Η Αρχή επιμετρά επιβαρυντικώς την προσπάθεια του δεύτερου καταγγελλόμενου να τεκμηριώσει τη νομιμότητα δια της αναζήτησης στοιχείων του καταγγέλλοντος στο διαδίκτυο και προσκόμισης των αποτελεσμάτων αναζήτησης ενώπιόν της
Ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα υποβλήθηκε καταγγελία πολίτη για την παράνομη κοινοποίηση των προσωπικών δεδομένων του προς δύο Κέντρα Επαγγελματικής Κατάρτισης (ΚΕΚ) και τη συνακόλουθη παράνομη επεξεργασία τους από τα ΚΕΚ αυτά.
Σύμφωνα με την καταγγελία, ο καταγγέλλων εκδήλωσε προς τον ΟΑΕΔ ενδιαφέρον, σύμφωνα με τη Δημόσια Πρόσκληση 4/2020, για τη συμμετοχή του σε Πρόγραμμα Κατάρτισης, δηλώνοντας συγκεκριμένους γνωστικούς τομείς. Μετά την υποβολή της αίτησής του και πριν την επιλογή παρόχου και έναρξη του προγράμματος, ο καταγγέλλων δέχθηκε επικοινωνία από δύο ΚΕΚ, στην πρώτη περίπτωση με τη λήψη ηλεκτρονικού μηνύματος και στη δεύτερη με τηλεφώνημα. Ο καταγγέλλων απευθύνθηκε στον ΟΑΕΔ, ζητώντας πληροφορίες σχετικά με την κατά τα ανωτέρω «διαρροή» των δεδομένων του και συνομίλησε τηλεφωνικά με τον Υπεύθυνο Προστασίας Δεδομένων του, χωρίς ωστόσο να λάβει τελική απάντηση ως προς το τι είχε συμβεί.
Η Αρχή ζήτησε τη γνώμη τόσο του ΟΑΕΔ, ως προς την έρευνα που διενήργησε για ενδεχόμενη διαρροή δεδομένων, όσο και των δύο ΚΕΚ, ως προς την πηγή από την οποία είχαν συλλεγεί τα προσωπικά δεδομένα του καταγγέλλοντος.
Ο ΟΑΕΔ απάντησε προς την Αρχή ότι, κατόπιν ενδελεχούς έρευνας, δεν εξακριβώθηκε διαρροή δεδομένων. Παράλληλα, την ενημέρωσε ότι το συγκεκριμένο πρόγραμμα κατάρτισης υλοποιείται από την Ειδική Υπηρεσία Επιτελική Δομή ΕΣΠΑ Υπουργείου Εργασίας και Κοινωνικών Υποθέσεων, Τομέα Απασχόλησης και Κοινωνικής Οικονομίας με την συνδρομή του Ινστιτούτου Τεχνολογίας Υπολογιστών και Εκδόσεων ΔΙΟΦΑΝΤΟΣ, οι οποίοι νομίμως έχουν πρόσβαση στα δεδομένα των ωφελούμενων προκειμένου να εφαρμοσθεί το πρόγραμμα. Με βάση τα ανωτέρω, η καταγγελία ως προς τον ΟΑΕΔ απορρίφθηκε ως αβάσιμη.
Το πρώτο ΚΕΚ (ΚΕΚ ΜΑΣΤΕΡ) ισχυρίστηκε πως η επικοινωνία έγινε με πρωτοβουλία του καταγγέλλοντος, προκειμένου δεχθεί συνδρομή για τη συμμετοχή του στο πρόγραμμα. Προσκόμισε σχετική ηλεκτρονική αλληλογραφία και αμφισβήτησε τον ισχυρισμό του καταγγέλλοντος ότι του είχε δοθεί η εντύπωση πως συνομιλεί με υπηρεσία του ΟΕΑΔ. Προς τούτο, προσκόμισε και σχετικό κείμενο ενημέρωσης για την επεξεργασία προσωπικών δεδομένων.
Η Αρχή ζήτησε διευκρινίσεις ως προς τον σκοπό και τη νομική βάση για την επεξεργασία, καθώς και ως προς την εκπλήρωση της υποχρέωσης διαφάνειας. Με διευκρινιστικά έγγραφα, το ΚΕΚ επικαλέστηκε τη νομική βάση της εκτέλεσης σύμβασης (άρθρο 6 παρ.1β ΓΚΠΔ) και συμπληρωματικά τη συγκατάθεση του υποκειμένου.
Το δεύτερο ΚΕΚ (ΚΕΚ ΕΞΕΛΙΞΗ) ισχυρίστηκε πως το ονοματεπώνυμο του καταγγέλλοντος ήταν αναρτημένο στη Διαύγεια, ενώ το κινητό του βρέθηκε «με μία απλή αναζήτηση στο Google», επισημαίνοντας ότι τόσο ο αριθμός κινητού όσο και άλλα προσωπικά στοιχεία του καταγγέλλοντος υπάρχουν και σε πλήθος άλλων δημοσιευμένων άρθρων. Παράλληλα, προσέθεσε πως «όταν χρειάζεται, αναζητεί στοιχεία από ανοικτές δημόσιες πηγές του διαδικτύου».
Η Αρχή ζήτησε επίσης διευκρινίσεις ως προς τον σκοπό, τη νομική βάση και τις απαιτήσεις διαφάνειας, με το ΚΕΚ να ισχυρίζεται πως συλλέγει και επεξεργάζεται δεδομένα των ενδιαφερομένων μόνο κατόπιν ειδικής αιτήσεώς τους. Ο ισχυρισμός αυτός θεωρήθηκε από την Αρχή ως διαφοροποιούμενος από την αρχική θέση περί αναζήτησης δεδομένων σε δημόσια προσβάσιμες πηγές στο διαδίκτυο.
Η απόφαση της Αρχής
Η Αρχή απέρριψε την καταγγελία ως προς το σκέλος της τυχόν ευθύνης του ΟΑΕΔ για διαρροή των δεδομένων του καταγγέλλοντος, αφού κάτι τέτοιο δεν προέκυψε, και έστρεψε την προσοχή της στις απαιτήσεις νομιμότητας της επεξεργασίας από τα δύο ΚΕΚ. Πρώτο ζήτημα που εκλήθη να διευθετήσει ήταν ο ρόλος τους (ως υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία), υπό την ιδιότητά τους ως παρόχων κατάρτισης.
Επί του ζητήματος αυτού, η Αρχή έκρινε ότι: «Οποιαδήποτε πράξη επεξεργασίας που πραγματοποιείται από τους Παρόχους πριν την οριστική επιλογή Παρόχου από τον ωφελούμενο και την εγγραφή του σε αυτόν, εμπίπτει στην αποκλειστική ευθύνη (με την έννοια της απόφασης για το σκοπό και τα μέσα επεξεργασίας) των Παρόχων. Στο στάδιο αυτό, δηλαδή κατά τη διαδικασία έρευνας αγοράς, εκδήλωσης ενδιαφέροντος και μέχρι την τελική επιλογή παρόχου από τον ωφελούμενο, η οποία σηματοδοτείται από την αποστολή των δικαιολογητικών εγγραφής, εφόσον λαμβάνουν χώρα πράξεις επεξεργασίας εκ μέρους των Παρόχων κατάρτισης και συγκεκριμένα για το σκοπό της προώθησης των υπηρεσιών τους και της εύρεσης καταρτιζόμενων/πελατών, αποκλειστικά υπεύθυνοι είναι οι ίδιοι οι Πάροχοι, καθώς οι ίδιοι αποφασίζουν αυτοτελώς και ελεύθερα για το σκοπό και τα μέσα της εν λόγω επεξεργασίας (όπως, π.χ. για την προώθηση των υπηρεσιών τους με απευθείας ηλεκτρονική ή τηλεφωνική επικοινωνία προς υποψήφιους καταρτιζόμενους/πελάτες τους, με την παροχή δυνατότητας συμπλήρωσης φόρμας εκδήλωσης ενδιαφέροντος μέσω της ιστοσελίδας τους κλπ). […] Επομένως, σύμφωνα με όσα προεκτέθηκαν, οι εν λόγω πράξεις επεξεργασίας εμπίπτουν στην αποκλειστική σφαίρα ευθύνης των καταγγελλόμενων ΚΕΚ, ως υπευθύνων επεξεργασίας, και υπό το πρίσμα αυτό εξετάζονται στη συνέχεια».
