123 456 7890info@example.com
123 456 7890

Tag Archives: γκπδ

eu gdpr

Προσωπικά δεδομένα: Πρόστιμο 40.000 ευρώ σε Κωτσόβολο και Εθνική Τράπεζα για παραβίαση δικαιώματος πρόσβασης καταναλωτή

admin0 Comment

Πρόστιμο 40.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε δύο υπεύθυνους επεξεργασίας για μη ικανοποίηση του δικαιώματος πρόσβασης καταναλωτή σε αλληλογραφία μεταξύ τους.

Σύμφωνα με το ιστορικό της υπόθεσης, ο καταγγέλλων έπειτα από επιστροφή προϊόντος ζήτησε από το κατάστημα (Dixons South East Europe ΑΕΒΕ-ΚΩΤΣΟΒΟΛΟΣ) μέσω facebook-messenger να του κοινοποιηθεί το αίτημα αποχρέωσης των δόσεων της πιστωτικής του κάρτας, που είχε σταλεί ηλεκτρονικά προς την τράπεζα (Εθνική Τράπεζα).

Ο υπεύθυνος επεξεργασίας αρνήθηκε να το ικανοποιήσει και στη συνέχεια ο καταγγέλλων άσκησε το ίδιο δικαίωμα προς την τράπεζα, η οποία δεν του έδωσε καμία απάντηση.

Η κρίση της Αρχής

Ως προς την πρώτη εταιρεία, η Αρχή σημειώνει, μεταξύ άλλων, ότι ενώ κατά δήλωσή της και στην πράξη χρησιμοποιούσε την εφαρμογή κοινωνικής δικτύωσης Facebook για την διαχείριση αιτημάτων σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων, περιλαμβανομένου του δικαιώματος πρόσβασης, εν τούτοις δεν την είχε περιλάβει στην οικεία Πολιτική ή Διαδικασία και επομένως η τελευταία υπήρξε ελλιπής και μη ανταποκρινόμενη στη πραγματικότητα.

Ως εκ τούτου τα υποστηριζόμενα από την ίδια στο μετ’ ακρόαση υπόμνημά της σύμφωνα με τα οποία οι υπάλληλοί της ενώ είχαν λάβει γνώση της Πολιτικής, εν τέλει δεν εξέλαβαν το εν λόγω αίτημα ως αίτημα πρόσβασης επειδή δεν ήταν εξοικειωμένοι, δεν μπορεί να γίνει δεκτό.

Οι υπάλληλοι της Εταιρίας, οι οποίοι σημειωτέον υπάγονται και αποτελούν μέρος του υπευθύνου επεξεργασίας, δεν ανταποκρίθηκαν στο αίτημα πρόσβασης μέσω της εφαρμογής κοινωνικής δικτύωσης Facebook γιατί ουδέποτε είχαν ενημερωθεί για μια τέτοια δυνατότητα καθώς η σχετική «Οδηγία» της Εταιρίας δεν περιελάμβανε τέτοια περίπτωση, ούτε είχαν εκπαιδευθεί να αναγνωρίζουν και να διακρίνουν τα αιτήματα των υποκειμένων σε σχέση με τα εκ του ΓΚΠΔ και της κείμενης νομοθεσίας, δικαιώματά τους για την περίπτωση αυτή.

Ως προς την τράπεζα, η Αρχή σημειώνει ότι δεν παρείχε καμία απάντηση στον καταγγέλλοντα προς ικανοποίηση ή μη του δικαιώματός του.

Η Τράπεζα ισχυρίστηκε ότι η γραπτή αίτηση του καταγγέλλοντος διά του καταστήματος [περιοχής] Χ δεν συνιστά άσκηση του δικαιώματος πρόσβασης, καθώς από το περιεχόμενό του προκύπτει ότι αφορούσε τον τρόπο επιστροφής χρημάτων από τρίτη εταιρία εμπορίας καταναλωτικών αγαθών για συναλλαγή η οποία διενεργήθηκε μεν με χρέωση κάρτας έκδοσης της Εθνικής Τράπεζας όμως εκκαθαρίστηκε από άλλη τράπεζα.

