GDPR: «Φουρτούνα» προστίμων στον χώρο της ναυτιλίας

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 3/02/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Λίγες ημέρες μετά την επιβολή προστίμου 15.000 ευρώ σε ναυτιλιακή εταιρεία για παραβάσεις σε βάρος εργαζομένων (απόφαση υπ’ αριθμ. 43/2019), η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) «ξαναχτυπά» στο χώρο της ναυτιλίας με δεκαπλάσιο αυτή τη φορά πρόστιμο. Πρόκειται για την απόφαση υπ’ αριθμ. 44/2019 που δημοσιεύθηκε στις 22-1-2020.

Τα πραγματικά περιστατικά αφορούν εταιρεία προμήθειας καυσίμων για πλοία (εταιρεία A) η οποία προέβη τον Ιούνιο του 2018 σε γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων. Παράλληλα, για τα ίδια συμβάντα, η εταιρεία Α υπέβαλε και αναφορά-καταγγελία κατά της μητρικής της εταιρείας, δραστηριοποιούμενης ομοίως στο χώρο προμήθειας καυσίμων για πλοία (εταιρεία B), καθώς και κατά μεγάλης εταιρείας παροχής λογιστικών υπηρεσιών και συμβουλών (εταιρεία Γ). Κατά τα υποστηριχθέντα στην αναφορά, οι καταγγελθείσες εταιρείες Β και Γ εισήλθαν παρανόμως και αντέγραψαν σε φορητά μέσα αποθήκευσης το σύνολο ψηφιακού περιεχομένου διακομιστή (server) της εταιρείας Α, το οποίο περιείχε ηλεκτρονικά αρχεία, μηνύματα ηλεκτρονικού ταχυδρομείου και άλλες επικοινωνίες τόσο εργαζομένων της εταιρείας Α όσο και εργαζομένων τρίτων εταιρειών.

Για τα ίδια συμβάντα υποβλήθηκαν επίσης ενώπιον της ΑΠΔΠΧ συνολικά 12 καταγγελίες φυσικών προσώπων κατά των εταιρειών Β και Γ. Τα εν λόγω πρόσωπα κατήγγειλαν την παραβίαση των προσωπικών δεδομένων τους που τηρούνταν στον ως άνω διακομιστή (server) λόγω της παράνομης αντιγραφής τους από τις εταιρείες Β και Γ.

Όπως υποστήριξε η καταγγελθείσα εταιρεία Β, οι ως άνω ενέργειές της ήταν νόμιμες και αναγκαίες, ιδίως στο πλαίσιο εσωτερικού ελέγχου που διεξήγαγε για οικονομικά θέματά της, συμπεριλαμβανομένης της πιθανής τέλεσης αδικημάτων σε βάρος της. Η δε καταγγελθείσα εταιρεία Γ υποστήριξε ότι ουδεμία σχέση είχε με τα καταγγελθέντα.

Προβαίνοντας στη συνέχεια σε σχετικό έλεγχο, η ΑΠΔΠΧ διαπίστωσε ότι τόσο η καταγγελθείσα εταιρεία Β και οι θυγατρικές της, μεταξύ των οποίων η καταγγείλασα εταιρεία Α, όσο και τρίτες εταιρείες έκαναν χρήση και είχαν φυσική πρόσβαση στον ίδιο χώρο όπου ήταν εγκατεστημένοι και λειτουργούσαν περισσότεροι διακομιστές (servers). Οι ως άνω εταιρείες είχαν επίσης πρόσβαση στην ίδια υπολογιστική υποδομή (υλικού και λογισμικού) για τη διεκπεραίωση της ηλεκτρονικής αλληλογραφίας εργαζομένων και στελεχών τους, προβαίνοντας σε επεξεργασία των συστημάτων αρχειοθέτησης ηλεκτρονικών επικοινωνιών. Οι ανωτέρω επεξεργασίες δεδομένων προσωπικού χαρακτήρα λάμβαναν χώρα χωρίς τη λήψη κανενός μέτρου φυσικού και λογικού διαχωρισμού μεταξύ των εμπλεκόμενων εταιρειών. Λάμβαναν επίσης χώρα άτυπα, καθώς δεν υπήρχε καμία ειδική συμφωνία μεταξύ τους.

