Απόφαση 7/2019 ΑΠΔΠΧ- Επιβολή κυρώσεων για παράνομη επεξεργασία και παράλειψη λήψης τεχνικών και οργανωτικών μέτρων.

May 02, 2019: Δίκαιο Πληροφορικής / GDPR & Προσωπικά Δεδομένα

eΘέμις / GDPR & Προσωπικά Δεδομένα / Απόφαση 7/2019 ΑΠΔΠΧ- Επιβολή κυρώσεων για παράνομη επεξεργασία και παράλειψη λήψης τεχνικών και οργανωτικών μέτρων.

Απόφαση 7/2019 ΑΠΔΠΧ- Επιβολή κυρώσεων για παράνομη επεξεργασία και παράλειψη λήψης τεχνικών και οργανωτικών μέτρων.

May 02, 2019 | 3 minutes to read

H εταιρία ONE TEAM συνέλεξε, μεταξύ άλλων, πληροφορίες σχετικές µε πολιτικά φρονήματα, συμμετοχή σε συνδικαλιστική οργάνωση και συμμετοχή σε ενώσεις προσώπων, τα οποία, σύμφωνα µε την επίμαχη Μελέτη, δραστηριοποιούνταν αναφορικά µε το πρόβλημα της δυσοσμίας που προερχόταν από τη λειτουργία των ΕΛΠΕ στην περιοχή της ∆υτικής Θεσσαλονίκης. Η ONE TEAM, συνεπώς, προέβη σε επεξεργασία προσωπικών δεδομένων και δη ευαίσθητων προσωπικών δεδομένων κατά την έννοια του άρθρου 2 περ. δ΄ Ν.247219971. Προκειμένου να είναι νόμιμη η ανωτέρω επεξεργασία θα έπρεπε να πληρούνται οι προϋποθέσεις εφαρμογής των διατάξεων των άρθρων 4 και 7 Ν. 2472/1997. Ειδικότερα, για την επεξεργασία ευαίσθητων προσωπικών δεδομένων απαιτείται, πέρα από την πλήρωση μιας, τουλάχιστον, εκ των προϋποθέσεων που αναφέρονται στο άρθρο 7 παρ. 2 του ως άνω νόμου, ο υπεύθυνος επεξεργασίας να έχει προηγουμένως ζητήσει και λάβει την άδεια της Αρχής.Μάλιστα, κατά τη γενική διάταξη του άρθρου 4 παρ. 2 Ν. 2472/1997 οι υποχρεώσεις του νόμου αναφορικά με την επεξεργασία προσωπικών δεδομένων βαρύνουν τον υπεύθυνο επεξεργασίας. Στον γενικό αυτό κανόνα αντιστοιχεί και η υποχρέωση του υπευθύνου επεξεργασίας να λαμβάνει κατά το άρθρο 10 παρ. 3 τα κατάλληλα μέτρα ασφάλειας. Ειδικότερα, ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τέτοια κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας.

Η επίμαχη συλλογή έλαβε χώρα στο πλαίσιο της ανάληψης από την ΟΝΕ ΤΕΑΜ συμβατικής υποχρέωσης βάσει του από 19/4/2017 ιδιωτικού συμφωνητικού που είχε συνάψει η εν λόγω εταιρία με τα ΕΛΠΕ. Η ONE TEAM, συνεπώς, προέβη στην ανωτέρω επεξεργασία για λογαριασμό των ΕΛΠΕ βάσει του ως άνω συμφωνητικού. Κατ’ αυτόν τον τρόπο, η ONE TEAM αποτέλεσε τον εκτελούντα την επίμαχη επεξεργασία, ενώ τα ΕΛΠΕ αποτέλεσαν τον υπεύθυνο επεξεργασίας κατά τις έννοιες των διατάξεων του άρθρου 2 στοιχ ζ΄ και η΄ Ν. 2472/1997, αντίστοιχα. Για τον σκοπό αυτό, η ΟΝΕ ΤΕΑΜ προχώρησε στη συλλογή προσωπικών δεδομένων, τόσο «απλών», όσο και ευαίσθητων. Για τη συλλογή αναφορικά με τα ευαίσθητα προσωπικά δεδομένα, τα ΕΛΠΕ, ως υπεύθυνος επεξεργασίας, όφειλαν να έχουν λάβει άδεια από την Αρχή, την οποία ούτε αιτήθηκαν και κατ’ επέκταση ούτε έλαβαν. Ανεξαρτήτως αυτού, η εν λόγω επεξεργασία δεν θα μπορούσε πάντως να βρει έρεισμα σε κάποια από τις νομιμοποιητικές βάσεις που προβλέπονται στο άρθρο 7 παρ. 2 Ν. 2472/1997. Εξάλλου, το γεγονός το οποίο επικαλείται η ΟΝΕ ΤΕΑΜ ότι συνέλεξε τα επίμαχα προσωπικά δεδομένα από δημόσια προσβάσιμες πηγές, όπως «ιστοσελίδες, μέσα κοινωνικής δικτύωσης, ιστολόγια, κ.ά.» σε καμία περίπτωση δεν δύναται να καταστήσει την υπό κρίση επεξεργασία νόμιμη, καθώς ο σκοπός της αρχικής ανάρτησης-δημοσιοποίησης των εν λόγω πληροφοριών και δεδομένων είναι άλλος από τον σκοπό για τον οποίο αυτά συνελέγησαν τελικώς από την ΟΝΕ ΤΕΑΜ.

Η Αρχή έχει ήδη κρίνει ότι ως παραβίαση δεδομένων προσωπικού χαρακτήρα νοείται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία σύμφωνα με το άρθρο 10 παρ. 3 Ν. 2472/1997. Οι υποχρεώσεις που απορρέουν από το άρθρο 10 παρ. 3 του ν. 2472/1997 αναφορικά με την ασφάλεια της επεξεργασίας βαρύνουν τον υπεύθυνο επεξεργασίας. Ο υπεύθυνος επεξεργασίας οφείλει επιπλέον να ελέγχει τον εκτελούντα κατά την επεξεργασία.

Για τους λόγους αυτούς η ΑΠΔΧΔ επέβαλε πρόστιμο ύψους 20.000 ευρώ στα ΕΛΠΕ, ως υπεύθυνο επεξεργασίας, για παράνομη επεξεργασία σύμφωνα με τα άρθρα 4, 5 και 7 Ν. 2472/1997 και επιπρόσθετο πρόστιμο ύψους 10.000 ευρώ, για παράλειψη λήψης κατάλληλων οργανωτικών και τεχνικών μέτρων ασφάλειας, σύμφωνα με τα οριζόμενα στο άρθρο 10 Ν. 2472/1997, η οποία οδήγησε σε περιστατικό παραβίασης προσωπικών δεδομένων.

Επιμέλεια: Διονύσης Παυλιόγλου/ Επιστημονικός Συνεργάτης e-Θέμις

O υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τέτοια κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας.

Source/ Author:Απόφαση ΑΠΔΠΧ | Download PDF

LATEST POSTS

ΣτΕ: Δικαστική προστασία κατά το στάδιο που προηγείται της ανάθεσης δημόσιας σύμβασης

ΕΙΔΗΣΕΟΓΡΑΦΙΑ | June 25, 2025

ΣτΕ Ολομ. 1096-1098/2025 Πρόεδρος: Ι. Γράβαρης, Αντιπρόεδρος Εισηγητές: Η. Μάζος, Ό. Παπαδοπούλου, Σύμβουλοι Επικρατείας Δικαστική προστασία κατά το στάδιο που προηγείται της ανάθεσης δημόσιας σύμβασης. Συμβατό ή μη των διατάξεων του άρθρου 372 του ν. 4412/2016, όπως αντικαταστάθηκε με το άρθρο 138 του ν. 4782/2021, προς το Σύνταγμα και την οδηγία 89/665/ΕΟΚ. Προδικαστικό ερώτημα στο ΔΕΕ για τη νομιμότητα της υποχρεωτικής σώρευσης σε ενιαίο δικόγραφο των αιτημάτων προσωρινής και οριστικής προστασίας. Ι. Οι 1096, 1097, 1098/2025 αποφάσεις της Ολομέλειας του Συμβουλίου της Επικρατείας έκριναν επί ζητημάτων ερμηνείας των διατάξεων του άρθρου 372 του ν. 4412/2016, όπως το άρθρο αυτό αντικαταστάθηκε με το άρθρο 138 του ν. 4782/2021, καθώς και συμβατότητας των διατάξεων αυτών προς το Σύνταγμα και την Οδηγία 89/665/ΕΟΚ. Ειδικότερα, με τις ως άνω αποφάσεις κρίθηκαν κατά πλειοψηφία τα ακόλουθα:

Continue Reading
Έκδοση και χορήγηση Προσωπικού Αριθμού μέσω ΚΕΠ και Προξενικών Αρχών

ΕΙΔΗΣΕΟΓΡΑΦΙΑ | June 25, 2025

Πλέον, οι πολίτες έχουν τη δυνατότητα να εκδώσουν Προσωπικό Αριθμό (Π.Α.) μέσω των ΚΕΠ και των Προξενικών Αρχών ως επέκταση της εφαρμογής myInfo – Επιβεβαίωση Στοιχείων Πολιτών, η οποία τέθηκε σε λειτουργία στις 3/6/2025 μέσω της ενιαίας ψηφιακής πύλης. Όπως και μέσω της εφαρμογής myInfo, κάθε πολίτης μπορεί να εξυπηρετείται με φυσική παρουσία από υπάλληλο των ΚΕΠ και έμμισθων Προξενικών Αρχών για να ελέγχει και να επιβεβαιώνει τα προσωπικά του στοιχεία, όπως αυτά τηρούνται στα βασικά μητρώα του Δημοσίου. Με αυτόν τον τρόπο διασφαλίζεται η ακρίβεια και η συνέπεια των καταχωρημένων στοιχείων, ενώ ταυτόχρονα δίνεται η δυνατότητα έκδοσης και χορήγησης του Π.Α. Αξίζει να σημειωθεί ότι η συγκεκριμένη υπηρεσία παρέχεται μόνο από ειδικά εξουσιοδοτημένους υπαλλήλους σε κάθε ΚΕΠ ή έμμισθη προξενική αρχή. Ήδη από την πρώτη ημέρα λειτουργίας της, η νέα υπηρεσία εξυπηρέτησε σχεδόν 770 πολίτες.

Continue Reading
Δ.Α.Ο.Ε.: Εξαρθρώθηκε εγκληματική οργάνωση που διέπραττε κακουργηματικές απάτες

ΕΙΔΗΣΕΟΓΡΑΦΙΑ | June 24, 2025

ΔΕΛΤΙΟ ΤΥΠΟΥ Δ.Α.Ο.Ε.: Εξαρθρώθηκε εγκληματική οργάνωση που διέπραττε κακουργηματικές απάτες σε βάρος του Ελληνικού Δημοσίου και της Ευρωπαϊκής Ένωσης Τα μέλη υπέβαλαν ψευδές αιτήσεις αποζημίωσης ενοικίου (COVID-19), επιστρεπτέων προκαταβολών, επιδοτήσεων ΕΣΠΑ και εισφορών ΕΦΚΑ Συνελήφθησαν -6- μέλη της οργάνωσης, καθώς και ακόμη -2- άτομα Στη δικογραφία περιλαμβάνονται ακόμη -6- μέλη της οργάνωσης Το παράνομο οικονομικό όφελος ξεπερνάει τα -5.700.000- ευρώ

Continue Reading