Skip to content

Αρθρογραφία

Αρχή Προστασίας Δεδομένων: Πρόστιμα Σε Εταιρείες για Προωθητικά SMS Και Κάμερες Στην Εργασία

Αρχή Προστασιας Δεδομένων

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με δύο πρόσφατες αποφάσεις της (12 & 13/2021) επιβεβαίωσε και επανέλαβε την πάγια θέση της για την προσβολή των υποκειμένων από τις πρακτικές προωθητικών μηνυμάτων και βιντεοεπιτήρησης στην εργασία.

Πραγματοποίηση Μη Ζητηθεισών Επικοινωνιών
(Απόφαση 13/2021)

Το ζήτημα, της πραγματοποίησης μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, ρυθμίζεται με το άρθρο 11 του ν. 3471/2006 για την προστασία προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών. 

Σύμφωνα με το άρθρο αυτό, μία τέτοια επικοινωνία επιτρέπεται μόνο εφόσον ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς. 

Κατ’ εξαίρεση, σύμφωνα με το άρθρο 11 ν. 3471/2006, τα στοιχεία επαφής ηλεκτρονικού ταχυδρομείου που αποκτήθηκαν νομίμως, στο πλαίσιο της πώλησης προϊόντων ή υπηρεσιών ή άλλης συναλλαγής, μπορούν να χρησιμοποιούνται για την απευθείας προώθηση παρόμοιων προϊόντων ή υπηρεσιών του προμηθευτή ή για την εξυπηρέτηση παρόμοιων σκοπών, ακόμη και όταν ο αποδέκτης του μηνύματος δεν έχει δώσει εκ των προτέρων τη συγκατάθεσή του, υπό την προϋπόθεση ότι του παρέχεται κατά τρόπο σαφή και ευδιάκριτο η δυνατότητα να αντιτάσσεται, με εύκολο τρόπο και δωρεάν, στη συλλογή και χρησιμοποίηση των ηλεκτρονικών του στοιχείων και αυτό κατά τη συλλογή των στοιχείων επαφής, καθώς και σε κάθε μήνυμα, σε περίπτωση που ο χρήστης αρχικά δεν είχε διαφωνήσει σε αυτή τη χρήση.

Προβλέψεις Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ)

Σύμφωνα με το άρθρο 17 του Γενικού Κανονισμού Προστασίας Δεδομένων 2016/679 (“ΓΚΠΔ”), “Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους: (…) γ) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 2”. 

Περαιτέρω, στο άρθρο 21 του ΓΚΠΔ ορίζεται ότι «Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.» 

Στο άρθρο 12 του ΓΚΠΔ ορίζεται ότι “Ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 15 έως 22” και “Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 15 έως 22 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης”.

Το άρθρο 25 του ΓΚΠΔ ορίζει ότι “Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων

Η κρινόμενη περίπτωση

Στη συγκεκριμένη περίπτωση, πραγματοποιήθηκε επεξεργασία δεδομένων προσωπικού χαρακτήρα του καταγγέλλοντος από τον υπεύθυνο επεξεργασίας, για σκοπούς προώθησης προϊόντων και υπηρεσιών. Ο καταγγέλλων, όπως προκύπτει από την αρχική καταγγελία, εξέφρασε αντίρρηση στην αποστολή μηνυμάτων για σκοπούς προώθησης προϊόντων και υπηρεσιών με μήνυμα ηλεκτρονικού ταχυδρομείου.

Ο καταγγέλλων δεν χρησιμοποίησε τη δυνατότητα αυτοματοποιημένης διαγραφής που υπήρχε ενσωματωμένη στα προωθητικά SMS, αλλά αυτό δεν επηρεάζει το ότι άσκησε ορθά το δικαίωμα διαγραφής, απευθυνόμενος στην εξυπηρέτηση πελατών της εταιρείας. Και τούτο αν ληφθεί υπόψη ότι ο ΓΚΠΔ δεν θέτει απαίτηση για συγκεκριμένο τρόπο άσκησης δικαιώματος αλλά αναφέρει ότι ο υπεύθυνος επεξεργασίας οφείλει να διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων.

Το αίτημα του καταγγέλλοντος ήταν σαφώς διατυπωμένο, με ειδική αναφορά στο ΓΚΠΔ, συνεπώς δεν τίθεται αμφιβολία ότι ο υπεύθυνος επεξεργασίας όφειλε να διαθέτει τις κατάλληλες διαδικασίες ώστε να ανταποκριθεί, ανεξάρτητα των λοιπών διαφορών με τον καταγγέλλοντα. Ο υπεύθυνος επεξεργασίας δεν ενήργησε ώστε να διακόψει την αποστολή των διαφημιστικών μηνυμάτων, όπως όφειλε, καθώς εναντίωση και διαγραφή σε περίπτωση απευθείας εμπορικής προώθησης πρέπει να γίνεται σεβαστή.

