Εράνισμα προσωπικών δεδομένων – 16/2022

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 4/08/2022

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM

Α.Π.Δ.Π.Χ. – Διαδίκτυο

Σε συστάσεις προέβη η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) για τον δέοντα τρόπο ενημέρωσης των υποκειμένων των προσωπικών δεδομένων ως προς  τη συλλογή δεδομένων στο διαδίκτυο τα οποία τα αφορούν. Όπως σημειώνεται, η ΑΠΔΠΧ έχει διαπιστώσει ότι σε ψηφιακά περιβάλλοντα και ειδικότερα σε επιγραμμικές («online») εφαρμογές ή ιστοσελίδες διαδικτύου οι πληροφορίες αυτές συχνά εμφανίζονται σε ενιαίο και αρκετά εκτενές κείμενο. Η παροχή όμως εντός οθόνης πολλών πληροφοριών σε μία μόνο δήλωση ενδέχεται, σε πολύ μεγάλο βαθμό, να προκαλεί κόπωση στα υποκείμενα των δεδομένων, αποτρέποντάς τα από το να ενημερωθούν κατάλληλα. Γι’ αυτόν τον λόγο επισημαίνεται ότι ειδικά σε ψηφιακά περιβάλλοντα θα πρέπει οι πληροφορίες να παρουσιάζονται σε περισσότερα επίπεδα για την εξασφάλιση διαφάνειας ως προς την επεξεργασία προσωπικών δεδομένων.

Κύπρος – Ταχυμεταφορές

Καταγγελία δέχθηκε το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Γραφείο Επιτρόπου) για την πρακτική εταιρείας ταχυμεταφορών κατά την παράδοση πακέτων. Σύμφωνα με τα καταγγελθέντα, η εταιρεία ζητούσε όχι μόνο την επίδειξη ταυτότητας, αλλά και κατέγραφε τον αριθμό αυτής, προκειμένου να πραγματοποιηθεί η παραλαβή του πακέτου. Η καταγγείλασα θεώρησε υπερβολική και απαράδεκτη την εν λόγω ενέργεια, κρίνοντας ότι θα ήταν εφικτή η ταυτοποίηση της μόνο με την απλή παρουσίαση της ταυτότητάς της. Το Γραφείο Επιτρόπου έκρινε πράγματι πως η καταγραφή στα αρχεία της εταιρείας του αριθμού δελτίου ταυτότητας ή / και διαβατηρίου του παραλήπτη αντικειμένου δεν ήταν νόμιμη και θα έπρεπε να σταματήσει. Η εταιρεία συμμορφώθηκε άμεσα, δίδοντας οδηγίες για άρση της πρακτικής αυτής και διαγραφή των μέχρι τότε συλλεχθέντων δεδομένων.

Αυστραλία – Πανδημία

Στην αξιολόγηση του κατά πόσο θα συνεχίσουν να συλλέγουν και να τηρούν προσωπικά δεδομένα σχετικά με την πανδημία «COVID-19» καλεί η εποπτική αρχή τις οντότητες οι οποίες προβαίνουν σε αυτό. Κατά τις σχετικές οδηγίες, οργανισμοί και φορείς έχουν συλλέξει προσωπικά δεδομένα, ιδίως δεδομένα υγείας, των εργαζομένων τους, των πελατών τους και των επισκεπτών των εγκαταστάσεών τους, π.χ. κατάσταση εμβολιασμού. Δεδομένου ότι οι συνθήκες σχετικά με τον «COVID-19» και τα μέτρα προστασίας από αυτόν μεταβάλλονται, ενδέχεται να καθίσταται αναγκαία η καταστροφή συναφών πληροφοριών, αν δεν υπάρχει πλέον λόγος τήρησής τους. Οι προσδοκίες, άλλωστε, των υποκειμένων των προσωπικών δεδομένων είναι πως οι πληροφορίες τις οποίες παρείχαν στο πλαίσιο της πανδημίας δεν θα τηρηθούν επ’ αορίστω.

Γερμανία – Αυτοκίνητα

Πρόστιμο ύψους 1.100.000 ευρώ επέβαλε η εποπτική αρχή της Κάτω Σαξονίας σε πασίγνωστη εταιρεία κατασκευής αυτοκίνητων. Ο λόγος; Ένα δοκιμαστικό όχημα της εταιρείας, το οποίο, όπως διαπιστώθηκε κατόπιν αστυνομικού ελέγχου, έφερε κάμερες, με σκοπό ιδίως τον έλεγχο της λειτουργίας του συστήματος υποβοήθησης οδηγού για την αποφυγή αυτοκινητικών ατυχημάτων. Μέσω των καμερών πραγματοποιείτο η καταγραφή της κυκλοφορίας γύρω από το όχημα, ώστε να αξιοποιηθεί στη σχετική ανάλυση. Αν και η επίμαχη δραστηριότητα δεν ήταν καταρχήν παράνομη, διαπιστώθηκαν σημαντικές ελλείψεις σε σχέση με τα επιβαλλόμενα από το προστατευτικό πλαίσιο. Μεταξύ άλλων, η απουσία ενημερωτικών πινακίδων επί του οχήματος για την καταγραφή των καμερών και η μη σύναψη ειδικής σύμβασης για την προστασία των προσωπικών δεδομένων με την εταιρεία η οποία είχε αναλάβει τη διενέργεια των σχετικών διαδρομών του δοκιμαστικού οχήματος.

Η.Π.Α. – Τηλεπικοινωνίες

Να την ενημερώσουν για τις πρακτικές τις οποίες ακολουθούν ως προς την προστασία των προσωπικών δεδομένων, ιδίως ως προς την τήρηση αυτών και τις σχετικές πολιτικές τις οποίες εφαρμόζουν, κάλεσε η Ομοσπονδιακή Επιτροπή Επικοινωνιών («Federal Communications Commission») τις δεκαπέντε μεγαλύτερες εταιρείες παροχής υπηρεσιών κινητής τηλεφωνίας της χώρας. Οι εταιρείες ερωτώνται ιδίως για τον χρόνο τήρησης δεδομένων γεωεντοπισμού συνδρομητών και πώς αυτή δικαιολογείται, καθώς και ποια μέτρα ασφαλείας εφαρμόζονται για την προστασία τους. Περαιτέρω, για τις διαδικασίες κοινολόγησης των εν λόγω δεδομένων σε αρχές επιβολής του νόμου και  τρίτους, καθώς και το κατά πόσον ενημερώνονται οι συνδρομητές ως προς αυτό. Στην ανακοίνωση της εποπτικής αρχής υπογραμμίζεται ότι το 2020 τέσσερις εταιρείες κλήθηκαν να καταβάλουν περισσότερα από 200.000.000 δολάρια σε πρόστιμα, εξαιτίας της παροχής πρόσβασης σε δεδομένα τοποθεσίας συνδρομητών σε τρίτους έναντι αντιτίμου, χωρίς να έχουν ληφθεί τα δέοντα μέτρα ασφαλείας.

Ισλανδία – Μαθητές

Πρόστιμο ύψους περίπου 35.000 ευρώ επέβαλε η εποπτική αρχή σε μεγάλο δήμο για παράνομη επεξεργασία προσωπικών δεδομένων μαθητών δημοτικών σχολείων μέσω της χρήσης αμερικανικής εκπαιδευτικής πλατφόρμας. Οι παραβάσεις ήταν πολυάριθμες, συμπεριλαμβανομένης της διαβίβασης δεδομένων στο εξωτερικό, χωρίς να έχουν ληφθεί τα επιβαλλόμενα προστατευτικά μέτρα.