Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/7022-2/ Α Π Ο Φ Α Σ Η ΑΡ. 67/ 2018

Σχετικά έγγραφα
Α Π Ο Φ Α Σ Η 14/2019 (Τμήμα)

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/8841/ Α Π Ο Φ Α Σ Η ΑΡ. 66/2018

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1859/ Α Π Ο Φ Α Σ Η ΑΡ. 22/ 2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/579-6/ Α Π Ο Φ Α Σ Η ΑΡ. 140 / 2017

Α Π Ο Φ Α Σ Η 15/2019 (Τμήμα)

Α Π Ο Φ Α Σ Η 30 /2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2326/ Α Π Ο Φ Α Σ Η 6/2019

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4778-1/ Α Π Ο Φ Α Σ Η 92/2017

Α Π Ο Φ Α Σ Η 123/2016

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4806/ Α Π Ο Φ Α Σ Η ΑΡ. 70/ 2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/6151-1/ ΑΠΟΦΑΣΗ 123/2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4240-1/ Α Π Ο Φ Α Σ Η 79/2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4508-1/ Α Π Ο Φ Α Σ Η 91/2017

Α Π Ο Φ Α Σ Η ΑΡ. 75/2016

Α Π Ο Φ Α Σ Η 80/2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5615/ Α Π Ο Φ Α Σ Η 88 /2017

Α Π Ο Φ Α Σ Η 94/2017

Α Π Ο Φ Α Σ Η 120 /2016

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1091/ Α Π Ο Φ Α Σ Η 4 /2019

Α Π Ο Φ Α Σ Η 50/2012

Α Π Ο Φ Α Σ Η ΑΡ. 34/2019 (Τμήμα)

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4804/ Α Π Ο Φ Α Σ Η ΑΡ. 72/ 2017

Α Π Ο Φ Α Σ Η 159/2012

DATA BREACH. Η ΑΝΤΙΜΕΤΩΠΙΣΗ ΑΠΟ ΤΗΝ ΑΠΔΠΧ ΠΡΟΤΑΣΕΙΣ ΣΩΣΤΗΣ ΠΡΟΕΤΟΙΜΑΣΙΑΣ ΑΛΚΙΒΙΑΔΗΣ ΠΟΥΛΙΑΣ

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/6617/ Α Π Ο Φ Α Σ Η ΑΡ. 164/2014

Α Π Ο Φ Α Σ Η 49/2012

Α Π Ο Φ Α Σ Η 151/2014

(Αποστολή µε FAX) Αριθ. Πρωτ.: Γ/ΕΞ/2122-1/ Α Π Ο Φ Α Σ Η 34/2017

Α Π Ο Φ Α Σ Η 23 /2019 (Τμήμα)

Α Π Ο Φ Α Σ Η ΑΡ. 102/ 2017

Α Π Ο Φ Α Σ Η 160/2011

Α Π Ο Φ Α Σ Η 116/2017

Α Π Ο Φ Α Σ Η 64/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1566-2/ Α Π Ο Φ Α Σ Η 91 /2016

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2615/ Α Π Ο Φ Α Σ Η 38/2017

Α Π Ο Φ Α Σ Η 136 /2017

Α Π Ο Φ Α Σ Η ΑΡ. 60/2011

Α Π Ο Φ Α Σ Η 20/2012

Α Π Ο Φ Α Σ Η ΑΡ. 1/2018

Α Π Ο Φ Α Σ Η 169/2011

AΠ Ο Φ Α Σ Η 28/2018 (Τμήμα)

Α Π Ο Φ Α Σ Η ΑΡ. 13/2019 (Τμήμα)

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1862/ Α Π Ο Φ Α Σ Η ΑΡ. 21/ 2017

Αθήνα, ΑΠ: Γ/ΕΞ/7335-1/

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5613/ Α Π Ο Φ Α Σ Η 90/2017

Α Π Ο Φ Α Σ Η 65/2012

Α Π Ο Φ Α Σ Η 106/2012

Α Π Ο Φ Α Σ Η ΑΡ. 187 / 2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2420/ Α Π Ο Φ Α Σ Η 43 / 2013

Α Π Ο Φ Α Σ Η 21/2016

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4841-2/ Α Π Ο Φ Α Σ Η 144 /2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5799/ Α Π Ο Φ Α Σ Η 52/2018

Α Π Ο Φ Α Σ Η ΑΡ. 41/2018

Α Π Ο Φ Α Σ Η 53/2012

Α Π Ο Φ Α Σ Η 150/2012

Α Π Ο Φ Α Σ Η 20/2016

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4573/ Α Π Ο Φ Α Σ Η 114/2012

Α Π Ο Φ Α Σ Η 24/2011

Α Π Ο Φ Α Σ Η 122/2016

Α Π Ο Φ Α Σ Η 136/2011

Αθήνα, ΑΠ: Γ/ΕΞ/7418-1/

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4805/ Α Π Ο Φ Α Σ Η ΑΡ. 71/ 2017

Α Π Ο Φ Α Σ Η ΑΡ. 101/2017

Α Π Ο Φ Α Σ Η 10/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2581-2/ Α Π Ο Φ Α Σ Η 100/2017

Α Π Ο Φ Α Σ Η 13/2011

Α Π Ο Φ Α Σ Η 166/2011

Παραβίαση της ασφάλειας των προσωπικών δεδομένων

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5583/ Α Π Ο Φ Α Σ Η 87/2016

Α Π Ο Φ Α Σ Η 156/2014

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3993/ Α Π Ο Φ Α Σ Η 46/2018

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3696-2/ ΑΠΟΦΑΣΗ 124/2017

Α Π Ο Φ Α Σ Η ΑΡ. 110/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2619/ Α Π Ο Φ Α Σ Η 40/2017

Α Π Ο Φ Α Σ Η 128/2013

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/6312-1/ Α Π Ο Φ Α Σ Η 168/2014

Α Π Ο Φ Α Σ Η ΑΡ. 27/ 2013

Αθήνα, ΑΠ: Γ/ΕΞ/595-1/

Α Π Ο Φ Α Σ Η 155/2013

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/456/ Α Π Ο Φ Α Σ Η 06/2018

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2313-1/

GDPR (General Data Protection Regulation) Παναγιώτης Οικονόμου

Α Π Ο Φ Α Σ Η 58/2017

Αριθ. Πρωτ.: Γ/ΕΞ/1106/ Α Π Ο Φ Α Σ Η 7/2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5630/ Α Π Ο Φ Α Σ Η ΑΡ. 99/2013

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5906/ Α Π Ο Φ Α Σ Η 95 /2017

ΔΗΜΟΣΙΑ ΔΙΑΒΟΥΛΕΥΣΗ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΤΡΟΠΟΠΟΙΗΣΗ ΤΟΥ ΚΑΝΟΝΙΣΜΟΥ ΔΙΑΧΕΙΡΙΣΗΣ ΚΑΙ ΕΚΧΩΡΗΣΗΣ ΟΝΟΜΑΤΩΝ ΧΩΡΟΥ (DOMAIN NAMES) ΜΕ ΚΑΤΑΛΗΞΗ.GR ή.

Αθήνα, ΑΠ: Γ/ΕΞ/610/

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/7081/

Α Π Ο Φ Α Σ Η 89/2012

Α Π Ο Φ Α Σ Η 11/2014

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5402/ Α Π Ο Φ Α Σ Η 85 /2017

Α Π Ο Φ Α Σ Η 97/2012

Α Π Ο Φ Α Σ Η 05/2015

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5394-1/ Α Π Ο Φ Α Σ Η 110 /2016

Α Π Ο Φ Α Σ Η 1/2012

Α Π Ο Φ Α Σ Η 36/2017

Αθήνα, ΑΠ: Γ/ΕΞ/2309/

Α Π Ο Φ Α Σ Η 54 /2018 (Τμήμα)

Α Π Ο Φ Α Σ Η 15/2017

Transcript:

ΕΛΛΗΝΙΚΗ ΗΜΟΚΡΑΤΙΑ ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ Αθήνα, 09-11-2018 Αριθ. Πρωτ.: Γ/ΕΞ/7022-2/09-11-2018 Α Π Ο Φ Α Σ Η ΑΡ. 67/ 2018 (Τµήµα) Η Αρχή Προστασίας εδοµένων Προσωπικού Χαρακτήρα συνεδρίασε σε σύνθεση Τµήµατος µετά από πρόσκληση του Προέδρου της στην έδρα της την Τετάρτη 7-11-2018, προκειµένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν ο Αναπληρωτής Πρόεδρος, Γεώργιος Μπατζαλέξης, κωλυοµένου του Προέδρου της Αρχής, Κωνσταντίνου Μενουδάκου, o Κωνσταντίνος Λαµπρινουδάκης, τακτικό µέλος, και τα αναπληρωµατικά µέλη Παναγιώτης Ροντογιάννης, ως εισηγητής, και Γρηγόριος Τσόλιας, σε αναπλήρωση των τακτικών µελών Αντωνίου Συµβώνη και Χαράλαµπου Ανθόπουλου, αντίστοιχα, οι οποίοι, αν και εκλήθησαν νοµίµως εγγράφως, δεν παρέστησαν λόγω κωλύµατος. Στη συνεδρίαση παρέστησαν, µε εντολή του Προέδρου, οι Γεώργιος Ρουσόπουλος και Κωνσταντίνος Λιµνιώτης, ειδικοί επιστήµονες ελεγκτές, ως βοηθοί εισηγητή. Επίσης, παρέστη, µε εντολή του Προέδρου, και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του ιοικητικού Τµήµατος της Αρχής, ως γραµµατέας. Η Αρχή έλαβε υπόψη της τα παρακάτω: Υποβλήθηκε στην Αρχή, από την εταιρεία «DIMERA GROUP ΕΜΠΟΡΙΟ ΑΘΛΗΤΙΚΩΝ ΕΙ ΩΝ ΜΟΝΟΠΡΟΣΩΠΗ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΕΥΘΥΝΗΣ» (εφεξής, DIMERA) η υπ αριθµ. πρωτ. Γ/ΕΙΣ/7022/27-08-2018 γνωστοποίηση περιστατικού παραβίασης δεδοµένων προσωπικού χαρακτήρα, σύµφωνα µε το άρ. 33 του Γενικού Κανονισµού (ΕΕ) 2016/679 (Γενικός Κανονισµός Προστασίας εδοµένων εφεξής, ΓΚΠ ). Σύµφωνα µε την εν λόγω γνωστοποίηση, το περιστατικό αφορούσε επίθεση ασφαλείας η οποία ήταν αποτέλεσµα κακόβουλης εξωτερικής ενέργειας («hacking»). Το εν λόγω Λ. Κηφισίας 1-3, 11523 Αθήνα, Τηλ: 210 6475600, Fax: 210 6475628, contact@dpa.gr / www.dpa.gr

περιστατικό, το οποίο δεν ήταν πλέον σε εξέλιξη κατά το χρόνο υποβολής της γνωστοποίησης, είχε ως αποτέλεσµα την παραβίαση της εµπιστευτικότητας δεδοµένων πελατών της εταιρείας. H DIMERA υπέβαλε την ως άνω γνωστοποίηση στην Αρχή εντός 72 ωρών από τη στιγµή που έλαβε γνώση του περιστατικού. Στη γνωστοποίηση αυτή οι αναλυτικές πληροφορίες της οποίας περιγράφονται στο εµπιστευτικό παράρτηµα της παρούσας περιγράφεται το είδος των προσωπικών δεδοµένων των οποίων η εµπιστευτικότητα παραβιάστηκε, το πλήθος κατά προσέγγιση - των επηρεαζόµενων από το περιστατικό ατόµων, το πλήθος των επηρεαζόµενων αρχείων µε προσωπικά δεδοµένα, τα µέτρα ασφάλειας που είχαν υλοποιηθεί πριν το εν λόγω περιστατικό καθώς και τα µέτρα τα οποία λήφθηκαν αµέσως µετά το περιστατικό µε στόχο την αποτελεσµατική του αντιµετώπιση. Περαιτέρω, στη γνωστοποίηση περιγράφεται ο τρόπος µε τον οποίο η DIMERA έλαβε γνώση του περιστατικού, αποτυπώνεται η εκτίµηση την οποία η DIMERA πραγµατοποίησε ως προς τη σοβαρότητα αυτού, ενώ επίσης αναφέρεται ότι η DIMERA θα ενηµερώσει σχετικά τα υποκείµενα των δεδοµένων των οποίων τα δεδοµένα διέρρευσαν. Προς τούτο, επισηµαίνεται ότι η διαδικασία ενηµέρωσης είχε ήδη ξεκινήσει κατά το χρόνο που η εν λόγω γνωστοποίηση υποβλήθηκε στην Αρχή και µε την ολοκλήρωσή της θα ακολουθούσε η υποβολή συµπληρωµατικής γνωστοποίησης. Ακολούθως, η DIMERA υπέβαλε τη συµπληρωµατική υπ αριθµ. πρωτ. Γ/ΕΙΣ/7098/30-08-2018 γνωστοποίηση για το εν λόγω περιστατικό. Με τη νέα αυτή γνωστοποίηση οι αναλυτικές πληροφορίες της οποίας επίσης περιγράφονται στο εµπιστευτικό παράρτηµα της παρούσας συγκεκριµενοποιείται ο αριθµός των επηρεαζόµενων προσώπων, επισυνάπτονται αντίγραφα των µηνυµάτων ηλεκτρονικού ταχυδροµείου µε τα οποία τα εν λόγω πρόσωπα έλαβαν εξατοµικευµένα ενηµέρωση από τη DIMERA για το εν λόγω περιστατικό καθώς και καθοδήγηση για τις ενέργειες που πρέπει µε τη σειρά τους να κάνουν για να µην έχουν επιπτώσεις από το εν λόγω περιστατικό, ενώ επίσης, παρουσιάζεται µία εµπλουτισµένη - σε σχέση µε την αρχική γνωστοποίηση - λίστα τεχνικών µέτρων που υιοθέτησε η DIMERA µετά το εν λόγω περιστατικό. Βάσει της πληροφορίας που αποτυπώνεται στις ως άνω δύο γνωστοποιήσεις, η Αρχή απέστειλε στη DIMERA το υπ αριθµ. πρωτ. Γ/ΕΞ/7022-1/21-09-2018 έγγραφο ζητώντας διευκρινίσεις επί ζητηµάτων που άπτονται των µέτρων που ήταν σε ισχύ πριν το περιστατικό προκειµένου τέτοιου τύπου συµβάντα να ανιχνεύονται έγκαιρα, καθώς επίσης και επί ειδικότερων θεµάτων της συγκεκριµένης επεξεργασίας (όπως ποια ακριβώς ήταν η υποκείµενη ροή πληροφορίας των δεδοµένων των πελατών της DIMERA οι οποίοι χρησιµοποιούσαν τη διαδικτυακή της υπηρεσία, αποσαφήνιση διαφόρων τεχνικών 2

ζητηµάτων σε σχέση µε τις επικαιροποιηµένες ή µη εκδόσεις διαδικτυακών πρωτοκόλλων ασφαλείας κ.ά.). Η DIMERA απάντησε στην Αρχή µε το υπ αριθµ. πρωτ. Γ/ΕΙΣ/7789/02-10-2018 έγγραφο, στο οποίο παρείχε τις διευκρινίσεις επί των ζητηµάτων αυτών. Αναλυτικότερες πληροφορίες για τα ανωτέρω έγγραφα περιγράφονται στο εµπιστευτικό παράρτηµα της παρούσας. Η Αρχή, µετά από εξέταση όλων των στοιχείων του φακέλου, αφού άκουσε τον εισηγητή και τις διευκρινίσεις των βοηθών εισηγητή, οι οποίοι στη συνέχεια αποχώρησαν πριν από τη διάσκεψη και τη λήψη απόφασης, και κατόπιν διεξοδικής συζήτησης, ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ 1. Ο ΓΚΠ, ο οποίος αντικατέστησε την Οδηγία 95/56/ΕΚ, είναι σε εφαρµογή από τις 25 Μαΐου 2018. Το άρθρο 4 του ΓΚ Π ορίζει ότι «δεδοµένα προσωπικού χαρακτήρα» είναι «κάθε πληροφορία που αφορά ταυτοποιηµένο ή ταυτοποιήσιµο φυσικό πρόσωπο (υποκείµενο των δεδοµένων)». Στο ίδιο άρθρο επίσης ορίζεται ως επεξεργασία «κάθε πράξη ή σειρά πράξεων που πραγµατοποιείται µε ή χωρίς τη χρήση αυτοµατοποιηµένων µέσων, σε δεδοµένα προσωπικού χαρακτήρα ή σε σύνολα δεδοµένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρµογή ή η µεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση µε διαβίβαση, η διάδοση ή κάθε άλλη µορφή διάθεσης, η συσχέτιση ή ο συνδυασµός, ο περιορισµός, η διαγραφή ή η καταστροφή». Περαιτέρω, ως υπεύθυνος επεξεργασίας ορίζεται οποιοσδήποτε (το φυσικό ή νοµικό πρόσωπο, η δηµόσια αρχή, η υπηρεσία ή άλλος φορέας) που, «µόνος ή από κοινού µε άλλον, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα». Στο ίδιο άρθρο ορίζεται η παραβίαση δεδοµένων προσωπικού χαρακτήρα ως «η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνοµη καταστροφή, απώλεια, µεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδοµένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία». 2. Οι αρχές που διέπουν την επεξεργασία δεδοµένων προσωπικού χαρακτήρα ορίζονται στο άρθρο 5 παρ. 1 του ΓΚΠ µεταξύ αυτών, όπως επισηµαίνεται στο άρθρο 5 παρ. 1 στοιχ. στ αυτού, τα δεδοµένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγµένη ασφάλεια των δεδοµένων προσωπικού χαρακτήρα, µεταξύ άλλων την προστασία τους από µη εξουσιοδοτηµένη ή παράνοµη επεξεργασία και 3

τυχαία απώλεια, καταστροφή ή φθορά, µε τη χρησιµοποίηση κατάλληλων τεχνικών ή οργανωτικών µέτρων («ακεραιότητα και εµπιστευτικότητα»). Περαιτέρω, στην παράγραφο 2 του ίδιου άρθρου, αναφέρεται ότι ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συµµόρφωση µε την παράγραφο 1 («λογοδοσία»). 3. Σύµφωνα µε το άρθρο 32 του ΓΚΠ, «λαµβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρµογής και τη φύση, το πεδίο εφαρµογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρµόζουν κατάλληλα τεχνικά και οργανωτικά µέτρα προκειµένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαµβανοµένων, µεταξύ άλλων, κατά περίπτωση: ( ) δ) διαδικασίας για την τακτική δοκιµή, εκτίµηση και αξιολόγηση της αποτελεσµατικότητας των τεχνικών και των οργανωτικών µέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας». Εξάλλου, στην παράγραφο 2 αυτού, αναφέρεται ότι «κατά την εκτίµηση του ενδεδειγµένου επιπέδου ασφάλειας λαµβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνοµη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδοµένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία». 4. Αναφορικά µε τη περιστατικά παραβίασης δεδοµένων προσωπικού χαρακτήρα, ο ΓΚΠ ορίζει συγκεκριµένες υποχρεώσεις για τους υπευθύνους επεξεργασίας. Συγκεκριµένα, στο άρθρο 33 αυτού, ορίζεται ότι σε περίπτωση παραβίασης δεδοµένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αµελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγµή που αποκτά γνώση του γεγονότος την παραβίαση των δεδοµένων προσωπικού χαρακτήρα στην αρµόδια 1 εποπτική αρχή, εκτός εάν η παραβίαση δεδοµένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγµατοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση. Στην παράγραφο 3 του άρθρου 33 ορίζεται ότι η γνωστοποίηση αυτή κατ' ελάχιστο: α) περιγράφει τη φύση της παραβίασης δεδοµένων προσωπικού χαρακτήρα, συµπεριλαµβανοµένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθµού των επηρεαζόµενων υποκειµένων των δεδοµένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθµού των επηρεαζόµενων αρχείων δεδοµένων προσωπικού 1 Λαµβάνοντας υπόψη το άρθρο 55 του ΓΚΠ περί των αρµοδιοτήτων των εποπτικών αρχών, αρµόδια για το εν λόγω περιστατικό είναι η Αρχή Προστασίας εδοµένων Προσωπικού Χαρακτήρα 4

χαρακτήρα, β) ανακοινώνει το όνοµα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδοµένων ή άλλου σηµείου επικοινωνίας από το οποίο µπορούν να ληφθούν περισσότερες πληροφορίες, γ) περιγράφει τις ενδεχόµενες συνέπειες της παραβίασης των δεδοµένων προσωπικού χαρακτήρα, δ) περιγράφει τα ληφθέντα ή τα προτεινόµενα προς λήψη µέτρα από τον υπεύθυνο επεξεργασίας για την αντιµετώπιση της παραβίασης των δεδοµένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, µέτρα για την άµβλυνση ενδεχόµενων δυσµενών συνεπειών της. Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, µπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση. Σύµφωνα µε το άρθρο 34 του ΓΚΠ, όταν η παραβίαση δεδοµένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αµελλητί την παραβίαση των δεδοµένων προσωπικού χαρακτήρα στο υποκείµενο των δεδοµένων. Σε αυτήν την ανακοίνωση περιγράφεται µε σαφήνεια η φύση της παραβίασης των δεδοµένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα µέτρα που αναφέρονται στο άρθρο 33 παράγραφος 3 στοιχεία β), γ) και δ) (πβλ. ανωτέρω). Η ανακοίνωση στο υποκείµενο των δεδοµένων δεν απαιτείται, εάν πληρείται οποιαδήποτε από τις ακόλουθες προϋποθέσεις: α) ο υπεύθυνος επεξεργασίας εφάρµοσε κατάλληλα τεχνικά και οργανωτικά µέτρα προστασίας, και τα µέτρα αυτά εφαρµόστηκαν στα επηρεαζόµενα από την παραβίαση δεδοµένα προσωπικού χαρακτήρα, κυρίως µέτρα που καθιστούν µη κατανοητά τα δεδοµένα προσωπικού χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση, β) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια µέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει υψηλός κίνδυνος για τα δικαιώµατα και τις ελευθερίες των υποκειµένων των δεδοµένων, γ) προϋποθέτει δυσανάλογες προσπάθειες (οπότε και, στην περίπτωση αυτή, γίνεται αντ' αυτής δηµόσια ανακοίνωση ή υπάρχει παρόµοιο µέτρο µε το οποίο τα υποκείµενα των δεδοµένων ενηµερώνονται µε εξίσου αποτελεσµατικό τρόπο). 5. Στην προκειµένη περίπτωση, η DIMERA αποτελεί τον υπεύθυνο επεξεργασίας, κατά την έννοια του άρ. 4 του ΓΚΠ (βλ. στοιχ. 7 αυτού). Περαιτέρω, από τα στοιχεία του φακέλου της υπόθεσης προκύπτει ότι η DIMERA συµµορφώθηκε µε τις υποχρεώσεις των υπευθύνων επεξεργασίας οι οποίες απορρέουν από τα προαναφερθέντα άρθρα 33 και 34 του ΓΚΠ αναφορικά µε τη διαχείριση περιστατικών παραβίασης δεδοµένων προσωπικού χαρακτήρα, δεδοµένου ότι: α) υπέβαλε τη σχετική γνωστοποίηση στην Αρχή, εντός εβδοµήντα δύο (72) ωρών από τη 5

στιγµή που έλαβε γνώση του περιστατικού, β) η γνωστοποίηση συνολικά, όπως αυτή συµπληρώθηκε, παρέχει όλες τις πληροφορίες που απαιτούνται βάσει του άρ. 33 του ΓΚΠ, γ) προέβη αµέσως σε αξιολόγηση των κινδύνων για τα επηρεαζόµενα υποκείµενα των δεδοµένων λόγω του περιστατικού και πραγµατοποίησε ενηµέρωση αυτών, σύµφωνα µε τα όσα προβλέπονται σχετικώς στο άρ. 34 του ΓΚΠ. 6. Η DIMERA περιέγραψε αναλυτικώς στην Αρχή τα νέα µέτρα που έλαβε, µετά το περιστατικό, προκειµένου να αντιµετωπιστεί η επίθεση και να δηµιουργηθεί ένα ασφαλέστερο περιβάλλον για το µέλλον. Εξάλλου, αµέσως µόλις η DIMERA ενηµερώθηκε για το περιστατικό, προέβη σε ενέργειες τόσο για τη διερεύνηση των γενεσιουργών αιτιών του περιστατικού όσο και για την λήψη κατάλληλων µέτρων προκειµένου να σταµατήσει η συγκεκριµένη επίθεση ασφαλείας. Επίσης η DIMERA, στο προαναφερθέν υπ αριθµ. πρωτ. Γ/ΕΙΣ/7789/02-10-2018 έγγραφό της, αναφέρει ότι πριν από το εν λόγω συµβάν είχε αποφασίσει την πλήρη υιοθέτηση και υλοποίηση τεχνικών και οργανωτικών µέτρων, κάποια εκ των οποίων είχαν ήδη πραγµατοποιηθεί. Περαιτέρω, η DIMERA αναφέρει ότι παρόµοια επίθεση ασφαλείας, η οποία αποτελεί είδος επίθεσης νέου τύπου, υπέστησαν και άλλες µεγάλες επιχειρήσεις στην Ευρώπη, ιδιαίτερα κατά το χρονικό διάστηµα στο οποίο η επίθεση ασφαλείας έλαβε χώρα και κατά της DIMERA κάνοντας µνεία σε κάποιες συγκεκριµένες περιπτώσεις. Από την ανάλυση των µέτρων ασφάλειας τα οποία η DIMERA είχε λάβει πριν το περιστατικό, σε σύγκριση µε τα µέτρα που έλαβε µετά το περιστατικό, και λαµβάνοντας επίσης υπόψη και τον τρόπο µε τον οποίο έλαβε γνώση αυτού 2, προκύπτει ότι η DIMERA καίτοι ήδη είχε υιοθετήσει τεχνικά µέτρα ασφάλειας δεν διέθετε τους κατάλληλους µηχανισµούς για έγκαιρη ανίχνευση τέτοιου τύπου επιθέσεων ασφαλείας και, κατ επέκταση, για την κατά το δυνατόν αποτελεσµατική αποτροπή αυτών. Περαιτέρω, δεν είχε λάβει την απαραίτητη µέριµνα για την ενηµέρωση του χρησιµοποιούµενου λογισµικού και την άµεση εφαρµογή των ενηµερώσεων ασφαλείας του. Πρέπει επίσης να σηµειωθεί ότι εκ της φύσεως της συγκεκριµένης επεξεργασίας προσωπικών δεδοµένων (όπως αναλυτικά περιγράφεται στο εµπιστευτικό παράρτηµα της παρούσας), προκύπτει ότι ενδεχόµενη παραβίαση δεδοµένων ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων όπως εξάλλου συνέτρεξε στην υπό κρίση περίπτωση και, κατά συνέπεια, η DIMERA όφειλε ως υπεύθυνος επεξεργασίας, λαµβάνοντας υπόψη τους υψηλούς αυτούς 2 Όλες οι σχετικές πληροφορίες περιγράφονται στο εµπιστευτικό παράρτηµα της παρούσας 6

