8.9 C
Athens
Δευτέρα, 25 Νοεμβρίου, 2024

ΕΑΕΕ: Πρόστιμο 2,9 εκ. € στον υπεύθυνο ΕΛΤΑ για διαρροή προσωπικών δεδομένων

ΕΑΕΕ: Πρόστιμο ύψους 2,9 εκ. € στον υπεύθυνο επεξεργασίας (ΕΛΤΑ) για διαρροή προσωπικών δεδομένων έως 5.000.000 προσώπων τα οποία, σε μετέπειτα φάση, δημοσιεύτηκαν στον σκοτεινό ιστό (dark web).

Η Ένωση Ασφαλιστικών Εταιριών Ελλάδος στο πλαίσιο της ενημέρωσής για τη νομοθεσία των προσωπικών δεδομένων, κοινοποιεί τις εξής δημοσιεύσεις:

1) Πρόστιμο της ΑΠΔΠΧ ύψους 2,9 εκ € στα ΕΛΤΑ

Με την απόφαση 10/2024, η Αρχή επέβαλε πρόστιμο ύψους 2,9 εκ. € στον υπεύθυνο επεξεργασίας (ΕΛΤΑ) για διαρροή προσωπικών δεδομένων έως 5.000.000 προσώπων τα οποία, σε μετέπειτα φάση, δημοσιεύτηκαν στον σκοτεινό ιστό (dark web). Από την εξέταση του περιστατικού διαπιστώθηκε ότι ο υπεύθυνος επεξεργασίας δεν τηρούσε τα απαιτούμενα τεχνικά και οργανωτικά μέτρα και δεν διασφάλισε την εφαρμογή της πολιτικής ασφάλειας της επεξεργασίας, με αποτέλεσμα να πραγματοποιηθούν, στο πλαίσιο της παραβίασης του συστήματος του υπευθύνου επεξεργασίας, ενέργειες ανίχνευσης των αδυναμιών του δικτύου, μη εξουσιοδοτημένη πρόσβαση σε πόρους, εκτέλεση κακόβουλων διεργασιών σε σταθμούς εργασίας, απενεργοποίηση των λογισμικών προστασίας και κρυπτογράφηση αρχείων. Πρόκειται για το δεύτερο μεγαλύτερο πρόστιμο της ιστορίας της Αρχής σε επιχείρηση με έδρα την Ελλάδα.

Ειδικότερα, η Αρχή μετά από γνωστοποίηση παραβίασης δεδομένων του υπευθύνου επεξεργασίας, προχώρησε σε εξέταση της υπόθεσης και διαπίστωσε τέσσερις παραβάσεις. Στη συνέχεια έκρινε ότι τα ΕΛΤΑ:

α. Δεν διασφάλισαν, με την εφαρμογή των απαιτούμενων τεχνικών και οργανωτικών μέτρων, την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη ή παράνομη επεξεργασία με αποτέλεσμα να λάβει χώρα απώλεια της κατά το άρθρο 5 παρ. 1 στοιχ. στ’ του ΓΚΠΔ επιβαλλόμενης εμπιστευτικότητας.

β. Δεν εφάρμοσαν τις κατάλληλες πολιτικές για την προστασία των δεδομένων, ώστε να διασφαλιστεί ότι είναι σε θέση να αποδείξουν ότι πραγματοποίησαν επεξεργασία σύμφωνα με τους ορισμούς του άρθρου 32 του ΓΚΠΔ.

γ. Δεν διασφάλισαν το απόρρητο, την διαθεσιμότητα και την αξιοπιστία των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση και την ακεραιότητα των διαδικασιών για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για την ασφάλεια της επεξεργασίας, ώστε να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, για τα δικαιώματα των υποκειμένων, κατά το άρθρο 32 παρ. 1 στοιχ. β’ του ΓΚΠΔ.

Η Αρχή θεώρησε πως πραγματοποιήθηκαν παραβάσεις των υποχρεώσεων του υπευθύνου επεξεργασίας, σύμφωνα με τα άρθρα 5 παρ. 1 στ’ και 32 ΓΚΠΔ, οι οποίες κρίθηκαν ως αυτοτελείς. Ως ελαφρυντικά στοιχεία ελήφθησαν υπόψη – μεταξύ άλλων – η ενίσχυση της ασφάλειας του συστήματος μετά το περιστατικό και η δυσχερής οικονομική κατάσταση των ΕΛΤΑ κατά την εκδήλωση της επίθεσης.

2) Τοποθέτηση Ευρωπαϊκού Κοινοβουλίου στη νέα διαδικασία για την επιβολή του ΓΚΠΔ

Κατά τη σύνοδο ολομέλειας στις 10.4.2024, το Ευρωπαϊκό Κοινοβούλιο (ΕΚ) υιοθέτησε την τοποθέτησή του σχετικά με την πρόταση Κανονισμού της Επιτροπής για τη θέσπιση εναρμονισμένων δικονομικών κανόνων με σκοπό την ενίσχυση της επιβολής του ΓΚΠΔ. Η έκθεση υιοθετήθηκε με 329 ψήφους υπέρ, 213 κατά και 79 αποχές.

Η πρόταση του ΕΚ θεσπίζει διαδικαστικούς κανόνες για τον χειρισμό των καταγγελιών και τη διεξαγωγή ερευνών σε υποθέσεις που εκκινούνται είτε βάσει καταγγελίας είτε αυτεπαγγέλτως από εποπτικές αρχές, στις περιπτώσεις που εμπλέκονται περισσότερες εποπτικές αρχές, καθώς και δικονομικοί κανόνες αναφορικά με τα ένδικα μέσα που μπορούν να εφαρμοστούν.

Στην τοποθέτησή του το ΕΚ προβλέπει ότι κάθε μέρος θα πρέπει να έχει τουλάχιστον τα ακόλουθα δικαιώματα:

  • ο χειρισμός της υπόθεσής τους να γίνεται με αμεροληψία και δικαιοσύνη και να τυγχάνουν ίσης μεταχείρισης, ακόμη και αν βρίσκονται ενώπιον διαφορετικών εποπτικών αρχών σε διαφορετικές δικαιοδοσίες («fair procedure»).
  • να έχουν δικαίωμα ακρόασης πριν τη λήψη οποιουδήποτε μέτρου που θα μπορούσε να τους επηρεάσει δυσμενώς, μεταξύ άλλων πριν από την έκδοση της απόφασης για την αποδοχή ή την πλήρη ή μερική απόρριψη μιας καταγγελίας («δικαίωμα ακρόασης»)
  • να έχουν πρόσβαση στον κοινό φάκελο της υπόθεσης, εκτός από τυχόν εσωτερικές διαβουλεύσεις της αρχής ελέγχου ή διαβουλεύσεις μεταξύ των εμπλεκόμενων αρχών («διαφάνεια διαδικασιών»).

Κάθε καταγγελία που υπόκειται στον Κανονισμό θα πρέπει να παρέχει τις πληροφορίες που απαιτούνται στο υπόδειγμα που παρατίθεται στο παράρτημα, χωρίς να απαιτούνται πρόσθετες πληροφορίες προκειμένου η καταγγελία να είναι παραδεκτή. Η εποπτική αρχή στην οποία έχει υποβληθεί η καταγγελία θα πρέπει, εντός δύο εβδομάδων, να βεβαιώνει την παραλαβή και το παραδεκτό της καταγγελίας ή, εάν μια καταγγελία δεν πληροί τις προϋποθέσεις, να κηρύσσει την καταγγελία απαράδεκτη και να ενημερώνει τον καταγγέλλοντα σχετικά με τις πληροφορίες που λείπουν.

Ο χειρισμός μιας καταγγελίας θα πρέπει πάντα να οδηγεί σε μία νομικά δεσμευτική απόφαση που υπόκειται σε αποτελεσματικό ένδικο μέσο. Ο φιλικός (εξωδικαστικός) διακανονισμός μίας υπόθεσης περιορίζεται σε υποθέσεις που αφορούν δικαιώματα των υποκειμένων των δεδομένων, απαιτώντας τη ρητή συμφωνία του καταγγέλλοντος, ενώ δεν εμποδίζονται αυτεπάγγελτες έρευνες μιας εποπτικής αρχής για παραβάσεις μεγαλύτερης κλίμακας του ΓΚΠΔ.

