Μη διαγραφή προσωπικών δεδομένων μέλους γυμναστηρίου

Νόμιμη κρίθηκε από την εποπτική αρχή της Σλοβενίας η διατήρηση δεδομένων ταυτοποίησης πρώην μέλους επιχείρησης, παρά την άσκηση δικαιώματος διαγραφής.

Η σλοβενική αρχή IP (Informacijski pooblaščenec) δέχθηκε την καταγγελία πολίτη, σύμφωνα με την οποία γυμναστήριο στο οποίο υπήρξε μέλος αρνήθηκε να ικανοποιήσει πλήρως το αίτημα διαγραφής που αυτός είχε ασκήσει και αποφάσισε να διατηρήσει ορισμένα προσωπικά δεδομένα του.

Ο καταγγέλλων ισχυρίστηκε ότι όταν τερματίστηκε η ιδιότητα μέλους που είχε στην καταγγελλόμενη επιχείρηση και ενημερώθηκε πως του έχει απαγορευτεί τόσο η εκ νέου εγγραφή του, όσο και η είσοδος στις εγκαταστάσεις της, ζήτησε την πλήρη διαγραφή των προσωπικών δεδομένων του. Το αίτημα αυτό υποβλήθηκε δύο φορές, αρχικά προφορικά την ημέρα της ενημέρωσής του και στη συνέχεια γραπτά, χωρίς όμως να ικανοποιηθεί πλήρως.

Η επιχείρηση, κληθείσα από την IP να εκθέσει τις απόψεις της, επιβεβαίωσε το περιεχόμενο της καταγγελίας. Όπως ισχυρίστηκε, ο καταγγέλλων διεγράφη από μέλος της λόγω επανειλημμένων παραβάσεων του κανονισμού λειτουργίας της. Κατά τον αποκλεισμό του, κατόπιν προφορικού αιτήματος του καταγγέλλοντος, διέγραψε όλα τα προσωπικά δεδομένα του, εκτός από τα βασικά στοιχεία ταυτοποίησης, δηλαδή μόνο το όνομα, το επώνυμο και την ημερομηνία γέννησης. Τα δεδομένα αυτά διατηρήθηκαν με σκοπό την εφαρμογή του μέτρου απαγόρευσης επανεγγραφής ή εισόδου στους χώρους της.

Η επιχείρηση ισχυρίστηκε ότι η διατήρηση των προσωπικών δεδομένων του καταγγέλλοντος βασίστηκε στο έννομο συμφέρον της, σύμφωνα με το άρθρο 6 παρ.1στ’ ΓΚΠΔ, το οποίο εν προκειμένω συνίσταται στην αποτροπή της εκ νέου χορήγησης της ιδιότητας μέλους ή και της εισόδου στους χώρους της σε πρόσωπο για το οποίο θεωρεί βάσιμα ότι θα μπορούσε να προκαλέσει εκ νέου ζημιές, να θέσει σε κίνδυνο την ασφάλεια των μελών και του προσωπικού της ή να διαταράξει την εν γένει λειτουργία της. Για τον σκοπό αυτό η επιχείρηση επεξεργάστηκε μόνο τρία προσωπικά δεδομένα ταυτοποίησης, τα οποία αποτελούν τα ελάχιστα δεδομένα που επιτρέπουν την επίτευξή του.

Παράλληλα, η επιχείρηση επεσήμανε πως ο καταγγέλλων επισκέφθηκε έκτοτε τις εγκαταστάσεις της και ζήτησε να γίνει και πάλι μέλος, γεγονός που, κατά την εκτίμησή της, επιβεβαιώνει την αναγκαιότητα διατήρησης των βασικών δεδομένων του.