Τούτο συνέβη μόνο μετά την πρώτη παρέμβαση της Αρχής. Μάλιστα, και στην περίπτωση αυτή, ο υπεύθυνος απάντησε στην Αρχή, χωρίς να ενημερώσει τον καταγγέλλοντα. Συνεπώς, από την αρχική καταγγελία προκύπτει παράβαση του άρθρου 17 σε συνδυασμό με το άρθρο 21 παρ. 2 και το άρθρο 12 παρ. 3 του ΓΚΠΔ.

Ακόμα και αν γίνει δεκτό το επιχείρημα της εταιρείας περί μεμονωμένου λάθους υπαλλήλων, προκύπτει ότι ο υπεύθυνος επεξεργασίας δεν προέβη σε ενέργειες ώστε να μην ξανασυμβεί στο μέλλον αντίστοιχο περιστατικό σε άλλο πελάτη. 

Συνεπώς, με την αποστολή του δεύτερου μηνύματος, διαπιστώνεται ότι η εταιρεία δεν διέθετε στην πράξη τις απαραίτητες διαδικασίες ώστε να εξασφαλίσει τη διαγραφή των δεδομένων, ώστε να πληρούνται οι απαιτήσεις του ΓΚΠΔ και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων. 

Επομένως, προκύπτει παράβαση του άρθρου 25 παρ. 1 του ΓΚΠΔ. 

Επισημαίνεται ότι με βάση την αρχή της λογοδοσίας (άρθρο 5 παρ. 2 ΓΚΠΔ) ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις βασικές αρχές νόμιμης επεξεργασίας. 

Ο καταγγέλλων, όπως εξηγήθηκε, δεν ήταν υποχρεωμένος να ασκήσει το δικαίωμά του με το συγκεκριμένο τρόπο, ενώ δεν αποδεικνύεται ότι ήταν αυτός που ενεργοποίησε τη διαδικασία διαγραφής, καθώς κατά το χρονικό διάστημα αυτό τα στοιχεία της καταγγελίας ήταν γνωστά και σε άλλα πρόσωπα.

Η Αρχή λαμβάνει υπόψη επιβαρυντικά, ότι ο υπεύθυνος επεξεργασίας δεν κατέθεσε στοιχεία τεκμηρίωσης των διαδικασιών διαγραφής, ότι η παράβαση σχετίζεται με άσκηση δικαιωμάτων του υποκειμένου των δεδομένων, ότι η εταιρεία δήλωσε στην Αρχή ότι έλαβε τα κατάλληλα μέτρα και μάλιστα για το σύνολο των πελατών της, ενώ αυτό στην πράξη δεν είχε συμβεί όσον αφορά τον καταγγέλλοντα, ότι ο υπεύθυνος επεξεργασίας διαθέτει ηλεκτρονικό κατάστημα και χρησιμοποιεί τεχνικές ηλεκτρονικής επικοινωνίας, συνεπώς θα όφειλε να έχει φροντίσει για την ορθή ανταπόκριση στα αιτήματα άσκησης δικαιωμάτων. 

Η Απόφασης της Αρχής

Η Αρχή λαμβάνοντας υπόψη:

  • τον κύκλο εργασιών και κέρδη μετά από φόρους 
  • ότι ενώ υπήρξε όχληση δεν υπήρξε οικονομική ζημία του υποκειμένου των δεδομένων από τη μη ικανοποίηση του δικαιώματος, 
  • ότι είναι η πρώτη παράβαση για τη συγκεκριμένη εταιρεία και τέλος, 
  • τη δυσμενή οικονομική περίσταση λόγω της πανδημίας Covid-19

επέβαλε σε βάρος του υπευθύνου επεξεργασίας, το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στην συγκεκριμένη περίπτωση σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους 20.000,00 ευρώ.

