Άρθρο 32 : Ασφάλεια επεξεργασίας

Γνωμοδότηση 5/2020 επί σχεδίου νόμου του Υπουργείου Εθνικής Άμυνας

Κατηγορία
Ημερομηνία
2020-12-31
Αριθμός πράξης
5

Η Αρχή εξέδωσε τη γνωμοδότηση 5/2020, κατόπιν αιτήματος του Υπουργείου Εθνικής Άμυνας, επί σχεδίου νόμου αναφορικά με την επεξεργασία προσωπικών δεδομένων από τις αποστολές των Ενόπλων Δυνάμεων (ΕΔ) εκτός επικράτειας, με κύριο σκοπό τη  συλλογή και περαιτέρω επεξεργασία προσωπικών δεδομένων για την αναγνώριση - αποκάλυψη και ταυτοποίηση ατόμων που συνιστούν απειλή για τις εθνικές και τις συμμαχικές δυνάμεις, καθώς και εν γένει για την άμυνα και ασφάλεια της χώρας.

Η Αρχή, με την εν λόγω Γνωμοδότηση, έκρινε ότι καίτοι το ειδικότερο αντικείμενο του νομοσχεδίου, στον βαθμό που αφορά τον τομέα της εθνικής ασφάλειας, είναι σαφώς εκτός πεδίου εφαρμογής τόσο του ΓΚΠΔ όσο και της Οδηγίας 2016/680, εν τούτοις με το εν λόγω νομοσχέδιο διαφαίνεται η βούληση του εθνικού νομοθέτη να εντάξει εκούσια στο νομικό καθεστώς του ΓΚΠΔ και στην εποπτεία από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα την σκοπούμενη επεξεργασία και η Αρχή αποτιμά ως θετική των εν λόγω επιλογή του νομοθέτη. Εξάλλου, η επεξεργασία προσωπικών δεδομένων που συντελείται στον τομέα της Εθνικής Άμυνας ουδόλως εκφεύγει συνολικά από το πεδίο εφαρμογής της νομοθεσίας για την προστασία δεδομένων προσωπικού χαρακτήρα.

Βάσει των ανωτέρω, η Αρχή προσδιόρισε συγκεκριμένα σημεία του σχεδίου νόμου τα οποία χρήζουν βελτίωσης ή/και αποσαφήνισης.

Εικόνα
ΑΠΟΦΑΣΗ
Θεματική ενότητα
262
Να εμφανίζεται στα hot topic;
Off
Να εμφανίζεται στα νέα;
Off
PDF Απόφασης
/sites/default/files/2021-02/gnomodotisi%205_2020anonym.pdf
Έτος
2020
apofasi_pdf_image
/sites/default/files/default_images/pdfsmall_1.png
Να εμφανίζεται στις θεματικές ενότητες;
Off
Προεπιλεγμένη εικόνα Αγγλικό

Επεξεργασία δεδομένων προσωπικού χαρακτήρα σε υπολογιστική υποδομή (υλικού και λογισμικού-διακομιστή) χωρίς την τήρηση των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ και 6 παρ. 1 ΓΚΠΔ και ιδίως κατά παράβαση της αρχής της ασφάλειας

Κατηγορία
Ημερομηνία
2019-12-31
Αριθμός πράξης
44

Η ελεγχόμενη εταιρία επεξεργάστηκε δεδομένα προσωπικού χαρακτήρα σε υπολογιστική υποδομή (υλικού και λογισμικού-διακομιστή) χωρίς να τηρήσει το σύνολο των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ και 6 παρ. 1 ΓΚΠΔ που λάμβανε χώρα, αλλά και στο πλαίσιο κάθε μεταγενέστερης ή περαιτέρω επεξεργασίας των ίδιων δεδομένων προσωπικού χαρακτήρα, ούτε απέδειξε κατ’ άρθρο. 5 παρ. 2 ΓΚΠΔ την τήρηση αυτών. Επιπλέον, παραβίασε τις διατάξεις των άρθρων 5 παρ. 1 εδ. α’ και στ’ και παρ. 2 σε συνδυασμό με τα άρθρα 24 παρ. 1 και 2 και 32 παρ. 1 και 2 ΓΚΠΔ σχετικά με την αρχή της ασφαλούς επεξεργασίας (ιδίως της «εμπιστευτικότητας») από τη μη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων, ιδίως εκείνων που αφορούσαν τον φυσικό και λογικό διαχωρισμό υλικού, λογισμικού και δεδομένων ώστε η εταιρία να αντιγράψει παράνομα το σύνολο του περιεχομένου του διακομιστή.

