Ε. Μαργαρίτης, GDPR και προώθηση προϊόντων μέσω Viber - Σκέψεις με αφορμή την απόφαση 66/2018 της ΑΠΔΠΧ

Ευάγγελος Ι. Μαργαρίτης Δικηγόρος, ΔΝ, CIPP/E, Μεταδιδακτορικός Ερευνητής Νομικής Σχολής Αθηνών Α. Εισαγωγικά Σαν χριστουγεννιάτικο δώρο έφτασαν λίγο πριν τη λήξη του 2018 στους κόλπους των «περί την ιδιωτικότητα» τυρβαζόντων οι πρώτες αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφ’ εξής η « Αρχή ») οι οποίες εφαρμόζουν τον Κανονισμό 2016/679/ΕΕ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων – εφ’ εξής ΓΚΠΔ ). Μεταξύ αυτών, με τις αποφάσεις με αριθμούς 68 και 69/2018, η Αρχή απεύθυνε επίπληξη σε Τράπεζες για μη έγκαιρη υποβολή γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων. Συγκεκριμένα, με την με αριθμό 68/2018 απόφασή της [1] , η Αρχή αξιολόγησε περίπτωση καθυστερημένης γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων (data breach notification). Εν προκειμένω, ο υπεύθυνος επεξεργασίας υπέβαλε τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα με καθυστέρηση 2 ημερών από τη στιγμή κατά την οποία για πρώτη φορά ενημερώθηκε για το περιστατικό, χωρίς να παρέχει αιτιολογία για την καθυστέρηση αυτή, όπως επιτάσσεται από το άρθρο 33 ΓΚΠΔ [2] . Η Αρχή έκρινε ότι ναι μεν η ενεργοποίηση της διαδικασίας χειρισμού περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα έγινε καθυστερημένα,...