GDPR: Ημέρα προστασίας δεδομένων – Top 15 προστίμων
Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 1/03/2021
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)
Την 28η Ιανουαρίου εορτάστηκε για 15η φορά η Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων. Η καθιέρωσή της από το Συμβούλιο Υπουργών του Συμβουλίου της Ευρώπης, ήδη από το 2007, αποσκοπεί στην ενημέρωση και ευαισθητοποίηση των πολιτών για τα οικεία ζητήματα. Με έναυσμα τον εορτασμό της και τον σκοπό που αυτός υπηρετεί, λοιπόν, παρουσιάζονται τα 15 μεγαλύτερα πρόστιμα με αύξουσα σειρά που επιβλήθηκαν σε 15 διαφορετικά κράτη του Ευρωπαϊκού Οικονομικού Χώρου, ήτοι τα κράτη μέλη της Ευρωπαϊκής Ένωσης, τη Νορβηγία, την Ισλανδία και το Λιχτενστάιν, κατά την εφαρμογή του GDPR για το έτος 2020.
Τα πρόστιμα που παρουσιάζονται έχουν αντληθεί από τις σχεδόν 60 αποφάσεις που δημοσιεύθηκαν στην ιστοσελίδα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ) κατά το απελθόν έτος. Αυτές εκδόθηκαν από τις εποπτικές αρχές του Βελγίου, της Γερμανίας, της Δανίας, της Ελλάδας, της Εσθονίας, της Ιρλανδίας, της Ισλανδίας, της Ισπανίας, της Ιταλίας, της Κύπρου, της Λιθουανίας, της Νορβηγίας, της Ολλανδίας, της Ουγγαρίας, της Πολωνίας, της Σουηδίας και της Φινλανδίας. Εντύπωση πάντως προκαλεί η απουσία από την ιστοσελίδα σημαντικών αποφάσεων του συνόλου των εποπτικών αρχών, όπως π.χ. της Γαλλίας, καθώς και αυτή επέβαλε μεγάλα πρόστιμα κατά το 2020.
Υπενθυμίζεται ότι το ΕΣΠΔ αποτελεί όργανο της Ευρωπαϊκής Ένωσης, κατά ρητή πρόβλεψη του GDPR. Αποστολή του πρωτίστως είναι να συμβάλει στη συνεκτική εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων. Τονίζεται επίσης ότι ο GDPR αποτελεί νομοθετικό κείμενο πανευρωπαϊκής εφαρμογής. Γι’ αυτό, παρά τις όποιες διαφοροποιήσεις που εισάγουν εθνικοί νόμοι με ειδικότερα μέτρα εφαρμογής του, οι αποφάσεις επιβολής προστίμων σε άλλα κράτη, στα οποία εφαρμόζεται, αποτελούν χρήσιμο μπούσουλα και για την Ελλάδα.
Δείτε την αντίστοιχη περσινή ανάπτυξη με τίτλο «GDPR: Ημέρα προστασίας δεδομένων – Top 14 προστίμων», που επιτρέπει σχετικές συγκρίσεις.
15. Λιθουανία – πρόστιμο 15.000 ευρώ
Η υπόθεση (Οκτώβριος 2020) αφορούσε υιοθετήσαντα γονέα ο οποίος υπέβαλε αίτηση για την εκπαίδευση του υιοθετηθέντος τέκνου του στη δημοτική αρχή, δηλώνοντας την ηλεκτρονική διεύθυνση του. Στο πληροφοριακό σύστημα της δημοτικής αρχής όμως, στο οποίο η ηλεκτρονική διεύθυνση καταχωρήθηκε, έλαβε χώρα αυτόματη αντικατάστασή της από την ηλεκτρονική διεύθυνσή ενός εκ των βιολογικών γονέων του παιδιού. Αυτό ήταν αποτέλεσμα της διασύνδεσης τού εν λόγω πληροφοριακού συστήματος με άλλο δημόσιο μητρώο και της αυτόματης εναρμόνισής του με το περιεχόμενο του τελευταίου ανά τακτά χρονικά διαστήματα. Κρίθηκε, λοιπόν, εν προκειμένω, ότι παραβιάσθηκε η αρχή της ακρίβειας των προσωπικών δεδομένων, καθώς και η αρχή της ακεραιότητας και εμπιστευτικότητας αυτών.
14. Δανία – πρόστιμο 20.172 ευρώ
Η υπόθεση (Αύγουστος 2020) αφορούσε εταιρεία διαχείρισης ακινήτων η οποία συνέδραμε άλλο νομικό πρόσωπο για την πώληση τριών ιδιοκτησιών. Στο πλαίσιο της συνδρομής της, η εταιρεία διαχείρισης παρείχε υλικό για τις εν λόγω ιδιοκτησίες στα πρόσωπα που διέμεναν σε αυτές, μέσω της χορήγησης σε αυτά 424 USB sticks. Μέρος του διανεμηθέντος υλικού όμως, περιείχε προσωπικά δεδομένα εμπιστευτικού χαρακτήρα, εν αγνοία της εταιρείας διαχείρισης, τα οποία δεν έπρεπε να κοινολογηθούν. Όπως κρίθηκε, το περιστατικό ήταν αποτέλεσμα της μη εφαρμογής κατάλληλων τεχνικών και οργανωτικών μέτρων. Σημειώνεται ότι δεν πρόκειται για οριστικό πρόστιμο, αλλά για πρόταση επιβολής προστίμου, καθώς και ότι δεν προσδιορίστηκε σε ευρώ, αλλά στο εθνικό νόμισμα.
13. Ισλανδία – πρόστιμο 20.643 ευρώ
Η υπόθεση (Μάρτιος 2020) αφορούσε μη κυβερνητική οργάνωση δραστηριοποιούμενη κυρίως στο χώρο της υγείας, η οποία αντιμετώπισε περιστατικό παραβίασης προσωπικών δεδομένων. Το περιστατικό εκδηλώθηκε όταν πρώην εργαζόμενος παρέλαβε κουτιά τα οποία υποτίθεται περιείχαν προσωπικά αντικείμενά του από το χρονικό διάστημα απασχόλησής του στη μη κυβερνητική οργάνωση. Στην πραγματικότητα, όμως, τα κουτιά περιείχαν προσωπικά δεδομένα υγείας 252 πρώην ασθενών, καθώς και τα ονοματεπώνυμα περίπου 3.000 ατόμων οι οποίοι είχαν λάβει υπηρεσίες στήριξης λόγω εξάρτησής τους από το αλκοόλ και εθιστικές ουσίες. Όπως κρίθηκε, το περιστατικό παραβίασης ήταν αποτέλεσμα της μη εφαρμογής κατάλληλων πολιτικών προστασίας προσωπικών δεδομένων, καθώς και κατάλληλων τεχνικών και οργανωτικών μέτρων. Σημειώνεται ότι το πρόστιμο δεν βεβαιώθηκε σε ευρώ, αλλά στο εθνικό νόμισμα.
12. Πολωνία – πρόστιμο 22.134 ευρώ
Η υπόθεση (Σεπτέμβριος 2020) αφορούσε κρατική ιστοσελίδα στην οποία δημοσιεύονται χωρικές πληροφορίες υπό την ευθύνη του General Surveyor της Πολωνίας. Μεταξύ των στοιχείων που δημοσιεύονταν, περιλαμβάνονταν και αριθμοί καταχώρισης ιδιοκτησιών, οι οποίοι είχαν αντληθεί από μητρώα ακινήτων. Για τη δημοσίευση αυτών όμως, δεν υπήρχε η αναγκαία προς τούτο νομική βάση, ήτοι σχετική νομοθετική πρόβλεψη. Όπως κρίθηκε, κατ’ αυτόν τον τρόπο παραβιάστηκε η αρχή της νομιμότητας της επεξεργασίας των προσωπικών δεδομένων. Σημειώνεται ότι το πρόστιμο επιβλήθηκε στον General Surveyor όχι σε ευρώ, αλλά στο εθνικό νόμισμα.
11. Ισπανία – πρόστιμο 75.000 ευρώ
Η υπόθεση (Νοέμβριος 2020) αφορούσε εταιρεία τηλεπικοινωνιών, η οποία προέβη σε έκδοση πλήθους τιμολόγιων σε βάρος προσώπου, ενώ τα τιμολόγια αφορούσαν άλλο, τρίτο πρόσωπο. Ο καταγγείλας, ο οποίος δεν ήταν πελάτης της εταιρείας τηλεπικοινωνιών, επικοινώνησε με την τελευταία στην προσπάθειά του να επιλύσει το πρόβλημα της άνευ λόγου χρέωσής του, δίχως επιτυχία. Όπως κρίθηκε, κατ’ αυτό τον τρόπο παραβιάστηκε η αρχή της νομιμότητας της επεξεργασίας, δεδομένου ότι έλαβε χώρα η επεξεργασία των προσωπικών δεδομένων του καταγγείλαντος χωρίς νομική βάση.
10. Κύπρος – πρόστιμο 82.000 ευρώ
Η υπόθεση (Ιανουάριος 2020) αφορούσε τρεις εταιρείες ομίλου εταιρειών, οι οποίες προέβησαν σε αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων εργαζομένων και την κατάρτιση προφίλ τους, στο πλαίσιο της βαθμολόγησης των απουσιών ασθένειάς τους σύμφωνα με το συντελεστή Bradford. Σημειώνεται ότι η φόρμουλα ή συντελεστής Bradford αποτελεί κλίμακα αξιολόγησης των απουσιών του εργαζομένου και κατ’ επέκταση του ίδιου. Με την εφαρμογή του εν λόγω συντελεστή αποδίδεται μεγαλύτερη αρνητική βαρύτητα στις συχνές, σύντομες και μη προγραμματισμένες απουσίες, καθώς θεωρείται ότι αυτές επηρεάζουν δυσμενέστερα έναν οργανισμό, σε σύγκριση με μεγαλύτερης διάρκειας, μεμονωμένες απουσίες. Όπως κρίθηκε, εν προκειμένω παραβιάστηκε η αρχή της νομιμότητας, δεδομένου ότι δεν υπήρχε νομική βάση για την επεξεργασία. Το έννομο συμφέρον του εργοδότη δεν μπορούσε να αποτελέσει τη δέουσα νομική βάση, ούτε συνέτρεχε νομική βάση επεξεργασίας ειδικών κατηγοριών δεδομένων.
9. Εσθονία – πρόστιμο 100.000 ευρώ
Η υπόθεση (Νοέμβριος 2020) αφορούσε τρεις αλυσίδες φαρμακείων, οι οποίες διέθεταν περιβάλλον e-pharmacy. Σε αυτό ήταν δυνατή για τον εκάστοτε χρήστη η εμφάνιση των τρεχουσών συνταγών άλλου προσώπου, χωρίς τη συναίνεση του τελευταίου, με τη χρήση του προσωπικού αριθμού ταυτοποίησής του. Είναι προφανές ότι εν προκειμένω δεν είχαν ληφθεί τα δέοντα τεχνικά και οργανωτικά μέτρα, ώστε να διασφαλιστεί ότι πρόσβαση στις τρέχουσες συνταγές θα είχε μόνο το πρόσωπο το οποίο αφορούσαν, κατά παράβαση της αρχής της ακεραιότητας και εμπιστευτικότητας των προσωπικών δεδομένων.
8. Φινλανδία – πρόστιμο 100.000 ευρώ
Η υπόθεση (Μάιος 2020) αφορούσε μεγάλη εταιρεία παροχής ταχυδρομικών υπηρεσιών. Πλήθος καταγγείλαντες υποστήριξαν ότι έγιναν αποδέκτες προωθητικών ενεργειών από διάφορες εταιρείες, αφού γνωστοποίησαν την αλλαγή της διεύθυνσής τους στην εταιρεία παροχής ταχυδρομικών υπηρεσιών. Όπως καταδείχθηκε από την οικεία έρευνα, η τελευταία δεν είχε ενημερώσει τα υποκείμενα των προσωπικών δεδομένων για τα δικαιώματά τους, συμπεριλαμβανομένου του δικαιώματος εναντίωσης στην κοινολόγηση των προσωπικών δεδομένων τους, κατά τη δήλωση αλλαγής διεύθυνσής τους. Εν προκειμένω κρίθηκε ότι παραβιάστηκε η αρχή της αντικειμενικότητας και διαφάνειας της επεξεργασίας των προσωπικών δεδομένων, με τη μη δέουσα ενημέρωση των υποκειμένων.
7. Νορβηγία – πρόστιμο 276.000 ευρώ
Η υπόθεση (Οκτώβριος 2020) αφορούσε δήμο ο οποίος ήταν υπεύθυνος για τη λειτουργία συστήματος επικοινωνίας μεταξύ σχολείου και κατοικίας, ήτοι συστήματος που παρείχε τη δυνατότητα σε γονείς να επικοινωνούν με το σχολείο των παιδιών τους μέσω portal ή ειδικής εφαρμογής. Η εποπτική αρχή επιλήφθηκε της υπόθεσης κατόπιν γνωστοποίησης περιστατικού παραβίασης σε αυτήν από το δήμο αναφορικά με το εν λόγω σύστημα επικοινωνίας. Όπως κρίθηκε, εν προκειμένω δεν τηρήθηκε η αρχή της ακεραιότητας και της εμπιστευτικότητας, καθώς δεν είχαν ληφθεί τα δέοντα τεχνικά και οργανωτικά μέτρα για την ασφάλεια των προσωπικών δεδομένων. Σημειώνεται ότι το πρόστιμο δεν βεβαιώθηκε σε ευρώ, αλλά στο εθνικό νόμισμα.
6. Ιρλανδία – πρόστιμο 450.000 ευρώ
Η υπόθεση (Δεκέμβριος 2020) αφορούσε το Twitter. Η εποπτική αρχή επιλήφθηκε της υπόθεσης κατόπιν γνωστοποίησης περιστατικού παραβίασης σε αυτήν από το γνωστό μέσο κοινωνικής δικτύωσης. Όπως κρίθηκε, το τελευταίο παραβίασε τις οικείες υποχρεώσεις γνωστοποίησης, καθώς δεν προέβη στις δέουσες ενέργειες έγκαιρα και με την κατάλληλη τεκμηρίωση. Σημειώνεται ότι κατά τα προβλεπόμενα στον GDPR, η γνωστοποίηση σε εποπτική αρχή πρέπει να λάβει χώρα αμελλητί, και αν είναι δυνατόν εντός 72 ωρών, από τη στιγμή που αποκτάται γνώση του γεγονός της παραβίασης, εκτός αν αυτή η παραβίαση δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Πρέπει να συνοδεύεται επίσης από τη δέουσα τεκμηρίωση.
5. Βέλγιο – πρόστιμο 600.000 ευρώ
Η υπόθεση (Ιούλιος 2020) αφορούσε τη Google. Πολίτης αιτήθηκε τη διαγραφή συνδέσμων με αρνητικές πληροφορίες γι’ αυτόν από τα αποτελέσματα της πασίγνωστης μηχανής αναζήτησης, χωρίς όμως το αίτημά του να γίνει δεκτό. Κατόπιν εξέτασης της υπόθεσης από την εποπτική αρχή, αυτή έκρινε ότι ορισμένοι σύνδεσμοι δεν θα έπρεπε να αφαιρεθούν για λόγους δημοσίου συμφέροντος, δεδομένου ότι ο εμπλεκόμενος πολίτης διαδραμάτιζε ρόλο στη δημόσια ζωή. Άλλοι σύνδεσμοι όμως αφορούσαν αβάσιμες και παρωχημένες πληροφορίες που θα μπορούσαν να τον βλάψουν σοβαρά. Οι τελευταίοι θα έπρεπε να είχαν διαγραφεί από τη Google. Περαιτέρω, εντοπίσθηκε πρόβλημα απουσίας διαφάνειας τόσο στη σχετική φόρμα διαγραφής συνδέσμων, όσο και στην απάντηση την οποία έλαβε ο ενδιαφερόμενος πολίτης.
4. Ολλανδία – πρόστιμο 830.000 ευρώ
Η υπόθεση (Αύγουστος 2020) αφορούσε το εθνικό πιστωτικό μητρώο της Ολλανδίας. Κατόπιν καταγγελιών, διαπιστώθηκε ότι οι ενδιαφερόμενοι είχαν πολλές δυσκολίες να αποκτήσουν πρόσβαση στα προσωπικά δεδομένα τους που τηρούνταν στο εν λόγω μητρώο. Μεταξύ άλλων, υποχρεώνονταν στην καταβολή οικείων τελών για να καταστεί αυτή εφικτή σε ψηφιακή μορφή, σε έντυπη δε μορφή η δωρεάν ικανοποίηση του δικαιώματος πρόσβασης ήταν εφικτή μόνο μια φορά το έτος. Όπως έκρινε η εποπτική αρχή, η επιβολή των οικείων χρεώσεων δεν ήταν επιτρεπτή, η δε διαδικασία ικανοποίησης του δικαιώματος πρόσβασης μέσω ταχυδρομείου έπρεπε αφενός να είναι απλή και αφετέρου να ήταν εφικτή η εκ νέου άσκησή του μετά την πάροδο εύλογου χρονικού διαστήματος.
3. Σουηδία – πρόστιμο 7.000.000 ευρώ
Η υπόθεση (Μάρτιος 2020) αφορούσε τη Google. H εποπτική αρχή διερεύνησε ήδη από το 2017 τις πρακτικές που ακολουθούσε ο κολοσσός του διαδικτύου στα αιτήματα διαγραφής συνδέσμων από τα αποτελέσματα της μηχανής αναζήτησής του. Μεταξύ άλλων παραβάσεων, διαπίστωσε ότι όταν η Google διέγραφε ένα αποτέλεσμα από τη μηχανή αναζήτησής της, ειδοποιούσε στη συνέχεια τον κάτοχο της ιστοσελίδας στην οποία ο σύνδεσμος οδηγούσε. Έτσι, ο τελευταίος ενημερωνόταν αφενός για τη διαγραφή του συνδέσμου και αφετέρου για το πρόσωπο που υπέβαλε το αίτημα διαγραφής. Αυτό επέτρεπε στον κάτοχο της ιστοσελίδας να επαναδημοσιεύσει το επίμαχο περιεχόμενο σε νέο σύνδεσμο, ο οποίος εμφανιζόταν εκ νέου στα αποτελέσματα της μηχανής αναζήτησης. Κατ’ αυτόν τον τρόπο η άσκηση του δικαιώματος διαγραφής ουσιαστικά δεν παρήγε αποτελέσματα. Όπως έκρινε η εποπτική αρχή, η εν λόγω ενημέρωση λάμβανε χώρα κατά παράβαση της αρχής της νομιμότητας της επεξεργασίας των προσωπικών δεδομένων, καθώς δεν υπήρχε νομική βάση. Σημειώνεται ότι το πρόστιμο δεν προσδιορίστηκε σε ευρώ, αλλά στο εθνικό νόμισμα.
2. Ιταλία – πρόστιμο 27.802.496 ευρώ
Η υπόθεση (Φεβρουάριος 2020) αφορούσε εταιρεία τηλεπικοινωνιών που προέβη σε παράνομες προωθητικές ενέργειες σε βάρος εκατομμυρίων ατόμων. Η εποπτική αρχή έλαβε εκατοντάδες καταγγελίες κυρίως για μη ζητηθείσες προωθητικές τηλεφωνικές κλήσεις, χωρίς να υπάρχει η συγκατάθεση των αποδεκτών και ενώ πολλοί εξ αυτών ήταν εγγεγραμμένοι στο ειδικό μητρώο μη λήψης προωθητικών κλήσεων. Είναι χαρακτηριστικό ότι σε μία περίπτωση η εταιρεία είχε επικοινωνήσει με ένα πρόσωπο 155 φορές σε διάστημα ενός μηνός. Στη σωρεία των παραβάσεων που διαπιστώθηκαν περιλαμβάνονταν, μεταξύ άλλων, το αναποτελεσματικό σύστημα διαχείρισης περιστατικών παραβίασης, η πλημμελής εφαρμογή της αρχής της προστασίας των δεδομένων ήδη από τον σχεδιασμό και η μη τήρηση της αρχής του περιορισμού της περιόδου αποθήκευσης των προσωπικών δεδομένων.
1. Γερμανία – πρόστιμο 35.258.707 ευρώ
Και την 1η θέση του πρωταθλητή καταλαμβάνει η Γερμανία (εποπτική αρχή Αμβούργου) για την οποία το μεγαλύτερο πρόστιμο δημοσιευθέν στην ιστοσελίδα του ΕΣΠΔ είναι περίπου 35.260.000 ευρώ. Η υπόθεση (Οκτώβριος 2020) αφορούσε πολυεθνική εταιρεία πώλησης ενδυμάτων. Η εταιρεία προέβαινε παρανόμως, σε εκτενές «φακέλωμα» της ιδιωτικής ζωής πολλών εκ των εργαζομένων της στις εγκαταστάσεις της στη Νυρεμβέργη. Μέσω αυτού, μεταξύ άλλων, καταγράφονταν: οι εμπειρίες από τις διακοπές τους, τα προβλήματα υγείας τα οποία τυχόν είχαν κατά τη διάρκεια της άδειάς τους, ενίοτε οι αντίστοιχες ιατρικές διαγνώσεις, πληροφορίες για «αθώες» λεπτομέρειες της ιδιωτικής καθημερινότητάς τους, οι θρησκευτικές πεποιθήσεις και τα οικογενειακά προβλήματά τους. Στη συνέχεια, τα εν λόγω προσωπικά δεδομένα ήταν κατά περίπτωση διαθέσιμα σε δεκάδες ανώτερα στελέχη της εταιρείας. Αξιοποιούνταν δε στη δημιουργία υπαλληλικού προφίλ, το οποίο διαδραμάτιζε ρόλο στην επαγγελματική εξέλιξή τους. Οι παράνομες πρακτικές της εταιρείας έγιναν απροσδόκητα γνωστές κατόπιν τεχνικού σφάλματος στο οικείο πληροφοριακό σύστημα, το οποίο κατέστησε ευρέως προσβάσιμα τα προσωπικά δεδομένα στο εσωτερικό της.