Εισαγωγή
Τα τηλεφωνικά κέντρα (call centers) αποτελούν κρίσιμη υποδομή για τη σύγχρονη εμπορική δραστηριότητα, καθιστώντας δυνατή την εξυπηρέτηση πελατών, τις καμπάνιες διατήρησης και την προσέλκυση νέων πελατών σε όλους τους τομείς. Ωστόσο, η λειτουργία τους στην Ελλάδα παρουσιάζει έναν από τους πιο σύνθετους και αυστηρά ελεγχόμενους τομείς συμμόρφωσης με το δίκαιο προστασίας δεδομένων. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) έχει εκδώσει δεκάδες αποφάσεις εξετάζοντας δραστηριότητες τηλεφωνικής προώθησης, επιβάλλοντας πρόστιμα από €5.000 έως €150.000 και αποκαλύπτοντας συστημικές ανεπάρκειες στον τρόπο με τον οποίο υπεύθυνοι επεξεργασίας (πελάτες των call centers) και εκτελούντες την επεξεργασία (call centers) διαχειρίζονται προσωπικά δεδομένα σε αυτό το πλαίσιο.
Οι κίνδυνοι είναι σαφείς και συνιστούν μη εξουσιοδοτημένες κλήσεις σε συνδρομητές εγγεγραμμένους σε μητρώα «του άρθρου 11», ανεπαρκής εποπτεία του υπευθύνου επί των εκτελούντων την επεξεργασία τηλεφωνικών κέντρων, ελλιπείς μηχανισμοί συγκατάθεσης σε διαδικτυακές φόρμες και αποτυχίες σεβασμού των δικαιωμάτων εναντίωσης των υποκειμένων[1]. Για παρόχους ενέργειας, τηλεπικοινωνιακούς φορείς και κάθε επιχείρηση που αξιοποιεί τηλεφωνικά κέντρα -είτε εσωτερικά είτε εξωτερικά -το πλαίσιο συμμόρφωσης απαιτεί σχολαστική προσοχή στις νομικές βάσεις, τη διαφάνεια, την τεχνική ασφάλεια, τις συμβατικές ρυθμίσεις και τους συνεχείς μηχανισμούς ελέγχου.
Το παρόν άρθρο παρέχει ανάλυση του νομικού πλαισίου που διέπει τη λειτουργία τηλεφωνικών κέντρων στην Ελλάδα, θεμελιωμένη σε πρόσφατες αποφάσεις επιβολής κυρώσεων της ΑΠΔΠΧ. Η ανάλυση οργανώνεται γύρω από τρεις βασικούς άξονες κινδύνου: τη νομιμότητα της επεξεργασίας, την τεχνική συμμόρφωση και ασφάλεια και τη διακυβέρνηση με κατανομή ευθύνης μεταξύ υπευθύνων και εκτελούντων.
1. Το Νομικό Πλαίσιο: ΓΚΠΔ, Νόμος 4624/2019 και Άρθρο 11 του Νόμου 3471/2006
Η λειτουργία τηλεφωνικών κέντρων διέπεται από διπλό καθεστώς που συνδυάζει την οριζόντια εφαρμογή του ΓΚΠΔ με ειδικούς κανόνες για τις ηλεκτρονικές επικοινωνίες. Το άρθρο 3 παράγραφος 2 του νόμου 3471/2006, όπως ισχύει, διευκρινίζει ότι ο ΓΚΠΔ εφαρμόζεται για κάθε ζήτημα σχετικό με την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών που δεν ρυθμίζεται ειδικότερα από τον παρόντα νόμο[2].
Η ακρογωνιαία διάταξη είναι το άρθρο 11 παράγραφος 2 του νόμου 3471/2006, το οποίο θεσπίζει σύστημα εναντίωσης (opt-out). Δεν επιτρέπεται η πραγματοποίηση μη ζητηθεισών επικοινωνιών με ανθρώπινη παρέμβαση (κλήσεων) για τους σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, εφόσον ο συνδρομητής έχει δηλώσει προς τον φορέα παροχής της διαθέσιμης στο κοινό υπηρεσίας, ότι δεν επιθυμεί γενικώς να δέχεται τέτοιες κλήσεις. Ο φορέας υποχρεούται να καταχωρίζει δωρεάν τις δηλώσεις αυτές σε ειδικό κατάλογο συνδρομητών, ο οποίος είναι στη διάθεση κάθε ενδιαφερομένου.
Καίριας σημασίας, οι διαφημιζόμενοι, εφόσον πραγματοποιούν τηλεφωνικές προωθητικές ενέργειες με ανθρώπινη παρέμβαση, οφείλουν να λαμβάνουν από όλους τους παρόχους επικαιροποιημένα αντίγραφα των μητρώων του άρθρου 11 του νόμου 3471/2006 και να εξασφαλίζουν ότι έχουν διαθέσιμες τις δηλώσεις των συνδρομητών που έχουν πραγματοποιηθεί έως τριάντα ημέρες πριν από την πραγματοποίηση της τηλεφωνικής κλήσης.
Ο τηλεφωνικός αριθμός συνιστά προσωπικό δεδομένο[3] ικανό να ταυτοποιήσει έμμεσα τον κάτοχό του και η επεξεργασία του εμπίπτει πλήρως στο πεδίο εφαρμογής του ΓΚΠΔ.
2. Νομικές Βάσεις: Διάκριση μεταξύ Εξυπηρέτησης Πελατών και Τηλεφωνικής Προώθησης
Η νομική βάση επεξεργασίας εξαρτάται κρίσιμα από τη φύση και τον σκοπό της κλήσης.
2.1. Τηλεφωνική Προώθηση σε «Κρύες Λίστες»
Για τις κλήσεις με βάση «κρύα λίστα» -λίστα που αποτελείται από τηλεφωνικούς αριθμούς δημιουργημένους αυτοματοποιημένα βάσει τυχαίου αριθμοδοτικού φάσματος -νομική βάση της επεξεργασίας, λαμβανομένου υπόψη του άρθρου 11 παράγραφος 1 και 2 του νόμου 3471/2006, μπορεί να αποτελεί το άρθρο 6 παράγραφος 1 στοιχείο στ’ του ΓΚΠΔ (έννομο συμφέρον) στο βαθμό που εξασφαλίζεται ότι δεν θα κληθούν αριθμοί που έχουν ενταχθεί στο Μητρώο του άρθρου 11 και πληρούνται οι αρχές του άρθρου 5 του ΓΚΠΔ και οι λοιπές προϋποθέσεις που θέτει ο ΓΚΠΔ, όπως σε σχέση με την ικανοποίηση της αρχής της διαφάνειας και την ικανοποίηση των δικαιωμάτων των καλούμενων υποκειμένων των δεδομένων.
Το έννομο συμφέρον πρέπει να είναι γνήσιο και η στάθμιση διαφανής. Σε αποφάσεις της Αρχής, πάροχοι ενέργειας έχουν επικαλεστεί το εμπορικό τους συμφέρον για προσέλκυση πελατών, αλλά αυτό παραμένει υπό την προϋπόθεση αυστηρής συμμόρφωσης με τους μηχανισμούς εναντίωσης του άρθρου 11.
2.2. Κλήσεις προς Τρέχοντες ή Πρώην Πελάτες
Κλήσεις προς τρέχοντες πελάτες για σκοπούς εξυπηρέτησης (π.χ. παρακολούθηση αιτήματος που ξεκίνησε ο πελάτης) μπορεί να είναι νόμιμες ως «ζητηθείσα επικοινωνία», εφόσον ο πελάτης έχει προηγουμένως επικοινωνήσει με το τμήμα εξυπηρέτησης, υπό την προϋπόθεση ότι η επιστροφή κλήσης πραγματοποιείται εντός ευλόγου χρονικού διαστήματος.
Ωστόσο, η ΑΠΔΠΧ έχει αυστηρά περιορίσει το πεδίο εφαρμογής του μάρκετινγκ προς πρώην πελάτες. Όπου πάροχος ενέργειας κάλεσε πρώην πελάτες για διεξαγωγή ερευνών ικανοποίησης και διερεύνηση λόγων αποχώρησης, βασιζόμενος σε έννομο συμφέρον κατ’ άρθρο 6 παράγραφος 1 στοιχείο στ’ ΓΚΠΔ, η ΑΠΔΠΧ έκρινε ότι μετά τη λήξη της πελατειακής σχέσης, προκειμένου να νομιμοποιείται να χρησιμοποιεί τα στοιχεία για έρευνα εξυπηρέτησης, η εταιρεία οφείλει να αποδείξει ότι διαθέτει υπέρτερο έννομο συμφέρον ώστε να μπορεί να εφαρμοστεί άλλη νομική βάση πέραν της συγκατάθεσης. Κλήση προς πελάτη που έχει ήδη αποχωρήσει δεν μπορεί να θεωρηθεί νόμιμη, καθώς δεν προκύπτει ότι ο πρώην πελάτης είχε ενημερωθεί για την περαιτέρω τήρηση των δεδομένων του για το σκοπό αυτό (παράβαση της αρχής της διαφάνειας του άρθρου 5 παράγραφος 1 στοιχείο α’ ΓΚΠΔ) ενώ ο υπεύθυνος επεξεργασίας δεν τεκμηρίωσε τη νομική βάση που χρησιμοποιεί (παράβαση του άρθρου 6 παράγραφος 1 ΓΚΠΔ).
Πρακτικό παράδειγμα: Τηλεπικοινωνιακός πάροχος διατηρεί βάση δεδομένων συνδρομητών που μετέβησαν σε ανταγωνιστές. Επιθυμεί να τους καλέσει για να κατανοήσει τη δυσαρέσκειά τους. Εκτός εάν μπορεί να αποδείξει (i) ότι οι συνδρομητές ενημερώθηκαν κατά τον χρόνο της συμβατικής σχέσης ότι τα δεδομένα τους θα διατηρούνταν για αυτόν τον συγκεκριμένο σκοπό μετά την αποχώρηση και (ii) ότι υφίσταται γνήσιο έννομο συμφέρον, τέτοιες κλήσεις παραβιάζουν τα άρθρα 5 παράγραφος 1 στοιχείο α’, 6 παράγραφος 1 και 4 ΓΚΠΔ.
2.3. Δεδομένα που Συλλέγονται μέσω Διαδικτυακών Φορμών
Όπου τηλεφωνικά κέντρα συλλέγουν τηλεφωνικούς αριθμούς μέσω διαδικτυακών φορμών, η συγκατάθεση κατ’ άρθρο 6 παράγραφος 1 στοιχείο α’ και άρθρο 7 ΓΚΠΔ αποτελεί την κατάλληλη βάση. Η ΑΠΔΠΧ έχει εντοπίσει ενδημικές ανεπάρκειες σε αυτήν την πρακτική.
Για να πληροί τις προϋποθέσεις της έγκυρης συγκατάθεσης η συλλογή τηλεφωνικών αριθμών μέσω δήλωσης σε φόρμα ιστοσελίδας, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι το συγκεκριμένο υποκείμενο των δεδομένων που είναι συνδρομητής ή έστω χρήστης του τηλεφωνικού αριθμού, συγκατατέθηκε στην πράξη επεξεργασίας (εν προκειμένω τηλεφωνική κλήση από επίσημο συνεργάτη για την προώθηση των προσφορών), δηλαδή ήταν αυτός και όχι κάποιος τρίτος που καταχώρισε τον αριθμό του τηλεφώνου του στην ιστοσελίδα.
Η ΑΠΔΠΧ έχει τονίσει ότι η συγκατάθεση δεν μπορεί να θεωρηθεί ότι παρέχεται εν πλήρει επιγνώσει όπου το υποκείμενο των δεδομένων παραπέμπεται στο ενημερωτικό σημείωμα προστασίας δεδομένων (συνήθως τιτλοφορούμενο ως «Πολιτική Απορρήτου»), το οποίο περιέχει διαφορετική πληροφόρηση από αυτή που έχει ήδη λάβει με τα στιγμιότυπα οθόνης της φόρμας εκδήλωσης ενδιαφέροντος, ούτε μπορεί να θεωρηθεί συγκεκριμένη και διακριτή όταν περιλαμβάνει το έτερο ζήτημα της επεξεργασίας δεδομένων από τα μέσα κοινωνικής δικτύωσης για τον σκοπό της προβολής διαφημίσεων.
Πρακτικό παράδειγμα: Τηλεφωνικό κέντρο δημιούργησε ιστοσελίδα με το λογότυπο εταιρείας ενέργειας και τη φράση «επίσημος συνεργάτης», με φόρμα που αναφέρει «θα επικοινωνήσουμε εμείς μαζί σου χωρίς δική σου χρέωση». Η φόρμα ζητούσε μόνο όνομα και τηλέφωνο. Σύμφωνα με την ΑΠΔΠΧ, κάθε χρήστης της ιστοσελίδας δικαίως αντιλαμβάνεται ότι θα επικοινωνήσει τηλεφωνικώς επίσημος συνεργάτης της εταιρείας ενέργειας για να παράσχει ενημέρωση για τις προσφορές της και ευλόγως αναμένει ότι θα κληθεί συντόμως μετά την καταχώριση των στοιχείων και όχι δύο μήνες μετά. Επιπλέον, το υποκείμενο των δεδομένων δεν αναμένει ότι θα κληθεί για την προώθηση προϊόντων και υπηρεσιών άλλων εταιρειών αφού δεν παρέχεται δυνατότητα χορήγησης διακριτής συγκατάθεσης με σαφή θετική ενέργεια για τη λήψη προωθητικών τηλεφωνικών κλήσεων για τις εταιρείες αυτές ούτε παρέχονται οι απαιτούμενες πληροφορίες που κατονομάζουν τις εταιρείες αυτές.
3. Υποχρεώσεις Διαφάνειας και Υποχρέωση Ενημέρωσης
Το άρθρο 14 ΓΚΠΔ διέπει τη διαφάνεια όπου τα προσωπικά δεδομένα δεν λαμβάνονται απευθείας από το υποκείμενο -το τυπικό σενάριο των «κρύων κλήσεων».
Κατά τη διάρκεια της ίδιας της κλήσης, οι τηλεφωνητές πρέπει να παρέχουν ορισμένες ελάχιστες πληροφορίες. Ο υπάλληλος της εταιρείας ενημερώνει αρχικά τον καλούμενο για το όνομα του, από ποια εταιρεία καλεί και ότι καλεί για λογαριασμό του υπευθύνου επεξεργασίας. Δεν πραγματοποιείται απόκρυψη των καλούντων αριθμών.
Ωστόσο, οι αποφάσεις της ΑΠΔΠΧ αποκαλύπτουν ότι πολλά τηλεφωνικά κέντρα αποτυγχάνουν να παράσχουν επαρκείς πληροφορίες σχετικά με τα δικαιώματα των υποκειμένων. Στα σενάρια δεν περιλαμβάνεται ενημέρωση σχετικά με τη δυνατότητα άσκησης του δικαιώματος πρόσβασης και εναντίωσης και σε ορισμένες περιπτώσεις όπου ο καλούμενος είναι συνδρομητής άλλου παρόχου, πέραν του δικαιώματος εναντίωσης, ο συνδρομητής ενημερώνεται ότι έχει την υποχρέωση να απευθυνθεί στον πάροχό του για την καταχώρησή του στο Μητρώο του άρθρου 11 και όχι ότι έχει απλώς τη δυνατότητα να απευθυνθεί και στον πάροχο.
Πρακτικό παράδειγμα: Το σενάριο τηλεπικοινωνιακού παρόχου αναφέρει: «Είστε εγγεγραμμένος στο άρθρο 11. Πρέπει να επικοινωνήσετε με τον πάροχό σας για εγγραφή». Αυτό είναι ελλιπές. Η ορθή διατύπωση πρέπει να αναφέρει: «Έχετε το δικαίωμα να εναντιωθείτε σε μελλοντικές κλήσεις από εμάς ενημερώνοντάς μας τώρα και μπορείτε επίσης να εγγραφείτε στο μητρώο του άρθρου 11 του παρόχου σας για να εξαιρεθείτε από κλήσεις όλων των διαφημιζόμενων».
4. Απαιτήσεις Συγκατάθεσης: Ειδικότητα, Διακριτότητα και Απόδειξη
Όπου επικαλείται συγκατάθεση, η ελληνική εποπτική πρακτική απαιτεί αυστηρή συμμόρφωση με τα άρθρα 4 παράγραφος 11 και 7 ΓΚΠΔ.
Σε περιπτώσεις συγκατάθεσης ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε στην πράξη επεξεργασίας. Αυτή η απαίτηση έχει αποδειχθεί μοιραία για πολυάριθμες καμπάνιες κλήσεων βασισμένες σε διαδικτυακές φόρμες.
Η ΑΠΔΠΧ εφαρμόζει αυστηρά τις Κατευθυντήριες Γραμμές 05/2020 του ΕΣΠΔ για τη συγκατάθεση. Η συγκατάθεση δεν πληροί τις προϋποθέσεις της σαφούς, συγκεκριμένης και εν πλήρει επιγνώσει συγκατάθεσης όπου αφορά τη λήψη προωθητικών τηλεφωνικών κλήσεων τόσο για την προώθηση των προϊόντων και υπηρεσιών συγκεκριμένης εταιρείας όσο και από «οποιονδήποτε τρίτο» που δραστηριοποιείται μεταξύ άλλων στον τομέα των τηλεπικοινωνιών ή/και της ενέργειας (ηλεκτρισμός, φυσικό αέριο), διότι με τη φράση «οποιονδήποτε τρίτο» δεν κατονομάζονται οι αποδέκτες των δεδομένων και η συγκατάθεση δεν είναι σαφής καθότι από τη διατύπωση δίδεται η εντύπωση στο υποκείμενο των δεδομένων ότι η εταιρεία προωθεί τα δικά της προϊόντα και υπηρεσίες ενώ προωθεί τα προϊόντα και τις υπηρεσίες των εταιρειών με τις οποίες αυτή συμβάλλεται.
Επιπλέον, στις περιπτώσεις στις οποίες η ζητούμενη συγκατάθεση θα χρησιμοποιηθεί από περισσότερους (από κοινού) υπευθύνους επεξεργασίας ή εάν τα δεδομένα πρόκειται να διαβιβαστούν ή να υποβληθούν σε επεξεργασία από άλλους υπευθύνους επεξεργασίας που επιθυμούν να στηριχθούν στην αρχική συγκατάθεση, όλοι αυτοί οι οργανισμοί θα πρέπει να κατονομάζονται. Οι εκτελούντες την επεξεργασία δεν χρειάζεται να κατονομάζονται στο πλαίσιο των απαιτήσεων συγκατάθεσης, παρότι, για την εξασφάλιση της συμμόρφωσης προς τα άρθρα 13 και 14 του ΓΚΠΔ, οι υπεύθυνοι επεξεργασίας θα πρέπει να παρέχουν πλήρη κατάλογο των αποδεκτών ή κατηγοριών αποδεκτών, συμπεριλαμβανομένων των εκτελούντων την επεξεργασία.
Πρακτικό παράδειγμα: Φόρμα αναφέρει: «Συναινώ να λαμβάνω κλήσεις από την Εταιρεία Χ και τους συνεργάτες της στον τομέα ενέργειας και τηλεπικοινωνιών». Αυτό είναι άκυρο. Η φόρμα πρέπει να αναφέρει: «Συγκατατίθεμαι στη λήψη κλήσεων από την Εταιρεία Χ» (με ξεχωριστό πλαίσιο επιλογής) και «Συγκατατίθεμαι να λαμβάνω κλήσεις από [λίστα: Εταιρεία Υ, Εταιρεία Ζ]» (με άλλο ξεχωριστό πλαίσιο επιλογής).
5. Ασφάλεια Δεδομένων: Άρθρο 32 ΓΚΠΔ και Συστημικές Αποτυχίες
Οι υποχρεώσεις του άρθρου 32 ΓΚΠΔ εφαρμόζονται τόσο σε υπευθύνους όσο και σε εκτελούντες και η ΑΠΔΠΧ έχει επιμερίσει την ευθύνη αναλόγως.
5.1. Αποτυχίες Εξαίρεσης Αριθμών που Ανήκουν στο Μητρώο του Άρθρου 11: Η Απόρριψη των Τεχνικών Υπερασπίσεων
Η συνηθέστερη παράβαση αφορά τεχνικές ή οργανωτικές αποτυχίες εξαίρεσης τηλεφωνικών αριθμών εγγεγραμμένων στα μητρώα άρθρου 11 από λίστες κλήσεων.
Στην Απόφαση 43/2025, ο εκτελών PREMIUM ισχυρίστηκε ότι λόγω του μεγάλου όγκου των δεδομένων υφίσταται πιθανότητα μη εισαγωγής μεμονωμένων δεδομένων σε περίπτωση που η γραμμή του διαδικτύου παρουσιάζει τεχνικά προβλήματα (κυρίως αργή ταχύτητα που διακόπτει στιγμιαία τη διαδικασία μεταφόρτωσης), κάτι το οποίο όμως δεν δύναται να γίνει αντιληπτό από τον τεχνικό που κάνει τη διαδικασία μεταφόρτωσης εκείνη τη στιγμή, καθότι δεν πρόκειται για συνολική μη μεταφόρτωση ή για μη μεταφόρτωση μεγάλου όγκου δεδομένων ώστε να υπάρξει σχετική ένδειξη του συστήματος.
Η ΑΠΔΠΧ απέρριψε κατηγορηματικά τον ισχυρισμό περί μερικής μη μεταφόρτωσης δεδομένων λόγω χαμηλής ταχύτητας σύνδεσης, κρίνοντας, βάσει τεχνικά τεκμηριωμένης ανάλυσης, ότι τα χρησιμοποιούμενα πρωτόκολλα μεταφοράς δεδομένων ενσωματώνουν μηχανισμούς αξιοπιστίας που αποκλείουν τη σιωπηρή απώλεια ή αλλοίωση τμημάτων δεδομένων. Η απώλεια πακέτου ενεργοποιεί μηχανισμούς επαναποστολής και όχι τη δημιουργία ελλιπών ή μερικών αρχείων. Συνεπώς, η επίκληση στιγμιαίων τεχνικών δυσλειτουργιών δεν μπορεί να δικαιολογήσει την αποτυχία εφαρμογής μέτρων ασφάλειας κατ’ άρθρο 32 ΓΚΠΔ.
Κανονιστικά, η Αρχή κατέληξε ότι σε περίπτωση που διαπιστώνεται αστάθεια ή αποσυνδέσεις σε μία από τις διαθέσιμες διαδρομές δικτύου, κατάλληλο μέτρο, βάσει του άρθρου 32 ΓΚΠΔ, αποτελεί η αυτόματη δρομολόγηση των κρίσιμων και μεγάλου όγκου μεταφορτώσεων μέσω της πλέον αξιόπιστης σύνδεσης που διαθέτει ο εκτελών. Συνεπώς, διαπιστώνεται παράβαση του άρθρου 32 ΓΚΠΔ εκ μέρους της εταιρείας PREMIUM καθώς δεν έλαβε τα κατάλληλα μέτρα ασφάλειας κατά την εκτέλεση της επεξεργασίας και πραγματοποιήθηκαν επτά μη νόμιμες προωθητικές τηλεφωνικές κλήσεις σε συνδρομητές ενταγμένους στο Μητρώο του άρθρου 11, με απόκρυψη του καλούντος αριθμού.
5.2. Χειροκίνητες Κλήσεις και Ανθρώπινο Λάθος
Υπεύθυνοι και εκτελούντες επικαλούνται συχνά «ανθρώπινο λάθος» για χειροκίνητες κλήσεις σε αριθμούς του μητρώου του άρθρου 11. Η ΑΠΔΠΧ ωστόσο δεν δέχεται το εν λόγω επιχείρημα χωρίς εξονυχιστική τεκμηρίωση.
Σε περιπτώσεις όπου οι κλήσεις χαρακτηρίστηκαν ως «χειροκίνητες», τα τηλεφωνικά κέντρα ανέφεραν ότι οι κλήσεις πραγματοποιήθηκαν από τον επιφορτισμένο υπάλληλο χειροκίνητα και όχι μέσω του dialer της εταιρείας προκειμένου να εξαιρεθεί πάραυτα ο τηλεφωνικός αριθμός. Με δεδομένο ότι και οι υπάλληλοι ελέγχουν το Μητρώο του άρθρου 11 και κατά την πραγματοποίηση χειροκίνητων τηλεφωνικών κλήσεων, πιθανολογείται σφόδρα ότι ο εν λόγω υπάλληλος έσφαλε κατ’ αρχήν κατά την πληκτρολόγηση του τηλεφωνικού αριθμού που επιθυμούσε να καλέσει με αποτέλεσμα να καλέσει εκ παραδρομής τον αριθμό.
Ενώ μεμονωμένα λάθη μπορεί να προσελκύουν μικρότερες κυρώσεις, η ΑΠΔΠΧ τονίζει ότι τα τεχνικά και οργανωτικά μέτρα που οφείλουν να λαμβάνουν ο υπεύθυνος και ο εκτελών την επεξεργασία προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, δεν είναι μεν πάντα δυνατό να προλάβουν κάθε πιθανό περιστατικό παραβίασης της ασφάλειας σε δεδομένα προσωπικού χαρακτήρα, επιβάλλεται ωστόσο, μετά από οποιαδήποτε αστοχία των μέτρων αυτών, να ακολουθεί εκτίμηση και αξιολόγηση της αποτελεσματικότητάς τους, ως απαραίτητο στοιχείο για τη διατήρηση της ασφάλειας της επεξεργασίας. Συνεπώς, πρωταρχική υποχρέωση είναι η καταγραφή του περιστατικού, ώστε αυτό να τεκμηριώνεται και να αποδεικνύεται η συμμόρφωση του υπευθύνου επεξεργασίας με τις αρχές του άρθρου 5 του ΓΚΠΔ, όπως επιβάλλεται με βάση την αρχή της λογοδοσίας και σύμφωνα επίσης με το άρθρο 33 ΓΚΠΔ.
Πρακτικό παράδειγμα: Υπάλληλος τηλεφωνικού κέντρου πραγματοποιεί πέντε «χειροκίνητες» κλήσεις σε αριθμούς που ανήκουν στο μητρώο του άρθρου 11, ισχυριζόμενος τυπογραφικά σφάλματα. Χωρίς συστημικούς ελέγχους που αποτρέπουν τη χειροκίνητη κλήση σε περιορισμένους αριθμούς πριν την πραγματοποίησή της, αυτό συνιστά παράβαση του άρθρου 32. Ο εκτελών πρέπει να εφαρμόσει τεχνικά εμπόδια -π.χ. υποχρεωτικό αυτόματο έλεγχο κάθε χειροκίνητα εισαγόμενου αριθμού έναντι του μητρώου του άρθρου 11 πριν η κλήση μπορέσει να πραγματοποιηθεί.
5.3. Ενοποίηση Μητρώων του Άρθρου 11
Οι υπεύθυνοι πρέπει να λαμβάνουν και να ενοποιούν τα μητρώα από όλους τους παρόχους. Η ΑΠΔΠΧ διαπίστωσε ότι ο υπεύθυνος δεν ελέγχει τη διαδικασία που ακολουθεί κάθε συνεργαζόμενο τηλεφωνικό κέντρο για την ενοποίηση των επιμέρους μητρώων των παρόχων στο ενιαίο Μητρώο του άρθρου 11. Οι έλεγχοι που πραγματοποιεί ο υπεύθυνος γίνονται μέσω των δηλώσεων του ιδίου του τηλεφωνικού κέντρου στις αντίστοιχες ερωτήσεις του ερωτηματολογίου χωρίς να ελέγχονται οι σχετικές διαδικασίες και να γίνονται δειγματοληπτικοί έλεγχοι στα τηρούμενα αρχεία. Ο υπεύθυνος δεν προσκόμισε στην Αρχή γραπτές διαδικασίες των εκτελούντων ούτε των υπεργολάβων για την ενοποίηση του Μητρώου του άρθρου 11.
Περαιτέρω συστημική ανεπάρκεια: Οι τηλεφωνικοί αριθμοί που χρησιμοποιούνται από τα συνεργαζόμενα τηλεφωνικά κέντρα δεν περιλαμβάνονται στις αντίστοιχες συμβάσεις. Οι εν λόγω τηλεφωνικοί αριθμοί γνωστοποιούνται στον υπεύθυνο μέσω της υποβολής υπογεγραμμένων υπεύθυνων δηλώσεων των νόμιμων εκπροσώπων των συνεργαζόμενων τηλεφωνικών κέντρων. Οι υπεύθυνες δηλώσεις που υποβλήθηκαν στην Αρχή ήταν δύο με τέσσερα χρόνια μεταγενέστερες των ημερομηνιών σύναψης των αντίστοιχων συμβάσεων. Αυτό εμποδίζει την αποτελεσματική διερεύνηση καταγγελιών και αποδεικνύει ανεπαρκή εποπτεία.
5.4. Ιχνηλασιμότητα Κλήσεων και Υποχρέωση Τήρησης Call Detail Records
Η αρχή της λογοδοσίας και οι υποχρεώσεις ασφάλειας του άρθρου 32 ΓΚΠΔ επιβάλλουν στους υπευθύνους και τους εκτελούντες να διασφαλίζουν πλήρη ιχνηλασιμότητα κάθε τηλεφωνικής κλήσης. Αυτή η υποχρέωση δεν είναι απλώς τεχνική -είναι θεμελιώδης για την απόδειξη της συμμόρφωσης και τη διερεύνηση καταγγελιών.
Τόσο ο υπεύθυνος επεξεργασίας όσο και οι συνεργαζόμενες εταιρείες οφείλουν να τηρούν τα στοιχεία που είναι απαραίτητα (αρχεία καταγραφής εξωτερικών στοιχείων κλήσεων -Call Detail Records) για τη διερεύνηση κάθε παραπόνου για χρονικό διάστημα ενός έτους. Τα εν λόγω αρχεία, αποτυπώνουν τεχνικά στοιχεία μιας τηλεφωνικής επικοινωνίας, χωρίς το περιεχόμενο της συνομιλίας και πρέπει να περιλαμβάνουν κατ’ ελάχιστον τον τηλεφωνικό αριθμό καλούντος, τον τηλεφωνικό αριθμό καλούμενου, την ημερομηνία και ώρα κλήσης, τη διάρκεια και το μοναδικό αναγνωριστικό της καμπάνιας ή της εντολής του υπευθύνου.
Η υποχρέωση ιχνηλασιμότητας επεκτείνεται σε τρεις διαστάσεις. Πρώτον, οι τηλεφωνικοί αριθμοί που χρησιμοποιούνται για την πραγματοποίηση κλήσεων θα πρέπει να γνωστοποιούνται στον υπεύθυνο επεξεργασίας και τα συνεργαζόμενα τηλεφωνικά κέντρα οφείλουν να ενημερώνουν τον υπεύθυνο άμεσα και το αργότερο εντός 24 ωρών κάθε φορά που προστίθεται νέος ή αφαιρείται αριθμός, καταγράφοντας με ακρίβεια την ημερομηνία και ώρα που προστίθεται ή αφαιρείται ένας τηλεφωνικός αριθμός. Δεύτερον, κάθε καμπάνια πρέπει να αντιστοιχίζεται με συγκεκριμένο εκτελούντα και συγκεκριμένη γραπτή εντολή του υπευθύνου. Τρίτον, ο υπεύθυνος πρέπει να έχει τη δυνατότητα, εντός εύλογου χρονικού διαστήματος από την υποβολή καταγγελίας, να ταυτοποιήσει ποιος εκτελών πραγματοποίησε την κλήση, από ποιον αριθμό, για ποια καμπάνια και με ποια καταγεγραμμένη εντολή.
Η Αρχή έχει αντιμετωπίσει επανειλημμένα καταστάσεις όπου οι καταγγέλλοντες παραπονέθηκαν ότι έχουν δεχθεί προωθητικές τηλεφωνικές κλήσεις, αλλά ο υπεύθυνος απάντησε στην Αρχή (σύμφωνα με τις απαντήσεις των αντίστοιχων συνεργαζόμενων εταιρειών διενέργειας τηλεφωνικών κλήσεων -συνεργαζόμενα τηλεφωνικά κέντρα) ότι οι τηλεφωνικοί αριθμοί των καταγγελλόντων δεν κλήθηκαν από κανένα συνεργαζόμενο τηλεφωνικό κέντρο και επιπλέον ότι οι αριθμοί από τους οποίους πραγματοποιήθηκαν οι κλήσεις αυτές δεν ανήκουν σε κανένα συνεργαζόμενο τηλεφωνικό κέντρο. Τέτοιες αποτυχίες ιχνηλασιμότητας δεν αποτελούν απλώς επιμέρους ελλείψεις αλλά θεμελιώδεις αποτυχίες διακυβέρνησης που συνιστούν παράβαση του άρθρου 32 ΓΚΠΔ.
Πρακτικό παράδειγμα: Υπεύθυνος λαμβάνει καταγγελία για κλήση στις 15 Μαρτίου 2025 στις 14:32 από τον αριθμό 2111234567. Εντός 48 ωρών, πρέπει να μπορεί να προσδιορίσει: η κλήση πραγματοποιήθηκε από τον εκτελούντα ΧΨΖ Call Center, στο πλαίσιο της καμπάνιας Spring2025 Energy, βάσει της γραπτής εντολής με ημερομηνία 1 Μαρτίου 2025, από υπάλληλο του εκτελούντος. Χωρίς αυτή τη δυνατότητα, ο υπεύθυνος δεν πληροί την αρχή της λογοδοσίας και δεν μπορεί να αποδείξει τη νομιμότητα της δραστηριότητάς του.
6. Χρήση Σεναρίων (Scripts) και Μηχανισμοί Καταγραφής Εναντίωσης
Οι υπεύθυνοι πρέπει να παρέχουν στα τηλεφωνικά κέντρα λεπτομερή σενάρια για να διασφαλίζεται η συμμόρφωση με τους κανόνες διαφάνειας και συγκατάθεσης.
Οι αποφάσεις της ΑΠΔΠΧ αναφέρονται στην παροχή σεναρίων από υπευθύνους προς εκτελούντες. Προσκομίστηκαν σενάρια (script) επικοινωνίας της ΗΡΩΝ για τις τηλεφωνικές κλήσεις επί σκοπώ εμπορικής προώθησης των προϊόντων/υπηρεσιών της ΗΡΩΝ και σενάρια επικοινωνίας της ΗΡΩΝ για τις τηλεφωνικές κλήσεις επί σκοπώ επιβεβαίωσης πώλησης.
Τα σενάρια πρέπει να περιλαμβάνουν την ταυτότητα του υπευθύνου και του εκτελούντος όπου σχετικό, σαφή δήλωση του προωθητικού σκοπού, πληροφορίες για τον τρόπο άσκησης δικαιωμάτων εναντίωσης άμεσα και μηχανισμό καταγραφής εναντιώσεων που παράγει απόδειξη όπως μοναδικό αριθμό αναφοράς ή χρονοσήμανση ηχογράφησης κλήσης.
Η υποχρέωση του υπευθύνου επεξεργασίας, ως υπευθύνου επεξεργασίας, είναι να παράσχει κατάλληλα εργαλεία, αρχές και οδηγίες ώστε να αποτραπούν οι μη νόμιμες κλήσεις. Στο πλαίσιο αυτό εντάσσεται η τήρηση ειδικού Μητρώου αντιρρήσεων με όσους έχουν ασκήσει ειδική εναντίωση στη λήψη τηλεφωνικών κλήσεων (με βάση το άρθρο 21 του ΓΚΠΔ). Το εν λόγω μητρώο πρέπει να ενημερώνεται καθημερινά και να διαβιβάζεται σε όλους τους εκτελούντες σε τακτική βάση.
7. Ηχογράφηση Κλήσεων: Νομική Βάση, Διατήρηση και Πρόσβαση
Ενώ καμία από τις εξεταζόμενες αποφάσεις δεν επικεντρώνεται αποκλειστικά στην ηχογράφηση κλήσεων, εφαρμόζεται η αρχή της νόμιμης βάσης. Όπου τηλεφωνικά κέντρα ηχογραφούν συνομιλίες, η νομική βάση εξαρτάται από τον σκοπό: για διασφάλιση ποιότητας και εκπαίδευση, το έννομο συμφέρον κατ’ άρθρο 6 παράγραφος 1 στοιχείο στ’ ΓΚΠΔ μπορεί να επαρκεί, υπό την προϋπόθεση ότι τεκμηριώνεται η στάθμιση και τα υποκείμενα ενημερώνονται σύμφωνα με το άρθρο 14 ΓΚΠΔ. Για απόδειξη συμβολαίων πώλησης, η εκτέλεση σύμβασης κατ’ άρθρο 6 παράγραφος 1 στοιχείο β’ ΓΚΠΔ ή η συμμόρφωση με νομική υποχρέωση αποτελούν τις κατάλληλες βάσεις.
Οι αποφάσεις της ΑΠΔΠΧ αναφέρονται στην υποχρέωση των παρόχων τηλεπικοινωνιών να διατηρούν call detail records για ένα έτος. Τα τηλεφωνικά κέντρα θα πρέπει να ευθυγραμμίζουν τη διατήρηση με αυτό το πρότυπο και να τεκμηριώνουν την πολιτική διατήρησής τους στο αρχείο δραστηριοτήτων του άρθρου 30 ΓΚΠΔ.
Πρακτικό παράδειγμα: Τηλεφωνικό κέντρο ηχογραφεί όλες τις κλήσεις πωλήσεων. Πρέπει να ενημερώνει τα υποκείμενα κατά τη διάρκεια της κλήσης με δήλωση όπως «Αυτή η κλήση ηχογραφείται για λόγους ποιότητας και εκπαίδευσης και για επαλήθευση του συμβολαίου», να διατηρεί ηχογραφήσεις για δώδεκα μήνες και να εφαρμόζει ελέγχους πρόσβασης διασφαλίζοντας ότι μόνο εξουσιοδοτημένο προσωπικό όπως η ομάδα ποιότητας, η νομική υπηρεσία και ο Υπεύθυνος Προστασίας Δεδομένων μπορεί να ακούσει τις ηχογραφήσεις.
8. Σχέσεις Υπευθύνου-Εκτελούντος: Ρόλοι, Ευθύνες και Συμβατικές Απαιτήσεις
Ο ορθός καθορισμός των ρόλων υπευθύνου και εκτελούντος είναι θεμελιώδης και συχνά αμφισβητείται.
8.1. Το Νομικό Κριτήριο
Στο άρθρο 4 παράγραφος 7 του ΓΚΠΔ ορίζεται ως υπεύθυνος επεξεργασίας το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ο εκτελών την επεξεργασία ορίζεται στο άρθρο 4 παράγραφος 8 ΓΚΠΔ ως το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
Η ΑΠΔΠΧ έχει κρίνει με συνέπεια ότι τα τηλεφωνικά κέντρα που λειτουργούν για λογαριασμό διαφημιζόμενων είναι εκτελούντες, όχι ανεξάρτητοι υπεύθυνοι, όπου ο διαφημιζόμενος καθορίζει τον σκοπό και τα ουσιώδη μέσα. Από τα στοιχεία του φακέλου των συνεξεταζόμενων καταγγελιών προκύπτει ότι ο υπεύθυνος, μέσω σύμβασης, αναθέτει στα συνεργαζόμενα τηλεφωνικά κέντρα τη διενέργεια προωθητικών τηλεφωνικών κλήσεων για προώθηση των δικών του προϊόντων και υπηρεσιών. Με τις συμβάσεις, τις έντυπες οδηγίες και τις λοιπές εντολές που παρέχει στις εν λόγω εταιρείες-συνεργαζόμενα τηλεφωνικά κέντρα, ο εντολέας θέτει μια σειρά από προδιαγραφές, με τις οποίες καθορίζεται το πλαίσιο δραστηριοποίησης του εκάστοτε συνεργάτη του. Συνεπώς, ο εντολέας καθορίζει πλήρως το στόχο της επεξεργασίας, άρα και το σκοπό αυτής, ενώ καθορίζει και τα βασικά χαρακτηριστικά για τα μέσα της επεξεργασίας.
8.2. Όταν οι Εκτελούντες Καθίστανται Υπεύθυνοι: Η Υπόθεση ICOMM
Αξίζει να σημειωθεί ότι στην παράγραφο 10 του άρθρου 28 ΓΚΠΔ ορίζεται ότι εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.
Η ΑΠΔΠΧ έχει εφαρμόσει αυτήν τη διάταξη για να καταλογίσει ευθύνη σε εκτελούντες που υπερβαίνουν την εντολή τους. Σε περιπτώσεις που ένας εκτελών την επεξεργασία παραβαίνει τις υποχρεώσεις οι οποίες του έχουν επιβληθεί με τη σύμβαση και επεξεργάζεται δεδομένα πέραν ή κατά παράβαση των εντολών του υπευθύνου επεξεργασίας, τότε προκύπτει παράβαση του άρθρου 29 του ΓΚΠΔ εκ μέρους του εκτελούντος.
Στην Απόφαση 43/2025, η ΑΠΔΠΧ εξέτασε τηλεφωνικό κέντρο (ICOMM) που δημιούργησε δικές του ιστοσελίδες για συλλογή leads. Σύμφωνα με τους όρους χρήσης και την πολιτική απορρήτου της ιστοσελίδας, η ICOMM επεξεργάζεται τα συλλεγόμενα προσωπικά δεδομένα (ονοματεπώνυμο, τηλέφωνο και email) για απευθείας εμπορική προώθηση και διαφήμιση προϊόντων/υπηρεσιών που διαθέτει/παρέχει είτε η ίδια είτε τρίτοι (νομικά πρόσωπα) που δραστηριοποιούνται μεταξύ άλλων στο τομέα των τηλεπικοινωνιών ή/και ενέργειας ή/και της ΗΡΩΝ. Παρότι στην ιστοσελίδα υπάρχουν στοιχεία της ΗΡΩΝ και η ICOMM επεξεργάζεται τα συλλεγόμενα δεδομένα και για τον προωθητικό σκοπό της ΗΡΩΝ, η ΗΡΩΝ απάντησε στην Αρχή ότι υπεύθυνος επεξεργασίας των δεδομένων που συλλέγονται μέσω της ιστοσελίδας είναι η ICOMM και δεν γνωρίζει ούτε έχει έλεγχο επί της συγκεκριμένης επεξεργασίας. 36
Η ΑΠΔΠΧ έκρινε ότι η ICOMM παραβίασε το άρθρο 29 ΓΚΠΔ για τις καταγγελίες με αριθμούς 32, 33 και 34 καθότι υπερέβη τις εντολές της ΗΡΩΝ και ενήργησε ως υπεύθυνη επεξεργασίας κατά το άρθρο 28.10 ΓΚΠΔ. Αυτό το εύρημα υπογραμμίζει έναν κρίσιμο κίνδυνο συμμόρφωσης: ο εκτελών που δημιουργεί τη δική του υποδομή δημιουργίας leads -ακόμη και ονομαστικά «για» όφελος του υπευθύνου -καθίσταται υπεύθυνος για την επεξεργασία αυτή και φέρει ανεξάρτητη ευθύνη.
8.3. Συμβατικές Υποχρεώσεις Κατ’ Άρθρο 28 παράγραφος 3
Στο άρθρο 28 παράγραφος 3 ΓΚΠΔ ορίζεται ότι επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Η σύμβαση προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας και λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32 ΓΚΠΔ.
Στο άρθρο 29 του ΓΚΠΔ ορίζεται ότι ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.
Η ΑΠΔΠΧ έχει διαπιστώσει ότι τα τηλεφωνικά κέντρα συχνά αποτυγχάνουν να ενεργούν αποκλειστικά βάσει καταγεγραμμένων εντολών, ιδίως όσον αφορά τη χρήση διαδικτυακών φορμών εκτός της γνώσης του υπευθύνου, τη διαβίβαση δεδομένων σε υπο-εκτελούντες χωρίς εξουσιοδότηση και τη δημιουργία «συνδυασμένης συγκατάθεσης» για πολλαπλούς υπευθύνους.
8.4. Αλυσίδα Λογοδοσίας: Υπο-Εκτελούντες
Σύμφωνα με το άρθρο 28 παράγραφος 4 ΓΚΠΔ, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία.
Στην Απόφαση 43/2025, η ΑΠΔΠΧ έκρινε ότι η ICOMM ήταν υπεύθυνη για κλήσεις που πραγματοποίησε ο υπο-εκτελών της GALLANT. Η ICOMM βαρύνεται για τις τηλεφωνικές κλήσεις των καταγγελιών με αριθμούς 26 και 27, οι οποίες πραγματοποιήθηκαν από τον υπεργολάβο της, εταιρεία GALLANT, κατά τη διάρκεια της μεταξύ τους συμβατικής σχέσης, σε πρόσωπα που είναι ενταγμένα στο Μητρώο του άρθρου 11 καθότι, σύμφωνα με το άρθρο 28 παράγραφος 4 ΓΚΠΔ ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία.
Οι υπεύθυνοι πρέπει να διασφαλίζουν ότι λαμβάνουν όχι μόνο καταλόγους εκτελούντων αλλά και υπο-εκτελούντων και να επαληθεύουν ότι υφίστανται γραπτές συμφωνίες υπανάθεσης που πληρούν τις απαιτήσεις του άρθρου 28.
9. Η Υποχρέωση Ενεργού Ελέγχου των Εκτελούντων
Η ΑΠΔΠΧ έχει επιβάλει αυστηρές υποχρεώσεις στους υπευθύνους να ελέγχουν ενεργά τους εκτελούντες την επεξεργασία τηλεφωνικά κέντρα.
9.1. Γιατί τα Ερωτηματολόγια Δεν Αρκούν
Διαπιστώνεται ότι η διαδικασία ελέγχου του υπευθύνου επί των τηλεφωνικών κλήσεων από τα συνεργαζόμενα τηλεφωνικά κέντρα είναι πλημμελής, ενώ και η διερεύνηση των καταγγελιών που υποβλήθηκαν ενώπιον της Αρχής δεν περιλαμβάνει ενδελεχή έλεγχο των αιτιών που οδήγησαν σε μη νόμιμες κλήσεις. Ο υπεύθυνος, κατόπιν καθεμίας εκ των συνεξετασθεισών καταγγελιών που λάμβανε από την Αρχή από το έτος 2018, ζητούσε από τα συνεργαζόμενα τηλεφωνικά κέντρα να απαντήσουν αν πραγματοποίησαν κάθε φορά τις επίμαχες τηλεφωνικές κλήσεις. Ο υπεύθυνος διαβίβαζε τις απαντήσεις των συνεργαζόμενων τηλεφωνικών κέντρων στην Αρχή, είτε θετικές είτε αρνητικές, χωρίς να προχωρήσει σε ουσιαστικά μέτρα ελέγχου και διερεύνησης των απαντήσεων αυτών.
Η στήριξη αποκλειστικά σε δηλώσεις των εκτελούντων είναι ανεπαρκής. Ο υπεύθυνος, στο πλαίσιο της ευθύνης του ως υπευθύνου επεξεργασίας και της εκπλήρωσης της αρχής της λογοδοσίας βαρύνεται με την υποχρέωση να ελέγχει τους εκτελούντες με κατάλληλο και πρόσφορο τρόπο ιδίως για ζητήματα που επιλαμβάνονται συστηματικά. Ο υπεύθυνος επεξεργασίας, όπως και κάθε υπεύθυνος επεξεργασίας, δεν πρέπει να αρκείται στις διαβεβαιώσεις που λαμβάνει από τον εκάστοτε εκτελούντα την επεξεργασία, αλλά οφείλει να εντοπίζει την πηγή του κάθε λάθους, αμέσως μόλις αυτό διαπιστωθεί και να προβαίνει σε κατάλληλα διορθωτικά μέτρα. 43
9.2. Υποχρεωτικοί Ετήσιοι Έλεγχοι Call Logs: Εντολή της ΑΠΔΠΧ
Η ΑΠΔΠΧ έχει προδιαγράψει συγκεκριμένες μεθοδολογίες ελέγχου. Τέτοιος έλεγχος, ο οποίος συνίσταται σε αυτοματοποιημένη αντιπαραβολή των τηλεφωνικών αριθμών που περιλαμβάνονται στο ενοποιημένο Μητρώο του άρθρου 11 με τους αριθμούς που περιλαμβάνονται στα αρχεία καταγραφής εξερχομένων κλήσεων κάθε συνεργάτη (τα οποία ο τελευταίος έχει υποχρέωση να τηρεί για ένα έτος), λαμβάνοντας υπόψη τη σημερινή στάθμη της τεχνολογίας, είναι απλό να υλοποιηθεί και να επαναλαμβάνεται περιοδικά σε ικανό δείγμα κλήσεων, σε χρονικό διάστημα όχι μεγαλύτερο του ενός έτους χωρίς να διαταράσσουν τη λειτουργία των συνεργαζόμενων τηλεφωνικών κέντρων. Μάλιστα, η διενέργεια ακριβώς αυτού του είδους ελέγχου προτάθηκε, χωρίς ωστόσο να ακολουθηθεί από τον υπεύθυνο και παρά την υποβολή καταγγελιών ενώπιον της Αρχής, σε κάθε έκθεση ελέγχου που πραγματοποιήθηκε στα συνεργαζόμενα τηλεφωνικά κέντρα τα έτη 2020-2022.
Στην Απόφαση 44/2025, η ΑΠΔΠΧ εξέδωσε άμεση εντολή: Η Αρχή, με βάση το άρθρο 58 παράγραφος 2 εδάφιο δ’ του ΓΚΠΔ, δίνει εντολή ώστε, εντός χρονικού διαστήματος έξι μηνών από την κοινοποίηση της παρούσης, ο πάροχος ενέργειας να προβεί σε σχεδίαση διαδικασίας ελέγχου των εταιρειών Call Center, στην οποία να συμπεριλαμβάνεται, τουλάχιστον μια φορά το έτος, πλήρης ή δειγματοληπτικός έλεγχος μεγάλου αριθμού εξερχόμενων κλήσεων κάθε συνεργαζόμενης εταιρείας και να ενημερώσει την Αρχή μετά την εφαρμογή της διαδικασίας αυτής.
Πρακτικό παράδειγμα: Εταιρεία ενέργειας συμβάλλεται με τρία τηλεφωνικά κέντρα. Διενεργεί ετήσιους «απομακρυσμένους ελέγχους» βασισμένους σε ερωτηματολόγια αλλά ποτέ δεν διασταυρώνει πραγματικά αρχεία κλήσεων έναντι των μητρώων του άρθρου 11. Κατόπιν διερεύνησης καταγγελίας από την ΑΠΔΠΧ, διατάσσεται να εφαρμόσει τριμηνιαίους δειγματοληπτικούς ελέγχους συγκρίνοντας τουλάχιστον 10.000 κλήσεις ανά εκτελούντα έναντι του ενοποιημένου αρχείου του άρθρου 11, με ευρήματα που αναφέρονται στον Υπεύθυνο Προστασίας Δεδομένων του υπευθύνου και την ΑΠΔΠΧ.
9.3. Οργανωτικά Μέτρα και Πλαίσιο Διακυβέρνησης (Governance Frameworks)
Η σύγχρονη εποπτική πρακτική της ΑΠΔΠΧ έχει μετατοπίσει την έμφαση από την τιμωρία μεμονωμένων αστοχιών σε κλήσεις στη διαπίστωση συστημικών αποτυχιών διακυβέρνησης. Δεν αρκεί πλέον η ύπαρξη τυπικών διαδικασιών·απαιτείται απόδειξη ότι εφαρμόζονται, παρακολουθούνται και αναθεωρούνται συστηματικά.
Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.
Στο πλαίσιο λειτουργίας τηλεφωνικών κέντρων, τα οργανωτικά μέτρα που απαιτούνται υπερβαίνουν την απλή ύπαρξη πολιτικών και περιλαμβάνουν τον καθορισμό σαφούς αλυσίδας ευθύνης από το ανώτατο επίπεδο διοίκησης έως τον τηλεφωνητή, την τήρηση επικαιροποιημένου αρχείου δραστηριοτήτων για τις επεξεργασίες δεδομένων προσωπικού χαρακτήρα που πραγματοποιεί ο εκτελών και τον ορισμό συγκεκριμένου στελέχους ως υπευθύνου συμμόρφωσης για κάθε εκτελούντα.
Η Αρχή δέχεται ότι ο υπεύθυνος διαθέτει κατάλληλες οδηγίες και διαδικασίες σε σχέση με τη διενέργεια τηλεφωνικών κλήσεων με σκοπό την προώθηση προϊόντων και υπηρεσιών, τις οποίες και έχει κοινοποιήσει στα συνεργαζόμενα με αυτή τηλεφωνικά κέντρα. Ακόμα, πραγματοποίησε στα συνεργαζόμενα τηλεφωνικά κέντρα έντεκα (11) τα έτη 2020-2022 και τέσσερις (4) το έτος 2023 απομακρυσμένους ελέγχους των οργανωτικών και τεχνικών μέτρων που ακολουθούν μέσω ερωτηματολογίων και προσκόμισε στην Αρχή τις σχετικές εκθέσεις ελέγχου (audit reports). Οι έλεγχοι ωστόσο δεν πρέπει να περιορίζονται σε οργανωτικά και τεχνικά ζητήματα, αλλά πρέπει να περιλαμβάνουν έλεγχο σε σχέση με τις κλήσεις που έχουν διενεργηθεί για ικανοποιητικό χρονικό διάστημα.
Περαιτέρω, η Αρχή έχει επισημάνει ότι όπου ο αριθμός των καταγγελιών αυξάνεται ή όπου υπάρχουν ενδείξεις συστημικών προβλημάτων, απαιτούνται περιοδικοί επιτόπιοι έλεγχοι στις εγκαταστάσεις των εκτελούντων. Η ύπαρξη διαδικασίας για την ενημέρωση του εκτελούντος σε περιπτώσεις αποδεδειγμένων παραπόνων, συμπεριλαμβανομένων αυτών που διαβιβάζονται από την ΑΠΔΠΧ, είναι θεμελιώδης ώστε να διαπιστώνονται τυχόν αστοχίες των εσωτερικών διαδικασιών και να γίνεται κατάλληλη αναθεώρηση.
Σε μία περίπτωση, ο υπεύθυνος επεξεργασίας προχώρησε σε επιτόπιο τεχνικό επανέλεγχο, ο οποίος πραγματοποιήθηκε με άμεσο δειγματοληπτικό έλεγχο σε τηλεφωνικούς αριθμούς στους οποίους η εταιρεία του εκτελούντος πραγματοποίησε κλήσεις εντός του χρονικού διαστήματος κατά το οποίο έλαβαν χώρα καταγγελίες. Βάσει του εν λόγω δειγματοληπτικού ελέγχου, καθώς και κατόπιν σχετικής διερεύνησης, διαπιστώθηκε πως το 43% αυτών των κλήσεων πραγματοποιήθηκε προς αριθμούς καταχωρημένους στο Μητρώο του Άρθρου 11. Αυτό το εύρημα οδήγησε στη διακοπή της συνεργασίας, καταδεικνύοντας ότι οι ουσιαστικοί έλεγχοι είναι όχι μόνο νομικά απαραίτητοι αλλά και επιχειρησιακά κρίσιμοι.
10. Το Βάρος Απόδειξης: Αδυναμία Τεκμηρίωσης ως Παράβαση
Η αρχή της λογοδοσίας του άρθρου 5 παράγραφος 2 ΓΚΠΔ μετατοπίζει το βάρος απόδειξης στον υπεύθυνο και τον εκτελούντα. Δεν αρκεί να ισχυριστούν ότι συμμορφώνονται·πρέπει να είναι σε θέση να το αποδείξουν.
Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»). Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό.
Στο πλαίσιο των τηλεφωνικών κέντρων, η αδυναμία απόδειξης της νομιμότητας μιας κλήσης δεν απαλλάσσει από ευθύνη -αντίθετα, επιβεβαιώνει ανεπάρκεια των μέτρων ασφάλειας και της διακυβέρνησης.
Η Αρχή έχει αντιμετωπίσει επανειλημμένα περιπτώσεις όπου υπεύθυνοι επεξεργασίας ισχυρίζονται ότι δεν μπορούν να διερευνήσουν καταγγελίες επειδή οι εκτελούντες αρνούνται την πραγματοποίηση κλήσεων. Οι παραπάνω ισχυρισμοί του υπευθύνου επεξεργασίας δεν είναι συμβατοί με τις κατά τον ΓΚΠΔ υποχρεώσεις του. Ο υπεύθυνος επεξεργασίας στο πλαίσιο της ευθύνης του ως υπεύθυνου επεξεργασίας και της εκπλήρωσης της αρχής της λογοδοσίας βαρύνεται με την υποχρέωση να ελέγχει τους εκτελούντες του με κατάλληλο και πρόσφορο τρόπο. Ο υπεύθυνος επεξεργασίας δεν πρέπει να αρκείται στις διαβεβαιώσεις που λαμβάνει από τον εκάστοτε εκτελούντα την επεξεργασία.
Περαιτέρω, η Αρχή έχει κρίνει ότι ο ισχυρισμός του υπευθύνου επεξεργασίας ότι οι εξερχόμενες τηλεφωνικές κλήσεις από τα συνεργαζόμενα τηλεφωνικά κέντρα σε συνδρομητές που είναι εγγεγραμμένοι στο Μητρώο του άρθρου 11 ταυτίζονται με τον αριθμό των καταγγελιών που έχουν υποβληθεί στην Αρχή δεν μπορεί να θεωρηθεί ακριβής διότι βασίζεται σε εκτίμηση και όχι σε πραγματική μέτρηση. Απόδειξη ενός τέτοιου ισχυρισμού συνιστά η παροχή στην Αρχή των αποτελεσμάτων που θα προέκυπταν από την αντιπαραβολή των εξερχόμενων κλήσεων καθενός εκ των συνεργαζόμενων τηλεφωνικών κέντρων με το ενοποιημένο Μητρώο του άρθρου 11 κατά την περίοδο πραγματοποίησης των κλήσεων, συνοδευόμενα από στοιχεία τεκμηρίωσης όπως σχετικές εγγραφές λεπτομερειών κλήσης, ενοποιημένα μητρώα παρόχων κλπ., προκειμένου να γίνει μέτρηση του πραγματικού αριθμού των κλήσεων σε τηλεφωνικούς αριθμούς καταχωρημένους στο εν λόγω Μητρώο, δεδομένου ότι ο υπεύθυνος επεξεργασίας φέρει την ευθύνη της τεκμηρίωσης των ισχυρισμών που προβάλλει.
Η αδυναμία απόδειξης συνδέεται άμεσα με το άρθρο 24 ΓΚΠΔ περί υπευθυνότητας του υπευθύνου επεξεργασίας. Όπου ο υπεύθυνος δεν έχει θεσπίσει μηχανισμούς που να του επιτρέπουν να γνωρίζει -και να αποδεικνύει -ποιος εκτελών του πραγματοποίησε ποιες κλήσεις, πότε και με ποια εντολή, έχει αποτύχει στη θεμελιώδη του υποχρέωση λήψης κατάλληλων μέτρων. Τέτοια αποτυχία δεν απαλλάσσει από ευθύνη -αντίθετα, την επιβεβαιώνει.
Πρακτικό παράδειγμα: Πάροχος ενέργειας ισχυρίζεται ότι «το ποσοστό παραβάσεων είναι μόλις 0,4% επί του συνόλου των κλήσεων, άρα το σύστημά μας λειτουργεί». Χωρίς ωστόσο να προσκομίσει πραγματική αντιπαραβολή call logs έναντι μητρώων του άρθρου 11, ο ισχυρισμός απορρίπτεται ως αναπόδεικτος. Η Αρχή απαιτεί όχι εκτίμηση αλλά επαληθεύσιμη μέτρηση.
11. Διασυνοριακές Διαβιβάσεις και Εκτιμήσεις Αντικτύπου Προστασίας Δεδομένων
Ενώ οι εξεταζόμενες αποφάσεις της ΑΠΔΠΧ δεν αντιμετωπίζουν εκτενώς τις διασυνοριακές διαβιβάσεις, κάθε τηλεφωνικό κέντρο που χρησιμοποιεί πλατφόρμες cloud φιλοξενούμενες εκτός Ευρωπαϊκού Οικονομικού Χώρου, ή αναθέτει σε εκτελούντες σε τρίτες χώρες, πρέπει να συμμορφώνεται με το Κεφάλαιο V ΓΚΠΔ. Οι υπεύθυνοι θα πρέπει να ελέγχουν εάν για τη χώρα-εισαγωγέα υπάρχει απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής και εάν δεν υπάρχει, να εφαρμόσουν κατάλληλες εγγυήσεις μέσω εκτιμήσεων αντικτύπου διαβίβασης σύμφωνα με τη νομολογία Schrems II, υπογραφής τυποποιημένων συμβατικών ρητρών και εφαρμογής συμπληρωματικών μέτρων όπου χρειάζεται.
Ενώ η ΑΠΔΠΧ υπονοεί ότι οι συνήθεις λειτουργίες τηλεφωνικών κέντρων μπορεί να μην πυροδοτούν πάντα την υποχρέωση ΕΑΠΔ άρθρου 35, η βέλτιστη πρακτική επιβάλλει τη διενέργεια ΕΑΠΔ όπου υπάρχει συστηματική παρακολούθηση μεγάλης κλίμακας δημόσια προσβάσιμων περιοχών όπως τυχαία κλήση σε ευρέα αριθμοδοτικά φάσματα, αυτοματοποιημένη λήψη αποφάσεων με νομικά αποτελέσματα όπως αλγοριθμική βαθμολόγηση leads που αποκλείει άτομα, ή επεξεργασία συνδυαζόμενη με νέες τεχνολογίες όπως προβλεπτική κλήση με τεχνητή νοημοσύνη.
11.1. Το Μητρώο του Άρθρου 11: Πολλαπλές Συνέπειες Παράβασης
Το σύστημα opt-out του άρθρου 11 παράγραφος 2 του νόμου 3471/2006 δεν είναι απλώς κανονιστική υποχρέωση -είναι απόλυτη απαγόρευση με πολυεπίπεδες έννομες συνέπειες. Η παράβασή του εκθέτει τόσο τον υπεύθυνο όσο και τον εκτελούντα την επεξεργασία σε τρεις διακριτούς κινδύνους: διοικητικές κυρώσεις, αστική ευθύνη και ποινική δίωξη.
11.1.1. Διοικητικές Κυρώσεις της ΑΠΔΠΧ
Όπως αναλύθηκε, η ΑΠΔΠΧ επιβάλλει διοικητικά πρόστιμα βάσει άρθρου 58 ΓΚΠΔ και άρθρου 13 του νόμου 3471/2006, που κυμαίνονται από €5.000 έως €150.000 ανάλογα με τη σοβαρότητα, τη συστημικότητα της παράβασης, τον κύκλο εργασιών και τους επιβαρυντικούς ή ελαφρυντικούς παράγοντες. Οι κυρώσεις αυτές μπορούν να συνδυαστούν με διορθωτικές εντολές όπως διαγραφή παράνομα συλλεχθέντων δεδομένων, υποχρέωση εφαρμογής συγκεκριμένων διαδικασιών ελέγχου εντός εξαμήνου και δημόσια κατονομασία της εταιρείας.
11.1.2. Αστική Ευθύνη: Αποζημίωση και Χρηματική Ικανοποίηση
Παράλληλα με τις διοικητικές κυρώσεις, το άρθρο 14 του νόμου 3471/2006 θεσπίζει ειδικό καθεστώς αστικής ευθύνης. Φυσικό ή νομικό πρόσωπο που, κατά παράβαση του νόμου αυτού, προκαλεί περιουσιακή βλάβη υποχρεούται σε πλήρη αποζημίωση. Αν προκάλεσε ηθική βλάβη, υποχρεούται σε χρηματική ικανοποίηση.
Κρίσιμα, η χρηματική ικανοποίηση λόγω ηθικής βλάβης για παράβαση του παρόντος νόμου ορίζεται, κατ’ ελάχιστο, στο ποσό των δέκα χιλιάδων ευρώ (€10.000), εκτός αν ζητηθεί από τον ενάγοντα μικρότερο ποσό. Η χρηματική ικανοποίηση επιδικάζεται ανεξάρτητα από την αιτούμενη αποζημίωση για περιουσιακή βλάβη. Αυτό σημαίνει ότι ένας συνδρομητής που έλαβε μία μόνο μη νόμιμη κλήση μπορεί να αξιώσει τουλάχιστον €10.000 ως χρηματική ικανοποίηση, επιπλέον οποιασδήποτε αποζημίωσης για περιουσιακή ζημία.
Επιπλέον, οι απαιτήσεις αυτές εκδικάζονται ανεξάρτητα από την έκδοση ή μη απόφασης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ή της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών για τη διαπίστωση παρανομίας ή την άσκηση ποινικής δίωξης. Συνεπώς, ο ενδιαφερόμενος μπορεί να προσφύγει στα δικαστήρια για ασφαλιστικά μέτρα ή οριστική καταδίκη χωρίς να απαιτείται προηγούμενη διοικητική απόφαση.
11.1.3. Ποινικές Κυρώσεις: Φυλάκιση και Ποινές
Το άρθρο 15 του νόμου 3471/2006 ποινικοποιεί συγκεκριμένες παραβάσεις. Όποιος, κατά παράβαση του παρόντος νόμου, χρησιμοποιεί, συλλέγει, αποθηκεύει, λαμβάνει γνώση, αφαιρεί, αλλοιώνει, καταστρέφεί, μεταδίδει, ανακοινώνει, δημοσιοποιεί δεδομένα προσωπικού χαρακτήρα συνδρομητών ή χρηστών, ή τα καθιστά προσιτά σε μη δικαιούμενα πρόσωπα ή επιτρέπει στα πρόσωπα αυτά να λάβουν γνώση των εν λόγω δεδομένων ή τα εκμεταλλεύεται με οποιονδήποτε τρόπο, τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή τουλάχιστον δέκα χιλιάδων ευρώ (€10.000) μέχρι και εκατό χιλιάδων ευρώ (€100.000), αν η πράξη δεν τιμωρείται βαρύτερα από άλλες διατάξεις.
Η ποινική ευθύνη επιβαρύνεται όπου υπάρχει δόλος. Εφόσον ο δράστης των πράξεων αυτών είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να βλάψει τρίτο, επιβάλλεται κάθειρξη μέχρι δέκα (10) ετών και χρηματική ποινή τουλάχιστον δεκαπέντε χιλιάδων ευρώ (€15.000) μέχρι και εκατόν πενήντα χιλιάδων ευρώ (€150.000). Ακόμη και σε περιπτώσεις αμέλειας, επιβάλλεται φυλάκιση μέχρι δεκαοκτώ (18) μηνών και χρηματική ποινή μέχρι και δέκα χιλιάδων ευρώ (€10.000).
Αξίζει να αναφερθεί πως υπεύθυνος επεξεργασίας και τυχόν εκπρόσωπός του που δεν συμμορφώνεται με τις πράξεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα που επιβάλλουν τις διοικητικές κυρώσεις της προσωρινής ανάκλησης αδείας, της οριστικής ανάκλησης αδείας και της καταστροφής αρχείου ή διακοπής επεξεργασίας και καταστροφής των σχετικών δεδομένων, τιμωρείται με φυλάκιση τουλάχιστον δύο (2) ετών και με χρηματική ποινή τουλάχιστον δώδεκα χιλιάδων ευρώ (€12.000) μέχρι και εκατόν είκοσι χιλιάδων ευρώ (€120.000). Αυτό καθιστά τη μη συμμόρφωση με διοικητική απόφαση της ΑΠΔΠΧ αυτοτελές ποινικό αδίκημα.
11.1.4. Η Σωρευτική Έκθεση: Παράδειγμα Πραγματικού Κόστους
Η πολυεπίπεδη νομική ευθύνη σημαίνει ότι το πραγματικό κόστος μιας παράβασης μπορεί να υπερβαίνει κατά πολύ το διοικητικό πρόστιμο.
Πρακτικό παράδειγμα: Τηλεφωνικό κέντρο πραγματοποιεί 100 κλήσεις σε συνδρομητές εγγεγραμμένους στο μητρώο άρθρου 11. Δέκα από αυτούς υποβάλλουν καταγγελία στην ΑΠΔΠΧ. Πέντε ασκούν αγωγή. Ένας ασκεί μήνυση.
Συνολική Έκθεση:
- Διοικητικό πρόστιμο ΑΠΔΠΧ: €50.000 (μέσος όρος/υπόθεση)
- Αστικές αγωγές: 5 × €10.000 (κατ’ ελάχιστο) = €50.000
- Ποινική δίωξη: Πιθανή φυλάκιση & €10.000 με €100.000 ποινή.
Σε όλα τα ανωτέρω συνυπολογίζονται τα νομικά έξοδα και η ζημία στη φήμη της επιχείρησης. Όλα τα ανωτέρω μπορεί να οδηγήσουν σε συνολικό κόστος της τάξεως των €140.000-€280.000 (συμπεριλαμβανομένης πιθανής ποινική καταδίκη)
Αυτό καταδεικνύει ότι το διοικητικό πρόστιμο αποτελεί μόνο μέρος του συνολικού κόστους μη συμμόρφωσης.
11.1.5. Ειδική Ευθύνη Παρόχων Τηλεπικοινωνιών
Από τον φορέα παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών που παραβίασε από αμέλεια την υποχρέωση λήψης κατάλληλων μέτρων για την αποτροπή της μη ζητηθείσας επικοινωνίας, οι αποδέκτες μη ζητηθείσας επικοινωνίας έχουν το δικαίωμα να αξιώσουν αποζημίωση για κάθε περιουσιακή ζημία ή χρηματική ικανοποίηση για ηθική βλάβη. Ο φορέας παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών δεν υποχρεούται σε αποζημίωση και στη λήψη μέτρων ώστε να μην επαναληφθεί η παραβίαση στο μέλλον εφόσον αποδείξει ότι δεν τον βαρύνει αμέλεια.
Αυτή η διάταξη επιβάλλει ειδική ευθύνη στους τηλεπικοινωνιακούς παρόχους που τηρούν τα μητρώα άρθρου 11, δημιουργώντας κίνητρο για ορθή τήρηση και διαθεσιμότητα των μητρώων προς τους διαφημιζόμενους.
11.1.6. Πρακτικό συμέρσμα: Ανάγκη συμμόρφωσης
Η ύπαρξη πολλαπλών νομικών μέσων προστασίας σημαίνει ότι οι επιχειρήσεις που λειτουργούν ή αναθέτουν σε call centers πρέπει να θεωρούν τη συμμόρφωση με το άρθρο 11 όχι ως έναν από τους πολλούς κανόνες, αλλά ως απόλυτη προτεραιότητα με μηδενική ανοχή σε παραβάσεις. Η δυνατότητα σώρευσης διοικητικών προστίμων, αστικών αποζημιώσεων και ποινικών κυρώσεων καθιστά το κόστος της μη συμμόρφωσης δυνητικά καταστροφικό, ιδίως όπου υπάρχουν πολλαπλές καταγγελίες ή συστημικές αποτυχίες.
Περαιτέρω, οι νομικοί σύμβουλοι πρέπει να συμβουλεύουν τους πελάτες τους να δομούν τις συμβάσεις με call centers με ρήτρες αποζημίωσης (indemnification clauses) που κατανέμουν τον κίνδυνο αστικής και ποινικής ευθύνης, ιδίως όπου ο εκτελών παραβιάζει ρητές οδηγίες του υπευθύνου.
12. Τάσεις Επιβολής: Πρόστιμα, Επιπλήξεις και Διορθωτικές Εντολές
Η πρακτική επιβολής κυρώσεων της ΑΠΔΠΧ αποκαλύπτει μια βαθμονομημένη προσέγγιση.
12.1. Επίπεδα Προστίμων
Για τον εκτελούντα PREMIUM, επιβλήθηκε πρόστιμο €15.000 για παράβαση του άρθρου 32 ΓΚΠΔ. Για τον εκτελούντα ICOMM, επιβλήθηκαν συνολικά πρόστιμα €35.000: €5.000 για παράβαση άρθρου 32, €10.000 για παράβαση άρθρου 29 και €20.000 για παράβαση άρθρου 5 παράγραφος 1 στοιχείο α’. Για τον υπεύθυνο ΗΡΩΝ, επιβλήθηκε πρόστιμο €115.000 για παράβαση άρθρου 32 σχετικά με την ανεπαρκή εποπτεία εκτελούντων. 54
Στον τηλεπικοινωνιακό τομέα, τα πρόστιμα υπήρξαν σημαντικά υψηλότερα. Για τις WIND, ΟΤΕ, Vodafone και Cosmote, επιβλήθηκαν πρόστιμα €150.000 η κάθε μία για παραβιάσεις του άρθρου 11 του νόμου 3471/2006 και του άρθρου 10 του νόμου 2472/1997 (που πλέον διαβάζονται ως παραβιάσεις ΓΚΠΔ). 55
12.2. Ελαφρυντικοί και Επιβαρυντικοί Παράγοντες
Η ΑΠΔΠΧ λαμβάνει υπόψη ως επιβαρυντικό στοιχείο, μεταξύ άλλων, ότι τα τηλεφωνικά κέντρα έχουν ως βασικό αντικείμενο δραστηριότητας τη διενέργεια προωθητικών τηλεφωνικών κλήσεων, συνεπώς οφείλουν να γνωρίζουν και να σέβονται πλήρως το σχετικό θεσμικό πλαίσιο. Επιπλέον, το γεγονός ότι δεν πραγματοποιήθηκαν ουσιαστικές ενέργειες ελέγχου από τον υπεύθυνο επεξεργασίας παρότι λάμβανε καταγγελίες επί σειρά ετών συνιστά επιβαρυντικό στοιχείο.
12.3. Διορθωτικές Εντολές
Πέραν των προστίμων, η ΑΠΔΠΧ εκδίδει λεπτομερείς εντολές συμμόρφωσης. Με βάση το άρθρο 58 παράγραφος 2 εδάφιο στ’ του ΓΚΠΔ η Αρχή δίδει εντολή όπως δηλώσεις και λοιπά προσωπικά δεδομένα που έχουν ληφθεί μέσω των ιστοσελίδων των καταγγελιών με αριθμούς 30, 32, 33 και 34 με υπεύθυνο επεξεργασίας την ICOMM και τηρούνται για σκοπό προώθησης προϊόντων και υπηρεσιών να διαγραφούν, διότι δεν έχουν συλλεγεί νομίμως και να ενημερωθεί η Αρχή.
13. Πρακτικές Οδηγίες Συμμόρφωσης
Για εσωτερικές νομικές ομάδες και επαγγελματίες που συμβουλεύουν φορείς λειτουργίας τηλεφωνικών κέντρων, οι ακόλουθες οδηγίες είναι ουσιώδεις:
- Διενεργήστε ανάλυση προσδιορισμού ρόλων. Συντάξτε σαφές υπόμνημα που τεκμηριώνει εάν ο οργανισμός σας είναι υπεύθυνος ή εκτελών (ή και τα δύο, για διαφορετικές δραστηριότητες). Εφαρμόστε το πραγματολογικό, σκοποθετικό κριτήριο από τις Κατευθυντήριες Γραμμές 07/2020 του ΕΣΠΔ.
- Εάν είστε υπεύθυνος που χρησιμοποιεί εκτελούντες: Συνάψτε συμβάσεις άρθρου 28 παρ. 3 με λεπτομερείς οδηγίες, συμπεριλαμβανομένων εγκεκριμένων σεναρίων, εγκεκριμένων αριθμοδοτικών φασμάτων και ρητής απαγόρευσης ανεξάρτητης παραγωγής leads. Λάβετε μηνιαίες γραπτές αναφορές καταλόγων τηλεφωνικών αριθμών που χρησιμοποιούνται από τον εκτελούντα. Εφαρμόστε, τουλάχιστον μία φορά ετησίως, πλήρη ή δειγματοληπτικό έλεγχο μεγάλου αριθμού εξερχόμενων κλήσεων κάθε εκτελούντος, όπως επιβάλλεται από την ΑΠΔΠΧ. Διατηρήστε τεκμηρίωση όλων των εντολών που δίδονται στους εκτελούντες μέσω ηλεκτρονικής αλληλογραφίας, γραπτών εντολών και ενημερωμένων σεναρίων.
- Εάν είστε τηλεφωνικό κέντρο (εκτελών): Μην καθορίζετε ποτέ σκοπούς ή μέσα πέραν των καταγεγραμμένων οδηγιών του υπευθύνου. Εάν δημιουργείτε δικές σας ιστοσελίδες ή πηγές leads, καθίστασθε υπεύθυνος για την δραστηριότητα αυτή με πλήρη ευθύνη ΓΚΠΔ. Εφαρμόστε αυτοματοποιημένους τεχνικούς ελέγχους διασφαλίζοντας ότι και οι χειροκίνητες κλήσεις ελέγχονται έναντι των μητρώων του άρθρου 11 και εναντίωσης πριν πραγματοποιηθούν. Θεσπίστε διαδικασίες διασφαλίζοντας ότι όταν η γραμμή δικτύου παρουσιάζει προβλήματα, αυτό δεν οδηγεί σε μερική μη φόρτωση δεδομένων του άρθρου 11. Αναπτύξτε διπλές γραμμές διαδικτύου και δρομολογείστε κρίσιμα δεδομένα μέσω της πλέον αξιόπιστης σύνδεσης. Ειδοποιήστε τον υπεύθυνο άμεσα για κάθε παραβίαση δεδομένων, συμπεριλαμβανομένων συστηματικών κλήσεων σε αριθμούς του άρθρου 11 λόγω τεχνικής αποτυχίας.
- Μηχανισμοί συγκατάθεσης: Λάβετε συγκατάθεση μόνο μέσω μεθόδων που επιτρέπουν αξιόπιστη απόδειξη ότι το συγκεκριμένο άτομο (όχι τρίτος) συγκατατέθηκε. Παρέχετε ξεχωριστή, λεπτομερή συγκατάθεση για κάθε υπεύθυνο. Μη χρησιμοποιείτε ποτέ «συνδυασμένη» συγκατάθεση για «Εταιρεία Χ και τους συνεργάτες της». Διασφαλίστε ότι το αίτημα συγκατάθεσης είναι διακριτό, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Οι πληροφορίες που είναι σημαντικές για τη λήψη εν πλήρει επιγνώσει αποφάσεων σχετικά με την παροχή ή μη συγκατάθεσης δεν πρέπει να είναι κρυμμένες σε γενικούς όρους και προϋποθέσεις.
- Δικαιώματα εναντίωσης: Εφαρμόστε απλό, σε πραγματικό χρόνο μηχανισμό εναντίωσης κατά τη διάρκεια κάθε κλήσης. Καταγράψτε την εναντίωση μέσω χρονοσήμανσης ηχογράφησης ή μοναδικού αριθμού αναφοράς. Ενοποιήστε όλες τις εναντιώσεις (από κλήσεις, emails, καταγγελίες) σε κεντρικό αρχείο «do not call», ενημερούμενο καθημερινά και διαβιβαζόμενο σε όλους τους εκτελούντες. Σεβαστείτε τις εναντιώσεις μόνιμα εκτός εάν το υποκείμενο παράσχει νέα, συγκεκριμένη, τεκμηριωμένη συγκατάθεση.
- Τηρήστε αρχεία άρθρου 30: Τεκμηριώστε κάθε διακριτή δραστηριότητα επεξεργασίας (κρύες κλήσεις, ζεστές λίστες, επιστροφές κλήσεων εξυπηρέτησης, έρευνα αγοράς). Προσδιορίστε τη νομική βάση για κάθε μία. Μην επαναχρησιμοποιείτε δεδομένα που συλλέχθηκαν για έναν σκοπό (π.χ. εξυπηρέτηση πελατών) για άλλον (π.χ. μάρκετινγκ) χωρίς νέα νομική βάση και διαφάνεια.
- Εκπαίδευση και ευαισθητοποίηση: Ο εκτελών έχει πραγματοποιήσει δύο παρουσιάσεις εντός του 2023 για την ενημέρωση και ευαισθητοποίηση του προσωπικού του σχετικά με τη νομοθεσία περί προστασίας δεδομένων. Οι παρουσιάσεις συνεχίζονται εντός του 2024. Τεκμηριώστε όλες τις συνεδρίες εκπαίδευσης. Διασφαλίστε ότι οι χειριστές τηλεφωνικών κέντρων κατανοούν τα δικαιώματα εναντίωσης και τις υποχρεωτικές πληροφορίες που πρέπει να παρέχονται κατά τη διάρκεια των κλήσεων.
- Δομήστε την ικανότητα απόδειξης. Η αρχή της λογοδοσίας δεν είναι θεωρητική -είναι διαδικαστική. Με βάση την αρχή της λογοδοσίας, τέτοια λάθη καταγράφονται, ενώ ενδέχεται να αφορούν και περιστατικά παραβίασης δεδομένων του άρθρου 33 ΓΚΠΔ. Οι υπεύθυνοι και εκτελούντες πρέπει να δομήσουν συστήματα που να επιτρέπουν απόδειξη της νομιμότητας κάθε κλήσης: για κλήσεις σε «κρύες λίστες», απόδειξη ότι ο αριθμός δεν ήταν στο μητρώο άρθρου 11 κατά την ημερομηνία της κλήσης μέσω timestamped snapshot του μητρώου. Για κλήσεις βασισμένες σε συγκατάθεση, απόδειξη της συγκεκριμένης συγκατάθεσης μέσω αποθηκευμένης φόρμας ή ηχογραφημένης προφορικής συγκατάθεσης με μοναδικό αναγνωριστικό. Για «ζητηθείσες» κλήσεις, απόδειξη του αιτήματος όπως εισερχόμενη κλήση καταγεγραμμένη στο σύστημα διαχείρισης πελατειακών σχέσεων ή email request.
14. Συμπέρασμα: Από τη Συμμόρφωση στη Διακυβέρνηση Τηλεφωνικών Κέντρων
Η εξέλιξη της εποπτικής πρακτικής της ΑΠΔΠΧ καταδεικνύει θεμελιώδη μετατόπιση: από την τιμωρία μεμονωμένων «λάθος κλήσεων» στη διαπίστωση συστημικών αποτυχιών διακυβέρνησης.
Οι Αποφάσεις 43/2025 και 44/2025 δεν αφορούν εταιρείες που απλώς «ξέχασαν» να ελέγξουν ένα μητρώο. Αφορούν εταιρείες που, επί σειρά ετών, δέχονταν καταγγελίες χωρίς να εντοπίζουν τις συστημικές αιτίες, στηρίζονταν σε διαβεβαιώσεις εκτελούντων χωρίς επαλήθευση, ανακάλυπταν ότι το 43% των κλήσεων ενός call center πήγαιναν σε αριθμούς του μητρώου του άρθρου 11 μόνο όταν η Αρχή έκανε δειγματοληπτικό έλεγχο και δεν γνώριζαν ποιοι τηλεφωνικοί αριθμοί χρησιμοποιούνταν από τους συνεργάτες τους. Αυτά δεν είναι τεχνικά λάθη -είναι αποτυχίες διακυβέρνησης.
Η Νέα Πραγματικότητα: Συμμόρφωση ως Διακυβέρνηση
Το σύγχρονο πλαίσιο συμμόρφωσης για τηλεφωνικά κέντρα απαιτεί τρία επίπεδα δέσμευσης.
Πρώτον, vendor management ως κανονιστική υποχρέωση. Η σχέση με το call center δεν είναι απλώς εμπορική -είναι κανονιστική ευθύνη. Η ευθύνη του υπευθύνου επεξεργασίας αφορά την επάρκεια του ελέγχου και της εποπτείας των εκτελούντων την επεξεργασία αλλά και τις ενέργειες στις οποίες αυτή προέβη μόλις έλαβε γνώση των καταγγελιών. 64 Δεν αρκεί να έχετε «καλή σύμβαση» -πρέπει να ζείτε τη σύμβαση μέσω συνεχούς επαλήθευσης.
Δεύτερον, auditability by design. Ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση του με την παράγραφο 1 του άρθρου 5 ΓΚΠΔ. Στο πλαίσιο των τηλεφωνικών κέντρων, αυτό μεταφράζεται σε πλήρη ιχνηλασιμότητα κάθε κλήσης, timestamped snapshots μητρώων του άρθρου 11, αυτοματοποιημένους ελέγχους συμμόρφωσης και real-time δυνατότητα αναφοράς που επιτρέπει στην ανώτατη διοίκηση να γνωρίζει τον αριθμό κλήσεων, το ποσοστό των εναντιώσεων (που πρέπει να είναι μηδενικό) και τον χρόνο ενσωμάτωσης μητρώων.
Η αδυναμία απόδειξης δεν απαλλάσσει -επιβεβαιώνει την παράβαση. Οι ισχυρισμοί του υπευθύνου επεξεργασίας ότι δεν έχει τη δυνατότητα ούτε τα μέσα να διερευνήσει περαιτέρω τις καταγγελίες δεν είναι συμβατοί με τις κατά τον ΓΚΠΔ υποχρεώσεις του.
Τρίτον, οργανωτική ευθύνη σε επίπεδο διοίκησης. Το compliance των τηλεφωνικών κέντρων δεν είναι ζήτημα του Υπευθύνου Προστασίας Δεδομένων ή του νομικού τμήματος -είναι ζήτημα που αφορά την ανώτατη διοίκηση. Όταν μια εταιρεία λαμβάνει δεκάδες καταγγελίες επί σειρά ετών και εξακολουθεί να βασίζεται σε ερωτηματολόγια προς τους εκτελούντες αντί να διενεργεί πραγματικούς ελέγχους στα call logs, αυτό δεν αποτελεί λειτουργικό ζήτημα -αποτελεί αποτυχία ηγεσίας.
Η Επένδυση Έναντι του Κόστους
Για μια εταιρεία που πραγματοποιεί εκατομμύρια κλήσεις ετησίως, η επένδυση σε compliance framework, ετήσιους automated audits και εκπαίδευση αντιστοιχεί σε μικρό κλάσμα του κόστους ενός προστίμου €115.000-150.000, της φημολογικής ζημίας από δημόσια κατονομασία σε αποφάσεις της ΑΠΔΠΧ, των νομικών εξόδων υπεράσπισης και της απώλειας εμπορικών συμβάσεων όταν πελάτες απαιτούν πιστοποιήσεις συμμόρφωσης.
Το νομικό πλαίσιο για τα τηλεφωνικά κέντρα στην Ελλάδα δεν είναι ασαφές. Είναι πλήρως ανεπτυγμένο μέσω νομοθεσίας, κανονιστικών κατευθύνσεων και λεπτομερών επιβολών. Η εποχή των «τεχνικών λαθών» ως δικαιολογίας έχει τελειώσει. Η νέα εποχή απαιτεί επιχειρήσεις που αντιμετωπίζουν την προστασία δεδομένων όχι ως κόστος συμμόρφωσης αλλά ως θέμα operational excellence και εταιρικής διακυβέρνησης.
Για τους νομικούς επαγγελματίες και compliance officers, το έργο είναι σαφές: μετατρέψτε την τυπική συμμόρφωση σε αποδεδειγμένη, ελέγξιμη, συνεχή διακυβέρνηση. Η ΑΠΔΠΧ δεν ζητά τελειότητα -ζητά accountability. Και αυτό, με τη σωστή δομή, είναι απόλυτα επιτεύξιμο.
[1] ΑΠΔΠΧ, Απόφαση 43/2025
[2] Μετά τη θέση σε εφαρμογή του ΓΚΠΔ, με το άρθρο 84 του νόμου 4624/2019, όπως έχει αντικατασταθεί με το άρθρο 44 του νόμου 5002/2022, καταργήθηκε ο νόμος 2472/1997 και κάθε παλαιότερη παραπομπή σε αυτόν νοείται ως παραπομπή στον ΓΚΠΔ.
[3] ΓΚΠΔ, άρθρο 4 στοιχ. 1’ ΓΚΠΔ