► Όσον αφορά το πρώτο ΚΕΚ, η Αρχή δεν μπόρεσε να καταλήξει με βεβαιότητα για το σε ποιον ανήκε η πρωτοβουλία για την αρχική επικοινωνία και έκρινε πως δεν προέκυψαν επαρκή στοιχεία που να καταδεικνύουν παράνομη επεξεργασία. Αντίθετα, ως προς το ζήτημα της ενημέρωσης του υποκειμένου, η Αρχή διαπίστωσε πλημμέλειες:
«Από τον ισχυρισμό του καταγγέλλοντος ότι κατά τις συνομιλίες του με τις εκπροσώπους του ΚΕΚ ΜΑΣΤΕΡ θεωρούσε ότι επικοινωνούσε με γραμματείς του ΟΑΕΔ […], σε συνδυασμό με το γεγονός ότι η αναρτημένη στις ιστοσελίδες του ΚΕΚ ΜΑΣΤΕΡ Πολιτική Προστασίας Δεδομένων δεν είναι εμφανής και εύκολα προσβάσιμη από την αρχική σελίδα www.master.com.gr (βρίσκεται στο κάτω μέρος της σελίδας www.masterkek.gr με τον αγγλόφωνο τίτλο “Privacy Policy”) φαίνεται ότι δεν ικανοποιούνται επαρκώς οι απαιτήσεις διαφάνειας των άρθρων 12 παρ. 1 και 13 ΓΚΠΔ, κατά τρόπο ώστε να θεωρείται ότι ο καταγγέλλων γνώριζε ήδη τις σχετικές πληροφορίες (κατ’ άρθρο 13 παρ. 4 ΓΚΠΔ) κατά την παροχή των δεδομένων του με το από … e-mail. Άλλωστε το ΚΕΚ ΜΑΣΤΕΡ δεν προσκόμισε κάποιο έγγραφο από το οποίο να προκύπτει ότι οι υπάλληλοι έχουν λάβει συγκεκριμένες οδηγίες ώστε να παρέχουν την απαιτούμενη ενημέρωση στους ενδιαφερόμενους που τηλεφωνούν ή να τους παραπέμπουν σε κατάλληλο κείμενο ενημέρωσης στην ιστοσελίδα του ή στην αντίστοιχη Πρόσκληση, κατά περίπτωση. Προκύπτει, επομένως, πλημμελής τήρηση της αρχής της διαφάνειας κατά την επεξεργασία δεδομένων εκ μέρους του ΚΕΚ ΜΑΣΤΕΡ ως υπεύθυνου επεξεργασίας, λόγω ασάφειας στην παρεχόμενη ενημέρωση, η οποία επέτεινε τη σύγχυση στην οποία βρισκόταν ο καταγγέλλων κατά τη μεταξύ τους επικοινωνία. […] Για τους παραπάνω λόγους, η Αρχή κρίνει σκόπιμο να απευθύνει, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. α’ του ΓΚΠΔ, προειδοποίηση στο ΚΕΚ ΜΑΣΤΕΡ, ώστε στο εξής να μεριμνά για την αποτελεσματικότερη και πληρέστερη τήρηση της αρχής της διαφάνειας, μέσω της ορθής, πλήρους και έγκαιρης ενημέρωσης των ενδιαφερομένων – υποψηφίων πελατών του, ως υποκειμένων προσωπικών δεδομένων, προβαίνοντας στις κατά την κρίση του απαραίτητες ενέργειες (λ.χ. εμφανής ανάρτηση στην αρχική σελίδα, παροχή κατάλληλων οδηγιών στους υπαλλήλους που απαντούν στο τηλέφωνο κ.λπ.).»
► Όσον αφορά το δεύτερο ΚΕΚ, η Αρχή παρατήρησε καταρχήν την προβολή αντιφατικών και αντικρουόμενων ισχυρισμών ενώπιόν της, γεγονός που στη συνέχεια αξιολογήθηκε και επιβαρυντικώς κατά τον υπολογισμό του επιβαλλόμενου προστίμου.
Σύμφωνα με την απόφαση:
«αρχικά με το Γ/ΕΙΣ/4273/28-06-2021 απαντητικό έγγραφό του, το ΚΕΚ ΕΞΕΛΙΞΗ υποστήριξε ότι συνέλεξε τα δεδομένα του καταγγέλλοντος έπειτα από αναζήτηση σε δημόσια προσβάσιμες πηγές στο διαδίκτυο […]. Στη συνέχεια όμως, με το Γ/ΕΙΣ/6137/27-09-2021 διευκρινιστικό έγγραφό του, το ΚΕΚ ΕΞΕΛΙΞΗ δεν επανέλαβε τους ίδιους ισχυρισμούς αλλά αντιθέτως υποστήριξε ότι ο καταγγέλλων παρείχε ο ίδιος στο ΚΕΚ τα στοιχεία του με την από … αίτησή του που υποβλήθηκε ηλεκτρονικά στην πλατφόρμα της ιστοσελίδας του ΚΕΚ και με νομική βάση τη συγκατάθεσή του ως υποκειμένου. Στο πλαίσιο της ακρόασης και με το υπόμνημά του, το ΚΕΚ ΕΞΕΛΙΞΗ διευκρίνισε ότι αρχικά υποβλήθηκε η εν λόγω αίτηση από τον καταγγέλλοντα ηλεκτρονικά και ότι στη συνέχεια οι υπεύθυνοι του ΚΕΚ «προχώρησαν σε αναζήτηση των στοιχείων της αίτησης στο διαδίκτυο προς επιβεβαίωση της εγκυρότητάς τους». Ο εν λόγω ισχυρισμός δεν φαίνεται πειστικός για τους εξής λόγους: α) το ΚΕΚ ΕΞΕΛΙΞΗ αναφέρει ότι στην τηλεφωνική επικοινωνία που είχε με τον καταγγέλλοντα στις … ο καταγγέλλων «τους έβρισε σκαιότατα» (επομένως είναι απίθανο να είχε υποβάλει ο ίδιος την αίτηση), β) η (αυθόρμητη) αρχική απάντηση που το ΚΕΚ ΕΞΕΛΙΞΗ έδωσε προς την Αρχή (βλ. Γ/ΕΙΣ/4273/28-06-2021 έγγραφο) ήταν ότι τα δεδομένα του καταγγέλλοντος είχαν συλλεγεί κατόπιν αναζήτησης στο διαδίκτυο, χωρίς οποιαδήποτε αναφορά στην από … ηλεκτρονική αίτηση, την οποία το ΚΕΚ ΕΞΕΛΙΞΗ επικαλέστηκε και προσκόμισε το πρώτον μετά την αποστολή του Γ/ΕΞΕ/2045/30-09-2021 εγγράφου της Αρχής για παροχή διευκρινίσεων, γ) ο καταγγέλλων αρνείται ότι απέστειλε αυτή την αίτηση, δ) από τα προσκομισθέντα έγγραφα δεν αποδεικνύεται ότι ο καταγγέλλων ήταν αυτός που συμπλήρωσε την εν λόγω αίτηση, αφού οποιοσδήποτε θα μπορούσε να την έχει συμπληρώσει στις …, ε) τέλος, το γεγονός ότι τα στοιχεία που περιλαμβάνονται σε μια ηλεκτρονική αίτηση αντιστοιχούν σε πραγματικό φυσικό πρόσωπο δεν αποτελεί επιβεβαίωση της εγκυρότητας υποβολής της, επομένως η διαδικασία αναζήτησης των στοιχείων του εκάστοτε αιτούντος στο διαδίκτυο, την οποία το ΚΕΚ ισχυρίζεται ότι είναι «υποχρεωμένο» να ακολουθεί και ακολουθεί κάθε φορά, δεν είναι πρόσφορη για το σκοπό αυτό.»
