Παραβίαση υποχρεώσεων διαγραφής προσωπικών δεδομένων
Οι παραβιάσεις της προστασίας δεδομένων ή του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) μπορούν να επιφέρουν υψηλά πρόστιμα. Έτσι, ο Επίτροπος Προστασίας Δεδομένων και Ελευθερίας Πληροφοριών του Αμβούργου (HmbBfDI) επέβαλε πρόστιμο ύψους 900.000 ευρώ σε επιχείρηση του κλάδου της διαχείρισης απαιτήσεων, επειδή δεν διέγραψε εγκαίρως τα προσωπικά δεδομένα.
Με την εισαγωγή του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR), οι απαιτήσεις για την προστασία δεδομένων στις επιχειρήσεις αυξήθηκαν σημαντικά. Πρέπει, λοιπόν, οι επιχειρήσεις κατά την επεξεργασία προσωπικών δεδομένων να λαμβάνουν κατάλληλα μέτρα για την προστασία των δεδομένων. Επιπλέον, τα επηρεαζόμενα πρόσωπα έχουν δικαίωμα έγκαιρης διαγραφής των δεδομένων τους. Σε περίπτωση παραβιάσεων της νομοθεσίας περί προστασίας δεδομένων ή του GDPR, αιωρούνται στις επιχειρήσεις αυστηρά πρόστιμα, όπως αναφέρει η δικηγορική εταιρεία MTR Legal, η οποία συμβουλεύει μεταξύ άλλων σε θέματα IT δικαίου.
Έλεγχος επιχειρήσεων στη διαχείριση απαιτήσεων
Η αποθήκευση των προσωπικών τους δεδομένων μπορεί να αποτελεί τεράστιο βάρος ιδιαίτερα για τους οφειλέτες. Καθώς τα δεδομένα τους παραδίδονται επίσης τακτικά σε γραφεία αξιολόγησης. Αυτό μπορεί π.χ. να δυσχεράνει σημαντικά τη σύναψη ενός συμβολαίου. Επομένως, είναι πολύ σημαντικό για τους οφειλέτες να διαγραφούν τα δεδομένα τους μετά τη λήξη των αντίστοιχων προθεσμιών.
Το Αμβούργο είναι σημαντικός κόμβος στον τομέα της διαχείρισης απαιτήσεων. Ο Επίτροπος Προστασίας Δεδομένων και Ελευθερίας Πληροφοριών του Αμβούργου (HmbBfDI) ανέθεσε για αυτόν τον λόγο να διεξαχθεί επιτόπια εξέταση στις ισχυρές επιχειρήσεις του κλάδου της διαχείρισης απαιτήσεων.
Κατά κύριο λόγο θετικό συμπέρασμα
Κατά τη διάρκεια των ελέγχων, έγινε γενικά επαλήθευση για το πώς αποθηκεύονται και επεξεργάζονται περαιτέρω τα προσωπικά δεδομένα στις επιχειρήσεις. Για αυτόν τον λόγο, ο Επίτροπος Προστασίας Δεδομένων μαζί με την ομάδα του επισκέφθηκαν κάποιες επιχειρήσεις στα κεντρικά τους γραφεία. Σε αυτό το πλαίσιο, οι ειδικοί προστασίας δεδομένων κατάφεραν να καταλήξουν σε κατά κύριο λόγο θετικό συμπέρασμα. Κυρίως, βελτιώθηκε η διαφάνεια των επιχειρήσεων απέναντι στα επηρεαζόμενα άτομα, ανέφερε ο Επίτροπος Προστασίας Δεδομένων σε δελτίο Τύπου της 12ης Νοεμβρίου 2024.
Τα δεδομένα διατηρούνται πολύ καιρό
Ωστόσο, υπάρχουν και εξαιρέσεις. Κατά τη διάρκεια των ελέγχων, διαπιστώθηκε σε μια επιχείρηση ότι διατηρούσε σύνολα δεδομένων παρόλο που οι προθεσμίες διαγραφής είχαν προ πολλού παρέλθει. Η επιχείρηση αυτή είχε αποθηκεύσει σύνολα προσωπικών δεδομένων σε εξαψήφιο αριθμό χωρίς να υπάρχει νομική βάση. Αυτό συνιστά παραβίαση του άρθρου 5, παράγραφος 1 υπό α, και του άρθρου 6, παράγραφος 1 του GDPR. Παρόλο που τα δεδομένα δεν παραδόθηκαν σε τρίτους, παρέμεναν αποθηκευμένα στη βάση δεδομένων κατά πλειοψηφία 5 χρόνια μετά τη λήξη των νομικών προθεσμιών διατήρησης και δεν είχαν διαγραφεί από τη βάση δεδομένων, ανέφερε περαιτέρω ο Επίτροπος Προστασίας Δεδομένων Αμβούργου.
Για αυτήν την παραβίαση, ο Επίτροπος Προστασίας Δεδομένων επέβαλε πρόστιμο ύψους 900.000 ευρώ στην επιχείρηση. Η επιχείρηση αποδέχτηκε το πρόστιμο. Το γεγονός ότι συνεργάστηκε με την εποπτική αρχή κατά την επεξεργασία της παραβίασης δεδομένων, λήφθηκε υπόψη κατά την επιβολή του προστίμου. Παρόμοιες παραβιάσεις διαπιστώθηκαν και σε άλλη επιχείρηση. Εκεί όμως οι έρευνες δεν έχουν ακόμα ολοκληρωθεί.
Όταν τερματίζεται μια πελατειακή σχέση, τα αποθηκευμένα δεδομένα πρέπει να διαγράφονται άμεσα ή αφού λήξουν οι προθεσμίες διατήρησης. Η παραβίαση αυτών των υποχρεώσεων διαγραφής μπορεί να είναι δαπανηρή, όπως δείχνει το παράδειγμα της επιχείρησης στο Αμβούργο. Για να αποφεύγονται τέτοιες παραβιάσεις, είναι σημαντικό οι επιχειρήσεις να ενσωματώσουν μια αποτελεσματική συμμόρφωση με την προστασία δεδομένων.
Έγκαιρη διαγραφή των δεδομένων
Για να διαχειριστούν νόμιμα τα ευαίσθητα προσωπικά δεδομένα, θα πρέπει επίσης να αναπτυχθεί μια συστηματική στρατηγική διαγραφής, έτσι ώστε να μην αποθηκεύονται καταχρηστικά και να υπάρχει παραβίαση του GDPR. Κατά τη συλλογή των δεδομένων, θα πρέπει ήδη να είναι σαφές, αν και για πόσο διάστημα μπορούν να αποθηκευτούν και να επεξεργαστούν παραπέρα. Έτσι, μπορούν να αποφευχθούν πρόστιμα λόγω παραβιάσεων της προστασίας δεδομένων και να ενισχυθεί η εμπιστοσύνη των πελατών.
Πρέπει να σημειωθεί ότι η προστασία δεδομένων παίζει σημαντικό ρόλο όχι μόνο στην εξωτερική σχέση με τους πελάτες, αλλά και εσωτερικά στις σχέσεις με τους εργαζομένους. Γιατί, σύμφωνα με τον GDPR, και οι εργαζόμενοι έχουν το δικαίωμα ενημέρωσης από τον εργοδότη τους αναφορικά με τη χρήση των προσωπικών τους δεδομένων.
Η MTR Legal Rechtsanwälte συμβουλεύει στο δίκαιο προστασίας δεδομένων και σε θέματα IT δικαίου.
Παρακαλώ επικοινωνήστε μαζί μας!
