Απόφαση

Η Αρχή, με την απόφαση 9/2020, αποφάσισε τον ορισμό απαιτήσεων για τη διαπίστευση των φορέων παρακολούθησης, όπως αυτοί ορίζονται στο άρθρο 41 του ΓΚΠΔ, και οι οποίοι σχετίζονται με κώδικα δεοντολογίας για τον οποίο η Αρχή είναι αρμόδια σύμφωνα με το άρθρο 55 του ΓΚΠΔ. Οι εν λόγω απαιτήσεις διαπίστευσης, οι οποίες βασίζονται στις κατευθυντήριες γραμμές 1/2019 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ), δεν αφορούν, κατ’ αρχάς, την περίπτωση φορέων παρακολούθησης κωδίκων δεοντολογίας του άρθρου 40 παρ. 3 του ΓΚΠΔ, η οποία έχει εξαιρεθεί και από τις ως άνω κατευθυντήριες γραμμές και θα εξεταστεί ειδικώς σε άλλες κατευθυντήριες γραμμές του ΕΣΠΔ. Η Αρχή υπέβαλε τις απαιτήσεις διαπίστευσης των φορέων παρακολούθησης των κωδίκων δεοντολογίας στο ΕΣΠΔ, σύμφωνα με τον προβλεπόμενο στο άρθρο 63 του ΓΚΠΔ μηχανισμό συνεκτικότητας, οι οποίες θα δημοσιοποιηθούν από την Αρχή μετά την ολοκλήρωση της εν λόγω διαδικασίας.

Η Αρχή, με την απόφαση 8/2020, αποφάσισε τον ορισμό συμπληρωματικών, σε σχέση με το πρότυπο EN-ISO/IEC 17065/2012, απαιτήσεων για τη διαπίστευση των φορέων που χορηγούν πιστοποιήσεις σε υπευθύνους επεξεργασίας και εκτελούντες προς εκπλήρωση της υποχρέωσής της όπως απορρέει από το άρθρο 43 παρ. 1 στοιχείο β) και παρ. 3 του ΓΚΠΔ, καθώς και από το άρθρο 37 παρ. 1 του ν. 4624/2019. Οι εν λόγω συμπληρωματικές απαιτήσεις διαπίστευσης βασίζονται στις κατευθυντήριες γραμμές 4/2018 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ) και εφαρμόζονται από το Εθνικό Σύστημα Διαπίστευσης (ΕΣΥΔ) κατά τη διαδικασία διαπίστευσης των φορέων πιστοποίησης σε συνδυασμό με το ως άνω πρότυπο. Η Αρχή υπέβαλε τις συμπληρωματικές απαιτήσεις διαπίστευσης στο ΕΣΠΔ σύμφωνα με τον προβλεπόμενο στο άρθρο 63 του ΓΚΠΔ μηχανισμό συνεκτικότητας και δεν τις δημοσιοποιεί μέχρι την ολοκλήρωση της εν λόγω διαδικασίας.

Η καταγγελλόμενη ασφαλιστική εταιρία παραβίασε το δικαίωμα διαγραφής των δεδομένων προσωπικού χαρακτήρα του υποκειμένου υποκαθιστώντας το με την ανωνυμοποίηση αυτών. Η επίκληση της πολιτικής διαχείρισης των δεδομένων προσωπικού χαρακτήρα καθώς και η επιλογή των τεχνικών προδιαγραφών του πληροφοριακού συστήματος της ασφαλιστικής εταιρείας στο μέτρο που δεν βρίσκουν έρεισμα στον ΓΚΠΔ δεν συνιστούν νόμιμο λόγο παράλειψης ικανοποίησης του δικαιώματος διαγραφής. Η Αρχή απηύθυνε στην καταγγελλόμενη ασφαλιστική εταιρεία, ως υπεύθυνο επεξεργασίας, επίπληξη για την παραβίαση του δικαιώματος διαγραφής. Η Αρχή επιφυλάσσεται να κρίνει τη νομιμότητα της διατήρησης επί πενταετία των δεδομένων προσωπικού χαρακτήρα που συνελέγησαν κατά το προσυμβατικό στάδιο στο πλαίσιο της εξέτασης του σχεδίου Κώδικα Δεοντολογίας της Ένωσης Ασφαλιστικών Εταιρειών που έχει υποβληθεί προς έγκριση στην Αρχή.

