Περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα και μη ορισμός ΥΠΔ
Πρόστιμο ύψους 75.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στο Υπουργείο Τουρισμού για παραβίασης της νομοθεσίας περί προσωπικών δεδομένων.
Συγκεκριμένα, η Αρχή εξέτασε αναφορά, σύμφωνα με την οποία υπήρξε περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα από πλατφόρμα του Υπουργείου Τουρισμού.
Ειδικότερα, κατά την προσπάθεια πολίτη να εισάγει τα διαπιστευτήριά του (κωδικοί TAXISNET) στην εν λόγω πλατφόρμα, του εμφανίστηκαν τα στοιχεία αίτησης άλλου προσώπου, τα οποία περιλάμβαναν ονοματεπώνυμο, ΑΦΜ, ΑΜΚΑ, ταχυδρομική διεύθυνση, τηλέφωνο, email, ενώ υπήρχαν και πεδία με τυχόν στοιχεία αναπηρίας. Για το εν λόγω περιστατικό δεν υποβλήθηκε γνωστοποίηση στην Αρχή.
Κατά την εξέταση της υπόθεσης διαπιστώθηκε περαιτέρω ότι το Υπουργείο Τουρισμού δεν είχε ορίσει Υπεύθυνο Προστασίας Δεδομένων κατά το επίμαχο διάστημα, παρά το ότι στην ως άνω πλατφόρμα αναφερόταν ηλεκτρονική διεύθυνση του ΥΠΔ για επικοινωνία με τους χρήστες της πλατφόρμας – η οποία ηλεκτρονική διεύθυνση ήταν, όπως αποδείχτηκε, μη ενεργή. Ο ορισμός ΥΠΔ τελικά έγινε έναν χρόνο μετά το επίμαχο περιστατικό.
Μεταξύ άλλων, η απόφαση της Αρχής αναφέρει:
Αναφορικά με το υπό εξέταση περιστατικό παραβίασης δεδομένων, προκύπτει ότι υπήρξαν αμέσως ενέργειες από τον υπεύθυνο επεξεργασίας για τη διερεύνηση και την αντιμετώπισή του.
Σημειώνεται ότι για τεχνικά θέματα ασφάλειας της επεξεργασίας προκύπτει ότι τη σχετική αρμοδιότητα την έχουν οι εκτελούντες την επεξεργασία, ήτοι το Υπουργείο Ψηφιακής Διακυβέρνησης ως προς το σκέλος ιδίως της αυθεντικοποίησης των χρηστών και η THREENITAS Α.Ε. ως προς την υλοποίηση της πλατφόρμας για την παροχή evoucher στο πλαίσιο του προγράμματος – ως εκ τούτου, η ενέργεια του υπευθύνου επεξεργασίας να αποταθεί αμέσως στο Υπουργείο Ψηφιακής Διακυβέρνησης, αλλά και να διακόψει προσωρινά τη λειτουργία της πλατφόρμας, κρίνεται ως ορθή. Επίσης, το πρόσθετο μέτρο ασφάλειας που υλοποιήθηκε για την αντιμετώπισή του, όπως προτάθηκε από τη THREENITAS Α.Ε. (ήτοι η χρήση δεύτερου παράγοντα αυθεντικοποίησης) είναι στη σωστή κατεύθυνση, αν και δεν σχετίζεται με τη γενεσιουργό αιτία του περιστατικού – η οποία μάλιστα δεν κατέστη εφικτό να προσδιοριστεί. Τα ζητήματα που εγείρονται ως προς το εν λόγω περιστατικό παραβίασης είναι τα εξής:
Α) Για την εν λόγω επεξεργασία δεν υπήρχε σύμβαση ή άλλη νομική πράξη κατά την περίοδο που έλαβε χώρα το εν λόγω περιστατικό. Συγκεκριμένα, δεν υπήρχε σύμβαση του Υπουργείου Ψηφιακής Διακυβέρνησης (εκτελών την επεξεργασία) με τη THREENITAS Α.Ε. (υπο-εκτελούσα την επεξεργασία), αφού αυτή υπογράφηκε το Σεπτέμβριο του 2020, ενώ δεν προκύπτει ότι ζητήθηκε η (έστω και γενικού τύπου) άδεια του Υπουργείου Τουρισμού, ως υπευθύνου επεξεργασίας, για την εν λόγω ανάθεση (αν και προκύπτει ότι ο υπεύθυνος επεξεργασίας γνώριζε την εν λόγω ανάθεση).
Περαιτέρω, το μνημόνιο συνεργασίας μεταξύ του Υπουργείου Τουρισμού, υπευθύνου επεξεργασίας, και του Υπουργείου Ψηφιακής Διακυβέρνησης, εκτελούντα την επεξεργασία, στο οποίο προσδιορίζεται και ο ρόλος της ΕΔΥΤΕ Α.Ε., καταρτίστηκε επίσης το Σεπτέμβριο του 2020, ήτοι αφού είχε ξεκινήσει η εν λόγω επεξεργασία και μετά το υπό εξέταση περιστατικό παραβίασης.
Όπως αναφέρει ο υπεύθυνος επεξεργασίας, η εν λόγω καθυστέρηση οφείλεται στο ότι ήταν κατεπείγον να αρχίσει η εν λόγω επεξεργασία, λόγω της πανδημίας και με σκοπό την ενίσχυση του εσωτερικού τουρισμού και τη στήριξη της εγχώριας τουριστικής αγοράς (σκοπός που σαφώς υπάγεται στο δημόσιο συμφέρον).
Ωστόσο, η μη έγγραφη σύμβαση ή άλλη νομική πράξη, πέραν του ότι αποτελεί παράβαση του άρθρου 28 παρ. 9 του ΓΚΠΔ6, δεν επιτρέπει και τον καθορισμό μίας σαφούς διαδικασίας για την αντιμετώπιση περιστατικών παραβίασης, με σαφή διάκριση και προσδιορισμό του ρόλου και της ευθύνης του κάθε φορέα (τόσο του υπευθύνου επεξεργασίας, όσο και των εκτελούντων). Φαίνεται λοιπόν ότι ακολουθήθηκε μία «ad hoc» διαδικασία αντιμετώπισης του περιστατικού, από την οποία τελικά ο υπεύθυνος επεξεργασίας δεν κατέστη εφικτό να ανακαλύψει, διά των εκτελούντων την επεξεργασία, την πηγή του εν λόγω περιστατικού: όπως προκύπτει από τα στοιχεία του φακέλου της υπόθεσης, ο υπεύθυνος επεξεργασίας, πέραν των ηλεκτρονικών μηνυμάτων τα οποία αντηλλάγησαν κατά το πρώτο 24ωρο από τη στιγμή που έγινε γνωστό το περιστατικό, ζήτησε – μετά τα έγγραφα της Αρχής με τα οποία ζητούνταν οι απόψεις του – περαιτέρω απόψεις από το Υπουργείο Ψηφιακής Διακυβέρνησης, χωρίς να λάβει απάντηση. Περίπου ένα έτος μετά το περιστατικό (ήτοι τον Ιούνιο του 2021), ζήτησε και έλαβε απάντηση από τον ΥΠΔ της αναδόχου Threenitas, σύμφωνα με την οποία δεν υπήρχε έκταση στο περιστατικό ενώ το συγκεκριμένο σφάλμα δεν κατέστη εφικτό να αναπαραχθεί, τελικώς δε, απόψεις της ΓΓΠΣΔΔ του Υπουργείου Ψηφιακής Διακυβέρνησης εστάλησαν μετά και την ακρόαση του υπευθύνου επεξεργασίας ενώπιον της Αρχής, ενώ επίσης μετά την ακρόαση ζητήθηκαν εκ νέου και ελήφθησαν οι απόψεις της THREENITAS.
Σε κάθε περίπτωση, διατυπώνονται μόνο εικασίες ως προς τη γενεσιουργό αιτία του περιστατικού, οι οποίες σχετίζονται ιδίως με το ενδεχόμενο σφάλματος έτοιμων βιβλιοθηκών λογισμικού που χρησιμοποιήθηκαν, χωρίς να εντοπίζεται σαφώς η αιτία του. Τα ανωτέρω συνιστούν παράβαση των θεμελιωδών προϋποθέσεων περί λήψης κατάλληλων οργανωτικών και τεχνικών μέτρων για την ασφάλεια της επεξεργασίας, σύμφωνα με τo άρθρo 32 του ΓΚΠΔ, σε συνάρτηση με το άρθρο 24, καθώς ο υπεύθυνος επεξεργασίας δεν έλαβε υπόψη τους κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων για τον καθορισμό των μέτρων ασφάλειας. Επισημαίνεται επίσης ότι η απουσία καθορισμού των εκτελούντων την επεξεργασία οδηγεί σε αυξημένους κινδύνους, όπως με τη χρήση υπό-εκτελούντων την επεξεργασία οι οποίοι ενδέχεται να μην καλύπτουν τις απαιτήσεις του ΓΚΠΔ, ή να μην έχουν ληφθεί τα κατάλληλα μέτρα για τη χρήση αυτών.
