Ελλάδα

Πρωταθλητής το Δημόσιο στις παραβιάσεις του GDPR: Tι λέει η Αρχή Προστασίας

Η έκθεση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αναδεικνύει τις σημαντικότερες παραβάσεις νομοθεσίας - Πρόστιμα άνω των 4 εκατ. ευρώ.  
Shutterstock

Ανεπιθύμητη αλληλογραφία από πολιτικούς, μη συμμόρφωση με κανόνες του Γενικού Κανονισμού Προστασίας Δεδομένων, διαρροή στοιχείων στο σκοτεινό διαδίκτυο, πρόστιμα σε υπουργεία και φορείς του Δημοσίου, παράνομη επεξεργασία προσωπικών δεδομένων, ακόμη και χρήση συστήματος γεωεντοπισμού σε αυτοκίνητο εργαζόμενου. Αυτές είναι ορισμένες μόνο από τις υποθέσεις που χειρίστηκε το 2024 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρατήρα, οι οποίες σε αρκετές περιπτώσεις, αφορούν σοβαρές παραβάσεις της νομοθεσίας.

Αύξηση 29% των εισερχόμενων υποθέσεων

Βάσει όσων αναγράφονται στην έκθεση, το 2024, ο αριθμός των εισερχόμενων υποθέσεων προσφυγών/καταγγελιών, ανήλθε σε 1.820, αυξανόμενος κατά περίπου 29% συγκριτικά με το 2023. Συνολικά, διεκπεραιώθηκαν 1.422 υποθέσεις, αριθμός που είναι αυξημένος κατά περίπου 61% σε σχέση με το προηγούμενο έτος. Συνολικά, επιβλήθηκαν πρόστιμα ύψους 4.302.149 ευρώ.

Ο μεγαλύτερος αριθμός των εισερχόμενων καταγγελιών είχαν ως αντικείμενο την παράνομη επεξεργασία προσωπικών δεδομένων, τη μη ικανοποίηση των δικαιωμάτων πρόσβασης των υποκειμένων των δεδομένων και τις ηλεκτρονικές επικοινωνίες και ειδικότερα την αζήτητη ηλεκτρονική επικοινωνία (SPAM) και τις τηλεφωνικές οχλήσεις για προώθηση προϊόντων και υπηρεσιών.

Αντίστοιχα, οι περισσότερες αποφάσεις που εκδόθηκαν, αφορούσαν τη μη ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων.

Πρόστιμο στο υπουργείο Μετανάστευσης

Μια από τις υποθέσεις που χειρίστηκε η Αρχή, αφορούσε την ανάπτυξη και εφαρμογή των προγραμμάτων «Κένταυρος» και «Υπερίων» του υπουργείου Μετανάστευσης και Ασύλου στις εγκαταστάσεις των Κέντρων Κλειστών Ελεγχόμενων Δομών και Κέντρων Υποδοχής και Ταυτοποίησης πολιτών τρίτων χωρών.

Το πρόγραμμα «Κένταυρος», αποτελεί ολοκληρωμένο σύστημα διαχείρισης ηλεκτρονικής και φυσικής ασφάλειας, ενώ το πρόγραμμα «Υπερίων», είναι ολοκληρωμένο σύστημα ελέγχου εισόδου-εξόδου με επεξεργασία βιομετρικών δεδομένων.

Η Αρχή διαπίστωσε μεταξύ άλλων, πλημμελή συνεργασία από πλευράς υπουργείου και κυριότερα, ότι «παραμένουν σοβαρές παραλείψεις αναφορικά με τη συμμόρφωση του υπουργείου με συγκεκριμένες διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) ως προς την εφαρμογή των επίμαχων συστημάτων». Ως αποτέλεσμα, η Αρχή επέβαλε διοικητικό χρηματικό πρόστιμο ύψους 75.000 ευρώ στο υπουργείο για τις παραβάσεις που διαπιστώθηκαν.

Δεν όρισαν υπεύθυνο προσωπικών δεδομένων

Όπως διαπιστώθηκε, ζήτημα ανέκυψε και με το ότι ορισμένοι φορείς, δεν όρισαν -ως οφείλουν-, υπεύθυνο προστασίας δεδομένων. Ενδεικτικά, το υπουργείο Αγροτικής Ανάπτυξης και Τροφίμων, δεν είχε ορίσει υπεύθυνο προστασίας δεδομένων και επίσης δεν απάντησε εμπρόθεσμα, με αποτέλεσμα να του επιβληθεί πρόστιμο 25.000 ευρώ. Αντίστοιχα, το υπουργείο Κλιματικής Κρίσης και Πολιτικής Προστασίας, δεν είχε ορίσει κάποιον σε αυτή τη θέση, δεν απάντησε εμπρόθεσμα και δεν είχε συμμορφωθεί με τον ΓΚΠΔ, γεγονός που οδήγησε στην επιβολή διοικητικών κυρώσεων ύψους 50.000 ευρώ.

Διαρροή προσωπικών δεδομένων αποδήμων ψηφοφόρων

Η υπόθεση που χειρίστηκε η Αρχή το 2024 και τράβηξε περισσότερο από όλες τα φώτα της δημοσιότητας, αφορούσε την επιβολή προστίμου 40.000 ευρώ στην Ευρωβουλευτή Άννα Μισέλ Ασημακοπούλου για την παράνομη χρήση προσωπικών δεδομένων ομογενών και 400.000 ευρώ στο υπουργείο Εσωτερικών.

Σύμφωνα με την έκθεση, έπειτα από πλήθος σχετικών καταγγελιών, η Αρχή προέβη σε αυτεπάγγελτο έλεγχο, κατά τον οποίο διαπιστώθηκε  ότι αρχείο του υπουργείου Εσωτερικών με προσωπικά δεδομένα του συνόλου των εγγεγραμμένων εκλογέων εξωτερικού για τις εκλογές του Ιουνίου 2023, «διακινήθηκε εκτός υπουργείου, αρχικά προς τον Γενικό Γραμματέα Αποδήμων της Νέας Δημοκρατίας και από τον τελευταίο προς την καταγγελλόμενη ευρωβουλευτή». Η Αρχή έκρινε πως πρόκειται για «περιστατικό παραβίασης της εμπιστευτικότητας προσωπικών δεδομένων», επιβάλλοντας πρόστιμο 400.000 ευρώ στο υπουργείο Εσωτερικών.

Σε ότι αφορά «την καταγγελλόμενη ευρωβουλευτή», η Αρχή έκρινε πως η συλλογή προσωπικών δεδομένων αποδήμων ψηφοφόρων και η χρήση τους για την αποστολή μηνύματος πολιτικής επικοινωνίας εκτός προεκλογικής περιόδου, «έγινε κατά παράβαση των αρχών νομιμότητας και διαφάνειας της επεξεργασίας». Ως αποτέλεσμα, η Αρχή επέβαλε στην καταγγελλόμενη ευρωβουλευτή, πρόστιμο 40.000 ευρώ.

Παράλληλα, η Αρχή έκρινε ότι ο τότε Γραμματέας Αποδήμων της Νέας Δημοκρατίας, «διατήρησε στην κατοχή του το συγκεκριμένο αρχείο για μεγάλο χρονικό διάστημα κατόπιν της εκπλήρωσης του σκοπού για τον οποίο είχε συλλεχθεί και συνακόλουθα το απέστειλε προς την ευρωβουλευτή Άννα Μισέλ Ασημακοπούλου, δρώντας αυτοτελώς ως υπεύθυνος επεξεργασίας…». Ως αποτέλεσμα, του επιβλήθηκε πρόστιμο 10.000 ευρώ για παραβίαση της αρχή της νομιμότητας.

Στην έκθεση σημειώνεται πως η Νέα Δημοκρατία «δεν τεκμηρίωσε ότι τα εν λόγω στελέχη είχαν λάβει ειδικότερες οδηγίες αναφορικά με την τήρηση της εμπιστευτικότητας…», ενώ «οι υπάρχουσες πολιτικές δεν περιλαμβάνουν τις δραστηριότητες επεξεργασίας των γραμματειών της, τμήμα των οποίων λαμβάνει χώρα μέσω προσωπικών συσκευών των στελεχών του κόμματος». Ως αποτέλεσμα, η Αρχή επέβαλε πρόστιμο 30.000 ευρώ στη Νέα Δημοκρατία.

Επίσης, στην έκθεση σημειώνεται πως «με δεδομένο ότι η εν λόγω επεξεργασία έλαβε χώρα κατά παράβαση των διατάξεων που προβλέπουν τη νόμιμη διαδικασία παράδοσης εκλογικών καταλόγων στα πολιτικά κόμματα κατά την προεκλογική περίοδο, το κόμμα της Νέας Δημοκρατίας προέβη σε παραβίαση της αρχής της νομιμότητας, για την οποία επιβλήθηκε από την Αρχή πρόστιμο 10.000 ευρώ».

Στα μέσα του περασμένου Απριλίου, το Ανώτατο Ακυρωτικό Δικαστήριο, ακύρωσε τα δύο πρόστιμα που επιβλήθηκαν στη ΝΔ, κρίνοντας ότι η απόφαση της Αρχής δεν ήταν επαρκώς αιτιολογημένη. Αντιθέτως, απέρριψε τις δύο αντίστοιχες αιτήσεις της Άννας Μισέλ Ασημακοπούλου και των δύο εμπλεκόμενων στελεχών της ΝΔ.

Ανεπιθύμητη αλληλογραφία από πολιτικό κόμμα

Η Αρχή εξέτασε επίσης καταγγελίες εναντίον πολιτικού κόμματος για αποστολή ανεπιθύμητης ηλεκτρονικής αλληλογραφίας στο πλαίσιο πολιτικής επικοινωνίας. Δύο από τους καταγγέλλοντες, παραπονέθηκαν ότι «απέστειλαν στον υπεύθυνο επεξεργασίας μήνυμα ηλεκτρονικού ταχυδρομείου με το οποίο ασκούσαν μεταξύ άλλων, δικαίωμα διαγραφής όλων των προσωπικών τους δεδομένων από τη βάση μελών που τηρούσε».

Ωστόσο, «ουδεμία απάντηση έλαβαν, απεναντίας αυτοί συνέχισαν να γίνονται εκ νέου αποδέκτες μηνυμάτων». Η αρχή απηύθυνε σχετικές συστάσεις στο καταγγελλόμενο κόμμα, όπως το να δίνεται στον αποδέκτη της επικοινωνίας «η δυνατότητα να ασκήσει εύκολα το δικαίωμα εναντίωσης στη λήψη περαιτέρω επικοινωνιών…», καθώς και να αναφέρεται η ταυτότητα του αποστολέα και «πηγή από την οποία έχουν συλλεγεί τα στοιχεία επικοινωνίας».

Παραβάσεις νομιμότητας από υποψήφιο βουλευτή

Η Αρχή κλήθηκε επίσης να εξετάσει δύο καταγγελίες που υποβλήθηκαν από πολίτες, οι οποίοι έλαβαν μήνυμα πολιτικής επικοινωνίας μέσω sms «προερχόμενο από υποψήφιο βουλευτή-ιατρό δημόσιου νοσοκομείου, με περιεχόμενο που φαινόταν να σχετίζεται με το γεγονός ότι οι αποδέκτες του μηνύματος είχαν νοσηλευθεί στο νοσοκομείο όπου εργαζόταν, χωρίς να τον γνωρίζουν προσωπικά…».

Ο υποψήφιος βουλευτής, «παρέλειψε να ενημερώσει τα υποκείμενα για την επεξεργασία των δεδομένων τους για τον σκοπό της πολιτικής επικοινωνίας…». Η Αρχή του επέβαλε πρόστιμο 15.000 ευρώ.

Ανεπιθύμητη επικοινωνία από υποψήφιο ευρωβουλευτή

Συστάσεις απευθύνθηκαν μεταξύ άλλων και σε υποψήφιο ευρωβουλευτή, που «προέβη σε ανεπιθύμητη ηλεκτρονική επικοινωνία στο πλαίσιο της πολιτικής του δράσης, χωρίς να έχει παράσχει στον καταγγέλλοντα (υποκείμενο των δεδομένων) τη δυνατότητα άσκησης του δικαιώματος εναντίωσης».

Δεδομένα εκλογέων επιστολικής ψήφου

Παράλληλα, η Αρχή επεσήμανε ότι «δεν προσδιορίζονται σχετικά με την επεξεργασία των προσωπικών δεδομένων των εκλογέων επιστολικής ψήφου τα βασικά χαρακτηριστικά της εν λόγω επεξεργασίας», όπως ο υπεύθυνος επεξεργασίας, η νομική βάση της επεξεργασίας, το χρονικό διάστημα τήρησής τους ή τα κριτήρια που καθορίζουν το εν λόγω διάστημα». Ακόμη, η Αρχή διατύπωσε παρατηρήσεις σχετικά με το κατά πόσο «η τοποθέτηση στον σφραγισμένο φάκελο ψηφοφορίας φωτοτυπίας εγγράφου ταυτοποίησης συνιστά ενδεδειγμένο τρόπο εξακρίβωσης της ταυτότητας του εκλογέα επιστολικής ψήφου».

Διαρροή δεδομένων στο σκοτεινό διαδίκτυο

Αξιοσημείωτο είναι επίσης ότι η Αρχή επέβαλε πρόστιμο σε υπεύθυνο επεξεργασίας «για διαρροή προσωπικών δεδομένων, τα οποία, σε ύστερο χρόνο, δημοσιεύτηκαν στον σκοτεινό ιστό». Κατά τον έλεγχο, διαπιστώθηκε ότι ο υπεύθυνος επεξεργασίας δεν τηρούσε τα απαιτούμενα μέτρα, με αποτέλεσμα, να λάβουν χώρα «ενέργειες ανίχνευσης των αδυναμιών του δικτύου».

Στο ίδιο πλαίσιο, η Αρχή διαπίστωσε πως «χιλιάδες αρχεία του δήμου Αλίμου ήταν ευχερώς προσβάσιμα από οποιονδήποτε χρήστη μέσω διαδικτύου». Επιβλήθηκαν διοικητικές κυρώσεις στον δήμο και «στον εκτελούντα την επεξεργασία».

Πρόστιμο στο ΕΚΑΒ

Η Αρχή εξέτασε επίσης καταγγελίες δύο πολιτών για παραβίαση δικαιώματός πρόσβασής τους στις καταγεγραμμένες τηλεφωνικές κλήσεις τους στο τηλεφωνικό κέντρο του ΕΚΑΒ. Όπως διαπιστώθηκε, αυτό αποτελεί γενική πολιτική του ΕΚΑΒ, «με την αιτιολογία ότι δεν προβαίνει σε ταυτοποίηση των καλούντων, ενώ δεν είναι δυνατή η εκ των υστέρων ταυτοποίησής τους ως υποκειμένων». Η Αρχή επέβαλε πρόστιμο, απευθύνοντας «εντολή τροποποίησης της ακολουθούμενης πολιτικής».

Νέες ταυτότητες

Παράλληλα, η Αρχή κλήθηκε να εξετάσει ζητήματα που προκύπτουν αναφορικά με τη θέσπιση του νέου τύπου δελτίων ταυτότητας. Η Αρχή διαπίστωσε μεταξύ άλλων πως «η απαιτούμενη εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων διενεργήθηκε με καθυστέρηση και παρουσιάζει ελλείψεις». Ως αποτέλεσμα, επιβλήθηκε πρόστιμο στο υπουργείο Προστασίας του Πολίτη, στο οποίο δόθηκε εντολή συμμόρφωσης εντός εξαμήνου.

Σύστημα γεωεντοπισμού σε αυτοκίνητο εργαζόμενου

Η Αρχή κλήθηκε επίσης να διερευνήσει μια απίστευτη καταγγελία πρώην εργαζόμενου, σύμφωνα με την οποία «χρησιμοποιήθηκαν δεδομένα από το σύστημα γεωεντοπισμού που λειτουργούσε με όχημα το οποίο του είχε παραχωρηθεί από τον εργοδότη, με σκοπό να εντοπιστεί εργαζόμενος κατά τη διάρκεια της άδειάς του». Η Αρχή επέβαλε πρόστιμο 2.000 στην καταγγελλόμενη εταιρεία.

Λάμβαναν εικόνα από γειτονικό σπίτι

Επίσης, η Αρχή εξέτασε καταγγελία, σύμφωνα με την οποία, οι καταγγελλόμενοι «είχαν τοποθετήσει κάμερα παρακολούθησης στην οικία τους, οι οποίες ελάμβαναν εικόνα από τη βεράντα και το μπαλκόνι της γειτονικής οικίας που ανήκε στον καταγγέλλοντα και στον κοινόχρηστο δρόμο». Η Αρχή εξέδωσε απόφαση, προκειμένου οι καταγγελλόμενοι να διακόψουν τη συγκεκριμένη επεξεργασία μέσω των καμερών.

ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ

Ακολουθήστε το iEidiseis.gr στο Google News
Ακολουθήστε το iEidiseis.gr στο Google News
Φωτιά Πυρκαγιά Chevron Left
Φωτιά τώρα στο Τατόι