Προσωπικά δεδομένα σε κινητό τηλέφωνο: Αντικατάσταση συσκευής και διαρροή σε τρίτους- Ζητήματα ευθύνης εταιρίας τηλεπικοινωνιών

Γράφει ο Γιώργος Καζολέας, Δικηγόρος LL.M.
Το Διοικητικό Δικαστήριο της Κύπρου απέρριψε με απόφασή του (27.4.2017) προσφυγή πελάτισσας εταιρίας τηλεπικοινωνιών, η οποία ισχυρίστηκε ότι έγινε παραβίαση των προσωπικών της δεδομένων. Συγκεκριμένα το έτος 2012 αγόρασε μια συσκευή κινητού τηλεφώνου από κατάστημα της εταιρίας και κατόπιν αιτήματός της, οι υπεύθυνοι του καταστήματος μετέφεραν τα προσωπικά της δεδομένα από το παλιό στο καινούριο κινητό τηλέφωνο. Ωστόσο, η νέα συσκευή παρουσίασε πρόβλημα στο μεγάφωνο και έγινε αλλαγή στο ίδιο κατάστημα με νέα συσκευή ίδιου ακριβώς τύπου. Αφού έγινε η μεταφορά των δεδομένων στο νέο τηλέφωνο, το κατάστημα πούλησε το ελαττωματικό κινητό σε τρίτο πρόσωπο, στο οποίο όμως είχαν παραμείνει τα προσωπικά δεδομένα της αιτήτριας.
Η τελευταία απέστειλε επιστολή στη συγκεκριμένη εταιρία τηλεπικοινωνιών, παραπονούμενη ότι η εταιρία χωρίς τη συγκατάθεσή της επέτρεψε να διαρρεύσουν σε τρίτους τα προσωπικά της δεδομένα και την κάλεσε να λάβει μέτρα για την αποζημίωσή της.
Η εταιρία απάντησε, κοινοποιώντας και στον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, τονίζοντας ότι τη μέρα της αγοράς, η μεταφορά δεδομένων έγινε στην κάρτα μνήμης και όχι στη μνήμη της νέας συσκευής. Όταν εκπρόσωπος της αιτήτριας μετά από λίγες ημέρες επέστρεψε αναφέροντας το ελάττωμα, η εταιρία ισχυρίζεται ότι οι υπάλληλοι της το αντικατέστησαν με καινούριο τηλέφωνο και δεν προέβησαν σε οποιαδήποτε μεταφορά δεδομένων, καθώς και ότι η κάρτα μνήμης αφαιρέθηκε από το κινητό που παρουσίαζε πρόβλημα και δόθηκε στον εκπρόσωπο της αιτήτριας.
Επίσης η εταιρία αναφέρει ότι το κινητό κατόπιν ελέγχου, δεν διαπιστώθηκε να έχει οποιοδήποτε πρόβλημα, απλά έγινε τυπική αναβάθμιση λογισμικού και εν συνεχεία το κινητό τοποθετήθηκε προς πώληση και πωλήθηκε σε τρίτο πρόσωπο.
Τέλος, η εταιρία επεσήμανε ότι η διαφύλαξη των προσωπικών δεδομένων που τοποθετούνται σε κινητές συσκευές δεν αποτελεί ευθύνη της  αλλά του κάθε πελάτη.
Η θέση του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Ο Επίτροπος Προστασίας Προσωπικών Δεδομένων απαντώντας στην αιτήτρια ανέφερε μεταξύ άλλων τα εξής:
«Σε ότι αφορά την καταγγελία σας, σας πληροφορώ ότι (α) αν η επεξεργασία των δεδομένων γίνεται αποκλειστικά για προσωπικούς σκοπούς δεν εμπίπτει στο πεδίο εφαρμογής του Νόμου (άρθρο 3 (2)).
Ακόμη και εάν δεν ισχύει η εξαίρεση του άρθρου 3 (2) πιο πάνω, στη συγκεκριμένη περίπτωση υπεύθυνος επεξεργασίας είναι η πελάτης σας … που διατηρούσε και επεξεργαζόταν στο κινητό της τηλέφωνο δικά της δεδομένα αλλά και πιθανό και δεδομένα άλλων προσώπων (των επαφών της), οπότε την ευθύνη διαγραφής των δεδομένων είχε η ίδια. Η …(εταιρία) θα μπορούσε να θεωρηθεί εκτελών  την επεξεργασία, εάν η διαγραφή των δεδομένων της είχε ανατεθεί εγγράφως από την …(πελάτη) όπως προβλέπεται από το άρθρο 10 (4) του Νόμου, εφόσον μόνο έτσι θα μπορούσε να είχε τις ανάλογες υποχρεώσεις για τη λήψη μέτρων για το απόρρητο της επεξεργασίας όπως και ο υπεύθυνος επεξεργασίας».
Η απόφαση αυτή του Επιτρόπου αποτέλεσε την προσβαλλόμενη απόφαση της επίδικης προσφυγής.
Λόγοι ακυρώσεως της απόφασης του Επιτρόπου
Οι λόγοι ακυρώσεως που επικαλέστηκε η αιτήτρια ήταν:
α) η παραβίαση των προνοιών του Νόμου από τον Επίτροπο,
β) πλάνη περί τον νόμο και/ ή τα πράγματα λόγω λανθασμένης ερμηνείας του Νόμου,
γ) λήψη απόφασης καθ' υπέρβαση και/ ή κατάχρηση εξουσίας, κατά παραβίασης της χρηστής διοίκησης και των κανόνων του διοικητικού δικαίου, του άρθρου 29 του Συντάγματος, καθώς και της φυσικής δικαιοσύνης δ) μη επαρκής αιτιολογία της απόφασης
ε), παραβίαση της αρχής της καλής πίστης, της αναλογικότητας και της χρηστής διοίκησης, στ) έλλειψης δέουσας έρευνας,
ζ) μη λήψη υπόψη όλων των νόμιμων στοιχείων και γεγονότων και λήψη πεπλανημένων στοιχείων,
η) παραβίαση ουσιώδους τύπου και/ ή του Ν. 158 (Ι)/99 και/ ή των Κανονισμών και,
θ) παραβίαση των άρθρων 15 και 17 του Συντάγματος σε σχέση με τα δικαιώματα της αιτήτριας, τα οποία απορρέουν από το Σύνταγμα και το άρθρο 8 της Ευρωπαϊκής Συνθήκης Ανθρωπίνων Δικαιωμάτων.
Η απόφαση του Διοικητικού Δικαστηρίου
Το Δικαστήριο στην απόφαση του έκανε δεκτή τη θέση του Επιτρόπου, ότι στην παρούσα περίπτωση η επεξεργασία των δεδομένων της αιτήτριας έγινε αποκλειστικά για προσωπικούς σκοπούς, ώστε να τίθεται σε εφαρμογή η εξαίρεση του άρθρου 3 (2) του Νόμου καθώς και  ότι «υπεύθυνος επεξεργασίας» στην παρούσα περίπτωση δεν μπορεί παρά να θεωρείται η αιτήτρια.
Αναφέρει επίσης η απόφαση: «Όσον αφορά το ζήτημα, κατά πόσον ο Επίτροπος θα μπορούσε, παρά τα προαναφερόμενα να έχει αρμοδιότητα, εάν η διαγραφή των δεδομένων της αιτήτριας είχε ανατεθεί εγγράφως στο ενδιαφερόμενο πρόσωπο, κάτι που κατά παραδοχή της αιτήτριας στη γραπτή αγόρευση της δεν έγινε εγγράφως αλλά, ως υποστηρίζει προφορικά, το λεκτικό του άρθρου 10 (4) του νόμου είναι σαφές και δεν επιδέχεται οποιασδήποτε παρερμηνείας. Έχει δε, η σχετική νομοθετική πρόνοια ως εξής…: «10 (4) Αν η επεξεργασία διεξάγεται από εκτελούντα την επεξεργασία, η σχετική ανάθεση γίνεται υποχρεωτικά με γραπτή σύμβαση. Η ανάθεση προβλέπει υποχρεωτικά ότι ο εκτελών την επεξεργασία τη διεξάγει, μόνο κατ' εντολή του υπεύθυνου και ότι οι λοιπές υποχρεώσεις του παρόντος άρθρου βαρύνουν αναλόγως και αυτόν.»
Στην παρούσα περίπτωση, καμία τέτοια γραπτή σύμβαση υπογράφηκε μεταξύ της αιτήτριας και του ενδιαφερομένου μέρους για τις ενέργειες που κλήθηκε να διενεργήσει το τελευταίο αναφορικά με το ελαττωματικό τηλέφωνο της αιτήτριας.
Συνεπώς, με βάση τα πιο πάνω ευρήματα μου, ο Επίτροπος ορθώς αποφάσισε και αιτιολόγησε, ότι δεν είχε αρμοδιότητα για να επιληφθεί της καταγγελίας της αιτήτριας, αφού το ζήτημα δεν ενέπιπτε στα πλαίσια των προνοιών του Νόμου που διέπει την λειτουργία του. Σύμφωνα με την αρχή της νομιμότητας, η διοίκηση δεν μπορεί να προβαίνει σε νομικές πράξεις, δηλαδή, μεταξύ άλλων, στην έκδοση διοικητικών πράξεων, παρά μόνο βάσει αρμοδιότητας που της παρέχεται από τους κανόνες δικαίου (βλ. σχετικά «Εγχειρίδιο Διοικητικού Δικαίου» του Ε.Π. Σπηλιωτοπούλου, Τόμος Ι, 14η έκδοση, 2011, εκεί παράγραφος 74, σελ. 89)».
