Τα δεδομένα παρέμεναν ελεύθερα προσβάσιμα στους χρήστες του διαδικτύου ακόμη και μετά τις αλλεπάλληλες διορθωτικές ενέργειες που κατά τον Δήμο είχαν γίνει
Προσωρινή διαταγή σε βάρος Δήμου εξέδωσε ο Πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μετά τις συνεχείς αποτυχημένες προσπάθειες αυτού για την προστασία των προσωπικών δεδομένων πολιτών από την ελεύθερη πρόσβαση των επισκεπτών του ιστοτόπου του.
Ειδικότερα και σύμφωνα με το κείμενο της προσωρινής διαταγής, στις 20-6-2023 η Αρχή ενημερώθηκε από πολίτη πως «αρχεία με προσωπικά δεδομένα δημοτών του Δήμου Χ ήταν ευχερώς προσπελάσιμα από οποιονδήποτε χρήστη μέσω του ιστότοπου «…», αλλάζοντας τον τελευταίο πενταψήφιο αριθμό που εμφανίζεται στη σχετική ηλεκτρονική (URL) διεύθυνση».
Η Αρχή προέβη σε άμεση προφορική ενημέρωση του Δήμου, ο οποίος προέβη σε άμεση διακοπή της λειτουργίας του ιστοτόπου, ενώ ακολούθως υπέβαλε γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων, σύμφωνα με το άρθρο 33 ΓΚΠΔ. Παράλληλα, με το από 26-6-2023 έγγραφό του, ο Δήμος ενημέρωσε την Αρχή πως «για την αντιμετώπιση του προβλήματος, δεν θα απαιτείται πλέον το ID που διαθέτει κάθε αρχείο για τη λήψη του από τον ιστότοπο αλλά το GUID».
Κατά τη διάρκεια των ερευνών της Αρχής σχετικά με το περιστατικό παραβίασης, ο πολίτης ενημέρωσε την Αρχή στις 3-7-2023 πως ο ιστότοπος είχε καταστεί πάλι διαθέσιμος, «οπότε και τα αρχεία ήταν εκ νέου ευχερώς προσπελάσιμα με τον ίδιο ακριβώς τρόπο», γεγονός που επιβεβαιώθηκε και από την Αρχή. Η Αρχή επικοινώνησε και πάλι τηλεφωνικά με τον Δήμο, ο οποίος προέβη αυθημερόν στην εκ νέου διακοπή λειτουργίας του ιστοτόπου.
Δύο εβδομάδες αργότερα, στις 19-7-2023, και ενώ εκκρεμούσαν οι συμπληρωματικές διευκρινίσεις που είχαν ζητηθεί από την Αρχή ο ιστότοπος κατέστη για τρίτη φορά διαθέσιμος, με τα αρχεία να είναι και πάλι ευχερώς προσβάσιμα κατά τον ίδιο τρόπο που είχε διαπιστωθεί αρχικώς.
Με βάση τις ανωτέρω ενέργειες του Δήμου και λαμβάνοντας υπόψιν τους υψηλούς κινδύνους για μεγάλο αριθμό προσώπων (δημοτών του Δήμου) από την ελεύθερη πρόσβαση στα δεδομένα τους, η Αρχή Προστασίας Δεδομένων δια του Προέδρου της, εξέδωσε την υπ’ αριθμ. 28/2023 προσωρινή διαταγή, με την οποία:
«Διατάσσει τον Δήμο Χ, όπως προβεί σε κάθε αναγκαία ενέργεια ώστε να περιοριστεί η ελεύθερη πρόσβαση των χρηστών του διαδικτύου στα αρχεία με προσωπικά δεδομένα του ανωτέρω ιστότοπου και να εξασφαλιστεί ότι, εφόσον η σχετική εφαρμογή λειτουργεί, αρχεία με προσωπικά δεδομένα χρηστών της είναι διαθέσιμα μόνο σε κατάλληλα εξουσιοδοτημένους χρήστες ή και τα υποκείμενα των δεδομένων χωρίς να είναι ευχερώς προσβάσιμα από λοιπούς χρήστες Διαδικτύου κατά τον τρόπο που περιγράφεται στο ιστορικό της παρούσας, μέχρι εκδόσεως νέας απόφασης της Αρχής».
PDF απόφασης Προσωρινή διαταγή σχετικά με περιστατικό παραβίασης προσωπικών δεδομένων