Πρόσφατη νομολογία


18 Ιαν 2023

ΑΠΔΠΧ 2/2023: Επιβολή προστίμου στην εταιρεία Intellexa για μη συνεργασία με την ΑΠΔΠΧ

Η ΑΠΔΠΧ διερευνά περιπτώσεις εγκατάστασης λογισμικού παρακολούθησης σε τερματικές συσκευές κινητής τηλεφωνίας χρηστών, με σκοπό την εν αγνοία τους παρακολούθηση, καθώς και τη συνακόλουθη συλλογή και επεξεργασία των προσωπικών δεδομένων τα οποία συλλέγονται από τέτοιο λογισμικό. Για τον σκοπό αυτό βρίσκεται σε εξέλιξη διοικητικός έλεγχος στην εταιρεία Intellexa Α.Ε. η οποία άλλωστε, όπως επίσης επιβεβαιώνεται από τους σκοπούς οι οποίοι αναφέρονται στο καταστατικό της, μπορεί να ενεργεί είτε ως υπεύθυνος επεξεργασίας είτε ως εκτελών την επεξεργασία σε σχέση με τις διερευνώμενες δραστηριότητες. Η Αρχή διαπιστώνει ότι η Intellexa Α.Ε. έχει καθυστερήσει αδικαιολόγητα να ανταποκριθεί στα αιτήματά της και δεν έχει παράσχει πληροφορίες οι οποίες βρίσκονται στην κατοχή της και ζητήθηκαν από την Αρχή. Συγκεκριμένα: α) Η εταιρεία καθυστέρησε υπερβολικά να απαντήσει στα ερωτήματα της Αρχής και ανταποκρίθηκε μετά από επανειλημμένες υπομνήσεις της ομάδας ελέγχου και μετά την πάροδο χρονικού διαστήματος πλέον των σαράντα (40) ημερών, μόνον αφού παρέλαβε την κλήση της σε ακρόαση ενώπιον της Αρχής. Το χρονικό διάστημα αυτό δεν μπορεί να θεωρηθεί σε καμία περίπτωση ως εύλογο. Η θέση της εταιρείας, σύμφωνα με την οποία καταβλήθηκε κάθε προσπάθεια συνεργασίας με την Αρχή, προβάλλεται αναπόδεικτα και πάντως δεν δικαιολογείται τόσο μεγάλη καθυστέρηση. Αντίθετα, από τις ενέργειες της εταιρείας προκύπτει ότι οι διαβεβαιώσεις της περί συνεργασίας και αποστολής των εγγράφων υπήρξαν αποκλειστικά ρηματικές. Αρκεί να αναφερθεί ότι η εταιρεία δήλωσε εγγράφως στις 21.10.2022 ότι αναμένει να υποβάλει τις απαντήσεις «στις αρχές της επόμενης εβδομάδας» ενώ τελικά κατέθεσε τις απαντήσεις της μετά την πάροδο τεσσάρων εβδομάδων. β) Η εταιρεία παρά τις επανειλημμένες οχλήσεις, δεν παρείχε συγκεκριμένα στοιχεία τα οποία ζήτησε η Αρχή και τα οποία αφορούν ερωτήσεις αναφορικά προς τα οικονομικά στοιχεία και τα στοιχεία συμβάσεων σε σχέση με τις δραστηριότητές της (Ερωτήσεις 11 και 15). Ειδικότερα, αντί της παροχής των αιτηθέντων στοιχείων, παρέπεμψε στα στοιχεία τα οποία είχε χορηγήσει προς την ΕΑΔ στο πλαίσιο διαφορετικού διοικητικού ελέγχου που διενεργήθηκε από την τελευταία. Επισημαίνεται συγκεκριμένα ότι αντί της παροχής των στοιχείων, η εταιρεία υποστήριξε τα εξής: «Επαναλαμβάνουμε την προσδοκία μας ότι οι αρμόδιες αρχές στην Ελλάδα θα πρέπει να ενεργούν συντονισμένα και με συνέπεια». Η αντίληψη που διατυπώνεται από την εταιρεία στο σημείο αυτό παραγνωρίζει πλήρως την αυτοτέλεια των διαδικασιών ελέγχου που διεξάγονται από την Αρχή, η οποία είναι άμεση συνέπεια της ίδιας της κατοχύρωσης της ανεξαρτησίας της τόσο σε επίπεδο συνταγματικών κανόνων, όσο και στο επίπεδο κανόνων δικαίου ΕΕ, συναρτάται δε με την αποτελεσματική άσκηση των καθηκόντων της στο πλαίσιο