Εράνισμα προσωπικών δεδομένων – 6/2021

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 1/04/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Πολυμελές Πρωτοδικείο – Ανάρτηση φωτογραφίας

Με την υπ’ αριθμ. 3485/2020 απόφαση του Πολυμελούς Πρωτοδικείου Αθηνών χρήστης του Facebook κλήθηκε να καταβάλει 15.000 ευρώ για αποκατάσταση ηθικής βλάβης. Η υπόθεση αφορούσε την ανάρτηση στο δημόσιο προφίλ του στο μέσο κοινωνικής δικτύωσης φωτογραφίας οδηγού οχήματος με το όχημά του. Το τελευταίο ήταν σταθμευμένο σε θέση στάθμευσης αυτοκινήτων που προοριζόταν για άτομα με αναπηρία. Η ανάρτηση της φωτογραφίας συνοδευόταν από κείμενο του χρήστη στο οποίο αναφερόταν, μεταξύ άλλων, ότι «Με αυτά και με αυτά, ζητώ την Βοήθεια σας να τον μάθει όλη η Αττική – τουλάχιστον. Πάμε λοιπόν! Κοινοποιούμε!!!». Όπως κρίθηκε, η ως άνω ανάρτηση στο Facebook ήταν παράνομη, καθώς περιείχε προσωπικά δεδομένα του οδηγού του οχήματος. Ο τελευταίος είχε αντιταχθεί στη λήψη της φωτογραφίας του, εντούτοις όχι μόνο φωτογραφήθηκε, αλλά η επίμαχη λήψη αναρτήθηκε στο διαδίκτυο.

Κύπρος – Ετήσια έκθεση

Στις 18 Μαρτίου η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου παρέδωσε στον Πρόεδρο της Δημοκρατίας την ετήσια έκθεση του Γραφείου της για το 2019. Στο εντυπωσιακό εξώφυλλο της έκθεσης απεικονίζεται το ζωγραφικό έργο δύο μαθητριών Λυκείου, το οποίο κρίθηκε ως το καλύτερο στο σχετικό σχολικό διαγωνισμό  για την ευαισθητοποίηση των μαθητών στην προστασία των προσωπικών δεδομένων. Σύμφωνα με τα στατιστικά στοιχεία, το 2019 υποβλήθηκαν στο Γραφείο 421 παράπονα και εκδόθηκαν 34 αποφάσεις. Για τις 15 εκ των 34 αποφάσεων επιβλήθηκαν διοικητικά πρόστιμα συνολικού ύψους 142.600 ευρώ. To μεγαλύτερο επιβληθέν πρόστιμο ήταν ύψους 82.000 ευρώ και το μικρότερο ύψους 1.000 ευρώ. Κατά το ίδιο έτος υποβλήθηκαν στο Γραφείο 63 γνωστοποιήσεις παραβιάσεων προσωπικών δεδομένων.

Η.Π.Α. – Έκθεση κυβερνοεγκλημάτων

Στις 17 Μαρτίου το Ομοσπονδιακό Γραφείο Ερευνών των Η.Π.Α. («Federal Bureau of Investigation») ανακοίνωσε τη δημοσίευση της ετήσιας έκθεσης του 2020 για τα εγκλήματα στο διαδίκτυο («2020 Internet Crime Report»). Η έκθεση περιέχει πληροφορίες για 791.790 καταγγελίες περιστατικών οι οποίες υποβλήθηκαν σε αυτό. Στη σχετική κατάταξη των καταγγελθέντων εγκλημάτων, τις τρεις πρώτες θέσεις καταλαμβάνουν απάτες «ηλεκτρονικού ψαρέματος» («phishing scams»), απάτες μη πληρωμής / μη παράδοσης και εκβιάσεις. Περισσότερες από 28.500 καταγγελίες αφορούν απάτες οι οποίοι σχετίζονται με τον COVID-19 σε βάρος τόσο πολιτών όσο και επιχειρήσεων. Συγκριτικά με το 2019, παρατηρείται σημαντική αύξηση των καταγγελιών, καθώς αυτές είναι περισσότερες από 300.000. Πρόκειται για μια ακόμη αποτύπωση της έντονα αυξητικής τάσης του κυβερνοεγκλήματος.

Νέα Ζηλανδία – «Ποινικό ιστορικό»

Ο έλεγχος «ποινικού ιστορικού» («background check») εργαζομένου απασχόλησε πρόσφατα την Αρχή Προστασίας Δεδομένων της Νέας Ζηλανδίας (312002/2021). Άτομο που παρείχε υπηρεσίες φροντίδας προσελήφθη από ίδρυμα. Κατά τη διαδικασία πρόσληψής του, παρά το ότι συγκατατέθηκε στο να λάβει χώρα έλεγχος τυχόν παρελθούσας εγκληματικής δραστηριότητάς του από τη διεύθυνση του ιδρύματος, αυτός δεν έλαβε χώρα. Ύστερα από περισσότερο από ένα χρόνο εργασίας του, ο προσληφθείς είχε έντονο διαπληκτισμό με τον εργοδότη του. Λόγω αυτού, ο τελευταίος αποφάσισε τότε να προβεί σε έλεγχο «ποινικού ιστορικού» και στο πλαίσιο διαπίστωσης προηγούμενης εγκληματικής δραστηριότητας απέλυσε τον εργαζόμενο. Κατόπιν καταγγελίας του απολυθέντα ιδίως για τον κατά τη γνώμη του μη αναγκαίο έλεγχο «ποινικού ιστορικού», δεδομένου ότι είχε ήδη εργασθεί με επιτυχία στον εργοδότη του για ένα έτος, η εποπτική αρχή έκρινε ότι ο σχετικός έλεγχος ήταν παράνομος. Αυτός έπρεπε να είχε λάβει χώρα εντός τριών μηνών από τη λήψη της συγκατάθεσης του υποψήφιου εργαζομένου και όχι σχεδόν δεκατέσσερις μήνες από τον χρόνο λήψης αυτής.

Ολλανδία – Ιατρικοί φάκελοι

Πρόστιμο 440.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων της Ολλανδίας σε νοσοκομείο του Άμστερνταμ για ελλιπή προστασία των ιατρικών φακέλων, με αποτέλεσμα τη μη εξουσιοδοτημένη πρόσβασή τους. Όπως κρίθηκε, για την ηλεκτρονική πρόσβαση στους ιατρικούς φακέλους ετηρείτο αυτοματοποιημένο σύστημα καταγραφής εισόδου. Αυτό όμως δεν ελεγχόταν  με τη δέουσα συχνότητα, ώστε να διαπιστωθεί τυχόν μη εξουσιοδοτημένη πρόσβαση. Περαιτέρω, δεν χρησιμοποιείτο αυθεντικοποίηση δύο παραγόντων («2-factor authentication») για την πρόσβαση σε αυτούς από τις εγκαταστάσεις του νοσοκομείου. Σημειώνεται ότι κατά την ειδική αυτή διαδικασία πιστοποίησης, για την είσοδο σε ένα ηλεκτρονικό σύστημα ζητείται από τον χρήστη όχι μόνο ο προσωπικός κωδικός του, αλλά και ένα ακόμη στοιχείο το οποίο γνωρίζει (π.χ. μυστική ερώτηση) ή κατέχει (π.χ. κωδικός σταλθέν στο κινητό τηλέφωνό του) ή είναι μέρος του (π.χ. δακτυλικό αποτύπωμα). Κατά την εποπτική αρχή, ο τομέας της υγείας αποτελεί έναν από τους τρεις τομείς με τα περισσότερα περιστατικά παραβίασης προσωπικών δεδομένων τα τελευταία χρόνια.