Πρόστιμο 50.000 στην Intellexa για μη συνεργασία με την Αρχή Προστασίας Δεδομένων

Συγκεκριμένα, η Αρχή, ήδη από τον Ιούλιο του 2022, διερευνά περιπτώσεις εγκατάστασης λογισμικού παρακολούθησης σε τερματικές συσκευές κινητής τηλεφωνίας χρηστών (κατασκοπευτικό λογισμικό), με σκοπό την εν αγνοία τους παρακολούθηση καθώς και τη συνακόλουθη συλλογή και επεξεργασία προσωπικών δεδομένων.

Στο πλαίσιο της διερεύνησης αυτής η Αρχή έχει εκκινήσει από τον Σεπτέμβριο του 2022 διοικητικό έλεγχο στην εταιρεία Intellexa Α.Ε. Κλιμάκιο ελέγχου της Αρχής πραγματοποίησε επιτόπιο έλεγχο τόσο στην καταστατική έδρα της εταιρείας στο Χαλάνδρι όσο και στην εγκατάσταση της εταιρείας στο Ελληνικό. Με την απόφαση διαπιστώνεται ότι η εταιρεία καθυστέρησε αδικαιολόγητα να ανταποκριθεί σε ερωτήματα της Αρχής και αρνήθηκε να παράσχει πληροφορίες οι οποίες βρίσκονται αδιαμφισβήτητα στην κατοχή της, συνεπώς παραβίασε την υποχρέωση του άρθρου 31 του Γενικού Κανονισμού Προστασίας Δεδομένων που επιβάλλει σε υπευθύνους και εκτελούντες την επεξεργασία να συνεργάζονται με την Αρχή.

Περαιτέρω, με την ίδια απόφαση, η Αρχή δίνει εντολή στην Intellexa Α.Ε. να της παραδώσει άμεσα συγκεκριμένες πληροφορίες οι οποίες είναι απαραίτητες για τη διενέργεια του ελέγχου.

Επισημαίνεται ότι ο έλεγχος στην εταιρεία Intellexa Α.E. βρίσκεται σε εξέλιξη.

Παράλληλα, η Αρχή συνεχίζει να διερευνά τις περιπτώσεις χρήσης κατασκοπευτικού λογισμικού κατά προσώπων που βρίσκονται στην ελληνική επικράτεια.

Για τον σκοπό αυτόν και στο πλαίσιο των αρμοδιοτήτων της, έχει συλλέξει στοιχεία και πληροφορίες από διάφορους φορείς εντός και εκτός Ελλάδας και Ε.Ε., ενώ συνεχίζει τη διερεύνηση της υπόθεσης.

Όλη η απόφαση της Αρχής ( 2/2023 ) έχει ως εξής:

«Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε, μετά από πρόσκληση του Προέδρου της, σε έκτακτη συνεδρίαση στην έδρα της την 20-12-2022, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν οι Κωνσταντίνος Μενουδάκος, Πρόεδρος της Αρχής και τα τακτικά μέλη

Σπυρίδων Βλαχόπουλος, Κωνσταντίνος Λαμπρινουδάκης, Χαράλαμπος Ανθόπουλος, Χρήστος Καλλονιάτης, Αικατερίνη Ηλιάδου και Γρηγόριος Τσόλιας ως εισηγητής και το αναπληρωματικό μέλος Δημοσθένης Βουγιούκας ως εισηγητής, χωρίς δικαίωμα ψήφου. Στη συνεδρίαση, χωρίς δικαίωμα ψήφου, παρέστησαν, με εντολή του Προέδρου, οι Ελένη Καπράλου ειδική επιστήμονας νομικός, Γεώργιος Ρουσόπουλος και Ευφροσύνη Σιουγλέ, ειδικοί επιστήμονες πληροφορικοί, ως βοηθοί εισηγητών, και η Γεωργία Παλαιολόγου, υπάλληλος του Τμήματος Διοικητικών Υποθέσεων, ως γραμματέας. Η έτερη βοηθός εισηγητών, Καλλιόπη Καρβέλη, απουσίασε λόγω κωλύματος.

H Αρχή έλαβε υπόψη τα παρακάτω:

Κατόπιν δημοσιευμάτων στον τύπο για χρήση κατασκοπευτικού λογισμικού παρακολούθησης τερματικών συσκευών προσώπων εντός της Ελληνικής Επικράτειας, η Αρχή, ενεργώντας αυτεπάγγελτα, ζήτησε από το Ευρωπαϊκό Κοινοβούλιο, με το υπ’ αριθμ. πρωτ. Γ/ΕΞΕ/1938/28-07-2022 έγγραφό της, αντίγραφο της σχετικής έκθεσης αναφορικά με την τερματική συσκευή κινητής τηλεφωνικής επικοινωνίας του Α, και παράλληλα ζήτησε από τον ίδιο, με το υπ’ αριθμ. πρωτ. Γ/ΕΞΕ/1939/28-07-2022 έγγραφό της, αναλυτικότερη πληροφόρηση καθώς και αντίγραφο της αναφοράς που είχε καταθέσει στην Εισαγγελία του Αρείου Πάγου.

Ο Α, υπέβαλε στην Αρχή την υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/9312/03-08-2022 αναφορά-καταγγελία, με την οποία της κοινοποίησε τη μηνυτήρια αναφορά που είχε καταθέσει ενώπιον του Εισαγγελέα του Αρείου Πάγου σχετικά με την καταγγελλόμενη απόπειρα παγίδευσης της τερματικής συσκευής κινητού του τηλεφώνου με το λογισμικό παρακολούθησης «Predator» καθώς και τη σχετική έκθεση της Ειδικής Υπηρεσίας του Ευρωπαϊκού Κοινοβουλίου, ζητώντας να πράξει η Αρχή, στο πλαίσιο των αρμοδιοτήτων της, ως ο Νόμος ορίζει και, εφόσον προκύψουν σχετικά στοιχεία, την επιβολή κάθε προβλεπόμενης κύρωσης.

Κατόπιν ερευνών της Αρχής και πληθώρας δημοσιευμάτων του τύπου, που συνέδεαν την εταιρεία Intellexa Α.Ε. με το ανωτέρω αναφερόμενο λογισμικό παρακολούθησης, και των υπ’ αριθμ. πρωτ. Γ/ΕΞΕ/2272/14-09-2022^[1] και Γ/ΕΞΕ/2280/15-09-2022^[2] εντολών του Προέδρου της Αρχής, ομάδα ελέγχου αποτελούμενη από τον εκ των Εισηγητών Δ. Βουγιούκα και τους βοηθούς Εισηγητές Κ. Καρβέλη, Γ. Ρουσόπουλο, Ε. Σιουγλέ διενήργησε στις 15-09-2022 επιτόπιο διοικητικό έλεγχο στην έδρα της εταιρείας Intellexa A.E., στην οδό Νέστορος 1, Τ.Κ. 15231 στο Χαλάνδρι, όπως αυτή προκύπτει από τα στοιχεία που αναρτώνται στο ΓΕΜΗ^[3]. Η εταιρεία Intellexa Α.Ε., όπως προκύπτει από το αναρτημένο στο ΓΕΜΗ καταστατικό της, έχει ως σκοπό, μεταξύ άλλων, την παροχή υπηρεσιών που σχετίζονται με τον σχεδιασμό και την ανάπτυξη εφαρμογών, δικτύων και συστημάτων, λογισμικού και εν γένει τεχνολογικών λύσεων, αλλά και υπηρεσιών επεξεργασίας δεδομένων.

Κατά τον επιτόπιο έλεγχο διαπιστώθηκε ότι στην εν λόγω διεύθυνση διαθέτει εγκατάσταση η εταιρεία Interlog Α.Ε., η οποία παρέχει λογιστικές υπηρεσίες στην εταιρεία Intellexa A.E. (ως εκτελούσα την επεξεργασία), για τμήμα του έτους 2022. Κατόπιν διαλογικής συζήτησης με στελέχη της εταιρείας Interlog Α.Ε., ζητήθηκαν για το χρονικό διάστημα, στο οποίο η Interlog Α.Ε. παρέχει υπηρεσίες στην Intellexa A.E., σειρά στοιχείων για την Intellexa Α.Ε., και συγκεκριμένα την πρόσφατη δήλωσή της στην εφορία για το έτος 2021, καταστάσεις πελατών και προμηθευτών, τα διαθέσιμα αντίγραφα παραστατικών εξόδων (του έτους 2022) και στοιχεία από τις δηλώσεις του προσωπικού της Intellexa Α.Ε. προς τον ΕΦΚΑ.

Κατά τη διενέργεια του ως άνω ελέγχου, και αφού διαπιστώθηκε ότι στην επίσημη έδρα της Intellexa Α.Ε. δεν λειτουργεί πραγματική εγκατάσταση της εταιρείας αυτής, υπήρξε επικοινωνία με τον πληρεξούσιο δικηγόρο της εταιρείας Ανδρέα Μήτσαινα. Εν τέλει, η Αρχή ενημέρωσε τον πληρεξούσιο δικηγόρο της εταιρείας και τον νομικό της σύμβουλο Άνδρο Πελεκάνο σχετικά με επικείμενη διενέργεια ελέγχου στις εγκαταστάσεις της εταιρείας στο Ελληνικό εντός του συντομότερου δυνατού χρονικού διαστήματος. Μετά το υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/10397/23-09-2022 έγγραφο της εταιρείας, με το οποίο η τελευταία ζήτησε την αναβολή του ελέγχου για τη Δευτέρα 03/10/2022, η Αρχή έστειλε στην εταιρεία Intellexa Α.Ε. το υπ’ αριθμ. πρωτ. Γ/ΕΞ/2374/27-09-2022 έγγραφο, με το οποίο επισήμανε ότι για την ορθή διενέργεια του ελέγχου τη Δευτέρα 3/10 και ώρα 10.00 π.μ. απαιτείται :

• Πρόσβαση στις εγκαταστάσεις της εταιρείας στο Ελληνικό Αττικής.
• Πρόσβαση στην τεχνολογική υποδομή η οποία υποστηρίζει την επεξεργασία, ανεξάρτητα αν η υποδομή αυτή βρίσκεται στην εν λόγω εγκατάσταση ή σε άλλον τόπο (π.χ. μέσω υπολογιστικού νέφους).
• Παρουσία κατάλληλου προσωπικού ώστε να παρασχεθούν οι αναγκαίες πληροφορίες για τις δραστηριότητες επεξεργασίας της εταιρείας και για την υποστήριξη της πρόσβασης στην τεχνολογική υποδομή και τα τηρούμενα δεδομένα.

Προ του ελέγχου, παρασχέθηκαν στην Αρχή τα στοιχεία που είχαν ζητηθεί από την εταιρεία Interlog Α.Ε. με τα υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/10544/29-09-2022, Γ/ΕΙΣ/{10586,10587}/30-09-2022 και Γ/ΕΙΣ/{10619,10620}/03-10-2022 έγγραφά της, μετά από υπόμνηση με το υπ’ αριθμ. πρωτ. Γ/ΕΞΕ/2388/27-09-2022 έγγραφο της Αρχής και κατόπιν της με αριθμ. πρωτ. Γ/ΕΙΣ/10543/29-09-2022 απάντησης του Πληρεξούσιου δικηγόρου της Intellexa Α.Ε. στην οποία αναφέρεται ότι «…προφανώς λόγω παρανόησης θεωρήσαμε ότι τα εν λόγω στοιχεία θα σας τα προσκομίζαμε τη Δευτέρα 3 Οκτωβρίου 2022, όπου οι πληρεξούσιοι Δικηγόροι της ελεγχόμενης εταιρίας αιτηθήκαμε να λάβει χώρα η επίσκεψη της Υπηρεσίας Σας στα γραφεία της εταιρίας στο Ελληνικό. Σε κάθε περίπτωση τα εν λόγω στοιχεία τα οποία αιτηθήκατε θα σας αποσταλούν εντός της ημέρας…»

Η προαναφερθείσα ομάδα ελέγχου της Αρχής διενέργησε στις 03/10/2022 επιτόπιο διοικητικό έλεγχο στις εγκαταστάσεις της εταιρείας Intellexa Α.Ε. στο Ελληνικό. Στον επιτόπιο αυτό έλεγχο συμμετείχαν από την πλευρά της ελεγχόμενης εταιρείας οι Άνδρος Πελεκάνος, νομικός σύμβουλος, Ανδρέας Μήτσαινας, πληρεξούσιος δικηγόρος της εταιρείας, Β, τεχνικός σύμβουλος των δικηγόρων, καθώς και ο Γ, στέλεχος της κυπριακής εταιρείας FEROVENO LIMITED, εκπρόσωπος των εταιρειών του ομίλου.

Κατά τη διενέργεια του ελέγχου, το τριώροφο κτίριο της εταιρείας στο Ελληνικό βρέθηκε παντελώς άδειο και χωρίς λειτουργική δικτυακή υποδομή ή πληροφοριακό σύστημα. Πραγματοποιήθηκε διαλογική συζήτηση της ομάδας ελέγχου με τα παραπάνω πρόσωπα και ζητήθηκε από την ελεγχόμενη εταιρεία να προσκομίσει τα συγκεκριμένα στοιχεία, τα οποία εξηγήθηκαν αναλυτικά κατά τη διενέργεια του ελέγχου και για τα οποία οι ελεγχόμενοι τήρησαν σημειώσεις, ώστε να ανταποκριθούν άμεσα, όπως διαβεβαίωσαν προφορικά. Ενδεικτικά αναφέρεται ότι, όπως υποστήριξαν οι εκπρόσωποι της ελεγχόμενης εταιρείας, κάποια από τα στοιχεία ήταν ήδη διαθέσιμα, καθώς είχαν παραδοθεί στην Εθνική Αρχή Διαφάνειας.

Μετά τον επιτόπιο έλεγχο, η εταιρεία Intellexa A.E. υπέβαλε στην Αρχή το υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/10682/04-10-2022 αίτημα με το οποίο ζήτησε να της σταλούν εγγράφως τα ερωτήματα του ελέγχου, υποστηρίζοντας ότι ήταν αδύνατον να συνταχθούν αποτελεσματικά και με ακρίβεια τα ερωτήματα που τέθηκαν από την ομάδα ελέγχου με βάση τις πρόχειρες σημειώσεις που τηρήθηκαν κατά τον έλεγχο, λόγω της πολυπλοκότητας και της ιδιαίτερης τεχνικής φύσης του ζητήματος.

Η Αρχή απέστειλε στην εταιρεία Intellexa Α.Ε. το υπ’ αριθμ. πρωτ.

Γ/ΕΞ/2481/06-10-2022 έγγραφο με τις ερωτήσεις του ελέγχου, στο οποίο τα προς απάντηση ζητήματα κατηγοριοποιήθηκαν σε είκοσι τέσσερα (24) σημεία ερωτήσεων, στα οποία περιλαμβάνονται και τα στοιχεία που παρείχαν οι συμμετέχοντες κατά τη διενέργεια του ελέγχου, και ζήτησε την όσο το δυνατόν ταχύτερη παροχή των αιτούμενων πληροφοριών και τεκμηρίων, ενημερώνοντας ότι αυτή μπορεί να γίνει και τμηματικά. Επεσήμανε επίσης ότι σε περίπτωση που δεν παρασχεθούν οι αιτούμενες πληροφορίες σε κάποιο ερώτημα, η εταιρεία θα πρέπει να τεκμηριώσει σαφώς και ειδικώς τους λόγους μη απάντησης ξεχωριστά για κάθε ερώτημα.

Παρά τις πολλαπλές τηλεφωνικές διαβεβαιώσεις των δικηγόρων της εταιρείας σε ελεγκτές της ομάδας ελέγχου ότι θα σταλούν τα στοιχεία, η εταιρεία υπέβαλε στην Αρχή, με ηλεκτρονικό ταχυδρομείο στις 21-10-2022, το υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/11225/24-10-2022 έγγραφο, στο οποίο ανέφερε, μεταξύ άλλων, ότι «(…) 10. Δυστυχώς, οι ημέρες που ακολούθησαν τον έλεγχο στα γραφεία στο Ελληνικό, περιλάμβαναν μια σειρά από αναφορές στα Ελληνικά μέσα ενημέρωσης που αναφέρονταν στον έλεγχο και σε πληροφορίες που παρασχέθηκαν στην Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα από εκπροσώπους της εταιρείας κατά τη διάρκεια του ελέγχου. 11. Σύμφωνα με αυτές τις αναφορές, πολλοί πρώην υπάλληλοι της Intellexa AE προσεγγίστηκαν πρόσφατα και παρενοχλήθηκαν από δημοσιογράφους. 12. Η εντολέας μας βρίσκεται αυτή τη στιγμή στη διαδικασία οριστικοποίησης των απαντήσεων και σας ενημερώνουμε ότι αναμένουμε να υποβάλουμε σχετικές απαντήσεις στις αρχές της επόμενης εβδομάδας. Η εταιρεία δηλώνει ότι είναι ύψιστης σημασίας, στο μεταξύ, να παρέχονται διαβεβαιώσεις από την αξιότιμη αρχή Σας ότι οι απαντήσεις και οι πληροφορίες που παρέχονται θα χρησιμοποιηθούν αποκλειστικά για τους σκοπούς του επίσημου ελέγχου και ότι θα ληφθούν αυστηρά και επιτακτικά μέτρα για να διασφαλιστεί ότι οι πληροφορίες θα παραμείνουν αυστηρά εμπιστευτικές».

Η Αρχή απάντησε με το υπ’ αριθμ. πρωτ. Γ/ΕΞ/2677/24-10-2022 έγγραφο ότι αναμένει το συντομότερο πλήρεις και τεκμηριωμένες απαντήσεις σε όλα τα ερωτήματα του ελέγχου και ότι είναι περιττή η υπενθύμιση ότι οι παρεχόμενες πληροφορίες θα τηρηθούν εμπιστευτικές και θα χρησιμοποιηθούν αποκλειστικά για τους σκοπούς του ελέγχου.

Με δεδομένο ότι ουδέποτε η εταιρεία απάντησε στα ερωτήματα της Αρχής παρά τις περί του αντιθέτου διαβεβαιώσεις της πρώτης και παρά τα παραπάνω αναφερόμενα και την από 11/11/2022 ενημέρωση του πληρεξούσιου δικηγόρου της εταιρείας ότι θα στείλει τις απαντήσεις στις 14/11/2022, η Αρχή προχώρησε στην υπ’ αριθμ. πρωτ. Γ/ΕΞ/2928/18-11-2022 κλήση σε ακρόαση της Intellexa A.E. ενώπιον της, για τη συνεδρίαση της 29-11-2022 με αντικείμενο τον έλεγχο της συμμόρφωσής της προς τις επιταγές του άρθρου 31 του ΓΚΠΔ. Σύμφωνα με το άρθρο αυτό: «Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, κατά περίπτωση, οι εκπρόσωποί τους συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή για την άσκηση των καθηκόντων της». Η κλήση προς ακρόαση της εταιρείας κατέστη επιβεβλημένη και για τον ουσιαστικό λόγο ότι, κατόπιν των επιτόπιων διοικητικών ελέγχων, τέθηκαν προς την εταιρεία εγγράφως ερωτήματα τα οποία είχαν διατυπωθεί στο πλαίσιο του ελέγχου και για τα οποία δεν είχε παράσχει απάντηση, παρά την πάροδο χρονικού διαστήματος πλέον των σαράντα (40) ημερών. Λίγες ώρες μετά την αποστολή της κλήσης, με μήνυμα ηλεκτρονικού ταχυδρομείου στις 18-112022 και ώρα 16:35, η εταιρεία έστειλε απάντηση στα ερωτήματα του ελέγχου, η οποία έλαβε αριθμ. πρωτ. Γ/ΕΙΣ/12125/28-11-2022.

Περαιτέρω, σημειώνεται ότι σε απάντηση κάποιων εκ των ερωτημάτων η Intellexa Α.Ε. δεν παρείχε πληροφορίες τις οποίες είχε ζητήσει η Αρχή και βρίσκονταν αδιαμφισβήτητα στην κατοχή της, χωρίς να απαιτείτο κάποια ιδιαίτερη ενέργειά της για να παρασχεθούν. Ειδικά αναφέρονται οι απαντήσεις στις εξής ερωτήσεις:

Επισημαίνεται ότι κατά τον έλεγχο είχε αναφερθεί ότι τα στοιχεία που είχαν δοθεί στην Εθνική Αρχή Διαφάνειας ήταν διαθέσιμα και μπορούσαν να κατατεθούν σε πολύ σύντομο χρονικό διάστημα στην Αρχή.

Κατά τη συνεδρίαση που πραγματοποιήθηκε με τηλεδιάσκεψη η εταιρεία Intellexa Α.Ε. παρέστη διά του δικηγόρου της Α. Μήτσαινα και του νομικού συμβούλου Α. Πελεκάνου, ενώ κατέθεσε το υπ΄ αριθμ. πρωτ. Γ/ΕΙΣ/12456/09-122022 υπόμνημα, με το οποίο υποστηρίζει μεταξύ άλλων ότι «…η «Intellexa Α.Ε» επέλεξε να παραβλέψει τις δικαιολογημένες επιφυλάξεις της και να συνεργαστεί με διάφορες έρευνες και ελέγχους που έχουν ξεκινήσει, ταυτόχρονα, από πολλές διαφορετικές Ελληνικές αρχές, καθώς και από την Αρχή Προστασίας Δεδομένων, πάντα σεβόμενη την υποχρέωση που απορρέει από το άρθρο 31 (…)

(…) Οι απαντήσεις στη μακρά λίστα των ερωτήσεων που τέθηκαν από την Υπηρεσία Σας απαιτούσε τη συλλογή πληθώρας πληροφοριών και την επεξεργασία αυτών σε μια χρονική στιγμή όπου. όπως σας είχαμε ήδη γνωστοποιήσει και όπως διαπιστώθηκε και κατά την ημέρα του επιτόπιου ελέγχου, η εταιρεία μας επί της ουσίας δεν λειτουργούσε και δεν υπήρχε η δυνατότητα για άμεση ανταπόκριση της νομίμου εκπροσώπου.

Εντούτοις, η εταιρία μας παρά την ύπαρξη των γνωστών προβλημάτων, που η εταιρεία μας κλήθηκε να αντιμετωπίσει χωρίς δική της υπαιτιότητα, προσπάθησε να ανταποκριθεί στο έπακρο στις τεθείσες ερωτήσεις.

Στις 21/10/2022 αποστείλαμε επιστολή προς την Υπηρεσία Σας με την οποία σας ενημερώναμε ότι ήδη βρισκόμασταν στη διαδικασία οριστικοποίησης των απαντήσεων μας και ότι επρόκειτο να υποβάλλουμε τις σχετικές απαντήσεις το επόμενο χρονικό διάστημα. Καθ' όλο το χρονικό διάστημα που μεσολάβησε από πλευράς της εταιρίας μας καταβλήθηκε κάθε δυνατή προσπάθεια να υπάρξει συνεργασία και επικοινωνία με την Υπηρεσία Σας και να απαντηθούν όλα τα ερωτήματα. Η όποια καθυστέρηση παρατηρήθηκε από πλευράς μας οφείλεται αποκλειστικά και μόνο στην αντικειμενική δυσκολία η οποία υφίσταται λόγω αδράνειας λειτουργίας της εταιρίας και έλλειψης ανθρωπίνου δυναμικού, καθώς και λόγω αυξημένου φόρτου εργασίας των πληρεξουσίων Δικηγόρων κ.κ. Ανδρου Πελεκάνου και Ανδρέα Μήτσαινα. (…)

(…)η εταιρία μας καταβάλει κάθε δυνατή προσπάθεια να συμμορφώνεται με τις διατάξεις του άρθρου 31 του ΓΚΠΔ και να συνεργάζεται με τις Ελληνικές Αρχές στις οποίες έχει ήδη παράσχει λεπτομερείς πληροφορίες και απαντήσεις όποτε έχει κληθεί προς τούτο. Τέλος, θα πρέπει να ληφθεί υπόψη της Υπηρεσία σας ότι η «Intellexa Α.Ε» συνεργάστηκε επιμελώς με αρκετές Ελληνικές Αρχές τους τελευταίους μήνες. Η εταιρεία προσκόμισε πρόσφατα περισσότερες από τις απαιτούμενες πληροφορίες και σχετικά έγγραφα στη Εθνική Αρχή Διαφάνειας και στην Εξεταστική Επιτροπή της Βουλής των Ελλήνων.»

Η Αρχή, μετά από εξέταση του συνόλου των στοιχείων του φακέλου και όσα προέκυψαν από την ακροαματική διαδικασία αφού άκουσε τους εισηγητές και τους βοηθούς εισηγητές, κατόπιν διεξοδικής συζήτησης.

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ

1. Η Αρχή, με βάση το άρθρο 13 παρ. 1 εδ. η του ν. 4624/2019 έχει αρμοδιότητα να «διενεργεί αυτεπαγγέλτως ή κατόπιν καταγγελίας έρευνες ή ελέγχους για την εφαρμογή του παρόντος νόμου και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (…)». Η αρμοδιότητα αυτή της Αρχής επιβεβαιώνει τις εξουσίες της για έρευνα, όπως προσδιορίζονται στο άρθρο 58 παρ. 1 του ΓΚΠΔ, σύμφωνα με τις οποίες μπορεί να «δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση, στον εκπρόσωπο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων της» (εδ. α), να «διεξάγει έρευνες με τη μορφή των ελέγχων» (εδ. β), να «αποκτά, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της» (εδ. ε) και να «έχει πρόσβαση στις εγκαταστάσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, περιλαμβανομένων κάθε εξοπλισμού και μέσου επεξεργασίας δεδομένων, σύμφωνα με το δικονομικό δίκαιο της Ένωσης ή κράτους μέλους» (εδ. στ).
2. Οι ερευνητικές εξουσίες της Αρχής ορίζονται ειδικότερα στο άρθρο 15 παρ. 1 του ν. 4624/2019, όπου αναφέρεται ότι «Εκτός των προβλεπομένων στο άρθρο 58 του ΓΚΠΔ εξουσιών, η Αρχή διενεργεί αυτεπαγγέλτως ή κατόπιν καταγγελίας έρευνες και ελέγχους ως προς τη συμμόρφωση με τον παρόντα νόμο στο πλαίσιο των οποίων ελέγχονται η τεχνολογική υποδομή και άλλα, αυτοματοποιημένα ή μη μέσα, που υποστηρίζουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Κατά τη διενέργεια των ερευνών και ελέγχων η Αρχή έχει την εξουσία να αποκτά από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας και όλες τις πληροφορίες που απαιτούνται για τους σκοπούς του σχετικού ελέγχου και την εκτέλεση των καθηκόντων της, χωρίς να μπορεί να της αντιταχθεί κανενός είδους απόρρητο. Κατ’ εξαίρεση, η Αρχή δεν έχει πρόσβαση στα στοιχεία ταυτότητας συνεργατών ή υπαλλήλων οντοτήτων που περιέχονται σε αρχεία που τηρούνται για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων.»
3. Στο άρθρο 31 του ΓΚΠΔ ορίζεται ότι «Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, κατά περίπτωση, οι εκπρόσωποί τους συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή για την άσκηση των καθηκόντων της.» Η διάταξη αυτή αποτελεί τμήμα των γενικών υποχρεώσεων λογοδοσίας ενός φορέα (υπευθύνου ή εκτελούντος την επεξεργασία), οι οποίες περιλαμβάνονται στο τμήμα 1 του Κεφαλαίου IV του ΓΚΠΔ. Σύμφωνα με το άρθρο 83 παρ. 4 του ΓΚΠΔ, παράβαση της διάταξης αυτής επισύρει, σύμφωνα με την παράγραφο 2 του ιδίου άρθρου, διοικητικά πρόστιμα έως 10.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
4. Στην προκειμένη περίπτωση, όπως προκύπτει από τα στοιχεία του φακέλου της υπόθεσης, η Αρχή διερευνά περιπτώσεις εγκατάστασης λογισμικού παρακολούθησης σε τερματικές συσκευές κινητής τηλεφωνίας χρηστών, με σκοπό την εν αγνοία τους παρακολούθηση, καθώς και τη συνακόλουθη συλλογή και επεξεργασία των προσωπικών δεδομένων τα οποία συλλέγονται από τέτοιο λογισμικό. Για τον σκοπό αυτό βρίσκεται σε εξέλιξη διοικητικός έλεγχος στην εταιρεία Intellexa Α.Ε. η οποία άλλωστε, όπως επίσης επιβεβαιώνεται από τους σκοπούς οι οποίοι αναφέρονται στο καταστατικό της, μπορεί να ενεργεί είτε ως υπεύθυνος επεξεργασίας είτε ως εκτελών την επεξεργασία σε σχέση με τις διερευνώμενες δραστηριότητες.
5. Η Αρχή διαπιστώνει ότι η Intellexa Α.Ε. έχει καθυστερήσει αδικαιολόγητα να ανταποκριθεί στα αιτήματά της και δεν έχει παράσχει πληροφορίες οι οποίες βρίσκονται στην κατοχή της και ζητήθηκαν από την Αρχή. Συγκεκριμένα:

α) Η εταιρεία καθυστέρησε υπερβολικά να απαντήσει στα ερωτήματα της Αρχής και ανταποκρίθηκε μετά από επανειλημμένες υπομνήσεις της ομάδας ελέγχου και μετά την πάροδο χρονικού διαστήματος πλέον των σαράντα (40) ημερών, μόνον αφού παρέλαβε την κλήση της σε ακρόαση ενώπιον της Αρχής. Το χρονικό διάστημα αυτό δεν μπορεί να θεωρηθεί σε καμία περίπτωση ως εύλογο. Σημειώνεται μάλιστα ότι με το με αριθμ. πρωτ. Γ/ΕΞΕ/2481/06-10-2022 έγγραφό της η Αρχή είχε ενημερώσει την εταιρεία ότι η παροχή των απαντήσεων θα μπορούσε να γίνει και τμηματικά. Η θέση της εταιρείας, σύμφωνα με την οποία καταβλήθηκε κάθε προσπάθεια συνεργασίας με την Αρχή, προβάλλεται αναπόδεικτα και πάντως δεν δικαιολογείται τόσο μεγάλη καθυστέρηση. Αντίθετα, από τις ενέργειες της εταιρείας, όπως αποδεικνύεται και με όσα διαλαμβάνονται στο υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/11225/2410-2022 έγγραφό της, προκύπτει ότι οι διαβεβαιώσεις της περί συνεργασίας και αποστολής των εγγράφων υπήρξαν αποκλειστικά ρηματικές. Αρκεί να αναφερθεί ότι η εταιρεία δήλωσε εγγράφως στις 21-10-2022 ότι αναμένει να υποβάλει τις απαντήσεις «στις αρχές της επόμενης εβδομάδας» ενώ τελικά κατέθεσε τις απαντήσεις της μετά την πάροδο τεσσάρων εβδομάδων.

β) Η εταιρεία παρά τις επανειλημμένες οχλήσεις, δεν παρείχε συγκεκριμένα στοιχεία τα οποία ζήτησε η Αρχή και τα οποία αφορούν τις Ερωτήσεις 11 και 15 (οικονομικά στοιχεία και στοιχεία συμβάσεων σε σχέση με τις δραστηριότητές της). Ειδικότερα, αντί της παροχής των αιτηθέντων στοιχείων, παρέπεμψε στα στοιχεία τα οποία είχε χορηγήσει προς την ΕΑΔ στο πλαίσιο διαφορετικού διοικητικού ελέγχου που διενεργήθηκε από την τελευταία. Επισημαίνεται συγκεκριμένα ότι αντί της παροχής των στοιχείων, η εταιρεία υποστήριξε τα εξής: «Επαναλαμβάνουμε την προσδοκία μας ότι οι αρμόδιες αρχές στην Ελλάδα θα πρέπει να ενεργούν συντονισμένα και με συνέπεια». Η αντίληψη που διατυπώνεται από την εταιρεία στο σημείο αυτό παραγνωρίζει πλήρως την αυτοτέλεια των διαδικασιών ελέγχου που διεξάγονται από την Αρχή, η οποία είναι άμεση συνέπεια της ίδιας της κατοχύρωσης της ανεξαρτησίας της τόσο σε επίπεδο συνταγματικών κανόνων, όσο και στο επίπεδο κανόνων δικαίου ΕΕ, συναρτάται δε με την αποτελεσματική άσκηση των καθηκόντων της στο πλαίσιο του καταστατικού σκοπού της προστασίας των δεδομένων προσωπικού χαρακτήρα. Ενόψει τούτων και λαμβανομένου υπόψη του διαφορετικού σκοπού που επιδιώκεται σε έκαστη των περιπτώσεων διενέργειας ελέγχου, δεν τίθεται θέμα διοικητικού συντονισμού κατά την έννοια που υπονοείται από την εταιρεία. Πέραν τούτων, παρότι η εταιρεία κατά τον έλεγχο είχε αναφέρει ότι οι απαντήσεις προς την ΕΑΔ ήταν άμεσα διαθέσιμες και θα αποστέλλονταν άμεσα στην Αρχή, αυτό ουδέποτε συνέβη. Άλλωστε, τα στοιχεία που η Intellexa A.E. παρείχε στην ΕΑΔ αφορούν περιορισμένο χρονικό διάστημα και μόνο σε σχέση με τις σχέσεις δημοσίων υπηρεσιών μαζί της. Κατ' αποτέλεσμα, συνιστούν μικρό μόλις υποσύνολο αυτών που ζήτησε η Αρχή. Σε κάθε περίπτωση, η εταιρεία είχε, αδιαμφισβήτητα, στην κατοχή της τα εν λόγω αιτηθέντα από την Αρχή στοιχεία και επέλεξε να μην τα χορηγήσει στην Αρχή. Από τις παραπάνω διαπιστώσεις προκύπτει ότι η εταιρεία Intellexa Α.Ε. έχει κατ’ επιλογή παραβιάσει την υποχρέωση συνεργασίας με την εποπτική αρχή του άρθρου 31 του ΓΚΠΔ.

1. Η Αρχή λαμβάνει επίσης υπόψη ότι η φύση και η βαρύτητα της παράβασης είναι ιδιαίτερα σοβαρή. Η διαπιστωθείσα παράβαση περιλαμβάνεται σε αυτές του άρθρου 83 παρ. 4 του ΓΚΠΔ (παραβάσεις με μέγιστο ύψος 10.000.000 ευρώ) και αφορά τις διερευνώμενες δραστηριότητες επεξεργασίας προσωπικών δεδομένων της εταιρείας, από το έτος 2019 έως και το 2022, οι οποίες σχετίζονται με την παραγωγή, την υποστήριξη και τη λειτουργία λύσεων λογισμικού/υλικού για επεξεργασία πάσης φύσης προσωπικών δεδομένων, μη εξαιρουμένων ειδικών κατηγοριών προσωπικών δεδομένων. Περαιτέρω, η εταιρεία έχει πλήρη γνώση του θεσμικού πλαισίου και επιλέγει να μην συνεργαστεί. Λαμβάνεται επίσης υπόψη ο ετήσιος κύκλος εργασιών της Intellexa Α.Ε. για το 2021 (5.481.120,55 ευρώ), όπως προκύπτει από τα στοιχεία του ΓΕΜΗ.
2. Βάσει των ανωτέρω και με την επιφύλαξη άσκησης των αρμοδιοτήτων της κατά τον ΓΚΠΔ βάσει των αποτελεσμάτων του ελέγχου που διενεργείται, η Αρχή κρίνει ομόφωνα ότι, εν όψει της παράβασης που διαπιστώθηκε και λαμβάνοντας υπόψη τα παραπάνω στοιχεία, συντρέχουν οι προϋποθέσεις επιβολής σε βάρος της εταιρείας της διοικητικής κύρωσης του προστίμου, με βάση το άρθρο 58 παρ. 2 εδ. θ’ ΓΚΠΔ, που αναφέρεται στο διατακτικό της παρούσας, η οποία κρίνεται αποτελεσματική, αναλογική και αποτρεπτική. Για την επιμέτρηση, η Αρχή λαμβάνει υπόψη τα κριτήρια του άρθρου 83 παρ. 2 του ΓΚΠΔ, όπως προσδιορίζονται στην προηγούμενη σκέψη, με βάση τις κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του κανονισμού 2016/679 που εκδόθηκαν από την Ο.Ε. του άρθρου 29 και έχουν υιοθετηθεί από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

Επιπλέον, καθώς ο έλεγχος της Αρχής βρίσκεται σε εξέλιξη και τα στοιχεία τα οποία ζήτησε η Αρχή από την Intellexa Α.Ε. είναι κρίσιμα για την άσκηση των αρμοδιοτήτων της, η Αρχή κρίνει ομόφωνα ότι πρέπει, επιπλέον του προστίμου, να δώσει εντολή στην Intellexa Α.Ε., με βάση το άρθρο 15 παρ. 4 εδ. δ’ του ν. 4624/2019, και να επιβάλλει την άμεση παράδοση στην Αρχή των πληροφοριών που ζητήθηκαν με τις ερωτήσεις 11 και 15, όπως αναφέρονται παραπάνω.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Η Αρχή:

α) επιβάλλει, στην Intellexa Α.Ε., με βάση το άρθρο 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στην συγκεκριμένη περίπτωση σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους πενήντα χιλιάδων (50.000,00) ευρώ, για την ως άνω διαπιστωθείσα παραβίαση του άρθρου 31 του ΓΚΠΔ.

β) δίνει εντολή στην Intellexa Α.Ε., με βάση το άρθρο 15 παρ. 4 εδ. δ’ του ν. 4624/2019, και επιβάλλει την άμεση παράδοση στην Αρχή των εξής στοιχείων αα) τιμολόγια και αποδείξεις (καθώς και δηλώσεις πελατών-προμηθευτών) από την έναρξη λειτουργίας της εταιρείας έως και σήμερα –εκτός από αυτά που έχει ήδη παράσχει στην Αρχή η Interlog A.E., ββ) όλες τις πληροφορίες που απεστάλησαν στην Εθνική Αρχή Διαφάνειας και γγ) όλα τα συμβόλαια της εταιρείας με οποιαδήποτε εταιρεία και τα οποία σχετίζονται με παραγωγή, κατασκευή, προσαρμογή ή επεξεργασία με οποιοδήποτε τρόπο λογισμικού ή υλικού, συμπεριλαμβανομένων των συμβάσεων με τις εταιρείες Intellexa BVI και Intellexa Ireland».