Άρθρο 5.2 : Αρχή της λογοδοσίας

Η Τράπεζα Eurobank Ergasias υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων, σύμφωνα με το άρ. 33 του Κανονισμού (ΕΕ) 2016/679. Το περιστατικό αφορούσε πέντε μεμονωμένες περιπτώσεις κοινοποίησης, μέσω μηνύματος ηλεκτρονικού ταχυδρομείου, δεδομένων πελατών (αποδείξεων και παραστατικών) σε λάθος παραλήπτη. Η Eurobank προέβη σε ανασχεδιασμό της εν λόγω λειτουργίας για να αποκλεισθούν ανθρώπινα λάθη, ενώ επίσης ενημέρωσε τα επηρεαζόμενα από το περιστατικό πρόσωπα.

Η Αρχή, με την απόφαση 69/2018, απηύθυνε με βάση το άρ. 58 παρ. 2 στοιχ. β’ του Κανονισμού, επίπληξη στην Eurobank, ως υπεύθυνο επεξεργασίας, λόγω του ότι η εν λόγω γνωστοποίηση υποβλήθηκε στην Αρχή καθυστερημένα βάσει των σχετικών προβλέψεων του άρ. 33 του Κανονισμού, ήτοι μετά την πάροδο 72 ωρών από τη στιγμή που η Τράπεζα έλαβε γνώση του περιστατικού, χωρίς να τεκμηριώνονται λόγοι για τους οποίους αυτή η καθυστέρηση θα μπορούσε να είναι δικαιολογημένη.

Η εταιρεία «DIMERA GROUP ΕΜΠΟΡΙΟ ΑΘΛΗΤΙΚΩΝ ΕΙΔΩΝ ΜΟΝΟΠΡΟΣΩΠΗ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΕΥΘΥΝΗΣ» υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το άρ. 33 του Γενικού Κανονισμού (ΕΕ) 2016/679. Το εν λόγω περιστατικό αφορούσε επίθεση ασφαλείας η οποία ήταν αποτέλεσμα κακόβουλης εξωτερικής ενέργειας («hacking»). H DIMERA υπέβαλε την ως άνω γνωστοποίηση στην Αρχή εντός 72 ωρών από τη στιγμή που έλαβε γνώση του περιστατικού και πραγματοποίησε αμέσως ενέργειες για τη διερεύνηση και αντιμετώπισή του, ενώ επίσης ενημέρωσε τα πρόσωπα (πελάτες τους ηλεκτρονικού της καταστήματος) των οποίων τα δεδομένα διέρρευσαν.

Η Αρχή, εξετάζοντας τη γνωστοποίηση στο σύνολό της, όπως αυτή συμπληρώθηκε, αλλά και τα μέτρα ασφάλειας που ήταν σε εφαρμογή πριν από το περιστατικό, απηύθυνε, με την απόφαση 67/2018, επίπληξη στη DIMERA σύμφωνα με το άρ. 58 παρ. 2 στοιχ. β’ του ΓΚΠΔ για παραβίαση του άρ. 32 του ΓΚΠΔ αναφορικά με την ασφάλεια της επεξεργασίας –και, κατ’ επέκταση και του άρ. 5 παρ. 1 στοιχ. στ’ του ΓΚΠΔ– λόγω του ότι η εταιρεία δεν είχε λάβει μέριμνα για επικαιροποίηση (ενημέρωση) του χρησιμοποιούμενου λογισμικού, δεν διέθετε επαρκείς μηχανισμούς για την ανίχνευση αυτών των επιθέσεων και δεν διέθετε διαδικασίες για την τακτική αξιολόγηση των μέτρων ασφάλειας. Η Αρχή έλαβε υπόψη για την εν λόγω απόφαση ότι η εταιρεία αμέσως μόλις έλαβε γνώση του περιστατικού προέβη σε όλες τις απαραίτητες ενέργειες, υλοποιώντας και μέτρα ασφάλειας για τη θωράκιση της ασφάλειας στο μέλλον.

Η Τράπεζα Alpha Bank υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων, σύμφωνα με το άρ. 33 του Κανονισμού (ΕΕ) 2016/679. Το περιστατικό αφορούσε ολιγάριθμες μεμονωμένες περιπτώσεις κοινοποίησης παραστατικών πελατών σε διαφορετικό πελάτη της υπηρεσίας Private Banking. Η Τράπεζα προχώρησε σε διερεύνηση και εντοπισμό των λαθών, καθώς επίσης και στη θέσπιση ελεγκτικών μηχανισμών και δικλείδων ασφαλείας για την αποφυγή τους στο μέλλον, ενώ επίσης ενημέρωσε τα επηρεαζόμενα από το περιστατικό πρόσωπα.

Η Αρχή, με την απόφαση 68/2018, απηύθυνε με βάση το άρ. 58 παρ. 2 στοιχ. β’ του Κανονισμού, επίπληξη στην Alpha Bank, ως υπεύθυνο επεξεργασίας, λόγω του ότι η εν λόγω γνωστοποίηση υποβλήθηκε στην Αρχή καθυστερημένα βάσει των σχετικών προβλέψεων του άρ. 33 του Κανονισμού, ήτοι μετά την πάροδο 72 ωρών από τη στιγμή που η Τράπεζα έλαβε γνώση του περιστατικού, χωρίς να τεκμηριώνονται λόγοι για τους οποίους αυτή η καθυστέρηση θα μπορούσε να είναι δικαιολογημένη.

Η Αρχή με αφορμή καταγγελία διερεύνησε αυτεπαγγέλτως την νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των υποκειμένων – εργαζομένων της εταιρίας «PRICEWATERHOUSECOOPERS BUSINNES SOLUTIONS ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ ΠΑΡΟΧΗΣ ΕΠΙΧΕΙΡΗΜΑΤΙΚΩΝ ΚΑΙ ΛΟΓΙΣΤΙΚΩΝ ΥΠΗΡΕΣΙΩΝ A.E» με διακριτικό τίτλο «PRICEWATERHOUSECOOPERS  BUSINNES  SOLUTIONS  Α.Ε.»  (PWC  BS), σύμφωνα  με  την οποία εξαναγκάσθηκαν στην παροχή συγκατάθεσης προκειμένου να λάβει χώρα επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Η Αρχή έκρινε ότι προκειμένου τα δεδομένα προσωπικού χαρακτήρα να τύχουν νόμιμης επεξεργασίας, ήτοι επεξεργασίας σύμφωνης προς τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) υπ’ αρ. 679/2016, θα πρέπει να πληρούνται σωρευτικά οι προϋποθέσεις εφαρμογής και τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ.

Η αναγνώριση και επιλογή της κατάλληλης νομικής βάσης εκ των προβλεπομένων στο άρθρο 6 παρ. 1 ΓΚΠΔ είναι στενά συνδεδεμένη με την αρχή της θεμιτής ή δίκαιης επεξεργασίας καθώς και με την αρχή του περιορισμού του σκοπού, ο δε υπεύθυνος επεξεργασίας οφείλει όχι μόνο να επιλέγει την κατάλληλη νομική βάση προ της έναρξης της επεξεργασίας, τεκμηριώνοντας εσωτερικά την επιλογή αυτή κατ’ εφαρμογή της αρχής της λογοδοσίας, αλλά και να ενημερώνει κατ’ αρ. 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠΔ για την χρήση της το υποκείμενο των δεδομένων καθώς η επιλογή της κάθε νομικής βάσης ασκεί έννομη επιρροή στην εφαρμογή των δικαιωμάτων των υποκειμένων.

Κεντρικό μέγεθος του μοντέλου συμμόρφωσης που υιοθετήθηκε από τον ΓΚΠΔ συνιστά η αρχή της λογοδοσίας στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα αναγκαία μέτρα συμμόρφωσης προς τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ και να αποδεικνύει αυτά από μόνος του χωρίς μάλιστα να απαιτείται η Αρχή, στο πλαίσιο άσκησης των ερευνητικών - ελεγκτικών εξουσιών της, να υποβάλλει επιμέρους – εξειδικευμένα ερωτήματα και αιτήματα προς διαπίστωση της συμμόρφωσης.

Επισημαίνεται ότι η Αρχή εξαιτίας του ότι διανύεται το πρώτο χρονικό διάστημα εφαρμογής του ΓΚΠΔ υποβάλλει εξειδικευμένα ερωτήματα και αιτήματα στο πλαίσιο άσκησης των συναφών ερευνητικών – ελεγκτικών εξουσιών της ώστε να διευκολύνει την από μέρους των υπευθύνων επεξεργασίας τεκμηρίωση της λογοδοσίας.

Οι αρχές της σύννομης, θεμιτής (ή δίκαιης) και με διαφανή τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα κατ’ αρ. 5 παρ. 1 εδ. α’ ΓΚΠΔ επιτάσσουν την επιλογή της συγκατάθεσης ως νομικής βάσης κατ’ αρ. 6 παρ. 1 ΓΚΠΔ μόνο εφόσον οι υπόλοιπες νομικές βάσεις δεν εφαρμόζονται, ώστε να καθίσταται μεταγενέστερα της αρχικής επιλογής αδύνατη η αλλαγή και μετάβαση σε άλλη νομική βάση. Σε περίπτωση κατά την οποία το υποκείμενο των δεδομένων ανακαλέσει τη συγκατάθεσή του, δεν επιτρέπεται η συνέχιση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα υπό άλλη νομική βάση. Όταν εφαρμόζεται ορθά η νομική βάση της συγκατάθεσης, υπό την έννοια ότι ουδεμία άλλη νομική βάση τυγχάνει εφαρμογής, η μη χορήγηση ή η ανάκληση της ισοδυναμεί με απόλυτη απαγόρευση επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

Η συγκατάθεση των υποκειμένων των δεδομένων στο πλαίσιο των εργασιακών σχέσεων δεν μπορεί να θεωρηθεί ως ελεύθερη λόγω της εγγενούς ανισότητας των μερών.

Στην προκειμένη περίπτωση, η επιλογή της νομικής βάσης της συγκατάθεσης υπήρξε εσφαλμένη καθώς η επεξεργασία των δεδομένων προσωπικού χαρακτήρα αποσκοπούσε στην διενέργεια πράξεων που συνδέονταν άμεσα με την εκτέλεση της σύμβασης εργασίας, την συμμόρφωση σε προβλεπόμενες εκ του νόμου υποχρεώσεις και στην εύρυθμη και αποτελεσματική λειτουργία της επιχείρησης.

Επιπλέον δε, η εταιρία δημιούργησε την εσφαλμένη εντύπωση στους εργαζόμενους ότι επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα τους κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης ενώ στην πραγματικότητα τα επεξεργαζόταν με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι, κατά παράβαση της αρχής της διαφάνειας και συνακόλουθα κατά παραβίαση της υποχρέωσης ενημέρωσης κατ’ άρθρο 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠΔ.

Σε περίπτωση κατά την οποία ο υπεύθυνος επεξεργασίας έχει αμφιβολίες για την νομιμότητά της επεξεργασίας οφείλει να άρει αυτές προ της επεξεργασίας ή να απέχει από την επεξεργασία μέχρι την άρση των αμφιβολιών.

Τέλος, η Αρχή διαπίστωσε στην προκειμένη περίπτωση την από μέρους του υπευθύνου επεξεργασίας παραβίαση της αρχής της λογοδοσίας κατ’ αρ. 5 παρ. 2 ΓΚΠΔ καθώς, αφενός η εταιρία δεν ανταποκρίθηκε στην συναφή υποχρέωση της και ιδίως στο αίτημα της Αρχής να προσκομίσει εσωτερική τεκμηρίωση της επιλογής της νομικής βάσης που εφάρμοσε. Αφετέρου, η εταιρία μετέφερε τις υποχρεώσεις συμμόρφωσης της στους εργαζόμενους ζητώντας τους να υπογράψουν δήλωση σύμφωνα με την οποία αποδέχονται ότι τα δεδομένα προσωπικού χαρακτήρα που τηρεί και επεξεργάζεται συνδέονται άμεσα με τις ανάγκες της σχέσης απασχόλησης και οργάνωσης της εργασίας καθώς και ότι αποδέχονται επίσης ότι είναι συναφή και πρόσφορα στο πλαίσιο της σχέσης απασχόλησης και της οργάνωσης της εργασίας.

Εν όψει των ανωτέρω, η Αρχή κατέληξε στο ότι η εταιρία PWC BS ως υπεύθυνος επεξεργασίας:

1. υπέβαλε σε μη σύννομη επεξεργασία κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της καθώς εφάρμοσε ακατάλληλη νομική βάση.
2. υπέβαλε σε μη θεμιτή και χωρίς διαφανή τρόπο κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. β’ και γ’ ΓΚΠΔ τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων της καθώς τους δημιούργησε την εσφαλμένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης κατ’ αρ. 6 παρ. 1 εδ. α’ ΓΚΠΔ, ενώ στην πραγματικότητα τα επεξεργάσθηκε με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι.
3. ως υπεύθυνος επεξεργασίας αν και έφερε την ευθύνη, δεν ήταν σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 του άρθρου 5 ΓΚΠΔ καθώς και ότι παραβίασε την προβλεπόμενη από τη διάταξη του άρθρου 5 παρ. 2 ΓΚΠΔ αρχή της λογοδοσίας μεταφέροντας το βάρος της απόδειξης της συμμόρφωσης στα υποκείμενα των δεδομένων.

Κατόπιν τούτων, η Αρχή έκρινε ότι παρέλκει η εξέταση των υπολοίπων αρχών του άρθρου 5 παρ. 1 εδ. α’ ΓΚΠΔ καθώς και ο έλεγχος οποιασδήποτε άλλης πράξης επεξεργασίας μεταγενέστερης της παράνομης συλλογής των δεδομένων προσωπικού χαρακτήρα.

Μετά την διαπίστωση των παραβιάσεων του ΓΚΠΔ η Αρχή αποφάσισε την κατ’ αρ. 58 παρ. 2 ΓΚΠΔ άσκηση των διορθωτικών της εξουσιών στην συγκεκριμένη περίπτωση με την επιβολή διορθωτικών μέτρων και αποφάσισε να δώσει εντολή στην εταιρία ως υπεύθυνο επεξεργασίας εντός τριών (3) μηνών:

• να καταστήσει τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της, όπως περιγράφονται στο υποβληθέν από την ίδια Παράρτημα Ι, σύμφωνες με τις διατάξεις του ΓΚΠΔ,
• να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ σύμφωνα με τα διαλαμβανόμενα στο σκεπτικό της απόφασης,
• να αποκαταστήσει εν συνεχεία και την ορθή εφαρμογή των λοιπών διατάξεων του άρθρου 5 παρ. 1 εδ. β-στ’ ΓΚΠΔ στο μέτρο που η διαπιστωθείσα παραβίαση επηρεάζει την εσωτερική οργάνωση και συμμόρφωση προς τις διατάξεις του ΓΚΠΔ λαμβάνοντας κάθε αναγκαίο μέτρο στο πλαίσιο της αρχής της λογοδοσίας.

Επιπλέον δε, επειδή το ανωτέρω διορθωτικό μέτρο δεν επαρκεί από μόνο του για την αποκατάσταση της συμμόρφωσης με τις παραβιασθείσες διατάξεις του ΓΚΠΔ, η Αρχή έκρινε ότι στην συγκεκριμένη περίπτωση με βάση τις περιστάσεις που διαπιστώθηκαν θα πρέπει κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ ΓΚΠΔ να επιβληθεί επιπλέον και αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ αρ. 83 ΓΚΠΔ, το οποίο ανέρχεται στο ποσό των εκατόν πενήντα χιλιάδων (150.000,00) ευρώ, λαμβάνοντας υπόψη και τις δημοσιευμένες χρηματοοικονομικές καταστάσεις της εταιρίας για τη χρήση από την 01-7-2017 έως τις 20-6-2018 σύμφωνα με τις οποίες ο καθαρός κύκλος εργασιών της ανήλθε στο ποσό των 41.936.426,00 ευρώ.