Θεματική ενότητα:
10. Υπηρεσίες ηλεκτρονικής επικοινωνίας
Εφαρμοζόμενες διατάξεις:
ΓΚΠΔ: Άρθρο 4.1 : Δεδομένα προσωπικού χαρακτήρα (ορισμός)
ΓΚΠΔ: Άρθρο 4.5 : Ψευδωνυμοποίηση (ορισμός)
ΓΚΠΔ: Άρθρο 5.1 : Αρχές επεξεργασίας δεδομένων
ΓΚΠΔ: Άρθρο 5.2 : Αρχή της λογοδοσίας
ΓΚΠΔ: Άρθρο 6.1.α : Νομική βάση συγκατάθεσης
ΓΚΠΔ: Άρθρο 6.4 : Συμβατότητα επεξεργασίας για άλλο σκοπό
ΓΚΠΔ: Άρθρο 12 : Διαφανής ενημέρωση
ΓΚΠΔ: Άρθρο 13 : Πληροφορίες κατά τη συλλογή από το υποκείμενο των δεδομένων
ΓΚΠΔ: Άρθρο 14 : Πληροφορίες όταν η συλλογή δεν γίνεται από το υποκείμενο των δεδομένων
ΓΚΠΔ: Άρθρο 24 : Ευθύνη του υπευθύνου επεξεργασίας
ΓΚΠΔ: Άρθρο 24.2 : Eφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων
ΓΚΠΔ: Άρθρο 25.1 : Προστασία των δεδομένων ήδη από το σχεδιασμό
ΓΚΠΔ: Άρθρο 26 : Από κοινού υπεύθυνοι επεξεργασίας
ΓΚΠΔ: Άρθρο 28 : Εκτελών την επεξεργασία (ρυθμίσεις)
ΓΚΠΔ: Άρθρο 32 : Ασφάλεια επεξεργασίας
ΓΚΠΔ: Άρθρο 35 : Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων
ΓΚΠΔ: Άρθρο 83 : Γενικοί όροι επιβολής διοικητικών προστίμων
ν.3471/2006: Άρθρο 95 : Σχέση με την οδηγία 2002/58/ΕΚ
ν.3471/2006: Άρθρο 2.3 : Δεδομένα κίνησης (ορισμός)
ν.3471/2006: Άρθρο 2.4 : Δεδομένα θέσης (ορισμός)
ν.3471/2006: Άρθρο 5 : Κανόνες επεξεργασίας (ePrivacy)
ν.3471/2006: Άρθρο 6 : Επεξεργασία δεδομένων κίνησης και θέσης (ePrivacy)
ν.3471/2006: Άρθρο 12.1 : Ασφάλεια Επεξεργασίας (ePrivacy)
ν.3471/2006: Άρθρο 12.5 : Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα (ePrivacy)
Άρθρο 12.6 : Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα (ePrivacy)
Περίληψη
Κατόπιν γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων εκ μέρους της εταιρείας COSMOTE (διαρροή δεδομένων κλήσεων συνδρομητών το χρονικό διάστημα 1/9/2020 – 5/9/2020), η Αρχή διερεύνησε τις συνθήκες υπό τις οποίες έλαβε χώρα το περιστατικό και, στο πλαίσιο αυτό, εξέτασε τη νομιμότητα της τήρησης των αρχείων που διέρρευσαν καθώς και τα εφαρμοζόμενα μέτρα ασφάλειας. Πρόκειται για ένα αρχείο που περιλαμβάνει δεδομένα κίνησης των συνδρομητών και το οποίο, αφενός μεν, τηρείται με σκοπό τη διαχείριση προβλημάτων και βλαβών για 90 ημέρες από την πραγματοποίηση των κλήσεων, αφετέρου δε, το αρχείο «ανωνυμοποιείται» (ψευδωνυμοποιείται) και τηρείται για 12 μήνες με σκοπό την εξαγωγή στατιστικών συμπερασμάτων προς τον βέλτιστο σχεδιασμό του δικτύου κινητής τηλεφωνίας, αφού εμπλουτιστεί με επιπλέον απλά προσωπικά δεδομένα.
Από τη διερεύνηση της υπόθεσης προέκυψε παράβαση, εκ μέρους της COSMOTE, της αρχής της νομιμότητας (άρθρα 5 και 6 ν. 3471/2006) και της αρχής της διαφάνειας, λόγω ασαφούς και ελλιπούς ενημέρωσης των συνδρομητών (άρθρο 5 παρ. 1 α) και 13-14 Γενικού Κανονισμού Προστασίας Δεδομένων - ΓΚΠΔ), παράβαση του άρθρου 35 παρ. 7 ΓΚΠΔ λόγω πλημμελούς διεξαγωγής της εκτίμησης αντικτύπου, παράβαση των άρθρων 25 παρ. 1 λόγω πλημμελούς υλοποίησης της διαδικασίας ανωνυμοποίησης, παράβαση του άρθρου 12 παρ. 1 ν. 3471/2006 λόγω ελλιπών μέτρων ασφαλείας και παράβαση του άρθρου 5 παρ. 2 σε συνδυασμό με τα άρθρα 26 και 28 λόγω μη κατανομής των ρόλων των δύο εταιρειών σε σχέση με την υπό κρίση επεξεργασία. Επίσης, διαπιστώθηκε, εκ μέρους του ΟΤΕ, παράβαση του άρθρου 32 ΓΚΠΔ λόγω ελλιπών μέτρων ασφάλειας σε σχέση με τις υποδομές που χρησιμοποιήθηκαν στο πλαίσιο του περιστατικού.
Για τις διαπιστωθείσες παραβάσεις και λαμβανομένων υπόψη των κριτηρίων του άρθρου 83 παρ. 2 ΓΚΠΔ, η Αρχή επέβαλε στην COSMOTE πρόστιμο συνολικού ύψους 6.000.000 €, καθώς και κύρωση διακοπής της επεξεργασίας και καταστροφής δεδομένων, ενώ στον ΟΤΕ επέβαλε πρόστιμο ύψους 3.250.000 €.
Πληροφορίες: www.dpa.gr/el
Παρατηρήσεις: Απόφαση - Αρχή Προστασίας Δεδομένων - 27 Ιανουαρίου 2022 - Αριθμός Απόφασης: 4
Δημοσίευση Σχολίου