Στο πλαίσιο του μηχανισμού μιας στάσης του Γενικού Κανονισμού Προστασίας Δεδομένων, η Γαλλική Αρχή Προστασίας Δεδομένων CNIL έλαβε από την Ιρλανδική Αρχή τρεις καταγγελίες υποκειμένων για την παραβίαση των δεδομένων τους.
Οι καταγγέλλοντες ισχυρίστηκαν ότι έλαβαν ομαδικό ηλεκτρονικό μήνυμα από εταιρεία που εδρεύει στη Γαλλία, χωρίς να έχει γίνει απόκρυψη των στοιχείων τους. Αποτέλεσμα αυτού ήταν να είναι ορατή από όλους τους αποδέκτες η ηλεκτρονική διεύθυνση ενός εκάστου εξ αυτών.
Η CNIL ήλθε σε επικοινωνία με τον/την DPO της εταιρείας προκειμένου να λάβει τις απόψεις του για το καταγγελλόμενο περιστατικό.
O/η DPO ισχυρίστηκε πως το περιστατικό αφορά σε 37 διευθύνσεις ηλεκτρονικού ταχυδρομείου, κάποιες εκ των οποίων ήταν εταιρικές, ενώ απέδωσε την αβλεψία αυτή σε ανθρώπινο λάθος.
Περαιτέρω, ισχυρίστηκε πως δεν κρίθηκε αναγκαίο να ενημερωθούν τα υποκείμενα των δεδομένων, κατά το άρθρο 34 ΓΚΠΔ, λόγω του χαρακτήρα των προσωπικών δεδομένων που τέθηκαν σε κίνδυνο.
Η γαλλική Αρχή δεν φάνηκε να διαφωνεί με τον ισχυρισμό αυτό, ωστόσο υπενθύμισε και την υποχρέωση του άρθρου 33 του Γενικού Κανονισμού.
Σύμφωνα με την CNIL, ακόμη και αν δεχθούμε ότι ο κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων δεν υπήρξε υψηλός, ώστε να απαιτείται η ανακοίνωση της παραβίασης σε αυτούς, δεν παύει να υφίσταται, έστω και σε περιορισμένο βαθμό.
Κατά συνέπεια, η εταιρεία όφειλε να έχει εκπληρώσει την υποχρέωσή της να γνωστοποιήσει την παραβίαση στην εποπτική αρχή.
Για την παράβλεψη αυτή, η CNIL απηύθυνε επίπληξη στην εταιρεία.
Η απόφαση [EDPBI:FR:OSS:D:2021:169] είναι διαθέσιμη στο αρχείο αποφάσεων του άρθρου 60 του ΕΣΠΔ.