κινδύνους, να υλοποιήσει τα κατάλληλα µέτρα για την αντιµετώπισή τους, συµπεριλαµβανοµένης της τακτικής δοκιµής και αξιολόγησης της αποτελεσµατικότητας των τεχνικών και των οργανωτικών µέτρων για την ασφάλεια της επεξεργασίας. Συνεπώς, βάσει αυτών, υπήρξε παράβαση των διατάξεων του άρ. 32 του ΓΚΠ και, κατά συνέπεια, της θεµελιώδους αρχής της ασφάλειας των δεδοµένων (άρ. 5 παρ. 1 στοιχ. στ του ΓΚΠ ). 7. Ενόψει των ως άνω παραβάσεων που διαπιστώθηκαν, και λαµβάνοντας επίσης υπόψη ότι αφενός ο υπεύθυνος επεξεργασίας ενήργησε αµελλητί στην αντιµετώπιση του περιστατικού συµµορφούµενος και µε το σύνολο των υποχρεώσεων που απορρέουν από του ΓΚΠ αναφορικά µε τα περιστατικά παραβίασης δεδοµένων προσωπικού χαρακτήρα, και αφετέρου ότι η εν λόγω επίθεση ασφαλείας ήταν µία νέου τύπου επίθεση, η Αρχή κρίνει οµόφωνα ότι πρέπει να ασκήσει την προβλεπόµενη στο άρθρο 58 παρ. 2 εδ. β ΓΚΠ εξουσία της, όπως αναφέρεται στο διατακτικό της παρούσας, και η οποία κρίνεται ανάλογη µε τη βαρύτητα των παραβάσεων. ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ Η Αρχή λαµβάνοντας υπόψη τα παραπάνω: Απευθύνει µε βάση το αρ. 58 παρ. 2 β του Κανονισµού (ΕΕ) 2016/679 επίπληξη στην DIMERA GROUP ΕΜΠΟΡΙΟ ΑΘΛΗΤΙΚΩΝ ΕΙ ΩΝ ΜΟΝΟΠΡΟΣΩΠΗ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΕΥΘΥΝΗΣ για την παραβίαση διατάξεων του άρ. 32 του Κανονισµού (ΕΕ) 2016/679 και, κατ επέκταση, του άρ. άρ. 5 παρ. 1 στοιχ. στ αυτού. Ο Αναπληρωτής Πρόεδρος Η Γραµµατέας Γεώργιος Μπατζαλέξης Ειρήνη Παπαγεωργοπούλου 7

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια