GDPR FINES 2018-2019

15 Απριλίου 2019

Πρόστιμο σε Ελληνικά Πετρέλαια Α.Ε 30.000 ευρώ από την ΑΠΔΠΧ:

EUR 20,000 για μη νόμιμη επεξεργασία προσωπικών δεδομένων και EUR 10,000 για αποτυχία υιοθέτησης κατάλληλων μέτρων ασφαλείας.

 

12 Απριλίου 2019

Πρόστιμο 400,000 λιρών από την ICO Ηνωμένου Βασιλείου στην εταιρεία Bounty UK Limited.

Ο έλεγχος της αρχής ICO αποκάλυψε ότι η εταιρεία Bounty, μοιραζόταν προσωπικά δεδομένα με πολυάριθμους οργανισμούς χωρίς να το έχει γνωστοποιήσει στα υποκείμενα παραβιάζοντας την αρχή της διαφάνειας.

10 Απριλίου 2019

Πρόστιμο 120,000 λιρών της αρχής ICO του Ηνωμένου Βασιλείου στην εταιρεία τηλεοπτικής παραγωγής True Visions Productions η οποία βιντεοσκοπούσε παράνομα ασθενείς σε κλινική. Παρόλο που είχε άδεια από την κλινική δεν παρείχε στους ασθενείς επαρκή πληροφόρηση σχετικά με αυτήν την ενέργεια.

4 Aπριλίου 2019

Πρόστιμο 50.000 ευρώ  της ιταλικής αρχής Garante  στην  ηλεκτρονική πλατφόρμα- εκτελούντα την επεξεργασία 5 Star Movement Association  για αποτυχία εφαρμογής των απαραίτητων μέτρων ασφαλείας.

15 Μαρτίου 2019

Πρόστιμο 220,000 ευρώ της πολωνικής αρχής σε Σουηδική εταιρεία digital marketing με έδρα στην Ευρώπη και γραφείο στην Πολωνία. Η εταιρεία απέτυχε να συμμορφωθεί με τις υποχρεώσεις της αναφορικά με τα δικαιώματα των υποκειμένων των δεδομένων και την υποχρέωση πληροφόρησης του άρθρου 14 του GDPR.

Μάρτιος 2019

Η Νορβηγική Εποπτική Αρχή (Datatilsynet) επέβαλε διοικητικό πρόστιμο ύψους 1,6 εκατομμυρίων νορβηγικών κορώνων ποσό που αντιστοιχεί σε 170.000 ευρώ στο δήμο του Bergen. Το περιστατικό σχετίζεται με αρχεία ηλεκτρονικών υπολογιστών με ονόματα χρηστών και κωδικούς πρόσβασης σε περισσότερους από 35.000 λογαριασμούς χρηστών στο σύστημα υπολογιστών του δήμου.

21 Ιανουαρίου 2019

Πρόστιμο 50.000.000 ευρώ από γαλλική αρχή προστασίας προσωπικών δεδομένων σε Google για (i) Έλλειψη διαφάνειας, ανεπαρκή πληροφόρηση (ii) Έλλειψη έγκυρης συγκατάθεσης σχετικά με την εξατομικευμένη διαφήμιση.

Νοέμβριος 2018

Πρόστιμο 20.000 ευρώ της  γερμανικής αρχής προστασίας σε εταιρεία Knuddels για 808,000 διαρροές emails, 1,8 εκατομμύρια διαρροές ονομάτων χρηστών και κωδικών.

Νοέμβριος 2018

Πρόστιμο 1.385.000 ευρώ από τις αρχές Γαλλίας, Κάτω Χωρών και Ηνωμένου Βασιλείου κατά της εταιρείας UBER για παράβαση υποχρέωσης διασφάλισης δεδομένων, αποτυχία κοινοποίησης περιστατικού παραβίασης και  διαρροή στοιχείων 57 εκατομμυρίων χρηστών.

Ιούνιος 2018

Πρόστιμο 4,800 ευρώ αυστριακής αρχής κατά της εταιρείας SME για παράνομο έλεγχο δημόσιου χώρου χωρίς ενημέρωση σύμφωνα με αρχή της διαφάνειας. Η κάμερα παρακολούθησης σε χώρο λιανικής εγκατάστασης κατέγραφε και παραπάνω χώρο από το πεζοδρόμιο.

Ιούνιος 2018

Πρόστιμο 400.000 ευρώ στο νοσοκομείο Βarreiro της Ποτογαλίας για παράβαση αρχών ακεραιότητας και εμπιστευτικότητας δεδομένων, παράβαση αρχής περιορισμού πρόσβασης και ανικανότητα του ΥΕ να διασφαλίσει ακεραιότητα δεδομένων.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ΑΥΞΑΝΟΝΤΑΙ ΤΑ ΠΡΟΣΤΙΜΑ ΣΕ ΟΡΓΑΝΙΣΜΟΥΣ ΥΓΕΙΑΣ: ΠΡΟΣΤΙΜΟ 139.000 ΕΥΡΩ ΣΕ ΕΤΑΙΡΕΙΑ ΤΗΛΕΟΠΤΙΚΗΣ ΠΑΡΑΓΩΓΗΣ ΗΝΩΜΕΝΟΥ ΒΑΣΙΛΕΙΟΥ

Η Αρχή Προστασίας Προσωπικών Δεδομένων του Ηνωμένου Βασιλείου, (ICO), επέβαλε πρόστιμου ύψους 120.000 λιρών, ποσό που αντιστοιχεί σε 139.000 ευρώ σε εταιρεία τηλεοπτικής παραγωγής που συνεργαζόταν με μαιευτική κλινική.

Η εταιρεία  True Visions Productions (TVP) του Λονδίνου είχε εγκαταστήσει κάμερες παρακολούθησης και μικρόφωνα σε εξεταστήρια στην κλινική του νοσοκομείου Addenbrooke’s Hospital του  Cambridge για τις ανάγκες προβολής ενός ντοκιμαντέρ σχετικά με την θνησιγένεια. Σύμφωνα με τα ευρήματα της Αρχής,  παρ΄όλο που η εταιρεία είχε λάβει σχετική άδεια από το νοσοκομείο, δεν είχε φροντίσει να ενημερώνει επαρκώς τους ασθενείς σχετικά με την βιντεοσκόπηση η οποία διεξαγόταν από τον Ιούλιο μέχρι το Νοέμβριο του 2017.

Η Αρχή επεσήμανε ότι αναγνωρίζει πως τέτοιου είδους προγράμματα προβάλλονται για λόγους δημοσίου συμφέροντος για τους σκοπούς εκπαίδευσης και ενημέρωσης, ωστόσο αδυνατούσε να δικαιολογήσει την αιτία που η εν λόγω εταιρεία δεν ενημέρωνε εκ των προτέρων τους ασθενείς ότι θα υποβάλλονταν σε βιντεοσκόπηση.

Η εταιρεία TVP είχε αναρτήσει ενημερωτικά έντυπα στην αίθουσα αναμονής τα οποία όμως ήταν ελλιπή και  δεν παρείχαν επαρκείς εξηγήσεις στους ασθενέις σχετικά με την επεξεργασία προσωπικών δεδομένων στο πλαίσιο της βιντεοσκόπησης, ενώ μάλιστα ένα από τα έντυπα ψευδώς ανέφερε ότι οι μητέρες και οι επισκέπετες δεν θα βιντεοσκοπούνταν χωρίς την προηγούμενη συγκατάθεση τους.

Η νομοθεσία σχετικά με τα προσωπικά δεδομένα ορίζει ότι τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία με τρόπο σύννομο και διαφανή. Ένας ασθενής της κλινικής επομένως, δεν θα περίμενε ότι στους χώρους εξέτασης θα υπήρχαν εγκατεστημένες κάμερες χωρίς να το γνωρίζει.

Η βιντεοσκόπηση διεκόπη το Νοέμβριο του 2017 μετά από την αρνητική δημοσιότητα που έλαβε το θέμα στα ΜΜΕ.

Εν συνεχεία επαναλήφθηκε μέχρι την άνοιξη του 2018 χρησιμοποιώντας όμως διαφορετικές τεχνικές βιντεοσκόπησης και το ντοκιμαντέρ μεταδόθηκε τον Οκτώβριο του 2018.

Το βιντεοσκοπημένο υλικό που λήφθηκε παράνομα δεν μεταδόθηκε ποτέ και διαγράφηκε.

Συμπερασματικά, από το συγκεκριμένο περιστατικό προκύπτει ότι για την τήρηση της αρχής της λογοδοσίας που επιβάλλει ο GDPR, η συνοπτική ενημέρωση των ασθενών για την επεξεργασία των δεδομένων τους δεν αρκεί. Αντίθετα, θα πρέπει να παρέχονται στο υποκείμενο των δεδομένων όλες οι πληροφορίες που επιβάλλει η νομοθεσία και σε κάθε περίπτωση οι ενημερώσεις να ανταποκρίνονται στις πραγματικές πρακτικές που εφαρμόζει ο κάθε οργανισμός και όχι στην κατ’ επίφαση παροχή πληροφοριών.

