GDPR: Ημέρα προστασίας δεδομένων – Top 14 προστίμων
Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 24/01/2020
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)
Η 28η Ιανουαρίου έχει καθιερωθεί από το Συμβούλιο Υπουργών του Συμβουλίου της Ευρώπης, ήδη από το 2007, ως Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων. Ο 14ος εορτασμός της, που θα λάβει χώρα πολύ σύντομα, αποσκοπεί στην ενημέρωση και ευαισθητοποίηση των πολιτών για τα οικεία ζητήματα. Με έναυσμα, λοιπόν, την ημέρα αυτή, παρουσιάζονται τα 14 μεγαλύτερα πρόστιμα που επιβλήθηκαν σε 14 διαφορετικά κράτη μέλη κατά την εφαρμογή του GDPR για το έτος 2019. Επιλέγονται από το σύνολο των δημοσιευθέντων αποφάσεων στην ιστοσελίδα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ).
Υπενθυμίζεται ότι το ΕΣΠΔ αποτελεί δημιούργημα του GDPR, ως ένας ανεξάρτητος ευρωπαϊκός οργανισμός. Αποστολή του είναι να συμβάλει στη συνεκτική εφαρμογή των κανόνων προστασίας δεδομένων στην Ευρωπαϊκή Ένωση και να προάγει τη συνεργασία μεταξύ των εθνικών εποπτικών αρχών.
Τονίζεται επίσης ότι ο GDPR αποτελεί νομοθετικό κείμενο πανευρωπαϊκής εφαρμογής. Γι’ αυτό, παρά τις όποιες διαφοροποιήσεις που εισάγουν εθνικοί νόμοι, οι αποφάσεις επιβολής προστίμων σε άλλα κράτη μέλη αποτελούν χρήσιμο μπούσουλα και για την Ελλάδα.
14. Βέλγιο – πρόστιμο 10.000 ευρώ
Η υπόθεση (Σεπτέμβριος 2019) αφορούσε επιχειρηματία ο οποίος για την έκδοση κάρτας επιβράβευσης σε πελάτη απαιτούσε οπωσδήποτε τη χρήση της ταυτότητας του. Το πρόστιμο επιβλήθηκε τόσο για παραβίαση της αρχής της ελαχιστοποίησης όσο και για την απουσία νόμιμης βάσης επεξεργασίας των προσωπικών δεδομένων. Έτσι, κρίθηκε ιδίως ότι τα προσωπικά δεδομένα που συλλέγονταν υπερέβαιναν το αναγκαίο μέτρο για τον συγκεκριμένο σκοπό, ήτοι την έκδοση κάρτας επιβράβευσης.
13. Ισπανία – πρόστιμο 30.000 ευρώ
Η υπόθεση (Οκτώβριος 2019) αφορούσε αεροπορική εταιρεία, η οποία στην ιστοσελίδα της δεν παρείχε τη δυνατότητα καθορισμού των cookies που θα εγκαθίσταντο στον υπολογιστή του επισκέπτη. Το πρόστιμο επιβλήθηκε γιατί οι επισκέπτες ενημερώνονταν μεν με σχετική Πολιτική για τα cookies, δεν υπήρχε όμως μηχανισμός αποδοχής ή απόρριψης των cookies.
12. Ουγγαρία – πρόστιμο 35.000 ευρώ
Η υπόθεση (Μάρτιος 2019) αφορούσε ιστοσελίδα πολιτικού κόμματος από την οποία μέσω hacking είχε αφαιρεθεί λίστα με προσωπικά δεδομένων περίπου 6.000 υποστηρικτών του. Στη συνέχεια, η λίστα είχε καταστεί ελευθέρως προσβάσιμη. Ο hacker είχε μάλιστα την ευγένεια να ενημερώσει σχετικά την εποπτική αρχή! Το πρόστιμο επιβλήθηκε γιατί δεν έλαβε χώρα γνωστοποίηση του περιστατικού παραβίασης προσωπικών δεδομένων στην εποπτική αρχή και στα υποκείμενα των προσωπικών δεδομένων από το πολιτικό κόμμα. Σημειώνεται ότι τα πολιτικά φρονήματα αποτελούν κατηγορία προσωπικών δεδομένων που χρήζουν αυξημένης προστασίας κατά τον GDPR.
11. Σουηδία – πρόστιμο 35.000 ευρώ
Η υπόθεση (Δεκέμβριος 2019) αφορούσε ιστοσελίδα εταιρείας, στην οποία δημοσιεύονται προσωπικά δεδομένα Σουηδών άνω των 16 ετών, ήτοι περισσότερων από 8.000.000 ατόμων. Το πρόστιμο επιβλήθηκε για την παράνομη δημοσίευση πληροφοριών σχετικά με ιστορικό μη πληρωμών και ιστορικό για ποινικές καταδίκες. Σημειώνεται ότι οι ποινικές καταδίκες αποτελούν κατηγορία προσωπικών δεδομένων που χρήζουν αυξημένης προστασίας κατά τον GDPR.
