Facebook-f Linkedin-in

Καταγραφή τηλεφωνικών κλήσεων & GDPR: Η ΑΠΔΠΧ επέβαλε πρόστιμο 22.000€

Καταγραφή συνομιλιών

Σε υπόθεση σχετικά με καταγραφή τηλεφωνικών κλήσεων, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής η «ΑΠΔΠΧ» ή η «Αρχή») επέβαλλε πρόστιμο ύψους 22.000 ευρώ σε ασφαλιστική εταιρεία (NN Ελληνική – 20.000€) και σε συνεργαζόμενη οδοντιατρική εταιρεία (MEDIADENT ΙΚΕ – 2.000€) για:

  • Άρνηση ικανοποίησης δικαιώματος πρόσβασης σε ηχογραφημένες τηλεφωνικές κλήσεις,
  • Μη προσήκουσα συνεργασία με την ΑΠΔΠΧ,
  • Έλλειψη διαφάνειας στον καθορισμό ρόλων υπευθύνου/εκτελούντος επεξεργασίας.

1.       Ιστορικό

Ο καταγγέλλων, διέθετε ασφαλιστήριο συμβόλαιο με την NN Ελληνική που περιλάμβανε το πρόγραμμα οδοντιατρικής φροντίδας “Dental Care”. Για την εξυπηρέτηση των ασφαλισμένων, η NN Ελληνική είχε συνεργασία με την εταιρεία MEDIADENT, η οποία διαχειριζόταν το τηλεφωνικό κέντρο του προγράμματος. Κατά τις τηλεφωνικές κλήσεις, οι ασφαλισμένοι ενημερώνονταν μέσω προηχογραφημένου μηνύματος ότι «για τη δική σας ασφάλεια και ποιοτική εξυπηρέτηση η κλήση ηχογραφείται», ενώ η εξυπηρέτηση παρουσιαζόταν ως «Dental Care της NN HELLAS».

Στις 14 Δεκεμβρίου 2023, ο ασφαλισμένος υπέβαλε αίτημα πρόσβασης μέσω ηλεκτρονικού ταχυδρομείου προς αμφότερες τις εταιρείες, ζητώντας τις απομαγνητοφωνήσεις των τηλεφωνικών του συνομιλιών που είχαν πραγματοποιηθεί από τις 24 Ιουλίου 2023 έως τις 14 Δεκεμβρίου 2023, προσδιορίζοντας με ακρίβεια την ημερομηνία και ώρα κάθε κλήσης. Παρά τις επανειλημμένες επικοινωνίες (15/12/23, 20/12/23, 22/12/23, 27/12/23), καμία από τις δύο εταιρείες δεν ικανοποίησε το αίτημά του. Η NN Ελληνική παρέπεμψε τον ασφαλισμένο στη MEDIADENT, ενώ η τελευταία αδιαφόρησε πλήρως, παρότι αρχικά είχε δηλώσει ότι θα χορηγούσε τις ηχογραφήσεις.

2.       Νομικό πλαίσιο

2.1. Τηλεφωνικές κλήσεις – Προσωπικά Δεδομένα

Οι καταγεγραμμένες τηλεφωνικές συνομιλίες του καταγγέλλοντα αποτελούν προσωπικά δεδομένα του, σύμφωνα με τον Κανονισμό 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων – ΓΚΠΔ), στα οποία ο ίδιος ως υποκείμενο των δεδομένων έχει δικαίωμα να αποκτά πρόσβαση, σύμφωνα με τα οριζόμενα στο άρθρο 15 ΓΚΠΔ.

2.2. Αρχές Προστασίας Δεδομένων & Αίτημα Πρόσβασης

Ειδικότερα, σύμφωνα με τις διατάξεις του άρθρου 15 παρ. 1 και 3 ΓΚΠΔ: «1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα […]. 3. Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία […]».

Επιπλέον, κατ’ άρθρο 12 παρ. 2 του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 15 έως 22 του ΓΚΠΔ, ενώ σύμφωνα με το άρθρο 12 παρ. 3 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 15 έως 22 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος.

Η ΑΠΔΠΧ τόνισε ότι η αρχή της λογοδοσίας όσον αφορά τη διαφάνεια δεν ισχύει μόνο κατά το σημείο της συλλογής δεδομένων, αλλά και καθ’ όλη τη διάρκεια του κύκλου ζωής της επεξεργασίας. Κατά συνέπεια, οι κανόνες που επιβάλλουν σαφή και διαφανή ενημέρωση διέπουν και κάθε απάντηση του υπευθύνου επεξεργασίας σε σχετικό αίτημα πρόσβασης. Στο πλαίσιο αυτό, η ορθή και έγκαιρη ικανοποίηση του δικαιώματος πρόσβασης αποτελεί κρίσιμο στοιχείο για τη διαφάνεια της επεξεργασίας και συνδέεται άμεσα με τις αρχές προστασίας προσωπικών δεδομένων.

2.3. Ρόλοι των μερών

Ένα από τα κεντρικά ζητήματα της υπόθεσης αφορούσε τον καθορισμό του υπευθύνου επεξεργασίας για την καταγραφή των τηλεφωνικών κλήσεων. Η NN Ελληνική αρχικά υποστήριξε ότι η MEDIADENT ήταν «εκτελούσα την επεξεργασία», ενώ αργότερα άλλαξε θέση υποστηρίζοντας ότι η MEDIADENT ήταν «υπεύθυνος επεξεργασίας».

Η ΑΠΔΠΧ, εξετάζοντας το ιδιωτικό συμφωνητικό μεταξύ των εταιρειών από το 2015, διαπίστωσε ότι:

  • Η METLIFE (προκάτοχος της NN Ελληνική) καθόρισε τον σκοπό και τα μέσα της επεξεργασίας που συνίσταται στην καταγραφή των τηλεφωνικών κλήσεων
  • Έθεσε συγκεκριμένες προδιαγραφές λειτουργίας για το τηλεφωνικό κέντρο
  • Όρισε ότι αυτό θα έπρεπε να διαθέτει δυνατότητα μαγνητοφώνησης και αποστολής των κλήσεων προς την ίδια
  • Καθόρισε τον σκοπό της επεξεργασίας («για θέματα εξυπηρέτησης πελατών και ελέγχου ποιότητας παρεχομένων υπηρεσιών»).

Ως εκ τούτου η NN Ελληνική, ενεργεί ως Υπεύθυνη Επεξεργασίας και φέρει την ευθύνη διεκπεραίωσης του αιτήματος, με την αρωγή της Εκτελούσας (MEDIADENT).

2.4. Η Διαφάνεια έναντι των Υποκειμένων

Παρά τη σύμβαση μεταξύ των εταιρειών, η συμφωνία και η ακριβής σχέση δεν ήταν διαφανής έναντι των υποκειμένων των δεδομένων, τα οποία αναγνώριζαν μόνο την αντισυμβαλλόμενή τους NN Ελληνική ως υπεύθυνο επεξεργασίας. Αυτό προέκυπτε από:

  • Το γεγονός ότι στο τηλέφωνο απαντούσαν ως «Dental Care της ΝΝ HELLAS»,
  • Το ασφαλιστήριο συμβόλαιο αναφερόταν σε «Παροχή Οδοντιατρικής Φροντίδας εντός Δικτύου ΥΓΕΙΑ»,
  • Οι ασφαλισμένοι ενημερώνονταν από την ΝΝ Ελληνική για την κατάργηση του προγράμματος.

3.       Επιβληθείσες Κυρώσεις

3.1. NN Ελληνική

Εν προκειμένω, η ΑΠΔΠΧ επέβαλε στην NN Ελληνική εντολή να ικανοποιήσει το κατ’ άρθρο 15 ΓΚΠΔ δικαίωμα πρόσβασης του καταγγέλλοντος, χορηγώντας εντός δέκα (10) ημερών τα αιτούμενα αρχεία, καθώς και επέβαλλε διοικητικό πρόστιμο ύψους 20.000 ευρώ για παράβαση του δικαιώματος πρόσβασής του. Για τον προσδιορισμό του προστίμου έλαβε υπόψη:

  • Τον βαθμό ευθύνης της, καθώς δεν δεν έχει εφαρμόσει ορισμένη διαδικασία ανταπόκρισης σε αιτήματα πρόσβασης των υποκειμένων των δεδομένων,
  • Την αντιφατική ενίσχυση περί του ρόλου της MEDIADENT,
  • Την αδιαφορία για την ορθή ικανοποίηση του δικαιώματος για μεγάλο χρονικό διάστημα,
  • Την επίπτωση της μη χορήγησης στη δυνατότητα αποτελεσματικής άσκησης νομικών αξιώσεων από τον ασφαλισμένο,
  • Τον τζίρο της εταιρείας.

3.2. MEDIADENT

Στην MEDIADENT επιβλήθηκε πρόστιμο 2.000 ευρώ για παραβίαση της υποχρέωσης συνεργασίας με την εποπτική αρχή (άρθρο 31 ΓΚΠΔ), καθώς:

  • Δεν απάντησε σε κανένα από τα δύο έγγραφα της ΑΠΔΠX,
  • Δεν εμφανίστηκε κατά τη συνεδρίαση της 21/5/2025,
  • Επεξεργαζόταν δεδομένα υγείας σημαντικού αριθμού υποκειμένων.

4.       Πρακτικές Συμβουλές για Οργανισμούς του Δημοσίου και του Ιδιωτικού τομέα

Υπάρχει πλήθος οργανισμών που, προχωρούν στην καταγραφή των τηλεφωνικών συνομιλιών και οι περισσότεροι αξιοποιούν εξωτερικούς συνεργάτες. Η υπό εξέταση απόφαση επιβεβαιώνει ότι θα πρέπει να δίνεται ιδιαίτερη μέριμνα στα ακόλουθα (ενδεικτικά):

  1. Προσδιορισμός τυποποιημένων διαδικασιών:
    • Για την λήψη και διεκπεραίωση αιτημάτων (λ.χ. ασφαλή παροχή πρόσβασης στις ηχογραφημένες συνομιλίες, ορισμός προσώπων ευθύνης για κάθε στάδιο)
    • Για τον προσδιορισμό του «απολύτως απαραίτητο χρόνο τήρησης των καταγεγραμμένων συνομιλιών, βάσει του σκοπού της καταγραφής.
  2. Σύνταξη Συμφωνητικού Επεξεργασίας Δεδομένων (DPA) στα οποία θα δίνονται σαφείς οδηγίες ως προς την διαχείριση των προσωπικών δεδομένων και τυχόν αιτημάτων παραβιάσεων (σε περιπωσεις εξωτερικών συνεργατών),
  3. Ενημέρωση των καλούντων για την καταγραφή της κλήσης καθώς και για τον σκοπό της καταγραφής αυτής. Σημειώνεται ότι η απλή αναφορά σκοπών όπως η «ασφάλεια των συναλλαγών» ή η «ποιοτική εξυπηρέτηση» καθώς δεν προσδιορίζονται επαρκώς, δύναται να μην κριθούν ως κατάλληλοι.
  4. Παροχή πλήρους ενημέρωσης (λ.χ. σε ιστοσελίδα του οργανισμού) με τα προβλεπόμενα στο άρθρο 13/14 του ΓΚΠΔ (λ.χ. χρόνος τήρησης, αποδέκτες, πηγή, δικαιώματα κ.ο.κ.) και παραπομπή των καλούντων στις πληροφορίες αυτές. Σημειώνεται ότι αντίστοιχη ενημέρωση θα πρέπει να δίνεται και στους εργαζομένους του call center.
  5. Ασφαλή τήρηση των καταγεγραμμένων συνομιλιών
  6. Ενδελεχής εκπαίδευση προσωπικού.

Σε περίπτωση δε που διαβιβαστεί έγγραφο από εποπτική αρχή είναι πολύ σημαντικό:

  • Να τηρούνται οι τιθέμενες προθεσμίες,
  • Να παρέχονται πλήρως τα στοιχεία που ζητούνται καθώς και λοιπά στοιχεία τεκμηρίωσης,
  • Να μην αγνοούνται τυχόν ακροάσεις.

Για την καλύτερη δυνατή διασφάλιση ενός οργανισμού, συνιστάται η επικοινωνία με επαγγελματία, που θα αναλάβει την εκπροσώπηση του φορέα

5.       Κατακλείδα

Η απόφαση 32/2025 της ΑΠΔΠΧ αποτελεί σημαντική υπενθύμιση των υποχρεώσεων που απορρέουν από τον ΓΚΠΔ. Το δικαίωμα πρόσβασης δεν είναι προαιρετικό αλλά θεμελιώδες δικαίωμα κάθε υποκειμένου και η μη ικανοποίησή του επισύρει σοβαρές κυρώσεις.

Με την απόφαση αυτή επίσης τη σημασία της διαφάνειας στις επιχειρηματικές σχέσεις και την ανάγκη σαφούς ενημέρωσης των υποκειμένων σχετικά με τους ρόλους των εμπλεκόμενων εταιρειών. Όταν μια επιχείρηση εμφανίζεται προς τους πελάτες ως ο κύριος υπεύθυνος, δεν μπορεί εν συνεχεία να αποποιείται την ευθύνη της για την ικανοποίηση των δικαιωμάτων τους.

Τέλος, η υπόθεση υπογραμμίζει ότι η μη συνεργασία με την εποπτική αρχή αποτελεί ανεξάρτητη παράβαση που τιμωρείται αυστηρά, ανεξαρτήτως του μεγέθους της επιχείρησης.

Οι επιχειρήσεις καλούνται να αναθεωρήσουν τις διαδικασίες τους και να διασφαλίσουν πλήρη συμμόρφωση με τις υποχρεώσεις του ΓΚΠΔ, προκειμένου να αποφύγουν παρόμοιες κυρώσεις και να προστατεύσουν τα δικαιώματα των υποκειμένων των δεδομένων.

Το Δικηγορικό μας Γραφείο συντελεί στη διαμόρφωση πολιτικών και διαδικασιών συμμόρφωσης προς την υφιστάμενη νομοθεσία και προβαίνει σε συγκεκριμένες συστάσεις για τον έγκαιρο και αποτελεσματικό χειρισμό αιτημάτων των υποκειμένων.

 

Με εκτίμηση,

Για το Δικηγορικό Γραφείο «Στέργιος Κωνσταντίνου & Συνεργάτες

– SGKLegal»

Στέργιος Κωνσταντίνου

Δικηγόρος – Advanced LLM (IP & ICT Law)

CIPP/E, CIPM, FIP

 Εύα Πίτση

Ασκούμενη Δικηγόρος, LLM