Ειδικά επισημαίνεται η αναφορά σε χρήση των υπηρεσιών «υπολογιστικού νέφους» (cloud) της εταιρείας Amazon, γεγονός το οποίο ενδέχεται να σημαίνει ότι υπήρξε διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός ΕΕ. Σε κάθε περίπτωση η χρήση του εν λόγω υπολογιστικού νέφους προσθέτει έναν ακόμα εκτελούντα την επεξεργασία στην υπό κρίση δραστηριότητα για την οποία, με δεδομένο ότι η εταιρεία Amazon φαίνεται να ανήκει σε όμιλο επιχειρήσεων που υπόκειται στο δίκαιο των Η.Π.Α., θα έπρεπε να έχει διενεργηθεί ανάλυση σε σχέση με τη νομιμότητά της και με βάση όσα διαλαμβάνονται στις συστάσεις 01/2020 του ΕΣΠΔ7, ενώ το Υπουργείο Τουρισμού, ως υπεύθυνος επεξεργασίας, δεν κατέδειξε ότι ήταν ενήμερο για αυτό κατά τη χρονική περίοδο που έλαβε χώρα το περιστατικό αφού, πέραν της απουσίας συμβάσεων, δεν κάνει οποιαδήποτε σχετική αναφορά.
Β) Δεν υπήρξε γνωστοποίηση του εν λόγω περιστατικού στην Αρχή όπως επιτάσσει το άρθρο 33 του ΓΚΠΔ. Σημειώνεται ότι, σύμφωνα με το άρθρο αυτό, η γνωστοποίηση γίνεται αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
Με βάση τα στοιχεία του φακέλου της υπόθεσης, ο υπεύθυνος επεξεργασίας, με τη γνώση των στοιχείων που διέθετε εντός των πρώτων 72 ωρών από τη στιγμή που έλαβε γνώση αυτού, δεν μπορούσε να θεωρεί ότι δεν ενδέχεται να προκληθεί κίνδυνος για θιγόμενα πρόσωπα, αφού δεν διέθετε σαφή εικόνα της πηγής του περιστατικού, ενώ το ίδιο το περιστατικό, με βάση τη γνώση που είχε ο υπεύθυνος επεξεργασίας, ήδη ενείχε κοινοποίηση δεδομένων, συμπεριλαμβανομένων δεδομένων υγείας, σε τρίτους. Συνεπώς, θα έπρεπε να υποβληθεί η γνωστοποίηση στην Αρχή, λαμβάνοντας εξάλλου υπόψη ότι, σύμφωνα με την παράγραφο 4 του ιδίου άρθρου, «σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση».
Οι ισχυρισμοί του υπευθύνου επεξεργασίας ως προς το ότι δεν προέβη σε γνωστοποίηση στην Αρχή διότι αφενός ο πολίτης είχε ήδη ενημερώσει σχετικώς την Αρχή αλλά και το θιγόμενο πρόσωπο χωρίς το τελευταίο να προβεί σε κάποια ενέργεια και αφετέρου ο υπεύθυνος επεξεργασίας προέβη αμέσως σε ενέργειες αντιμετώπισής του δεν στοιχειοθετούν λόγο να απαλλαγεί ο υπεύθυνος επεξεργασίας από την υποχρέωση γνωστοποίησης κατά το άρθρο 33.
Η Αρχή επέβαλε στο Υπουργείο Τουρισμού διοικητικό πρόστιμο ύψους 75.000 ευρώ, για διαπιστωθείσες παραβιάσεις των άρθρων 13, 32, 33, και 37 του Κανονισμού (ΕΕ) 2016/679, σύμφωνα με το άρθρο 58 παρ. 2 θ΄ του ΓΚΠΔ σε συνδυασμό με το άρθρο 83 παρ. 4 και 5 του ΓΚΠΔ και τα άρθρο 39 παρ. 1 του ν. 4624/2019.
Δείτε αναλυτικά την απόφαση.