Πρόστιμα 400.000 ευρώ στον ΟΤΕ για παραβιάσεις της νομοθεσίας περί προστασίας δεδομένων

Η Αρχή έγινε αποδέκτης καταγγελιών φυσικών προσώπων συνδρομητών τηλεφωνίας του ΟΤΕ οι οποίοι, αν και είχαν εγγραφεί στο μητρώο αντιρρήσεων («opt-out») του άρθρου 11 του ν. 3471/2006 του παρόχου τους

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

ΔΕΛΤΙΟ ΤΥΠΟΥ

Επιβολή διοικητικών προστίμων σε εταιρεία παροχής υπηρεσιών τηλεφωνίας

1) Επιβολή προστίμου για παραβίαση της αρχής της ακρίβειας και της προστασίας των δεδομένων ήδη από τον σχεδιασμό κατά την τήρηση προσωπικών δεδομένων συνδρομητών

Η Αρχή έγινε αποδέκτης καταγγελιών φυσικών προσώπων συνδρομητών τηλεφωνίας του ΟΤΕ οι οποίοι, αν και είχαν εγγραφεί στο μητρώο αντιρρήσεων («opt-out») του άρθρου 11 του ν. 3471/2006 του παρόχου τους, είχαν λάβει τηλεφωνικές κλήσεις από τρίτες εταιρείες για σκοπούς προώθησης προϊόντων και υπηρεσιών.

Όπως διαπιστώθηκε κατά τη διερεύνηση της υπόθεσης, οι εν λόγω συνδρομητές είχαν υποβάλει αίτημα φορητότητας για τη μεταφορά της τηλεφωνικής τους σύνδεσης σε άλλο πάροχο.

Στο πλαίσιο της ενέργειας αυτής, ο ΟΤΕ διέγραψε τα στοιχεία τους από το μητρώο. Ωστόσο, όταν οι συγκεκριμένοι συνδρομητές ακύρωσαν το αίτημα φορητότητας, δεν υπήρχε ορθή διαδικασία για την ακύρωση της διαγραφής τους.

Οι συνδρομητές εμφανίζονταν μεν ως εγγεγραμμένοι στο μητρώο στην εσωτερική εφαρμογή πελατειακών σχέσεων, αλλά οι τηλεφωνικοί αριθμοί τους δεν περιλαμβάνονταν στο μητρώο που έστελνε ο ΟΤΕ στις διαφημιζόμενες εταιρείες, αφού τα δύο συστήματα λόγω του σφάλματος στη διασύνδεσή τους δεν είχαν το ίδιο περιεχόμενο.

Η Αρχή, εξετάζοντας την υπόθεση, διαπίστωσε ότι το περιστατικό αυτό επηρέασε μεγάλο αριθμό φυσικών προσώπων συνδρομητών, καθώς υπήρξε παράβαση του άρθρου 25 (προστασία των δεδομένων ήδη από τον σχεδιασμό) και του άρθρου 5 παρ. 1 γ’ (αρχή της ακρίβειας) του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ). Για τον λόγο αυτόν, επέβαλε διοικητικό πρόστιμο ύψους 200.000 ευρώ, με βάση τα κριτήρια του άρθρου 83 παρ. 2 του Κανονισμού.

Η απόφαση 31/2019 είναι διαθέσιμη στο www.dpa.gr

2) Επιβολή προστίμου για μη ικανοποίηση του δικαιώματος εναντίωσης και παραβίαση της αρχής της προστασίας των δεδομένων ήδη από τον σχεδιασμό κατά την τήρηση προσωπικών δεδομένων συνδρομητών

Σε διαφορετική περίπτωση, η Αρχή έγινε αποδέκτης καταγγελιών από παραλήπτες μηνυμάτων διαφημιστικού περιεχομένου του ΟΤΕ σχετικά με τη μη δυνατότητα διαγραφής τους από τη λίστα αποδεκτών μηνυμάτων διαφημιστικού περιεχομένου.

Κατά την εξέταση των καταγγελιών προέκυψε ότι από το 2013 και μετά, λόγω τεχνικού σφάλματος, δεν λειτουργούσε η διαγραφή από τις λίστες αποδεκτών των μηνυμάτων διαφημιστικού περιεχομένου για όσους παραλήπτες ασκούσαν το δικαίωμα αυτό μέσω του συνδέσμου “unsubscribe”. O ΟΤΕ δεν διέθετε το κατάλληλο οργανωτικό μέτρο, δηλαδή καθορισμένη διαδικασία μέσω της οποίας να εντοπίζει ότι το δικαίωμα εναντίωσης του υποκειμένου δεν μπορούσε να ικανοποιηθεί.

Στη συνέχεια ο ΟΤΕ διόρθωσε το σφάλμα μόλις αυτό έγινε αντιληπτό μετά την παρέμβαση της Αρχής και προέβη στη διαγραφή 8.000 περίπου προσώπων από τις λίστες αποδεκτών των μηνυμάτων, οι οποίοι είχαν ανεπιτυχώς προσπαθήσει να διαγραφούν από το 2013 και μετά.

Η Αρχή διαπίστωσε παράβαση του δικαιώματος εναντίωσης του υποκειμένου στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης (άρθρο 21 παρ. 3 του ΓΚΠΔ) καθώς και του άρθρου 25 (προστασία των δεδομένων ήδη από το σχεδιασμό) του ΓΚΠΔ και επέβαλε διοικητικό πρόστιμο ύψους 200.000 ευρώ, με βάση τα κριτήρια του άρθρου 83 παρ. 2 του Κανονισμού.

Η απόφαση 34/2019 είναι διαθέσιμη στο www.dpa.gr

Διευκρινίσεις από τον ΟΤΕ αναφορικά με τις αποφάσεις

“Σχετικά με τις αποφάσεις της ΑΠΔΠΧ διευκρινίζεται ότι και στις δύο περιπτώσεις επρόκειτο για συστημικό πρόβλημα, που αφορούσε πολύ περιορισμένες κατηγορίες συνδρομητών κι έχει επιλυθεί.

Στη μια περίπτωση επηρεάστηκαν συνδρομητές που έκαναν ακύρωση αιτήματος φορητότητας και το σύστημα δεν τους επανέντασσε αυτόματα στο Μητρώο του αρ. 11 και στη δεύτερη, συνδρομητές που δεν μπόρεσαν να εξαιρεθούν ηλεκτρονικά από την παραλαβή newsletter.

Όπως σημειώνεται και στις σχετικές αποφάσεις: «η Αρχή δέχεται ότι το συμβάν δεν οφείλεται σε δόλο του υπευθύνου επεξεργασίας και ότι μόλις ο υπεύθυνος επεξεργασίας το πληροφορήθηκε από την Αρχή ενήργησε για την επανόρθωση της παράβασης, συνεργαζόμενος μαζί της».

Για τον Όμιλο ΟΤΕ, ο σεβασμός στην ιδιωτικότητα αποτελεί ύψιστη προτεραιότητα.”

www.lawspot.gr