Περαιτέρω, η Αρχή διαπίστωσε τη μη τεκμηρίωση της νομιμότητας της επεξεργασίας, καθώς και την απουσία της οποιασδήποτε ενημέρωσης προς τον καταγγέλλοντα, ως προς την επεξεργασία των δεδομένων του. Σύμφωνα με την απόφαση, «η περιλαμβανόμενη στην ηλεκτρονική αίτηση ενημέρωση για την επεξεργασία προσωπικών δεδομένων δεν πληροί τις προϋποθέσεις των άρθρων 12 παρ. 1 και 13 ΓΚΠΔ, αφού παραλείπονται μια σειρά από αναγκαίες πληροφορίες όπως το χρονικό διάστημα αποθήκευσης και η ύπαρξη των δικαιωμάτων του υποκειμένου κατά τον ΓΚΠΔ (άρθρο 13 παρ. 2 ΓΚΠΔ). Έτσι, ακόμα και αν υποτεθεί ότι πράγματι υποβλήθηκε η σχετική αίτηση από τον καταγγέλλοντα, η παρεχόμενη με τον τρόπο αυτό δήλωση συγκατάθεσης δεν πληροί τις προϋποθέσεις εγκυρότητας του άρθρου 7 ΓΚΠΔ, διότι α) δεν παρέχεται «εν επιγνώσει» (βλ. Σκ. 42 Προοιμίου του ΓΚΠΔ) ελλείψει ορθής ενημέρωσης, β) δεν παρέχεται διακριτά από τα λοιπά θέματα που αφορά η «Αίτηση – Φόρμα Υποβολής Στοιχείων για Συμμετοχή στην Κοινωφελή» και γ) εκ μέρους του υπεύθυνου επεξεργασίας δεν φαίνεται να ακολουθείται οποιαδήποτε διαδικασία επιβεβαίωσης της ορθότητας των δηλούμενων στοιχείων (διεύθυνση e-mail και τηλέφωνο).»
Ιδιαίτερο ενδιαφέρον παρουσιάζει η ειδική αναφορά της Αρχής στην προσπάθεια του καταγγελλόμενου να τεκμηριώσει τη νομιμότητα της επεξεργασίας δια της αναζήτησης στοιχείων του καταγγέλλοντος από το διαδίκτυο και προσκόμισης των αποτελεσμάτων στην Αρχή, ακόμη και αμέσως μετά την ακρόαση.