Από το περιεχόμενο της εν λόγω αίτησης προκύπτει ότι ο καταγγέλλων αιτήθηκε «να ενημερωθεί για το αν υπάρχει αίτημα από την εταιρία Κωτσόβολος/Dixons που να αφορά την ωρίμανση των δόσεων και αποδέσμευση του ποσού από την πιστωτική μου κάρτα για προϊόν που έχει επιστραφεί στην εταιρία. Η εταιρία ισχυρίζεται ότι το αίτημα έχει υποβληθεί στην Εθνική Τράπεζα 22/6 και ότι έχει λάβει επιβεβαίωση παραλαβής του αιτήματος από την τράπεζα στις 23/6».

Από το ανωτέρω περιεχόμενο, προκύπτει ότι ο αιτών ζήτησε ενημέρωση σχετικά με την ύπαρξη ή μη αιτήματος από την Εταιρία αναφορικά με το ζήτημά του και επιπλέον ζήτησε επιβεβαίωση ή μη εάν το σχετικό αίτημα έχει υποβληθεί στην Τράπεζα σε συγκεκριμένη ημερομηνία και εάν έχει αποσταλεί επιβεβαίωση παραλαβής του.

Η από μέρους του καταγγέλλοντος αίτηση προς την Τράπεζα προς επιβεβαίωση ή μη της ύπαρξης των εν λόγω αιτημάτων που διακινήθηκαν μέσω ηλεκτρονικής αλληλογραφίας και περιελάμβαναν προσωπικά του δεδομένα, σύμφωνα με όσα προεκτέθηκαν αναλυτικά σε σχέση τόσο με την Εταιρία όσο και με την Τράπεζα, συνιστά αίτημα πρόσβασης σε προσωπικά δεδομένα του ιδίου κατ’ αρ. 15 παρ. 1 ΓΚΠΔ, χωρίς να απαιτείται, όπως ομοίως προεκτέθηκε, να περιβληθεί συγκεκριμένο τύπο ή να ασκηθεί με πανηγυρικό τρόπο, ούτε όμως να περιλαμβάνει τους λόγους για τους οποίους το υποκείμενο των δεδομένων ασκεί το δικαίωμα πρόσβασης (ΑΠΔ 16/2017 σκ. 3) .

Επιπλέον, με το άρθρο 15 παρ. 1 ΓΚΠΔ, η ελεγχόμενη Τράπεζα, ως υπεύθυνος επεξεργασίας των προσωπικών δεδομένων του καταγγέλλοντος στο πλαίσιο παραλαβής της ηλεκτρονικής αλληλογραφίας που απεστάλη από την Εταιρία κατά τα προεκτεθέντα, προκειμένου να διευθετηθεί το ζήτημα που αφορούσε τη χρέωση της πιστωτικής κάρτας του καταγγέλλοντος, την ωρίμανση των δόσεων και την αποχρέωσή τους, προέβη σε αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων και επομένως είχε την υποχρέωση, να απαντήσει σε κάθε περίπτωση, έστω και αρνητικά στο αίτημα του καταγγέλλοντος (σχετικά βλ. ΣτΕ 2627/2017, ΑΠΔΠΧ 15/2021).

Επομένως, η Αρχή έκρινε ότι, ενώ η Τράπεζα είχε την ιδιότητα του υπευθύνου επεξεργασίας και αυτοματοποιημένα επεξεργαζόταν προσωπικά δεδομένα του καταγγέλλοντος στο πλαίσιο του ανωτέρω αιτήματός του, απέτυχε να το αξιολογήσει ορθά ως αίτημα πρόσβασης κατ’ αρ. 15 ΓΚΠΔ και συνακόλουθα, αφενός, δεν παρείχε απάντηση, έστω και αρνητική, αφετέρου, δεν ικανοποίησε το νόμιμο αίτημα του καταγγέλλοντος ως όφειλε.

Στο πλαίσιο αυτό, η Αρχή προχώρησε στην επιβολή διοικητικού προστίμου ύψους 20.000 ευρώ σε καθέναν από τους υπεύθυνους επεξεργασίας.

Δείτε αναλυτικά την απόφαση 36/2021 στο dpa.gr

GDPR-prosopika-dedomena

Συμμόρφωση ιστοσελίδων με τον GDPR: Έγιναν οι πρώτοι έλεγχοι από την ΑΠΔΠΧ

admin0 Comment

Με επιτυχία διοργανώθηκε τη Δευτέρα, 28 Ιανουαρίου, στο Εθνικό Ίδρυμα Ερευνών, η επιστημονική ημερίδα της Αρχής Προστασίας Δεδομένων «Γενικός Κανονισμός Προστασίας Δεδομένων: Χρήσιμες επισημάνσεις 8 μήνες μετά», με αφορμή τον εορτασμό της 13ης Ευρωπαϊκής Ημέρας Προστασίας Δεδομένων.

Στην ημερίδα, η οποία πραγματοποιήθηκε με την υποστήριξη της Αντιπροσωπείας της Ευρωπαϊκής Επιτροπής στην Ελλάδα, πραγματοποιήθηκαν ενδιαφέρουσες εισηγήσεις επί διαφόρων θεματικών, όπως το εδαφικό πεδίο εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), ο εκσυγχρονισμός των δικαιωμάτων των υποκειμένων των δεδομένων, η έννοια της συγκατάθεσης, ο θεσμός του Υπευθύνου Προστασίας Δεδομένων (DPO) και η εκτίμηση αντικτύπου (DPIA).

Ωστόσο, ιδιαίτερο ενδιαφέρον εμφάνισε η παρουσίαση της κυρίας Γεωργίας Παναγοπούλου, σχετικά με τη συμμόρφωση υπευθύνων επεξεργασίας που παρέχουν διαδικτυακές υπηρεσίες με το ΓΚΠΔ αλλά και την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες.

Στην εισήγησή της παρουσίασε τα πρώτα συμπεράσματα καθώς και στατιστικά στοιχεία που προέκυψαν ως αποτέλεσμα πολύ πρόσφατης δράσης της Αρχής, κατά την οποία ελέγχθηκε ο τρόπος ικανοποίησης συγκεκριμένων απαιτήσεων μέσω ενδεικτικών σημείων, αντιληπτών στον πολίτη κατά την πλοήγησή του στο διαδίκτυο και κατά τη χρήση των διαδικτυακών υπηρεσιών.

Οι 65 ιστοσελίδες που αποτέλεσαν αντικείμενο έρευνας ανήκουν σε ποικίλους τομείς, όπως ασφαλιστικές εταιρείες, χρηματοπιστωτικά ιδρύματα, ηλεκτρονικό εμπόριο, υπηρεσίες εισιτηρίων και δημόσιες υπηρεσίες, ενώ η επιλογή έγινε με κριτήριο την επισκεψιμότητα και την παροχή ηλεκτρονικών υπηρεσιών.

Σύμφωνα με την έρευνα, τα σημεία συμμόρφωσης με το ΓΚΠΔ και την οδηγία e-Privacy, τα οποία ελέγχθηκαν ήταν τα εξής:

Διαφάνεια – ενημέρωση υποκειμένων (ΓΚΠΔ άρθρα 1314)

  • Στοιχεία υπευθύνου επεξεργασίας
  • Δικαιώματα υποκειμένων
  • Άσκηση δικαιωμάτων υποκειμένων
  • Στοιχεία υπευθύνου προστασίας δεδομένων
  • Δυνατότητα προσφυγής στην ΑΠΔΠΧ
  • Σκοποί, νομική βάση επεξεργασιών
  • Αποδέκτες δεδομένων
  • Δυνατότητα ανάκλησης συγκατάθεσης

Διαβάστε επίσης: Ο GDPR σε αριθμούς (infographic)Μέτρα ασφάλειας της επεξεργασίας (ΓΚΠΔ άρθρo 32)

  • Ψηφιακό πιστοποιητικό – υλοποίηση https
  • Ισχυρός μηχανισμός εγγραφής
  • Πολιτική συνθηματικών
  • Διαδικασία ανάκτησης συνθηματικού

Αποστολή ηλεκτρονικών μηνυμάτων διαφημιστικού περιεχομένου (N. 3471/2006 άρθρο 11)

  • Λήψη συγκατάθεσης
  • Συμμόρφωση με την οδηγία 2/2011
  • Δυνατότητα διαγραφής

Εγκατάσταση και χρήση cookies (N. 3471/2006 άρθρο 4, παρ. 5)

  • Ενημέρωση
  • Συγκατάθεση όπου απαιτείται

Ικανοποιητικό επίπεδο συμμόρφωσης σε ορισμένους τομείς

Τα αποτελέσματα της έρευνας ήταν αρκετά ικανοποιητικά σε ορισμένους τομείς, όπως η διαφάνεια και η ενημέρωση των υποκειμένων, ιδιαιτέρως σε ό,τι αφορά στην ενημέρωση για τα δικαιώματά τους, αλλά και την ασφάλεια της επεξεργασίας, με την Αρχή να διαπιστώνει ικανοποιητικό βασικό επίπεδο ασφάλειας.

Στον αντίποδα, αρκετές ελλείψεις παρατηρήθηκαν στην εγκατάσταση και χρήση cookies, καθώς και στην αποστολή ηλεκτρονικών μηνυμάτων διαφημιστικού περιεχομένου.

Ως προς τις κατηγορίες των υπευθύνων, διαπιστώθηκε ότι οι ασφαλιστικές εταιρείες, τα χρηματοπιστωτικά ιδρύματα και το ηλεκτρονικό εμπόριο επιδεικνύουν υψηλά ποσοστά συμμόρφωσης, σε αντίθεση με το Δημόσιο.

Οι σημαντικότερες ελλείψεις, το Δημόσιο και ο πονοκέφαλος των cookies

Σύμφωνα με τα στοιχεία της Αρχής, παρατηρήθηκε, μεταξύ άλλων, σημαντική έλλειψη συμμόρφωσης με τη νομοθεσία για τα cookies, ελλιπής ενημέρωση για τις πράξεις επεξεργασίας και τους αποδέκτες, καθώς και μεγάλη υστέρηση του Δημοσίου στη διαφάνεια.

Ειδικότερα, σε σχέση με τη διαφάνεια, σημαντικές ελλείψεις παρατηρήθηκαν, μεταξύ άλλων, στην αναφορά των σκοπών και της νομικής βάσης της επεξεργασίας.

Σε σχέση με τα μέτρα ασφάλειας της επεξεργασίας, διαπιστώθηκε ότι δεν υπάρχει στις περισσότερες περιπτώσεις έλεγχος για την πολυπλοκότητα των συνθηματικών των χρηστών και βέλτιστη υλοποίηση ασφαλούς σύνδεσης https.

Αναφορικά με την αποστολή ηλεκτρονικών μηνυμάτων διαφημιστικού περιεχομένου, σε καμία (από τις ελεγχόμενες) περίπτωση δεν υπήρχε επιβεβαίωση του email μέσω της προβλεπόμενης διαδικασίας double opt-in.

Τέλος, σε σχέση με τα cookies, τα κυριότερα προβλήματα επικεντρώνονται στη μη επαρκή ενημέρωση των χρηστών, καθώς και στη συγκατάθεση μέσω browser ή στην παροχή μόνο της δυνατότητας opt-out.

Τα cookies εξακολουθούν να αποτελούν “πονοκέφαλο” στη συμμόρφωση των ιστοσελίδων και στην Ελλάδα. Υπενθυμίζεται ότι κατά τους τελευταίους μήνες του 2018, η αυστριακή και η βρετανική αρχή προστασίας δεδομένων εξέδωσαν σχετικές αποφάσεις, ακολουθώντας διαφορετικές προσεγγίσεις σε σχέση με τη συγκατάθεση.

Πηγή: lawspot.gr

Μετάβαση στο περιεχόμενο