Αχρείαστη συλλογή και διατήρηση προσωπικών δεδομένων πελατών: 100.000 ευρώ πρόστιμο σε μεσιτική εταιρεία

100.000 ευρώ πρόστιμο θα κληθεί να καταβάλει εταιρεία μεσιτείας ακινήτων στην Κροατία, μετά τη διαπίστωση πως δεν διέγραφε ποτέ τα προσωπικά δεδομένα των πελατών της.

Το πρόστιμο επιβλήθηκε από την κροατική αρχή προστασίας δεδομένων ΑΖΟΡ, η οποία πραγματοποίησε έλεγχο στα αρχεία της εταιρεία και διαπίστωσε ότι αυτή διατηρούσε προσωπικά δεδομένα 11.887 πελατών της, πέραν του χρονικού διαστήματος που ήταν αναγκαίο για την εκπλήρωση των σκοπών της επεξεργασίας.

Στο έγχαρτο αρχείο της εταιρείας εντοπίστηκε μεγάλος όγκος συμβάσεων μεσιτείας, για την αγορά και μίσθωση ακινήτων, αλλά και συμπληρωθέντα έντυπα, τα οποία είχαν συλλεγεί και αποθηκευτεί από τον Σεπτέμβριο του 2010 έως και τον Δεκέμβριο του 2019. Η διατήρηση των δεδομένων αυτών κρίθηκε ότι παραβιάζει την αρχή του περιορισμού της περιόδου αποθήκευσης του άρθρου 5 παρ.1ε’ ΓΚΠΔ, η οποία προβλέπει ότι τα δεδομένα διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

Παράλληλα, η ΑΖΟΡ διαπίστωσε ότι η εταιρεία προέβαινε στη συλλογή και επεξεργασία προσωπικών δεδομένων χωρίς την ύπαρξη της απαιτούμενης νόμιμης βάσης. Ειδικότερα, στο αρχείο της εταιρείας βρέθηκαν εκατοντάδες αντίγραφα εγγράφων ταυτοποίησης και οικονομικών στοιχείων πελατών, μεταξύ των οποίων 898 δελτία ταυτότητας, 6 διαβατήρια, κάρτες υγείας, δελτία ταυτότητας ανηλίκων, τραπεζικές κάρτες, άδειες διαμονής και άδειες οδήγησης. Η συλλογή και αποθήκευση των εγγράφων αυτών, χωρίς τεκμηριωμένη νομική βάση, κρίθηκε ότι παραβιάζει τις απαιτήσεις του άρθρου 6 παρ. 1 ΓΚΠΔ, σε συνδυασμό με την αρχή της ελαχιστοποίησης των δεδομένων.

Ιδιαίτερη βαρύτητα αποδόθηκε στο γεγονός ότι, παρά τη δήλωση του διευθυντή της εταιρείας κατά τον έλεγχο ότι δεν συλλέγονται αντίγραφα τραπεζικών καρτών, εντοπίστηκαν τέτοια αντίγραφα εντός των φακέλων πελατών. Το στοιχείο αυτό ανέδειξε έλλειψη ουσιαστικού ελέγχου επί των διαδικασιών συλλογής και επεξεργασίας, καθώς και ανεπαρκή ενημέρωση και εκπαίδευση του προσωπικού σε ζητήματα προστασίας δεδομένων. Η κροατική αρχή επισήμανε ότι η επεξεργασία αντιγράφων προσωπικών εγγράφων και οικονομικών στοιχείων ενέχει αυξημένο κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων.

Σε ό,τι αφορά τα τεχνικά και οργανωτικά μέτρα, διαπιστώθηκε ότι η εταιρεία δεν είχε εξασφαλίσει επαρκή εκπαίδευση, ούτε κατάλληλη εποπτεία των εργαζομένων που επεξεργάζονται προσωπικά δεδομένα. Οι όποιες εκπαιδεύσεις πραγματοποιούνταν αποσπασματικά και χωρίς την αναγκαία συστηματικότητα, με αποτέλεσμα οι εργαζόμενοι να μην ενεργούν πάντοτε σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας, γεγονός που κρίθηκε ότι συνιστά παραβίαση της υποχρέωσης του άρθρου 32 παρ. 4 ΓΚΠΔ, σύμφωνα με την οποία κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας οφείλει να επεξεργάζεται τα δεδομένα αποκλειστικά κατόπιν εντολών του.