14. Νέες Τεχνολογίες
Γνωμοδότηση της Αρχής επί σχεδίου Κοινής Υπουργικής Απόφασης για τη διαδικασία λήψης, τήρησης και καταστροφής των βιομετρικών δεδομένων για τις άδειες διαμονής ενιαίου τύπου υπηκόων τρίτων χωρών (άρ. 1 παρ. 87 του ν. 4018/2011)
Χρήση συστήματος γεωεντοπισμού σε οχήματα εργαζομένων
Επιβολή προστίμου στην «ΟΛΥΜΠΙΩΝ ΞΕΝΟΔΟΧΕΙΩΝ ΑΕ», με διακριτικό τίτλο Royal Olympic, για τη μη τήρηση κατάλληλων μέτρων ασφάλειας που οδήγησε σε περιστατικό παραβίασης προσωπικών δεδομένων
Επιβολή στην καταγγελλόμενη εταιρεία, ως υπεύθυνο επεξεργασίας, της διοικητικής κύρωσης της προειδοποίησης, με αποκλειστική προθεσμία ενός μηνός από τη λήψη της απόφασης της Αρχής, για να τερματίσει την καταγγελλόμενη επεξεργασία (δημοσιοποίηση) απλών δεδομένων προσωπικού χαρακτήρα εργαζομένων της
Επίπληξη στην εταιρεία DIMERA GROUP ΕΜΠΟΡΙΟ ΑΘΛΗΤΙΚΩΝ ΕΙΔΩΝ ΜΕΠΕ
Η εταιρεία «DIMERA GROUP ΕΜΠΟΡΙΟ ΑΘΛΗΤΙΚΩΝ ΕΙΔΩΝ ΜΟΝΟΠΡΟΣΩΠΗ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΕΥΘΥΝΗΣ» υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το άρ. 33 του Γενικού Κανονισμού (ΕΕ) 2016/679. Το εν λόγω περιστατικό αφορούσε επίθεση ασφαλείας η οποία ήταν αποτέλεσμα κακόβουλης εξωτερικής ενέργειας («hacking»). H DIMERA υπέβαλε την ως άνω γνωστοποίηση στην Αρχή εντός 72 ωρών από τη στιγμή που έλαβε γνώση του περιστατικού και πραγματοποίησε αμέσως ενέργειες για τη διερεύνηση και αντιμετώπισή του, ενώ επίσης ενημέρωσε τα πρόσωπα (πελάτες τους ηλεκτρονικού της καταστήματος) των οποίων τα δεδομένα διέρρευσαν.
Η Αρχή, εξετάζοντας τη γνωστοποίηση στο σύνολό της, όπως αυτή συμπληρώθηκε, αλλά και τα μέτρα ασφάλειας που ήταν σε εφαρμογή πριν από το περιστατικό, απηύθυνε, με την απόφαση 67/2018, επίπληξη στη DIMERA σύμφωνα με το άρ. 58 παρ. 2 στοιχ. β’ του ΓΚΠΔ για παραβίαση του άρ. 32 του ΓΚΠΔ αναφορικά με την ασφάλεια της επεξεργασίας –και, κατ’ επέκταση και του άρ. 5 παρ. 1 στοιχ. στ’ του ΓΚΠΔ– λόγω του ότι η εταιρεία δεν είχε λάβει μέριμνα για επικαιροποίηση (ενημέρωση) του χρησιμοποιούμενου λογισμικού, δεν διέθετε επαρκείς μηχανισμούς για την ανίχνευση αυτών των επιθέσεων και δεν διέθετε διαδικασίες για την τακτική αξιολόγηση των μέτρων ασφάλειας. Η Αρχή έλαβε υπόψη για την εν λόγω απόφαση ότι η εταιρεία αμέσως μόλις έλαβε γνώση του περιστατικού προέβη σε όλες τις απαραίτητες ενέργειες, υλοποιώντας και μέτρα ασφάλειας για τη θωράκιση της ασφάλειας στο μέλλον.
Γνωστοποίηση περιστατικού παραβίασης - Μη επιβολή κυρώσεων
H «Βιοϊατρική Διαγνωστικό Κέντρο ΑΕ» υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα που περιγράφει μεμονωμένο περιστατικό εκ παραδρομής αποστολής αποτελεσμάτων ιατρικών εξετάσεων εξεταζόμενου σε τρίτο πρόσωπο μέσω φαξ. Η Αρχή έκρινε ότι δεν φαίνεται να υπάρχει κάποιο ζήτημα σε σχέση με τη διαχείριση του συγκεκριμένου μεμονωμένου περιστατικού και ότι δεν απαιτείται να ασκήσει κάποια από τις προβλεπόμενες στο άρθρο 58 παρ. 2 του ΓΚΠΔ διορθωτικές εξουσίες της.