Εικόνα
ΑΠΟΦΑΣΗ
Θεματική ενότητα
272
Να εμφανίζεται στα hot topic;
Off
Να εμφανίζεται στα νέα;
On
PDF Απόφασης
/sites/default/files/2020-05/44_2019anonym.pdf
Έτος
2019
apofasi_pdf_image
/sites/default/files/default_images/pdfsmall_1.png
Να εμφανίζεται στις θεματικές ενότητες;
Off
Migrationfield
201923944
Προεπιλεγμένη εικόνα Αγγλικό

Κατευθυντήριες γραμμές για τη λήψη μέτρων ασφάλειας στο πλαίσιο τηλεργασίας

Ημερομηνία
2020-04-15
Αριθμός πράξης
2

Λόγω του ότι πολλοί οργανισμοί και επιχειρήσεις προτρέπουν ή/και υποχρεώνουν το προσωπικό τους σε τηλεργασία λόγω των μέτρων περιορισμού που έχουν επιβληθεί για την αποτροπή εξάπλωσης του COVID-19, η Αρχή, με στόχο την ευαισθητοποίηση των υπευθύνων επεξεργασίας, των εκτελούντων επεξεργασία, των εργαζομένων και γενικότερα του κοινού αναφορικά με τους κινδύνους που αφορούν την προστασία των προσωπικών δεδομένων αλλά, ταυτόχρονα, και τις σχετικές υποχρεώσεις που απορρέουν από τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679 και τον νόμο 4624/2019, εξέδωσε Κατευθυντήριες γραμμές για τη λήψη μέτρων ασφαλείας στο πλαίσιο τηλεργασίας. Τα μέτρα αυτά αφορούν κυρίως την πρόσβαση στο δίκτυο, τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ανταλλαγής μηνυμάτων, τη χρήση τερματικής συσκευής/αποθηκευτικών μέσων και τον τρόπο πραγματοποίησης τηλεδιασκέψεων.

Εικόνα
ΑΠΟΦΑΣΗ
Θεματική ενότητα
270
Να εμφανίζεται στα hot topic;
Off
Να εμφανίζεται στα νέα;
On
PDF Απόφασης
/sites/default/files/2020-12/Katefthintiries_grammes_2_2020.pdf
Έτος
2020
apofasi_pdf_image
/sites/default/files/default_images/pdfsmall_1.png
Να εμφανίζεται στις θεματικές ενότητες;
Off
Migrationfield
20202452
Προεπιλεγμένη εικόνα Αγγλικό

Επιβολή κυρώσεων για παράνομη επεξεργασία και παράλειψη λήψης τεχνικών και οργανωτικών μέτρων

Κατηγορία
Ημερομηνία
2019-04-08
Αριθμός πράξης
7

Η Αρχή επέβαλε στον Όμιλο Ελληνικά Πετρέλαια, ως υπεύθυνο επεξεργασίας, πρόστιμα ύψους 20.000 και 10.000 ευρώ για παράνομη επεξεργασία σύμφωνα με τα άρθρα 4, 5 και 7 ν. 2472/1997 και μη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων σύμφωνα με το άρθρο 10 του ως άνω νόμου, αντίστοιχα. Συγκεκριμένα, κατόπιν δημοσιευμάτων που έκαναν λόγω για παράνομη «χαρτογράφηση πολιτών», η Αρχή εξέτασε αυτεπάγγελτα περίπτωση επεξεργασίας ευαίσθητων προσωπικών δεδομένων που έλαβε χώρα χωρίς την προηγούμενη συγκατάθεση των υποκειμένων των δεδομένων και την άδεια της Αρχής, καθώς η επεξεργασία έλαβε χώρα πριν από την εφαρμογή του ΓΚΠΔ. Την εν λόγω επεξεργασία είχαν αναθέσει με σύμβαση τα ΕΛΠΕ στην εκτελούσα εταιρία με την επωνυμία «ONE TEAM». Μάλιστα, η εν λόγω επεξεργασία διέρρευσε στο διαδίκτυο, γεγονός που κανένας από τους εμπλεκόμενους φορείς δεν ήταν σε θέση να εξηγήσει. Κατά την εξέταση της υπόθεσης, δεν διαπιστώθηκε, ούτε τεκμηριώθηκε νομιμοποιητική βάση για την υπό κρίση επεξεργασία και για τον λόγο αυτό κρίθηκε παράνομη και επιβλήθηκε αντίστοιχη κύρωση. Τέλος, κύρωση επιβλήθηκε στον υπεύθυνο επεξεργασίας και για τη μη λήψη μέτρων ασφαλείας για την παράνομη διαρροή στο διαδίκτυο.

Εικόνα
ΑΠΟΦΑΣΗ
Θεματική ενότητα
273
Να εμφανίζεται στα hot topic;
Off
Να εμφανίζεται στα νέα;
Off
PDF Απόφασης
/sites/default/files/2020-04/7_2019anonym.pdf
Έτος
2019
apofasi_pdf_image
/sites/default/files/default_images/pdfsmall_1.png
Να εμφανίζεται στις θεματικές ενότητες;
Off
Migrationfield
20192397
Προεπιλεγμένη εικόνα Αγγλικό

Εξέταση καταγγελιών σχετικά με αζήτητες τηλεφωνικές κλήσεις για σκοπό προώθησης προϊόντων και υπηρεσιών – επιβολή κυρώσεων

Κατηγορία
Ημερομηνία
2019-10-18
Αριθμός πράξης
38

Η Αρχή συνεξέτασε 6 καταγγελίες σχετικά με τη λήψη αζήτητων τηλεφωνικών κλήσεων για σκοπό προώθησης προϊόντων και υπηρεσιών από την εταιρεία Wind. Με την απόφασή της η Αρχή κρίνει ότι η Wind αποτελεί τον υπεύθυνο επεξεργασίας για τις δραστηριότητες των τηλεφωνικών κλήσεων που διενεργούνται από συνεργαζόμενες εταιρείες (call center) ακόμα κι αν αυτή δεν παρέχει τους προς κλήση αριθμούς, καθώς καθορίζει πλήρως τον σκοπό της επεξεργασίας και επίσης τα ουσιώδη στοιχεία του τρόπου της επεξεργασίας. Περαιτέρω, με την απόφαση κρίνεται ότι η δραστηριότητα έρευνας αγοράς μέσω τηλεφωνικών κλήσεων, που καταλήγει σε ερώτημα σχετικά με συγκατάθεση στη μελλοντική λήψη διαφημιστικών κλήσεων, με τον τρόπο που έχει υλοποιηθεί, αποτελεί και αυτή δραστηριότητα για σκοπό προώθησης προϊόντων και υπηρεσιών, συνεπώς ως προς αυτή εφαρμόζονται οι διατάξεις του άρθρου 11 του ν. 3471/2006. Η Αρχή, σε σχέση με τις αναγνωριζόμενες παραβάσεις του ν. 3471/2006 και του ΓΚΠΔ επιβάλει κυρώσεις επίπληξης, προειδοποίησης και προστίμου (συνολικού ύψους 20.000 ευρώ για δύο παραβάσεις) στη Wind και την κύρωση της επίπληξης στην εκτελούσα την επεξεργασία εταιρεία ΠΛΕΓΜΑ.

