Η Αρχή συνεξέτασε μεγάλο αριθμό καταγγελιών για χρονικό διάστημα πλέον των δύο ετών που αφορούν τη διενέργεια τηλεφωνικών κλήσεων για την προώθηση προϊόντων και υπηρεσιών της εταιρείας παροχής υπηρεσιών ενέργειας Elpedison. Ειδικότερα, το ζήτημα των τηλεφωνικών κλήσεων, για σκοπούς απευθείας προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, ρυθμίζεται στο άρθρο 11 του Ν. 3471/2006. Περαιτέρω, ο αριθμός τηλεφώνου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου του, επιτρέποντας την επικοινωνία με αυτόν. Μάλιστα, κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έμμεσης αναγνώρισης μπορούν επαρκώς σε ορισμένες περιπτώσεις να διακρίνουν ένα άτομο από άλλα, στο πλαίσιο ενός συγκεκριμένου συνόλου, ακόμα και αν δεν έχει γίνει η εξακρίβωση του ονόματός του. Επισημαίνεται ότι για κάθε ζήτημα σχετικό με την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών σε συνδρομητές ή χρήστες που είναι φυσικά πρόσωπα και το οποίο δεν ρυθμίζεται ειδικότερα στον Ν. 3471/2006, εφαρμόζεται ο ΓΚΠΔ. Από τις διατάξεις των άρ. 4 §§ 1, 7, 28 και 32 ΓΚΠΔ, συνάγεται ότι η ευθύνη για την τήρηση των κατάλληλων μέτρων ασφάλειας βαρύνει τόσο τον υπεύθυνο επεξεργασίας, όσο και τον εκτελούντα την επεξεργασία και, συνεπώς, η ευθύνη για μια παραβίαση μέτρων ασφάλειας θα πρέπει να επιμερίζεται και να αποδίδεται κατάλληλα. Σε κάθε περίπτωση, ο υπεύθυνος επεξεργασίας πρέπει να παρέχει στον εκτελούντα μια περιγραφή των δραστηριοτήτων επεξεργασίας και των στόχων ασφαλείας (με βάση την εκτίμηση κινδύνου του υπεύθυνου επεξεργασίας), καθώς και την έγκριση των μέτρων που προτείνει ο εκτελών την επεξεργασία. Από τα στοιχεία του φακέλου προκύπτει ότι η Elpedison, μέσω σύμβασης, αναθέτει σε συνεργαζόμενες εταιρείες call center τη διενέργεια διαφημιστικών κλήσεων για προώθηση των δικών της προϊόντων και υπηρεσιών. Δεδομένου ότι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία αναλαμβάνουν την εφαρμογή των κατάλληλων μέτρων προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, η ευθύνη για τη μη εφαρμογή των κατάλληλων μέτρων, κατά παράβαση των άρθρων 28, 29 και 32 του ΓΚΠΔ, επιμερίζεται κατάλληλα μεταξύ του εκτελούντα την επεξεργασία και του υπευθύνου επεξεργασίας. Σε σχέση με τα τεχνικά και οργανωτικά μέτρα, τα οποία οφείλουν να λαμβάνουν ο υπεύθυνος και ο εκτελών την επεξεργασία προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, τονίζεται ότι τα μέτρα αυτά δεν είναι πάντα δυνατό να προλάβουν κάθε πιθανό περιστατικό παραβίασης της ασφάλειας σε δεδομένα προσωπικού χαρακτήρα. Είναι όμως απαραίτητο, μετά από οποιαδήποτε αστοχία των μέτρων αυτών, να ακολουθεί εκτίμηση και αξιολόγηση της αποτελεσματικότητάς τους, ως απαραίτητο στοιχείο για τη διατήρηση της ασφάλειας της επεξεργασίας. Η ευθύνη της Elpedison ως υπευθύνου επεξεργασίας σε σχέση με τους εκτελούντες την επεξεργασία, είναι, σε πρώτο στάδιο, να παράσχει κατάλληλα εργαλεία, κατευθύνσεις και οδηγίες ώστε να πραγματοποιούνται μόνο νόμιμες κλήσεις και μόνο νόμιμες δραστηριότητες επεξεργασίας προσωπικών δεδομένων. Στις εξεταζόμενες υποθέσεις διαπιστώθηκε ότι στο πλαίσιο των υποχρεώσεών της αυτών η Elpedison συλλέγει τα Μητρώα από τους παρόχους σε τακτά χρονικά διαστήματα, τα ενοποιεί και τα αποστέλλει στις εκτελούσες την επεξεργασία συνεργαζόμενες εταιρείες call center. Παράλληλα, τηρεί ειδικό μητρώο με όσους έχουν ασκήσει εναντίωση στη λήψη τηλεφωνικών κλήσεων, το οποίο και αποστέλλει επίσης στις συνεργαζόμενες εταιρείες. Διαπιστώνεται ότι η εν λόγω δραστηριότητα είναι ορθά σχεδιασμένη, αλλά απομένει να ελεγχθεί πώς έχει εφαρμοστεί σε κάθε μια από τις υποθέσεις των εξεταζόμενων καταγγελιών. Και τούτο, γιατί σε δεύτερο στάδιο, η ευθύνη της Elpedison αφορά επίσης και την επάρκεια του ελέγχου και της εποπτείας των εκτελούντων την επεξεργασία, αλλά και τις ενέργειες στις οποίες προβαίνει η ίδια η εταιρεία, μόλις λαμβάνει γνώση των καταγγελιών, προκειμένου να ελέγξει την αποτελεσματικότητα των διαδικασιών της και τον τρόπο λειτουργίας των συνεργαζόμενων εταιρειών και εφαρμογής από αυτές των οδηγιών που τους παρέχει. Η Αρχή επέβαλε πρόστιμο ύψους 127.709 ευρώ στην Elpedison, για ελλείψεις στα μέτρα ελέγχου των συνεργαζόμενων εταιρειών και πρόστιμα σε τρεις εταιρείες call center ύψους 10.000, 6.000 και 20.000 ευρώ αντίστοιχα, για έλλειψη μέτρων ασφάλειας κατά τη διενέργεια των τηλεφωνικών κλήσεων, η οποία είχε ως συνέπεια το γεγονός να κληθούν συνδρομητές οι οποίοι είχαν ενταχθεί στο μητρώο του άρθρου 11 του Ν. 3471/2006. Παράλληλα η Αρχή επέβαλε πρόστιμο 5.000 στην εταιρεία Zitatel, γιατί η συλλογή τηλεφωνικών αριθμών μέσω της ιστοσελίδας fthinoreyma.gr είχε πραγματοποιηθεί κατά παράβαση των διατάξεων του ΓΚΠΔ. Πέραν των προστίμων, η Αρχή επέβαλε προειδοποίηση και λοιπά διορθωτικά μέτρα, ώστε να εξασφαλιστεί η νομιμότητα των σχετικών διαδικασιών.