Εράνισμα προσωπικών δεδομένων – 9/2021
Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 14/05/2021
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)
Δ.Δ.Η.Ε. – «Επενδυτικές» απάτες
Δικογραφία σχηματίστηκε από τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ) σε βάρος τριών ατόμων για απάτες με το πρόσχημα της παροχής επενδυτικών υπηρεσιών. Εξιχνιάστηκαν 11 υποθέσεις με το παράνομο περιουσιακό όφελος να ανέρχεται σε 460.000 ευρώ. Οι δράστες είχαν συστήσει εταιρεία με αντικείμενο την παροχή συμβουλευτικών υπηρεσιών μάρκετινγκ, χωρίς να έχουν λάβει ειδική άδεια για παροχή επενδυτικών υπηρεσιών. Προσέγγιζαν τα θύματά τους τηλεφωνικά και μέσω ηλεκτρονικού ταχυδρομείου, όπου προσποιούνταν εξειδικευμένους επενδυτικούς συμβούλους, οι οποίοι δήθεν εκπροσωπούσαν αλλοδαπή χρηματιστηριακή εταιρεία. Αφού κέρδιζαν την εμπιστοσύνη των θυμάτων, αποσπούσαν από αυτά χρηματικά ποσά για επενδύσεις με υψηλά ποσοστά απόδοσης. Στη συνέχεια όμως τα χρήματα… έκαναν φτερά.
Κύπρος – Πιστοποιητικά COVID-19
Η επίδειξη πιστοποιητικών εμβολιασμού, διενέργειας αρνητικού ταχέος τεστ («rapid test»), μοριακού τεστ («PCR test») και ανάρρωσης από τον COVID-19 απασχόλησε το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου. Σύμφωνα με ανακοίνωσή του, τα εν λόγω πιστοποιητικά περιέχουν δεδομένα υγείας, τα οποία πρέπει να απολαμβάνουν αυξημένης προστασίας. Οι εργαζόμενοι, που υποχρεούνται να κατέχουν πιστοποιητικά αρνητικού ταχέος ή μοριακού τεστ, δεν οφείλουν να τα προσκομίζουν ή να τα επιδεικνύουν στον εργοδότη τους, ενημερώνοντας τον μόνο για το αποτέλεσμα. Το ίδιο ισχύει και σχετικά με τον εμβολιασμό, όπου ενημερώνεται ο εργοδότης, χωρίς να υφίσταται υποχρέωση προσκόμισης του πιστοποιητικού.
Μάλτα – Εμβολιασμοί COVID-19 I
Κατευθυντήριες γραμμές για τη συλλογή προσωπικών δεδομένων εργαζομένων από τους εργοδότες τους σχετικά με τον εμβολιασμό των πρώτων κατά του COVID-19 εξέδωσε η Αρχή Προστασίας Δεδομένων της Μάλτας. Όπως επισημαίνεται, η πληροφορία σχετικά με το αν εργαζόμενος έχει εμβολιασθεί αποτελεί δεδομένο υγείας, ήτοι ειδική κατηγορία δεδομένων που απολαμβάνει ενισχυμένης προστασίας. Η συλλογή των εν λόγω δεδομένων απαιτεί την προηγούμενη διενέργεια ειδικής εκτίμησης για τον αντίκτυπο που αυτή μπορεί να έχει στον εργαζόμενο, ώστε να διασφαλιστεί η τήρηση του προστατευτικού πλαισίου για τα προσωπικά δεδομένα. Η επεξεργασία της πληροφορίας για την κατάσταση εμβολιασμού δεν επιτρέπεται να οδηγεί στην επιβολή εις βάρος του εργαζόμενου αθέμιτων διακρίσεων. Αν αυτό συμβαίνει, τότε η συλλογή των δεδομένων είναι παράνομη και απαγορεύεται.
Νορβηγία – Διεθνείς διαβιβάσεις
Ακριβά καλείται να πληρώσει εταιρεία διοδίων την απόφασή της να διαβιβάσει παράνομα στην Κίνα προσωπικά δεδομένα οδηγών της Νορβηγίας. Τα δεδομένα διαβιβάζονταν σε εξωτερικό συνεργάτη της εταιρείας στην Άπω Ανατολή για μεγάλο χρονικό διάστημα στο πλαίσιο της λειτουργίας της, χωρίς να έχει ληφθεί ουδέν σχετικό μέτρο διασφάλισης της επαρκούς προστασίας των προσωπικών δεδομένων στη χώρα εισαγωγής, όπως η σύναψη ειδικής σύμβασης μεταξύ των μερών. Λόγω αυτών των ελλείψεων, αποφασίσθηκε η επιβολή προστίμου ύψους περίπου 500.000 ευρώ. Σημειώνεται ότι, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), διαβίβαση προσωπικών δεδομένων σε αποδέκτη που βρίσκεται εκτός Ευρωπαϊκού Οικονομικού Χώρου μπορεί να λάβει χώρα μόνο υπό συγκεκριμένες προϋποθέσεις.
Τσεχία – Έλλειψη συνεργασίας
Πρόστιμο ύψους περίπου 3.800 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων της Τσεχίας σε τηλεοπτικό οργανισμό για μη συνεργασία κατά τη διάρκεια σχετικού ελέγχου. Περαιτέρω, διαπιστώθηκε ότι η πολιτική προστασίας προσωπικών δεδομένων που ήταν αναρτημένη στην ιστοσελίδα του τηλεοπτικού οργανισμού δεν ήταν πλήρης, επικαιροποιημένη και ευχερώς προσβάσιμη. Υπενθυμίζεται ότι, σύμφωνα με τον GDPR, ο βαθμός συνεργασίας με την εποπτική αρχή κατά τη διάρκεια ελέγχου αποτελεί κριτήριο που λαμβάνεται υπόψη για την επιβολή και το ύψος τυχόν διοικητικού προστίμου. Επίσης, η εκάστοτε ιστοσελίδα οφείλει να διαθέτει αναρτημένη πολιτική προστασίας προσωπικών δεδομένων, η οποία ενημερώνει, μεταξύ άλλων σε εύκολα προσβάσιμη μορφή, για την επεξεργασία των προσωπικών δεδομένων κατά τη λειτουργία της.
Φιλιππίνες – Εμβολιασμοί COVID-19 II
Δελτίο εξέδωσε η Αρχή Προστασίας Δεδομένων των Φιλιππίνων για την επεξεργασία προσωπικών δεδομένων στο πλαίσιο του προγράμματος εμβολιασμού κατά του COVID-19, που διεξάγεται από την κυβέρνηση. Όπως αναφέρεται σε αυτό, η εποπτική αρχή έλαβε πλήθος σχετικών καταγγελιών, π.χ. καταγγέλθηκε η απαίτηση του προσωπικού τοπικής κυβερνητικής μονάδας προς ηλικιωμένους να γνωστοποιήσουν τα προσωπικά δεδομένά τους μέσω ανάρτησης υπό μορφή σχολίου σε μέσο κοινωνικής δικτύωσης, το οποίο ήταν δημόσια προσβάσιμο και κατ’ επέκταση ορατό στον οποιονδήποτε. Μεταξύ άλλων παρατηρήσεων, υπογραμμίζεται ότι σχετικές πληροφορίες δεν πρέπει να αναρτώνται σε δημόσια προσβάσιμες πλατφόρμες. Αντιθέτως, δέον είναι να λαμβάνονται κατάλληλα μέτρα για τη διασφάλιση της εμπιστευτικότητάς τους. Επιπροσθέτως, τα υποκείμενα των προσωπικών δεδομένων πρέπει να ενημερώνονται με ειδικό κείμενο για την επεξεργασία των προσωπικών δεδομένων τους στο πλαίσιο του προγράμματος εμβολιασμού.