Κυριακή 16 Μαΐου 2021

ΑΠΔΠΧ: Πρόστιμο 20.000 ευρώ σε εταιρεία για αποστολή διαφημιστικού SMS παρά τη διαγραφή του από τη λίστα παραληπτών

 

ΑΠΔΠΧ: Πρόστιμο 20.000 ευρώ σε εταιρεία για αποστολή διαφημιστικού SMS παρά τη διαγραφή του από τη λίστα παραληπτών

Επιβολή προστίμου σε εταιρεία με ηλεκτρονικό και φυσικά καταστήματα για μη ορθή ανταπόκριση σε δικαίωμα διαγραφής από λίστα παραληπτών διαφημιστικών μηνυμάτων


Πρόστιμο 20.000 ευρώ επέβαλε σε εμπορική εταιρεία που διαθέτει ηλεκτρονικό και φυσικά καταστήματα πρόστιμο 20.000 ευρώ για μη ορθή ανταπόκριση σε άσκηση δικαιώματος διαγραφής, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (απόφαση 13/2021).Η υπόθεση τέθηκε ενώπιον της Αρχής έπειτα από καταγγελία του Α πως έλαβε μήνυμα SMS με διαφημιστικό χαρακτήρα από εταιρεία, ενώ είχε εκφράσει ρητά την αντίρρησή του.Ο καταγγέλων επισύναψε αντίγραφο μηνύματος ηλεκτρονικού ταχυδρομείου από το οποίο προκύπτει ότι, μετά από διαφορά που προέκυψε κατόπιν παραγγελίας που έκανε στην εταιρεία, είχε εκφράσει αντίρρηση στο να λαμβάνει οποιαδήποτε ενημέρωση σχετικά με προϊόντα και προσφορές της εταιρείας. Στο μήνυμα δινόταν η δυνατότητα διαγραφής μέσω υπερσυνδέσμου.Η καταγγελλόμενη εταιρεία ενημερώθηκε για την καταγγελία και απάντησε δηλώνοντας, μεταξύ άλλων, ότι είχε ζητηθεί η προηγούμενη έγκριση του καταγγέλλοντος, λόγω της προηγούμενης συναλλαγής του και ότι τα μηνύματα στέλνονται μαζικά και αυτόματα από λογισμικό συνεργαζόμενης εταιρείας, στο οποίο δεν μπορούν να επέμβουν αμέσως.Μετά όμως από διερεύνηση εντοπίστηκε το email του καταγγέλλοντος.Η εταιρεία υποστήριξε ότι από αμέλεια του υπαλλήλου δεν διαγράφηκε εκείνη τη στιγμή το τηλέφωνο από τη λίστα και διαβεβαιώνει ότι διέγραψαν το κινητό του τηλέφωνο και τη διεύθυνση ηλεκτρονικού του ταχυδρομείου και έχουν προβεί στις απαραίτητες ενέργειες, ώστε να μην ξανασυμβεί στο μέλλον για κανένα άλλον πελάτη.Τέλος, αναφέρουν ότι ο καταγγέλλων αμφισβητεί παραλαβή παραγγελίας και ενεργεί σκοπίμως και δολίως καθώς είχε τη δυνατότητα να σταματήσει τη λήψη των μηνυμάτων μέσα από το διαφημιστικό μήνυμα.Η απόφαση της ΑρχήςΣύμφωνα με την απόφαση της ΑΠΔΠΧ, ο καταγγέλλων, όπως προκύπτει από την αρχική καταγγελία, εξέφρασε αντίρρηση στην αποστολή μηνυμάτων για σκοπούς προώθησης προϊόντων και υπηρεσιών με μήνυμα ηλεκτρονικού ταχυδρομείου στις 05/06/2019.Ο καταγγέλλων δεν χρησιμοποίησε τη δυνατότητα αυτοματοποιημένης διαγραφής που υπήρχε ενσωματωμένη στα προωθητικά SMS, αλλά αυτό δεν επηρεάζει το ότι άσκησε ορθά το δικαίωμα διαγραφής, απευθυνόμενος στην εξυπηρέτηση πελατών της εταιρείας. Και τούτο αν ληφθεί υπόψη ότι ο ΓΚΠΔ δεν θέτει απαίτηση για συγκεκριμένο τρόπο άσκησης δικαιώματος αλλά αναφέρει ότι ο υπεύθυνος επεξεργασίας οφείλει να διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων.Το αίτημα του καταγγέλλοντος ήταν σαφώς διατυπωμένο, με ειδική αναφορά στο ΓΚΠΔ, συνεπώς δεν τίθεται αμφιβολία ότι ο υπεύθυνος επεξεργασίας όφειλε να διαθέτει τις κατάλληλες διαδικασίες ώστε να ανταποκριθεί, ανεξάρτητα των λοιπών διαφορών με τον καταγγέλλοντα. Ο υπεύθυνος επεξεργασίας δεν ενήργησε ώστε να διακόψει την αποστολή των διαφημιστικών μηνυμάτων, όπως όφειλε, καθώς εναντίωση και διαγραφή σε περίπτωση απευθείας εμπορικής προώθησης πρέπει να γίνεται σεβαστή.Τούτο συνέβη μόνο μετά την πρώτη παρέμβαση της Αρχής. Μάλιστα, και στην περίπτωση αυτή, ο υπεύθυνος απάντησε στην Αρχή, χωρίς να ενημερώσει τον καταγγέλλοντα.Συνεπώς, από την αρχική καταγγελία προκύπτει παράβαση του άρθρου 17 σε συνδυασμό με το άρθρο 21 παρ. 2 και το άρθρο 12 παρ. 3 του ΓΚΠΔ.Με το πρώτο του υπόμνημα, ο υπεύθυνος επεξεργασίας διαβεβαίωσε την Αρχή ότι έχει διαγράψει το κινητό τηλέφωνο και τη διεύθυνση ηλεκτρονικής αλληλογραφίας του καταγγέλλοντος και ότι έχουν προβεί σε όλες στις απαραίτητες ενέργειες για να μην ξανασυμβεί στο μέλλον για κανένα άλλο πελάτη.Εκ των πραγμάτων αποδεικνύεται ότι η παραπάνω δήλωση δεν ήταν ακριβής. Ακόμα και αν γίνει δεκτό το επιχείρημα της εταιρείας περί μεμονωμένου λάθους υπαλλήλων, το οποίο όμως δεν στηρίζεται σε ηλεκτρονικά ή άλλα στοιχεία τα οποία δεν μπορεί να αμφισβητηθούν, παρά μόνο σε έγγραφες δηλώσεις των εμπλεκομένων υπαλλήλων, προκύπτει ότι ο υπεύθυνος επεξεργασίας δεν προέβη σε ενέργειες ώστε να μην ξανασυμβεί στο μέλλον αντίστοιχο περιστατικό σε άλλο πελάτη.Συνεπώς, με την αποστολή του δεύτερου μηνύματος στις 6/11/2019, διαπιστώνεται ότι η εταιρεία δεν διέθετε στην πράξη τις απαραίτητες διαδικασίες ώστε να εξασφαλίσει τη διαγραφή των δεδομένων, ώστε να πληρούνται οι απαιτήσεις του ΓΚΠΔ και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.Επομένως, προκύπτει παράβαση του άρθρου 25 παρ. 1 του ΓΚΠΔ. Επισημαίνεται ότι με βάση την αρχή της λογοδοσίας (άρθρο 5 παρ. 2 ΓΚΠΔ) ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις βασικές αρχές νόμιμης επεξεργασίας.