Έλεγχος της νομιμότητας των επεξεργασιών που εκτελεί η εταιρεία «INFOCREDIT»
Σύνοψη της Απόφασης που λήφθηκε στις 22/5/2018
Με αφορμή παράπονα και καταγγελίες που κατά καιρούς υποβάλλονταν στο Γραφείο της Επιτρόπου, καθώς και αιτήματα γραπτά και προφορικά από πολίτες και Δημόσιες Αρχές, η Επίτροπος έκρινε απαραίτητο να προχωρήσει σε διενέργεια αυτεπάγγελτου έλεγχου ώστε να διακριβώσει κατά πόσο οι ενέργειές και πράξεις της εν λόγω εταιρείας ήταν σύννομες και συνάδουσες με ουσιώδεις πρόνοιες του Νόμου.
Επιπλέον, η πραγματοποίηση του ελέγχου νομιμότητας κρίθηκε απαραίτητη ενόψει της επικείμενης εφαρμογής του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ), ο οποίος τίθεται σε εφαρμογή στις 25 Μαΐου 2018.
Ο έλεγχος της νομιμότητας διήρκησε περίπου δύο χρόνια και κατά την διενέργεια του αξιολογήθηκαν πληροφορίες από διάφορες πηγές συμπεριλαμβανομένων των Γνωστοποιήσεων, των συναντήσεων και ακροάσεων με τους διευθυντές της εταιρείας και τους δικηγόρους της, των παραπόνων που υποβλήθηκαν, της σχετικής αλληλογραφίας και των διαφόρων εκδοχών των ιστοσελίδων της Infocredit στο Διαδίκτυο.
Αφού έλαβε υπόψη της όλα τα στοιχεία των οικείων Φακέλων συμπεριλαμβανομένων των ισχυρισμών της εν λόγω εταιρείας και με βάση τα ευρήματα του ελέγχου, η Επίτροπος κατέληξε ότι η Infocredit:
- Ενήργησε κατά παράβαση των διατάξεων του άρθρου 4(1)(α)(β)(γ) και (δ) του Νόμου καθ’ υπέρβαση των αρχών της Νομιμότητας, του Σκοπού, της Αναλογικότητας και της Ακρίβειας των δεδομένων.
- Ενήργησε κατά παράβαση των διατάξεων του άρθρου 5(1) του Νόμου αφού απέτυχε να αποδείξει την εξασφάλιση σχετικής συγκατάθεσης από τα υποκείμενα των δεδομένων, ιδίως σε ότι αφορά στη διάθεση και /ή εμπορία των πληροφοριών που αφορούν στο άτομό τους.
- Ενήργησε κατά παράβαση των διατάξεων του άρθρου 10(4) του Νόμου, ως εκτελών την επεξεργασία σύμφωνα με παραδοχή της, δεδομένου ότι απέτυχε να προσκομίσει στην Επίτροπο τις σχετικές συμβάσεις ανάθεσης των επεξεργασιών οι οποίες καθορίζουν και /ή περιορίζουν το ρόλο και τις υποχρεώσεις έκαστου μέρους και ιδιαίτερα του εκτελούντος την επεξεργασία.
- Ενήργησε κατά τρόπο αδιαφανή και αναξιόπιστο παρά τις υποδείξεις της Επιτρόπου περί του αντιθέτου ιδίως κατά την επίκληση της συμμόρφωσής της με τις Οδηγίες και Αποφάσεις του Γραφείου της αλλά και το Νόμο σε διάφορα μέσα ενισχύοντας ένα περιβάλλον ασφάλειας και νομιμοφάνειας στο κοινό και τους δυνητικούς πελάτες της σχετικά με τις δραστηριότητές της.
Αφού προσμέτρησε όλους τους παράγοντες της υπόθεσης, καθώς και τις επιβαρυντικές και μετριαστικές παραμέτρους, η Επίτροπος υπέβαλε στην Infocredit τη διοικητική κύρωση της χρηματικής ποινής ύψους €25,000 και τη διοικητική κύρωση της προειδοποίησης, με αποκλειστική προθεσμία για άρση της παράβασης.
Δόθηκε στην Infocredit προθεσμία τριών μηνών ώστε να λάβει τα κατάλληλα μέτρα για πλήρη εναρμόνιση όλων των διαδικασιών με τον ΓΚΠΔ που αφορούν μεταξύ άλλων πολιτικές ασφάλειας, πρακτικές, εκθέσεις αντικτύπου, επικαιροποίηση προσωπικών δεδομένων, συλλογή και επεξεργασία προσωπικών δεδομένων, εκτέλεση επεξεργασιών εκ μέρους υπευθύνων επεξεργασίας με γραπτές συμβάσεις, αρχεία δραστηριοτήτων, υιοθέτηση μηχανισμών εξυπηρέτησης και ικανοποίησης των δικαιωμάτων των υποκειμένων των δεδομένων, εξασφάλιση συγκαταθέσεων όπου απαιτείται και διάθεση όλων των σχετικών εγγράφων, από το Γραφείο της Επιτρόπου για σκοπούς ελέγχου της συμμόρφωσης της.
22 Μαΐου 2018