Εράνισμα προσωπικών δεδομένων – 11/2023

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 8/06/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

Α.Π.Δ.Π.Χ. – Επέτειος

Μήνυμα απηύθυνε ο Πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) για την επέτειο των πέντε ετών από την έναρξη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων. Σύμφωνα με αυτό, η εποπτική αρχή ανταποκρίθηκε στον μέγιστο δυνατό βαθμό στις αρμοδιότητες και τα καθήκοντα που της ανατέθηκαν με τον ευρωπαϊκό Κανονισμό και τον εθνικό νόμο 4624/2019. Μεταξύ των πολλών δραστηριοτήτων της την τελευταία πενταετία, εξέτασε σημαντικά ζητήματα και εξέδωσε πλήθος αποφάσεων, γνωμοδοτήσεων και κατευθυντήριων γραμμών, δίδοντας παράλληλα έμφαση και στην ενημέρωση-ευαισθητοποίηση φορέων και πολιτών. Τα τελευταία πέντε έτη υποβλήθηκαν στην ΑΠΔΠΧ 5.508 καταγγελίες και 936 γνωστοποιήσεις παραβίασης δεδομένων. Κατά το ίδιο χρονικό διάστημα επιβλήθηκαν 92 πρόστιμα συνολικού ποσού 31.977.000 ευρώ, ύστερα από εξέταση καταγγελιών ή αυτεπάγγελτους ελέγχους.

Κύπρος – Επέτειος ΙΙ

Ανακοίνωση εξέδωσε και το Γραφείο Επιτρόπου Κύπρου για την επέτειο των πέντε ετών από την έναρξη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων. Σύμφωνα με αυτήν, κατά την εν λόγω περίοδο η εποπτική αρχή χειρίστηκε 397 γνωστοποιήσεις περιστατικών παραβίασης προσωπικών δεδομένων και 2.178 παράπονα, εκ των οποίων τα 651 αφορούσαν σε ανεπιθύμητη επικοινωνία. Το Γραφείο Επιτρόπου εξέδωσε 224 αποφάσεις και επέβαλε διοικητικά πρόστιμα ύψους 1.445.600 ευρώ. Διενήργησε 491 ελέγχους, ενώ έτυχαν διαβούλευσης με αυτή 76 εκτιμήσεις αντικτύπου, καθώς και 177 νομοσχέδια, προτάσεις νόμου και διακρατικές συμφωνίες. Όπως σημειώνεται, οι προκλήσεις που αντιμετωπίζουν οι εποπτικές αρχές είναι αναρίθμητες. Στο πλαίσιο αυτό, το Γραφείο Επιτρόπου εντείνει τις προσπάθειες για την εδραίωση και διατήρηση της κουλτούρας προστασίας δεδομένων.

Γερμανία – Πιστωτικές κάρτες

Πρόστιμο ύψους 300.000 ευρώ επέβαλε η εποπτική αρχή του Βερολίνου σε τράπεζα για την έλλειψη διαφάνειας κατά την αυτοματοποιημένη απόρριψη αίτησης έκδοσης πιστωτικής κάρτας. Σύμφωνα με το ιστορικό της υπόθεσης, πελάτης της τράπεζας υπέβαλε αίτηση μέσω της ιστοσελίδας της για την έκδοση πιστωτικής κάρτας. Η αξιολόγηση της αίτησης έγινε αυτοματοποιημένα μέσω αλγορίθμων με τη λήψη υπόψη διαφόρων δεδομένων. Σε συνέχεια της αυτοματοποιημένης απόρριψης, χωρίς ειδική αιτιολόγηση, ο πελάτης, ο οποίος διέθετε υψηλό εισόδημα σε τακτική βάση, την αμφισβήτησε, υποβάλλοντας σε δεύτερο χρόνο καταγγελία στην εποπτική αρχή. Κατά την κρίση της τελευταίας, η τράπεζα όφειλε να είχε ενημερώσει τον πελάτη για τους κύριους λόγους της απόρριψης, πράγμα το οποίο δεν έπραξε.

Ε.Σ.Π.Δ. – Αλλαγή ηγεσίας

Με την προαναφερθείσα επετειακή ανακοίνωσή του, το Γραφείο Επιτρόπου Κύπρου ενημερώνει και για την αλλαγή ηγεσίας στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ). Στη θέση του Προέδρου του σώματος εξελέγη για πενταετή θητεία η Επίτροπος της Φιλανδίας κυρία Anu Talus και στη θέση της Αντιπροέδρου η Επίτροπος της Κύπρου, κυρία Ειρήνη Λοϊζίδου Νικολαΐδου. Κατά την εν λόγω ανακοίνωση, η εκλογή της Επιτρόπου Κύπρου ως Αντιπροέδρου του ΕΣΠΔ αποτελεί ιδιαίτερη τιμή, αποδεικνύοντας ότι η Κύπρος έχει λόγο και μπορεί να υπηρετήσει Ευρωπαϊκά όργανα από εκλέξιμες θέσεις. Υπενθυμίζεται ότι το ΕΣΠΔ αποτελεί ανεξάρτητο θεσμικό όργανο της Ευρωπαϊκής Ένωσης με κύριο στόχο του τη διασφάλιση της συνεκτικής εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων σε όλο τον Ευρωπαϊκό Οικονομικό Χώρο.

Ηνωμένο Βασίλειο – Φυλακή

Επίπληξη απηύθυνε η εποπτική αρχή στο Υπουργείο Δικαιοσύνης για το ότι εμπιστευτικά έγγραφα τα οποία προορίζονταν για καταστροφή αφέθηκαν εκτεθειμένα σε μη ασφαλή περιοχή φυλακής. Αυτό είχε ως αποτέλεσμα κρατούμενοι και προσωπικό να έχουν πρόσβαση σε 14 σάκους με εμπιστευτικά έγγραφα για χρονικό διάστημα 18 ημερών, τα οποία έγγραφα περιείχαν ιατρικές πληροφορίες και πληροφορίες ελέγχων ασφαλείας. Κατά την επίμαχη χρονική περίοδο, κρατούμενοι προέβησαν εμφανώς σε ανάγνωση σχετικών εγγράφων, τα οποία βρίσκονταν σε αυτή την κατάσταση λόγω του ότι η εταιρεία που είχε αναλάβει την καταστροφή τους δεν τα είχε απομακρύνει εγκαίρως.

Η.Π.Α. – Νέα νομοθεσία

Η όγδοη και ένατη πολιτεία της χώρας με γενικό νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων των καταναλωτών έγιναν η Μοντάνα και το Τενεσί, μετά τις Ιντιάνα, Βιρτζίνια, Γιούτα, Καλιφόρνια, Κολοράντο, Κονέκτικατ και Αϊόβα. Οι νέοι νόμοι, οι οποίοι υιοθετήθηκαν, θα τεθούν σε εφαρμογή την 1η Οκτωβρίου 2024 και 1η Ιουλίου 2025 αντίστοιχα. Θα αφορούν οντότητες οι οποίες δραστηριοποιούνται επιχειρηματικά στην εκάστοτε πολιτεία ή παράγουν προϊόντα / παρέχουν υπηρεσίες που απευθύνονται σε καταναλωτές αυτής. Για να κληθούν σε εφαρμογή απαιτείται να πληρούνται ορισμένα ποσοτικά κριτήρια σε σχέση με τον αριθμό των προσώπων των οποίων τα προσωπικά δεδομένα τυγχάνουν επεξεργασίας, αλλά και το ποσοστό των ακαθάριστων εσόδων της εμπλεκόμενης οντότητας από την πώληση προσωπικών δεδομένων.