Διαψεύδει και αρνείται, πλην μιας περιπτώσεως-εξαίρεσης ίσως..Καταγγελία κατά της ΑΒ Βασιλόπουλος υποβλήθηκε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) στι1 13 Αυγούστου 2024, με την οποία αμφισβητείται η τήρηση του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) από την αλυσίδα σούπερ μάρκετ, εν Ελλάδι θυγατρική του ολλανδο-βελγικού ομίλου Ahold Delhaize.
Η καταγγελία που παίρνει ευρωπαϊκές διαστάσεις, καθώς την καταγγέλλουσα εκπροσωπεί ο «noyb – European Center for Digital Rights», ένας μη κερδοσκοπικός οργανισμός με έδρα στη Βιέννη και δραστηριοποίηση στον τομέα της προστασίας των δικαιωμάτων και ελευθεριών, αφορά την παραβίαση από πλευράς της ΑΒ δύο διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων.
Η καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κατά της ΑΒ Βασιλόπουλος
Σύμφωνα με τον «noyb» η ΑΒ απάντησε ελλιπώς και ασαφώς στο αίτημα πρόσβασης της καταγγέλλουσας και, ως εκ τούτου, παραβίασε το άρθρο 15 παρ. 1 του ΓΚΠΔ. Στη συνέχεια, η ΑΒ παραβίασε την αρχή της διαφάνειας που θεσπίζεται στο άρθρο 5 παρ. 1 στοιχείο α΄ ΓΚΠΔ.
Το ιστορικό
Όπως αναφέρει ο «noyb» η καταγγέλλουσα είναι εγγεγραμμένη στο AB Plus Personal του προγράμματος επιβράβευσης της AB. Αυτό σημαίνει ότι η AB επεξεργάζεται «τις αγοραστικές της συνήθειες, τη συχνότητα των επισκέψεών της σε ένα κατάστημα ΑΒ, τη χρήση των προσφορών που της κοινοποιούνται, τη διεύθυνση κατοικίας της, το συνολικό κόστος των αγορών της» για δημιουργία προφίλ.
Ωστόσο, η AB της παρείχε μόνο μια λίστα με τις συναλλαγές της και τα στοιχεία επικοινωνίας της, αλλά καμία άλλη πληροφορία που προέκυψε από αυτήν, τονίζεται από τον μη κερδοσκοπικό οργανισμό. Παρά τη σαφή απόφαση του Δικαστηρίου των Ευρωπαϊκών Κοινοτήτων, η AB αρνήθηκε επίσης ρητά να παράσχει κατάλογο αποδεκτών τέτοιων δεδομένων (βλ. υπόθεση C-154/21), επισημαίνει ο «noyb».
Η Κλεάνθη Σαρδέλη, δικηγόρος προστασίας δεδομένων στον «noyb», τονίζει πως «ο GDPR ορίζει σαφώς ότι η απάντηση μιας εταιρείας σε ένα αίτημα πρόσβασης πρέπει να περιλαμβάνει όλες τις πληροφορίες που κατέχει για έναν πελάτη. Το δικαστήριο διευκρίνισε ότι αυτό περιλαμβάνει επίσης όλους τους παραλήπτες που απέκτησαν τα προσωπικά σας δεδομένα. Το γεγονός ότι η "ΑΒ" αποκρύπτει σκόπιμα τεράστιες ποσότητες των εν λόγω δεδομένων είναι σαφώς παράνομο».
«Οι AB Plus Personal πελάτες, συμπεριλαμβανομένης της καταγγέλλουσας, δεν μπορούν να έχουν πρόσβαση στο χρηματικό ποσό που έχουν εξοικονομήσει χρησιμοποιώντας την κάρτα επιβράβευσης. Στον ιστότοπό της, η AB διαφημίζει την πρόσβαση σε αυτά τα δεδομένα ως αποκλειστική δυνατότητα για τους πελάτες "AB Plus Unique".
Ωστόσο, μια «αναβάθμιση» στο AB Plus Unique θα απαιτούσε τη συναίνεση για την κοινή χρήση δεδομένων με άλλα τρίτα μέρη. Αυτό δεν είναι μόνο παράλογο, αλλά και σαφώς παράνομο. Οι εταιρείες πρέπει να «διευκολύνουν» την πρόσβαση στα προσωπικά δεδομένα και όχι να τα κρατούν όμηρο. Συνολικά, αυτή η υπόθεση δείχνει ότι ακόμη και οι λειτουργίες που βασίζονται σε μεγάλο βαθμό σε προσωπικά δεδομένα, όπως ένα πρόγραμμα επιβράβευσης, εξακολουθούν να αποτυγχάνουν να συμμορφωθούν με τις βασικές αρχές του GDPR, οκτώ χρόνια μετά την υιοθέτησή του το 2016» προσθέτει ο «noyb».
«Σε περιόδους ραγδαίας αύξησης των τιμών των τροφίμων, οικονομικής ύφεσης και ειδικά για τους πελάτες σε κράτη-μέλη με χαμηλό εισόδημα, μπορεί να μην υπάρχει άλλη επιλογή από το να "συμφωνήσουν" να μοιραστούν προσωπικά δεδομένα προκειμένου να έχουν πρόσβαση σε πιο προσιτές τιμές τροφίμων» σημειώνει η κ. Σαρδέλη, προσθέτοντας ότι οι «εκπτώσεις» είναι ενσωματωμένες στα μοντέλα τιμολόγησης των σούπερ μάρκετ και αυτό σημαίνει ότι, «στην πραγματικότητα, οι πελάτες λαμβάνουν μόνο εκπτώσεις επί των προηγουμένως διογκωμένων τιμών».
Να επιβληθεί πρόστιμο
Ο «noyb» προτείνει στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να επιβάλει πρόστιμο έως και 4% του ετήσιου τζίρου της ΑΒ Βσιλόπουλος για να αποφευχθούν παρόμοιες παραβιάσεις στο μέλλον.
Τι απαντά η ΑΒ Βασιλόπουλος
Πηγές κοντά στην ΑΒ Βασιλόπουλος αναφέρουν στον ΟΤ πως ό,τι ζητήθηκε έχει δοθεί στην καταγγέλλουσα, ενώ επισημαίνεται ότι δεν έχει επίσημη ενημέρωση από την Αρχή Προστασίας Προσωπικών Δεδομένων.
Συγκεκριμένα η εταιρεία αναφέρει: «Σαν εταιρεία σεβόμαστε απόλυτα τα προσωπικά δεδομένα των πελατών μας και υπάρχουν αυστηροί κανόνες για τη διασφάλιση αυτών και την επεξεργασία τους. Ανατρέξαμε στα αιτήματα που είχαμε λάβει την ημέρα που αναφέρεται στην καταγγελία και εντοπίσαμε ένα αίτημα το οποίο ενδέχεται να είναι αυτό που αναφέρεται στην καταγγελία. Από το ιστορικό των απαντήσεων διαπιστώσαμε ότι έχουν δοθεί το σύνολο των στοιχείων με βάση τα αιτήματα και μας δημιουργεί ιδιαίτερη έκπληξη η καταγγελία αν αφορά τη συγκεκριμένη περίπτωση. Σε κάθε περίπτωση η εταιρείας μας όταν κληθεί θα δώσει όλες τις απαραίτητες πληροφορίες στην αρμόδια Αρχή.»