Βέλγιο: Πρόστιμο 86.000 ευρώ σε δημόσια εταιρεία ύδρευσης για καταγραφή τηλεφωνικών συνομιλιών

Πρόστιμα συνολικού ύψους 86.000 ευρώ επέβαλε η βελγική Αρχή Προστασίας Δεδομένων APD στη Société Wallonne des Eaux (SWDE), τη δημόσια επιχείρηση ύδρευσης της Βαλλονίας, στο πλαίσιο υπόθεσης που αφορούσε την καταγραφή και ακρόαση τηλεφωνικών συνομιλιών για σκοπούς αξιολόγησης της ποιότητας των υπηρεσιών και εκπαίδευσης του προσωπικού.

Η υπόθεση αφορούσε σύστημα καταγραφής και ακρόασης τηλεφωνικών συνομιλιών που είχε θέσει σε εφαρμογή η SWDE στο πλαίσιο της αξιολόγησης της ποιότητας των υπηρεσιών της και της εκπαίδευσης του προσωπικού της. Μέσω των καταγραφών εξετάζονταν οι συνομιλίες υπαλλήλων με πολίτες που επικοινωνούσαν με την εταιρεία για ζητήματα εξυπηρέτησης πελατών, όπως λογαριασμοί, πληρωμές, τεχνικές παρεμβάσεις και συνδέσεις ύδρευσης.

Η έρευνα της βελγικής αρχής ξεκίνησε έπειτα από καταγγελία εργαζομένου το 2020, ο οποίος υποστήριξε ότι οι καταγραφές πραγματοποιούνταν συστηματικά και ότι το προσωπικό δεν είχε λάβει επαρκή ενημέρωση για την επεξεργασία των προσωπικών του δεδομένων. Στο πλαίσιο της πολυετούς έρευνας εξετάστηκαν οι νομικές βάσεις της επεξεργασίας, οι πρακτικές ενημέρωσης εργαζομένων και πολιτών, οι συμβάσεις με εκτελούντες την επεξεργασία, η τήρηση των χρονικών ορίων διατήρησης των καταγραφών και η υποχρέωση διενέργειας εκτίμησης αντικτύπου για την προστασία δεδομένων.

Η APD διαπίστωσε ότι οι πληροφορίες που παρείχε η SWDE στους εργαζομένους των οποίων οι κλήσεις καταγράφονταν ή παρακολουθούνταν δεν περιλάμβαναν το σύνολο των πληροφοριών που απαιτούνταν από τη νομοθεσία για την προστασία δεδομένων. Μεταξύ άλλων, επισημάνθηκε ότι δεν παρέχονταν επαρκείς πληροφορίες σχετικά με τις διαδικασίες ελέγχου, τη νομική βάση της επεξεργασίας, τους αποδέκτες των δεδομένων, τη διάρκεια διατήρησης και τον υποχρεωτικό ή μη χαρακτήρα της παροχής των δεδομένων.

Αντίστοιχες ελλείψεις διαπιστώθηκαν και στην ενημέρωση των πολιτών που καλούσαν το τηλεφωνικό κέντρο της εταιρείας. Η απόφαση αναφέρει ότι οι παρεχόμενες πληροφορίες δεν ήταν πλήρεις, επαρκώς διαφανείς, κατανοητές και εύκολα προσβάσιμες. Ειδικότερα, η Αρχή διαπίστωσε ότι το αυτοματοποιημένο ενημερωτικό μήνυμα που άκουγαν οι πολίτες όταν καλούσαν την εταιρεία δεν περιλάμβανε βασικές πληροφορίες για την επεξεργασία των προσωπικών τους δεδομένων ούτε εξηγούσε πώς μπορούσαν να αποκτήσουν πρόσβαση σε αναλυτικότερη ενημέρωση. Παράλληλα, έκρινε ότι η πολιτική προστασίας δεδομένων που ήταν αναρτημένη στον ιστότοπο της εταιρείας περιείχε ασαφείς πληροφορίες, μεταξύ άλλων ως προς τις νομικές βάσεις της επεξεργασίας και τις ενδεχόμενες διεθνείς διαβιβάσεις δεδομένων.

