H ΙΤΑΛΙΚΗ ΑΡΧΗ ΔΕΝ ΑΣΤΕΙΕΥΕΤΑΙ: ΠΡΟΣΤΙΜΟ 50.000€ ΓΙΑ ΜΗ ΛΗΨΗ ΚΑΤΑΛΛΗΛΩΝ ΜΕΤΡΩΝ ΑΣΦΑΛΕΙΑΣ ΣΕ ΕΚΤΕΛΟΥΝΤΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

Πρόστιμο 50.000€ επιβλήθηκε από την Ιταλική Εποπτική Αρχή “Garante” για έλλειψη εφαρμογής μέτρων ασφάλειας προσωπικών δεδομένων, έπειτα από συντελεσθείσα παραβίαση προσωπικών δεδομένων. Πρόκειται για παραβίαση ασφαλείας στην επονομαζόμενη πλατφόρμα “Rousseau” η οποία «έτρεχε» τις ιστοσελίδες του ιταλικού πολιτικού κόμματος Movimento 5 Stelle και αποτελούσε  τον Εκτελούντα την Επεξεργασία των προσωπικών δεδομένων.

Η Rousseau υπέστη σοβαρή παραβίαση ασφαλείας κατά τη διάρκεια του καλοκαιριού του 2017, γεγονός που οδήγησε την Garante να απαιτήσει την λήψη και εφαρμογή πληθώρας μέτρων προστασίας, σε συνδυασμό με την υποχρέωση επικαιροποίησης της Πολιτικής Απορρήτου της, προκειμένου να επιτευχθεί η απαραίτητη διαφάνεια στις δραστηριότητες επεξεργασίας που εκτελούνταν από τη Rousseau.

Αν και η Πολιτική Απορρήτου της πλατφόρμας επικαιροποιήθηκε εγκαίρως, η Garante εξέφρασε τις ανησυχίες της σχετικά με την έλλειψη εφαρμογής ορισμένων μέτρων ασφαλείας που σχετίζονται με τον GDPR. Η Rousseau χρησιμοποίησε ένα παρωχημένο σύστημα διαχείρισης περιεχομένου, ευάλωτο σε κυβερνοεπιθέσεις. Η πλατφόρμα επίσης παρουσίαζε αρκετές αδυναμίες σχετικά με την επαλήθευση της ταυτότητας των χρηστών, συμπεριλαμβανομένων αδύναμων κωδικών πρόσβασης, δυσκολία στον έλεγχο πρόσβασης, καθώς και ελλείψεις στην καταγραφή των ενεργειών (log files) των χρηστών και του προσωπικού πληροφοριακής υποστήριξης της πλατφόρμας. Ταυτόχρονα, διαπιστώθηκαν ελλείψεις  στα συστήματα ηλεκτρονικής ψηφοφορίας, κυρίως αναφορικά με την τήρηση της ανωνυμίας των χρηστών βάσει των βέλτιστων πρακτικών.

Λόγω των ελλείψεων αυτών, η Garante επέβαλε πρόστιμο 50.000€, καθώς εκτίμησε πως υπήρξε παραβίαση του άρθρου 32 του GDPR για την λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων από την πλατφόρμα Rousseau.

Αξίζει όμως στο σημείο αυτό να σημειωθεί ότι το πρόστιμο δεν επιβλήθηκε στο πολιτικό κόμμα Movimento 5 Stelle που αποτελούσε τον Υπεύθυνο Επεξεργασίας δεδομένων, αλλά στην εταιρεία “Rousseau” ως Εκτελούντα την Επεξεργασία των δεδομένων. Η Ιταλική Εποπτική Αρχή θεώρησε ότι ο Υπεύθυνος Επεξεργασίας δεδομένων δεν ευθύνεται για όλες τις πράξεις επεξεργασίας του Εκτελούντος την Επεξεργασία, αναγνωρίζοντας την ύπαρξη ευθύνης του τελευταίου χωρίς την ευθύνη του Υπεύθυνου Επεξεργασίας.

Η απόφαση αυτή της Ιταλικής Αρχής υπογραμμίζει την ευθύνη του Εκτελούντος την Επεξεργασία σχετικά με την υποχρέωσή του να προβαίνει στη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ασφάλειας προσωπικών δεδομένων, ειδικότερα μάλιστα όταν πρόκειται για επεξεργασία μεγάλου όγκου προσωπικών δεδομένων φυσικών προσώπων.

Πρέπει να τονισθεί η αξία του ελέγχου των τρίτων με τους οποίους μία επιχείρηση ή ένας δημόσιος φορέας ως Υπεύθυνος Επεξεργασίας συνεργάζεται και ο έλεγχος αυτός να εστιάζει στην εξασφάλιση ότι οι συνεργάτες αυτοί έχουν λάβει πράγματι (και όχι μόνο σε συμβατικές ρήτρες) τα απαραίτητα μέτρα προστασίας των προσωπικών δεδομένων που επεξεργάζονται. Και τούτο διότι η φήμη μιας επιχείρησης εξαρτάται σε μεγάλο βαθμό από τις συνεργασίες που διατηρεί. Είναι σημαντικό να ελέγχονται συχνά οι υπάρχουσες συμβάσεις συνεργασίας με τους τρίτους και να διενεργούνται επιθεωρήσεις στις εγκαταστάσεις αυτών, οι οποίοι εκτελούν επεξεργασία για λογαριασμό του εκάστοτε Υπεύθυνου Επεξεργασίας, καθώς στόχος τους είναι η αποφυγή της διαστρέβλωσης της φήμης, της υπόληψης και του ονόματος της επιχείρησης που θα μπορούσε να κλωνίσει  ανεπανόρθωτα τις σχέσεις εμπιστοσύνης που έχουν καλλιεργηθεί. Η υπηρεσία GDPR AUDIT που προσφέρουμε μπορεί να εξασφαλίσει ακριβώς όλα τα παραπάνω, ανταποκρινόμενη σε όλες τις προκλήσεις και τα αναχώματα που ενδεχομένως εμφανιστούν κατά τις συνεργασίες των επιχειρήσεων και των δημόσιων φορέων με τρίτους.

 

 

Leave a Reply

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.

Top