Άρθρο 5.1.στ : Αρχή της ακεραιότητας και εμπιστευτικότητας

Η ελεγχόμενη εταιρία επεξεργάστηκε δεδομένα προσωπικού χαρακτήρα σε υπολογιστική υποδομή (υλικού και λογισμικού-διακομιστή) χωρίς να τηρήσει το σύνολο των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ και 6 παρ. 1 ΓΚΠΔ που λάμβανε χώρα, αλλά και στο πλαίσιο κάθε μεταγενέστερης ή περαιτέρω επεξεργασίας των ίδιων δεδομένων προσωπικού χαρακτήρα, ούτε απέδειξε κατ’ άρθρο. 5 παρ. 2 ΓΚΠΔ την τήρηση αυτών. Επιπλέον, παραβίασε τις διατάξεις των άρθρων 5 παρ. 1 εδ. α’ και στ’ και παρ. 2 σε συνδυασμό με τα άρθρα 24 παρ. 1 και 2 και 32 παρ. 1 και 2 ΓΚΠΔ σχετικά με την αρχή της ασφαλούς επεξεργασίας (ιδίως της «εμπιστευτικότητας») από τη μη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων, ιδίως εκείνων που αφορούσαν τον φυσικό και λογικό διαχωρισμό υλικού, λογισμικού και δεδομένων ώστε η εταιρία να αντιγράψει παράνομα το σύνολο του περιεχομένου του διακομιστή.

Η Τράπεζα Eurobank Ergasias υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων, σύμφωνα με το άρ. 33 του Κανονισμού (ΕΕ) 2016/679. Το περιστατικό αφορούσε πέντε μεμονωμένες περιπτώσεις κοινοποίησης, μέσω μηνύματος ηλεκτρονικού ταχυδρομείου, δεδομένων πελατών (αποδείξεων και παραστατικών) σε λάθος παραλήπτη. Η Eurobank προέβη σε ανασχεδιασμό της εν λόγω λειτουργίας για να αποκλεισθούν ανθρώπινα λάθη, ενώ επίσης ενημέρωσε τα επηρεαζόμενα από το περιστατικό πρόσωπα.

Η Αρχή, με την απόφαση 69/2018, απηύθυνε με βάση το άρ. 58 παρ. 2 στοιχ. β’ του Κανονισμού, επίπληξη στην Eurobank, ως υπεύθυνο επεξεργασίας, λόγω του ότι η εν λόγω γνωστοποίηση υποβλήθηκε στην Αρχή καθυστερημένα βάσει των σχετικών προβλέψεων του άρ. 33 του Κανονισμού, ήτοι μετά την πάροδο 72 ωρών από τη στιγμή που η Τράπεζα έλαβε γνώση του περιστατικού, χωρίς να τεκμηριώνονται λόγοι για τους οποίους αυτή η καθυστέρηση θα μπορούσε να είναι δικαιολογημένη.

Η εταιρεία «DIMERA GROUP ΕΜΠΟΡΙΟ ΑΘΛΗΤΙΚΩΝ ΕΙΔΩΝ ΜΟΝΟΠΡΟΣΩΠΗ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΕΥΘΥΝΗΣ» υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το άρ. 33 του Γενικού Κανονισμού (ΕΕ) 2016/679. Το εν λόγω περιστατικό αφορούσε επίθεση ασφαλείας η οποία ήταν αποτέλεσμα κακόβουλης εξωτερικής ενέργειας («hacking»). H DIMERA υπέβαλε την ως άνω γνωστοποίηση στην Αρχή εντός 72 ωρών από τη στιγμή που έλαβε γνώση του περιστατικού και πραγματοποίησε αμέσως ενέργειες για τη διερεύνηση και αντιμετώπισή του, ενώ επίσης ενημέρωσε τα πρόσωπα (πελάτες τους ηλεκτρονικού της καταστήματος) των οποίων τα δεδομένα διέρρευσαν.

Η Αρχή, εξετάζοντας τη γνωστοποίηση στο σύνολό της, όπως αυτή συμπληρώθηκε, αλλά και τα μέτρα ασφάλειας που ήταν σε εφαρμογή πριν από το περιστατικό, απηύθυνε, με την απόφαση 67/2018, επίπληξη στη DIMERA σύμφωνα με το άρ. 58 παρ. 2 στοιχ. β’ του ΓΚΠΔ για παραβίαση του άρ. 32 του ΓΚΠΔ αναφορικά με την ασφάλεια της επεξεργασίας –και, κατ’ επέκταση και του άρ. 5 παρ. 1 στοιχ. στ’ του ΓΚΠΔ– λόγω του ότι η εταιρεία δεν είχε λάβει μέριμνα για επικαιροποίηση (ενημέρωση) του χρησιμοποιούμενου λογισμικού, δεν διέθετε επαρκείς μηχανισμούς για την ανίχνευση αυτών των επιθέσεων και δεν διέθετε διαδικασίες για την τακτική αξιολόγηση των μέτρων ασφάλειας. Η Αρχή έλαβε υπόψη για την εν λόγω απόφαση ότι η εταιρεία αμέσως μόλις έλαβε γνώση του περιστατικού προέβη σε όλες τις απαραίτητες ενέργειες, υλοποιώντας και μέτρα ασφάλειας για τη θωράκιση της ασφάλειας στο μέλλον.

Η Τράπεζα Alpha Bank υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων, σύμφωνα με το άρ. 33 του Κανονισμού (ΕΕ) 2016/679. Το περιστατικό αφορούσε ολιγάριθμες μεμονωμένες περιπτώσεις κοινοποίησης παραστατικών πελατών σε διαφορετικό πελάτη της υπηρεσίας Private Banking. Η Τράπεζα προχώρησε σε διερεύνηση και εντοπισμό των λαθών, καθώς επίσης και στη θέσπιση ελεγκτικών μηχανισμών και δικλείδων ασφαλείας για την αποφυγή τους στο μέλλον, ενώ επίσης ενημέρωσε τα επηρεαζόμενα από το περιστατικό πρόσωπα.

Η Αρχή, με την απόφαση 68/2018, απηύθυνε με βάση το άρ. 58 παρ. 2 στοιχ. β’ του Κανονισμού, επίπληξη στην Alpha Bank, ως υπεύθυνο επεξεργασίας, λόγω του ότι η εν λόγω γνωστοποίηση υποβλήθηκε στην Αρχή καθυστερημένα βάσει των σχετικών προβλέψεων του άρ. 33 του Κανονισμού, ήτοι μετά την πάροδο 72 ωρών από τη στιγμή που η Τράπεζα έλαβε γνώση του περιστατικού, χωρίς να τεκμηριώνονται λόγοι για τους οποίους αυτή η καθυστέρηση θα μπορούσε να είναι δικαιολογημένη.