Η Αρχή εξέτασε επίσης τη σχέση της SWDE με εξωτερικό εκτελούντα την επεξεργασία. Από τα στοιχεία της υπόθεσης προέκυψε ότι δεν είχε συναφθεί σύμβαση επεξεργασίας δεδομένων που να περιλαμβάνει τις υποχρεώσεις του άρθρου 28 παρ. 3 ΓΚΠΔ. Η πλημμέλεια αυτή διαπιστώθηκε για την περίοδο από τον Ιανουάριο του 2019 έως τον Δεκέμβριο του 2023, ενώ η ίδια η εταιρεία ανέφερε ότι σχετική γραπτή σύμβαση υπογράφηκε τον Δεκέμβριο του 2023.

Ιδιαίτερη σημασία δόθηκε και στην υποχρέωση διενέργειας εκτίμησης αντικτύπου (DPIA) για τη συγκεκριμένη επεξεργασία δεδομένων. Η SWDE υποστήριξε ότι δεν θεωρούσε πως οι επίμαχες πράξεις επεξεργασίας απαιτούσαν μια τέτοια αξιολόγηση και, για τον λόγο αυτό, δεν είχε προχωρήσει στη σύνταξή της πριν από την έναρξη της καταγραφής και ακρόασης των τηλεφωνικών συνομιλιών. Η βελγική αρχή, ωστόσο, επισήμανε ότι δεν προσκομίστηκε κανένα στοιχείο που να αποδεικνύει ότι είχε προηγηθεί κάποια τεκμηριωμένη εξέταση των σχεδιαζόμενων επεξεργασιών, η οποία θα μπορούσε να δικαιολογήσει την απουσία DPIA.

Κατά το σκεπτικό της απόφασης, ελλείψει τέτοιας προηγούμενης αξιολόγησης, εφαρμοζόταν η γενική υποχρέωση του άρθρου 35 παρ. 1 ΓΚΠΔ, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας οφείλει να διενεργεί εκτίμηση αντικτύπου πριν από την έναρξη επεξεργασιών που ενδέχεται να ενέχουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Η αρχή κατέληξε ότι η απαιτούμενη DPIA για τις καταγραφές και ακροάσεις τηλεφωνικών συνομιλιών έπρεπε να είχε ολοκληρωθεί το αργότερο έως τις 25 Μαΐου 2018, ωστόσο το σχετικό έγγραφο συντάχθηκε μόλις στις 10 Ιουνίου 2022, γεγονός που οδήγησε στη διαπίστωση παράβασης του άρθρου 35 παρ. 1 ΓΚΠΔ για το διάστημα από τις 25 Μαΐου 2018 έως τις 9 Ιουνίου 2022 και στην επιβολή επίπληξης.

Βαρύτερες υπήρξαν οι κυρώσεις που επιβλήθηκαν για τις παραβάσεις που σχετίζονταν με την υποχρέωση διαφάνειας και ενημέρωσης των άρθρων 5 παρ. 1 στοιχ. α', 12 παρ. 1 και 13 ΓΚΠΔ, καθώς και την έλλειψη συμφωνητικού με τον εκτελούντα την επεξεργασία κατά παράβαση του άρθρου 28 παρ. 3 του Γενικού Κανονισμού. Για τις παραβάσεις διαφάνειας, ενημέρωσης και θεμιτής επεξεργασίας επιβλήθηκε διοικητικό πρόστιμο 85.000 ευρώ, ενώ για την παράβαση που αφορούσε τη σχέση με τον εκτελούντα την επεξεργασία επιβλήθηκε πρόστιμο 1.000 ευρώ.