Ο καταγγέλλων, με τη σειρά του, αρνήθηκε το ότι είχε αποτελέσει κίνδυνο για τα υπόλοιπα μέλη και το προσωπικό της καταγγελλόμενης και ισχυρίστηκε ότι η διαγραφή του οφειλόταν σε ασήμαντες πράξεις του, όπως το ότι δεν έβαζε τα όργανα στη θέση τους. Αρνήθηκε επίσης το ότι ενδιαφέρεται να ξαναγίνει μέλος της, για το λόγο αυτό εξέφρασε τη διαφωνία του ως προς την αναγκαιότητα της διατήρησης των δεδομένων του. Παράλληλα, διατύπωσε επιφυλάξεις ως προς το κατά πόσον η επιχείρηση διατήρησε μόνο τρία δεδομένα του, όπως ισχυρίστηκε, αφού το σχετικό αντίγραφο της καρτέλας του που του είχε αποσταλεί ως απάντηση εμφάνιζε και το φύλο, τον ταχυδρομικό κώδικα και τον αριθμό μέλους που αυτός είχε.

Η σλοβένικη αρχή συντάχθηκε με την καταγγελλόμενη επιχείρηση και έκρινε πως η ανταπόκρισή της υπήρξε σύννομη, ακόμη και παρά το ότι αυτή διατήρησε περισσότερα από τα τρία στοιχεία ταυτοποίησης που ισχυρίστηκε ότι επεξεργάζεται.

Σύμφωνα με την IP, το δικαίωμα διαγραφής του άρθρου 17 ΓΚΠΔ δεν είναι απόλυτο. Η παράγραφος 3 του άρθρου αυτού περιλαμβάνει τις περιπτώσεις κατά τις οποίες το δικαίωμα αυτό υποχωρεί. Μια από τις περιπτώσεις αυτές είναι όταν η επεξεργασία είναι αναγκαία για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. Στη συγκεκριμένη περίπτωση, ο υπεύθυνος επεξεργασίας επικαλέστηκε έννομο συμφέρον σε σχέση με την αποτροπή εισόδου στους επιχειρησιακούς του χώρους, κάτι που αναμφίβολα σημαίνει και προστασία των δικαιωμάτων και νομικών συμφερόντων του.

Το έννομο συμφέρον αυτό, σύμφωνα με τις τρεις προϋποθέσεις του άρθρου 6 παρ.1στ’ ΓΚΠΔ, κρίθηκε βάσιμο. Με βάση την απόφαση της IP, ο σκοπός της επεξεργασίας είναι καταρχήν θεμιτός, αφού αυτό επιδιώκεται είναι η διασφάλιση της ομαλής λειτουργίας της επιχείρησης και η προστασία εργαζομένων και μελών. Παράλληλα, η επεξεργασία είναι αναγκαία, αφού για την επίτευξη του σκοπού απαιτείται η διατήρηση ορισμένων μόνο δεδομένων του προσώπου στο οποίο απαγορεύεται η είσοδος και η εκ νέου σύναψη της σύμβασης μέλους. Ανεξαρτήτως των ισχυρισμών του καταγγέλλοντος ότι ο ίδιος δεν έχει πρόθεση να συνεργαστεί ξανά με τον υπεύθυνο επεξεργασίας και ότι, ως εκ τούτου, η επεξεργασία είναι περιττή, το κρίσιμο είναι ότι αυτή παραμένει αναγκαία για την επίτευξη του θεμιτού σκοπού του υπευθύνου επεξεργασίας.

Τέλος, σύμφωνα με τη σλοβένικη αρχή, δεδομένου του περιορισμένου όγκου της επεξεργασίας και του γεγονότος ότι το μέτρο απαγόρευσης εισόδου και εγγραφής εξακολουθεί να ισχύει, στην παρούσα περίπτωση τα συμφέροντα και τα δικαιώματα του καταγγέλλοντος δεν υπερισχύουν έναντι του έννομου συμφέροντος του υπευθύνου επεξεργασίας.

Με βάση το ανωτέρω σκεπτικό, η IP κατέληξε πως δεν υπήρξε παραβίαση του δικαιώματος διαγραφής που ασκήθηκε από τον καταγγέλλοντα και απέρριψε την καταγγελία.