Νέα
2310566767

Νέα

cyber

Η Αρχή εξέτασε καταγγελία κατά δύο υπευθύνων επεξεργασίας, για μη ικανοποίηση του δικαιώματος πρόσβασης καταναλωτή σε αλληλογραφία μεταξύ τους. Ο καταγγέλλων έπειτα από επιστροφή προϊόντος ζήτησε από το κατάστημα μέσω facebook-messenger να του κοινοποιηθεί το αίτημα αποχρέωσης των δόσεων της πιστωτικής του κάρτας, που είχε σταλεί ηλεκτρονικά προς την τράπεζα.
Ο υπεύθυνος επεξεργασίας αρνήθηκε να το ικανοποιήσει και στη συνέχεια ο καταγγέλλων άσκησε το ίδιο δικαίωμα προς την τράπεζα, η οποία δεν του έδωσε καμία απάντηση. Η Αρχή επέβαλε σε κάθε υπεύθυνο επεξεργασίας διοικητικό πρόστιμο 20.000 ευρώ για μη ικανοποίηση του δικαιώματος πρόσβασης.

Το ιστορικό της Απόφασης της Αρχής

Σύμφωνα με την απόφαση της Αρχής, ο καταγγέλλων, έπειτα από επιστροφή προϊόντος που είχε αγοράσει από την Εταιρία με δόσεις στην πιστωτική του κάρτα, εκδοθείσα από την Τράπεζα, και αφού διαπίστωσε ότι οι δόσεις εξακολούθησαν να χρεώνονται κάθε μήνα και να πιστώνονται τον επόμενο, διαμαρτυρήθηκε σχετικά στην Εταιρία και σε επικοινωνία που είχε με τους εκπροσώπους της μέσω facebook, πληροφορήθηκε ότι έχει υποβληθεί αίτημα ωρίμανσης των δόσεων προς την Τράπεζα. Κατόπιν αυτού, σύμφωνα με την καταγγελία, στις 26/6/2020 ο καταγγέλλων ζήτησε να του κοινοποιηθεί το αίτημα της Εταιρίας προς την Τράπεζα σχετικά με την αποχρέωση των δόσεων της πιστωτικής του κάρτας. Η απάντηση των εκπροσώπων της Εταιρίας ήταν αρνητική, με την αιτιολογία ότι «η επικοινωνία που έχει πραγματοποιηθεί με την τράπεζα συνιστά εσωτερική επικοινωνία και δεν υπάρχει η δυνατότητα κοινοποίησής της»

Από το περιεχόμενο της εν λόγω αίτησης προκύπτει ότι ο καταγγέλλων αιτήθηκε «να ενημερωθεί για το αν υπάρχει αίτημα από την εταιρία Κωτσόβολος/Dixons που να αφορά την ωρίμανση των δόσεων και αποδέσμευση του ποσού από την πιστωτική μου κάρτα για προϊόν που έχει επιστραφεί στην εταιρία. Η εταιρία ισχυρίζεται ότι το αίτημα έχει υποβληθεί στην Εθνική Τράπεζα 22/6 και ότι έχει λάβει επιβεβαίωση παραλαβής του αιτήματος από την τράπεζα στις 23/6».

Η από μέρους του καταγγέλλοντος αίτηση προς την Τράπεζα προς επιβεβαίωση ή μη της ύπαρξης των εν λόγω αιτημάτων που διακινήθηκαν μέσω ηλεκτρονικής αλληλογραφίας και περιελάμβαναν προσωπικά του δεδομένα, σύμφωνα με όσα προεκτέθηκαν αναλυτικά σε σχέση τόσο με την Εταιρία όσο και με την Τράπεζα, συνιστά αίτημα πρόσβασης σε προσωπικά δεδομένα του ιδίου κατ’ αρ. 15 παρ. 1 ΓΚΠΔ, χωρίς να απαιτείται, όπως ομοίως προεκτέθηκε, να περιβληθεί συγκεκριμένο τύπο ή να ασκηθεί με πανηγυρικό τρόπο, ούτε όμως να περιλαμβάνει τους λόγους για τους οποίους το υποκείμενο των δεδομένων ασκεί το δικαίωμα πρόσβασης (ΑΠΔ 16/2017 σκ. 3) .

Επιπλέον, με το άρθρο 15 παρ. 1 ΓΚΠΔ, η ελεγχόμενη Τράπεζα, ως υπεύθυνος επεξεργασίας των προσωπικών δεδομένων του καταγγέλλοντος στο πλαίσιο παραλαβής της ηλεκτρονικής αλληλογραφίας που απεστάλη από την Εταιρία κατά τα προεκτεθέντα, προκειμένου να διευθετηθεί το ζήτημα που αφορούσε τη χρέωση της πιστωτικής κάρτας του καταγγέλλοντος, την ωρίμανση των δόσεων και την αποχρέωσή τους, προέβη σε αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων και επομένως είχε την υποχρέωση, να απαντήσει σε κάθε περίπτωση, έστω και αρνητικά στο αίτημα του καταγγέλλοντος (σχετικά βλ. ΣτΕ 2627/2017, ΑΠΔΠΧ 15/2021).

Επομένως, η Αρχή έκρινε ότι, ενώ η Τράπεζα είχε την ιδιότητα του υπευθύνου επεξεργασίας και αυτοματοποιημένα επεξεργαζόταν προσωπικά δεδομένα του καταγγέλλοντος στο πλαίσιο του ανωτέρω αιτήματός του, απέτυχε να το αξιολογήσει ορθά ως αίτημα πρόσβασης κατ’ αρ. 15 ΓΚΠΔ και συνακόλουθα, αφενός, δεν παρείχε απάντηση, έστω και αρνητική, αφετέρου, δεν ικανοποίησε το νόμιμο αίτημα του καταγγέλλοντος ως όφειλε.

Στο πλαίσιο αυτό, η Αρχή προχώρησε στην επιβολή διοικητικού προστίμου ύψους 20.000 ευρώ σε καθέναν από τους υπεύθυνους επεξεργασίας.

Δείτε αναλυτικά την απόφαση της Αρχής Προστασίας Προσωπικών Δεδομένων :
https://www.dpa.gr/sites/default/files/2021-09/36_2021anonym.pdf