Hellenic Data Protection Authority: Violation of the right to erasure by the data controller

Date: April 28, 2020

Βy Simeon Kretsis

The post comments on the recent decision of the Hellenic Data Protection Authority on the infringement of the right to erasure by the data controller, upon submission of a request by the data subject.
The decision of the Authority highlights important issues relating to compliance with the regulatory framework for data protection, such as the importance of selecting an appropriate legal basis for data processing, the compliance with the principle of accountability, the conditions for satisfying the right to erasure of personal data, the relationship between anonymization and erasure of personal data.
Below you may find the full article in Greek.

 

ΑΠΔΠΧ: Παραβίαση του δικαιώματος διαγραφής από Υπεύθυνο Επεξεργασίας

Του Συμεών Κρέτση

Η Αρχή εξέδωσε την 6/2020 απόφασή της, αφού διερεύνησε καταγγελία φυσικού προσώπου κατά ασφαλιστικής εταιρείας για μη ικανοποίηση δικαιώματος διαγραφής προσωπικών δεδομένων που το αφορούν.

Βασικά σημεία της νέας απόφασης:

Με την πρόσφατη απόφαση της Αρχής αναδεικνύονται τα ακόλουθα ζητήματα:

  1. Η επιλογή της κατάλληλης νομικής βάσης αποτελεί βασικό σημείο συμμόρφωσης του Υπευθύνου Επεξεργασίας. Η επιλογή της συγκατάθεσης ως νομικής βάσης για την επεξεργασία προσωπικών δεδομένων, μεταξύ των σκοπών της οποίας συμπεριλαμβάνεται και το στοιχείο του εννόμου συμφέροντος, για τήρηση προσωπικών δεδομένων υποψηφίου ασφαλισμένου επί πενταετία με σκοπό την καταπολέμηση της ασφαλιστικής απάτης, διαμορφώνει ένα δυσλειτουργικό πλαίσιο επεξεργασίας, ιδίως σε περίπτωση ανάκλησης συγκατάθεσης. Απαιτείται εξαιρετικά προσεκτική ανάλυση της πραγματικής λειτουργίας κάθε επεξεργασίας για την επιλογή της κατάλληλης νομικής βάσης, ενώ ως προς την αναζήτησή της θα πρέπει να αξιοποιείται τόσο το ευρωπαϊκό όσο και το εθνικό κανονιστικό πλαίσιο.
  2. Κεντρικό μέγεθος στο μοντέλο συμμόρφωσης του Γενικού Κανονισμού αποτελεί η αρχή της λογοδοσίας. Ο Υπεύθυνος Επεξεργασίας υποχρεούται να σχεδιάζει, και να εφαρμόζει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των δεδοµένων να είναι σύμφωνη µε τις σχετικές νομοθετικές προβλέψεις. Επομένως απαιτείται πλήρης ευθυγράμμιση της πραγματικής λειτουργίας των δραστηριοτήτων επεξεργασίας με το υφιστάμενο κανονιστικό πλαίσιο. Ο Υπεύθυνος Επεξεργασίας οφείλει να συμμορφώνεται και να αποδεικνύει τη συμμόρφωσή του σύμφωνα με την αρχή της λογοδοσίας.
  3. Η ικανοποίηση του δικαιώματος διαγραφής των προσωπικών δεδομένων πραγματοποιείται υπό τους όρους που προβλέπονται στις σχετικές διατάξεις. Η ανάκληση της συγκατάθεσης επί της οποίας βασίζεται η επεξεργασία, εφόσον δεν υπάρχει άλλη νομική βάση για την επεξεργασία, αποτελεί νόμιμο λόγο ικανοποίησης του σχετικού αιτήματος διαγραφής.
  4. Η µη ικανοποίηση του δικαιώματος της διαγραφής των προσωπικών δεδομένων και η υποκατάσταση της διαγραφής αυτών, με ανωνυμοποίηση, κατά την πρόσφατη κρίση της Αρχής, δεν γίνεται αποδεκτή στο βαθμό που δεν τεκμηριώνεται από λόγους που βρίσκουν έρεισμα στο Γενικό Κανονισμό.
  5. Η υιοθέτηση Κώδικα Δεοντολογίας από ενώσεις και άλλους φορείς που εκπροσωπούν κατηγορίες υπευθύνων και εκτελούντων επεξεργασία δεδομένων ενθαρρύνεται από την ΑΠΔΠΧ και λαμβάνεται υπόψη ως βέλτιστη πρακτική και ουσιαστικό στοιχείο της συμμόρφωσης. Εν προκειμένω η ασφαλιστική εταιρεία επικαλέστηκε, για την πρακτική της σχετικά με τη διατήρηση των προσωπικών δεδοµένων υποψηφίου ασφαλισμένου επί πενταετία, σε περίπτωση µη σύναψης ασφαλιστικής σύμβασης, συμμόρφωσή της με το -υποβληθέν προς έγκριση στην Αρχή- Σχέδιο Κώδικα Δεοντολογίας της Ένωσης Ασφαλιστικών Εταιρειών, γεγονός που ελήφθη υπόψη ως ελαφρυντική περίσταση. Ωστόσο κατά τη ρητή θέση της Αρχής, λόγω του ότι το Σχέδιο Κώδικα δεν έχει εγκριθεί από την Αρχή, δεν µπορεί να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσής της µε το ΓΚΠ∆.

Η πρόσφατη απόφαση της Αρχής αναδεικνύει την ευθύνη του Υπεύθυνου Επεξεργασίας για τη συμμόρφωση του προς το κανονιστικό πλαίσιο προστασίας δεδομένων. Ο Υπεύθυνος Επεξεργασίας υποχρεούται να συμμορφώνεται πλήρως με το ισχύον ρυθμιστικό πλαίσιο. Από την στάθμιση και επιλογή κατάλληλης νομικής βάσης για τις δραστηριότητες επεξεργασίας, έως την εφαρμογή της βέλτιστης μεθόδου διαγραφής, η συμμόρφωση είναι μια συνεχής και απαιτητική  διαδικασία, η οποία κρίνεται στις λεπτομέρειες.