10. Λιθουανία – πρόστιμο 61.500 ευρώ
Η υπόθεση (Μάιος 2019) αφορούσε εταιρεία παροχής τραπεζικών υπηρεσιών, στην ιστοσελίδα της οποίας κατέστη δημόσια η λίστα των πληρωμών που είχαν πραγματοποιηθεί μέσω αυτής, καθώς και άλλα στοιχεία. Το πρόστιμο επιβλήθηκε ιδίως γιατί η εταιρεία συνέλεγε περισσότερα προσωπικά δεδομένα από όσα ήταν αναγκαίο, τα διατηρούσε περισσότερο χρόνο από όσο ήταν αναγκαίο, δεν είχε λάβει τα δέοντα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων και δεν προέβη σε γνωστοποίηση περιστατικού παραβίασης στην εποπτική αρχή.
9. Ρουμανία – πρόστιμο 150.000 ευρώ
Η υπόθεση (Οκτώβριος 2019) αφορούσε τράπεζα η οποία προέβη σε γνωστοποίηση περιστατικού παραβίασης στην εποπτική αρχή. Το περιστατικό παραβίασης έλαβε χώρα μέσω δύο υπαλλήλων της τράπεζας, οι οποίοι λάμβαναν προσωπικά δεδομένα φυσικών προσώπων από άλλη εταιρεία, τα οποία στη συνέχεια επεξεργάζονταν, προκειμένου να κριθεί η χορήγηση πιστώσεων. Τα τυχόν αρνητικά αποτελέσματα των σχετικών αξιολογήσεων κοινοποιούνταν στη συνέχεια στην εταιρεία που τους τροφοδοτούσε με προσωπικά δεδομένα, κατά παράβαση εσωτερικών διαδικασιών. Το πρόστιμο επιβλήθηκε γιατί η τράπεζα δεν είχε λάβει τα δέοντα μέτρα, με αποτέλεσμα να λάβουν χώρα τα ως άνω για περίπου 1.200 πρόσωπα.
8. Νορβηγία – πρόστιμο 170.000 ευρώ
H υπόθεση (Μάρτιος 2019) αφορούσε ονόματα χρήστη και κωδικούς μαθητών, καθώς και εργαζομένων σχολείων στο δίκτυο υπολογιστών του δήμου, τα οποία ήταν ελευθέρως προσβάσιμα. Ο αριθμός των εν λόγω λογαριασμών υπερέβαινε τους 35.000. Το πρόστιμο επιβλήθηκε για την απουσία των δεόντων μέτρων ασφαλείας, με αποτέλεσμα να είναι εφικτή για οποιονδήποτε η δυνατότητα σύνδεσης στα πληροφοριακά συστήματα σχολείου και η απόκτηση πρόσβασης σε προσωπικά δεδομένα μαθητών και εργαζομένων. Σημειώνεται ότι κατά τον GDPR τα παιδιά αποτελούν υποκείμενα προσωπικών δεδομένων που χρήζουν αυξημένης προστασίας.
7. Δανία – πρόστιμο 200.000 ευρώ
Η υπόθεση (Ιούνιος 2019) αφορούσε εταιρεία πώλησης επίπλων για την αποθήκευση προσωπικών δεδομένων περίπου 385.000 πελατών σε σύστημα επεξεργασίας προσωπικών δεδομένων, στο οποίο αυτά τηρούνταν εσαεί. Το πρόστιμο επιβλήθηκε για την επεξεργασία προσωπικών δεδομένων για μεγαλύτερο διάστημα από αυτό που απαιτείτο.
6. Ελλάδα – πρόστιμο 200.000 ευρώ επί 2
Πρόκειται για τη γνωστή υπόθεση (Οκτώβριος 2019) εταιρείας τηλεπικοινωνιών, η οποία έχει τύχει ειδικότερης ανάλυσης στη διαδικτυακή πύλη. Υπενθυμίζεται ότι εν προκειμένω επιβλήθηκε διπλό πρόστιμο ύψους 200.000 ευρώ έκαστο λόγω τεχνικών προβλημάτων εφαρμογών που οδηγούσαν στην ανακρίβεια των τηρούμενων προσωπικών δεδομένων, με αποτέλεσμα την παράνομη διενέργεια προωθητικών κλήσεων. Επίσης, για τεχνική δυσλειτουργία που στερούσε τη δυνατότητα διαγραφής από λίστες παραληπτών διαφημιστικών emails.
