Νέα πρόστιμα ύψους 27.000 ευρώ από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για SPAM

imagesΗ Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε, μετά από πρόσκληση του Προέδρου της, σε τακτική συνεδρίαση στην έδρα της την 29-07-2016 προκειμένου να εξετάσει την υπόθεση του αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν οι Πέτρος Χριστόφορος, Πρόεδρος της Αρχής, και τα τακτικά μέλη Λεωνίδας Κοτσαλής, Αναστάσιος – Ιωάννης Μεταξάς, Δημήτριος Μπριόλας, και Αντώνιος Συμβώνης ως εισηγητής. Τα τακτικά μέλη Πέτρος Τσαντίλας και Κωνσταντίνος Χριστοδούλου εάν και εκλήθησαν νομίμως και εγγράφως, δεν προσήλθαν λόγω κωλύματος. Στη συνεδρίαση, χωρίς δικαίωμα ψήφου, παρέστη επίσης, με εντολή του Προέδρου, ο Γεώργιος Ρουσόπουλος, ειδικός επιστήμονας – ελεγκτής, ως βοηθός εισηγητή, ενώ απουσίαζε, λόγω κωλύματος, ο έτερος βοηθός εισηγητή Ανάργυρος Χρυσάνθου, ειδικός επιστήμονας – ελεγκτής. Επίσης παρέστη, με εντολή του Προέδρου, η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών και οικονομικών υποθέσεων, ως γραμματέας.

(κατεβάστε τις αποφάσεις από εδώ Απόφαση 78-2016Απόφαση 79-2016 )

Η Αρχή έλαβε υπόψη τα παρακάτω:

H Αρχή πραγματοποίησε στις 4 και 15 Οκτωβρίου 2013 επιτόπιο διοικητικό έλεγχο στις εγκαταστάσεις της εταιρείας «MIX ΛΕΒΗΣ ΑΝΩΝΥΜΟΣ ΕΜΠΟΡΙΚΗ ΤΕΧΝΙΚΗ ΕΚΠΑΙΔΕΥΤΙΚΗ ΚΑΙ ΝΑΥΤΙΛΙΑΚΗ ΕΤΑΙΡΕΙΑ Α.Ε.» (εφεξής «Linguaphone»), στη διεύθυνση Ζαλοκώστα 8, 106 71, Αθήνα, 1ος όροφος, σύμφωνα με το άρθρο 19 στοιχ. η) ν. 2472/1997. Μετά από την ολοκλήρωση του ελέγχου, η ομάδα ελέγχου συνέταξε το υπ’ αρ. πρωτ. Γ/ΕΙΣ/5265/14-10-2015 πόρισμα.

Όπως περιγράφεται στο ανωτέρω πόρισμα, ο έλεγχος ήταν αυτεπάγγελτος και πραγματοποιήθηκε κατόπιν ευρημάτων σε προγενέστερο διοικητικό έλεγχο αλλά και καταγγελιών που είχαν υποβληθεί στην Αρχή και αφορούσαν σε αποστολή αζήτητων μηνυμάτων ηλεκτρονικής αλληλογραφίας για σκοπούς προώθησης προϊόντων και υπηρεσιών (εφεξής και Spam), τόσο από την εν λόγω εταιρεία όσο και τον Ιωάννη Σαρρή, ο οποίος, με βάση το περιεχόμενο συγκεκριμένων καταγγελιών, φαίνεται να συνδέεται με σχέση εργασίας ή έργου με την εταιρεία. Οι συνολικά τριάντα (30) αυτές καταγγελίες παρουσιάζονται στο πόρισμα της Αρχής.

Στη συνέχεια, η «MIX ΛΕΒΗΣ ΑΝΩΝΥΜΟΣ ΕΜΠΟΡΙΚΗ ΤΕΧΝΙΚΗ ΕΚΠΑΙΔΕΥΤΙΚΗ ΚΑΙ ΝΑΥΤΙΛΙΑΚΗ ΕΤΑΙΡΕΙΑ Α.Ε.» κλήθηκε νομίμως, με το υπ’ αριθμ. πρωτ. Γ/ΕΞ/5601/29-10-2015 έγγραφο, σε ακρόαση ενώπιον της Αρχής στη συνεδρίαση της 01-12-2015, ως υπεύθυνος επεξεργασίας, για να δώσει περαιτέρω διευκρινίσεις και να εκθέσει διεξοδικά τις απόψεις της επί των ανωτέρω καταγγελιών. Με το ως άνω έγγραφο της κλήσης, η Αρχή διαβίβασε στον υπεύθυνο επεξεργασίας το πόρισμα διοικητικού ελέγχου καθώς και όσες από τις καταγγελίες δεν της είχαν επιδοθεί κατά τη διενέργεια του διοικητικού ελέγχου. Η ακρόαση αναβλήθηκε, αρχικά για την 15-12-2015 και κατόπιν για την 18-01-2016, ενώ η Αρχή προχώρησε σε νέες κλήσεις του υπεύθυνου επεξεργασίας για τις συνεδριάσεις των 19-04-2016 (υπ’ αριθμ. πρωτ. Γ/ΕΞ/2332/11-04-2016) και 21-06-2016 (υπ’ αριθμ. πρωτ. Γ/ΕΞ/3623/07-06-2016). Οι ανωτέρω συνεδριάσεις αναβλήθηκαν, κατόπιν σχετικών αιτημάτων του υπεύθυνου επεξεργασίας και λόγω αποχής των δικηγόρων. Ο υπεύθυνος επεξεργασίας παρέστη στη συνεδρίαση της Αρχής την 19-07-2016 και εκπροσωπήθηκε από τους Σωτηρακόπουλο Αλέξη, δικηγόρο με ΑΜΔΣΑ 8353, και Παπασταύρου Παναγιώτη νόμιμο εκπρόσωπο της εταιρείας. Κατά τη συνεδρίαση ο υπεύθυνος επεξεργασίας εξέθεσε τις απόψεις του ενώ, αφού έλαβε προθεσμία, κατέθεσε εμπρόθεσμα το υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/4676/25-07-2016 υπόμνημα.

Στο Πόρισμα του ελέγχου επισημαίνονται συνοπτικά τα εξής:

Στάλθηκαν διαφημιστικά μηνύματα ηλεκτρονικού ταχυδρομείου σε πολύ μεγάλο αριθμό παραληπτών από τους οποίους δεν είχε ληφθεί προηγούμενη συγκατάθεση και οι οποίοι δεν είχαν προηγούμενη συναλλακτική επαφή ή άλλη επαφή επαγγελματικού χαρακτήρα με τη Linguaphone. Η αποστολή γίνεται άλλοτε με προσωποποιημένο μήνυμα και άλλοτε μαζικά. Προς τούτο χρησιμοποιούνται διάφοροι τρόποι αποστολής, όπως με χρήση προγράμματος μαζικής αποστολής ηλεκτρονικής αλληλογραφίας (Groupmail), μέσω της εφαρμογής λογισμικού MS-Outlook και μέσω της πλατφόρμας ηλεκτρονικής αλληλογραφίας Gmail. Τα μηνύματα φαίνεται να προέρχονται άλλοτε από διευθύνσεις της Linguaphone (πχ. *.linguaphone.gr) και άλλοτε από λογαριασμούς Gmail. Οι αποστολές των διαφημιστικών μηνυμάτων πραγματοποιούνται άλλοτε από τους υπαλλήλους της εταιρείας και άλλοτε από συνεργάτες. Οι παραλήπτες των αποστολών επιλέγονται, ως επί το πλείστον, από διάφορες λίστες με διευθύνσεις ηλ. ταχυδρομείου, οι οποίες είτε έχουν δημιουργηθεί από υπαλλήλους της εταιρείας, είτε έχουν δοθεί στην εταιρεία από τον Ιωάννη Σαρρή, είτε έχουν αγοραστεί από την εταιρεία είτε προέρχονται από διάφορους διαγωνισμούς της εταιρείας (πχ. μέσω in.gr). Στο πόρισμα διαπιστώνεται ότι πραγματοποιήθηκαν τουλάχιστον 46 ενέργειες μαζικής αποστολής διαφημιστικών μηνυμάτων ηλεκτρονικού ταχυδρομείου (καμπάνιες) ενώ στο χρησιμοποιούμενο λογισμικό είχαν καταχωρηθεί 49 ομάδες παραληπτών με 117.705 διευθύνσεις ηλεκτρονικού ταχυδρομείου. Περαιτέρω αποστολές βεβαιώνονται και από χειρόγραφες καταστάσεις με αποστολές διαφημιστικών μηνυμάτων ηλεκτρονικού ταχυδρομείου (π.χ. επιβεβαιωμένη αποστολή 108.121 μηνυμάτων γα το χρονικό διάστημα από 02-09-2013 έως 30-09-2013). Επίσης, η Linguaphone απέστειλε στην συνεργάτη της B. Γιαννάκη κατάλογο αποδεκτών με 1.145.743 διευθύνσεις ηλεκτρονικού ταχυδρομείου, η οποία με τη χρήση επαναλαμβανόμενων αποστολών μηνυμάτων (50 διευθύνσεις ανά μήνυμα μέσω πολλαπλών λογαριασμών ηλεκτρονικού ταχυδρομείου στο Gmail με χρήση κρυφής κοινοποίησης BCC -Blind Carbon Copy- ) έστειλε σε διάστημα 7 ημερών μηνύματα σε συνολικά 89.474 αποδέκτες που περιέχονταν στον ως άνω κατάλογο. Από λίστες εργασιών προκύπτει ότι παρόμοιες ενέργειες πραγματοποιήθηκαν κατά το έτος 2011 με σκοπό την αποστολή περί των 1.000.000 διαφημιστικών μηνυμάτων. Τέλος, διαπιστώθηκαν πολλές αποστολές παρόμοιων μηνυμάτων με τη χρήση πάνω από πέντε (5) λογαριασμών ηλεκτρονικού ταχυδρομείου της μορφής {όνομα}@linguaphone.gr και πάνω από 30 λογαριασμών της μορφής {όνομα}@gmail.com κατά το χρονικό διάστημα από τον 9/2010 έως τον 9/2013. Παράλληλα, βρέθηκαν πολλαπλά αρχεία που περιείχαν διευθύνσεις ηλεκτρονικού ταχυδρομείου, το μεγαλύτερο εκ των οποίων αριθμούσε 1.299.025 διευθύνσεις, διαπιστώθηκε δε ύπαρξη λογισμικού αυτοματοποιημένης συλλογής διευθύνσεων ηλεκτρονικού ταχυδρομείου από το διαδίκτυο και αγορά διευθύνσεων από την ιστοσελίδα buy-email.com (αξίας 550 δολαρίων ΗΠΑ). Με την εξαίρεση των αρχείων που αφορούν το in.gr σε καμία περίπτωση χρήσης ή επεξεργασίας διεύθυνσης ηλεκτρονικού ταχυδρομείου δεν διαπιστώθηκε ότι υπήρξε προηγούμενη συγκατάθεση των αποδεκτών των μηνυμάτων ή ότι υπήρχε προηγούμενη συναλλακτική σχέση αυτών με τον υπεύθυνο επεξεργασίας, ούτε τέτοια πληροφορία τηρήθηκε από τον υπεύθυνο επεξεργασίας. Για την ικανοποίηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται οι εν λόγω διευθύνσεις γινόταν, όχι πάντα με επιτυχία, χειρισμός αιτημάτων διαγραφής.

Όσον αφορά στη συνεργασία με τρίτους, διαπιστώθηκε ότι ανατέθηκαν διαφημιστικές ενέργειες αποστολής Spam στις: Strategy Mentor (συνολικής αξίας 3.673,2 ευρώ), Ι. Χουβαρδά (αξίας 221,4 ευρώ), Airtouch (αξίας 357 ευρώ). Από τις καταστάσεις της εταιρείας φαίνεται ότι οι σχετιζόμενοι με την αποστολή των εν λόγω μηνυμάτων συνεργάτες της έλαβαν αμοιβές για τη διετία 2012-2013 ως εξής: Ι. Χ. Κιρεμιτσιόγλου 8.808€ και Λάταρης 7.358€ ως πωλητής ενώ για την τετραετία 2010-2013 προκύπτουν για τον Ι. Σαρρή αμοιβές 30.865,2€ ως πωλητή και 8.539€ ως προμηθευτή. Να σημειωθεί ότι οι τελευταίες αμοιβές δεν αφορούν αποκλειστικά τις υπηρεσίες αποστολής Spam.

Όπως επίσης, προκύπτει από το πόρισμα (βλ. σελ. 41), η Linguaphone είχε λάβει νομική καθοδήγηση από τους δικηγόρους της για τις ενέργειες που μπορεί να εκτελέσει όσον αφορά την αποστολή Spam. Επισημαίνεται ότι η Αρχή είχε αποστείλει με το υπ’ αριθμ. πρωτ. Γ/ΕΞ/1933/23-03-2010 έγγραφό της σύσταση ενημερωτικού χαρακτήρα στον υπεύθυνο επεξεργασίας, η οποία απεστάλη με συστημένη επιστολή τόσο στα παλαιά (Πανεπιστημίου 10) όσο και στα νέα της γραφεία (Ζαλόκωστα 8). Στην πρώτη περίπτωση η επιστολή επεστράφη.

Στους ηλεκτρονικούς υπολογιστές της Linguahone βρέθηκαν διάφορα αρχεία με απλά προσωπικά δεδομένα (επώνυμο, όνομα, οδός, αρ., πόλη, τκ, κινητό, epaggelma, e-mail, τηλέφωνο), για τα οποία δεν έχει καταγραφεί η πληροφορία για το αν και με ποιο τρόπο έχει ληφθεί η συγκατάθεση των περιλαμβανομένων σε αυτά φυσικών προσώπων. Τα αρχεία αυτά αφορούν κυρίως επαγγελματίες και προέρχονται από διάφορες πηγές (ενδεικτικά αναφέρεται αρχείο από την εταιρεία Αttractive που αριθμεί 1003 εγγραφές).

Τέλος, διαπιστώθηκε ότι η Linguaphone συνεργάστηκε με τo Clickbanner Affiliate Network, το οποίο τοποθέτησε «tracking cookie» για να παρακολουθεί τις «επισκέψεις και τις αγορές ενός χρήστη που έχει εκτελέσει click σε κάποιο από τα δημιουργικά» της Linguaphone. Ο υπεύθυνος επεξεργασίας έλαβε στις 17/1/2012 μέσω μηνύματος ηλεκτρονικού ταχυδρομείου αρχείο λογιστικών φύλλων (ClickBanner_Linguaphone_pendinguntil31dec.xlsx) με τις πωλήσεις που την αφορούν και τις IP διευθύνσεις των αγοραστών. Η συνεργασία διήρκησε από τις 21/10/2011 έως τις 19/3/2012.

Με το υπόμνημα του ο υπεύθυνος επεξεργασίας υποστηρίζει, συνοπτικά, τα εξής: Αναφέρει ότι αν είχε λάβει την υπ’ αριθμ. πρωτ. Γ/ΕΞ/1933/23-03-2010 σύσταση της Αρχής θα είχε εναρμονίσει την επικοινωνιακή της δράση σύμφωνα με αυτή.

Περαιτέρω αναφέρει ότι στα 82 χρόνια λειτουργίας της, κατά τα οποία δεν είχε ποτέ προβλήματα με τους δεκάδες χιλιάδες ενδιαφερόμενους σχετικά με τις δραστηριότητές της, έχει δημιουργήσει μια απόλυτα νόμιμη βάση πελατολογίου ή πιθανού μελλοντικού πελατολογίου από την ανταπόκριση σε διάφορες προωθητικές ενέργειες ή προγράμματα τηλεμάρκετινγκ. Επίσης, επικοινωνεί τηλεφωνικά με πελάτες που έχουν δημοσιοποιήσει το τηλέφωνό τους σε διάφορους καταλόγους (αναφέρει τη λίστα ICAP) και τηρεί τα στοιχεία τους όταν αυτοί εκδηλώνουν ενδιαφέρον. Περαιτέρω, χρησιμοποίησε τις υπηρεσίες διαφόρων τρίτων πιστεύοντας ότι αυτές λειτουργούσαν απόλυτα νόμιμα. Αυτό το έπραττε συνήθως με την υπόδειξη του Ι. Σαρρή, ο οποίος ήταν εξωτερικός της συνεργάτης, ενώ αναφέρει τις υπηρεσίες της Strategy Mentor και της Airconnection (σημ. πρόκειται για την προηγούμενη επωνυμία της Airtouch, βλ. Απόφαση 42/2013 της Αρχής). Τέλος, επισημαίνει ότι οι καταγγελίες που απασχόλησαν την Αρχή ήταν μεμονωμένες και ελάχιστες τον αριθμό ενώ μετά τον έλεγχο συμμορφώθηκε απόλυτα με τις υποδείξεις και τις οδηγίες της Αρχής.

Η Αρχή, μετά από εξέταση όλων των στοιχείων του φακέλου και αναφορά στα διαμειφθέντα των από 01-12-2015, 15-12-2015, 18-01-2016, 19-04-2016, 21-06-2016 και 19-07-2016 συνεδριάσεων, αφού άκουσε τον εισηγητή και τις διευκρινίσεις του βοηθού εισηγητή, ο οποίος αποχώρησε μετά τη συζήτηση και πριν από τη διάσκεψη και τη λήψη αποφάσεως, και κατόπιν διεξοδικής συζήτησης,

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ

1. Το άρθρο 2 του ν. 2472/1997 ορίζει ότι «δεδομένα προσωπικού χαρακτήρα» είναι «κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων». «Υποκείμενο των δεδομένων» είναι «το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα, και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική». Στο πλαίσιο αυτό, η διεύθυνση ηλεκτρονικού ταχυδρομείου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου της, επιτρέποντας την επικοινωνία με αυτόν, ενώ σε αρκετές περιπτώσεις φέρει ακόμα και στοιχεία του ονόματος του κατόχου. Επισημαίνεται δε ότι, σύμφωνα και με τη Γνώμη 4/2007 της ομάδας εργασίας του άρθρου 29 της Ε.Ε. σχετικά με την έννοια των προσωπικών δεδομένων, ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έμμεσης αναγνώρισης, όπως η διεύθυνση ηλεκτρονικού ταχυδρομείου, μπορούν επαρκώς σε ορισμένες περιπτώσεις να διακρίνουν ένα άτομο από άλλα στο πλαίσιο ενός συγκεκριμένου συνόλου, ακόμα και αν δεν έχει γίνει η εξακρίβωση του ονόματός του. Σύμφωνα με το άρθρο 2 στοιχ. ζ) ν. 2472/1997, ως “υπεύθυνος επεξεργασίας”, ορίζεται κάθε φυσικό ή νομικό πρόσωπο που καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

2. Το άρθρο 4 ν. 2472/1997 ορίζει ότι τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει : α) να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών; β) να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας; γ) να είναι ακριβή και, εφόσον χρειάζεται, να υποβάλλονται σε ενημέρωση; δ) να διατηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους.

3. Όταν ο σκοπός της επεξεργασίας είναι η απευθείας εμπορική προώθηση προϊόντων και υπηρεσιών για διαφημιστικούς σκοπούς με χρήση ηλεκτρονικών μέσων επικοινωνίας, τυγχάνει εφαρμογής το ειδικότερο άρθρο 11 ν. 3471/2006 για την προστασία των προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες. Ειδικότερα, σύμφωνα με την παρ. 1 του παραπάνω άρθρου, «η χρησιμοποίηση αυτόματων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεομοιοτυπίας (φαξ) ή ηλεκτρονικού ταχυδρομείου, και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς». Το άρθρο 5 παρ. 3 του ν. 3471/2006 θέτει ειδικότερες προϋποθέσεις σχετικά με τη νόμιμη δήλωση της συγκατάθεσης του συνδρομητή ή χρήστη υπηρεσιών ηλεκτρονικών επικοινωνιών. Ειδικότερα, ορίζει ότι «Όπου ο παρών νόμος απαιτεί τη συγκατάθεση του συνδρομητή ή χρήστη, η σχετική δήλωση δίδεται εγγράφως ή με ηλεκτρονικά μέσα. Στην τελευταία περίπτωση, ο υπεύθυνος επεξεργασίας εξασφαλίζει ότι ο συνδρομητής ή χρήστης ενεργεί με πλήρη επίγνωση των συνεπειών που έχει η δήλωσή του η οποία καταγράφεται με ασφαλή τρόπο, είναι ανά πάσα στιγμή προσβάσιμη στον χρήστη ή συνδρομητή και μπορεί οποτεδήποτε να ανακληθεί». Η Αρχή με την Οδηγία 2/2011 για την ηλεκτρονική συγκατάθεση περιγράφει αναλυτικά τις προϋποθέσεις και τους τρόπους νόμιμης λήψης της συγκατάθεσης με ηλεκτρονικά μέσα για τους σκοπούς της ανωτέρω διάταξης. Μοναδική εξαίρεση στην υποχρέωση λήψης προηγούμενης συγκατάθεσης αποτελεί, σύμφωνα με την παρ. 3 του ίδιου άρθρου, η περίπτωση κατά την οποία τα στοιχεία επαφής ηλεκτρονικού ταχυδρομείου αποκτήθηκαν νομίμως, στο πλαίσιο της πώλησης προϊόντων ή υπηρεσιών ή άλλης συναλλαγής και χρησιμοποιούνται για την απευθείας προώθηση παρόμοιων προϊόντων ή υπηρεσιών του προμηθευτή ή για την εξυπηρέτηση παρόμοιων σκοπών και υπό τις λοιπές προϋποθέσεις που θέτει η συγκεκριμένη παράγραφος. Επισημαίνεται ότι τα παραπάνω, σύμφωνα με την παρ. 7 του άρθρου 11 ν. 3471/2006, ισχύουν και για παραλήπτες μηνυμάτων ηλεκτρονικού ταχυδρομείου που είναι νομικά πρόσωπα.

4. Από την εξέταση του φακέλου της υπόθεσης προκύπτει ότι η Linguaphone απέστειλε σε πολλές περιπτώσεις, όπως αυτές παρουσιάζονται στο ιστορικό της υπόθεσης και στο πόρισμα του ελέγχου, διαφημιστικά μηνύματα ηλεκτρονικού ταχυδρομείου σε πολύ μεγάλο αριθμό παραληπτών από τους οποίους δεν είχε ληφθεί προηγούμενη συγκατάθεση και οι οποίοι δεν είχαν προηγούμενη συναλλακτική επαφή ή άλλη επαφή επαγγελματικού χαρακτήρα με την εταιρεία. Προκύπτει συνεπώς, παράβαση του άρ. 11 του ν. 3471/2006. Η εταιρεία μάλιστα συνέλεξε για το σκοπό αυτό διευθύνσεις ηλεκτρονικού ταχυδρομείου χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων ενώ η ίδια αποφάσισε για την εκάστοτε μέθοδο αποστολής (με ίδια μέσα ή με τη χρήση τρίτων συνεργατών). Αποτελεί επομένως τον υπεύθυνο της εν λόγω επεξεργασίας. Περαιτέρω, αποδεικνύεται ότι με την εξαίρεση των αρχείων που αφορούν το in.gr, σε καμία περίπτωση δε τηρήθηκε πληροφορία για τη συγκατάθεση των υποκειμένων, κατά παράβαση του άρ. 5 παρ. 3 του ν. 3471/2006 και επομένως, καμία από τις διευθύνσεις ηλεκτρονικού ταχυδρομείου που βρέθηκαν κατά τον έλεγχο δεν μπορεί να χρησιμοποιηθεί νομίμως. Η Linguaphone δεν προβάλλει αντιρρήσεις στα ευρήματα του πορίσματος, καθώς το μόνο επιχείρημα που παραθέτει σχετίζεται με τη μη λήψη ενημερωτικής επιστολής της Αρχής κατά το 2010 και την άγνοια του θεσμικού πλαισίου. Ακόμα κι αν γίνει δεκτό το ότι η επιστολή δεν ελήφθη, κάτι το οποίο δεν προκύπτει πέραν πάσης αμφιβολίας, είναι ξεκάθαρο ότι η εταιρεία ελάμβανε σχετική νομική καθοδήγηση. Επίσης, ο αριθμός των καταγγελιών, δεν μπορεί να θεωρηθεί μικρός, ιδίως αν ληφθεί υπόψη ότι μικρός αριθμός πολιτών προβαίνουν σε καταγγελία στην Αρχή. Αντίθετα, θα πρέπει να ληφθεί υπόψη ο μεγάλος αριθμός των μηνυμάτων που έχουν αποσταλεί (της τάξης των εκατομμύριων).

5. Περαιτέρω, η Linguaphone σε μία περίπτωση επεξεργάστηκε αρχείο με διευθύνσεις IP χρηστών διαδικτύου – αγοραστών υπηρεσιών της μέσω διαφημιστικού πεδίου (banner) σε ιστοσελίδα. Στην περίπτωση αυτή δεν αποδείχτηκε ότι υπήρξε ενημέρωση και συγκατάθεση των εν λόγω χρηστών, και η εν λόγω επεξεργασία γίνεται κατά παράβαση των οριζομένων στα αρ. 4 και 5 του ν. 2472/1997. Ενδεχομένως δε η εν λόγω επεξεργασία να προέρχεται και από χρήση αρχείων που εγκαθίστανται στον τερματικό εξοπλισμό χρηστών διαδικτύου (cookies), κατά παράβαση διατάξεων του άρ. 4 του ν. 3471/2006. Αποτελεί όμως μεμονωμένο γεγονός για το οποίο αρκεί η επισήμανση και η σύσταση για αποφυγή παρόμοιων πρακτικών στο μέλλον.

6. Ενόψει της βαρύτητας της παράβασης που διαπιστώθηκε όπως αποτυπώνεται στο σημείο 4 του σκεπτικού, του πλήθους των αποστολών αζήτητων μηνυμάτων ηλεκτρονικού ταχυδρομείου, του πλήθους των παραληπτών των μηνυμάτων αυτών, του γεγονότος ότι ο υπεύθυνος επεξεργασίας σκοπούσε με τις ανωτέρω ενέργειες οπωσδήποτε να αποκομίσει κέρδος και συνεκτιμώντας προς τούτο τα στοιχεία των σχετικών αμοιβών που παρατίθενται στο πόρισμα, η Αρχή κρίνει ότι πρέπει να επιβληθεί στον υπεύθυνο επεξεργασίας η προβλεπόμενη στο άρθρο 21 παρ. 1 στοιχ. β΄ του ν. 2472/1997 κύρωση που αναφέρεται στο διατακτικό της παρούσας και η οποία κρίνεται ανάλογη με τη βαρύτητα της παραβάσης. Σημειώνεται ότι έχει συνεκτιμηθεί το γεγονός ότι μετά τη διενέργεια του ελέγχου δεν υπήρξε νεώτερη καταγγελία για τον υπεύθυνο επεξεργασίας.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ Η Αρχή

1. Επιβάλλει, με βάση τα άρθρα 19 παρ. 1 στοιχ. στ΄ και 21 του ν. 2472/1997 και 13 παρ. 1 και 4 του ν. 3471/2006, στην εταιρεία «MIX ΛΕΒΗΣ ΑΝΩΝΥΜΟΣ ΕΜΠΟΡΙΚΗ ΤΕΧΝΙΚΗ ΕΚΠΑΙΔΕΥΤΙΚΗ ΚΑΙ ΝΑΥΤΙΛΙΑΚΗ ΕΤΑΙΡΕΙΑ Α.Ε.» πρόστιμο 25.000 Ευρώ για την ως άνω διαπιστωθείσα παραβίαση των διατάξεων του άρθρου 11 του ν. 3471/2006 και την καταστροφή του αρχείου με τις ηλεκτρονικές διευθύνσεις που τηρούνται χωρίς την ύπαρξη συγκατάθεσης του υποκειμένου των δεδομένων, με ακόλουθη ενημέρωση της Αρχής.

2. Απευθύνει σύσταση στον ως άνω υπεύθυνο επεξεργασίας όπως κατά τη διενέργεια διαδικτυακής διαφήμισης να εφαρμόζει πλήρως τις διατάξεις του αρ. 4 και 5 του ν. 2472/1997 και του αρ. 4 του ν. 3471/2006, όπως αναλύονται στη σκέψη με αριθμό 5 της παρούσης.

O Πρόεδρος της Αρχής Πέτρος Χριστόφορος
Η Γραμματέας Ειρήνη Παπαγεωργοπούλου

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Αθήνα, 05-08-2016
Αριθ. Πρωτ.: Γ/ΕΞ/5007/05-08-2016
Α Π Ο Φ Α Σ Η ΑΡ. 78/2016

ΑΠΟΔΕΚΤΕΣ

1. MIX ΛΕΒΗΣ ΑΝΩΝΥΜΟΣ ΕΜΠΟΡΙΚΗ ΤΕΧΝΙΚΗ ΕΚΠΑΙΔΕΥΤΙΚΗ ΚΑΙ ΝΑΥΤΙΛΙΑΚΗ ΕΤΑΙΡΕΙΑ Α.Ε
2. Αλέξανδρος Ζαχαρής
3. Δημήτρης Αθανασόπουλος
4. Γρυπάρης Μάνος
5. Φίσκιλης Άγγελος

loading...

Comments

comments

Χρησιμοποιούμε cookie για την εξατομίκευση περιεχομένου και διαφημίσεων, την παροχή λειτουργιών κοινωνικών μέσων και την ανάλυση της επισκεψιμότητάς μας. More Info | Close
Close