Κατά την ΑΠΔΠΧ, η καταγγελθείσα εταιρεία Β ως υπεύθυνος επεξεργασίας δεν είχε λάβει ουδένα μέτρο συμμόρφωσης με τον GDPR κατ’ άρθρο 5 παρ. 1 και 6 παρ. 1 αυτού στη λειτουργία της ως άνω υπολογιστικής υποδομής, η οποία υποστήριζε την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, παρά την αντίθετη υποχρέωσή της. Ομοίως, παράνομες ήταν οι εν συνεχεία αυτοτελείς και διακριτές πράξεις επεξεργασίας τις οποίες αυτή επιχείρησε σύμφωνα με τα καταγγελθέντα, λόγω της αρχικής παράνομης επεξεργασίας προσωπικών δεδομένων, ήτοι η αντιγραφή του συνόλου του περιεχομένου της ως άνω υπολογιστικής υποδομής και η δημιουργία ενός νέου συστήματος αρχειοθέτησης -αντίγραφο του πρωτοτύπου-, το οποίο αυτή διαβίβασε στο Ηνωμένο Βασίλειο.

Έτσι, η ΑΠΔΠΧ, κρίνοντας προηγουμένως ότι η επίσης καταγγελθείσα εταιρεία Γ δεν συμμετείχε ή παρείχε συνδρομή στην παράνομη επεξεργασία προσωπικών δεδομένων από πλευράς της εταιρείας Β, αποφάσισε, αποκλειστικά σε βάρος της καταγγελθείσας εταιρείας B: α) να δώσει εντολή η εταιρεία Β να καταστήσει σύμφωνες με τις διατάξεις του GDPR τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται τόσο στην χρησιμοποιούμενη ως άνω υπολογιστική υποδομή όσο και στα νέο σύστημα αρχειοθέτησης που απεστάλη στο Ηνωμένο Βασίλειο, καθώς και να λάβει όλα τα αναγκαία μέτρα συμμόρφωσης με τον GDPR εντός διαστήματος τριών μηνών, β) να επιβάλει πρόστιμο στην εταιρεία Β ποσού ύψους 150.000 ευρώ.

Ως προς την εν λόγω υπόθεση σημειώνουμε επιγραμματικά τα εξής:

1. Η προσεκτική προσέγγιση των σχετικών ημερομηνιών, ειδικότερα το ότι η γνωστοποίηση του περιστατικού παραβίασης από την καταγγείλασα εταιρεία Α έλαβε χώρα στις 18-6-2018, όπως και η σχετική αναφορά-καταγγελία της, ενώ εν τέλει η απόφαση της ΑΠΔΠΧ δημοσιεύθηκε στην ιστοσελίδα της στις 22-1-2020, καθιστά εμφανείς τις ενίοτε μεγάλες καθυστερήσεις στην έκδοση των αποφάσεων από την εποπτική αρχή. Πρόκειται για πρόβλημα που πρέπει να αντιμετωπιστεί, δεδομένου ότι οι συναφείς καθυστερήσεις αποβαίνουν σε βάρος της προστασίας του υποκειμένου των προσωπικών δεδομένων, καθώς δημιουργούν αίσθηση αρρυθμίας στη λειτουργία της εποπτικής αρχής.

2. Εν προκειμένω η εκπλήρωση της υποχρέωσης γνωστοποίησης περιστατικού παραβίασης οδήγησε σε έλεγχο της ΑΠΔΠΧ, ο οποίος κατέληξε στην επιβολή προστίμου. Εδώ εντοπίζεται ένα κλασικό πλέον σχήμα (γνωστοποίηση – έλεγχος – επιβολή προστίμου) που επαναλαμβάνεται στη νομολογία των εποπτικών αρχών εντός της Ε.Ε. Σημειώνεται επίσης ότι η ρύθμιση για την υποχρέωση γνωστοποίησης περιστατικού παραβίασης κατά τον GDPR λειτουργεί ως δίκοπο μαχαίρι. Η μεν μη γνωστοποίηση περιστατικού παραβίασης αποτελεί υπό προϋποθέσεις παράβαση του GDPR και οδηγεί σε επιβολή κυρώσεων, μόλις γίνει αντιληπτή. Η δε γνωστοποίηση με τη σειρά της ανοίγει τον ασκό του Αιόλου για τη διαπίστωση λοιπών παραβάσεων από την εποπτική αρχή και την επιβολή προστίμων.

3. Το ύψος του επιβληθέντος προστίμου κρίνεται αναμενόμενο, δεδομένου ότι εν προκειμένω η καταγγελθείσα εταιρεία Β, όπως επισημαίνεται στην εν λόγω απόφαση «αγνοούσε παντελώς τις υποχρεώσεις συμμόρφωσης της προς τις επιταγές του ΓΚΠΔ, επιπλέον δε, ουδεμία διάθεση συμμόρφωσης επέδειξε». Αυτό ενδέχεται πάντως να οφειλόταν στο ότι η εταιρεία Β θεωρούσε εσφαλμένα, όπως προέβαλε με ένσταση ενώπιον της ΑΠΔΠΧ, ότι δεν υπάγεται στο πεδίο εφαρμογής του GDPR, επικαλούμενη συγκεκριμένα συνδετικά στοιχεία της με τρίτα κράτη εκτός Ευρωπαϊκής Ένωσης.