατικού, η εγκυμονούσα καταγγέλλουσα ανέφερε στην εταιρεία τη μη εξυπηρέτησή της με τον προσήκοντα τρόπο, την οποία ακολούθησε κλήση και μήνυμα στον προσωπικό της αριθμό, από άγνωστο αριθμό, στο οποίο αναφερόταν ότι ήταν ο μεταφορέας της καθ’ ης και απέδωσε ευθύνη στην καταγγέλλουσα για την απόλυσή του. Ως παραβίαση δεδομένων προσωπικού χαρακτήρα νοείται «η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία». Σύμφωνα με τις από 6/2/2018 Κατευθυντήριες Γραμμές 18/2018 της Ομάδας Εργασίας του άρθρου 29 της Οδηγίας 95/46/ΕΚ, ένας από τους τύπους παραβίασης προσωπικών δεδομένων είναι αυτός που κατηγοριοποιείται με βάση την αρχή ασφάλειας της «εμπιστευτικότητας», όταν διαπιστώνεται πρόσβαση άνευ δικαιώματος σε προσωπικά δεδομένα. Περαιτέρω, μια παραβίαση μπορεί δυνητικά να έχει διάφορες σημαντικές δυσμενείς συνέπειες στα πρόσωπα, οι οποίες μπορούν να οδηγήσουν σε σωματική, υλική ή ηθική βλάβη, ενώ στον ΓΚΠΔ επεξηγείται ότι αυτή η βλάβη μπορεί να περιλαμβάνει απώλεια του ελέγχου επί των δεδομένων προσωπικού χαρακτήρα τους, περιορισμό των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης και απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο κ.λπ.. Όταν δε η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, ενώ κατά την αξιολόγηση του κινδύνου, θα πρέπει, σύμφωνα με τις αιτιολογικές σκέψεις 75 και 76 ΓΚΠΔ, να λαμβάνεται υπόψη η πιθανότητα και η σοβαρότητα για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και ο κίνδυνος να αξιολογείται βάσει αντικειμενικής εκτίμησης. Περαιτέρω, διαπιστώνεται ότι η καταγγελλόμενη παραβίασε το δικαίωμα πρόσβασης της καταγγέλλουσας στα προσωπικά της δεδομένα, σύμφωνα με το άρθρο 15 ΓΚΠΔ, ως υποκειμένου των δεδομένων που τηρούσε η εταιρεία σε σχέση με τον λογαριασμό χρήστη με όνομα “Β” στο ηλεκτρονικό της κατάστημα eshop.....gr. Μάλιστα, η εταιρεία δεν εξήγησε για ποιο λόγο ικανοποίησε μόνο το δικαίωμα διαγραφής και όχι (προηγουμένως) το δικαίωμα πρόσβασης, που επίσης είχε ασκηθεί από την καταγγέλλουσα. Η Αρχή διαπίστωσε εκ μέρους της καταγγελλόμενης εταιρείας, ως υπευθύνου επεξεργασίας, α) παράβαση των κατά τα άρθρα 24, 32 και 33 ΓΚΠΔ υποχρεώσεών της, αφού, παρότι έλαβε γνώση του καταγγελλόμενου περιστατικού παραβίασης, δεν προχώρησε στη διερεύνησή του σύμφωνα με την Πολιτική που έχει θεσπίσει και στη γνωστοποίησή του στην Αρχή, ούτε στην επανεξέταση και επικαιροποίηση των τεχνικών και οργανωτικών μέτρων που εφαρμόζει προκειμένου να αποφευχθεί παρόμοιο περιστατικό στο μέλλον, β) παράβαση του κατά το άρθρο 15 ΓΚΠΔ δικαιώματος πρόσβασης της καταγγέλλουσας, ως υποκειμένου των δεδομένων, στα προσωπικά δεδομένα της που τηρεί η καταγγελλόμενη για τον λογαριασμό χρήστη με το όνομα «Β» στο ηλεκτρονικό της κατάστημα, το οποίο άσκησε (ως πρώτο αίτημα) μέσω εξώδικης δήλωσης, γ) παράβαση του κατά το άρθρο 17 ΓΚΠΔ δικαιώματος διαγραφής των δεδομένων της καταγγέλλουσας. Καταληκτικά, η Αρχή επέβαλλε στην καταγγελλόμενη εταιρεία, ως υπεύθυνο επεξεργασίας, διοικητικό πρόστιμο ύψους τριάντα πέντε χιλιάδων (35.000€) ευρώ, για τη διαπιστωθείσα παράβαση των κατά τα άρθρα 24, 32 και 33 ΓΚΠΔ υποχρεώσεών της, διοικητικό πρόστιμο ύψους δέκα χιλιάδων (10.000€) ευρώ, για τη διαπιστωθείσα παράβαση του κατά το άρθρο 15 ΓΚΠΔ δικαιώματος πρόσβασης της καταγγέλλουσας και διοικητικό πρόστιμο ύψους πέντε χιλιάδων (5.000€) ευρώ, για τη διαπιστωθείσα παράβαση του κατά το άρθρο 17 ΓΚΠΔ δικαιώματος διαγραφής των δεδομένων της καταγγέλλουσας.
| Όροι χρήσης - Πολιτική απορρήτου - Χρήση Cookies |
|
© 2014-2024 Εκδόσεις Σάκκουλα ΑΕ (Αθήνα, Θεσσαλονίκη), v.2 |