Εράνισμα προσωπικών δεδομένων – 23/2021
Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 2/12/2021
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)
Α.Π.Δ.Π.Χ. – Νέα Μέλη
Ορκίστηκαν προ ολίγων ημερών ενώπιον του Υπουργού Δικαιοσύνης εννέα νέα μέλη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) στη θέση παλαιών μελών των οποίων έληξε η θητεία ή παραιτήθηκαν. Πρόκειται ειδικότερα για τους κ.κ. Χ. Καλλονιάτη, Αναπληρωτή Καθηγητή του Πανεπιστημίου Αιγαίου, Γ. Κόντη, Διδάκτορα Πολιτικής Δικονομίας, Α. Ηλιάδου, Αναπληρώτρια Καθηγήτρια του Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών, Ν. Φαλδαμή, Πρόεδρο του Ελληνικού Δικτύου Επαγγελματιών Πληροφορικής, Γ. Τσόλια, δικηγόρο, Μ. Ψάλλα, νομικό, Χ. Παπαθεοδώρου, Καθηγητή του Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών, Δ. Βουγιούκα, Καθηγητή του Πανεπιστημίου Αιγαίου και Ν. Λίβο, Επίκουρο Καθηγητή του Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών. Η πλήρωση όλων των κενών θέσεων γεννά προσδοκίες για επικείμενη μεγέθυνση των εποπτικών και ελεγκτικών δραστηριοτήτων της εποπτικής αρχής.
Κύπρος – «Cookies»
Από τον Ιούνιο μέχρι σήμερα 30 έλεγχοι σε διάφορους διαδικτυακούς τόπους, οι οποίοι κάνουν χρήση «cookies», έχουν διενεργηθεί από το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, όπως αυτό ενημερώνει σε ανακοίνωσή του. Οι περισσότεροι έλεγχοί του αφορούσαν σε ιστοσελίδες ενημέρωσης του κοινού, όπως διαδικτυακές εφημερίδες και περιοδικά. Μεταξύ λοιπών διαπιστώσεων σημειώνεται ότι σε μεγάλο αριθμό ιστότοπων εμφανίζεται απλά ενημέρωση σχετικά με την ύπαρξη «cookies» και δεν λαμβάνεται η ρητή συγκατάθεση των επισκεπτών, όπως θα έπρεπε. Οι διαχειριστές των ιστοσελίδων στις οποίες διενεργήθηκε έλεγχος θα λάβουν επιστολή το αμέσως επόμενο διάστημα σχετικά με τα ευρήματα του ελέγχου. Θα τους δοθεί επίσης αποκλειστική προθεσμία προκειμένου να προβούν σε αντίστοιχες διορθωτικές ενέργειες.
Γαλλία – Απεργίες
Πρόστιμο ύψους 400.000 ευρώ επέβαλε η γαλλική εποπτική αρχή σε μεγάλο δημόσιο φορέα συγκοινωνιών. Ο σχετικός έλεγχος ξεκίνησε κατόπιν καταγγελίας σωματείων εργαζομένων ότι ο εν λόγω φορέας κατέγραφε και τηρούσε τον αριθμό των ημερών κατά τις οποίες εργαζόμενοι συμμετείχαν σε απεργιακές κινητοποιήσεις. Τα εν λόγω δεδομένα μάλιστα φυλάσσονταν σε αρχεία τα οποία λαμβάνονταν υπόψη κατά τις διαδικασίες προαγωγής. Η εποπτική αρχή διαπίστωσε το βάσιμο της εν λόγω καταγγελίας και υπογράμμισε το παράνομο της πρακτικής. Όπως τόνισε, επιτρεπτή θα ήταν η τήρηση περιορισμένων πληροφοριών για τον αριθμό των ημερών των σχετικών απουσιών. Στην πορεία του οικείου ελέγχου διαπιστώθηκαν και λοιπές παραβάσεις, όπως η τήρηση λοιπών προσωπικών δεδομένων για υπέρ του δέοντος χρονικό διάστημα.
Ε.Δ.Δ.Α. – Διαδικτυακή βία
Ενώπιον του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ) προσέφυγε θύμα διαδικτυακής βίας («cyberviolence») κατά της Ρωσίας. Όπως υποστήριξε, οι ρωσικές αρχές δεν την προστάτευσαν από την κατ’ επανάληψη διαδικτυακή βία του συντρόφου της για τουλάχιστον τρία έτη. Αυτή περιλάμβανε τη δημοσιοποίηση προσωπικών φωτογραφιών της, τη δημιουργία ψεύτικων προφίλ με το όνομά της στα μέσα κοινωνικής δικτύωσης και των γεωεντοπισμό της μέσω της χρήσης ειδικής συσκευής. Όπως έκρινε το ΕΔΔΑ στην εν λόγω υπόθεση, οι ρωσικές αρχές δεν είχαν διενεργήσει επαρκή έρευνα για τα συμβάντα και γενικότερα δεν προέβησαν στα δέοντα για να προστατευθεί η προσφεύγουσα. Διαπιστώθηκε, λοιπόν, η παραβίαση του δικαιώματος σεβασμού της ιδιωτικής ζωής της, όπως αυτό κατοχυρώνεται στο άρθρο 8 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου.
Ολλανδία – Επιβάτες
Τα προσωπικά δεδομένα 25 εκ. επιβατών εκτέθηκαν σε κίνδυνο διαρροής, όταν κακόβουλοι εισέβαλαν στα πληροφοριακά συστήματα ολλανδικής αεροπορικής εταιρείας. Συνολικά εξήχθησαν από το σύστημα τα προσωπικά δεδομένα 83.000 ατόμων. παρ Η παράνομη πρόσβαση κατέστη εφικτή με τη χρήση εταιρικών λογαριασμών, των οποίων οι κωδικοί πρόσβασης ήταν απλοί με αποτέλεσμα να είναι εφικτή η εύρεσή τους. Περαιτέρω, για την είσοδο στους εταιρικούς λογαριασμούς δεν είχε ενεργοποιηθεί η αυθεντικοποίηση δύο παραγόντων («2-factor authentication»). Σημειώνεται ότι κατά την ειδική αυτή διαδικασία πιστοποίησης, για την είσοδο σε ένα ηλεκτρονικό σύστημα ζητείται από τον χρήστη όχι μόνο ο προσωπικός κωδικός του, αλλά και ένα ακόμη στοιχείο το οποίο γνωρίζει (π.χ. μυστική ερώτηση) ή κατέχει (π.χ. κωδικός σταλθέν στο κινητό τηλέφωνό του) ή είναι μέρος του (π.χ. δακτυλικό αποτύπωμα). Εξαιτίας αυτών επιβλήθηκε στην αεροπορική εταιρεία πρόστιμο ύψους 400.000 ευρώ.
Πολωνία – Περιστατικό παραβίασης
Πρόστιμο ύψους 80.000 ευρώ επιβλήθηκε σε τράπεζα από την εποπτική αρχή κατόπιν της υποβολής σχετικής καταγγελίας. Κατά τα καταγγελθέντα, εταιρεία παροχής ταχυδρομικών υπηρεσιών που ενεργούσε για λογαριασμό της τράπεζας απώλεσε τραπεζική αλληλογραφία. Η τελευταία περιείχε προσωπικά δεδομένα πελατών, όπως ονοματεπώνυμο, διεύθυνση και αριθμό τραπεζικού λογαριασμού. Η τράπεζα ενημέρωσε τους εμπλεκόμενους πελάτες για την απώλεια, δίχως όμως να παράσχει όλες τις αναγκαίες πληροφορίες κατά τα προβλεπόμενα στον Γενικό Κανονισμό Προστασίας Δεδομένων, γνωστό ως GDPR.