Πρόστιμο 2,7 εκ. ευρώ για παραβίαση δεδομένων από εταιρεία αξιολόγησης πιστοληπτικής ικανότητας

Επιμέλεια: Λουκία Εμβαλωμένου, Δικηγόρος, Δ.Σ. Αθηνών

Η Oλλανδική Αρχή Προστασίας Δεδομένων (Autoriteit Persoonsgegevens, η «Αρχή») επέβαλε πρόστιμο ύψους 2.700.000 € στην εταιρία παροχής υπηρεσιών αξιολόγησης πιστοληπτικής ικανότητας Experian Nederland B.V. (η «Experian»).

Η Αρχή έκρινε ότι ως υπεύθυνη επεξεργασίας, η Experian παραβίασε τις υποχρεώσεις ενημέρωσης των υποκειμένων των δεδομένων σχετικά με την επεξεργασία των προσωπικών δεδομένων τους για την κατάρτιση αξιολογήσεων φερεγγυότητας. Η Αρχή έκρινε επίσης ότι η επεξεργασία στερούνταν νόμιμης βάσης, καθώς η Experian δεν είχε έννομο συμφέρον για την εν λόγω επεξεργασία.

Ιστορικό

Η Experian προσέφερε, μεταξύ άλλων, υπηρεσία αξιολόγησης πιστοληπτικής ικανότητας (credit check), μέσω της οποίας οι πελάτες της (όπως πάροχοι τηλεπικοινωνιών, εκμισθωτές ακινήτων κτλ, οι «Πάροχοι») μπορούσαν να λάβουν πληροφορίες σχετικά με τη φερεγγυότητα ενός καταναλωτή. Στη συνέχεια, οι Πάροχοι χρησιμοποιούσαν αυτές τις πληροφορίες για να αποφασίσουν αν θα προβούν στη σύναψη σύμβασης με τον εν λόγω καταναλωτή, αν θα εγκρίνουν μια αγορά και υπό ποιες προϋποθέσεις.

Για την κατάρτιση αυτών των εκθέσεων πιστοληπτικής ικανότητας, η Experian συγκέντρωνε μεγάλο όγκο δεδομένων από διάφορες δημόσιες και μη δημόσιες πηγές, συμπεριλαμβανομένου του ολλανδικού Εμπορικού Επιμελητηρίου και εταιρειών τηλεπικοινωνιών και ενέργειας που πωλούν δεδομένα των πελατών τους.

Ύστερα από καταγγελίες καταναλωτών σχετικά με ασυνήθιστα υψηλές προκαταβολές και απορριφθέντα προγράμματα δόσεων από Παρόχους, το 2023, η Αρχή, έκρινε ότι η Experian παραβίασε τις υποχρεώσεις ενημέρωσης των υποκειμένων των δεδομένων και ότι επεξεργαζόταν προσωπικά δεδομένα χωρίς νόμιμη βάση, επιβάλλοντάς της υψηλό πρόστιμο.

Η Experian άσκησε εσωτερική προσφυγή κατά της εν λόγω απόφασης ενώπιον της Αρχής, υποστηρίζοντας ότι επεξεργαζόταν προσωπικά δεδομένα βάσει έννομου συμφέροντος, δηλαδή για την παροχή της υπηρεσίας αξιολόγησης πιστοληπτικής ικανότητας.

Η Απόφαση της Αρχής

Στις 16 Οκτωβρίου 2025, η Αρχή εξέδωσε απόφαση επί της προσφυγής της Experian.

Πρώτον, η Αρχή διαπίστωσε ότι, εφόσον η Experian, ως υπεύθυνη επεξεργασίας, δεν είχε συλλέξει τα προσωπικά δεδομένα από τα ίδια τα υποκείμενα δεδομένων, όφειλε, σύμφωνα με την αρχή της διαφάνειας, να τα είχε ενημερώσει σχετικά με την επεξεργασία, τους σκοπούς επεξεργασίας, τη νομική βάση, τα έννομα συμφέροντα που εμπλέκονται και τα δικαιώματά τους σχετικά με την πρόσβαση, τη διόρθωση και τη διαγραφή των προσωπικών δεδομένων τους (Άρθρα 14(1) και 14(2) GDPR). Η Αρχή τόνισε ότι η Experian όφειλε να είχε λάβει ενεργά μέτρα προς αυτή την κατεύθυνση. Επιπλέον, η Αρχή έκρινε ότι η Experian δεν παρείχε αποδείξεις ότι συμμορφώθηκε με τις υποχρεώσεις ενημέρωσης, παραβιάζοντας έτσι το Άρθρο 12(1) και το Άρθρο 14 του GDPR καθώς και τις αρχές της διαφάνειας και της νομιμότητας (Άρθρο 5(1)(α) GDPR).

Δεύτερον, η Αρχή διαπίστωσε ότι το έννομο συμφέρον που επικαλέστηκε η Experian απέτυχε στην αξιολόγηση στάθμισης συμφερόντων (balancing test). Πιο συγκεκριμένα:

• Όσον αφορά το επιδιωκόμενο έννομο συμφέρον της Experian, η Αρχή αναγνώρισε ότι αυτό ήταν νόμιμο.
• Ως προς το κριτήριο της αναγκαιότητας της επεξεργασίας, η Αρχή έκρινε ότι η Experian δεν τεκμηρίωσε επαρκώς τον λόγο για τον οποίο η επεξεργασία ορισμένων προσωπικών δεδομένων ήταν απολύτως αναγκαία, και όχι απλώς «επιθυμητή», για την κατάρτιση των αξιολογήσεων φερεγγυότητας.
• Τέλος, αναφορικά με τη στάθμιση των συμφερόντων, η Αρχή επισήμανε ότι η επεξεργασία οικονομικών δεδομένων (όπως πτωχεύσεις και αρνητικά αρχεία πληρωμών) συνιστά σοβαρή παρέμβαση στα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων, όπως κατοχυρώνονται στα Άρθρα 7 και 8 του Χάρτη Θεμελιωδών Δικαιωμάτων, καθώς πρόκειται για ευαίσθητες πληροφορίες που αφορούν την ιδιωτική τους ζωή. Επιπλέον, η Experian επεξεργαζόταν τεράστιο όγκο προσωπικών δεδομένων από πολύ μεγάλο αριθμό υποκειμένων, χωρίς να έχει ζητηθεί απαραίτητα η αξιολόγηση τους. Σε ό,τι αφορά τις εύλογες προσδοκίες των υποκειμένων, κρίθηκε σημαντικό ότι δεν υπήρχε καμία σχέση μεταξύ της Experian (ως υπευθύνου επεξεργασίας) και των υποκειμένων, των οποίων τα δεδομένα επεξεργαζόταν. Τέλος, τα μέτρα προστασίας που είχε θεσπίσει η Experian, ιδίως σε σχέση με την ακρίβεια των δεδομένων, κρίθηκαν ανεπαρκή για να μετριάσουν τις συνέπειες για τα υποκείμενα. Συνεπώς, η Αρχή έκρινε, βάσει της έρευνάς της, ότι τα συμφέροντα και/ή τα θεμελιώδη δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων υπερίσχυαν του έννομου συμφέροντος που επικαλέστηκε η Experian.

Ως εκ τούτου, η Αρχή κατέληξε ότι υπήρξε παραβίαση των άρθρων 5(1)(α) και 6(1) του GDPR.

Τέλος, η Αρχή, βάσει των πραγματικών περιστατικών, αποφάνθηκε ότι ένα πρόστιμο ύψους 2.700.000 € ήταν κατάλληλο για τις διαπιστωθείσες παραβάσεις του GDPR.

Σχόλια

Αξίζει να σημειωθεί ότι η Experian επιβεβαίωσε ότι δεν θα προσφύγει κατά του προστίμου της Αρχής και ότι τον Ιανουάριο του 2025, τερμάτισε τις υπηρεσίες της ως οργανισμός παροχής πληροφοριών πιστοληπτικής ικανότητας στην Ολλανδία και, κατά συνέπεια, δεν επεξεργάζεται πλέον προσωπικά δεδομένα για τον συγκεκριμένο σκοπό.

Η απόφαση αυτή καταδεικνύει τη σημασία της διαφάνειας στην επεξεργασία δεδομένων. Οι υπεύθυνοι επεξεργασίας οφείλουν να ενημερώνουν με σαφήνεια τα υποκείμενα των δεδομένων σχετικά με τις δραστηριότητες συλλογής και επεξεργασίας δεδομένων. Επιπλέον, η απόφαση τονίζει τα όρια της νομικής βάσης του εννόμου συμφέροντος το οποίο δεν δύναται να υπονομεύει τα συμφέροντα και τα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων.