Απίστευτο: Πελάτης εταιρείας δέχθηκε στο κινητό… συγχαρητήριο μήνυμα από υπάλληλο για την απόλυσή του – 50.000 ευρώ πρόστιμο για παραβίαση δεδομένων
Η εταιρεία ισχυρίστηκε πως δεν υπήρξε κατάχρηση των στοιχείων. Καταπέλτης υπήρξε η αρμόδια Αρχή, όπου έκρινε πως δεν υπήρξε ανταπόκριση της εταιρείας για προστασία και επέβαλε την ποινή.
Αντιμέτωπη με ένα πρωτοφανές περιστατικό βρέθηκε γυναίκα- έγκυος μετά την ηλεκτρονική παραγγελία, που πραγματοποίησε από κατάστημα τροφίμων, όπου μετά την καταγγελία της εκδόθηκε πρόστιμο ύψους 50.000 ευρώ στην εταιρεία.
Σύμφωνα με την καταγγελία προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η καταγγέλλουσα «στις … και στις … πραγματοποίησε από το ηλεκτρονικό κατάστημα της καθ’ ης (ehop.mymarket.gr) τις παραγγελίες υπ’ αρ. … και … αντίστοιχα, μέσω του λογαριασμού χρήστη που διατηρεί στο εν λόγω e-shop, με το όνομα “Β”, προκειμένου να τις παραλάβει στην οικία της, καθώς διένυε τον … μήνα της εγκυμοσύνης της και λόγω επιπλοκών αδυνατούσε να μεταβεί σε κατάστημα και να μεταφέρει βάρος. Όπως αναφέρει η καταγγέλλουσα, στα στοιχεία της παραγγελίας καταχώρισε τη διεύθυνση κατοικίας της και το ονοματεπώνυμο του συζύγου της (Γ) καθώς μόνο αυτό αναγράφεται στο κουδούνι».
Σύμφωνα με την καταγγελία, κατά την παράδοση των παραγγελιών, «ο μεταφορέας της καταγγελλόμενης εταιρείας, με τον οποίο η καταγγέλλουσα αναφέρει ότι επικοινώνησε αποκλειστικά μέσω του θυροτηλεφώνου, αρνήθηκε και τις δύο φορές να ανεβάσει τα ψώνια στο διαμέρισμά της και την υποχρέωσε να κατεβεί να τα παραλάβει στην είσοδο της πολυκατοικίας, η οποία δεν διέθετε ανελκυστήρα. Σημειώνεται ότι, όπως προκύπτει από το προσκομιζόμενο αντίγραφο της παραγγελίας … έχει προστεθεί το σχόλιο “…όροφος χωρίς ασανσέρ”».
Το «μήνυμα» συγχαρητηρίων από τον μεταφορέα
Όπως αναφέρεται στην απόφαση της Αρχής «για το λόγο αυτό η καταγγέλλουσα απευθύνθηκε την … στην καθ’ ης εταιρεία, προκειμένου να διευκρινίσει, όπως υποστηρίζει, ποια είναι η σωστή διαδικασία, ώστε εάν η πρακτική αυτή αποτελούσε πολιτική της, να επιλέξει κάποια άλλη αλυσίδα καταστημάτων που να την εξυπηρετεί στην κατάστασή της.
Κατά την επικοινωνία αυτή, η καταγγελλόμενη επιβεβαίωσε ότι η καταγγέλλουσα δεν είχε εξυπηρετηθεί με τον προσήκοντα τρόπο και της παρείχε μια δωροεπιταγή αξίας πέντε (5) ευρώ για την ταλαιπωρία της. Στη συνέχεια, σύμφωνα με την καταγγελία, την … η καταγγέλλουσα έλαβε στον προσωπικό της αριθμό κλήση στην οποία δεν απάντησε και ακολούθως μήνυμα από άγνωστο αριθμό, στο οποίο αναφερόταν ότι ήταν ο μεταφορέας της καθ’ ης και κατηγόρησε την καταγγέλλουσα για την απόλυσή του, δίνοντάς της ειρωνικά «συγχαρητήρια» για την εξέλιξη αυτή».
Και όπως τονίζει η καταγγέλλουσα από το γεγονός αυτό «υπέστη ταραχή και άγχος, που είχε ως συνέπεια να διακομισθεί στα επείγοντα του Νοσοκομείου «Έλενα Βενιζέλου», να εισαχθεί λόγω συσπάσεων και να διανυκτερεύσει, φοβούμενη ότι διατρέχει κίνδυνο η εγκυμοσύνη της».
Επίσης, η καταγγέλλουσα με την από … εξώδικη δήλωση «διαμαρτυρήθηκε προς την καταγγελλόμενη εταιρεία για την κατά τα ανωτέρω παράνομη χρήση των προσωπικών της δεδομένων (αριθμού κινητού της τηλεφώνου) από τον πρώην υπάλληλο της καταγγελλόμενης, μετά το τέλος της εργασιακής του σχέσης με την εταιρεία και παράλληλα ζήτησε να ενημερωθεί για τα προσωπικά της δεδομένα, τα οποία η εταιρεία τηρεί και επεξεργάζεται, και ζήτησε τη διαγραφή τους. Με την από … εξώδικη απάντησή της, η καταγγελλόμενη ισχυρίστηκε ότι ο πρώην εργαζόμενος πιθανότατα διατήρησε στην κατοχή του τον προσωπικό αριθμό της καταγγέλλουσας, ο οποίος αναφερόταν στο δελτίο αποστολής της παραγγελίας της, καθώς και ότι η απόλυσή του δεν σχετίζεται με το συμβάν που η καταγγέλλουσα είχε αναφέρει, αλλά έλαβε χώρα διότι η καταγγελλόμενη δεν ήταν ικανοποιημένη από τις υπηρεσίες του».
Ωστόσο, «η καταγγέλλουσα αμφισβητεί την εν λόγω απάντηση και υποστηρίζει ότι προφανώς η καταγγελλόμενη όχι μόνο την κατονόμασε ως υπαίτια για την απόλυση του μεταφορέα αλλά επιπλέον του διαβίβασε παράνομα τον αριθμό του κινητού της τηλεφώνου μετά την απόλυσή του, αφού είναι αδύνατον ο ίδιος να τον απομνημόνευσε ανάμεσα σε τόσους αριθμούς πελατών που εξυπηρετεί καθημερινά, δεδομένου και ότι ο εν λόγω μεταφορέας δεν χρειάστηκε να την καλέσει κατά την παράδοση των παραγγελιών, αλλά επικοινώνησαν μέσω θυροτηλεφώνου».
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα- Η απόφαση: Η εταιρεία δεν προχώρησε διερεύνηση και αξιολόγηση του περιστατικού
Στην προκειμένη περίπτωση, από τα στοιχεία του φακέλου και κατόπιν όσων προέκυψαν κατά την ακροαματική διαδικασία, διαπιστώνονται τα εξής:
Με την από … εξώδικη δήλωση της καταγγέλλουσας έγινε γνωστό στην καταγγελλόμενη εταιρεία ότι ο πρώην υπάλληλός της είχε κάνει χρήση προσωπικών δεδομένων (αριθμού κινητού τηλεφώνου πελάτη της εταιρείας) τα οποία είχαν περιέλθει σε γνώση του στο πλαίσιο άσκησης των καθηκόντων του, για σκοπό άλλο από την εκτέλεση της εργασίας του και σε χρόνο κατά τον οποίο, σύμφωνα με τη σύμβαση εμπιστευτικότητας που είχε υπογράψει, όφειλε σε κάθε περίπτωση να τα έχει διαγράψει.
Παράλληλα, ζήτησε α) να την ενημερώσει η καταγγελλόμενη για την επεξεργασία των δεδομένων της και β) να διαγράψει το αρχείο προσωπικών δεδομένων της. Η καταγγελλόμενη εταιρεία, παρότι διαθέτει Πολιτική διαχείρισης περιστατικών παραβίασης προσωπικών δεδομένων ως υπεύθυνος επεξεργασίας, δεν προχώρησε στις κατάλληλες ενέργειες προς διερεύνηση και αξιολόγηση του εν λόγω περιστατικού, θεωρώντας εσφαλμένα ότι δεν πρόκειται για περιστατικό παραβίασης, διότι «ο υπάλληλος νομίμως είχε στην κατοχή του τα φορολογικά παραστατικά», όπως αναφέρει, παραβλέποντας το γεγονός ότι τα εν λόγω παραστατικά είχαν παραδοθεί στον πελάτη κατά την παράδοση της παραγγελίας, η δε διατήρηση του αριθμού κινητού τηλεφώνου σε προσωπικό μέσο του υπαλλήλου και η χρήση του για άλλους σκοπούς μετά τη λύση της συνεργασίας του με την εταιρεία, αποτελεί παραβίαση της εμπιστευτικότητας των δεδομένων, επομένως συνιστά περιστατικό παραβίασης με την έννοια του άρθρου 4 στοιχ. 12 ΓΚΠΔ.
Το γεγονός ότι βάσει της σχετικής μεταξύ τους σύμβασης εμπιστευτικότητας, ο εν λόγω υπάλληλος έχει αναλάβει την αποκατάσταση τυχόν ζημίας της εταιρείας, δεν επηρεάζει την υποχρέωσή της, ως υπεύθυνου επεξεργασίας, αφ’ ενός μεν να γνωστοποιήσει το περιστατικό στην Αρχή σύμφωνα με το άρθρο 33 παρ. 1 ΓΚΠΔ, αφ’ ετέρου δε να προβεί στις κατάλληλες ενέργειες προκειμένου να χειριστεί το περιστατικό σύμφωνα με τα αναφερόμενα στην παρ. 3 του άρθρου 33 ΓΚΠΔ και συγκεκριμένα: να διερευνήσει τη φύση του περιστατικού και τις συνθήκες υπό τις οποίες συνέβη, να προσδιορίσει τις ενδεχόμενες συνέπειές του στα υποκείμενα, να εξετάσει την πιθανότητα λήψης μέτρων προς άμβλυνση των εν λόγω συνεπειών και να επανεξετάσει τα τεχνικά και οργανωτικά μέτρα ασφαλείας που εφαρμόζει ώστε να αποφευχθούν παρόμοια περιστατικά στο μέλλον, σύμφωνα με τα άρθρα 24 και 32 ΓΚΠΔ, αφού τα υπάρχοντα μέτρα δεν αποδείχθηκαν επαρκή.
Περαιτέρω, διαπιστώνεται ότι η καταγγελλόμενη παραβίασε το δικαίωμα πρόσβασης της καταγγέλλουσας στα προσωπικά της δεδομένα σύμφωνα με το άρθρο 15 ΓΚΠΔ, ως υποκειμένου των δεδομένων που τηρούσε η εταιρεία σε σχέση με τον λογαριασμό χρήστη με όνομα “Β” στο ηλεκτρονικό της κατάστημα eshop.mymarket.gr.
Συγκεκριμένα, μετά την από … εξώδικη δήλωση της καταγγέλλουσας, η εταιρεία δεν έλεγξε εάν τηρεί προσωπικά δεδομένα της καταγγέλλουσας (λογαριασμό χρήστη στο ηλεκτρονικό της κατάστημα, username, email εγγραφής, ιστορικό παραγγελιών κλπ) σύμφωνα με τα αναφερόμενα στα σημεία 3.1.2 και 3.1.3 της προσκομισθείσας Πολιτικής διαχείρισης αιτημάτων των υποκειμένων δεδομένων των, ούτε ζήτησε περαιτέρω συμπληρωματικές πληροφορίες για να ταυτοποιήσει την καταγγέλλουσα ως υποκείμενο, εάν είχε εύλογες αμφιβολίες, σύμφωνα με το άρθρο 12 παρ. 6 ΓΚΠΔ, αλλά περιορίστηκε στην αναφορά ότι οι δύο επίμαχες παραγγελίες ανέφεραν στα στοιχεία αποστολής το ονοματεπώνυμο του συζύγου της καταγγέλλουσας,
Η εταιρεία δεν απέδειξε τον ισχυρισμό ότι ο λογαριασμός αυτός είχε ανοιχθεί με τα στοιχεία «Γ», υποστηρίζοντας ότι δεν είχε πλέον πρόσβαση σε αυτόν, καθότι τον είχε διαγράψει σε ικανοποίηση του δικαιώματος διαγραφής, μετά το Γ/ΕΞΕ/696/17-03-2023 έγγραφο της Αρχής για παροχή διευκρινίσεων, αφού πλέον είχε διαπιστώσει ότι ο λογαριασμός ανήκε στην καταγγέλλουσα. Ωστόσο, η εταιρεία δεν εξήγησε για ποιο λόγο ικανοποίησε μόνο το δικαίωμα διαγραφής και όχι (προηγουμένως) το δικαίωμα πρόσβασης που επίσης είχε ασκηθεί από την καταγγέλλουσα. Παράλληλα, διαπιστώνεται ότι η καταγγελλόμενη δεν ικανοποίησε το δικαίωμα διαγραφής προσωπικών δεδομένων της καταγγέλλουσας σύμφωνα με το άρθρο 17 ΓΚΠΔ, παρά μόνο μετά το ανωτέρω έγγραφο της Αρχής για παροχή διευκρινίσεων, πράγμα που αποδεικνύεται από το γεγονός ότι η καταγγέλλουσα εξακολούθησε να λαμβάνει newsletter από την καταγγελλόμενη εταιρεία μέχρι και τις αρχές του έτους … .
ΔΕΙΤΕ ΕΔΩ ΟΛΗ ΤΗΝ ΑΠΟΦΑΣΗ ΤΗΣ ΑΡΧΗΣ
ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ
Ώρα εισαγγελέα για τη δολοφονία Καραϊβάζ: Πρότεινε καταδίκη των δύο κατηγορουμένων – “Ανθρωποκτονία στο πλαίσιο οργανωμένου εγκλήματος” είπε Ξυλοδαρμός Ελληνοκαναδού στο Ηράκλειο: Επιστολή του συνηγόρου του στον Γ. Φλωρίδη και τον Μ. Χρυσοχοΐδη – Άφαντοι οι δράστες-ΒΙΝΤΕΟ “Sea Diamond” 17 χρόνια μετά: Αποζημίωση ύψους 7 εκατομμυρίων ευρώ από τις πλοιοκτήτριες εταιρείες Υπάλληλοι Εταιρίας Διαχείρισης Ακινήτων Δημοσίου: Κατηγορούνται για δωροληψία και σωματικές βλάβες – Πάνω από 400.000 τα διαφυγόντα κέρδη – ΒΙΝΤΕΟΑκολουθήστε το dikastiko.gr στο Google News και δείτε πρώτοι όλες τις ειδήσεις
Διαβάστε όλες τις τελευταίες ειδήσεις από την Ελλάδα και τον Κόσμο στο dikastiko.gr