Προσωπικά δεδομένα σε κινητό τηλέφωνο: Αντικατάσταση συσκευής και διαρροή σε τρίτους- Ζητήματα ευθύνης εταιρίας τηλεπικοινωνιών
Γράφει ο Γιώργος Καζολέας, Δικηγόρος LL.M.
Το Διοικητικό Δικαστήριο της Κύπρου απέρριψε με απόφασή του (27.4.2017) προσφυγή
πελάτισσας εταιρίας τηλεπικοινωνιών, η οποία ισχυρίστηκε ότι έγινε παραβίαση
των προσωπικών της δεδομένων. Συγκεκριμένα το έτος 2012 αγόρασε μια συσκευή
κινητού τηλεφώνου από κατάστημα της εταιρίας και κατόπιν αιτήματός της, οι
υπεύθυνοι του καταστήματος μετέφεραν τα προσωπικά της δεδομένα από το παλιό στο
καινούριο κινητό τηλέφωνο. Ωστόσο, η νέα συσκευή παρουσίασε πρόβλημα στο
μεγάφωνο και έγινε αλλαγή στο ίδιο κατάστημα με νέα συσκευή ίδιου ακριβώς
τύπου. Αφού έγινε η μεταφορά των δεδομένων στο νέο τηλέφωνο, το κατάστημα
πούλησε το ελαττωματικό κινητό σε τρίτο πρόσωπο, στο οποίο όμως είχαν
παραμείνει τα προσωπικά δεδομένα της αιτήτριας.
Η τελευταία απέστειλε επιστολή στη συγκεκριμένη εταιρία τηλεπικοινωνιών,
παραπονούμενη ότι η εταιρία χωρίς τη συγκατάθεσή της επέτρεψε να διαρρεύσουν σε
τρίτους τα προσωπικά της δεδομένα και την κάλεσε να λάβει μέτρα για την
αποζημίωσή της.
Η εταιρία απάντησε, κοινοποιώντας και στον Επίτροπο
Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, τονίζοντας ότι τη μέρα της αγοράς, η
μεταφορά δεδομένων έγινε στην κάρτα μνήμης και όχι στη μνήμη της νέας συσκευής.
Όταν εκπρόσωπος της αιτήτριας μετά από λίγες ημέρες επέστρεψε αναφέροντας το
ελάττωμα, η εταιρία ισχυρίζεται ότι οι υπάλληλοι της το αντικατέστησαν με
καινούριο τηλέφωνο και δεν προέβησαν σε οποιαδήποτε μεταφορά δεδομένων, καθώς
και ότι η κάρτα μνήμης αφαιρέθηκε από το κινητό που παρουσίαζε πρόβλημα και
δόθηκε στον εκπρόσωπο της αιτήτριας.
Επίσης η εταιρία αναφέρει ότι το κινητό κατόπιν ελέγχου, δεν
διαπιστώθηκε να έχει οποιοδήποτε πρόβλημα, απλά έγινε τυπική αναβάθμιση
λογισμικού και εν συνεχεία το κινητό τοποθετήθηκε προς πώληση και πωλήθηκε σε
τρίτο πρόσωπο.
Τέλος, η εταιρία επεσήμανε ότι η διαφύλαξη των προσωπικών
δεδομένων που τοποθετούνται σε κινητές συσκευές δεν αποτελεί ευθύνη της αλλά
του κάθε πελάτη.
Η θέση του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Ο Επίτροπος Προστασίας Προσωπικών Δεδομένων απαντώντας στην αιτήτρια
ανέφερε μεταξύ άλλων τα εξής:
«Σε ότι αφορά την καταγγελία σας, σας πληροφορώ ότι (α) αν η
επεξεργασία των δεδομένων γίνεται αποκλειστικά για προσωπικούς σκοπούς δεν
εμπίπτει στο πεδίο εφαρμογής του Νόμου (άρθρο 3 (2)).
Ακόμη και εάν δεν ισχύει η εξαίρεση του άρθρου 3 (2) πιο
πάνω, στη συγκεκριμένη περίπτωση υπεύθυνος επεξεργασίας είναι η πελάτης σας …
που διατηρούσε και επεξεργαζόταν στο κινητό της τηλέφωνο δικά της δεδομένα αλλά
και πιθανό και δεδομένα άλλων προσώπων (των επαφών της), οπότε την ευθύνη
διαγραφής των δεδομένων είχε η ίδια. Η …(εταιρία) θα μπορούσε να
θεωρηθεί εκτελών την επεξεργασία, εάν η διαγραφή των δεδομένων της είχε
ανατεθεί εγγράφως από την …(πελάτη) όπως προβλέπεται από το άρθρο 10 (4) του
Νόμου, εφόσον μόνο έτσι θα μπορούσε να είχε τις ανάλογες υποχρεώσεις για τη
λήψη μέτρων για το απόρρητο της επεξεργασίας όπως και ο υπεύθυνος επεξεργασίας».
Η απόφαση αυτή του Επιτρόπου αποτέλεσε την προσβαλλόμενη
απόφαση της επίδικης προσφυγής.
Λόγοι ακυρώσεως της απόφασης του Επιτρόπου
Οι λόγοι ακυρώσεως που επικαλέστηκε η αιτήτρια ήταν:
α) η παραβίαση των προνοιών του Νόμου από τον Επίτροπο,
β) πλάνη περί τον νόμο και/ ή τα πράγματα λόγω λανθασμένης
ερμηνείας του Νόμου,
γ) λήψη απόφασης καθ' υπέρβαση και/ ή κατάχρηση εξουσίας,
κατά παραβίασης της χρηστής διοίκησης και των κανόνων του διοικητικού δικαίου,
του άρθρου 29 του Συντάγματος, καθώς και της φυσικής δικαιοσύνης δ) μη επαρκής
αιτιολογία της απόφασης
ε), παραβίαση της αρχής της καλής πίστης, της αναλογικότητας
και της χρηστής διοίκησης, στ) έλλειψης δέουσας έρευνας,
ζ) μη λήψη υπόψη όλων των νόμιμων στοιχείων και γεγονότων
και λήψη πεπλανημένων στοιχείων,
η) παραβίαση ουσιώδους τύπου και/ ή του Ν. 158 (Ι)/99 και/ ή
των Κανονισμών και,
θ) παραβίαση των άρθρων 15 και 17 του Συντάγματος σε σχέση
με τα δικαιώματα της αιτήτριας, τα οποία απορρέουν από το Σύνταγμα και το άρθρο
8 της Ευρωπαϊκής Συνθήκης Ανθρωπίνων Δικαιωμάτων.
Η απόφαση του Διοικητικού Δικαστηρίου
Το Δικαστήριο στην απόφαση του έκανε δεκτή τη θέση του
Επιτρόπου, ότι στην παρούσα περίπτωση η επεξεργασία των δεδομένων της αιτήτριας
έγινε αποκλειστικά για προσωπικούς σκοπούς, ώστε να τίθεται σε εφαρμογή η
εξαίρεση του άρθρου 3 (2) του Νόμου καθώς και ότι «υπεύθυνος επεξεργασίας» στην παρούσα
περίπτωση δεν μπορεί παρά να θεωρείται η αιτήτρια.
Αναφέρει επίσης η απόφαση: «Όσον αφορά το ζήτημα, κατά πόσον
ο Επίτροπος θα μπορούσε, παρά τα προαναφερόμενα να έχει αρμοδιότητα, εάν η
διαγραφή των δεδομένων της αιτήτριας είχε ανατεθεί εγγράφως στο
ενδιαφερόμενο πρόσωπο, κάτι που κατά παραδοχή της αιτήτριας στη γραπτή αγόρευση
της δεν έγινε εγγράφως αλλά, ως υποστηρίζει προφορικά, το λεκτικό του άρθρου 10
(4) του νόμου είναι σαφές και δεν επιδέχεται οποιασδήποτε παρερμηνείας. Έχει
δε, η σχετική νομοθετική πρόνοια ως εξής…: «10 (4) Αν η επεξεργασία
διεξάγεται από εκτελούντα την επεξεργασία, η σχετική ανάθεση γίνεται
υποχρεωτικά με γραπτή σύμβαση. Η ανάθεση προβλέπει υποχρεωτικά ότι ο
εκτελών την επεξεργασία τη διεξάγει, μόνο κατ' εντολή του υπεύθυνου και ότι οι
λοιπές υποχρεώσεις του παρόντος άρθρου βαρύνουν αναλόγως και αυτόν.»
Στην παρούσα περίπτωση, καμία τέτοια γραπτή σύμβαση
υπογράφηκε μεταξύ της αιτήτριας και του ενδιαφερομένου μέρους για τις ενέργειες
που κλήθηκε να διενεργήσει το τελευταίο αναφορικά με το ελαττωματικό τηλέφωνο
της αιτήτριας.
Συνεπώς, με βάση τα πιο πάνω ευρήματα μου, ο Επίτροπος
ορθώς αποφάσισε και αιτιολόγησε, ότι δεν είχε αρμοδιότητα για να επιληφθεί της
καταγγελίας της αιτήτριας, αφού το ζήτημα δεν ενέπιπτε στα πλαίσια των προνοιών
του Νόμου που διέπει την λειτουργία του. Σύμφωνα με την αρχή της νομιμότητας, η
διοίκηση δεν μπορεί να προβαίνει σε νομικές πράξεις, δηλαδή, μεταξύ άλλων, στην
έκδοση διοικητικών πράξεων, παρά μόνο βάσει αρμοδιότητας που της παρέχεται από
τους κανόνες δικαίου (βλ. σχετικά «Εγχειρίδιο Διοικητικού Δικαίου» του Ε.Π.
Σπηλιωτοπούλου, Τόμος Ι, 14η έκδοση, 2011, εκεί παράγραφος 74, σελ. 89)».
Ενόψει αυτών η προσφυγή απορρίφθηκε και η αιτήτρια
επιβαρύνθηκε με 1300 ευρώ έξοδα.
Παρατηρήσεις
Αναφορικά με την ουσία της επίδικης περίπτωσης, δεν είναι
ορθό να παραμερίζεται η ευθύνη της εταιρίας τηλεπικοινωνιών στη βάση της απαίτησης
του νόμου υποχρεωτικής τήρησης του γραπτού τύπου της ανάθεσης σε τρίτον της
επεξεργασίας προσωπικών δεδομένων.
Εν προκειμένω δηλαδή κατά τις συγκεκριμένες περιστάσεις θα
αρκούσε και η προφορική δήλωση της αιτήτριας στους υπευθύνους της εταιρίας να
διαγράψουν τα δεδομένα της από το τηλέφωνο που εκείνη επέστρεψε ως
ελαττωματικό, μάλιστα θα περίμενε κάποιος κατά τη λογική ακολουθία των
πραγμάτων, να μεριμνήσουν με δική τους πρωτοβουλία οι ίδιοι οι υπάλληλοι για τη
γνωστοποίηση στην αιτήτρια των σχετικών κινδύνων από την πιθανή διαρροή των
δεδομένων της σε τρίτα πρόσωπα και να πράξουν κάθε τι που είναι αναγκαίο για
την αποτροπή του κινδύνου αυτού (πχ να της υποδείξουν να τους εξουσιοδοτήσει
γραπτώς για τη διαγραφή των δεδομένων, όπως απαιτεί ο νόμος που εκ των υστέρων
επικαλέστηκαν).
Πρέπει σε κάθε περίπτωση να λαμβάνεται υπόψη ότι η εταιρία
και οι αρμόδιοι υπάλληλοι αυτής, ως κατέχοντες ειδικές και εξειδικευμένες
γνώσεις για τον τρόπο λειτουργίας των κινητών τηλεφώνων και ειδικότερων
ζητημάτων μεταφοράς δεδομένων και αποθηκευτικών χώρων μνήμης, είναι
επιφορτισμένοι στην παροχή πληροφοριών στους καταναλωτές (οι οποίοι αντιθέτως
δεν είναι απαραίτητο να είναι ειδικοί και εξοικειωμένοι με θέματα τεχνολογίας) σε
σχέση με την προστασία των προσωπικών τους δεδομένων.
Στην προκείμενη περίπτωση είναι περισσότερο από προφανές ότι
η εταιρία όφειλε να ελέγξει ότι η συσκευή που παρέλαβε πίσω ως ελαττωματική από
την πελάτισσα ήταν «καθαρή» και άδεια από οποιαδήποτε δεδομένα, πολύ δε
περισσότερο όταν τη συσκευή αυτή έθεσε εκ νέου προς πώληση, επομένως ο κίνδυνος
να κοινοποιηθούν τα δεδομένα του προηγούμενου χρήστη στο νέο αγοραστή ήταν
εύκολο και λογικό να προβλεφθεί.
Η προσήλωση στο αυστηρό γράμμα του νόμου (η ορθότητα του οποίου
επίσης ελέγχεται), που απαιτεί ρητά
γραπτή σύμβαση, δεν συμβαδίζει με την ανάγκη προστασίας του καταναλωτή στο
ευαίσθητο θέμα των προσωπικών δεδομένων. Πέραν του παραδεδεγμένου κανόνα του
Αστικού Δικαίου ότι η δήλωση βουλήσεως αυτού που δικαιοπρακτεί μπορεί να γίνει
με τρόπο ρητό και σαφή, προφορικά ή έγγραφα ή ακόμα και σιωπηρά, να
συμπεραίνεται δηλαδή από κάποια συμπεριφορά αυτού που δικαιοπρακτεί, εν
προκειμένω η δήλωση βούλησης ήταν αυτονόητη για το υποκείμενο των δεδομένων (ποιος
θα ήθελε να διαρρεύσουν τα προσωπικά δεδομένα του σε αγνώστους;) και η αυστηρή
προσήλωση στη συγκεκριμένη διάταξη λειτουργεί απαλλακτικά για τις εταιρίες
τηλεπικοινωνιών, των οποίων η ευθύνη είναι εξ’ αντικειμένου σαφώς πολύ
ευρύτερη. (δημοσίευση απόφασης: cylaw.com)
Σχόλια