Εικόνα
ΑΠΟΦΑΣΗ
Θεματική ενότητα
268
Να εμφανίζεται στα hot topic;
Off
Να εμφανίζεται στα νέα;
Off
PDF Απόφασης
/sites/default/files/2019-12/38_2019anonym%20%281%29.pdf
Έτος
2019
apofasi_pdf_image
/sites/default/files/default_images/pdfsmall_1.png
Να εμφανίζεται στις θεματικές ενότητες;
Off
Migrationfield
201923938
Προεπιλεγμένη εικόνα Αγγλικό

Επίπληξη στην Τράπεζα Eurobank Ergasias Α.Ε για μη έγκαιρη υποβολή γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων

Κατηγορία
Ημερομηνία
2018-11-09
Αριθμός πράξης
69

Η Τράπεζα Eurobank Ergasias υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων, σύμφωνα με το άρ. 33 του Κανονισμού (ΕΕ) 2016/679. Το περιστατικό αφορούσε πέντε μεμονωμένες περιπτώσεις κοινοποίησης, μέσω μηνύματος ηλεκτρονικού ταχυδρομείου, δεδομένων πελατών (αποδείξεων και παραστατικών) σε λάθος παραλήπτη. Η Eurobank προέβη σε ανασχεδιασμό της εν λόγω λειτουργίας για να αποκλεισθούν ανθρώπινα λάθη, ενώ επίσης ενημέρωσε τα επηρεαζόμενα από το περιστατικό πρόσωπα.

Η Αρχή, με την απόφαση 69/2018, απηύθυνε με βάση το άρ. 58 παρ. 2 στοιχ. β’ του Κανονισμού, επίπληξη στην Eurobank, ως υπεύθυνο επεξεργασίας, λόγω του ότι η εν λόγω γνωστοποίηση υποβλήθηκε στην Αρχή καθυστερημένα βάσει των σχετικών προβλέψεων του άρ. 33 του Κανονισμού, ήτοι μετά την πάροδο 72 ωρών από τη στιγμή που η Τράπεζα έλαβε γνώση του περιστατικού, χωρίς να τεκμηριώνονται λόγοι για τους οποίους αυτή η καθυστέρηση θα μπορούσε να είναι δικαιολογημένη.

Εικόνα
ΑΠΟΦΑΣΗ
Θεματική ενότητα
273
Να εμφανίζεται στα hot topic;
Off
Να εμφανίζεται στα νέα;
On
PDF Απόφασης
/sites/default/files/2019-10/69_2018anonym_1.pdf
Έτος
2018
apofasi_pdf_image
/sites/default/files/default_images/pdfsmall_1.png
Να εμφανίζεται στις θεματικές ενότητες;
On
Migrationfield
201823969
Προεπιλεγμένη εικόνα Αγγλικό
Εμφάνιση στις παρακάτω θεματικές ενότητες

Επίπληξη στην εταιρεία DIMERA GROUP ΕΜΠΟΡΙΟ ΑΘΛΗΤΙΚΩΝ ΕΙΔΩΝ ΜΕΠΕ

Κατηγορία
Ημερομηνία
2018-11-09
Αριθμός πράξης
67

Η εταιρεία «DIMERA GROUP ΕΜΠΟΡΙΟ ΑΘΛΗΤΙΚΩΝ ΕΙΔΩΝ ΜΟΝΟΠΡΟΣΩΠΗ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΕΥΘΥΝΗΣ» υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το άρ. 33 του Γενικού Κανονισμού (ΕΕ) 2016/679. Το εν λόγω περιστατικό αφορούσε επίθεση ασφαλείας η οποία ήταν αποτέλεσμα κακόβουλης εξωτερικής ενέργειας («hacking»). H DIMERA υπέβαλε την ως άνω γνωστοποίηση στην Αρχή εντός 72 ωρών από τη στιγμή που έλαβε γνώση του περιστατικού και πραγματοποίησε αμέσως ενέργειες για τη διερεύνηση και αντιμετώπισή του, ενώ επίσης ενημέρωσε τα πρόσωπα (πελάτες τους ηλεκτρονικού της καταστήματος) των οποίων τα δεδομένα διέρρευσαν.

Η Αρχή, εξετάζοντας τη γνωστοποίηση στο σύνολό της, όπως αυτή συμπληρώθηκε, αλλά και τα μέτρα ασφάλειας που ήταν σε εφαρμογή πριν από το περιστατικό, απηύθυνε, με την απόφαση 67/2018, επίπληξη στη DIMERA σύμφωνα με το άρ. 58 παρ. 2 στοιχ. β’ του ΓΚΠΔ για παραβίαση του άρ. 32 του ΓΚΠΔ αναφορικά με την ασφάλεια της επεξεργασίας –και, κατ’ επέκταση και του άρ. 5 παρ. 1 στοιχ. στ’ του ΓΚΠΔ– λόγω του ότι η εταιρεία δεν είχε λάβει μέριμνα για επικαιροποίηση (ενημέρωση) του χρησιμοποιούμενου λογισμικού, δεν διέθετε επαρκείς μηχανισμούς για την ανίχνευση αυτών των επιθέσεων και δεν διέθετε διαδικασίες για την τακτική αξιολόγηση των μέτρων ασφάλειας. Η Αρχή έλαβε υπόψη για την εν λόγω απόφαση ότι η εταιρεία αμέσως μόλις έλαβε γνώση του περιστατικού προέβη σε όλες τις απαραίτητες ενέργειες, υλοποιώντας και μέτρα ασφάλειας για τη θωράκιση της ασφάλειας στο μέλλον.

Εικόνα
ΑΠΟΦΑΣΗ
Θεματική ενότητα
273
Να εμφανίζεται στα hot topic;
Off
Να εμφανίζεται στα νέα;
Off
PDF Απόφασης
/sites/default/files/2019-09/67_2018anonym.pdf
Έτος
2018
apofasi_pdf_image
/sites/default/files/default_images/pdfsmall_1.png
Να εμφανίζεται στις θεματικές ενότητες;
Off
Migrationfield
201823967
Προεπιλεγμένη εικόνα Αγγλικό

Επίπληξη στην Τράπεζα «Alpha Bank Α.Ε.» για μη έγκαιρη υποβολή γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων

Κατηγορία
Ημερομηνία
2018-11-09
Αριθμός πράξης
68

Η Τράπεζα Alpha Bank υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων, σύμφωνα με το άρ. 33 του Κανονισμού (ΕΕ) 2016/679. Το περιστατικό αφορούσε ολιγάριθμες μεμονωμένες περιπτώσεις κοινοποίησης παραστατικών πελατών σε διαφορετικό πελάτη της υπηρεσίας Private Banking. Η Τράπεζα προχώρησε σε διερεύνηση και εντοπισμό των λαθών, καθώς επίσης και στη θέσπιση ελεγκτικών μηχανισμών και δικλείδων ασφαλείας για την αποφυγή τους στο μέλλον, ενώ επίσης ενημέρωσε τα επηρεαζόμενα από το περιστατικό πρόσωπα.

Η Αρχή, με την απόφαση 68/2018, απηύθυνε με βάση το άρ. 58 παρ. 2 στοιχ. β’ του Κανονισμού, επίπληξη στην Alpha Bank, ως υπεύθυνο επεξεργασίας, λόγω του ότι η εν λόγω γνωστοποίηση υποβλήθηκε στην Αρχή καθυστερημένα βάσει των σχετικών προβλέψεων του άρ. 33 του Κανονισμού, ήτοι μετά την πάροδο 72 ωρών από τη στιγμή που η Τράπεζα έλαβε γνώση του περιστατικού, χωρίς να τεκμηριώνονται λόγοι για τους οποίους αυτή η καθυστέρηση θα μπορούσε να είναι δικαιολογημένη.

Εικόνα
ΑΠΟΦΑΣΗ
Θεματική ενότητα
266
Να εμφανίζεται στα hot topic;
Off
Να εμφανίζεται στα νέα;
On
PDF Απόφασης
/sites/default/files/2019-09/68_2018anonym.pdf
Έτος
2018
apofasi_pdf_image
/sites/default/files/default_images/pdfsmall_1.png
Να εμφανίζεται στις θεματικές ενότητες;
On
Migrationfield
201823968
Προεπιλεγμένη εικόνα Αγγλικό
Εμφάνιση στις παρακάτω θεματικές ενότητες