Ο GDPR προβλέπει υψηλά πρόστιμα για μη συμμόρφωση, σε ποιον έχει επιβληθεί όμως το υψηλότερο μέχρι σήμερα και για ποιο λόγο;
Με την 25η Μαΐου να πλησιάζει, το ζήτημα της συμμόρφωσης επιχειρήσεων και οργανισμών με τον Γενικό Κανονισμό για την Προστασία Δεδομένων γίνεται ολοένα και πιο πιεστικό.
Ένας από τους κυριότερους λόγους για τον οποίο όλοι οι παράγοντες της αγοράς, ανεξαρτήτως μεγέθους, βρίσκονται σε εγρήγορση, είναι σίγουρα τα υψηλά διοικητικά πρόστιμα που προβλέπονται στον GDPR, και τα οποία δύνανται να ανέλθουν στα 20 εκατομμύρια ευρώ ή, σε περίπτωση επιχειρήσεων, στο 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους.
Όπως διευκρινίζεται μάλιστα και στο σχέδιο για τον (ελληνικό) νόμο περί προστασίας δεδομένων σε εφαρμογή του GDPR, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μπορεί να επιβάλλει τα πρόστιμα που προβλέπονται στο άρθρο 83 παρ. 4, 5 και 6 του Κανονισμού και σε δημόσιες αρχές και φορείς δημοσίου τομέα.
Αναλυτικές (και κατανοητές) πληροφορίες σχετικά με το ζήτημα της επιβολής διοικητικών προστίμων στον GDPR μπορείτε να βρείτε εδώ.
Όπως, έχει επισημανθεί πολλές φορές, παρά τις καινοτομίες που εισάγει ο GDPR, νομοθετικό πλαίσιο για την προστασία δεδομένων υπήρχε στο παρελθόν, όπως υπάρχει και επί του παρόντος.
Με βάση το πλαίσιο αυτό, στο επίκεντρο του οποίου βρίσκεται ο Νόμος 2472/1997, το ανώτερο προβλεπόμενο πρόστιμο ανέρχεται στις 150.000 ευρώ.
Σε ποια περίπτωση – του πρόσφατου παρελθόντος – έχει επιβληθεί όμως το πρόστιμο αυτό από την Αρχή;
Με την υπ’ αριθμ. 98/2013 απόφασή της, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε πρόστιμο ύψους 150.000 Ευρώ στη Γενική Γραμματεία Πληροφοριακών Συστημάτων, κρίνοντας ότι παραβίασε την υποχρέωσή της για λήψη κατάλληλων μέτρων ασφάλειας, γεγονός που οδήγησε σε ιδιαίτερα σοβαρό περιστατικό παραβίασης προσωπικών δεδομένων, δηλαδή σε διαρροή δεδομένων που αφορούν το σύνολο σχεδόν των φορολογουμένων στην Ελλάδα.
Σύμφωνα με το σχετικό δελτίο τύπου, η Αρχή ξεκίνησε τον Οκτώβριο του 2012 σειρά διοικητικών ελέγχων σε εταιρείες που δραστηριοποιούνται στον τομέα της εμπορίας δεδομένων προσωπικού χαρακτήρα, ενώ οι έλεγχοι επεκτάθηκαν εντός του 2013 και σε άλλες εταιρείες.
«Κατόπιν επίπονης ανάλυσης, λόγω του όγκου των δεδομένων και της μορφής των ηλεκτρονικών αρχείων, διαπιστώθηκε ότι ορισμένες εξ αυτών είχαν στην κατοχή τους μεγάλο πλήθος φορολογικών δεδομένων φυσικών προσώπων, τα οποία παρέπεμπαν ευθέως στη Γ.Γ.Π.Σ. ως πηγή προέλευσης των δεδομένων και είχαν υποστεί ήδη παράνομη επεξεργασία, αφού βρέθηκαν στην κατοχή εταιρειών.
Σημειωτέον ότι η Αρχή έκτοτε συνεργάσθηκε με την Υποδιεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος, στο μέτρο που είχε ενδείξεις ότι τα ηλεκτρονικά αρχεία τηρούνταν στις οικίες φυσικών προσώπων», σημειώνεται στο σχετικό δελτίο τύπου της Αρχής.
Τα προσωπικά (φορολογικά) δεδομένα που διέρρευσαν αφορούσαν τουλάχιστον τα έτη από το 2000 έως και το 2012 και περιελάμβαναν, μεταξύ άλλων, στοιχεία των εντύπων Ε1, Ε2 και Ε9, στοιχεία του ΕΤΑΚ, του μητρώου φορολογουμένων και στοιχεία τελών κυκλοφορίας οχημάτων.
Η Αρχή σημείωσε στην απόφασή της ότι η Γ.Γ.Π.Σ., παρά τον όγκο των δεδομένων που διαχειριζόταν και την κρισιμότητα αυτών, μέχρι τον Ιούλιο του 2013 δεν διέθετε κατάλληλα μέτρα ασφάλειας για την αποτροπή αθέμιτης πρόσβασης και διάδοσης των δεδομένων, καθώς και μέτρα για την ανίχνευση και διερεύνηση τυχόν περιστατικών παραβίασης προσωπικών δεδομένων.
Αξίζει να σημειωθεί ότι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα απέρριψε έναν χρόνο μετά (απόφαση 117/2014) την αίτηση θεραπείας της Γενικής Γραµµατείας Πληροφοριακών Συστηµάτων, επιβεβαιώνοντας τη νομιμότητα του προστίμου των 150.000 ευρώ.
Την απόφαση μπορείτε να βρείτε εδώ.