Προσωπικά Δεδομένα: Παραβίαση δικαιωμάτων πρόσβασης, διόρθωσης και διαγραφής από τη ΔΕΗ (ΑΠΔΠΧ 42/2025)

Στην Αρχή Δεδομένων Προσωπικού Χαρακτήρα υποβλήθηκε πλήθος καταγγελιών κατά της ΔΕΗ ΑΕ, αναφορικά με παραβίαση δικαιωμάτων υποκειμένων των δεδομένων (ιδίως πρόσβασης, διόρθωσης και διαγραφής) λόγω μη ικανοποίησης ή καθυστέρησης στην ικανοποίηση των εν λόγω δικαιωμάτων (ΑΠΔΠΧ 42/2025).

Συγκεκριμένα, η Αρχή συνεξέτασε δεκατρείς συναφείς καταγγελίες για παραβίαση δικαιωμάτων των υποκειμένων των δεδομένων κατά του παρόχου ηλεκτρικής ενέργειας. Παράλληλα και με αφορμή τις εν λόγω καταγγελίες, η Αρχή εξέτασε αυτεπαγγέλτως την επάρκεια των συναφών πολιτικών και διαδικασιών της ως άνω καταγγελλομένης εταιρείας συνδυαστικά προς τα ληφθέντα τεχνικά και οργανωτικά μέτρα.

Η Αρχή διαπίστωσε, καταρχάς, ότι η καταγραφή των συνομιλιών, σε όσες περιπτώσεις έλαβε χώρα, είναι νόμιμη, καθ’ όσον συνιστά νόμιμη επαγγελματική πρακτική κατ’ άρθρο 4 παρ. 3 του ν. 3471/2006, συνδυαστικά ιδωμένου και με το άρθρο 3 του Παραρτήματος ΙΙΙ του Κώδικα Προμήθειας Ηλεκτρικής Ενέργειας.

Περαιτέρω, διαπιστώθηκε ότι, πράγματι, έχουν στοιχειοθετηθεί αυτοτελείς παραβιάσεις του άρθρου 12 παρ. 3 και 4 ΓΚΠΔ, περί προθεσμίας ανταπόκρισης σε δικαίωμα και ενημέρωσης μη ενέργειας σε δικαίωμα αντίστοιχα, ως προς τα ασκηθέντα δικαιώματα των υποκειμένων των δεδομένων, καθώς και της απορρέουσας εκ του άρθρου 24 του ΓΚΠΔ υποχρέωσης, που βαραίνει την καταγγελλόμενη εταιρεία ως υπεύθυνη επεξεργασίας.

Η Αρχή επεσήμανε, μάλιστα, ότι οι παραβιάσεις αυτές έλαβαν χώρα κατά τη διάρκεια των ετών 2022 έως και 2024, χρονικό διάστημα κατά το οποίο είχε προηγηθεί η έκδοση δύο αποφάσεων της Αρχής κατά της αυτής καταγγελλόμενης εταιρείας, με τις οποίες επεβλήθη αρχικώς επίπληξη, δευτερευόντως δε πρόστιμο πέντε χιλιάδων ευρώ, για παραβίαση των διατάξεων του άρθρου 12 παρ. 3 και 4 ως προς ασκηθέν δικαίωμα πρόσβασης. Αλλά και μεταγενέστερα, το έτος 2024, με απόφαση της Αρχής επεβλήθη στην ΔΕΗ ΑΕ μεταξύ άλλων πρόστιμο ύψους επτά χιλιάδων πεντακοσίων ευρώ για την παραβίαση ασκηθέντος δικαιώματος διόρθωσης και πρόστιμο ύψους επτά χιλιάδων πεντακοσίων ευρώ ευρώ για την παραβίαση ασκηθέντος δικαιώματος διαγραφής, ενώ με έγγραφα της Αρχής προς την εταιρεία είχε υποδειχθεί ήδη από τότε στην τελευταία -και πάλι με αφορμή την άσκηση δικαιωμάτων πρόσβασης των υποκειμένων των δεδομένων- να μεριμνήσει ώστε να λάβει τα κατάλληλα οργανωτικά και τεχνικά μέτρα, όπου καθίσταται απαραίτητο.

Κατόπιν των ανωτέρω, η Αρχή επέβαλε στη ΔΕΗ ΑΕ πρόστιμο ύψους 30.000 ευρώ, δίνοντάς της συγχρόνως εντολή να διαμορφώσει κατά τέτοιο τρόπο την οργάνωση των εσωτερικών της διαδικασιών, ως οργανωτικό μέτρο ασφαλείας ιδίως αναφορικά με την εκπαίδευση του προσωπικού στην πολιτική διαχείρισης αιτημάτων υποκειμένων των δεδομένων.

Δείτε αναλυτικά την απόφαση της Αρχής στο dpa.gr.