Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.) φαίνεται πως αρχίζει και κινητοποιείται ακόμα περισσότερο όσον αφορά τα πρόστιμα που επιβάλει για παραβιάσεις προσωπικών δεδομένων.
Με την υπ’ αριθμ. 7/2019 απόφασή της η Α.Π.Δ.Π.Χ. επέβαλε στον Όμιλο ΕΛΠΕ (Ελληνικά Πετρέλαια), ως υπεύθυνο επεξεργασίας πρόστιμο ύψους 20.000 Ευρώ για παράνομη επεξεργασία και 10.000€ για τη μη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων.
Ύστερα από δημοσιεύματα που αναρτήθηκαν στο διαδίκτυο κάνοντας λόγο για «χαρτογράφηση πολιτών», η Αρχή προχώρησε σε έρευνα και εξέταση μίας μελέτης που αναρτήθηκε στο διαδίκτυο με τίτλο «∆υσοσµία στη ∆υτική Θεσσαλονίκη – Καταγραφή υπάρχουσας κατάστασης – Μάιος 2017», η οποία φένεται να διενεργήθηκε από την εταιρεία ONE TEAM για λογαριασμό της ΕΛΠΕ και περιείχε, µεταξύ άλλων, ευαίσθητα δεδομένα προσωπικού χαρακτήρα (όπως πολιτικά φρονήματα, συµµετοχή σε συνδικαλιστική οργάνωση, συµµετοχή σε ενώσεις προσώπων, επαγγέλματα συνδεόμενα με ονομαστικές αναφορές). Ωστόσο, κανένας από τους εμπλεκόμενους φορείς δεν ήταν σε θέση να εξηγήσει πώς ακριβώς διέρρευσαν στο διαδίκτυο τα συγκεκριμένα ευαίσθητα προσωπικά δεδομένα, γεγονός που ισχυροποίησε τις σκέψεις της Α.Π.Δ.Π.Χ. για απουσία νομιμοποιητικής βάσης για την εν λόγω επεξεργασία, αλλά και τεχνικών μέτρων για την αποτροπή μίας τέτοιας παραβίασης.
Κατά την εξέταση και τον έλεγχο της υπόθεσης διαπιστώθηκε ότι πράγματι δεν υφίστατο ουδεμία νομιμοποιητική βάση επεξεργασίας ευαίσθητων προσωπικών δεδομένων φυσικών προσώπων, με αποτέλεσμα αυτή να κριθεί παράνομη. Αν και στην παρούσα υπόθεση εφαρµόστηκαν οι διατάξεις του Ν. 2472/1997 για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς η επεξεργασία έλαβε χώρα το 2017, δηλαδή σε χρόνο πριν από την θέση σε εφαρµογή του Γενικού Κανονισμού για την Προστασία των Δεδομένων, η Αρχή επέβαλε στην ΕΛΠΕ πρόστιμο 20.000 Ευρώ, με βάση τα άρθρα 4, 5 και 7 του ν. 2472/1997 για μη νόμιμη επεξεργασία προσωπικών δεδομένων.
Ταυτόχρονα, επιβλήθηκε κύρωση 10.000 Ευρώ στην ΕΛΠΕ ως υπεύθυνο επεξεργασίας για παράλειψη λήψης κατάλληλων οργανωτικών και τεχνικών μέτρων ασφάλειας, σύμφωνα µε τα οριζόµενα στο άρθρο 10 Ν. 2472/1997, η οποία οδήγησε σε περιστατικό παραβίασης προσωπικών δεδομένων και πιο συγκεκριμένα σε παράνομη διαρροή προσωπικών δεδομένων στο διαδίκτυο.
Η απόφαση αυτή της Αρχής δημοσιεύτηκε περίπου ένα χρόνο μετά την θέση σε ισχύ του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΕΕ 2016/679) “GDPR”, πράγμα που αξίζει να σημειωθεί, καθώς με το ισχύον πλαίσιο προστασίας, τα δεδομένα ως προς την ευθύνη για το εν λόγω περιστατικό θα ήταν πολύ διαφορετικά…
Γίνεται αντιληπτό ότι οι υπεύθυνοι επεξεργασίας θα πρέπει να είναι πολύ προσεκτικοί όσον αφορά τις συνεργασίες τους με τρίτους και να διενεργούν ενδελεχείς ελέγχους στους εκτελούντες που χρησιμοποιούν, αν επιθυμούν να… «κοιμούνται ήσυχοι».
Για να είμαστε πιο σαφείς, με βάση το άρθρο άρθρο 28 παρ. 1 του GDPR, οι υπεύθυνοι επεξεργασίας είναι πλέον υποχρεωμένοι “να χρησιμοποιούν μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του GDPR και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων”. Για τον λόγο αυτό, ο υπεύθυνος επεξεργασίας έχει την εξουσία να πραγματοποιεί ελέγχους στα συστήματα και τις εγκαταστάσεις του εκτελούντος που χρησιμοποιεί για την επεξεργασία των δεδομένων, προκειμένου να βεβαιωθεί ότι τηρούνται όλα τα απαραίτητα μέτρα ασφαλείας. Σε περίπτωση που αποκαλυφθεί ότι δεν έχουν ληφθεί επαρκή μέτρα για την πρόληψη περιστατικών παραβίασης, η ευθύνη πλέον βαρύνει τον εκτελούντα την επεξεργασία.
Στο σημείο αυτό, φυσικά και δεν μπορούμε να παραβλέψουμε τα πρόστιμα. Πρόστιμα για την παραβίαση λήψης κατάλληλων τεχνικών και οργανωτικών μέτρων μπορούν να υποβληθούν από κάθε Εποπτική Αρχή και την παράνομη επεξεργασία προσωπικών δεδομένων φυσικών προσώπων, τόσο στον υπεύθυνο επεξεργασίας όσο και στον εκτελούντα, τα οποία μπορούν να αγγίξουν έως και το 4% του παγκόσμιου ετήσιου κύκλου εργασιών του κάθε οργανισμού ή και τα 20.000.000 €. Ήδη στο κρατίδιο Έσση (Hesse) της Γερμανίας επιβλήθηκε από την αρμόδια Εποπτική Αρχή Προστασίας πρόστιμο 5.000 Ευρώ σε ναυτιλιακή εταιρεία, καθώς αποκαλύφθηκε ότι από αυτή «έλειπε» μία σύμβαση επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Έτσι, υπό την δαμόκλειο σπάθη των προστίμων που καραδοκούν, η υπηρεσία ελέγχου της Privacy Advocate (GDPR AUDIT) φαίνεται να αποτελεί την καλύτερη επιλογή για όλες τις επιχειρήσεις και τους οργανισμούς που έχουν ως στόχο να διασφαλίσουν την φήμη τους και να θωρακιστούν έναντι των υπέρογκων προστίμων που τους απειλούν. Με τον τρόπο αυτό, η επιχείρηση θα αποκτήσει τον πλήρη έλεγχο των συνεργασιών που διατηρεί, προλαμβάνοντας αποτελεσματικά τον κίνδυνο και εντοπίζοντας τις ελλείψεις, με αποτέλεσμα την πλήρη προστασία των προσωπικών δεδομένων των φυσικών προσώπων που επεξεργάζεται.