“Καμπάνα” 60.000 ευρώ σε εταιρεία κούριερ: Παραβίασε το δικαίωμα πρόσβασης και διαγραφής προσωπικών δεδομένων παραλήπτη

Στην επιβολή κυρώσεων ύψους 60.000 ευρώ προχώρησε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κατά εταιρείας κούριερ, για παραβίαση του δικαιώματος πρόσβασης σε προσωπικά δεδομένα που τηρούσε για παραλήπτη, αλλά και του δικαιώματος διαγραφής αυτών.

Σύμφωνα με την εξέταση της καταγγελίας που δέχθηκε η Αρχή γνωστή εταιρεία κούριερ, ενεργούσα ως υπεύθυνος επεξεργασίας δεδομένων για το σκοπό της μεταφοράς και παράδοσης δεμάτων, έχει αναθέσει σε συνεργαζόμενη με αυτήν επιχείρηση την …, ως εκτελούσα την επεξεργασία, την παράδοση των αποστολών σε σημεία επιλογής του εκάστοτε παραλήπτη, από ένα δίκτυο συνεργαζόμενων καταστημάτων (σημεία “Clever Point”, «έξυπνης», δηλ. ευέλικτης παράδοσης) και την ενημέρωση του πληροφοριακού συστήματος διαχείρισης αποστολών με την καταχώρηση των πληροφοριών παράδοσης από τους συνεργάτες.

Ο καταγγέλλων είναι ο παραλήπτης ενός δέματος που εστάλη από τη Γερμανία τον … μέσω της καταγγελλόμενης εταιρείας ταχυμεταφορών. Στις …, καθώς δεν κατέστη εφικτή η παράδοση του δέματος στη διεύθυνση που είχε δηλώσει ο καταγγέλλων, σε σχετική τηλεφωνική επικοινωνία του με τους εκπροσώπους της καταγγελλόμενης, του δόθηκε η δυνατότητα να επιλέξει την παραλαβή από Clever Point, όπως και έπραξε, επιλέγοντας το επιθυμητό σημείο παραλαβής στο … . Σημειώνεται ότι με διευκρινιστικό της έγγραφο η εταιρεία κούριερ ανέφερε ότι ο καταγγέλλων ζήτησε να παραλάβει το δέμα του από σημείο Clever Point στις … τηλεφωνικά («επικοινώνησε με το τμήμα εξυπηρέτησης της εταιρείας μας») αφού το δέμα επεστράφη αρχικά ως ανεπίδοτο, ωστόσο δεν προκύπτει οποιαδήποτε προηγούμενη ενημέρωση του καταγγέλλοντος ως υποκειμένου για την επεξεργασία που συνεπάγεται αυτή η επιλογή (διαβίβαση σε αποδέκτη/εκτελούντα την επεξεργασία).

eurokinissi

Σύμφωνα με την καταγγελία, κατά την παράδοση του δέματος στον καταγγέλλοντα σε σημείο έξυπνης παραλαβής (“Clever Point”) στο …, ο συνεργάτης της εταιρείας ζήτησε να καταχωρήσει στο σύστημα στον υπολογιστή του τον αριθμό της αστυνομικής ταυτότητας του καταγγέλλοντος ως παραλήπτη. Λόγω άρνησης του καταγγέλλοντος να δώσει τον αριθμό αυτό, ο υπάλληλος έλαβε και καταχώρησε, σύμφωνα με την καταγγελία, τον αριθμό της επαγγελματικής ταυτότητας του καταγγέλλοντος.

Τα αιτήματα προς την εταιρεία

Ακολούθως, σύμφωνα με την καταγγελία, στις … ο καταγγέλλων ζήτησε από την εταιρεία κούριερ μέσω ηλεκτρονικού μηνύματος να πληροφορηθεί σε ποιο σύστημα έγινε η εισαγωγή των στοιχείων του καθώς και ποια άλλα προσωπικά του δεδομένα περιλαμβάνονται στο εν λόγω σύστημα, είτε με ελληνικούς είτε με λατινικούς χαρακτήρες, είτε από την τελευταία είτε από προηγούμενες αποστολές. Τέλος, όπως αναφέρει ο καταγγέλλων, ζήτησε να διαγραφούν οριστικά τα δεδομένα του και να του σταλεί σχετική επιβεβαίωση. Σύμφωνα δε με την καταγγελία, το αίτημα του καταγγέλλοντος δεν ικανοποιήθηκε και ο καταγγέλλων επανέλαβε τα αιτήματά του με νέο ηλεκτρονικό μήνυμα στην ίδια διεύθυνση στις…

Σε έγγραφό του προς την Αρχή, μετά και τις απαντήσεις που δόθηκαν από την εταιρεία, ο καταγγέλλων ανέφερε τα εξής:

• ότι κατά την παραλαβή του δέματος επέδειξε κανονικά την ταυτότητά του και εναντιώθηκε μόνο στην καταχώριση των στοιχείων του στη βάση δεδομένων του συνεργάτη της εταιρείας,
• ότι ζήτησε πρόσβαση στα δεδομένα του όχι μόνο από τη συγκεκριμένη αποστολή αλλά γενικότερα στο σύστημα της καταγγελλόμενης, αίτημα που δεν ικανοποιήθηκε. Επισημαίνει δε ότι αυτό που εννοεί η εταιρεία ως αντίγραφο των δεδομένων που ο ίδιος είχε παραλάβει, είναι το αποδεικτικό voucherτης συγκεκριμένης αποστολής. Ποτέ όμως δεν του έδωσαν αντίγραφο του συνόλου των προσωπικών δεδομένων του που τηρούνται στη βάση της γενικότερα (αφού για να εκτυπωθεί το έντυπο φορτωτικής, τα στοιχεία του καταχωρήθηκαν ηλεκτρονικά στα αρχεία της),
• ότι δεν τον ενημέρωσαν για τα στοιχεία της συνεργαζόμενης επιχείρησης με την εταιρεία κούριερ, καθώς δεν του γνωστοποίησαν ούτε τη διεύθυνσή της ούτε τα τηλέφωνά της, ώστε να μπορέσει να ασκήσει προς αυτή το δικαίωμα πρόσβασης, ούτε επικοινώνησε μαζί του κάποιος από την εταιρεία αυτή και
• ότι κανείς δεν ενημέρωσε τον ίδιο εάν τα δεδομένα του είχαν διαγραφεί, ότι δεν γνωρίζει την αλληλογραφία μεταξύ των δύο εταιρειών, δεν τον ενημέρωσαν για το σχετικό αίτημα διαγραφής από την συνεργαζόμενη επιχείρηση, ούτε επιβεβαίωσαν προς τον ίδιο τη διαγραφή των δεδομένων του από τα συστήματα της εταιρείας κούριερ.

Η απόφαση της Αρχής για τα προσωπικά δεδομένα

Όπως αναφέρει η Αρχή διαπιστώνεται ότι οι πληροφορίες σχετικά με τους αποδέκτες είναι γενικές και αόριστες, ενώ δεν γίνεται καμία αναφορά στην συνεργαζόμενη επιχείρηση ως πιθανό αποδέκτη, ούτε ως κατηγορία αποδέκτη. Παράλληλα, σημειώνει πως δόθηκαν εσφαλμένες, ασαφείς και αντιφατικές εξηγήσεις εκ μέρους της καταγγελλόμενης εταιρείας.

Για το λόγο αυτό αναφέρεται πως «από τα στοιχεία του φακέλου και κατόπιν της ακροαματικής διαδικασίας, η Αρχή διαπιστώνει εκ μέρους της καταγγελλόμενης εταιρείας:

α) παράβαση του κατ’ άρθρο 15 ΓΚΠΔ δικαιώματος πρόσβασης του καταγγέλλοντος στα προσωπικά δεδομένα του, διότι η καταγγελλόμενη δεν ανταποκρίθηκε προσηκόντως και με την απαιτούμενη διαφάνεια στο αίτημα του καταγγέλλοντος, καθώς δεν χορήγησε στον καταγγέλλοντα τις ζητηθείσες πληροφορίες αναφορικά με τα προσωπικά δεδομένα του που επεξεργάζεται και δεν του χορήγησε οποιαδήποτε πληροφορία σχετικά με την εταιρεία Clever Services ως αποδέκτη των δεδομένων του

β) παράβαση του κατ’ άρθρο 17 ΓΚΠΔ δικαιώματος διαγραφής των προσωπικών δεδομένων του καταγγέλλοντος, σε συνδυασμό με την κατ’ άρθρο 5 παρ. 2 ΓΚΠΔ αρχή της λογοδοσίας, διότι η καταγγελλόμενη δεν έδωσε οποιαδήποτε οριστική απάντηση στο αίτημα διαγραφής του καταγγέλλοντος, ενώ δεν τεκμηρίωσε προς την Αρχή τη νομιμότητα των ενεργειών της σε συνάρτηση με την ακολουθούμενη εκ μέρους της Πολιτική Διατήρησης και Διαγραφής Δεδομένων». Και επιβάλλει πρόστιμο 30.000 ευρώ για κάθε μία από τις δύο παραβάσεις.

Ακολουθήστε το dikastiko.gr στο Google News και δείτε πρώτοι όλες τις ειδήσεις

Διαβάστε όλες τις τελευταίες ειδήσεις από την Ελλάδα και τον Κόσμο στο dikastiko.gr