 

 

Ο Γενικός Κανονισμός Προστασίας Προσωπικών δεδομένων (GDPR) και η εφαρμογή του στο πλαίσιο της δημοσιογραφικής δραστηριότητας

Oι ρυθμίσεις του GDPR, καταλαμβάνουν ένα τεράστιο εύρος δραστηριοτήτων μεταξύ των οποίων και η δημοσιογραφία που περιλαμβάνει τα συγκροτήματα Τύπου και λοιπών ΜΜΕ, τα τοπικά, περιφερειακά και εθνικά μέσα ενημέρωσης, αλλά και τις νέες μορφές διάχυσης της πληροφορίας που φθάνουν μέχρι και τον ενεργό πολίτη – δημοσιογράφο – χρήστη τυποποιημένων εφαρμογών για να πληροφορήσει και να πληροφορηθεί.

Σκοπός των νέων ρυθμίσεων του GDPR είναι η ενίσχυση των δικαιωμάτων των φυσικών προσώπων σχετικά με την επεξεργασία των προσωπικών τους δεδομένων και η λήψη μέτρων προστασίας από τους υπεύθυνους επεξεργασίας για την αποτροπή παραβίασης- διαρροής των προσωπικών τους δεδομένων.

Ωστόσο ο νέος κανονισμός προβλέπει στο άρθρο 85 μια θετική υποχρέωση των κρατών-μελών να συμβιβάζουν τους κανόνες του γενικού μέρους του Κανονισμού με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς. Ο Ευρωπαίος νομοθέτης θεωρεί ότι η επεξεργασία προσωπικών δεδομένων για δημοσιογραφικούς σκοπούς πρέπει να τυγχάνει ευνοϊκής μεταχείρισης σε σχέση με τις άλλες μορφές επεξεργασίας, χωρίς μάλιστα να περιορίζει την έννοια των δημοσιογραφικών σκοπών μόνο στη δραστηριότητα των παραδοσιακών μέσων ενημέρωσης (Τύπος και ραδιοτηλεόραση), αλλά συμπεριλαμβάνοντας σε αυτή κάθε μορφή άσκησης της ελευθερίας της πληροφόρησης, π.χ. μέσω blogs.

Παρ’ όλα αυτά, τα δικαιώματα των φυσικών προσώπων όπως ορίζονται στο γενικό μέρος του κανονισμού έρχονται σε αντίφαση με το δικαίωμα στην ελευθερία της έκφρασης και ο νομοθέτης δεν θεσπίζει κριτήρια για την πρακτική εναρμόνιση τους.

Για το λόγο αυτό θα η ΑΠΔΠΧ θα πρέπει να προωθήσει και να ενθαρρύνει την κατάρτιση ενός  κώδικα δημοσιογραφικής δεοντολογίας που θα είναι σύμφωνος και συμβατός με τις αλλαγές του νόμου.

Η ΕΕ και το Συμβούλιο της Ευρώπης, δημοσίευσαν κατευθυντήριες γραμμές για τα ΜΜΕ και τους δημοσιογράφους στην προσπάθεια τους να εξισορροπήσουν αυτήν την αντίφαση.

