Εράνισμα προσωπικών δεδομένων – 5/2024
Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 29/02/2024
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+
Α.Π.Δ.Π.Χ. – Γεωεντοπισμός
Πρόστιμο ύψους 2.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) σε εταιρεία για παράνομη λειτουργία συστήματος γεωεντοπισμού σε όχημα. Κατά την καταγγελία, σε εργαζόμενο στη θέση του πωλητή είχε παραχωρηθεί όχημα από την εταιρεία του, στο οποίο όχημα λειτουργούσε σύστημα γεωεντοπισμού, όπως αυτός είχε ενημερωθεί σχετικά. Κατά τη διάρκεια της κανονικής άδειας του, ο εργαζόμενος δέχθηκε κλήσεις στο τηλέφωνό του από την εταιρεία, στις οποίες όμως δεν απάντησε. Τότε, ο διευθυντής πωλήσεων της εταιρείας έκανε χρήση των δεδομένων του συστήματος γεωεντοπισμού στο εταιρικό όχημα και εμφανίστηκε στο σούπερ μάρκετ, όπου ο εργαζόμενος είχε πάει για ψώνια! Όπως έκρινε η ΑΠΔΠΧ, η εν λόγω επεξεργασία των προσωπικών δεδομένων ήταν παράνομη, καθώς η εταιρεία δεν είχε δικαίωμα γεωεντοπισμού του οχήματος εκτός ωρών εργασίας.
Κύπρος – Διαφημιστικά μηνύματα
Ανακοίνωση εξέδωσε το Γραφείο Επιτρόπου Κύπρου για την αποστολή διαφημιστικών μηνυμάτων με SMS και email, εξαιτίας της αύξησης των σχετικών παραπόνων. Σύμφωνα με αυτή, η αποστολή διαφημιστικών μηνυμάτων επιτρέπεται κατά κανόνα στην περίπτωση προσώπων τα οποία έχουν δώσει εκ των προτέρων τη συγκατάθεσή τους. Ειδικά για τα διαφημιστικά μηνύματα SMS, σε αυτά θα πρέπει να περιλαμβάνεται δωρεάν αριθμός τερματισμού λήψης μηνυμάτων, με οδηγίες προς τον παραλήπτη για το πώς μπορεί να ζητήσει τον τερματισμό αυτών. Για παράδειγμα, στο τέλος του μηνύματος να αναγράφεται «Για διαγραφή καλέστε 8ΧΧΧΧΧΧΧ» ή «SMS STOP στείλτε ΧΧΧΧΧ στο 8ΧΧΧ».
Δ.Ε.Ε. – Βιομετρικά δεδομένα
Όχι στην επί της ουσίας άνευ περιορισμού -πέραν της επέλευσης θανάτου- τήρηση βιομετρικών και γενετικών δεδομένων προσώπων που έχουν καταδικαστεί με αμετάκλητη απόφαση για εκ προθέσεως τελεσθέν ποινικό αδίκημα από τις αστυνομικές αρχές είπε το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) με πρόσφατη απόφασή του. Κατά το ΔΕΕ, ακόμη και αν η γενικώς και αδιακρίτως τήρηση των δεδομένων δικαιολογείται από τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, οι εθνικές αρχές οφείλουν να επιβάλλουν στον υπεύθυνο επεξεργασίας την υποχρέωση να επανεξετάζει περιοδικά εάν η τήρηση εξακολουθεί να είναι αναγκαία. Οφείλουν να αναγνωρίζουν επίσης στα υποκείμενα των δεδομένων το δικαίωμα να ζητήσουν τη διαγραφή τους, εφόσον η τήρηση των δεδομένων έχει παύσει να είναι αναγκαία.
ΗΠΑ – Ύδρευση και αποχέτευση
H Αρχή Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), η Υπηρεσία Περιβαλλοντικής Προστασίας (EPA) και το Ομοσπονδιακό Γραφείο Ερευνών (FBI) εξέδωσαν κοινό ενημερωτικό δελτίο με τις πιο σημαντικές, προτεινόμενες ενέργειες για την κυβερνοασφάλεια των συστημάτων ύδρευσης και αποχέτευσης. Μεταξύ αυτών περιλαμβάνονται η μείωση της έκθεσης στο διαδίκτυο, η τακτική διενέργεια εκτιμήσεων κυβερνοασφάλειας, η άμεση αλλαγή των εργοστασιακών κωδικών (default passwords), η διεξαγωγή απογραφής στοιχείων Τεχνολογίας Πληροφοριών (Information Technology) και Λειτουργικής Τεχνολογίας (Operational Technology), η ανάπτυξη και δοκιμαστική εφαρμογή Πλάνων Αντιμετώπισης και Ανάκτησης από Περιστατικά Κυβερνοασφάλειας (Cybersecurity Incident Response and Recovery Plans), η πραγματοποίηση εκπαίδευσης για την ευαισθητοποίηση στην κυβερνοασφάλεια, καθώς και η μείωση της έκθεσης σε ευπάθειες.
Ιταλία – Ιστοσελίδα γνωριμιών
Πρόστιμο ύψους 200.000 ευρώ επέβαλε η εποπτική αρχή σε ιστοσελίδα γνωριμιών για πλήθος παραβιάσεων ως προς την προστασία των προσωπικών δεδομένων περίπου 1 εκ. μελών της. Η εγγραφή στην ιστοσελίδα απαιτούσε την καταχώριση σειράς πληροφοριών, όπως ενδιαφέρον γνωριμίας, χώρα, περιφέρεια, πόλη, ημερομηνία γέννησης, διεύθυνση ηλεκτρονικής αλληλογραφίας, καθώς και φωτογραφιών, χωρίς να παρέχεται επαρκής ενημέρωση προς τους χρήστες για την επεξεργασία αυτών. Περαιτέρω, δεν είχε υιοθετηθεί πολιτική για τις περιόδους τήρησης των προσωπικών δεδομένων, με την ιστοσελίδα να διαγράφει με τυχαίο τρόπο μη ενεργούς λογαριασμούς και ανεπιτυχείς προσπάθειες εγγραφής. Δεν είχε εκπονηθεί επίσης αρχείο δραστηριοτήτων επεξεργασίας, δεν είχε οριστεί Υπεύθυνος Προστασίας Δεδομένων και δεν είχε διενεργηθεί εκτίμηση αντικτύπου κατά τα προβλεπόμενα.
Πολωνία – Αυτοκτονίες
Δύο προβεβλημένες υποθέσεις στις οποίες η κοινολόγηση των προσωπικών δεδομένων οδήγησε στην αυτοκτονία των εμπλεκομένων τέθηκαν στο μικροσκόπιο της εποπτικής αρχής. Τα συμβάντα καταδεικνύουν ότι η ευρεία δημοσιοποίηση πληροφοριών δύναται να έχει τραγικές συνέπειες. Έτσι, στη μία εξ αυτών, μέσα ενημέρωσης απεκάλυψαν πληροφορίες, με αποτέλεσμα την ταυτοποίηση παιδιού το οποίο είχε καταστεί θύμα παιδόφιλου. Κατόπιν αυτού, το παιδί αυτοκτόνησε. Στη δε δεύτερη, τα προσωπικά δεδομένα ιερέα δημοσιοποιήθηκαν σε μέσα κοινωνικής δικτύωσης σχετικά με σύλληψή του για ανήθικη πράξη. Ο ιερέας προέβη σε αυτοκτονία, γεγονός που ενδεχομένως συνδέεται με την επίμαχη κοινολόγηση των προσωπικών δεδομένων του. Η εποπτική αρχή διερευνά τα περιστατικά σε συνεργασία με τις εισαγγελικές αρχές.