Εράνισμα προσωπικών δεδομένων – 5/2021

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 11/03/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Απολογητικό υπόμνημα

Άμεση ήταν η αντίδραση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) για την ανάρτηση απολογητικού υπομνήματος σε ιστοσελίδες. Το υπόμνημα αφορούσε γνωστό σκηνοθέτη – ηθοποιό σε βάρος του οποίου υποβλήθηκαν μηνύσεις για διάπραξη σεξουαλικών αδικημάτων. Όπως επισήμανε η ΑΠΔΠΧ, η αυτούσια ανάρτηση του εγγράφου, πέραν της  παραβίασης της αρχής της μυστικότητας της ποινικής προδικασίας, αποτέλεσε εξαιρετικά σοβαρή προσβολή των ευαίσθητων προσωπικών δεδομένων προσώπων. Τα εν λόγω πρόσωπα είτε κατονομάζονταν ρητά στο υπόμνημα είτε ήταν δυνατή η ταυτοποίησή τους. Για τους λόγους αυτούς, η εποπτική αρχή κάλεσε τους υπεύθυνους των εμπλεκόμενων ιστοσελίδων, μεταξύ άλλων, να προβούν στη διαγραφή από το κείμενο του υπομνήματος ονομάτων ή τυχόν υφιστάμενων στοιχείων ταυτοποίησης συγκεκριμένων προσώπων.

Κύπρος – Εφημερίδες

Δημοσιεύθηκαν στην ιστοσελίδα του Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Γραφείο Επιτρόπου) οι αποφάσεις που εκδόθηκαν κατά την περίοδο Οκτωβρίου 2020 – Ιανουαρίου 2021. Ιδιαίτερο ενδιαφέρον παρουσιάζει καταγγελία κατά δύο εφημερίδων. Εκπαιδευτικός, ο οποίος αποτελούσε και δημόσιο πρόσωπο, διαμαρτυρήθηκε για δημοσίευμά τους αναφορικά με ισχυρισθείσα επίθεσή του προς ανήλικο μαθητή. Τα δημοσιεύματα δεν ανέφεραν το όνομα του εκπαιδευτικού, αλλά περιείχαν πρόσθετα στοιχεία  που θα μπορούσαν να οδηγήσουν στην ταυτοποίησή του από πρόσωπα του ευρύτερου κοινωνικού περιβάλλοντός του. Αποτέλεσμα αυτού ήταν ο εκπαιδευτικός να δεχθεί τηλεφωνήματα από γνωστούς τους, οι οποίοι διάβασαν τα δημοσιεύματα. Το Γραφείο Επιτρόπου έκρινε εν προκειμένω ότι το δικαίωμα της ελευθερίας έκφρασης υπερείχε του δικαιώματος της προστασίας των προσωπικών δεδομένων. Για τον λόγο αυτό, δεν διαπιστώθηκαν παραβάσεις.

Βιρτζίνια – Νέα νομοθεσία

Η δεύτερη πολιτεία των Η.Π.Α. που υιοθετεί εκτενές νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων γίνεται μετά την Καλιφόρνια η Βιρτζίνια. Πρόκειται για το «Virginia Consumer Data Protection Act». O νέος νόμος θέτει περιορισμούς ως προς την εφαρμογή του, καθώς προβλέπει κριτήρια εφαρμογής κυρίως με βάση τον αριθμό των προσώπων των οποίων τα δεδομένα τυγχάνουν επεξεργασίας από την εκάστοτε επιχείρηση. Έτσι, αυτός εφαρμόζεται όταν λαμβάνει χώρα: α) έλεγχος ή επεξεργασία προσωπικών δεδομένων τουλάχιστον 100.000 καταναλωτών κατά τη διάρκεια ενός ημερολογιακού έτους ή β) έλεγχος ή επεξεργασία προσωπικών δεδομένων τουλάχιστον 25.000 καταναλωτών, εφόσον πλέον του 50% του κύκλου εργασιών της επιχείρησης πηγάζει από την πώληση προσωπικών δεδομένων.

Δ.Ε.Ε. – «Βαριά καμπάνα»

Βαρύτατη χρηματική ποινή ύψους 15.000.000 ευρώ επέβαλε το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) στην Ισπανία με πρόσφατη απόφασή του (υπόθεση C-658/19). Η παράβαση της Ισπανίας συνίσταται στη μη έγκαιρη ενσωμάτωση στο εθνικό δίκαιο της Οδηγίας 2016/680. Πρόκειται για την καλούμενη «αστυνομική οδηγία» ή «μικρή αδελφή» του GDPR, η οποία εφαρμόζεται ιδίως στην επεξεργασία προσωπικών δεδομένων από αστυνομικές αρχές. Μαζί με το ως άνω κατ’ αποκοπή πρόστιμο επιβλήθηκε και ημερήσια χρηματική ποινή ύψους 89.000 ευρώ μέχρι την ημέρα παύσης της διαπιστωθείσας παράβασης. Την «τύχη» της Ισπανίας παρά τρίχα δεν είχε και η Ελλάδα, η οποία ενσωμάτωσε την εν λόγω Οδηγία με καθυστέρηση που υπερέβη το ένα έτος.

Πολωνία – Περιστατικό παραβίασης

Πρόστιμο περίπου 30.000 ευρώ επέβαλε σε εταιρεία η Αρχή Προστασίας Δεδομένων της Πολωνίας για μη γνωστοποίηση σε αυτή περιστατικού παραβίασης. Το περιστατικό συνίστατο στην αποστολή από εργαζόμενο της εταιρείας σε λάθος παραλήπτη μηνύματος ηλεκτρονικής αλληλογραφίας με συνημμένο αρχείο, το οποίο περιείχε τα προσωπικά δεδομένα εκατοντάδων προσώπων. Το εν λόγω αρχείο δεν είχε κρυπτογραφηθεί ούτε είχε ληφθεί άλλο μέτρο ασφαλείας. Ο κατά λάθος παραλήπτης του ήταν αυτός μάλιστα ο οποίος κατήγγειλε το συμβάν. Υπενθυμίζεται ότι σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων, γνωστό ως GDPR, υφίσταται υποχρέωσης γνωστοποίησης περιστατικών παραβίασης προσωπικών δεδομένων, υπό προϋποθέσεις, στην εποπτική αρχή.

EUROPOL – «SIM Swapping»

Δέκα άτομα συνελήφθησαν για σειρά επιθέσεων «SIM Swapping» εναντίον διασημοτήτων στις Η.Π.Α. κατόπιν επιχείρησης υπό τον συντονισμό της EUROPOL. Σημειώνεται ότι σε αυτού του τύπου την επίθεση οι δράστες επιτυγχάνουν να εξαπατήσουν εργαζόμενους εταιρειών κινητής τηλεφωνίας και να αποκτήσουν νέα κάρτα SIM, προς αντικατάσταση αυτής που χρησιμοποιεί ο νόμιμος κάτοχός της στο κινητό τηλέφωνό του. Εν συνεχεία, οι δράστες ενεργοποιούν τη νέα κάρτα SIM σε δική τους συσκευή. Έτσι, η κάρτα SIM του νόμιμου κατόχου της απενεργοποιείται και εφεξής όλες οι υπηρεσίες κινητής τηλεφωνίας για τον τηλεφωνικό αριθμό αυτού, όπως κλήσεις, σύντομα γραπτά μηνύματα, χρήση διαδικτύου, διατίθενται στη συσκευή του δράστη. Στην επίμαχη υπόθεση, οι εγκληματίες πέτυχαν να αφαιρέσουν περισσότερα από 100.000.000 δολάρια σε κρυπτονομίσματα από τα θύματά τους.