5. Πολωνία – πρόστιμο 645.000 ευρώ
Η υπόθεση (Σεπτέμβριος 2019) αφορούσε διαδικτυακό κατάστημα (e-shop), στο οποίο έλαβε χώρα περιστατικό παραβίασης, με αποτέλεσμα τη διαρροή προσωπικών δεδομένων περίπου 2.200.000 προσώπων. Τα εν λόγω πρόσωπα αντιμετώπισαν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες τους λόγω του περιστατικού. Το πρόστιμο επιβλήθηκε για παραβίαση της αρχής της εμπιστευτικότητας των προσωπικών δεδομένων, καθώς και την απουσία των αναγκαίων τεχνικών και οργανωτικών μέτρων για την προστασία των προσωπικών δεδομένων.
4. Γερμανία – πρόστιμο 14.500.000 ευρώ
Η υπόθεση (Οκτώβριος 2019) αφορούσε εταιρεία που χώρου του real estate, η οποία χρησιμοποιούσε σύστημα αρχειοθέτησης προσωπικών δεδομένων ενοικιαστών δίχως δυνατότητα διαγραφής. Το πρόστιμο επιβλήθηκε για παραβίαση των αρχών επεξεργασίας και μη προστασία των προσωπικών δεδομένων από το σχεδιασμό και εξ ορισμού. Σημειώνεται ότι κατά την επιβολή του προστίμου λήφθηκε υπόψη ότι η εταιρεία είχε το 2018 κύκλο εργασιών που υπερέβαινε το 1,4 δις ευρώ.
3. Αυστρία – πρόστιμο 18.000.000 ευρώ
Η υπόθεση (Οκτώβριος 2019) αφορούσε την εθνική εταιρεία ταχυδρομικών υπηρεσιών η οποία προέβη στην επεξεργασία προσωπικών δεδομένων πολιτών για να βγάλει συμπεράσματα ως προς τις πολιτικές πεποιθήσεις τους. Tα προσωπικά δεδομένα αξιοποιούνταν στη συνέχεια για την προσφορά προωθητικών πακέτων σε πολιτικά κόμματα ή πωλούνταν σε αυτά για στοχευμένες προωθητικές ενέργειες. Παράνομη επεξεργασία προσωπικών δεδομένων διαπιστώθηκε και ως προς την επεξεργασία δεδομένων σχετικά με τη συχνότητα κατά την οποία παραδίδονταν δέματα, καθώς και τη συχνότητα αλλαγής διεύθυνσης των πελατών.
2. Γαλλία – πρόστιμο 50.000.000 ευρώ
Η πολύ γνωστή υπόθεση (Ιανουάριος 2019) αφορούσε τη Google και πιο συγκεκριμένα καταγγελίες σε βάρος της για την απουσία νόμιμης βάσης ως προς την επεξεργασία προσωπικών δεδομένων των χρηστών των υπηρεσιών της, ιδίως για τον σκοπό της εξατομικευμένης διαφήμισης. Το πρόστιμο επιβλήθηκε για απουσία διαφάνειας, ακατάλληλη ενημέρωση και απουσία έγκυρης συγκατάθεσης σχετικά με την επεξεργασία προσωπικών δεδομένων για εξατομικευμένες διαφημίσεις.
1. Ηνωμένο Βασίλειο – πρόστιμο 220.000.000 ευρώ
Και την 1η θέση του πρωταθλητή καταλαμβάνει το Ηνωμένο Βασίλειο, για το οποίο το μεγαλύτερο πρόστιμο δημοσιευθέν στην ιστοσελίδα του ΕΣΠΔ είναι περίπου 220.000.000 ευρώ (Ιούλιος 2019). Η υπόθεση αφορούσε περιστατικό παραβίασης σε ιστοσελίδα αεροπορικής εταιρείας. Η εν λόγω ιστοσελίδα κατηύθυνε τους επισκέπτες της σε τρίτη κακόβουλη ιστοσελίδα. Μέσω της τρίτης ιστοσελίδας συλλέγονταν τα προσωπικά δεδομένα των επισκεπτών από κακόβουλους. Το περιστατικό αφορούσε περίπου 500.000 χρήστες. Πέραν αυτού, εν γένει η ιστοσελίδα της αεροπορικής εταιρείας έπασχε από άποψη ασφαλείας. Σημειώνεται ότι το ως άνω ποσό αφορά ανακοίνωση πρόθεσης επιβολής προστίμου από την αρμόδια εποπτική αρχή. Η επιβολή του οριστικού προστίμου ακόμη αναμένεται.