του καταστατικού σκοπού της προστασίας των δεδομένων προσωπικού χαρακτήρα. Ενόψει τούτων και λαμβανομένου υπόψη του διαφορετικού σκοπού που επιδιώκεται σε έκαστη των περιπτώσεων διενέργειας ελέγχου, δεν τίθεται θέμα διοικητικού συντονισμού κατά την έννοια που υπονοείται από την εταιρεία. Πέραν τούτων, παρότι η εταιρεία κατά τον έλεγχο είχε αναφέρει ότι οι απαντήσεις προς την ΕΑΔ ήταν άμεσα διαθέσιμες και θα αποστέλλονταν άμεσα στην Αρχή, αυτό ουδέποτε συνέβη. Άλλωστε, τα στοιχεία που η Intellexa A.E. παρείχε στην ΕΑΔ αφορούν περιορισμένο χρονικό διάστημα και μόνο σε σχέση με τις σχέσεις δημοσίων υπηρεσιών μαζί της. Κατ' αποτέλεσμα, συνιστούν μικρό μόλις υποσύνολο αυτών που ζήτησε η Αρχή. Σε κάθε περίπτωση, η εταιρεία είχε, αδιαμφισβήτητα, στην κατοχή της τα εν λόγω αιτηθέντα από την Αρχή στοιχεία και επέλεξε να μην τα χορηγήσει στην Αρχή. Από τις παραπάνω διαπιστώσεις προκύπτει ότι η εταιρεία Intellexa Α.Ε. έχει κατ’ επιλογή παραβιάσει την υποχρέωση συνεργασίας με την εποπτική αρχή του άρθρου 31 του ΓΚΠΔ. Η Αρχή λαμβάνει επίσης υπόψη ότι η φύση και η βαρύτητα της παράβασης είναι ιδιαίτερα σοβαρή. Η διαπιστωθείσα παράβαση περιλαμβάνεται σε αυτές τουάρθρου 83 παρ. 4 του ΓΚΠΔ (παραβάσεις με μέγιστο ύψος 10.000.000 ευρώ) και αφορά τις διερευνώμενες δραστηριότητες επεξεργασίας προσωπικών δεδομένων της εταιρείας, από το έτος 2019 έως και το 2022, οι οποίες σχετίζονται με την παραγωγή, την υποστήριξη και τη λειτουργία λύσεων λογισμικού/υλικού για επεξεργασία πάσης φύσης προσωπικών δεδομένων, μη εξαιρουμένων ειδικών κατηγοριών προσωπικών δεδομένων. Περαιτέρω, η εταιρεία έχει πλήρη γνώση του θεσμικού πλαισίου και επιλέγει να μην συνεργαστεί. Λαμβάνεται επίσης υπόψη ο ετήσιος κύκλος εργασιών της Intellexa Α.Ε. για το 2021, όπως προκύπτει από τα στοιχεία του ΓΕΜΗ. Βάσει των ανωτέρω και με την επιφύλαξη άσκησης των αρμοδιοτήτων της κατά τον ΓΚΠΔ βάσει των αποτελεσμάτων του ελέγχου που διενεργείται, η Αρχή κρίνει ομόφωνα ότι, εν όψει της παράβασης που διαπιστώθηκε και λαμβάνοντας υπόψη τα παραπάνω στοιχεία, συντρέχουν οι προϋποθέσεις επιβολής σε βάρος της εταιρείας της διοικητικής κύρωσης προστίμου ύψους πενήντα χιλιάδων (50.000,00) ευρώ, με βάση το άρθρο 58 παρ. 2 εδ. θ’ ΓΚΠΔ, η οποία κρίνεται αποτελεσματική, αναλογική και αποτρεπτική. Για την επιμέτρηση, η Αρχή λαμβάνει υπόψη τα κριτήρια του άρθρου 83 παρ. 2 του ΓΚΠΔ, με βάση τις κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του κανονισμού 2016/679 που εκδόθηκαν από την Ο.Ε. του άρθρου 29 και έχουν υιοθετηθεί από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Επιπλέον, η Αρχή κρίνει ομόφωνα ότι πρέπει, επιπλέον του προστίμου, να δώσει εντολή στην Intellexa Α.Ε., με βάση το άρθρο 15 παρ. 4 εδ. δ’ του ν. 4624/2019, και να επιβάλλει την άμεση παράδοση στην Αρχή των πληροφοριών που ζητήθηκαν με τις ερωτήσεις 11 και 15, όπως αναφέρονται παραπάνω.


Σύνδεσμος

ΑΠΔΠΧ 2/2023 - Πλήρες κείμενο »