Να σημειωθεί ότι το επιχείρημα περί μη χρήσης της ενσωματωμένης στο SMS λειτουργίας διαγραφής και χρήση αυτής μετά τις 6/11/2019 και συγκεκριμένα στις 11/12/2019, δεν γίνεται δεκτό. Ο καταγγέλλων, όπως εξηγήθηκε, δεν ήταν υποχρεωμένος να ασκήσει το δικαίωμά του με το συγκεκριμένο τρόπο, ενώ δεν αποδεικνύεται ότι ήταν αυτός που ενεργοποίησε τη διαδικασία διαγραφής, καθώς κατά το χρονικό διάστημα αυτό τα στοιχεία της καταγγελίας ήταν γνωστά και σε άλλα πρόσωπα (π.χ. στην Αρχή).Όπως αναφέρεται στην απόφαση, η Αρχή λαμβάνει υπόψη επιβαρυντικά, ότι ο υπεύθυνος επεξεργασίας δεν κατέθεσε στοιχεία τεκμηρίωσης των διαδικασιών διαγραφής, ότι η παράβαση σχετίζεται με άσκηση δικαιωμάτων του υποκειμένου των δεδομένων, ότι η εταιρεία δήλωσε στην Αρχή ότι έλαβε τα κατάλληλα μέτρα και μάλιστα για το σύνολο των πελατών της, ενώ αυτό στην πράξη δεν είχε συμβεί όσον αφορά τον καταγγέλλοντα, ότι ο υπεύθυνος επεξεργασίας διαθέτει ηλεκτρονικό κατάστημα και χρησιμοποιεί τεχνικές ηλεκτρονικής επικοινωνίας, συνεπώς θα όφειλε να έχει φροντίσει για την ορθή ανταπόκριση στα αιτήματα άσκησης δικαιωμάτων.Περαιτέρω, σύμφωνα με τα δημόσια διαθέσιμα στοιχεία στο ΓΕΜΗ, η εταιρεία κατά το έτος 2019 είχε κύκλο εργασιών 1.343.513,99 € και κέρδη μετά από φόρους 50.151,92 €.Ως ελαφρυντικά συνυπολογίζει ότι ενώ υπήρξε όχληση δεν υπήρξε οικονομική ζημία του υποκειμένου των δεδομένων από τη μη ικανοποίηση του δικαιώματος, ότι είναι η πρώτη παράβαση για τη συγκεκριμένη εταιρεία και τέλος, τη δυσμενή οικονομική περίσταση λόγω της πανδημίας Covid-19.Βάσει των ανωτέρω, η Αρχή κρίνει ομόφωνα ότι σύμφωνα με το άρθρο 17 σε συνδυασμό με το άρθρο 21 παρ. 3 και το άρθρο 12 παρ. 3 του ΓΚΠΔ και το άρθρο 25 παρ. 1 του ΓΚΠΔ συντρέχουν οι προϋποθέσεις επιβολής σε βάρος του υπευθύνου επεξεργασίας, με βάση το άρθρο 58 παρ. 2 θ΄ του ΓΚΠΔ και λαμβάνοντας υπόψη τα κριτήρια του άρθρου 83 παρ. 2 του ΓΚΠΔ, της διοικητικής κύρωσης που αναφέρεται στο διατακτικό της παρούσας, η οποία κρίνεται ανάλογη με τη βαρύτητα της παράβασης.Ειδικότερα,η Αρχή επέβαλε πρόστιμο ύψους είκοσι χιλιάδων (20.000,00) ευρώ.Δείτε αναλυτικά την απόφαση 13/2021 στο dpa.gr
ΣΧΕΤΙΚΟΙ ΤΟΜΕΙΣ
Προσωπικά Δεδομένα
ΛΕΞΕΙΣ-ΚΛΕΙΔΙΑ
πρόστιμο
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
προσωπικά δεδομένα
Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR)
απόφαση
sms
διαγραφή
marketing
διαφήμιση
e-mail

Δεν υπάρχουν σχόλια: