Κυριακή, 13 Απριλίου 2008

Η αποστολή επιστολής ως επεξεργασία προσωπικών δεδομένων

Με την υπ' αριθ. 9/2008 απόφασή της, η Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έκρινε αναφορικά με μια καταγγελία που τέθηκε υπόψη της, η οποία αφορούσε τη διάδοση απλών προσωπικών δεδομένων μέσω της αποστολής επιστολής από ασφαλιστική εταιρία σε έναν ευρύ κύκλο προσώπων, πελατών της ασφαλιστικής εταιρίας, τα οποία αφορούσαν συγκεκριμένα το γεγονός της καταγγελίας της σχέσης συνεργασίας της εταιρίας με τον καταγγέλοντα - ασφαλιστικό σύμβουλο.
Στην απόφαση αυτή, η Αρχή έκρινε ότι η εν λόγω επεξεργασία συνάδει με τις διατάξεις του Ν. 2472/1997 για την Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, που αναφέρονται στο σκεπτικό της παρούσας απόφασης και με την εφαρμογή των οποίων έχει επιφορτιστεί η Αρχή. Ωστόσο, το πιο κρίσιμο, κατά την άποψή μας, ζήτημα είναι το ότι σύμφωνα με την Αρχή, η αποστολή μιας απλής επιστολής κρίθηκε ότι συνιστά επεξεργασία προσωπικών δεδομένων.
Ειδικότερα, στην Αρχή υποβλήθηκε προσφυγή – καταγγελία ασφαλιστικού συμβούλου, σύμφωνα με την οποία η εταιρεία "* *", με έδρα τη Θεσσαλονίκη, γνωστοποίησε σε ευρύ κύκλο προσώπων δεδομένα προσωπικού χαρακτήρα, που τον αφορούν. Ειδικότερα, η εν λόγω εταιρεία απέστειλε, στις αρχές του 2006, σε μεγάλο αριθμό πελατών της (περίπου 3.000, κατά τους ισχυρισμούς του προσφεύγοντος), οι οποίοι είχαν άμεση σχέση με τον προσφεύγοντα, επιστολή υπογεγραμμένη από τον τότε υπεύθυνο διαχείρισης πελατών της, με την οποία τους πληροφορούσε ότι προέβη στην καταγγελία της σύμβασης, που τη συνέδεε με τον προσφεύγοντα, λόγω του ότι εκείνος δεν της κατέβαλε μέρος των ασφαλίστρων, που αντιστοιχούσαν στα ασφαλιστήρια, που είχαν συναφθεί με τη μεσολάβησή του.
Σε σχέση με το κρίσιμο θέμα αν η αποστολή μιας επιστολής συνιστά επεξεργασία προσωπικών δεδομένων, η Αρχή αναφέρει κατά λέξη:

Επειδή, από το συνδυασμό των προαναφερομένων διατάξεων των άρθρων 2 και 3 παρ. 1 του Ν. 2472/1997 προκύπτει ότι η αποστολή από την καταγγελλόμενη εταιρεία της ως άνω επιστολής με το συγκεκριμένο περιεχόμενο στους προαναφερόμενους αποδέκτες, συνιστά αυτοματοποιημένη επεξεργασία («διάδοση») απλών δεδομένων προσωπικού χαρακτήρα του προσφεύγοντος, τα οποία τηρούνται στα αρχεία της εν λόγω εταιρείας, ως υπευθύνου επεξεργασίας. Συνεπώς, η Αρχή έχει αρμοδιότητα να εξετάσει εάν η επεξεργασία αυτή συνάδει ή όχι με τις διατάξεις του Ν. 2472/1997.

Προϋπόθεση για να τύχει εφαρμογής ο Ν. 2472/1997 είναι να υφίσταται επεξεργασία προσωπικών δεδομένων, πληροφοριών δηλ. που αφορούν ένα φυσικό πρόσωπο. Σύμφωνα με το νόμο, η επεξεργασία πρέπει να γίνεται είτε με αυτοματοποιημένες μεθόδους είτε με μη αυτοματοποιημένες μεθόδους, οπότε όμως θα πρέπει τα δεδομένα να περιλαμβάνονται ή να πρόκειται να περιληφθούν σε αρχείο.
Εν προκειμένω, εφόσον πρόκειται για επιστολή που αποστέλλεται μέσω του ταχυδρομείου και όχι μέσω ηλεκτρονικού ταχυδρομείου, έχουμε να κάνουμε με μη αυτοματοποιημένη επεξεργασία. Για να τύχει, ακολούθως, εφαρμογής ο ν. 2472/1997 σε μη αυτοματοποιημένη επεξεργασία θα πρέπει τα δεδομένα να περιλαμβάνονται σε αρχείο, όπως προαναφέρθηκε. Όμως, δεν καθίσταται σαφές από την απόφαση αν τα προσωπικά δεδομένα προέρχονται από αρχείο, από διαρθρωμένο σύνολο δηλ. προσωπικών δεδομένων προσιτών με συγκεκριμένα κριτήρια.
Βεβαίως, η Αρχή κάνει λόγο για αυτοματοποιημένη επεξεργασία, κρίση που δεν μπορεί να συναχθεί από τα πραγματικά περιστατικά, διότι η αποστολή μιας επιστολής δεν συνιστά αυτοματοποιημένη επεξεργασία, αλλά μόνο για εν μέρει αυτοματοποιημένη επεξεργασία θα μπορούσε να γίνει λόγος, εφόσον προέκυπτε ότι τα δεδομένα που περιλαμβάνονται στην επιστολή έχουν συναχθεί από άλλα ηλεκτρονικά δεδομένα. Κάτι τέτοιο δεν προκύπτει, ενώ ούτε τεκμηριώνεται η ύπαρξη αρχείου - ηλεκτρονικού ή μη - που αφορά τον προσφεύγοντα , το οποίο τηρούσε η ασφαλιστική εταιρία.
Συνεπώς, η επιχειρηματολογία της Αρχής στην οποία στηρίζει την απόφαση παρουσιάζει κενά και ελλείψεις.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου