Data breach: Μη εφαρμογή κατάλληλων μέτρων για την ταυτοποίηση του συνδρομητή
Με νέα απόφαση της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε διοικητικό πρόστιμο ύψους 2.000 ευρώ σε εταιρεία κινητής τηλεφωνίας για παραβίαση των διατάξεων σχετικά με το απόρρητο και την ασφάλεια της επεξεργασίας προσωπικών δεδομένων (άρθρο 10 Ν. 2472/1997).
Σύμφωνα με την απόφαση, η εταιρεία δεν εφάρμοσε κατάλληλα οργανωτικά µέτρα ασφάλειας σε περίπτωση ταυτοποίησης συνδροµητή, µε αποτέλεσµα περιστατικό παραβίασης προσωπικών δεδοµένων.
Σύμφωνα με την καταγγελία που υποβλήθηκε στην Αρχή, τρίτο πρόσωπο, το οποίο είχε το ίδιο όνοµα και επώνυµο αλλά διαφορετικό πατρώνυµο με τον καταγγέλοντα, προσήλθε σε κατάστηµα του υπευθύνου επεξεργασίας (Vodafone) και προµηθεύτηκε κάρτα sim µε τον τηλεφωνικό αριθµό του καταγγέλλοντος, την οποία χρησιµοποίησε για περίπου δέκα ηµέρες, κατά τις οποίες ελάµβανε τις κλήσεις που προορίζονταν για τον καταγγέλλοντα από συγγενικά του πρόσωπα.
Μετά από επίσκεψη του καταγγέλλοντος σε κατάστηµα του υπευθύνου του επεστράφη ο τηλεφωνικός του αριθµός.
Ο υπεύθυνος επεξεργασίας δήλωσε ότι η ταυτοποίηση του τρίτου κατά τον καταγγέλλοντα έγινε µε επίδειξη του δελτίου αστυνοµικής ταυτότητας. Υποστήριξε, μάλιστα, ότι τηρούσε στο σύστηµά του τον Α∆Τ του καταγγέλλοντος ο οποίος όµως είχε αλλάξει από το 2014, χωρίς ο καταγγέλλων να ενηµερώσει, ως όφειλε, τον υπεύθυνο επεξεργασίας για την αλλαγή αυτή.
Η απόφαση της Αρχής
Λαμβάνοντας υπόψη όλα τα σχετικά στοιχεία, η ΑΠΔΠΧ έκρινε ότι υπήρξε πράγµατι λάθος ταυτοποίηση, διότι κατά το επίµαχο δεκαήµερο ο τρίτος στον οποίο χορηγήθηκε λόγω πληµµελούς ταυτοποίησης η κάρτα SIM και ο τηλεφωνικός αριθµός που ανήκε στον καταγγέλλοντα απαντούσε σε κλήσεις που έκαναν φιλικά ή συγγενικά πρόσωπα στον καταγγέλλοντα και µάλιστα τους έλεγε ότι ο αριθµός του ανήκει και κακώς ισχυρίζεται ο καταγγέλλων ότι είναι δικός του.
Σύμφωνα με την Αρχή, αυτό καταδεικνύει ότι τον αριθµό προηγουµένως τον είχε ο καταγγέλλων και από λάθος ταυτοποίηση δόθηκε στον τρίτο. Άλλωστε όταν υπέπεσε στην αντίληψη του καταγγέλλοντος η παραχώρηση του αριθµού του σε τρίτο πρόσωπο και διαµαρτυρήθηκε στον υπεύθυνο επεξεργασίας, έσπευσαν και του έδωσαν τον αριθµό που του ανήκε, αναγνωρίζοντας έτσι το σφάλµα τους.
Όσον αφορά τον ισχυρισµό του υπευθύνου επεξεργασίας ότι δεν είχε ενηµερωθεί ο Α∆Τ του καταγγέλλοντος στα συστήµατά της από δική του υπαιτιότητα, η Αρχή επισημαίνει ότι δε αίρεται η υπαιτιότητα του υπευθύνου επεξεργασίας για τη µη ορθή ταυτοποίηση του τρίτου ατόµου στο οποίο χορηγήθηκε κατά την αλλαγή της κάρτας ο τηλεφωνικός αριθµός του καταγγέλλοντος, ενόψει του ότι το ∆ελτίο ταυτότητας που έφερε ο τρίτος οπωσδήποτε δεν είχε τον αυτό αριθµό, αλλά και ούτε τα λοιπά στοιχεία, τα οποία δεν ελεγχθήκαν, όπως το πατρώνυµο του ατόµου που τους επέδειξε το Α∆Τ, το οποίο διέφερε µε τα στοιχεία που είχαν καταχωρηµένα στο σύστηµα.
Η Αρχή καταλήγει σημειώνοντας πως, ενόψει του γεγονότος ότι πραγµατοποιήθηκε η παράδοση της κάρτας στο τρίτο πρόσωπο, η ταυτοποίηση που διενεργήθηκε από τον υπεύθυνο επεξεργασίας κρίνεται ως πληµµελής και ελλιπής.
Με βάση τα στοιχεία αυτά, η Αρχή επέβαλε στην εταιρεία «Vodafone-Πάναφον» διοικητικό πρόστιµο δύο χιλιάδων (2.000) ευρώ, απευθύνοντας παράλληλα σύσταση για την προσαρµογή της διαδικασίας ταυτοποίησης των συνδροµητών όταν επισκέπτονται µε φυσική παρουσία καταστήµατα του υπευθύνου επεξεργασίας και τον αυστηρό έλεγχο τήρησής τους.
Δείτε αναλυτικά την απόφαση 140/2017 της Αρχής εδώ.