Παραβίαση υποχρέωσης εμπιστευτικότητας των προσωπικών δεδομένων -ΑΠΔΠΧ απ. 67/2018
Με την από 27/08/18 γνωστοποίηση προς την ΑΠΔΠΧ η υπεύθυνη επεξεργασίας υπό το αρ. 4 στοιχ. 7 ΓΚΠΔ, γνωστοποίησε την παραβίαση της εμπιστευτικότητας των προσωπικών δεδομένων πελατών της εντός 72 ωρών από όταν έλαβε γνώση του περιστατικού. Η εταιρία με νέα γνωστοποίηση στις 30/08/18 συμπλήρωσε τα ακριβή στοιχεία των επηρεαζόμενων πελατών της, επισύναψε τα μηνύματα του ηλεκτρονικού ταχυδρομείου, με τα οποία ενημέρωσε τα υποκείμενα των δεδομένων για την παραβίαση των δεδομένων τους, ενώ απέστειλε στην αρχή μία εμπλουτισμένη λίστα των τεχνικών μέτρων που έλαβε προκειμένου να αποφευχθούν νέα παρόμοια περιστατικά.
Η ΑΠΔΠΧ αφού σκέφτηκε σύμφωνα με το νόμο έκρινε ότι:
1) Από τα στοιχεία του φακέλου της υπόθεσης προκύπτει ότι υπήρξε συμμορφωση µε τις υποχρεώσεις των υπευθύνων επεξεργασίας οι οποίες απορρέουν από τα αρ. 33 και 34 του ΓΚΠ∆ αναφορικά µε τη διαχείριση περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα.
2) Από την ανάλυση των μέτρων ασφάλειας τα οποία η υπεύθυνη επεξεργασίας είχε λάβει πριν το περιστατικό, σε σύγκριση µε τα μέτρα που έλαβε μετά το περιστατικό, και λαμβάνοντας επίσης υπόψη και τον τρόπο µε τον οποίο έλαβε γνώση αυτού, προκύπτει ότι, καίτοι ήδη είχε υιοθετήσει τεχνικά μέτρα ασφάλειας – δεν διέθετε τους κατάλληλους
μηχανισμούς για έγκαιρη ανίχνευση τέτοιου τύπου επιθέσεων ασφαλείας και, κατ’ επέκταση, για την κατά το δυνατόν αποτελεσματική αποτροπή αυτών. Περαιτέρω, δεν είχε λάβει την απαραίτητη μέριμνα για την ενημέρωση του χρησιμοποιούμενου λογισμικού και την άμεση εφαρμογή των ενημερώσεων ασφαλείας του. Πρέπει επίσης να σημειωθεί ότι εκ της φύσεως της συγκεκριμένης επεξεργασίας προσωπικών δεδομένων, προκύπτει ότι ενδεχόμενη παραβίαση δεδομένων ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων – όπως εξάλλου συνέτρεξε στην υπό κρίση περίπτωση – και, κατά συνέπεια, η υπεύθυνη επεξεργασίας, λαμβάνοντας υπόψη τους υψηλούς αυτούς κινδύνους, έπρεπε να υλοποιήσει τα κατάλληλα μέτρα για την αντιμετώπισή τους, συμπεριλαμβανομένης της τακτικής δοκιμής και αξιολόγησης της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για την ασφάλεια της επεξεργασίας. Συνεπώς, βάσει αυτών, υπήρξε παράβαση των διατάξεων του άρ. 32 του ΓΚΠ∆ και, κατά συνέπεια, της θεμελιώδους αρχής της ασφάλειας των δεδομένων (άρ. 5 παρ. 1 στοιχ. στ’ του ΓΚΠ∆).
-Ενόψει των ως άνω παραβάσεων που διαπιστώθηκαν, και λαμβάνοντας επίσης υπόψη
ότι αφενός ο υπεύθυνος επεξεργασίας ενήργησε αμελλητί στην αντιμετώπιση του
περιστατικού συμμορφούμενος και µε το σύνολο των υποχρεώσεων που απορρέουν από τον ΓΚΠ∆ αναφορικά µε τα περιστατικά παραβίασης δεδομένων προσωπικού χαρακτήρα, και αφετέρου ότι η εν λόγω επίθεση ασφαλείας ήταν µία νέου τύπου επίθεση, απηύθηνε βάσει του αρ. 58 παρ. 2 εδ. β’ ΓΚΠΔ επίπληξη στην εταιρία για την παραβίαση διατάξεων του άρ. 32 του Κανονισµού (ΕΕ) 2016/679 και, κατ’ επέκταση, του άρ. άρ. 5 παρ. 1 στοιχ. στ’ αυτού.
Σύμφωνα με το αρ. 5 παρ. 1 ΓΚΠ∆ , τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από µη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, µε τη χρήση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