Βιντεοεπιτήρηση στην εργασία
(Απόφαση 12/2021)
Προβλέψεις Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ)

Σύμφωνα με το άρθρο 4 του ΓΚΠΔ, τα δεδομένα ήχου και εικόνας, εφόσον αναφέρονται σε πρόσωπα, συνιστούν δεδομένα προσωπικού χαρακτήρα. Περαιτέρω, η λήψη εικόνας προσώπου, η οποία συλλέγεται από σύστημα βιντεοεπιτήρησης, που λειτουργεί μόνιμα, συνεχώς ή κατά τακτά χρονικά διαστήματα, σε κλειστό ή ανοιχτό χώρο συγκέντρωσης ή διέλευσης προσώπων, συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Το άρθρο 5 ΓΚΠΔ καθορίζει τις αρχές επεξεργασίας που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα, ορίζεται στην παράγραφο 1 ότι τα δεδομένα προσωπικού χαρακτήρα, μεταξύ άλλων: 

α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα, διαφάνεια»), (…), γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων») (…), στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»)”. 

Το άρθρο 6 ΓΚΠΔ προβλέπει, μεταξύ άλλων, ότι: ”Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: (…) στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα (…)”. 

Περαιτέρω, σύμφωνα με την αρχή της λογοδοσίας (άρθρο 6 παρ. 2 ΓΚΠΔ) ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με τις παραπάνω αρχές.

Η Οδηγία 1/2011 Της Αρχής

Η Αρχή έχει εκδώσει για το ζήτημα της χρήσης συστημάτων βιντεοεπιτήρησης για το σκοπό της προστασίας προσώπων και αγαθών την υπ’ αριθμ. 1/2011 Οδηγία της Αρχής, οι διατάξεις της οποίας πρέπει να εφαρμόζονται σε συνδυασμό με τις νέες διατάξεις του ΓΚΠΔ και του ν. 4624/2019, με τον οποίο ορίζονται μέτρα εφαρμογής του ΓΚΠΔ.

Η Ευρωπαϊκή Οδηγία 3/2019

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εξέδωσε τις υπ’ αριθμ. 3/2019 κατευθυντήριες γραμμές σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, μέσω συσκευών λήψης βίντεο. Το κείμενο αυτό παρέχει αναλυτική καθοδήγηση για το πώς εφαρμόζεται ο ΓΚΠΔ σε σχέση με τη χρήση καμερών για διάφορους σκοπούς. Βασική προϋπόθεση για τη νομιμότητα της επεξεργασίας μέσω ενός συστήματος βιντεοεπιτήρησης είναι η τήρηση της αρχής της αναλογικότητας, όπως αυτή εξειδικεύεται στα άρθρα 6 και 7 της ανωτέρω Οδηγίας, αλλά και στο Ειδικό Μέρος αυτής. 

Ειδικότερα, Στο άρθρο 7 της Οδηγίας αναφέρεται ότι το σύστημα βιντεοεπιτήρησης δεν θα πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων, εκτός από ειδικές εξαιρετικές περιπτώσεις όπως αυτές προσδιορίζονται στην Οδηγία. Ως παράδειγμα αναφέρεται ότι, σε έναν τυπικό χώρο γραφείων επιχείρησης, η βιντεοεπιτήρηση πρέπει να περιορίζεται σε χώρους εισόδου και εξόδου, χωρίς να επιτηρούνται συγκεκριμένες αίθουσες γραφείων ή διάδρομοι. 

Εξαίρεση μπορεί να αποτελούν συγκεκριμένοι χώροι, όπως ταμεία ή χώροι με χρηματοκιβώτια, ηλεκτρομηχανολογικό εξοπλισμό κλπ., υπό τον όρο ότι οι κάμερες εστιάζουν στο αγαθό που προστατεύουν κι όχι στους χώρους των εργαζομένων.

Περαιτέρω, σύμφωνα με το άρθρο 19 παρ. 2 της προαναφερθείσας Οδηγίας, το οποίο εξειδικεύει την αρχή της αναλογικότητας σε εμπορικά κέντρα και καταστήματα, κάμερες επιτρέπεται να τοποθετούνται στα σημεία εισόδου και εξόδου των καταστημάτων, στα ταμεία και τους χώρους φύλαξης χρημάτων, στις αποθήκες εμπορευμάτων, ενώ, σύμφωνα με το άρθρο 19 παρ. 4 της ίδιας Οδηγίας, απαγορεύεται η λειτουργία καμερών σε χώρους εστίασης και αναψυχής, στα δοκιμαστήρια, στις τουαλέτες και στους χώρους όπου εργάζονται υπάλληλοι καταστήματος και δεν είναι προσιτοί στο κοινό. 

