ΑΝΑΚΟΙΝΩΣΗ ΕΠΙΤΡΟΠΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Επιβολή διοικητικού προστίμου ύψους €925.000 στην εταιρεία WS WiSpear Systems Ltd
Εισπράχθηκε διοικητικό πρόστιμο ύψους εννιακοσίων είκοσι πέντε χιλιάδων ευρώ (€925.000) από την πιο πάνω εταιρεία, κατόπιν Απόφασης που εξέδωσα, για εκ μέρους της παραβίαση της Αρχής της Νομιμότητας, Αντικειμενικότητας και Διαφάνειας που καθιερώνει το Άρθρο 5(1)(α) του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ).
Η περίπτωση αφορούσε στην πολύκροτη υπόθεση του «βαν». Το Γραφείο μου είχε στενή συνεργασία με την Αστυνομία για την υπόθεση αυτή από το Νοέμβριο του 2019 και είχα εκδώσει σχετική Γνώμη, προς υποβοήθηση του ανακριτικού έργου. Με την ολοκλήρωση της ποινικής διερεύνησης, που έλαβε υπόψιν και τη συνδρομή του Γραφείου μου, ο φάκελος της υπόθεσης μεταφέρθηκε στη Νομική Υπηρεσία. Αφού η εταιρεία ενημερώθηκε για τα αποτελέσματα της έρευνας, απέστειλε στο Γραφείο μου επιστολή με την οποία, στην ουσία παραδέχτηκε την ευθύνη της για την πιο πάνω παραβίαση.
Για την επιβολή του προστίμου έλαβα υπόψιν διάφορους επιβαρυντικούς αλλά και μετριαστικούς παράγοντες, όπως την παραδοχή της εταιρείας προς το Γραφείο μου και την επιβεβαίωση που έλαβα από τη Νομική Υπηρεσία ότι, από την έρευνα των εμπειρογνωμόνων, δεν διαπιστώθηκε οποιαδήποτε παρακολούθηση συσκευής ή υποκλοπή οποιασδήποτε ιδιωτικής επικοινωνίας.
Στην Απόφασή μου κατέληξα ότι, δραστηριότητες της εταιρείας, που είχαν ως αποτέλεσμα τη συλλογή δεδομένων Mac Address (Media Access Control Address) και IMSI (International Mobile Subscriber Identity) διαφόρων συσκευών, στα πλαίσια δοκιμών και παρουσιάσεων των τεχνολογιών, που η εταιρεία διενεργούσε κατά τον ουσιώδη χρόνο, χωρίς να το γνωρίζουν οι χρήστες των συσκευών, συνιστούσε παραβίαση της Αρχής της Νομιμότητας, Αντικειμενικότητας και Διαφάνειας.
Τα Mac Addresses είναι μοναδικοί αριθμοί που αναγνωρίζουν μία συσκευή όταν συνδέεται στο διαδίκτυο. Το IMSI είναι μοναδικός αριθμός, που περιέχεται σε κάρτες SIM (Subscriber Identity Module) και αναγνωρίζει ένα συνδρομητή όταν συνδέεται με το δίκτυο του παρόχου του. Τα δεδομένα αυτά, σε συνδυασμό με την γεωγραφική θέση μίας συσκευής, σε διαφορετικούς χρόνους, μπορεί να οδηγήσουν στην ταυτοποίηση του χρήστη της συσκευής.
Η επιβολή του διοικητικού προστίμου δεν αφορά στις οποιεσδήποτε τυχόν ποινικές ευθύνες της εταιρείας, ήθελε κριθούν.Πηγή: dataprotection.gov.cy