Η Αρχή εξέτασε καταγγελία κατά υπευθύνου επεξεργασίας για μη ικανοποίηση του δικαιώματος πρόσβασης, το οποίο άσκησε ο πατέρας για λογαριασμό του ανήλικου τέκνου  του ασκώντας τη γονική μέριμνα. Ο υπεύθυνος επεξεργασίας δεν συμμορφώθηκε με τη σχετική εντολή της Αρχής για ικανοποίηση του δικαιώματος πρόσβασης του προσφεύγοντος στα προσωπικά δεδομένα του ανήλικου τέκνου του, όπως προκύπτει από σχετικό έγγραφο της Αρχής. Η Αρχή έδωσε εντολή στον υπεύθυνο επεξεργασίας να χορηγήσει τα αιτηθέντα έγγραφα στον καταγγέλλοντα, συμπεριλαμβανομένων και των φορολογικών παραστατικών. Επέβαλε διοικητικό πρόστιμο τριών χιλιάδων (3.000) ευρώ στον υπεύθυνο επεξεργασίας για μη ικανοποίηση του δικαιώματος πρόσβασης.

Καταγγέλλων στην Αρχή, φυσικό πρόσωπο, ζήτησε από την καταγγελλόμενη εταιρεία, ως υπεύθυνο επεξεργασίας, αντίγραφο της εικόνας του από το σύστημα βιντεοεπιτήρησης που λειτουργούσε στο χώρο της γραμματείας της εν λόγω εταιρείας καθώς και αντίγραφα εγγράφων που τον αφορούν. Η εταιρεία αποκρίθηκε με ιδιαίτερη καθυστέρηση στο αίτημα του καταγγέλλοντος και μόνο μετά την παρέμβαση ανεξάρτητων δημόσιων αρχών. Με την απάντησή της η εταιρεία δεν χορήγησε αντίγραφο της εικόνας του φυσικού προσώπου, υποστηρίζοντας ότι το σύστημα βιντεοεπιτήρησης στο χώρο της γραμματείας δεν ήταν σε θέση να καταγράφει, κατά το χρόνο της επίσκεψης του καταγγέλλοντος. Η Αρχή, αφού έκρινε ότι δεν αποδεικνύονται οι ισχυρισμοί της εταιρείας σχετικά με τη μη λειτουργία του συστήματος, επέβαλε πρόστιμο πέντε χιλιάδων ευρώ για τη μη ικανοποίηση του δικαιώματος πρόσβασης.

Κατόπιν καταγγελίας στην Αρχή ότι η ΔΕΗ Α.Ε. δεν ικανοποίησε το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων σε πληροφορίες που το αφορούν, η Αρχή επέβαλε στη ΔΕΗ Α.Ε. διοικητικό πρόστιμο ύψους πέντε χιλιάδων ευρώ. Η ΔΕΗ Α.Ε., ως υπεύθυνος επεξεργασίας, μετά την παρέλευση ενός μηνός από την παραλαβή του αιτήματος, δεν απάντησε προς την καταγγέλλουσα σχετικά με την αδυναμία άμεσης ικανοποίησης του αιτήματός της, και λαμβάνοντας υπόψη την υποτροπή της λόγω της προηγούμενης ίδιας παράβασης που διαπιστώθηκε με την απόφαση της Αρχής 15/2019, η Αρχή έκρινε ομόφωνα ότι, στη συγκεκριμένη περίπτωση, με βάση τις περιστάσεις που διαπιστώθηκαν, θα πρέπει να επιβληθεί αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο για την τιμωρία της παράνομης αυτής συμπεριφοράς.

Κατόπιν καταγγελίας στην Αρχή για παράνομη επεξεργασία των ανακληθεισών ιδιόγραφων διαθηκών του καταγγέλλοντος από τους καταγγελλόμενους με απόκρυψη της ανάκλησης, παράλλαξη και νόθευση της φύσεως τους, και τη χρήση τους ενώπιον δικαστηρίου, η Αρχή απέρριψε την καταγγελία λόγω αναρμοδιότητας με την αιτιολογία ότι ο φάκελος της δικογραφίας εκκρεμούς δίκης δεν αποτελεί αρχείο, το οποίο υπάγεται στις αρμοδιότητες και τον έλεγχο της Αρχής.

Η Αρχή απέρριψε αίτημα διαγραφής αλλοδαπού από τον Εθνικό Κατάλογο Ανεπιθύμητων Αλλοδαπών, στο οποίο καταχωρίσθηκε λόγω παράβασης του άρθρου 82 παρ. 4 ν. 3386/2005. Το αίτημα απορρίφθηκε για τον λόγο ότι ο αιτών επανήλθε παράνομα στη χώρα μας, και επειδή προ της παρέλευσης τριετίας από την αρχική εγγραφή του αποφασίστηκε η διατήρηση της καταχώρισής του στον εν λόγω κατάλογο και στη συνέχεια στο πλαίσιο επανεξέτασης του διοικητικού μέτρου αποφασίσθηκε η επιβολή εκ νέου της απαγόρευσης εισόδου του στη χώρα.