Data brokers και συγκατάθεση στην επεξεργασία δεδομένων

Πρόστιμο 40.000 ευρώ επέβαλε η βελγική αρχή προστασίας δεδομένων APD στην εταιρεία εμπορίας δεδομένων Infobel για τη μεταπώληση δεδομένων, τα οποία είχαν ληφθεί από πάροχο τηλεπικοινωνιών, για σκοπούς μάρκετινγκ χωρίς έγκυρη συγκατάθεση των υποκειμένων των δεδομένων. Η APD υποχρέωσε επίσης την Infobel να ενημερώσει τις εταιρείες-πελάτες της για την απόφασή της.

Μεταπώληση δεδομένων για σκοπούς μάρκετινγκ χωρίς έγκυρη συγκατάθεση

Έχοντας λάβει διαφημιστική επικοινωνία στο γραμματοκιβώτιό του από εταιρεία της οποίας δεν ήταν πελάτης, ο καταγγέλλων στην υπόθεση αυτή ζήτησε από την εταιρεία που απέστειλε τη διαφήμιση να του γνωστοποιήσει πώς είχε αποκτήσει τα δεδομένα του. Τα δεδομένα είχαν ληφθεί από διαφημιστικό πρακτορείο, το οποίο με τη σειρά του τα είχε λάβει από τον data broker Infobel. Η Infobel είχε αρχικά προμηθευτεί τα δεδομένα από πάροχο τηλεπικοινωνιών.

Ερωτηθείς στο πλαίσιο της υπόθεσης, ο data broker ανέφερε ότι μεταπωλεί προσωπικά δεδομένα βάσει της συγκατάθεσης των υποκειμένων των δεδομένων. Η APD υπενθύμισε, ωστόσο, ότι η συγκατάθεση, για να είναι έγκυρη κατά την έννοια του Γενικού Κανονισμού Προστασίας Δεδομένων, πρέπει να πληροί μια σειρά προϋποθέσεων. Μεταξύ άλλων, πρέπει να είναι:

Εν πλήρει επιγνώσει: το πρόσωπο πρέπει να γνωρίζει ποιος επεξεργάζεται τα δεδομένα του και για ποιον σκοπό, ώστε να μπορεί να συγκατατεθεί με επίγνωση στην επεξεργασία των δεδομένων του. Εν προκειμένω, ο καταγγέλλων δεν είχε ενημερωθεί ποτέ ότι τα δεδομένα του θα εμπορευματοποιούνταν από την Infobel. Παράλληλα, η απουσία αυτή πληροφόρησης εμπόδιζε τον καταγγέλλοντα να επικοινωνήσει με την εταιρεία για να ασκήσει το δικαίωμά του να ανακαλέσει τη συγκατάθεσή του, δεδομένου ότι δεν γνώριζε πως η εταιρεία αυτή κατείχε και επεξεργαζόταν τα δεδομένα του.

Αδιαμφισβήτητη: η συγκατάθεση πρέπει να παρέχεται με ενεργό τρόπο· δεν μπορεί να τεκμαίρεται σε περίπτωση αδράνειας ή προεπιλεγμένου πλαισίου. Εν προκειμένω, σύμφωνα με την εταιρεία, η συγκατάθεση του καταγγέλλοντος για τη μεταπώληση των δεδομένων του προέκυπτε από την ανάγνωση γενικών όρων και όχι από σαφή θετική ενέργεια εκ μέρους του.

Ρητή: η εταιρεία που ζητεί συγκατάθεση για διάφορους συγκεκριμένους σκοπούς οφείλει να προβλέπει ξεχωριστή συγκατάθεση για κάθε σκοπό, έτσι ώστε, το υποκείμενο των δεδομένων να έχει την ελευθερία να συγκατατεθεί (ή όχι) σε καθέναν από αυτούς. Εν προκειμένω, δεν ζητήθηκε καμία διακριτή συγκατάθεση για τη μεταπώληση δεδομένων για σκοπούς άμεσου μάρκετινγκ.

Με βάση τα ανωτέρω, η βελγική αρχή διαπίστωσε ότι δεν πληρούνταν οι απαιτήσεις της έγκυρης συγκατάθεσης κατά την έννοια του ΓΚΠΔ και ότι η Infobel δεν απέδειξε πως ο καταγγέλλων είχε νομίμως συγκατατεθεί στη μεταπώληση των δεδομένων του.

Διαγραφή των δεδομένων και ενημέρωση των εταιρειών-πελατών

Η APD επέβαλε στην Infobel πρόστιμο ύψους 40.000 ευρώ για τη μεταπώληση δεδομένων για σκοπούς μάρκετινγκ, η οποία έγινε χωρίς συγκατάθεση. Κατά τον υπολογισμό του προστίμου, η βελγική αρχή έλαβε υπόψη το γεγονός ότι, σύμφωνα με την Infobel, η επίμαχη βάση δεδομένων δεν χρησιμοποιείται πλέον από το 2023 και ότι τα δεδομένα της εν λόγω βάσης έχουν διαγραφεί.

Παράλληλα, η εταιρεία υποχρεώθηκε να διαγράψει όλα τα προσωπικά δεδομένα για τα οποία δεν μπορεί να αποδείξει ότι διαθέτει νόμιμη βάση (όπως, για παράδειγμα, έγκυρη συγκατάθεση) που να επιτρέπει την επεξεργασία τους.

Τέλος, η APD διέταξε την Infobel να επικοινωνήσει με τις εταιρείες-πελάτες που έλαβαν δεδομένα από αυτήν και να τις ενημερώσει, αφενός, για την εντολή διαγραφής των δεδομένων και, αφετέρου, για το γεγονός ότι η συγκατάθεση, στην οποία στηριζόταν η επεξεργασία τους, κρίθηκε μη νόμιμη.

Data brokers: μια δραστηριότητα που πρέπει να είναι διαφανής

Οι data brokers είναι εταιρείες που συλλέγουν προσωπικά δεδομένα από διάφορες πηγές, τα επεξεργάζονται και τα μεταπωλούν σε τρίτους, οι οποίοι τα χρησιμοποιούν για διάφορους σκοπούς (π.χ. μάρκετινγκ, έρευνα κ.λπ.).

Το γεγονός ότι τα δεδομένα που υφίστανται επεξεργασία και μεταπώληση από τους data brokers συνήθως δεν συλλέγονται απευθείας από τα υποκείμενα των δεδομένων μπορεί να δημιουργεί δυσχέρειες ως προς τη διαφάνεια· η διαφάνεια, όμως, αποτελεί έναν από τους ακρογωνιαίους λίθους του ΓΚΠΔ. Μόνο όταν τα πρόσωπα ενημερώνονται ότι τα δεδομένα τους υφίστανται επεξεργασία μπορούν να ασκήσουν τα δικαιώματά τους βάσει δικαίου προστασίας δεδομένων, όπως, για παράδειγμα, το δικαίωμα εναντίωσης στην επεξεργασία των δεδομένων τους ή το δικαίωμα διαγραφής τους.

Οι data brokers οφείλουν, επομένως, να επιδεικνύουν ιδιαίτερη επιμέλεια ως προς την πληροφόρηση που παρέχουν στα πρόσωπα των οποίων τα δεδομένα επεξεργάζονται. Η APD έχει ήδη επιβάλει κυρώσεις σε data brokers, ιδίως το 2021, το 2024 και το 2025.