ΑΠΔΠΧ 13/2019 Επιβολή προστίμου σε υπεύθυνο επεξεργασίας-ιατρική εταιρεία, για μη νόμιμη διενέργεια διαφημιστικών τηλεφωνικών κλήσεων

ΑΠΔΠΧ 13/2019 Επιβολή προστίμου σε υπεύθυνο επεξεργασίας-ιατρική εταιρεία, για μη νόμιμη διενέργεια διαφημιστικών τηλεφωνικών κλήσεων

Αθήνα, 16-05-2019
Αριθ. Πρωτ.: Γ/ΕΞ/3528/16-05-2019

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Α Π Ο Φ Α Σ Η
ΑΡ. 13/2019

(Τμήμα)

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνεδρίασε σε σύνθεση Τμήματος στην έδρα της την Τετάρτη 3 Απριλίου 2019 μετά από πρόσκληση του Προέδρου της, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν οι Γεώργιος Μπατζαλέξης, Αναπληρωτής Πρόεδρος, κωλυομένου του Προέδρου της Αρχής, Κωνσταντίνου Μενουδάκου, και τα αναπληρωματικά μέλη Παναγιώτης Ροντογιάννης ως εισηγητής και Ευάγγελος Παπακωνσταντίνου, σε αναπλήρωση των τακτικών μελών Αντώνιου Συμβώνη και Κωνσταντίνου Λαμπρινουδάκη οι οποίοι αν και εκλήθησαν νομίμως εγγράφως, δεν παρέστησαν λόγω κωλύματος. Το τακτικό μέλος Χαράλαμπος Ανθόπουλος και ο αναπληρωτής αυτού Γρηγόριος Τσόλιας αν και εκλήθησαν νομίμως εγγράφως, δεν παρέστησαν λόγω κωλύματος. Στη συνεδρίαση παρέστη, με εντολή του Προέδρου, ο Γεώργιος Ρουσόπουλος, ειδικός επιστήμονας - ελεγκτής ως βοηθός εισηγητή. Επίσης, παρέστη, με εντολή του Προέδρου, και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του Διοικητικού Τμήματος της Αρχής, ως γραμματέας.

Η Αρχή έλαβε υπόψη της τα παρακάτω:

Υποβλήθηκαν δύο καταγγελίες σχετικά με λήψη τηλεφωνικών κλήσεων με σκοπό προώθηση προϊόντων ή υπηρεσιών της εταιρείας «.......................» και δ.τ. «................... ΕΠΕ.» (εφεξής ................... ΕΠΕ).

Συγκεκριμένα: α) Με την υπ' αριθμ. πρωτ. Γ/ΕΙΣ/5307/14-06-2018 καταγγελία του ο Α ανέφερε ότι κλήθηκε για σκοπό προώθησης ιατρικών υπηρεσιών από τον αριθμό .............., στις 19 Ιουλίου 2018 και ώρα 10:08, σε αριθμό που έχει εγγραφεί στο μητρώο του αρ. 11 του ν. 3471/2006 του παρόχου του. Στην καταγγελία αναφέρεται ότι διαφημίστηκαν «................» και ότι δεν δόθηκε η επωνυμία της εταιρείας, όταν αυτό ζητήθηκε από τον καταγγέλλοντα. Η Αρχή απέστειλε ερώτημα (με αριθμ. πρωτ. Γ/ΕΞ/6336-1/13-09-2018) στην εταιρεία παροχής υπηρεσιών τηλεφωνίας .............. ΙΚΕ, η οποία ενημέρωσε (με το υπ' αριθμ. πρωτ. Γ/ΕΙΣ/7503/20-09-2018 έγγραφό της) ότι συνδρομητής για τον αριθμό ............. είναι η .......... ΕΠΕ.

β) Με την υπ' αριθμ. πρωτ. Γ/ΕΙΣ/5340/14-06-2018 ο Β κατήγγειλε στην Αρχή ότι κλήθηκε για σκοπό προώθησης ιατρικών υπηρεσιών από τον αριθμό ............., στις 19 Σεπτεμβρίου 2018, σε αριθμό που έχει εγγραφεί στο μητρώο του αρ. 11 του ν. 3471/2006 του παρόχου του. Στην καταγγελία αναφέρεται ότι διαφημίζονται «...................».

Η Αρχή ενημέρωσε την .............. ΕΠΕ με τα υπ' αριθμ. πρωτ. Γ/ΕΞ/6336-2/01-10-2018 και Γ/ΕΞ/7533-1/08-11-2018 έγγραφά της για τις καταγγελίες, ζητώντας τις απόψεις της επί αυτών. Η εταιρεία απάντησε με τα υπ' αριθμ. πρωτ. Γ/ΕΙΣ/8675/02-11-2018 και Γ/ΕΙΣ/9646/03-12-2018 έγγραφά της. Η Αρχή, με την υπ' αριθμ. πρωτ. Γ/ΕΞ/277/15-01-2019 κλήση, κάλεσε την .............. ΕΠΕ σε ακρόαση αρχικά για τη συνεδρίαση του τμήματος της Αρχής της 13-02-2019 και αφού έκανε δεκτό προφορικό αίτημα αναβολής, για τη συνεδρίαση της 27/02/2019. Η εταιρεία εκπροσωπήθηκε κατά τη συνεδρίαση αυτή από τους ......, δικηγόρο, ......... δικηγόρο και Γ. Διευθυντή Ιατρικών Υποθέσεων. Κατά την ακρόαση η εταιρεία κατέθεσε με το υπ' αριθμ. πρωτ. Γ/ΕΙΣ/1557/27- 02-2019 έγγραφό της, συμπληρωματικά στοιχεία, ενώ, κατόπιν της ακρόασης κατέθεσε, εμπρόθεσμα το υπ' αριθμ. πρωτ. Γ/ΕΙΣ/1875/12-03-2019 υπόμνημα.

Η .............. ΕΠΕ υποστηρίζει συνοπτικά τα εξής: Η εταιρεία έχει συσταθεί από τον Ιούλιο του 2010 ως μονοπρόσωπη ιατρική εταιρεία με σκοπό την παροχή υπηρεσιών Πρωτοβάθμιας Ιατρικής Φροντίδας Υγείας και έχει την απαιτούμενη βεβαίωση λειτουργίας από τον Ιατρικό Σύλλογο Αθηνών. Οι υπηρεσίες της περιλαμβάνουν, μεταξύ άλλων, την πρόληψη ασθενειών ή ανωμαλιών της υγείας. Η κλήση έγινε με τυχαίο και αυτοματοποιημένο τρόπο για το «σκοπό της ενημέρωσης κι ευαισθητοποίησης του κοινού στα πλαίσια της κοινωνικής εταιρικής ευθύνης της ιατρικής εταιρείας» ενώ στόχος ήταν, πρωτίστως, η πρόληψη της παχυσαρκίας. Επομένως, η ενέργεια αυτή δεν είχε σκοπό τη διαφήμιση (δηλαδή την εμπορική προώθηση προϊόντων και υπηρεσιών). Περαιτέρω, μόλις οι καταγγέλλοντες ενημέρωσαν ότι είναι γραμμένοι στο μητρώο του άρθρου 11 του ν. 3471/2006, από την εταιρεία δήλωσαν ότι δεν θα ξανακαλέσουν. Αυτό έγινε κατά τη διάρκεια της κλήσης στην πρώτη περίπτωση, ενώ στη δεύτερη περίπτωση η αρχική κλήση ήταν αναπάντητη και ο καταγγέλλων κάλεσε τον αριθμό της εταιρείας οπότε και ενημερώθηκε.

Σε ενίσχυση του επιχειρήματος ότι οι διενεργηθείσες κλήσεις δεν ήταν διαφημιστικές, η εταιρεία αναφέρει ότι ενέργειες με αποκλειστικό σκοπό την ευαισθητοποίηση του κοινού, με τυχαία τηλεφωνική κλήση, δεν μπορεί να θεωρηθούν ως διαφήμιση. Προς υποστήριξη, γίνεται αναφορά στο δευτερογενές ενωσιακό δίκαιο του αθέμιτου ανταγωνισμού. Σύμφωνα με την εταιρεία, διαφήμιση είναι ανακοίνωση που γίνεται με κάθε μέσο, αποκλειστικά με στόχο την προώθηση διάθεσης αγαθών ή υπηρεσιών, ενώ στην προκειμένη περίπτωση οι κλήσεις ήταν ενέργειες άνευ ανταλλάγματος ή άλλης εκ μέρους του καταγγέλλοντος επιβάρυνσης. Συνεπώς, θεωρεί ότι η ενέργειά της δεν ήταν διαφημιστική και ήταν νόμιμη.

Στο υπόμνημα που κατέθεσε μετά από την ακρόαση στην Αρχή, παραθέτει περισσότερα στοιχεία για την υποστήριξη του επιχειρήματός της ότι οι τηλεφωνικές κλήσεις που διενεργήθηκαν ήταν αποκλειστικά και μόνο στο πλαίσιο δράσης για την πρόληψη της νόσου της παχυσαρκίας και δεν μπορεί να θεωρηθεί ως διαφήμιση. Συνοπτικά αναφέρει τα εξής: α) Ότι η εταιρεία έχει τρία αδειοδοτημένα από τον Ι.Σ.Α. τμήματα, β) Παραθέτει στοιχεία για την ανάδειξη του κοινωνικού έργου της εταιρείας, όπως πολλές ενέργειες ενημέρωσης και ευαισθητοποίησης για ζητήματα υγείας. γ) Αναφέρει ότι η εταιρεία έχει πιστοποιηθεί για ασφάλεια πληροφοριών (ISO 27001:2013) και για διασφάλιση ποιότητας και ποιοτική διοίκηση επιχειρήσεων (ISO 9001:2015). δ) Αναφέρει ότι η εταιρεία έχει αναρτήσει στην ιστοσελίδα Πολιτική Προστασίας και Πολιτική Cookies, ενώ στην καθημερινή της λειτουργία εφαρμόζει το ισχύον πλαίσιο της νομοθεσίας για τα προσωπικά δεδομένα. Όσον αφορά τον όρο «...................», η εταιρεία αναφέρει ότι ο πρώτος καταγγέλλων εσφαλμένα ανέφερε τον όρο αυτό, καθώς η εταιρεία διαθέτει τρία αδειοδοτημένα ιατρεία κι όχι πολυδύναμα ιατρεία.

Η εταιρεία κατέθεσε επίσης τμήμα από το αρχείο δραστηριοτήτων που τηρεί (με βάση το άρθρο 30 του Κανονισμού (ΕΕ) 2016/679) στο οποίο περιλαμβάνεται η δραστηριότητα «Ενημέρωση κοινού για ευαισθητοποίηση σε θέματα που αφορούν την Υγεία, στο πλαίσιο δράσεων Εταιρικής - Κοινωνικής Ευθύνης (Μόνο κατόπιν επιθυμίας του καλούμενου ανωνύμως και τυχαίως να συμμετάσχει στη δράση, ήτοι να προσέλθει για δωρεάν ιατρικό έλεγχο, όπως π.χ. Δωρεάν Γυναικολογικός Έλεγχος ή Μέτρηση BMR κλπ)».

Η Αρχή, μετά από εξέταση όλων των στοιχείων του φακέλου, αφού άκουσε τον εισηγητή και τις διευκρινίσεις του βοηθού εισηγητή, ο οποίος αποχώρησε μετά τη συζήτηση και πριν από τη διάσκεψη και τη λήψη αποφάσεως, και κατόπιν διεξοδικής συζήτησης,

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ

1. Το ζήτημα των τηλεφωνικών κλήσεων, για σκοπούς απευθείας προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, ρυθμίζεται στο άρθρο 11 του ν. 3471/2006, στο οποίο ορίζονται τα σχετικά με τις μη ζητηθείσες επικοινωνίες (βλ. παρ. 1 και 2). Σημειώνεται ότι, με τις διατάξεις του άρθρου 16 παρ. 1 και 2 του ν. 3917/2011 τροποποιήθηκαν οι παρ. 1 και 2 του άρθρου 11 του ν. 3471/2006, ώστε με το άρθρο 11 παρ. 1 του ν. 3471/2006 ορίζεται πλέον ότι: «Η χρησιμοποίηση αυτόματων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεομοιοτυπίας (φαξ) ή ηλεκτρονικού ταχυδρομείου, και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς», ενώ με την παράγραφο 2 του ιδίου άρθρου ορίζεται ότι: «Δεν επιτρέπεται η πραγματοποίηση μη ζητηθεισών επικοινωνιών με ανθρώπινη παρέμβαση (κλήσεων) για τους ανωτέρω σκοπούς, εφόσον ο συνδρομητής έχει δηλώσει προς τον φορέα παροχής της διαθέσιμης στο κοινό υπηρεσίας, ότι δεν επιθυμεί γενικώς να δέχεται τέτοιες κλήσεις. Ο φορέας υποχρεούται να καταχωρίζει δωρεάν τις δηλώσεις αυτές σε ειδικό κατάλογο συνδρομητών, ο οποίος είναι στη διάθεση κάθε ενδιαφερομένου».
Κατά συνέπεια, μετά την 01-09-2011, ημερομηνία κατά την οποία άρχισε η ισχύς της τροποποιημένης διάταξης, οι τηλεφωνικές κλήσεις με ανθρώπινη παρέμβαση, ενόψει των ανωτέρω σκοπών, επιτρέπονται, εκτός αν ο καλούμενος έχει δηλώσει ότι δεν τις επιθυμεί (σύστημα «opt-out»). Το σύστημα «opt-out» έχει ως συνέπεια ότι τα φυσικά ή νομικά πρόσωπα μπορούν να απευθύνουν τις αντιρρήσεις τους, όσον αφορά την επεξεργασία των δεδομένων τους, είτε ειδικά απευθείας στον υπεύθυνο επεξεργασίας (δηλαδή στον διαφημιζόμενο) ασκώντας το δικαίωμα αντίρρησης ως προς την επεξεργασία προσωπικών δεδομένων βάσει του άρθρου 13 του ν. 2472/1997 είτε γενικά μέσω της εγγραφής τους στον ειδικό κατάλογο συνδρομητών του παρόχου που προβλέπει το άρθρο 11 παρ. 2 ν. 3471/2006. Ο νόμος προβλέπει τη δημιουργία μητρώων («opt-out») σε κάθε πάροχο και ο συνδρομητής μπορεί να δηλώσει ατελώς, στον δικό του πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών, ότι δεν επιθυμεί να λαμβάνει τηλεφωνικές κλήσεις για απευθείας εμπορική προώθηση. Ο κάθε πάροχος φέρει, με την προαναφερόμενη διάταξη, την υποχρέωση να τηρεί, με αυτές τις δηλώσεις, Δημόσιο Μητρώο που επιτελεί έναν δημόσιο σκοπό και στο οποίο έχει πρόσβαση όποιος ενδιαφέρεται να το χρησιμοποιήσει για απευθείας εμπορική προώθηση.

2. Περαιτέρω, ο αριθμός τηλεφώνου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου του (πρβλ. άρθρο 4 παρ. 1 Κανονισμού (ΕΕ) 2016/679 εφεξής ΓΚΠΔ), επιτρέποντας την επικοινωνία με αυτόν. Επισημαίνεται δε ότι, σύμφωνα και με τη Γνώμη 4/2007 της ομάδας εργασίας του άρθρου 29 της Ε.Ε. σχετικά με την έννοια των προσωπικών δεδομένων, ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έμμεσης αναγνώρισης, μπορούν επαρκώς σε ορισμένες περιπτώσεις να διακρίνουν ένα άτομο από άλλα στο πλαίσιο ενός συγκεκριμένου συνόλου, ακόμα και αν δεν έχει γίνει η εξακρίβωση του ονόματός του.

3. Με βάση την αρχή της λογοδοσίας όπως ορίζεται στο αρ. 5 παρ. 2 του ΓΚΠΔ «Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).» Περαιτέρω, στο άρθρο 24 παρ. 1 και 2 του ΓΚΠΔ αναφέρεται «1. Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο. 2. Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας.»

4. Όσον αφορά στην ενημέρωση του καλούμενου χρήστη, εφαρμόζονται οι διατάξεις του άρθρου 14 ΓΚΠΔ και ο υπεύθυνος επεξεργασίας οφείλει να παρέχει στο υποκείμενο των δεδομένων μια σειρά από πληροφορίες, μεταξύ των οποίων περιλαμβάνονται η ταυτότητα και τα στοιχεία επικοινωνίας του.

5. Από την εξέταση των στοιχείων της υπόθεσης προκύπτουν τα εξής: Η ............. ΕΠΕ αποδέχεται τη διενέργεια των κλήσεων. Το βασικό επιχείρημά της είναι ότι η ενέργεια της δεν ήταν διαφημιστική, αλλά ενημερωτική, στο πλαίσιο δράσης «Εταιρικής - Κοινωνικής Ευθύνης». Η δήλωση αυτή έρχεται σε αντίθεση με όσα αναφέρουν και οι δύο καταγγέλλοντες, οι οποίοι μάλιστα επισημαίνουν ότι διαφημίστηκαν «........». Το επιχείρημα της εταιρείας ότι εσφαλμένα αναφέρει ο ένας καταγγέλλων ότι τα τρία ιατρεία είναι πολυδύναμα, δεν μπορεί να γίνει δεκτό, καθώς ακριβώς το ίδιο αναφέρει και ο δεύτερος καταγγέλλων, χωρίς να φαίνεται να υπάρχει ουδεμία σχέση μεταξύ των δύο καταγγελλόντων. Άλλωστε, και από τα στοιχεία που κατέθεσε ο υπεύθυνος επεξεργασίας (βλ. ιδίως τα πιστοποιητικά ISO27001:2013 και τις άδειες από τον Ι.Σ.Α.) προκύπτει ότι βασική δραστηριότητα της επιχείρησης είναι η Παροχή Ιατρικών Υπηρεσιών για λόγους Αισθητικής - Ιατρικής Κοσμετολογίας. Συνεπώς, οι υπηρεσίες που παρέχει ο υπεύθυνος επεξεργασίας είναι μεν ιατρικής φύσεως αλλά δεν αφορούν την κατ' εξοχήν προαγωγή της δημόσιας υγείας. Περαιτέρω, ενέργειες «Εταιρικής - Κοινωνικής Ευθύνης» αποτελούν μια σύγχρονη μορφή διαφήμισης. Καθώς η διάταξη του αρ. 11 του ν. 3471/2006 αναφέρεται σε «...σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς» ο υπεύθυνος επεξεργασίας οφείλει ακόμα και σε περιπτώσεις δράσης εταιρικής κοινωνικής ευθύνης να σέβεται την εν λόγω διάταξη. Συνεπώς δεν μπορεί να γίνει δεκτό το επιχείρημα του υπευθύνου για το χαρακτήρα των τηλεφωνικών κλήσεων. Όσον αφορά τη μη ικανοποιητική ενημέρωση κατά τη διάρκεια της κλήσης, όπως προκύπτει από τις καταγγελίες, η εταιρεία αναφέρθηκε ως «................» ενώ ακόμα κι όταν ζητήθηκε, δεν δόθηκαν τα στοιχεία της. Πρέπει επίσης να εκτιμηθεί ότι και οι δύο καταγγέλλοντες δεν είχαν κανένα άλλο στοιχείο αναγνώρισης της καλούσας εταιρείας, εκτός από τον αριθμό τηλεφώνου. Συνεπώς, προκύπτει ότι ο υπεύθυνος επεξεργασίας, δεν ενημέρωνε ορθά για τα στοιχεία του.

6. Λαμβάνοντας υπόψη τις ανωτέρω δύο παραβάσεις που διαπιστώθηκαν, δηλαδή τις κλήσεις προς αριθμούς συνδρομητών που είχαν εγγραφεί στο μητρώο του άρθρου 11 του ν. 3471/2006, το γεγονός ότι o υπεύθυνος επεξεργασίας δεν ενημέρωνε ορθά για τα στοιχεία του, δυσχεραίνοντας την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων και το γεγονός ότι ο υπεύθυνος επεξεργασίας αποσκοπούσε με τις ανωτέρω ενέργειες να αποκομίσει κέρδος, η Αρχή κρίνει ότι πρέπει να επιβληθεί στον υπεύθυνο επεξεργασίας η προβλεπόμενη στο άρθρο 21 παρ. 1 στοιχ. β' του ν. 2472/1997 κύρωση που αναφέρεται στο διατακτικό της παρούσας, η οποία κρίνεται ανάλογη με τη βαρύτητα των παραβάσεων.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα:

Επιβάλλει, με βάση τα άρθρα 19 παρ. 1 στοιχ. στ' και 21 του ν. 2472/1997 και 13 παρ. 1 και 4 του ν. 3471/2006, στην ........................................ πρόστιμο 5.000 Ευρώ για τις ως άνω διαπιστωθείσες παραβιάσεις του άρθρου 11 του ν. 3471/2006.

Ο Αναπληρωτής Πρόεδρος   
Γεώργιος Μπατζαλέξης

Η γραμματέας
Ειρήνη ΠαπαγεωργοπούλουΠηγή: Taxheaven