Περαιτέρω, στο άρθρο 11 της οδηγίας 1/2011 της Αρχής αναφέρεται ότι ο υπεύθυνος επεξεργασίας πρέπει, μεταξύ άλλων, να μεριμνά για την αποφυγή αλόγιστης χρήσης οθονών προβολής, και την αποφυγή διάδοσης του υλικού σε μη νόμιμους αποδέκτες.

Η κρινόμενη περίπτωση

Στη συγκεκριμένη περίπτωση, η χρήση της κάμερας από την καταγγελλόμενη εταιρεία δεν μπορεί να τεκμηριωθεί τηρεί την αρχή της αναλογικότητας. Συγκεκριμένα, από τα έγγραφα του φακέλου της υπόθεσης και ιδίως τις φωτογραφίες στις οποίες απεικονίζεται η εμβέλεια της κάμερας διαπιστώνεται ότι λαμβάνεται εικόνα όλου του χώρου, χωρίς η λήψη να περιορίζεται στο χώρο εισόδου. Συνεπώς, προκύπτει παράβαση της αρχής της ελαχιστοποίησης των δεδομένων, καθώς λαμβάνεται εικόνα από χώρους εργαζομένων, οι οποίοι είναι χώροι γραφείων, στους οποίους κατά κανόνα δεν πραγματοποιούνται χρηματικές συναλλαγές, αλλά λογιστικές εργασίες. 

Περαιτέρω, αποδείχθηκε ότι υπήρχε δυνατότητα επιτήρησης σε πραγματικό χρόνο της κάμερας από το διευθυντή της εταιρείας μέσω κινητού, ακόμα και όταν αυτός απουσίαζε από τις εγκαταστάσεις της. 

Η επιτήρηση αυτή δεν αποτελεί πρόσφορο μέσο για την προστασία προσώπων και αγαθών, καθώς είναι πρακτικά αδύνατο να παρέμβει ο ιδιοκτήτης είτε προληπτικά, είτε κατασταλτικά ενώ αυξάνει τον κίνδυνο για χρήση του υλικού για άλλο σκοπό, όπως για επιτήρηση των εργαζομένων. 

Η επεξεργασία αυτή, με τη δυνατότητα επόπτευσης του χώρου από τον ιδιοκτήτη της επιχείρησης, ανά πάσα στιγμή, και μάλιστα χωρίς την ύπαρξη περιστατικού που να υποδεικνύει αυξημένο κίνδυνο (π.χ. συναγερμός), προσβάλει υπέρμετρα τα δικαιώματα των επιτηρούμενων προσώπων, στους οποίους περιλαμβάνονται και «ευάλωτα» πρόσωπα όπως οι εργαζόμενοι, επομένως πραγματοποιείται κατά παράβαση του άρθρου 6 παρ. 1 στ’ του ΓΚΠΔ. 

Από τα λοιπά στοιχεία και τα τεχνικά χαρακτηριστικά της κάμερας προκύπτει ότι δεν υφίστατο η δυνατότητα λήψης ήχου, όπως υποστηρίχθηκε στην καταγγελία, ενώ δεν αποδείχθηκε ότι υπήρχε καταγραφή, αν και υπήρχε η δυνατότητα για καταγραφή λίγων ωρών έως μία ημέρα, ανάλογα με το είδος της συμπίεσης των εικόνων βίντεο. 

Η Απόφασης της Αρχής

Η Αρχή λαμβάνοντας υπόψη:

  •  ότι ο υπεύθυνος επεξεργασίας δεν κατέθεσε στοιχεία τεκμηρίωσης της νομιμότητας της επεξεργασίας, ενώ τέτοια στοιχεία ζητήθηκαν
  •  ότι πρόκειται για πολύ μικρή επιχείρηση, όπως προκύπτει εκ του αριθμού των εργαζομένων, 
  • ότι σύμφωνα με τη δήλωση της εταιρείας η κάμερα πλέον δε λειτουργεί
  • ότι είναι η πρώτη παράβαση για τη συγκεκριμένη εταιρεία και τέλος, 
  • τη δυσμενή οικονομική περίσταση λόγω της πανδημίας Covid-19

επέβαλε σε βάρος του υπευθύνου επεξεργασίας, το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στην συγκεκριμένη περίπτωση σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους 2.000,00 ευρώ.

Το Δικηγορικό μας Γραφείο, για περισσότερα από 15 χρόνια εξειδικεύεται στο Εταιρικό και Εμπορικό Δίκαιο. Επικοινωνήστε μαζί μας για σας καθοδηγήσουμε και να σας συμβουλεύσουμε σε κάθε θέμα σχετικά με ζητήματα προσωπικών δεδομένων στις επιχειρήσεις.