  • Σύμφωνα με τον Κανονισμό τα άτομα έχουν το δικαίωμα πρόσβασης και λήψης πληροφοριών σχετικά με προσωπικά τους δεδομένα που είναι αποθηκευμένα σε κάποιο μέσο μαζικής ενημέρωσης π.χ εφημερίδα. Το αίτημα αυτό μπορεί να απορριφθεί εάν η αποκάλυψη των πληροφοριών έχει αρνητικές συνέπειες στις δημοσιογραφικές δραστηριότητες (αποκάλυψη των πηγών, διεξαγωγή έρευνας, κλπ.), ή αν  παραβιάζει τα δικαιώματα τρίτων ή αν επηρεάζει δυσανάλογα την ελευθερία έκφρασης. Σε περίπτωση δε που τα μέσα μαζικής ενημέρωσης αρνηθούν να εκπληρώσουν το αίτημα αυτό, θα πρέπει να καταγράφουν τους λόγους της απόφασης αυτής και να τους κοινοποιήσουν στον ενδιαφερόμενο.
  • Σε περίπτωση που δημοσιευθούν ειδήσεις ή ισχυρισμοί, οι οποίοι στη συνέχεια αποδεικνύονται λανθασμένοι, θα πρέπει να  διορθωθούν  αμέσως με τον κατάλληλο τρόπο από τον συντάκτη. Η διόρθωση που θα δημοσιεύει τα πραγματικά γεγονότα θα πρέπει να αναφέρεται στο εσφαλμένο άρθρο. Σε περίπτωση ηλεκτρονικής (on line)  δημοσίευσης, η διόρθωση θα πρέπει να συνδέεται με το αρχικό περιεχόμενο και να εμπεριέχει αντίστοιχο link (σύνδεσμο). Η οποιαδήποτε διόρθωση, απόσυρση ή απόρριψη θα πρέπει να διατηρείται  μαζί με την πρωτότυπη δημοσίευση για το ίδιο χρονικό διάστημα. Τα μέσα ενημέρωσης θα πρέπει να διαθέτουν αντίστοιχες διαδικασίες για να διασφαλίσουν την απάντηση στο αίτημα άσκησης του δικαιώματος πληροφόρησης και του δικαιώματος διόρθωσης για πριν και μετά τη δημοσίευση.
  • Θα πρέπει να εμποδίζεται εξ’ αρχής η συλλογή προσωπικών δεδομένων που έγινε κατά παράβαση δικαιωμάτων των ενδιαφερόμενων και τα δεδομένα να διαγράφονται από τον συντάκτη.
  • Κάθε ενδιαφερόμενος θα πρέπει έχει τη δυνατότητα να υποβάλει καταγγελία και η προσφυγή του αυτή να είναι αποτελεσματική σε περίπτωση παραβίασης κάποιου δικαιώματός του όσον αφορά την προστασία των προσωπικών του δεδομένων. Παράλληλα, τα επανορθωτικά μέτρα θα πρέπει να είναι αποτελεσματικά στην πράξη και να μην παραμένουν σε θεωρητικό επίπεδο. Τα ενδιαφερόμενα πρόσωπα θα πρέπει να μπορούν να απευθύνονται απευθείας στα καταγγελλόμενα μέσα ενημέρωσης ή σε οριζόμενο από αυτά Υπεύθυνο Προστασίας δεδομένων προτού προσφύγουν στην αρχή προστασίας δεδομένων ή στα δικαστήρια. Θα πρέπει επίσης να έχουν δικαίωμα  αποζημίωσης ανάλογα με την παράβαση και τις συνέπειές της.
  • Θα πρέπει να λαμβάνονται τα κατάλληλα μέτρα ασφαλείας για την προστασία των δεδομένων προσωπικού χαρακτήρα που αποθηκεύονται σε αυτοματοποιημένα αρχεία δεδομένων από καταστροφή ή  απώλεια,  μη εξουσιοδοτημένης πρόσβαση, μετατροπή ή διάδοσης τους.
  • Τα μέσα μαζικής ενημέρωσης πρέπει επίσης να προστατεύουν τις τεχνικές συσκευές (ισχυρή πολιτική κωδικού πρόσβασης, σύνδεση ελέγχους, κρυπτογράφηση, κατάλληλο αντίγραφο ασφαλείας, antivirus και τείχος προστασίας κ.λπ.) που χρησιμοποιούνται μέσα και έξω από τον οργανισμό (USB, smartphones, φορητοί υπολογιστές κ.λπ.). Τα μέσα ενημέρωσης θα πρέπει ταυτόχρονα να υιοθετήσουν μέτρα και πολιτικές ασφάλειας (κλειδαριές, συναγερμοί, περιορισμένη πρόσβαση στις εγκαταστάσεις κ.λπ.). όσον αφορά τη διαχείριση και οργάνωση, για παράδειγμα για τη ρύθμιση των σχέσεων με τους υπεργολάβους που χρησιμοποιούν, να περιορίσουν τον αριθμό των ατόμων που θα μπορούν να έχουν πρόσβαση προσωπικά δεδομένα  και να προβούν σε αυστηρό και σαφή διαχωρισμό δημοσιογραφικών και μη δημοσιογραφικών δραστηριοτήτων.

 

Προσοχή:

Η «απαλλαγή»  του άρθρου 85  περιορίζεται αυστηρά στα συντακτικό και δημοσιογραφικό περιεχόμενο. Η εν λόγω εξαίρεση δεν ισχύει για τις άλλες δραστηριότητες των μέσων μαζικής ενημέρωσης όπως για παράδειγμα όταν επεξεργάζονται προσωπικά δεδομένα για εμπορικούς σκοπούς. Στην τελευταία περίπτωση, τα μέσα μαζικής ενημέρωσης πρέπει να συμμορφώνονται πλήρως με τις απαιτήσεις προστασίας δεδομένων.

 

Βέλτιστες πρακτικές διασφάλισης της συμμόρφωσης

 

  • Ορισμός Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ)
  • Τήρηση αρχείου δραστηριοτήτων επεξεργασίας
  • Κατάρτιση πολιτικής απορρήτου προσωπικών δεδομένων
  • Εσωτερικές πολιτικές για την εξέταση και αντιμετώπιση των επιπτώσεων  από την προστασία των δεδομένων στο πλαίσιο  μιας δημοσιογραφικής δραστηριότητας και σε περιπτώσεις ηθικών διλημμάτων και δυσκολιών·
  • Εσωτερικές πολιτικές για την σύνταξη των απαντήσεων αιτημάτων άσκησης δικαιωμάτων των υποκειμένων, τη διαχείριση παραπόνων, τις περιπτώσεις παραβίασης προσωπικών δεδομένων
  • Διεξαγωγή τακτικών ελέγχων για την τήρηση των μέτρων ασφαλείας
  • Εκπαίδευση των δημοσιογράφων και του προσωπικού της εταιρείας
  • Επανεξέταση συμβάσεων με υπεργολάβους (π.χ φωτογράφους)

 

Αξίζει να σημειωθεί ότι οι ανωτέρω κατευθυντήριες γραμμές δεν εισάγουν νέα πρότυπα και θα είναι ανοικτές για διορθώσεις, ενημερώσεις και προσθήκες.

Επικοινωνία - Νομικοί Σύμβουλοι – PrivacyAdvocate

Πακέτο.. προστίμων

Πόσες φορές έχετε δεχτεί τηλεφωνήματα από εταιρείες κινητής και σταθερής τηλεφωνίας, σε εργάσιμες ή ακατάλληλες ώρες, σχετικά με μία δελεαστική προσφορά που θα αλλάξει την καθημερινότητά σας και θα σας παρέχει νέες, καινοτόμες υπηρεσίες; Έχετε αντιταχθεί σε τέτοιου είδους τηλεφωνικές κλήσεις, χωρίς ωστόσο το παραμικρό αποτέλεσμα; Ήρθε η στιγμή που η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα πήρε -επιτέλους- την κατάσταση στα χέρια της.

Πρόστιμα ύψους 150.000 Ευρώ επιβλήθηκαν από την Αρχή σε κάθε μία από τις εταιρείες Wind, Vodafone, OTE και Cosmote για μη νόμιμες κλήσεις που πραγματοποιήθηκαν σε συνδρομητές (ή και σε μη συνδρομητές) για την προώθηση των προϊόντων τους. Έπειτα από καταγγελίες που δέχτηκε η Αρχή από άτομα που είχα δηλώσει ρητά την εναντίωσή τους σε τέτοιου είδους κλήσεις, διενήργησε εξονυχιστικούς ελέγχους στις εγκαταστάσεις της κάθε εταιρείας αλλά και στις εγκαταστάσεις των συνεργαζόμενων εταιρειών που διατηρούν τα “call-centers” για λογαριασμό των παραπάνω. Διαπιστώθηκε πλήθος παραβάσεων που διαφοροποιούνται ανάλογα με την εταιρεία. Αν εξεταστεί ξεχωριστά η κάθε απόφαση που εκδόθηκε από την Αρχή, παρατηρείται πως η κάθε εταιρεία εφαρμόζει διαφορετικούς τρόπους χειρισμού του δικαιώματος των ατόμων να αντιτάσσονται στη λήψη προωθητικών κλήσεων.

Σύμφωνα με το άρθρο 11 του ν. 3471/2006, οι εταιρείες τηλεπικοινωνιών υποχρεούνται να τηρούν ένα ενημερωμένο μητρώο opt-out στο οποίο θα πρέπει ατελώς να εγγράφεται κάθε άτομο που δεν επιθυμεί να λαμβάνει από εταιρείες κινητής και σταθερής τηλεφωνίας προωθητικές κλήσεις. Το μητρώο αυτό θα πρέπει να παραμένει στη διάθεση κάθε ενδιαφερόμενου προκειμένου να το συμβουλεύεται και να μην προβαίνει σε κλήσεις σε άτομα που δήλωσαν ρητά ότι δεν το επιθυμούν, συμπεριλαμβανομένων των εταιρειών “call-center”, οι οποίες ενεργούν για λογαριασμό των εταιρειών τηλεφωνίας και αποτελούν Εκτελούντα την επεξεργασία. Αντίστοιχα, οι εταιρείες τηλεπικοινωνιών, εφόσον ορίζουν πλήρως τον σκοπό και τα μέσα με τα οποία πραγματοποιείται η επικοινωνία με τον κάθε πελάτη, αποτελούν τον Υπεύθυνο της Επεξεργασίας.

Έπειτα από ελέγχους, η Αρχή διαπίστωσε ότι το εν λόγω μητρώο είτε δεν τηρείται προσηκόντως είτε δεν λαμβάνεται υπόψη από τις εταιρείες που προβαίνουν στις τηλεφωνικές κλήσεις. Πιο αναλυτικά, διαπιστώθηκε πως η εταιρεία Wind είχε πραγματοποιήσει 140.395 μη νόμιμες κλήσεις σε συνδρομητές της που είχαν εγγραφεί στο μητρώο opt-out (απ. 60/2018). Η Vodafone δε, είχε προβεί σε 6.244.854 κλήσεις σε πελάτες της που είχαν εγγραφεί στο μητρώο. Επιπλέον, όταν η εταιρεία “call-center” της Vodafone καλούσε τους πελάτες για τις προωθητικές ενέργειες απέκρυπτε ότι καλούσε εκ μέρους της, με αποτέλεσμα να δημιουργείται σύγχυση από την μεριά των πελατών όσον αφορά την ταυτότητα της εταιρείας που τους καλεί (απ. 61/2018).

Διαφορετική περίπτωση αποτελούν οι εταιρείες ΟΤΕ και η Cosmote (απ. 62 και 63/2018). Το μητρώο opt-out τηρούταν προσηκόντως, ενημερωνόταν συχνά και παράλληλα η εταιρεία “call-center” το συμβουλευόταν με σκοπό να προβεί μόνο στις «νόμιμες» κλήσεις. Πού ανέκυψε όμως το πρόβλημα; Στο γεγονός ότι το μητρώο αυτό τηρούταν μόνο για τους συνδρομητές των εταιρειών και όχι για μη συνδρομητές. Έτσι, συνολικά πραγματοποιήθηκαν 15.794.944 μη νόμιμες κλήσεις σε άτομα που εξ αρχής εναντιώθηκαν στις κλήσεις τέτοιου περιεχομένου. Επιπρόσθετα, οι εν λόγω εταιρείες αποθήκευαν τα στοιχεία των παλαιών τους συνδρομητών με σκοπό την εκ νέου προσέλκυσή τους. Οι εταιρείες αρνήθηκαν ότι παραβιάζεται κάποια διάταξη νόμου και προέβαλαν το επιχείρημα ότι ένας πρώην συνδρομητής έχει την εύλογη προσδοκία να ενημερώνεται από την εταιρεία σχετικά με προσωποποιημένες, ανάλογες µε τις ανάγκες του προσφορές. Επιπλέον, αν και οι εταιρείες υποστήριξαν ότι ορισμένοι συνδρομητές επιθυμούσαν το λεγόμενο “call-back”, η απαιτούμενη από το άρθρο 5 του ν. 3471/2006 συγκατάθεση, δεν μπορεί σε καμία περίπτωση να αποδειχθεί.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προχώρησε σε αντιπαραβολή των κλήσεων που πραγματοποιήθηκαν με τα μητρώα opt-out που της είχαν παρασχεθεί από τις εταιρείες και, λαμβάνοντας υπόψη της όλα τα στοιχεία που συγκέντρωσε από τους διενεργούμενους ελέγχους αλλά και τους ισχυρισμούς που πρόβαλε η κάθε εταιρεία, αποφάνθηκε ότι οι κλήσεις αυτές ήταν μη νόμιμες, σύμφωνα με το άρθρο 11 του ν. 3471/2006.

Κατά τις αποφάσεις που εξέδωσε η Αρχή, οι εταιρείες, σε πρώτο στάδιο, βελτίωσαν τα μέτρα που λαμβάνουν για την προστασία των δικαιωμάτων των συνδρομητών τους, έπειτα από τις συστάσεις που έγιναν το 2016 (αποφάσεις 66, 65, 63 και 64/2016). Ωστόσο, αν και είχαν όλο τον απαιτούμενο χρόνο στη διάθεσή τους, ακόμα δεν έχουν ληφθεί όλα τα κατάλληλα τεχνικά μέτρα για την προστασία των υποκειμένων και τη νομιμότητα της δράσης τους. Επέβαλε έτσι σε κάθε εταιρεία πρόστιμο ύψους 150.000 Ευρώ στην κάθε μία, ποσό το οποίο αποτελεί το μέγιστο προβλεπόμενο πρόστιμο με βάση την προ του Γενικού Κανονισμού για την Προστασία των Δεδομένων ΕΕ 679/2016 «GDPR» νομοθεσία, εφόσον οι παραβιάσεις αφορούσαν την περίοδο πριν την έναρξη της εφαρμογής του.

Είναι έκδηλη παρόλα αυτά η διάθεση της Αρχής. Αν αναλογιστεί κανείς ότι με τον Νέο Κανονισμό τα πρόστιμα μπορεί να αγγίξουν τα 20 εκατομμύρια Ευρώ ή ακόμα για τις επιχειρήσεις το 4 % του ετήσιου τζίρου τους, αυτή ίσως είναι η αρχή μίας ανοδικής πορείας προστίμων που θα επιβάλλονται από την Αρχή σε περιπτώσεις παραβιάσεων προσωπικών δεδομένων των υποκειμένων.

