Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

ΑΠΟΦΑΣΗ: Επεξεργασία προσωπικών δεδομένων ανήλικης για σκοπούς παροχής υπηρεσιών από ιδιωτικό φροντιστήριο χωρίς συγκατάθεση


Αρ. Φακ.: Α/Π 11.17.001.38/2014
ΑΠΟΦΑΣΗ

Καταγγελία για επεξεργασία προσωπικών δεδομένων ανήλικης για σκοπούς παροχής υπηρεσιών από ιδιωτικό φροντιστήριο χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων.

Ο κ. Π. υπέβαλε καταγγελία στο Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην οποία αναφέρει ότι στις 10.6.2014 η ανήλικη κόρη του παρέλαβε ταχυδρομικώς (ονομαστικά στη διεύθυνση διαμονής της) διαφημιστικό υλικό από το ιδιωτικό φροντιστήριο M, χωρίς τη συγκατάθεση του.

2. Σύμφωνα με το άρθρο 15 των περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμων του 2001 μέχρι 2012 (Ν. 138(Ι)/2001 όπως τροποποιήθηκε με τους Ν. 37(Ι)/2003 και Ν. 105(Ι)/2012), στο εξής «ο Νόμος», η επεξεργασία δεδομένων για σκοπούς προώθησης πώλησης αγαθών ή παροχής υπηρεσιών επιτρέπεται μόνο σε υφιστάμενους πελάτες και σε άτομα που έχουν δηλώσει γραπτώς τη συγκατάθεση τους στον υπεύθυνο επεξεργασίας:

«15.- (1) Τα προσωπικά δεδομένα δεν αποτελούν αντικείμενο επεξεργασίας από οποιοδήποτε για λόγους προώθησης, πώλησης αγαθών ή παροχής υπηρεσιών εξ’ αποστάσεως, εκτός αν το υποκείμενο των δεδομένων δηλώσει γραπτώς τη συγκατάθεσή του στον υπεύθυνο επεξεργασίας.
(2) Υπεύθυνος επεξεργασίας που επιθυμεί να προβεί σε επεξεργασία προσωπικών δεδομένων για τους λόγους που αναφέρονται στο εδάφιο (1), μπορεί να χρησιμοποιήσει για το σκοπό λήψης της συγκατάθεσης του υποκειμένου των δεδομένων το ονοματεπώνυμο και τη διεύθυνση του υπό τον όρο ότι τα δεδομένα αυτά έχουν ληφθεί από πηγές προσβάσιμες στο κοινό.
(3) Ανεξάρτητα από τις διατάξεις του εδαφίου (1), για αρχεία πελατών που λειτουργούν και επεξεργασίες δεδομένων πελατών που εκτελούνται κατά την ημερομηνία έναρξης της ισχύος του περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) (Τροποποιητικού) Νόμου του 2012, που αφορούν μεγάλο αριθμό υποκειμένων των δεδομένων, τα στοιχεία επικοινωνίας τους θα μπορούν να αποτελούν αντικείμενο επεξεργασίας για λόγους προώθησης, πώλησης αγαθών ή παροχής υπηρεσιών εξ αποστάσεως παρόμοιων δικών του αγαθών ή υπηρεσιών, εκτός αν τα υποκείμενα των δεδομένων αντιταχθούν στην εν λόγω επεξεργασία:
Νοείται ότι για σκοπούς του παρόντος εδαφίου παρέχεται η αναγκαία διευκόλυνση προς τα υποκείμενα των δεδομένων, ώστε να καταστεί δυνατή η αντίταξή τους εύκολα και ατελώς τουλάχιστον για μια φορά.».

3.1. Με επιστολή μου με Αρ. Φακ: Α/Π 11.17.001.38/2014 και ημερομηνία 27.6.2014 ζήτησα από το διευθυντή του ινστιτούτου M να απαντήσει γραπτώς στα ερωτήματα αν η ανήλικη κόρη του κ. Π. ήταν υφιστάμενη πελάτισσα του πριν από τις 10.6.2014, αν ο κ. Π. ή η ανήλικη κόρη του έδωσαν γραπτώς τη συγκατάθεση τους στο ινστιτούτο M για την επεξεργασία των προσωπικών δεδομένων της και αν οι απαντήσεις στα δύο πιο πάνω ερωτήματα είναι αρνητικές, να απαντήσει στο ερώτημα από ποια πηγή έγινε η λήψη των προσωπικών δεδομένων της ανήλικης και γενικά να υποβάλει τυχόν σχόλια/απόψεις/θέσεις του για τα πιο πάνω.

3.2. Επίσης, με ταυτάριθμη επιστολή μου ημερομηνίας 17.7.2014 ενημέρωσα το διευθυντή του ινστιτούτου Μ ότι εκ πρώτης όψεως διέπραξε παράβαση του εδαφίου (1) του άρθρου 15 του Νόμου, αφού επεξεργάστηκε δεδομένα προσωπικού χαρακτήρα της ανήλικης κόρης του κ. Π. για την προώθηση παροχής υπηρεσιών χωρίς προηγούμενη γραπτή συγκατάθεση της μέσω του πατέρα της κ. Π. Επιπλέον τον πληροφόρησα για την αρμοδιότητα του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για επιβολή διοικητικών κυρώσεων βάσει των άρθρων 23(1)(στ) και 25(1) του Νόμου:

«25.-(1) Ανεξάρτητα από τις διατάξεις του άρθρου 26 ο Επίτροπος μπορεί να επιβάλει στους υπευθύνους επεξεργασίας ή στους τυχόν εκπροσώπους τους ή σε τρίτους τις ακόλουθες διοικητικές κυρώσεις, για παράβαση των υποχρεώσεών τους που απορρέουν από τον παρόντα Νόμο και από κάθε άλλη ρύθμιση που αφορά την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα:
    (α) Προειδοποίηση, με αποκλειστική προθεσμία για άρση της παράβασης,
    (β) χρηματική ποινή μέχρι τριάντα χιλιάδες ευρώ (€30,000),
    (γ) προσωρινή ανάκληση άδειας,
    (δ) οριστική ανάκληση άδειας,
    (ε) καταστροφή αρχείου ή διακοπή επεξεργασίας και καταστροφή των σχετικών δεδομένων.
(2) Οι υπό στοιχεία (β), (γ), (δ) και (ε) διοικητικές κυρώσεις που αναφέρονται στο εδάφιο (1) επιβάλλονται πάντοτε ύστερα από ακρόαση του υπευθύνου επεξεργασίας ή του εκπροσώπου του ή του τρίτου. Είναι ανάλογες προς τη βαρύτητα της παράβασης που καταλογίζεται. Οι υπό στοιχεία (γ), (δ) και (ε) διοικητικές κυρώσεις επιβάλλονται σε περιπτώσεις ιδιαίτερα σοβαρής ή καθ’ υποτροπήν παράβασης. Χρηματική ποινή δύναται να επιβληθεί σωρευτικά και με τις υπό στοιχεία (γ), (δ) και (ε) κυρώσεις. Αν επιβληθεί η κύρωση της καταστροφής αρχείου, για την καταστροφή ευθύνεται ο υπεύθυνος επεξεργασίας αρχείου, στον οποίο δύναται να επιβληθεί και χρηματική ποινή για μη συμμόρφωση.
(3) Η είσπραξη χρηματικών ποινών που επιβάλλονται από τον Επίτροπο εισπράττονται ως αστικό χρέος.».

4. Ο διευθυντής του Ινστιτούτου Μ παραδέχεται ευθαρσώς σε απαντητική επιστολή του ημερομηνίας 8.8.2014 ότι χωρίς να έχει οποιαδήποτε πρόθεση αλλά από άγνοια της νομοθεσίας περιέπεσε σε σφάλμα αφού δημιούργησε αρχείο με στοιχεία μαθητών που πιθανόν να ενδιαφέρονταν για το πρόγραμμα του ινστιτούτου Μ χωρίς την προηγούμενη συγκατάθεση τους και διαβεβαιώνει ότι μετά από την υπόδειξη μας αυτό το αρχείο έχει καταστραφεί και δεν πρόκειται να επαναληφθεί ξανά σύσταση τέτοιου αρχείου στο μέλλον. Επίσης παρακαλεί να ληφθεί υπόψη ότι το ενημερωτικό έντυπο εστάλη στον παραλήπτη σε κλειστό φάκελο χωρίς να γίνει καμία άλλη επεξεργασία των προσωπικών δεδομένων. Για σκοπούς επιβολής διοικητικής κύρωσης παρακαλεί να ληφθεί υπόψη ότι το ινστιτούτο Μ δεν περιέπεσε στο παρελθόν σε παρόμοια ή άλλης φύσης παράβαση.

5. Με βάση τα πιο πάνω και λαμβάνοντας ιδιαίτερα υπόψη την παραδοχή για παραβίαση του άρθρου 15(1) του Νόμου και την άμεση συμμόρφωση του διευθυντή του ινστιτούτου M, με την οικειοθελή καταστροφή του αρχείου, ως επίσης και την απόλυτα ειλικρινή στάση του κατά τη διάρκεια της διαδικασίας εξέτασης του παραπόνου και επειδή δεν υπάρχει προηγούμενη παράβαση, αποφάσισα να επιβάλω τη διοικητική κύρωση της χρηματικής ποινής των €200,00 (διακοσίων ευρώ).
Γιάννος Δανιηλίδης
Επίτροπος Προστασίας Δεδομένων
Προσωπικού Χαρακτήρα

Λευκωσία 26 Αυγούστου 2014
ΜΠαπ

Back To Top