GDPR: Hamburg DPA imposes fine for unlawful processing of customers’ personal data

By Simeon Kretsis  & Nicholas Zelios

The article refers to the € 900.000 fine imposed by the Hamburg Data Protection Authority on an electricity and gas supply company for the unlawful processing of costumers’ personal data due to lack of adequate information regarding their personal data processing.

Below you may find the full article in Greek

 

GDPR: Πρόστιμο 900.000 ευρώ για παράνομη επεξεργασία προσωπικών δεδομένων σε εταιρεία – πάροχο ενέργειας

Των Συμεών Κρέτση & Νίκου Ζέλιου

  1. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα του Αμβούργου επέβαλε πρόστιμο 900.000 ευρώ σε εταιρεία παροχής ηλεκτρικού ρεύματος και φυσικού αερίου για επεξεργασία των προσωπικών δεδομένων των πελατών της κατά παράβαση του κανονιστικού πλαισίου προστασίας δεδομένων.Ειδικότερα, σύμφωνα με την εποπτική Αρχή, η εταιρεία παραβίασε τις υποχρεώσεις της που απορρέουν από την αρχή της διαφάνειας που επιτάσσει ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR), καθώς δεν παρείχε στους πελάτες της πλήρη και επαρκή ενημέρωση σε σχέση με την επεξεργασία δεδομένων τους.Όπως προέκυψε από την έρευνα της Αρχής, η εταιρεία δεν ενημέρωσε περίπου 500.000 πελάτες της αναφορικά με επεξεργασία προσωπικών δεδομένων τους η οποία λάμβανε χώρα στο πλαίσιο εσωτερικής διαδικασίας, και είχε ως σκοπό την αποφυγή πληρωμής bonus νέου πελάτη, σε πρώην πελάτες της εταιρείας, οι οποίοι αφού είχαν διακόψει τη συνεργασία τους με την εν λόγω εταιρεία ενέργειας, επανέρχονταν με νέα αίτηση σύνδεσης. Έτσι, η εταιρεία προκειμένου να εντοπίσει τους -πραγματικά- νέους πελάτες και να απονείμει το σχετικό bonus, σύγκρινε τα στοιχεία των υποψήφιων πελατών, όπως αυτά προέκυπταν από τις νέες αιτήσεις σύνδεσης, με τα στοιχεία του υφιστάμενου πελατολογίου της. Η εταιρεία εφάρμοσε την εν λόγω διαδικασία κατά το χρονικό διάστημα από τον Αύγουστο 2018 έως και το Δεκέμβριο του 2019.Η εποπτική Αρχή για τον υπολογισμό του προστίμου έλαβε υπόψη της ως επιβαρυντικούς παράγοντες αφενός μεν τον ιδιαίτερα μεγάλο αριθμό φυσικών προσώπων που αφορούσε η εν λόγω πρακτική της εταιρείας, αφετέρου δε το εύρος του χρονικού διαστήματος κατά το οποίο αυτή λάμβανε χώρα. Ως ελαφρυντικοί παράγοντες ελήφθησαν υπόψη τόσο η αμεσότητα διακοπής της υπό εξέταση επεξεργασίας, αμέσως μετά την πρώτη ενέργεια της Αρχής, αλλά και η συνολική στενή και πλήρης συνεργασία της εταιρείας – παρόχου ενέργειας με την εποπτική Αρχή, καθ’ όλη τη διάρκεια της έρευνας.

 

  1. Συμπεράσματα
    • Η εν λόγω απόφαση της Αρχής αναδεικνύει τη σημασία της παροχής πλήρους και κατάλληλης ενημέρωσης στα υποκείμενα σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, και ειδικότερα στο πλαίσιο εσωτερικών διαδικασιών που επηρεάζουν άμεσα τα υποκείμενα.
    • Ακόμα και όταν υπάρχουν ελαφρυντικοί παράγοντες και σαφείς ενδείξεις μεταμέλειας, το επιβαλλόμενο πρόστιμο ενδεχομένως να είναι τελικά ιδιαίτερα υψηλό, ώστε να διασφαλίζεται ο αναλογικός και αποτρεπτικός χαρακτήρας και φυσικά η αποτελεσματικότητά του, στο πλαίσιο διασφάλισης συμμόρφωσης με το σύνολο των επιβαλλομένων υποχρεώσεων.