Φτάνουμε έτσι στο συμπέρασμα ότι οι εταιρείες χρειάζεται να είναι εξαιρετικά προσεκτικές.  Θα πρέπει να θέτουν σε ισχύ μηχανισμούς που θα προστατεύουν τόσο τα προσωπικά δεδομένα και τα δικαιώματα των πελατών τους, όσο και τις ίδιες, εφόσον επικρέμεται η δαμόκλειος σπάθη των υψηλών προστίμων και, ενδεχομένως, μίας επακόλουθης οικονομικής και επιχειρηματικής καταστροφής.

 

«Γιατί συμφέρει η εξωτερική ανάθεση DPO;»

Ο Γενικός  Κανονισμός Προστασίας Προσωπικών δεδομένων ήρθε για να αλλάξει το τοπίο της προστασίας προσωπικών δεδομένων στην Ε.Ε. και στη χώρα μας.

Ένας από τους βασικότερους θεσμούς που εισάγει είναι αυτός του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) DPO https://privacyadvocate.gr/ta-kathikonta-dpo/, ο οποίος καλείται να δίνει λύσεις στα φλέγοντα ζητήματα προστασίας της ιδιωτικότητας, παρέχοντας συμβουλές και καθοδήγηση στους  οργανισμούς και τις επιχειρήσεις.

 

Με τον νέο αυτό θεσμό επιτυγχάνεται η αποκέντρωση του ελέγχου της προστασίας δεδομένων και καθίσταται ουσιαστικότερη η εφαρμογή του κανονιστικού πλαισίου της εν λόγω προστασίας.

 

Ποιες εταιρείες υποχρεούνται να προσλάβουν DPO;

 

Ο διορισμός ΥΠΔ είναι υποχρεωτικός από δημόσιες αρχές και φορείς, όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα.

 

 

Χαρακτηριστικά παραδείγματα υποχρεωτικού διορισμού αποτελούν οι ασφαλιστικές εταιρίες και οι τράπεζες, τα νοσοκομεία, όσες επιχειρήσεις επεξεργάζονται προσωπικά δεδομένα για σκοπούς διαφήμισης, οι εταιρίες που παρέχουν τηλεπικοινωνιακές υπηρεσίες, οι φορείς που προβαίνουν σε επεξεργασία δεδομένων για τη διαμόρφωση προφίλ και τη βαθμολόγησή τους για εκτίμηση κινδύνου, όπως και για το σκοπό του εντοπισμού πρακτικών νομιμοποίησης εσόδων, η παρακολούθηση δεδομένων μέσω wearable devices, κοκ.

 

H παραβίαση της υποχρέωσης διορισμού ΥΠΔ επισύρει διοικητικά πρόστιμα (άρθρο 83 παρ. 4 περ. α΄ ΓΚΠΔ) που ανέρχονται έως 10.000.000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

 

O DPO διορίζεται βάσει των επαγγελματικών προσόντων που διαθέτει, αλλά και  της εμπειρογνωσίας του στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39 του ΓΚΠΔ.

Ο DPO μπορεί να είναι είτε εσωτερικός, δηλ. υπάλληλος του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία,  είτε εξωτερικός.

 

 

Ποια είναι όμως η καλύτερη επιλογή για την εταιρεία σας;

 

Αναμφισβήτητα, στην περίπτωση που η εταιρεία  ή ο οργανισμός σας δεν διαθέτει ειδικό τμήμα διαχείρισης ζητημάτων ιδιωτικότητας και προσωπικών δεδομένων, η λύση της εξωτερικής ανάθεσης είναι ιδανική για εσάς.

 

Η εξωτερική ανάθεση είναι πιο αποδοτική καθώς:

  • Από άποψη κόστους, η ευκαιριακή απασχόληση μόνιμου DPO είναι πιο οικονομική λύση, συγκριτικά με την πλήρη.
  • Δεν περιορίζεται αποκλειστικά σε ένα πρόσωπο αλλά μπορεί να περιλαμβάνει μία ομάδα ειδικών συνεργατών της εταιρείας, η οποία συνακόλουθα, σε περίπτωση περιστατικού παραβίασης θα ανταποκριθεί αμεσότερα και με μεγαλύτερη επιτυχία.
  • Οι εξωτερικοί DPOs θα είναι διαθέσιμοι 24/7 χωρίς να προβλέπεται περίοδος διακοπών ή ασθένειας.
  • Δεν θα υπάρχει σύγκρουση συμφερόντων στην εταιρεία. Ο GDPR απαιτεί από τον υπεύθυνο προστασίας δεδομένων να ενεργεί με πλήρη ανεξαρτησία. Οι κατευθυντήριες γραμμές του WP29 συνιστούν ότι, για την αποτροπή ενδεχόμενης σύγκρουσης συμφερόντων, ο DPO “δεν πρέπει να κατέχει θέση που να του επιτρέπει να καθορίζει το σκοπό και τον τρόπο επεξεργασίας των προσωπικών δεδομένων”. Το W29 τονίζει επίσης ότι όσοι κατέχουν ανώτερες διοικητικές θέσεις ή σε θέσεις σε επίπεδο διοίκησης γενικότερα δεν αποτελούν κατάλληλο υποψήφιο υποψήφιοι για τον κρίσιμο ρόλο του DPO.

 

Γιατί να διαλέξετε την Privacy Advocate;

 

  • Επανεξετάζουμε και ελέγχουμε διεξοδικά τις υφιστάμενες πολιτικές της εταιρείας σας και προβαίνουμε σε αναθεώρηση τους.
  • Δημιουργούμε εύχρηστο μητρώο επεξεργασίας δεδομένων προσωπικού χαρακτήρα και φροντίζουμε να το συντηρούμε με τα πλέον κατάλληλα και σύγχρονα τεχνολογικά μέσα.
  • Παρέχουμε συμβουλές σχετικά με την αναγκαιότητα σύνταξης έκθεσης εκτίμησης αντικτύπου για την προστασία των δεδομένων, τον τρόπο εφαρμογής και τα αποτελέσματά της.
  • Σας καθοδηγούμε σχετικά με την παρακολούθηση, τη διαχείριση και την αναφορά των περιστατικών παραβίασης δεδομένων.
  • Συντάσσουμε τις απαντήσεις στα αιτήματα φυσικών προσώπων που ασκούν ένα ή όλα τα δικαιώματά τους (ενημέρωση, πρόσβαση, διόρθωση, διαγραφή, φορητότητα δεδομένων, περιορισμός της επεξεργασίας, αυτοματοποιημένη λήψη αποφάσεων και δημιουργία προφίλ).
  • Λειτουργούμε ως δίαυλος επικοινωνίας μεταξύ της εταιρείας σας και της Aρχής  Προστασίας δεδομένων για όλα τα ζητήματα προστασίας δεδομένων.
  • Ελέγχουμε συστηματικά όλα τα επίπεδα συμμόρφωσης με τον GDPR σε όλα τα τμήματα της εταιρείας σας.
  • Eκπαιδεύουμε τον data protection champion που θα ορίσει η εταιρεία σας.
  • Χρησιμοποιούμε αποτελεσματικά το δίκτυο μας , αποτελώντας πρωτοπόρο σε ζητήματα ενημέρωσης σχετικά με τις εξελίξεις στον τομέα προστασίας προσωπικών δεδομένων
  • Κατανοούμε σε βάθος τον τρόπο που η τεχνολογία, η κοινωνία και φυσικά η αγορά συνδέονται και αλληλεπιδρούν.
  • Χρησιμοποιούμε τα πιο εξελιγμένα file analytics tools.
  • Η Προστασία Δεδομένων απαιτεί γνώση των τρεχουσών επιχειρηματικών πρακτικών. Το τεχνικό μας προσωπικό θα συνεργαστεί με την ομάδα σας για να χαρτογραφήσει τις τρέχουσες διαδικασίες, να τονίσει και να μετριάσει τους κινδύνους και να βελτιώσει την παραγωγικότητα της και την ασφάλεια σε όλα τα επίπεδα.
  • Συνδυάζουμε ρεαλιστικές πρακτικές με βαθιά γνώση των κανονιστικών απαιτήσεων και της αποτελεσματικότητας του ελέγχου ασφάλειας.
  • Η ομάδα μας απαρτίζεται από νομικούς μέλη του IT, PR, Legal/Compliance και Information Security ούτως ώστε να παρέχει αξιόπιστη και εμπεριστατωμένη καθοδήγηση τόσο στα τεχνικά όσο και στα νομικά ζητήματα που ανακύπτουν.
  • Προσδίδουμε ιδιαίτερη αξία στην ασφάλεια και στην πρόληψη. Ήδη η εταιρεία μας εκτελεί έργο DPO για το μεγαλύτερο ποσοστό ιδιωτικών διαγνωστικών κέντρων και κλινικών της Ελλάδας.
  • Διαθέτουμε σύγχρονη, ολοκληρωμένη τεχνολογική υποδομή με εξοπλισμό και λογισμικό τελευταίας τεχνολογίας.

 

 

 

 

 

 

 

 

Top