Η επικεφαλής εποπτική αρχή θα πρέπει να παρέχει στις άλλες ενδιαφερόμενες εποπτικές αρχές άμεση, απεριόριστη και συνεχή εξ αποστάσεως πρόσβαση στον πλήρη φάκελο της (κοινής) υπόθεσης και θα πρέπει να περιλαμβάνει στον κοινό φάκελο όλες τις σχετικές πληροφορίες, ιδίως έγγραφα, υπομνήματα και άλλες πληροφορίες που σχετίζονται με την υπόθεση εντός μίας εβδομάδας από την προσκόμιση ή την παραλαβή τους.

Επόμενη εξέλιξη στο θέμα θα υπάρξει μετά τις εκλογές του Ευρωπαϊκού Κοινοβουλίου, όταν θα ξεκινήσουν οι τριμερείς διάλογοι και μόλις το Ευρωπαϊκό Συμβούλιο υιοθετήσει τη δική του τοποθέτηση.

3) Δικαίωμα πρόσβασης στα προσωπικά δεδομένα (Κατευθυντήριες Γραμμές 1/2022) – Δημοσιεύθηκε η ελληνική έκδοση των Κατευθυντηρίων Γραμμών του ΕΣΠΔ

Το κείμενο των Κατευθυντήριων Γραμμών 1/2022 για το δικαίωμα πρόσβασης του άρθρου 15 Γενικού Κανονισμού Προστασίας Δεδομένων είναι πλέον διαθέσιμο και στην ελληνική γλώσσα.

 

4) Στρατηγική του ΕΣΠΔ για τα έτη 2024-2027

Στις 18 Απριλίου το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) δημοσίευσε τη στρατηγική του για την περίοδο 2024-2027.

Η στρατηγική δεν παρέχει εξαντλητική αναφορά στο έργο του ΕΣΠΔ για τα επόμενα έτη, αλλά καθορίζει τους τέσσερις κύριους πυλώνες των μελλοντικών δράσεών του:

Πυλώνας 1 – Ενίσχυση της εναρμόνισης και προώθηση της συμμόρφωσης

Πυλώνας 2 – Ενίσχυση κοινής νοοτροπίας επιβολής και αποτελεσματικής συνεργασίας

Πυλώνας 3 – Διασφάλιση της προστασίας των δεδομένων στο αναπτυσσόμενο ψηφιακό τοπίο Πυλώνας 4 – Συμβολή στον παγκόσμιο διάλογο για την προστασία των δεδομένων

Η στρατηγική θα συμπληρωθεί από ειδικότερα σχέδια εργασίας, που θα περιέχουν περισσότερες λεπτομέρειες σχετικά με την εφαρμογή της, χωρίς να γίνεται αναφορά σε συγκεκριμένα χρονοδιαγράμματα.

Οι βασικές δράσεις της στρατηγικής που ενδιαφέρουν τον ασφαλιστικό κλάδο είναι:

Από τον Πυλώνα 1 (Ενίσχυση της εναρμόνισης και προώθηση της συμμόρφωσης) Καθοδήγηση σε βασικά ζητήματα, π.χ. σχετικά με την εφαρμογή του ΓΚΠΔ σε ιδιαίτερα ευάλωτα υποκείμενα δεδομένων, όπως τα παιδιά, και σχετικά με την εφαρμογή ιδιαίτερα σημαντικών διατάξεων, όπως το έννομο συμφέρον. Το ΕΣΠΔ επαναλαμβάνει τον στόχο του να δώσει κατευθύνσεις πρακτικές, συμπεριλαμβανομένης της χρήσης παραδειγμάτων κατά περίπτωση.

Από τον Πυλώνα 3 (Διασφάλιση της προστασίας των δεδομένων στο αναπτυσσόμενο ψηφιακό τοπίο)

Καθοδήγηση στην αλληλεπίδραση μεταξύ της εφαρμογής του ΓΚΠΔ και άλλων νομοθετικών κειμένων της ΕΕ, όπως για την τεχνητή νοημοσύνη, για τις ψηφιακές υπηρεσίες κτλ.

Παρακολούθηση και αξιολόγηση των νέων ψηφιακών τεχνολογιών για την προώθηση μιας ανθρωποκεντρικής προσέγγισης. Το ΕΣΠΔ θα συνεχίσει να εκδίδει κατευθυντήριες γραμμές, όπου απαιτείται, σχετικά με τις επιπτώσεις των νέων τεχνολογιών στην προστασία των δεδομένων και την ορθή εφαρμογή του ΓΚΠΔ στο ταχέως αναπτυσσόμενο ψηφιακό τοπίο. Οι εν λόγω κατευθυντήριες γραμμές θα περιλαμβάνουν, μεταξύ άλλων, περαιτέρω εστίαση στην εφαρμογή των εννοιών και των αρχών προστασίας των δεδομένων στο πλαίσιο των νέων τεχνολογιών, ιδίως σε τομείς με σημαντικούς κινδύνους για τα υποκείμενα των δεδομένων ή όπου τα υποκείμενα των δεδομένων ανήκουν σε ιδιαίτερα ευάλωτη ομάδα (π.χ. παιδιά).

Συνεργασία με άλλες ρυθμιστικές αρχές σε θέματα που έχουν αντίκτυπο στην προστασία των δεδομένων (αρχές προστασίας των καταναλωτών, αρχές ανταγωνισμού κτλ).

Από τον Πυλώνα 4 (Συμβολή στον παγκόσμιο διάλογο για την προστασία των δεδομένων)

Συνέχιση των εργασιών σχετικά με τον ΓΚΠΔ και τους μηχανισμούς διαβίβασης δεδομένων: το ΕΣΠΔ θα συνεχίσει να επικεντρώνεται σε συγκεκριμένα εργαλεία του ΓΚΠΔ, και θα παρέχει περαιτέρω καθοδήγηση σχετικά με τις αποφάσεις περί επάρκειας, την πιστοποίηση, τους κώδικες δεοντολογίας τις δεσμευτικές διαδικασίες εταιρικών κανόνων, και με την πρακτική εφαρμογή των εν λόγω εργαλείων.

5) Ετήσια έκθεση ΑΠΔΠΧ για το έτος 2022

Σας διαβιβάζουμε τέλος την τελευταία απολογιστική έκθεση της Αρχής για το έτος 2022, όπου γίνεται μνεία στην απόφαση 1/2022 (ενότητα 3.1.5.) που αφορά σε ασφαλιστική εταιρία. Ειδικότερα στην Αρχή υποβλήθηκε καταγγελία ασφαλισμένου για παράνομη επεξεργασία, ο ασφαλισμένος παραπονέθηκε για την αποστολή σε αυτόν φακέλου (ο οποίος εμπεριείχε επιστολή σχετικά με την πάροδο προθεσμίας καταβολής των ασφαλίστρων), στην εξωτερική πλευρά του οποίου αναγραφόταν η ένδειξη του αντικειμένου της επιστολής (προειδοποίηση ακύρωσης ασφαλιστηρίου συμβολαίου), με αποτέλεσμα να γίνονται γνωστά προσωπικά δεδομένα του καταγγέλλοντος σε τρίτα πρόσωπα. Με την απόφαση 1/2022 η Αρχή έκρινε ότι η καταγγελλόμενη επεξεργασία έγινε κατά παράβαση της αρχής της ελαχιστοποίησης των δεδομένων κατ’ άρθρο 5 παράγραφος 1 στοιχείο γ’ του ΓΚΠΔ, καθώς για την αποστολή του φακέλου στον παραλήπτη ασφαλισμένο και την ταυτοποίησή του αρκούσε η αναγραφή του ονοματεπωνύμου, της ταχυδρομικής διεύθυνσης και του ταχυδρομικού κώδικα του παραλήπτη- καταγγέλλοντος/ασφαλισμένου, τα δε περαιτέρω αναγραφόμενα στην εξωτερική όψη του φακέλου δεν ήταν πρόσφορα και αναλογικά σε σχέση με τον σκοπό που εξυπηρετούσε η συγκεκριμένη επεξεργασία και απηύθυνε επίπληξη στην ασφαλιστική εταιρεία για την ως άνω παράβαση. Επιπλέον, με την ίδια απόφαση η Αρχή έδωσε εντολή στην ασφαλιστική εταιρεία όπως εφεξής επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα συμμορφούμενη με τις επιταγές του ΓΚΠΔ , συμπεριλαμβανόμενης της αρχής της αναλογικότητας.

Συντάκτης

Δείτε Επίσης

Τελευταία άρθρα