Δεν τεκμηριώθηκε νομιμοποιητική βάση για την επεξεργασία δεδομένων πολιτών, ενώ δεν ελήφθησαν μέτρα ασφαλείας για την παράνομη διαρροή στο διαδίκτυο
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε στον Όμιλο ΕΛΠΕ (Ελληνικά Πετρέλαια), ως υπεύθυνο επεξεργασίας, πρόστιμα ύψους 20.000 και 10.000 ευρώ για παράνομη επεξεργασία, σύμφωνα με τα άρθρα 4, 5 και 7 του ν. 2472/1997 και για τη μη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων, σύμφωνα με το άρθρο 10 του ως άνω νόμου, αντίστοιχα.
Συγκεκριμένα, κατόπιν δημοσιευμάτων που έκαναν λόγο για παράνομη «χαρτογράφηση πολιτών», η Αρχή εξέτασε αυτεπάγγελτα περίπτωση επεξεργασίας ευαίσθητων προσωπικών δεδομένων που έλαβε χώρα χωρίς την προηγούμενη συγκατάθεση των υποκειμένων των δεδομένων και την άδεια της Αρχής, καθώς η επεξεργασία έλαβε χώρα πριν από την εφαρμογή του ΓΚΠΔ.
Την εν λόγω επεξεργασία είχαν αναθέσει με σύμβαση τα ΕΛΠΕ στην εκτελούσα εταιρία με την επωνυμία «ONE TEAM».
Μάλιστα, η εν λόγω επεξεργασία διέρρευσε στο διαδίκτυο, γεγονός που κανένας από τους εμπλεκόμενους φορείς δεν ήταν σε θέση να εξηγήσει.
Κατά την εξέταση της υπόθεσης, δεν διαπιστώθηκε ούτε τεκμηριώθηκε νομιμοποιητική βάση για την υπό κρίση επεξεργασία και για τον λόγο αυτό κρίθηκε παράνομη και επιβλήθηκε αντίστοιχη κύρωση στον όμιλο ΕΛΠΕ, ως υπεύθυνο επεξεργασίας.
Τέλος, κύρωση επιβλήθηκε και για τη μη λήψη μέτρων ασφαλείας για την παράνομη διαρροή στο διαδίκτυο.
Απόσπασμα της απόφασης
Η Αρχή έχει ήδη κρίνει ότι ως παραβίαση δεδοµένων προσωπικού χαρακτήρα νοείται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνοµη καταστροφή, απώλεια, µεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδοµένων προσωπικού χαρακτήρα που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία σύµφωνα µε το άρθρο 10 παρ. 3 Ν. 2472/1997.
Από το γράµµα και τον σκοπό της διάταξης του άρθρου 10 παρ. 3 Ν. 2472/1997 είναι σαφές ότι η υποχρέωση αυτή του υπευθύνου επεξεργασίας έχει τόσο προληπτικό, όσο και κατασταλτικό χαρακτήρα.
Προληπτικό, ώστε, τα εφαρµοστέα µέτρα να αποτρέψουν περιστατικά παραβίασης προσωπικών δεδοµένων, κατασταλτικό, ώστε τυχόν περιστατικό να µπορεί να ανιχνευθεί και να διερευνηθεί.
Οι υποχρεώσεις που απορρέουν από το ως άνω αναφερόµενο άρθρο 10 παρ. 3 του ν. 2472/1997 αναφορικά µε την ασφάλεια της επεξεργασίας βαρύνουν τον υπεύθυνο επεξεργασίας.
Όταν δε ο υπεύθυνος επεξεργασίας χρησιµοποιεί άλλο πρόσωπο µη εξαρτώµενο από αυτόν, όπως στην υπό κρίση περίπτωση, «η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως».
Ο υπεύθυνος επεξεργασίας οφείλει επιπλέον να ελέγχει τον εκτελούντα κατά την επεξεργασία.
Στην υπό κρίση υπόθεση, η επίµαχη διαρροή συνιστά παραβίαση προσωπικών δεδοµένων κατά τα ανωτέρω εκτεθέντα και αποδεικνύει την έλλειψη επαρκών και κατάλληλων τεχνικών και οργανωτικών µέτρων κατά το άρθρο 10 παρ. 3 του Ν. 2472/1997. Τα ΕΛΠΕ, ως υπεύθυνος επεξεργασίας, όφειλαν να έχουν λάβει τα κατάλληλα οργανωτικά και τεχνικά µέτρα για την ασφάλεια των δεδοµένων που έτυχαν επεξεργασίας και για την προστασία τους από οποιαδήποτε παραβίαση.
Κατά τη διαδικασία εξέτασης της υπόθεσης δεν προσκοµίστηκαν στην Αρχή επαρκή στοιχεία, ώστε να µπορεί να εξακριβωθεί ο τρόπος της επίµαχης διαρροής.Εξάλλου, από το σύνολο του φακέλου της υπόθεσης και όσα τα ίδια τα ΕΛΠΕ υποστήριξαν κατά την ακρόαση της 27.2.2018, προέκυψε ότι τα ΕΛΠΕ δεν προχώρησαν σε κάποιο εσωτερικό έλεγχο µετά τη διαρροή της επίµαχης Μελέτης, προκειµένου να ελέγξουν εάν προήλθε από εκείνα η διαρροή, τον τρόπο µε τον οποίο έλαβε χώρα η διαρροή, κοκ.
Περαιτέρω, από τα στοιχεία που προσκόµισε η εκτελούσα την επεξεργασία ONE TEAM, συµπεριλαµβανοµένου πορίσµατος από ειδικό εµπειρογνώµονα αναφορικά µε τη διαρροή, δεν κατέστησαν δυνατή τη διερεύνηση του περιστατικού παραβίασης.
Κατά τα ανωτέρω, το ως άνω περιστατικό παραβίασης βαρύνει τα ΕΛΠΕ, τα οποία, ως υπεύθυνος επεξεργασίας, όφειλαν να έχουν εξασφαλίσει επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπαγόταν η επίµαχη επεξεργασία και η φύση των δεδοµένων.
Η σχετική απόφαση, υπ’ αριθ. 7/2019, είναι διαθέσιμη στην ιστοσελίδα της Αρχής.