Όπως παρατηρείται στην απόφαση:
«Συνεπώς δεν τεκμηριώθηκε η νομιμότητα της επεξεργασίας των δεδομένων του καταγγέλλοντος και ιδίως της αναζήτησης των στοιχείων του στο διαδίκτυο, τόσο κατά το χρόνο των καταγγελλόμενων πραγματικών περιστατικών όσο και κατά το χρόνο εξέτασης της καταγγελίας, αλλά και κατά την ημέρα της ακρόασης: η εν λόγω πράξη επεξεργασίας δεν μπορεί να θεωρηθεί νόμιμη, διότι παραβιάζει την αρχή της αναλογικότητας της επεξεργασίας. Ειδικότερα, η αναζήτηση πληροφοριών σχετικά με τον καταγγέλλοντα στο διαδίκτυο δεν είναι αναγκαία και πρόσφορη για τη διαπίστωση της εγκυρότητας της αίτησής του, όπως υποστήριξε το ΚΕΚ ΕΞΕΛΙΞΗ, ενώ η εκ νέου αναζήτηση των στοιχείων του καταγγέλλοντος στο διαδίκτυο και η προσκόμιση των αποτελεσμάτων αναζήτησης στην Αρχή, δεν είναι αναγκαία ούτε πρόσφορη προκειμένου να τεκμηριωθεί στο πλαίσιο της αρχής λογοδοσίας η νομιμότητα των καταγγελλόμενων πράξεων επεξεργασίας εκ μέρους του. Τα δε προσκομιζόμενα από το ΚΕΚ ΕΞΕΛΙΞΗ στοιχεία υπ’ αρ. 4 («πληθώρα προσωπικών στοιχείων και αναφορών» όπως αναφέρει το ΚΕΚ, και ειδικότερα, αποτελέσματα αναζήτησης του ονοματεπωνύμου του καταγγέλλοντος στη μηχανή Google, άρθρα που υπογράφει ο καταγγέλλων, το βιογραφικό του και άλλες πληροφορίες όπως η υποψηφιότητά του ως βουλευτή με συγκεκριμένο πολιτικό κόμμα, που αποκαλύπτει τις πολιτικές του πεποιθήσεις και αποτελεί δεδομένο ειδικής κατηγορίας σύμφωνα με το άρθρο 9 ΓΚΠΔ), όχι μόνο δεν ενισχύουν τη θέση του αλλά αντίθετα την επιβαρύνουν, διότι στο πλαίσιο εξέτασης της υπό κρίση καταγγελίας, το ΚΕΚ ΕΞΕΛΙΞΗ προέβη σε περαιτέρω εκτεταμένη επεξεργασία των δεδομένων του καταγγέλλοντος, ακόμα και αμέσως μετά την ακρόαση, χωρίς αυτή η επεξεργασία να είναι αναγκαία και χωρίς να μπορεί να στηριχθεί σε οποιαδήποτε νομική βάση.»
Κατόπιν των ανωτέρω, από τα στοιχεία του φακέλου και κατόπιν της ακροαματικής διαδικασίας, η Αρχή διαπίστωσε την παράβαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας (άρθρο 5 παρ. 1 α’ ΓΚΠΔ) λόγω της έλλειψης νόμιμης βάσης επεξεργασίας των δεδομένων του καταγγέλλοντος, σύμφωνα με το άρθρο 6 ΓΚΠΔ, και λόγω της απουσίας ενημέρωσης του καταγγέλλοντος σύμφωνα με το άρθρο 13 ΓΚΠΔ για τις πράξεις επεξεργασίας δεδομένων στις οποίες προέβη.
Με βάση τα ανωτέρω, η Αρχή:
► Απέρριψε την καταγγελία ως προς τον καταγγελλόμενο ΟΑΕΔ, ως αβάσιμη.
► Απεύθυνε στο πρώτο ΚΕΚ προειδοποίηση ώστε στο εξής να μεριμνά για την αποτελεσματικότερη και πληρέστερη τήρηση της αρχής της διαφάνειας, μέσω της ορθής, πλήρους και έγκαιρης ενημέρωσης των υποψήφιων πελατών της, ως υποκειμένων προσωπικών δεδομένων, προβαίνοντας στις κατά την κρίση της απαραίτητες ενέργειες.
► Επέβαλε στο δεύτερο ΚΕΚ διοικητικό πρόστιμο ύψους δέκα χιλιάδων (10.000 €) ευρώ για την διαπιστωθείσα παράνομη και αδιαφανή επεξεργασία των δεδομένων προσωπικού χαρακτήρα του καταγγέλλοντος.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου