Παραβίαση δεδομένων με ευθύνη του εκτελούντος: 1.000.000 ευρώ πρόστιμο από την CNIL

Πρόστιμο ύψους 1.000.000 ευρώ επέβαλε η γαλλική αρχή προστασίας δεδομένων CNIL σε εκτελούντα την επεξεργασία χωρίς εγκατάσταση στην Ένωση, για την παραβίαση σειράς απαιτήσεων του Γενικού Κανονισμού Προστασίας Δεδομένων.

Η υπόθεση ξεκίνησε μετά από γνωστοποίηση παραβίασης δεδομένων που υπέβαλε στην CNIL η εταιρεία DEEZER στις 10 Νοεμβρίου 2022, η οποία αφορούσε πολλά εκατομμύρια χρήστες της πλατφόρμας παγκοσμίως. Στη γνωστοποίηση αυτή η DEEZER προσδιόριζε ως πιθανή πηγή της παραβίασης τον πρώην εκτελούντα την επεξεργασία για λογαριασμό της, την ισραηλινή εταιρεία MOBIUS SOLUTIONS LTD, η οποία παρείχε τη λύση «Optimove». Ακολούθησε συμπληρωματική γνωστοποίηση στις 31 Ιανουαρίου 2023, με την οποία η DEEZER επιβεβαίωνε ότι, κατά την ανάλυσή της, η προέλευση της παραβίασης εντοπιζόταν «πολύ πιθανόν» στα συστήματα της MOBIUS SOLUTIONS LTD.

Από τον έλεγχο της γαλλικής αρχής που ακολούθησε προέκυψε ότι η MOBIUS SOLUTIONS LTD, με έδρα στο Τελ Αβίβ, δραστηριοποιείται στην ανάπτυξη εργαλείων μάρκετινγκ και εμπορεύεται το σύστημα SaaS «Optimove», μέσω του οποίου οι πελάτες της μπορούν να δημιουργούν και να εκτελούν εξατομικευμένες καμπάνιες μάρκετινγκ προς τους δικούς τους πελάτες, κατόπιν ενσωμάτωσης των σχετικών δεδομένων στην πλατφόρμα. Στο πλαίσιο αυτό η εταιρεία φιλοξενεί δεδομένα πελατών της, ενώ επιπλέον προβαίνει σε ανάλυση, μετατροπή σε δικά της μορφότυπο και segmentation των δεδομένων αυτών, προκειμένου οι πελάτες της να βελτιστοποιούν τις καμπάνιες τους.

Η DEEZER είχε συνάψει σύμβαση με τη MOBIUS SOLUTIONS LTD, η οποία εκτελέστηκε από το 2016 έως το 2020. Το αντικείμενο περιγραφόταν ως παροχή πλατφόρμας για «marketing personalization», η οποία αναλύει δεδομένα που παρέχει ο πελάτης σχετικά με τους δικούς του πελάτες και προτείνει ορισμένες ενέργειες μάρκετινγκ. Προκειμένου να παρασχεθεί πρόσβαση στην πλατφόρμα, η MOBIUS SOLUTIONS LTD έπρεπε να λάβει πληροφορίες που αφορούσαν τους χρήστες της DEEZER ώστε να αναλύσει τα δεδομένα.

Η CNIL εξέτασε, σε πρώτο στάδιο, την εφαρμογή του ΓΚΠΔ ως προς επεξεργασίες που υλοποιούνται από εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ευρωπαϊκή Ένωση.

Επικαλέστηκε το άρθρο 3 παρ. 2β’ ΓΚΠΔ και τις Κατευθυντήριες Γραμμές 3/2018 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για το πεδίο εδαφικής εφαρμογής, ιδίως ως προς την έννοια του «παρακολούθησης συμπεριφοράς» και την κάλυψη δραστηριοτήτων όπως η συμπεριφορική διαφήμιση. Η εταιρεία αμφισβήτησε την αρμοδιότητα της CNIL και υποστήριξε ότι δεν καταρτίζει συμπεριφορικά προφίλ κατά την έννοια του άρθρου 3 παρ. 2β’, ενώ η περίπτωση α’ του ιδίου άρθρου αφορά υπεύθυνο επεξεργασίας και όχι εκτελούντα.

Για να στηρίξει το συμπέρασμα περί ένταξης στο εδαφικό πεδίο εφαρμογής του ΓΚΠΔ, η CNIL σημείωσε ότι μετά την παραβίαση η MOBIUS SOLUTIONS LTD διαβίβασε στη DEEZER κατάλογο των δεδομένων χρηστών που επεξεργαζόταν για λογαριασμό της και τα οποία διέρρευσαν. Μεταξύ αυτών αναφέρονται, ενδεικτικά, στοιχεία ταυτότητας ή αναγνωριστικά, χώρα, γλώσσα, φύλο, αναγνωριστικό στην εφαρμογή, ημερομηνία γέννησης, εγγραφή σε ενημερωτικά δελτία, ημερομηνίες δημιουργίας λογαριασμού και συνεδρίας, δείκτες χρήσης όπως αριθμός ακροάσεων ανά ημέρα, playlists που αποθηκεύτηκαν ή ακούστηκαν, στοιχεία πληρωμών (ημερομηνία πρώτης πληρωμής, σύνολο πληρωμών), μέση χρήση, δείκτες «κύκλου ζωής», διάρκεια ακρόασης ανά ημέρα, αγαπημένοι καλλιτέχνες, αριθμός playlists που δημιουργήθηκαν, αριθμός ενεργειών όπως παύσεις ή «loved», κ.ά. Τα δεδομένα αυτά κρίθηκαν ως δεδομένα προσωπικού χαρακτήρα χρηστών της DEEZER που βρίσκονται εντός Ένωσης, ιδίως στη Γαλλία.

Ως προς τον χαρακτηρισμό της δραστηριότητας ως «παρακολούθησης συμπεριφοράς», η CNIL έλαβε υπόψη ότι η επεξεργασία που περιγράφηκε στη γνωστοποίηση παραβίασης αφορούσε δημιουργία τμημάτων χρηστών βάσει κοινωνικο-δημογραφικών κριτηρίων ή κριτηρίων χρήσης της υπηρεσίας DEEZER, ενώ η σύμβαση ανέφερε ρητά σκοπό «marketing personalization». Η MOBIUS SOLUTIONS LTD είχε επιβεβαιώσει ότι πραγματοποιούσε υπολογισμούς επί δεδομένων χρήσης και δημιουργούσε segments, ιδίως βάσει συνηθειών ακρόασης, ώστε η DEEZER να προσαρμόζει καμπάνιες και να βελτιστοποιεί την εμπλοκή των χρηστών της.

Η CNIL έκρινε ότι η δημιουργία των segments προϋποθέτει ανάλυση συμπεριφοράς των χρηστών στο πλαίσιο της υπηρεσίας και αποσκοπεί στην αποστολή συμπεριφορικής διαφήμισης. Κατά την κρίση της, αρκούσε η ίδια η κατάρτιση των segments για να στοιχειοθετηθεί μορφή παρακολούθησης, ανεξαρτήτως του εάν τα segments αξιοποιήθηκαν τελικά από τη DEEZER. Με τη συλλογιστική αυτή, η ανάλυση και τμηματοποίηση από τη MOBIUS SOLUTIONS LTD χαρακτηρίστηκε ως συμπεριφορικό προφίλ, συνδεόμενο με συμπεριφορά εντός Ένωσης, έστω και αν το προφίλ περιοριζόταν στην ακρόαση μουσικής στην πλατφόρμα DEEZER. Επιπλέον, η γαλλική αρχή υπενθύμισε ότι, σύμφωνα με το ΕΣΠΔ, ακόμη και η φιλοξενία δεδομένων για σκοπούς διαφημιστικής στόχευσης αρκεί για να θεωρηθεί δραστηριότητα εκτελούντος συνδεόμενη με παρακολούθηση συμπεριφοράς. Κατέληξε ότι οι επίμαχες επεξεργασίες εμπίπτουν στο άρθρο 3 παρ. 2β ́και συνεπώς στο εδαφικό πεδίο εφαρμογής του ΓΚΠΔ, χωρίς να απαιτείται κρίση και επί του άρθρου 3 παρ. 2α’.

Ως προς την αρμοδιότητά της, η CNIL επικαλέστηκε τα άρθρα 55 και 56 ΓΚΠΔ και διευκρίνισε ότι ο μηχανισμός «one-stop-shop» δεν εφαρμόζεται όταν ο υπεύθυνος ή ο εκτελών, εγκατεστημένος εκτός Ένωσης, υλοποιεί διασυνοριακή επεξεργασία υποκείμενη στον ΓΚΠΔ χωρίς κύρια ή μοναδική εγκατάσταση εντός Ένωσης. Δεδομένου ότι η MOBIUS SOLUTIONS LTD είναι εγκατεστημένη στο Ισραήλ και δεν διαθέτει εγκατάσταση σε κράτος-μέλος, κρίθηκε ότι η CNIL είναι αρμόδια να ελέγξει τη συμμόρφωση των επεξεργασιών που υλοποιούνται για λογαριασμό της DEEZER στο γαλλικό έδαφος.

Ως προς τον ρόλο της MOBIUS SOLUTIONS LTD, η γαλλική αρχή έκρινε ότι, με βάση τη συμφωνία της με τη DEEZER, η εταιρεία ενεργούσε για λογαριασμό της τελευταίας και άρα ως εκτελούσα την επεξεργασία κατά το άρθρο 4 σημείο 8 ΓΚΠΔ, με τη DEEZER να καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας αυτής.

Επί της ουσίας, διαπιστώθηκαν τρεις παραβάσεις. Κατά πρώτον, διαπιστώθηκε η παραβίαση του άρθρου 28 παρ. 3ζ’ ΓΚΠΔ, που επιβάλλει στον εκτελούντα, κατά την επιλογή του υπευθύνου, να διαγράψει ή να επιστρέψει όλα τα δεδομένα στο τέλος της παροχής υπηρεσιών και να καταστρέψει τυχόν αντίγραφα, εκτός αν δίκαιο της Ένωσης ή κράτους-μέλους επιβάλλει διατήρηση. Η CNIL διαπίστωσε ότι η σύμβαση προέβλεπε τη διαγραφή όλων των δεδομένων πελατών από τους διακομιστές της MOBIUS SOLUTIONS LTD κατά τη λύση της συνεργασίας, η οποία επήλθε την 1η Δεκεμβρίου 2020. Ωστόσο, τον Νοέμβριο 2022 σημειώθηκε παραβίαση που αφορούσε μη ανωνυμοποιημένα δεδομένα 46 εκατομμυρίων χρηστών της DEEZER παγκοσμίως, εκ των οποίων πάνω από 9 εκατομμύρια στη Γαλλία, προερχόμενη από περιβάλλον της MOBIUS SOLUTIONS LTD.

Η εταιρεία υποστήριξε ότι το αντίγραφο είχε δημιουργηθεί από τρεις υπαλλήλους της χωρίς ενημέρωση ή γνώση της διοίκησης και ότι η ίδια είχε διαγράψει τα δεδομένα που γνώριζε κατά τη λήξη της σύμβασης. Ο ισχυρισμός αυτός δεν έπεισε την εποπτική αρχή, η οποία παρατήρησε πως η εταιρεία όφειλε να ελέγχει τις ενέργειες των υπαλλήλων της και δεν μπορούσε να επικαλεστεί άγνοια ή έλλειψη ελέγχου για να αποφύγει την ευθύνη της. Κατά συνέπεια, κρίθηκε ότι υπήρξε αδικαιολόγητη διατήρηση δεδομένων μετά τη λήξη της σύμβασης και στοιχειοθετήθηκε παράβαση του άρθρου 28 παρ. 3 στοιχ. ζ’ ΓΚΠΔ.

Κατά δεύτερον, διαπιστώθηκε η παραβίαση του άρθρου 29 ΓΚΠΔ, σύμφωνα με το οποίο ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εξουσία του δεν μπορεί να επεξεργάζεται δεδομένα παρά μόνο κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός αν υποχρεούται από το δίκαιο της Ένωσης ή του κράτους-μέλους. Η CNIL παρατήρησε πως η σύμβαση περιείχε ρήτρες εμπιστευτικότητας και ρητές δεσμεύσεις ότι η MOBIUS SOLUTIONS LTD δεν έχει δικαιώματα επί των δεδομένων, ότι η DEEZER παραμένει ο αποκλειστικός ιδιοκτήτης τους, και ότι ο εκτελών δεν θα τα χρησιμοποιεί για άλλους σκοπούς πέραν της παροχής των υπηρεσιών. Παρόλα αυτά, η MOBIUS SOLUTIONS LTD είχε αναφέρει ότι τον Απρίλιο 2019 αντέγραψε μη ανωνυμοποιημένα δεδομένα χρηστών από περιβάλλον παραγωγής σε δικό της non-production περιβάλλον, για ανάπτυξη και δοκιμή πιθανών βελτιώσεων του συστήματος. Η γαλλική αρχή έκρινε ότι μια τέτοια αντιγραφή δεν προβλεπόταν στη σύμβαση, ως εκ τούτου η εταιρεία επεξεργάστηκε τα δεδομένα εκτός των εντολών του υπευθύνου επεξεργασίας, στοιχειοθετώντας παραβίαση του άρθρου 29 ΓΚΠΔ.

Τέλος, διαπιστώθηκε και η παραβίαση του άρθρου 30 ΓΚΠΔ ως προς την τήρηση αρχείου δραστηριοτήτων από τον εκτελούντα. Η εταιρεία υποστήριξε ότι όλες οι αναγκαίες πληροφορίες περιλαμβάνονταν στο συμφωνητικό επεξεργασίας δεδομένων που είχε συναφθεί, κάτι το οποίο όμως δεν κρίθηκε αρκετό, αφού η τήρηση του αρχείου δραστηριοτήτων αποτελεί αυτοτελή υποχρέωση.

Για τον υπολογισμό του προστίμου, η CNIL εφάρμοσε τα κριτήρια του άρθρου 83 ΓΚΠΔ, όπως ενσωματώνονται στο εθνικό πλαίσιο. Έλαβε υπόψη τη σοβαρότητα, την έκταση και τη διάρκεια των παραβάσεων, τον πολύ μεγάλο αριθμό των θιγόμενων προσώπων, καθώς και το ότι οι παραβάσεις συνέβαλαν στη δημιουργία συνθηκών που ευνόησαν την παραβίαση, λόγω αποθήκευσης μεγάλου όγκου δεδομένων εκτός εντολών του υπευθύνου. Σημείωσε επίσης ότι τα δεδομένα που διέρρευσαν στο darknet μπορούσαν να ενέχουν κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων, καθώς και ότι η εταιρεία διέγραψε το αντίγραφο των δεδομένων την 1η Οκτωβρίου 2023 κατόπιν εντολής της DEEZER. Με βάση τα ανωτέρω και συνεκτιμώντας τα οικονομικά στοιχεία που δήλωσε η εταιρεία, η γαλλική αρχή επέβαλε πρόστιμο 1.000.000 ευρώ και αποφάσισε τη δημοσιοποίηση της απόφασης.