Άρθρο 33 : Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα

Επιβολή κυρώσεων για παράνομη επεξεργασία και παράλειψη λήψης τεχνικών και οργανωτικών μέτρων

Κατηγορία
Ημερομηνία
2019-04-08
Αριθμός πράξης
7

Η Αρχή επέβαλε στον Όμιλο Ελληνικά Πετρέλαια, ως υπεύθυνο επεξεργασίας, πρόστιμα ύψους 20.000 και 10.000 ευρώ για παράνομη επεξεργασία σύμφωνα με τα άρθρα 4, 5 και 7 ν. 2472/1997 και μη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων σύμφωνα με το άρθρο 10 του ως άνω νόμου, αντίστοιχα. Συγκεκριμένα, κατόπιν δημοσιευμάτων που έκαναν λόγω για παράνομη «χαρτογράφηση πολιτών», η Αρχή εξέτασε αυτεπάγγελτα περίπτωση επεξεργασίας ευαίσθητων προσωπικών δεδομένων που έλαβε χώρα χωρίς την προηγούμενη συγκατάθεση των υποκειμένων των δεδομένων και την άδεια της Αρχής, καθώς η επεξεργασία έλαβε χώρα πριν από την εφαρμογή του ΓΚΠΔ. Την εν λόγω επεξεργασία είχαν αναθέσει με σύμβαση τα ΕΛΠΕ στην εκτελούσα εταιρία με την επωνυμία «ONE TEAM». Μάλιστα, η εν λόγω επεξεργασία διέρρευσε στο διαδίκτυο, γεγονός που κανένας από τους εμπλεκόμενους φορείς δεν ήταν σε θέση να εξηγήσει. Κατά την εξέταση της υπόθεσης, δεν διαπιστώθηκε, ούτε τεκμηριώθηκε νομιμοποιητική βάση για την υπό κρίση επεξεργασία και για τον λόγο αυτό κρίθηκε παράνομη και επιβλήθηκε αντίστοιχη κύρωση. Τέλος, κύρωση επιβλήθηκε στον υπεύθυνο επεξεργασίας και για τη μη λήψη μέτρων ασφαλείας για την παράνομη διαρροή στο διαδίκτυο.

Εικόνα
ΑΠΟΦΑΣΗ
Θεματική ενότητα
273
Να εμφανίζεται στα hot topic;
Off
Να εμφανίζεται στα νέα;
Off
PDF Απόφασης
/sites/default/files/2020-04/7_2019anonym.pdf
Έτος
2019
apofasi_pdf_image
/sites/default/files/default_images/pdfsmall_1.png
Να εμφανίζεται στις θεματικές ενότητες;
Off
Migrationfield
20192397
Προεπιλεγμένη εικόνα Αγγλικό

Επίπληξη στην Τράπεζα Eurobank Ergasias Α.Ε για μη έγκαιρη υποβολή γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων

Κατηγορία
Ημερομηνία
2018-11-09
Αριθμός πράξης
69

Η Τράπεζα Eurobank Ergasias υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων, σύμφωνα με το άρ. 33 του Κανονισμού (ΕΕ) 2016/679. Το περιστατικό αφορούσε πέντε μεμονωμένες περιπτώσεις κοινοποίησης, μέσω μηνύματος ηλεκτρονικού ταχυδρομείου, δεδομένων πελατών (αποδείξεων και παραστατικών) σε λάθος παραλήπτη. Η Eurobank προέβη σε ανασχεδιασμό της εν λόγω λειτουργίας για να αποκλεισθούν ανθρώπινα λάθη, ενώ επίσης ενημέρωσε τα επηρεαζόμενα από το περιστατικό πρόσωπα.

Η Αρχή, με την απόφαση 69/2018, απηύθυνε με βάση το άρ. 58 παρ. 2 στοιχ. β’ του Κανονισμού, επίπληξη στην Eurobank, ως υπεύθυνο επεξεργασίας, λόγω του ότι η εν λόγω γνωστοποίηση υποβλήθηκε στην Αρχή καθυστερημένα βάσει των σχετικών προβλέψεων του άρ. 33 του Κανονισμού, ήτοι μετά την πάροδο 72 ωρών από τη στιγμή που η Τράπεζα έλαβε γνώση του περιστατικού, χωρίς να τεκμηριώνονται λόγοι για τους οποίους αυτή η καθυστέρηση θα μπορούσε να είναι δικαιολογημένη.

Εικόνα
ΑΠΟΦΑΣΗ
Θεματική ενότητα
273
Να εμφανίζεται στα hot topic;
Off
Να εμφανίζεται στα νέα;
On
PDF Απόφασης
/sites/default/files/2019-10/69_2018anonym_1.pdf
Έτος
2018
apofasi_pdf_image
/sites/default/files/default_images/pdfsmall_1.png
Να εμφανίζεται στις θεματικές ενότητες;
On
Migrationfield
201823969
Προεπιλεγμένη εικόνα Αγγλικό
Εμφάνιση στις παρακάτω θεματικές ενότητες

Επίπληξη στην εταιρεία DIMERA GROUP ΕΜΠΟΡΙΟ ΑΘΛΗΤΙΚΩΝ ΕΙΔΩΝ ΜΕΠΕ

Κατηγορία
Ημερομηνία
2018-11-09
Αριθμός πράξης
67

Η εταιρεία «DIMERA GROUP ΕΜΠΟΡΙΟ ΑΘΛΗΤΙΚΩΝ ΕΙΔΩΝ ΜΟΝΟΠΡΟΣΩΠΗ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΕΥΘΥΝΗΣ» υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το άρ. 33 του Γενικού Κανονισμού (ΕΕ) 2016/679. Το εν λόγω περιστατικό αφορούσε επίθεση ασφαλείας η οποία ήταν αποτέλεσμα κακόβουλης εξωτερικής ενέργειας («hacking»). H DIMERA υπέβαλε την ως άνω γνωστοποίηση στην Αρχή εντός 72 ωρών από τη στιγμή που έλαβε γνώση του περιστατικού και πραγματοποίησε αμέσως ενέργειες για τη διερεύνηση και αντιμετώπισή του, ενώ επίσης ενημέρωσε τα πρόσωπα (πελάτες τους ηλεκτρονικού της καταστήματος) των οποίων τα δεδομένα διέρρευσαν.

Η Αρχή, εξετάζοντας τη γνωστοποίηση στο σύνολό της, όπως αυτή συμπληρώθηκε, αλλά και τα μέτρα ασφάλειας που ήταν σε εφαρμογή πριν από το περιστατικό, απηύθυνε, με την απόφαση 67/2018, επίπληξη στη DIMERA σύμφωνα με το άρ. 58 παρ. 2 στοιχ. β’ του ΓΚΠΔ για παραβίαση του άρ. 32 του ΓΚΠΔ αναφορικά με την ασφάλεια της επεξεργασίας –και, κατ’ επέκταση και του άρ. 5 παρ. 1 στοιχ. στ’ του ΓΚΠΔ– λόγω του ότι η εταιρεία δεν είχε λάβει μέριμνα για επικαιροποίηση (ενημέρωση) του χρησιμοποιούμενου λογισμικού, δεν διέθετε επαρκείς μηχανισμούς για την ανίχνευση αυτών των επιθέσεων και δεν διέθετε διαδικασίες για την τακτική αξιολόγηση των μέτρων ασφάλειας. Η Αρχή έλαβε υπόψη για την εν λόγω απόφαση ότι η εταιρεία αμέσως μόλις έλαβε γνώση του περιστατικού προέβη σε όλες τις απαραίτητες ενέργειες, υλοποιώντας και μέτρα ασφάλειας για τη θωράκιση της ασφάλειας στο μέλλον.

Εικόνα
ΑΠΟΦΑΣΗ
Θεματική ενότητα
273
Να εμφανίζεται στα hot topic;
Off
Να εμφανίζεται στα νέα;
Off
PDF Απόφασης
/sites/default/files/2019-09/67_2018anonym.pdf
Έτος
2018
apofasi_pdf_image
/sites/default/files/default_images/pdfsmall_1.png
Να εμφανίζεται στις θεματικές ενότητες;
Off
Migrationfield
201823967
Προεπιλεγμένη εικόνα Αγγλικό

Επίπληξη στην Τράπεζα «Alpha Bank Α.Ε.» για μη έγκαιρη υποβολή γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων

Κατηγορία
Ημερομηνία
2018-11-09
Αριθμός πράξης
68

Η Τράπεζα Alpha Bank υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων, σύμφωνα με το άρ. 33 του Κανονισμού (ΕΕ) 2016/679. Το περιστατικό αφορούσε ολιγάριθμες μεμονωμένες περιπτώσεις κοινοποίησης παραστατικών πελατών σε διαφορετικό πελάτη της υπηρεσίας Private Banking. Η Τράπεζα προχώρησε σε διερεύνηση και εντοπισμό των λαθών, καθώς επίσης και στη θέσπιση ελεγκτικών μηχανισμών και δικλείδων ασφαλείας για την αποφυγή τους στο μέλλον, ενώ επίσης ενημέρωσε τα επηρεαζόμενα από το περιστατικό πρόσωπα.

Η Αρχή, με την απόφαση 68/2018, απηύθυνε με βάση το άρ. 58 παρ. 2 στοιχ. β’ του Κανονισμού, επίπληξη στην Alpha Bank, ως υπεύθυνο επεξεργασίας, λόγω του ότι η εν λόγω γνωστοποίηση υποβλήθηκε στην Αρχή καθυστερημένα βάσει των σχετικών προβλέψεων του άρ. 33 του Κανονισμού, ήτοι μετά την πάροδο 72 ωρών από τη στιγμή που η Τράπεζα έλαβε γνώση του περιστατικού, χωρίς να τεκμηριώνονται λόγοι για τους οποίους αυτή η καθυστέρηση θα μπορούσε να είναι δικαιολογημένη.

Εικόνα
ΑΠΟΦΑΣΗ
Θεματική ενότητα
266
Να εμφανίζεται στα hot topic;
Off
Να εμφανίζεται στα νέα;
On
PDF Απόφασης
/sites/default/files/2019-09/68_2018anonym.pdf
Έτος
2018
apofasi_pdf_image
/sites/default/files/default_images/pdfsmall_1.png
Να εμφανίζεται στις θεματικές ενότητες;
On
Migrationfield
201823968
Προεπιλεγμένη εικόνα Αγγλικό
Εμφάνιση στις παρακάτω θεματικές ενότητες

Γνωστοποίηση περιστατικού παραβίασης - Μη επιβολή κυρώσεων

Κατηγορία
Ημερομηνία
2019-05-29
Αριθμός πράξης
14

H «Βιοϊατρική Διαγνωστικό Κέντρο ΑΕ» υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα που περιγράφει μεμονωμένο περιστατικό εκ παραδρομής αποστολής αποτελεσμάτων ιατρικών εξετάσεων εξεταζόμενου σε τρίτο πρόσωπο μέσω φαξ. Η Αρχή έκρινε ότι δεν φαίνεται να υπάρχει κάποιο ζήτημα σε σχέση με τη διαχείριση του συγκεκριμένου μεμονωμένου περιστατικού και ότι δεν απαιτείται να ασκήσει κάποια από τις προβλεπόμενες στο άρθρο 58 παρ. 2 του ΓΚΠΔ διορθωτικές εξουσίες της.

Εικόνα
ΑΠΟΦΑΣΗ
Θεματική ενότητα
273
Να εμφανίζεται στα hot topic;
Off
Να εμφανίζεται στα νέα;
On
PDF Απόφασης
/sites/default/files/2019-09/apofasi142019.pdf
Έτος
2019
apofasi_pdf_image
/sites/default/files/default_images/pdfsmall_1.png
Να εμφανίζεται στις θεματικές ενότητες;
Off
Migrationfield
201923914
Προεπιλεγμένη εικόνα Αγγλικό