Ενόψει αυτών η προσφυγή απορρίφθηκε και η αιτήτρια επιβαρύνθηκε με 1300 ευρώ έξοδα.
Παρατηρήσεις
Αναφορικά με την ουσία της επίδικης περίπτωσης, δεν είναι ορθό να παραμερίζεται η ευθύνη της εταιρίας τηλεπικοινωνιών στη βάση της απαίτησης του νόμου υποχρεωτικής τήρησης του γραπτού τύπου της ανάθεσης σε τρίτον της επεξεργασίας προσωπικών δεδομένων.
Εν προκειμένω δηλαδή κατά τις συγκεκριμένες περιστάσεις θα αρκούσε και η προφορική δήλωση της αιτήτριας στους υπευθύνους της εταιρίας να διαγράψουν τα δεδομένα της από το τηλέφωνο που εκείνη επέστρεψε ως ελαττωματικό, μάλιστα θα περίμενε κάποιος κατά τη λογική ακολουθία των πραγμάτων, να μεριμνήσουν με δική τους πρωτοβουλία οι ίδιοι οι υπάλληλοι για τη γνωστοποίηση στην αιτήτρια των σχετικών κινδύνων από την πιθανή διαρροή των δεδομένων της σε τρίτα πρόσωπα και να πράξουν κάθε τι που είναι αναγκαίο για την αποτροπή του κινδύνου αυτού (πχ να της υποδείξουν να τους εξουσιοδοτήσει γραπτώς για τη διαγραφή των δεδομένων, όπως απαιτεί ο νόμος που εκ των υστέρων επικαλέστηκαν).
Πρέπει σε κάθε περίπτωση να λαμβάνεται υπόψη ότι η εταιρία και οι αρμόδιοι υπάλληλοι αυτής, ως κατέχοντες ειδικές και εξειδικευμένες γνώσεις για τον τρόπο λειτουργίας των κινητών τηλεφώνων και ειδικότερων ζητημάτων μεταφοράς δεδομένων και αποθηκευτικών χώρων μνήμης, είναι επιφορτισμένοι στην παροχή πληροφοριών στους καταναλωτές (οι οποίοι αντιθέτως δεν είναι απαραίτητο να είναι ειδικοί και εξοικειωμένοι με θέματα τεχνολογίας) σε σχέση με την προστασία των προσωπικών τους δεδομένων.
Στην προκείμενη περίπτωση είναι περισσότερο από προφανές ότι η εταιρία όφειλε να ελέγξει ότι η συσκευή που παρέλαβε πίσω ως ελαττωματική από την πελάτισσα ήταν «καθαρή» και άδεια από οποιαδήποτε δεδομένα, πολύ δε περισσότερο όταν τη συσκευή αυτή έθεσε εκ νέου προς πώληση, επομένως ο κίνδυνος να κοινοποιηθούν τα δεδομένα του προηγούμενου χρήστη στο νέο αγοραστή ήταν εύκολο και λογικό να προβλεφθεί.
Η προσήλωση στο αυστηρό γράμμα του νόμου (η ορθότητα του οποίου επίσης ελέγχεται),  που απαιτεί ρητά γραπτή σύμβαση, δεν συμβαδίζει με την ανάγκη προστασίας του καταναλωτή στο ευαίσθητο θέμα των προσωπικών δεδομένων. Πέραν του παραδεδεγμένου κανόνα του Αστικού Δικαίου ότι η δήλωση βουλήσεως αυτού που δικαιοπρακτεί μπορεί να γίνει με τρόπο ρητό και σαφή, προφορικά ή έγγραφα ή ακόμα και σιωπηρά, να συμπεραίνεται δηλαδή από κάποια συμπεριφορά αυτού που δικαιοπρακτεί, εν προκειμένω η δήλωση βούλησης ήταν αυτονόητη για το υποκείμενο των δεδομένων (ποιος θα ήθελε να διαρρεύσουν τα προσωπικά δεδομένα του σε αγνώστους;) και η αυστηρή προσήλωση στη συγκεκριμένη διάταξη λειτουργεί απαλλακτικά για τις εταιρίες τηλεπικοινωνιών, των οποίων η ευθύνη είναι εξ’ αντικειμένου σαφώς πολύ ευρύτερη. (δημοσίευση απόφασης: cylaw.com)

Σχόλια

Δημοσίευση σχολίου

Top Legal Stories

Εικόνα

Μεταναστευτικό Δίκαιο: Νέοι κανόνες για την άδεια εργασίας/διαμονής

Το Ευρωπαϊκό Κοινοβούλιο ψήφισε υπέρ πιο αποτελεσματικών κανόνων για τις συνδυασμένες άδειες εργασίας και διαμονής στην ΕΕ για υπηκόους τρίτων χωρών. Η επικαιροποίηση της  οδηγίας για την ενιαία άδεια  (Οδηγία 2011/98/ΕΕ ) που εγκρίθηκε το 2011 και με την οποία θεσπίστηκε ενιαία διοικητική διαδικασία για τη χορήγηση άδειας σε υπηκόους τρίτων χωρών που επιθυμούν να ζήσουν και να εργαστούν σε χώρα της ΕΕ, αλλά και κοινή δέσμη δικαιωμάτων για τους εργαζομένους τρίτων χωρών, εγκρίθηκε με 465 ψήφους υπέρ, 122 κατά και 27 αποχές. Γρηγορότερες αποφάσεις σχετικά με τις αιτήσεις Στις διαπραγματεύσεις, οι ευρωβουλευτές κατάφεραν να καθορίσουν ένα ανώτατο όριο 90 ημερών για τη λήψη απόφασης σχετικά με τις αιτήσεις για ενιαία άδεια, διάστημα σημαντικά συντομότερο σε σύγκριση με το υφιστάμενο όριο των τεσσάρων μηνών. Οι διαδικασίες για ιδιαίτερα πολύπλοκους φακέλους ενδέχεται να λάβουν παράταση 30 ημερών και ο χρόνος για την έκδοση θεώρησης, εάν είναι απαραίτητο, δεν περιλαμβάνεται στο όριο α
Εικόνα

Σημαντική απόφαση του ΕΔΑΔ για την κλιματική αλλαγή: Μη λήψη επαρκών και αποτελεσματικών μέτρων από το κράτος

Σε μια απόφαση-ορόσημο, το Ευρωπαϊκό Δικαστήριο Ανθρωπίνων Δικαιωμάτων δικαίωσε ομάδα πολιτών που κατήγγειλε τη μη λήψη επαρκών μέτρων από το κράτος για την αντιμετώπιση των αρνητικών συνεπειών της κλιματικής αλλαγής. Στην απόφαση του Τμήματος Μείζονος Συνθέσεως του ΕΔΔΑ στις 9/4/2024 (στην υπόθεση Verein Klima Seniorinnen Schweiz και άλλων κατά Ελβετίας /αρ. αίτησης 53600/20) κρίθηκε με πλειοψηφία 16 ψήφων υπέρ και μίας κατά ότι υπήρξε παραβίαση του άρθρου 8 (δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής) της Ευρωπαϊκής Σύμβασης για Ανθρώπινα δικαιώματα και, ομόφωνα, ότι υπήρξε παραβίαση του άρθρου 6 § 1 (πρόσβαση στο δικαστήριο). Η υπόθεση αφορούσε σε καταγγελία από τέσσερις γυναίκες και μια ελβετική ένωση, την Verein KlimaSeniorinnen Schweiz, μέλη της οποίας είναι όλες γυναίκες μεγαλύτερης ηλικίας που ανησυχούν για τις συνέπειες της παγκόσμιας υπερθέρμανσης, για τις συνθήκες διαβίωσης και υγείας τους. Θεωρούν ότι οι ελβετικές αρχές δεν παίρνουν επαρκή μέτρα, παρά την υπ
Εικόνα

Πρόστιμο σε ιατρό για παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων

Πρόστιμο ύψους 1.500 ευρώ για παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων επέβαλε το Γραφείο Επιτρόπου Προστασίας Προσωπικών Δεδομένων σε ιατρό του ΓεΣΥ. Συγκεκριμένα εξετάστηκε καταγγελία που υποβλήθηκε στο Γραφείο σχετικά με πρόσβαση στον λογαριασμό του Γενικού Συστήματος Υγείας (ΓεΣΥ) της Καταγγέλλουσας από ιατρό. Όπως ανέφερε η Καταγγέλλουσα, διαπίστωσε πρόσβαση στα προσωπικά της δεδομένα από την ιατρό, στην πύλη δικαιούχων του ΓεΣΥ, χωρίς να γνωρίζει την ιατρό, χωρίς να υπάρχει παραπεμπτικό και χωρίς την άδειά της. Στο πλαίσιο της διερεύνησης, τόσο η Καταγγέλλουσα όσο και η ιατρός ανέφεραν προς το Γραφείο της Επιτρόπου ότι εκάστη δεν γνώριζε την άλλη και ότι η ιατρός δεν εξέτασε την καταγγέλλουσα. Η Επίτροπος αξιολόγησε τις θέσεις της ιατρού σχετικά με τους ενδεχόμενους τρόπους απόκτησης των δεδομένων της Καταγγέλλουσας, τα οποία ήταν αναγκαία για την πρόσβαση στην πύλη δικαιούχου της καταγγέλλουσας στο ΓεΣΥ. Ωστόσο, η ιατρός δεν μπόρεσε να αποδείξει ότι έλαβε με νόμ
Εικόνα

Κλειστό Κύκλωμα Βιντεοπαρακολούθησης σε σχολεία: Ανακοίνωση της Επιτρόπου Προστασίας Δεδομένων

Σχετικά με την τοποθέτηση και λειτουργία Κλειστού Κυκλώματος Βιντεοπαρακολούθησης σε σχολεία, εξέδωσε ανακοίνωση η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Η ανακοίνωση αναφέρει τα εξής: «Αναφορικά με το πιο πάνω θέμα, επιθυμώ να πληροφορήσω κάθε ενδιαφερόμενο πρόσωπο ότι ολοκληρώθηκε αισίως η διαδικασία διαβούλευσης μεταξύ του Υπουργείου Παιδείας, Αθλητισμού και Νεολαίας (ΥΠΑΝ) και του Γραφείου μου. Το ΥΠΑΝ διενήργησε εκτίμηση αντικτύπου σχετικά με τη λειτουργία Κλειστού Κυκλώματος Βιντεοπαρακολούθησης (ΚΚΒΠ) στις σχολικές μονάδες για την πρόληψη και αντιμετώπιση της βίας και της παραβατικότητας, την οποία υπέβαλε στο Γραφείο μου για σκοπούς διαβούλευσης. Σύμφωνα με τα όσα αναφέρονται στην εν λόγω εκτίμηση αντικτύπου, α. Θα τοποθετηθούν βιντεοκάμερες στις κεντρικές εισόδους-εξόδους των σχολικών μονάδων, καθώς και περιμετρικά αυτών. β. Η εμβέλεια καταγραφής θα περιορίζεται εντός των ορίων των σχολικών μονάδων και δεν θα καταγράφονται παρακείμενοι ιδιωτικοί ή δημόσ
Εικόνα

Η παραβίαση της υποχρέωσης εκτίμησης της πιστοληπτικής ικανότητας του δανειολήπτη ως λόγος ακύρωσης της δανειακής σύμβασης

του Γιώργου Καζολέα, Δικηγόρου  Η χορήγηση δανείων από τα πιστωτικά ιδρύματα χωρίς προηγούμενο έλεγχο της φερεγγυότητας των δανειοληπτών είναι γνωστό ότι οδήγησε σε πληθώρα μη εξυπηρετούμενων πιστωτικών διευκολύνσεων που οδήγησαν με τη σειρά τους σε έκρηξη πλειστηριασμών.  Η αξιολόγηση της πιστοληπτικής ικανότητας αποτελεί υποχρέωση του δανειστή που ρητώς προβλέπεται από την Οδηγία 2008/48/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Απριλίου 2008, για τις συμβάσεις καταναλωτικής πίστης και την κατάργηση της οδηγίας 87/102/ΕΟΚ του Συμβουλίου. Το άρθρο 8 της οδηγίας, το οποίο φέρει τον τίτλο «Υποχρέωση εκτίμησης της πιστοληπτικής ικανότητας του καταναλωτή», αναφέρει τα εξής: «1.Τα κράτη μέλη διασφαλίζουν ότι, πριν από τη σύναψη της σύμβασης πίστωσης, ο πιστωτικός φορέας εκτιμά την πιστοληπτική ικανότητα του καταναλωτή, βάσει επαρκών στοιχείων που λαμβάνονται κατά περίπτωση από τον καταναλωτή και, εν ανάγκη, κατόπιν έρευνας στην κατάλληλη βάση δεδομένων. Τα κράτη μέλη