Απόφαση 7/2019 ΑΠΔΠΧ- Επιβολή κυρώσεων για παράνομη επεξεργασία και παράλειψη λήψης τεχνικών και οργανωτικών μέτρων.

Απόφαση 7/2019 ΑΠΔΠΧ- Επιβολή κυρώσεων για παράνομη επεξεργασία και παράλειψη λήψης τεχνικών και οργανωτικών μέτρων.

H εταιρία ONE TEAM συνέλεξε, μεταξύ άλλων, πληροφορίες σχετικές µε πολιτικά φρονήματα, συμμετοχή σε συνδικαλιστική οργάνωση και συμμετοχή σε ενώσεις προσώπων, τα οποία, σύμφωνα µε την επίμαχη Μελέτη, δραστηριοποιούνταν αναφορικά µε το πρόβλημα της δυσοσμίας που προερχόταν από τη λειτουργία των ΕΛΠΕ στην περιοχή της ∆υτικής Θεσσαλονίκης. Η ONE TEAM, συνεπώς, προέβη σε επεξεργασία προσωπικών δεδομένων και δη ευαίσθητων προσωπικών δεδομένων κατά την έννοια του άρθρου 2 περ. δ΄ Ν.247219971. Προκειμένου να είναι νόμιμη η ανωτέρω επεξεργασία θα έπρεπε να πληρούνται οι προϋποθέσεις εφαρμογής των διατάξεων των άρθρων 4 και 7 Ν. 2472/1997. Ειδικότερα, για την επεξεργασία ευαίσθητων προσωπικών δεδομένων απαιτείται, πέρα από την πλήρωση μιας, τουλάχιστον, εκ των προϋποθέσεων που αναφέρονται στο άρθρο 7 παρ. 2 του ως άνω νόμου, ο υπεύθυνος επεξεργασίας να έχει προηγουμένως ζητήσει και λάβει την άδεια της Αρχής.Μάλιστα, κατά τη γενική διάταξη του άρθρου 4 παρ. 2 Ν. 2472/1997 οι υποχρεώσεις του νόμου αναφορικά με την επεξεργασία προσωπικών δεδομένων βαρύνουν τον υπεύθυνο επεξεργασίας. Στον γενικό αυτό κανόνα αντιστοιχεί και η υποχρέωση του υπευθύνου επεξεργασίας να λαμβάνει κατά το άρθρο 10 παρ. 3 τα κατάλληλα μέτρα ασφάλειας. Ειδικότερα, ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τέτοια κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας.

Η επίμαχη συλλογή έλαβε χώρα στο πλαίσιο της ανάληψης από την ΟΝΕ ΤΕΑΜ συμβατικής υποχρέωσης βάσει του από 19/4/2017 ιδιωτικού συμφωνητικού που είχε συνάψει η εν λόγω εταιρία με τα ΕΛΠΕ. Η ONE TEAM, συνεπώς, προέβη στην ανωτέρω επεξεργασία για λογαριασμό των ΕΛΠΕ βάσει του ως άνω συμφωνητικού. Κατ’ αυτόν τον τρόπο, η ONE TEAM αποτέλεσε τον εκτελούντα την επίμαχη επεξεργασία, ενώ τα ΕΛΠΕ αποτέλεσαν τον υπεύθυνο επεξεργασίας κατά τις έννοιες των διατάξεων του άρθρου 2 στοιχ ζ΄ και η΄ Ν. 2472/1997, αντίστοιχα. Για τον σκοπό αυτό, η ΟΝΕ ΤΕΑΜ προχώρησε στη συλλογή προσωπικών δεδομένων, τόσο «απλών», όσο και ευαίσθητων. Για τη συλλογή αναφορικά με τα ευαίσθητα προσωπικά δεδομένα, τα ΕΛΠΕ, ως υπεύθυνος επεξεργασίας, όφειλαν να έχουν λάβει άδεια από την Αρχή, την οποία ούτε αιτήθηκαν και κατ’ επέκταση ούτε έλαβαν. Ανεξαρτήτως αυτού, η εν λόγω επεξεργασία δεν θα μπορούσε πάντως να βρει έρεισμα σε κάποια από τις νομιμοποιητικές βάσεις που προβλέπονται στο άρθρο 7 παρ. 2 Ν. 2472/1997. Εξάλλου, το γεγονός το οποίο επικαλείται η ΟΝΕ ΤΕΑΜ ότι συνέλεξε τα επίμαχα προσωπικά δεδομένα από δημόσια προσβάσιμες πηγές, όπως «ιστοσελίδες, μέσα κοινωνικής δικτύωσης, ιστολόγια, κ.ά.» σε καμία περίπτωση δεν δύναται να καταστήσει την υπό κρίση επεξεργασία νόμιμη, καθώς ο σκοπός της αρχικής ανάρτησης-δημοσιοποίησης των εν λόγω πληροφοριών και δεδομένων είναι άλλος από τον σκοπό για τον οποίο αυτά συνελέγησαν τελικώς από την ΟΝΕ ΤΕΑΜ.

Η Αρχή έχει ήδη κρίνει ότι ως παραβίαση δεδομένων προσωπικού χαρακτήρα νοείται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία σύμφωνα με το άρθρο 10 παρ. 3 Ν. 2472/1997. Οι υποχρεώσεις που απορρέουν από το άρθρο 10 παρ. 3 του ν. 2472/1997 αναφορικά με την ασφάλεια της επεξεργασίας βαρύνουν τον υπεύθυνο επεξεργασίας. Ο υπεύθυνος επεξεργασίας οφείλει επιπλέον να ελέγχει τον εκτελούντα κατά την επεξεργασία.

Για τους λόγους αυτούς η ΑΠΔΧΔ επέβαλε πρόστιμο ύψους 20.000 ευρώ στα ΕΛΠΕ, ως υπεύθυνο επεξεργασίας, για παράνομη επεξεργασία σύμφωνα με τα άρθρα 4, 5 και 7 Ν. 2472/1997 και επιπρόσθετο πρόστιμο ύψους 10.000 ευρώ, για παράλειψη λήψης κατάλληλων οργανωτικών και τεχνικών μέτρων ασφάλειας, σύμφωνα με τα οριζόμενα στο άρθρο 10 Ν. 2472/1997, η οποία οδήγησε σε περιστατικό παραβίασης προσωπικών δεδομένων.

Επιμέλεια: Διονύσης Παυλιόγλου/ Επιστημονικός Συνεργάτης e-Θέμις

O υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τέτοια κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας.