Α Π Ο Φ Α Σ Η ΑΡ. 75/2016

Σχετικά έγγραφα
Α Π Ο Φ Α Σ Η ΑΡ. 27/ 2013

Α Π Ο Φ Α Σ Η ΑΡ. 187 / 2012

Α Π Ο Φ Α Σ Η ΑΡ. 110/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/6617/ Α Π Ο Φ Α Σ Η ΑΡ. 164/2014

Α Π Ο Φ Α Σ Η 11/2014

Α Π Ο Φ Α Σ Η 106/2012

Α Π Ο Φ Α Σ Η 169/2011

Α Π Ο Φ Α Σ Η ΑΡ. 60/2011

Α Π Ο Φ Α Σ Η 93/2012

Α Π Ο Φ Α Σ Η 1/2012

Α Π Ο Φ Α Σ Η 3/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/579-6/ Α Π Ο Φ Α Σ Η ΑΡ. 140 / 2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3277-1/ Γ Ν Ω Μ Ο Ο Τ Η Σ Η 4 /2016

Α Π Ο Φ Α Σ Η 96/2012

Α Π Ο Φ Α Σ Η 05/2015

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2180/ Α Π Ο Φ Α Σ Η ΑΡ. 42/2013

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4573/ Α Π Ο Φ Α Σ Η 114/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2411-1/

Α Π Ο Φ Α Σ Η 103/2014

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1859/ Α Π Ο Φ Α Σ Η ΑΡ. 22/ 2017

Α Π Ο Φ Α Σ Η 2/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/7700-1/ Α Π Ο Φ Α Σ Η ΑΡ. 150/2013

Α Π Ο Φ Α Σ Η 159/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3718/ Α Π Ο Φ Α Σ Η 72/2012

Α Π Ο Φ Α Σ Η ΑΡ. 9 / 2009

Α Π Ο Φ Α Σ Η 160/2011

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/8841/ Α Π Ο Φ Α Σ Η ΑΡ. 66/2018

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5615/ Α Π Ο Φ Α Σ Η 88 /2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5630/ Α Π Ο Φ Α Σ Η ΑΡ. 99/2013

Α Π Ο Φ Α Σ Η 14/2019 (Τμήμα)

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/ 4590/ Α Π Ο Φ Α Σ Η 36/2016

Α Π Ο Φ Α Σ Η 13/2011

Α Π Ο Φ Α Σ Η 53/2012

Αθήνα, Αριθ. Πρωτ.: Α Π Ο Φ Α Σ Η 33/2016

Αθήνα, ΑΠ: Γ/ΕΞ/1284-2/

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2420/ Α Π Ο Φ Α Σ Η 43 / 2013

Α Π Ο Φ Α Σ Η 65/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3287-1/ Α Π Ο Φ Α Σ Η 70/2014

Α Π Ο Φ Α Σ Η 115/2014

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5799/ Α Π Ο Φ Α Σ Η 52/2018

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1791/ Α Π Ο Φ Α Σ Η ΑΡ. 36/2015

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3749/ Α Π Ο Φ Α Σ Η 79/2015

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1935-1/ Α Π Ο Φ Α Σ Η 127/2015

Α Π Ο Φ Α Σ Η 94/2017

Α Π Ο Φ Α Σ Η 50/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/482/ Α Π Ο Φ Α Σ Η ΑΡ. 10/2014

Α Π Ο Φ Α Σ Η 64/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3111 Α Π Ο Φ Α Σ Η 49/2011

Α Π Ο Φ Α Σ Η 49/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1166/ Α Π Ο Φ Α Σ Η 10/2011

Α Π Ο Φ Α Σ Η ΑΡ. 131

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3378-2/ Α Π Ο Φ Α Σ Η 56 /2016

Αθήνα, ΑΠ: Γ/ΕΞ/2309/

Α Π Ο Φ Α Σ Η 59 /2015

Α Π Ο Φ Α Σ Η 47/2015

Α Π Ο Φ Α Σ Η 90/2014

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/6987/ Α Π Ο Φ Α Σ Η 136/2013

Α Π Ο Φ Α Σ Η 175/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4778-1/ Α Π Ο Φ Α Σ Η 92/2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/6689/ Α Π Ο Φ Α Σ Η 133/2015

Α Π Ο Φ Α Σ Η 30 /2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5067-1/

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/7022-2/ Α Π Ο Φ Α Σ Η ΑΡ. 67/ 2018

Α Π Ο Φ Α Σ Η ΑΡ. 79/2016

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2326/ Α Π Ο Φ Α Σ Η 6/2019

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1091/ Α Π Ο Φ Α Σ Η 4 /2019

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2111-1/ Α Π Ο Φ Α Σ Η 82/2014

Α Π Ο Φ Α Σ Η 23 /2019 (Τμήμα)

Α Π Ο Φ Α Σ Η 136/2011

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3337/

Α Π Ο Φ Α Σ Η 21/2016

Αθήνα, ΑΠ: Γ/ΕΞ/595-1/

Α Π Ο Φ Α Σ Η 116/2013

Α Π Ο Φ Α Σ Η 136 /2017

Α Π Ο Φ Α Σ Η 92/2015

Α Π Ο Φ Α Σ Η 123/2014

Α Π Ο Φ Α Σ Η 123/2016

Αθήνα, ΑΠ: Γ/ΕΞ/1242-2/

Α Π Ο Φ Α Σ Η 120 /2016

Α Π Ο Φ Α Σ Η 141/2011

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1236-2/ Α Π Ο Φ Α Σ Η 55/2014

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1566-2/ Α Π Ο Φ Α Σ Η 91 /2016

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4508-1/ Α Π Ο Φ Α Σ Η 91/2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2950-1//

Α Π Ο Φ Α Σ Η 40/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4804/ Α Π Ο Φ Α Σ Η ΑΡ. 72/ 2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2581-2/ Α Π Ο Φ Α Σ Η 100/2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4786/ Α Π Ο Φ Α Σ Η 95/2014

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3883-2/ Α Π Ο Φ Α Σ Η 101 /2015

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4240-1/ Α Π Ο Φ Α Σ Η 79/2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2615/ Α Π Ο Φ Α Σ Η 38/2017

Α Π Ο Φ Α Σ Η ΑΡ. 86/2013

Α Π Ο Φ Α Σ Η 15/2019 (Τμήμα)

Α Π Ο Φ Α Σ Η 150/2012

Α Π Ο Φ Α Σ Η 173/2014

Α Π Ο Φ Α Σ Η ΑΡ. 150 / 2017

Α Π Ο Φ Α Σ Η 85/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/590/ Α Π Ο Φ Α Σ Η 14/2014

Α Π Ο Φ Α Σ Η 38/2014

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/763/ Α Π Ο Φ Α Σ Η 15 /2015

Transcript:

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ Αθήνα, 05-08-2016 Αριθ. Πρωτ.: Γ/ΕΞ/5003/05-08-2016 Α Π Ο Φ Α Σ Η ΑΡ. 75/2016 Η Αρχή Προστασίας εδοµένων Προσωπικού Χαρακτήρα συνήλθε στην έδρα της την Τρίτη 19-07-2016 και ώρα 10:00, µετά από πρόσκληση του Προέδρου της, προκειµένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν ο Πρόεδρος της Αρχής, Πέτρος Χριστόφορος και τα τακτικά µέλη της Αρχής Λεωνίδας Κοτσαλής, Αναστάσιος-Ιωάννης Μεταξάς, ηµήτριος Μπριόλας και Αντώνιος Συµβώνης. Στη συνεδρίαση παρέστη ακόµα, µετά από εντολή Προέδρου, το αναπληρωµατικό µέλος της Αρχής Παναγιώτης Ροντογιάννης, ως εισηγητής µε δικαίωµα ψήφου. Τα τακτικά µέλη της Αρχής Κων/νος Χριστοδούλου και Πέτρος Τσαντίλας, παρόλο που εκλήθησαν νοµίµως εγγράφως, δεν παρέστησαν λόγω κωλύµατος. Στη συνεδρίαση, χωρίς δικαίωµα ψήφου, παρέστησαν επίσης, µε εντολή του Προέδρου, οι Γεωργία Παναγοπούλου, Γεώργιος Ρουσόπουλος, Λεωνίδας Ρούσσος ειδικοί επιστήµονες-ελεγκτές, ως βοηθοί εισηγητή. Επίσης παρέστη, µε εντολή του Προέδρου, η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τµήµατος διοικητικών και οικονοµικών υποθέσεων, ως γραµµατέας. Η Αρχή έλαβε υπόψη τα παρακάτω: Η Αρχή Προστασίας εδοµένων Προσωπικού Χαρακτήρα, στο πλαίσιο της άσκησης των αρµοδιοτήτων της, σύµφωνα µε το άρθρο 19 παρ. 1 στοιχ. η του νόµου 2472/1997 αποφάσισε τη διεξαγωγή διοικητικού ελέγχου στα αρχεία της Γενικής Γραµµατείας Πληροφοριακών Συστηµάτων και ιοικητικής Υποστήριξης (ΓΓΠΣ& Υ) και της Γενικής Γραµµατείας ηµοσίων Εσόδων (ΓΓ Ε), µε 1

αντικείµενο την προστασία δεδοµένων προσωπικού χαρακτήρα κατά την επεξεργασία που πραγµατοποιείται ιδίως µέσω των εφαρµογών του υποσυστήµατος Μητρώου του Taxis και του Taxisnet. Εξεδόθη σχετικά η µε αρ. πρωτ. Γ/ΕΞ/5442/22-10-2015 εντολή ελέγχου, βάσει της οποίας τον έλεγχο θα πραγµατοποιήσουν οι εντεταλµένοι υπάλληλοι του Τµήµατος Ελεγκτών της Γραµµατείας της Αρχής Γεωργία Παναγοπούλου, Γεώργιος Ρουσόπουλος και Λεωνίδας Ρούσσος (εφεξής «οµάδα ελέγχου»). Η Αρχή µε το µε αρ. πρωτ. Γ/ΕΞ/5499/26-10-2015 έγγραφο ενηµέρωσε τον υπεύθυνο επεξεργασίας σχετικά µε το αντικείµενο και τον τρόπο διεξαγωγής του ελέγχου, ακολουθώντας τις διαδικασίες της µεθοδολογίας ελέγχων της Αρχής. Για την καλύτερη προετοιµασία του ελέγχου, ζητήθηκε να προσδιοριστεί µία διεύθυνση ηλεκτρονικού ταχυδροµείου στην οποία η οµάδα ελέγχου θα αποστέλλει ερωτηµατολόγια που σχετίζονται µε το αντικείµενο του συγκεκριµένου ελέγχου. Επίσης, ζητήθηκε να υποδειχθεί εκπρόσωπος για κάθε Γενική Γραµµατεία που θα είναι αρµόδιος για την επικοινωνία µε την Αρχή για το συγκεκριµένο θέµα. Αφού επιστραφούν ηλεκτρονικά συµπληρωµένα τα ερωτηµατολόγια, η Αρχή ενηµέρωσε ότι θα διεξαγάγει επιτόπιο έλεγχο, κατά τον οποίο η οµάδα ελέγχου θα ζητήσει ενδεχοµένως επιπλέον διευκρινίσεις και θα προβεί σε περαιτέρω απαιτούµενες ενέργειες ελέγχου. Ο υπεύθυνος επεξεργασίας απάντησε σχετικά µε το µε αρ. πρωτ. 2015 (ΑΠ ΠΧ Γ/ΕΙΣ/6025/19-11-2015) έγγραφο µε το οποίο όρισε τη διεύθυνση ηλεκτρονικού ταχυδροµείου καθώς και τα αρµόδια πρόσωπα για επικοινωνία κατά τον έλεγχο. Η οµάδα ελέγχου µε το µε αρ. πρωτ. Γ/ΕΞ/6377/04-12-2015 έγγραφο απέστειλε ηλεκτρονικά ερωτηµατολόγιο µε 41 ερωτήσεις σχετικά µε το αντικείµενο του ελέγχου. Ο υπεύθυνος επεξεργασίας απάντησε στο ερωτηµατολόγιο µε το µε αρ. πρωτ. 2015 έγγραφο (ΑΠ ΠΧ Γ/ΕΙΣ/216/18-01-2016). Στη συνέχεια η οµάδα ελέγχου, αφού µελέτησε τις απαντήσεις του υπευθύνου επεξεργασίας απέστειλε το µε αρ. πρωτ. Γ/ΕΞ/216-1/11-03-2016 έγγραφο µε συνηµµένο ερωτηµατολόγιο µε 28 ερωτήσεις προκειµένου να παρασχεθούν περαιτέρω διευκρινίσεις. Ο υπεύθυνος επεξεργασίας µε το µε αρ. πρωτ. Γ/ΕΙΣ/1655/16-03-2016 αιτήθηκε παράταση µέχρι τις 29-4-2016 για την αποστολή των απαντήσεων επί των διευκρινιστικών ερωτήσεων. Η οµάδα ελέγχου µε το µε αρ. πρωτ. Γ/ΕΞ/1718/18-03- 2016 έγγραφο ζήτησε η αποστολή των απαντήσεων να γίνει µέχρι τις 11-4-2016. Στη 2

συνέχεια ο υπεύθυνος επεξεργασίας µε το µε αρ. πρωτ. 2016 έγγραφο (ΑΠ ΠΧ Γ/ΕΙΣ/2363/13-04-2016) ζήτησε νέα παράταση υποβολής των ζητούµενων διευκρινήσεων έως τις 22-4-2016, η οποία έγινε δεκτή µε την παράκληση να είναι η τελευταία, όπως διευκρίνισε η οµάδα ελέγχου στο µε αρ. πρωτ. Γ/ΕΞ/2378/13-04- 2016 έγγραφό της. Με το µε αρ. πρωτ. 2016 έγγραφο (αρ. πρωτ. Αρχής Γ/ΕΙΣ/2634/25-04-2016) ο υπεύθυνος επεξεργασίας απέστειλε τις απαντήσεις του στα διευκρινιστικά ερωτήµατα. Στη συνέχεια, κατόπιν σχετικής συνεννόησης µε τον υπεύθυνο επεξεργασίας, και αφού απεστάλη σχετικά το µε αρ. πρωτ. Γ/ΕΞ/3142/18-05-2016 έγγραφο, προσδιορίστηκε η 30-5-2016 ως ηµεροµηνία συνάντησης στις εγκαταστάσεις του υπευθύνου επεξεργασίας µε σκοπό την ολοκλήρωση του ελέγχου. Στην εν λόγω συνάντηση εκπροσωπήθηκαν αρµοδίως τόσο η ΓΓΠΣ& Υ όσο και η ΓΓ Ε. Έγινε διεξοδική διαλογική συζήτηση σχετικά µε τις απαντήσεις στα ερωτηµατολόγια ελέγχου, ζητήθηκαν και δόθηκαν οι αναγκαίες διευκρινίσεις. Ο υπεύθυνος επεξεργασίας µε το µε αρ. πρωτ. Γ/ΕΙΣ/3601/07-06-2016 έγγραφο απέστειλε συµπληρωµατικές διευκρινίσεις οι οποίες ζητήθηκαν κατά τη διάρκεια της συνάντησης από την οµάδα ελέγχου. Στη συνέχεια, η οµάδα ελέγχου µελέτησε τα στοιχεία του ελέγχου και συνέταξε Πόρισµα, το οποίο υπέβαλε στην Αρχή µε το υπ. αρ. πρωτ. Γ/ΕΙΣ/4518/18-7/2016 έγγραφο (εφεξής «Πόρισµα της οµάδας ελέγχου»). Στο Πόρισµα της οµάδας ελέγχου καταγράφονται µεταξύ άλλων τα ευρήµατα αναφορικά µε ελλιπή µέτρα ασφάλειας ή διαδικασίες προστασίας προσωπικών δεδοµένων που εντοπίστηκαν, καθώς και οι προτεινόµενες από την οµάδα ελέγχου συστάσεις για την αντιµετώπιση των κινδύνων που δηµιουργούνται. Η Αρχή, µετά από εξέταση όλων των στοιχείων του φακέλου, αφού άκουσε τον εισηγητή και τις διευκρινίσεις των βοηθών εισηγητή, οι οποίοι αποχώρησαν µετά τη συζήτηση και πριν από τη διάσκεψη και τη λήψη αποφάσεως, και κατόπιν διεξοδικής συζήτησης, ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ Το άρθρο 10 του ν. 2472/1997 ορίζει ότι: «1. Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα είναι απόρρητη. ιεξάγεται αποκλειστικά και µόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και µόνον κατ εντολή του. 2. Για τη διεξαγωγή της επεξεργασίας ο 3

υπεύθυνος επεξεργασίας οφείλει να επιλέγει πρόσωπα µε αντίστοιχα επαγγελµατικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου. 3. Ο υπεύθυνος επεξεργασίας οφείλει να λαµβάνει τα κατάλληλα οργανωτικά και τεχνικά µέτρα για την ασφάλεια των δεδοµένων και την προστασία τους από τυχαία ή αθέµιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευµένη διάδοση ή πρόσβαση και κάθε άλλη µορφή αθέµιτης επεξεργασίας. Αυτά τα µέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδοµένων που είναι αντικείµενο της επεξεργασίας. Με την επιφύλαξη άλλων διατάξεων, η Αρχή παρέχει οδηγίες ή εκδίδει κανονιστικές πράξεις σύµφωνα µε το άρθρο 19 παρ. 1 ι' για τη ρύθµιση θεµάτων σχετικά µε τον βαθµό ασφαλείας των δεδοµένων και των υπολογιστικών και επικοινωνιακών υποδοµών, τα µέτρα ασφάλειας που είναι αναγκαίο να λαµβάνονται για κάθε κατηγορία και επεξεργασία δεδοµένων, καθώς και για τη χρήση τεχνολογιών ενίσχυσης της ιδιωτικότητας. 4. Αν η επεξεργασία διεξάγεται για λογαριασµό του υπεύθυνου από πρόσωπο µη εξαρτώµενο από αυτόν, η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως. Η ανάθεση προβλέπει υποχρεωτικά ότι ο ενεργών την επεξεργασία την διεξάγει µόνο κατ εντολή του υπεύθυνου και ότι οι λοιπές υποχρεώσεις του παρόντος άρθρου βαρύνουν αναλόγως και αυτόν». Λαµβάνοντας υπόψη το χαρακτήρα των δεδοµένων, δηλαδή τον όγκο και το είδος των δεδοµένων που περιλαµβάνουν δηµογραφικά και οικονοµικά δεδοµένα όλων των πολιτών της χώρας, καθώς και τις διεθνώς αποδεκτές πρακτικές (όπως τη σειρά του προτύπου ISO/IEC 27000) ως προς τις διαδικασίες και τα οργανωτικά, φυσικά και τεχνικά µέτρα ασφάλειας, η οµάδα ελέγχου εξέτασε την επάρκεια του επιπέδου ασφαλείας των δεδοµένων σε συµµόρφωση µε τις απαιτήσεις του αρ. 10 του ν. 2472/1997. Η Αρχή µε την απόφαση 98/2013, µε αφορµή περιστατικό παραβίασης προσωπικών δεδοµένων, επέβαλε στη Γενική Γραµµατεία Πληροφοριακών Συστηµάτων την κύρωση του προστίµου και παράλληλα συνέστησε την εφαρµογή κατάλληλων µέτρων ασφάλειας. Η συµµόρφωση στις συστάσεις αυτές αποτέλεσε επίσης αντικείµενο του ελέγχου. Η οµάδα ελέγχου διαπίστωσε συγκεκριµένες ελλείψεις ή/και παραλείψεις του υπευθύνου επεξεργασίας αναφορικά µε τα οργανωτικά και τεχνικά µέτρα ασφάλειας και προστασίας προσωπικών δεδοµένων. Οι τοµείς του ελέγχου στους οποίους ιδίως προέκυψαν ευρήµατα ήταν οι εξής: ορισµός υπευθύνου επεξεργασίας, πολιτική και 4

σχέδιο ασφάλειας, υπεύθυνος προστασίας δεδοµένων, σχέδιο ανάκαµψης από καταστροφές, διαχείριση περιστατικών παραβίασης προσωπικών δεδοµένων, διαχείριση πληροφοριακών αγαθών, διαχείριση χρηστών, δικαιώµατα πρόσβασης και έλεγχος πρόσβασης, αρχεία καταγραφής ενεργειών, καταστροφή δεδοµένων, διαχείριση αλλαγών, διαµόρφωση περιβάλλοντος υπολογιστών. Περιλήφθηκαν στον έλεγχο επίσης και τοµείς για τους οποίους δεν εντοπίστηκαν συγκεκριµένες ελλείψεις ή/και παραλείψεις, όπως οι διαδικασίες ενηµέρωσης και εκπαίδευσης χρηστώνυπαλλήλων του υπευθύνου επεξεργασίας καθώς και οι σχέσεις µε εκτελούντες την επεξεργασία. Μετά από εξέταση, σύµφωνα µε τα παραπάνω, των ευρηµάτων που αναφέρονται στο Πόρισµα της οµάδας ελέγχου, η Αρχή εγκρίνει τα ευρήµατα και τις συστάσεις που προτείνονται στο επισυναπτόµενο εµπιστευτικό Πόρισµα του ελέγχου και αποφασίζει να αναφερθεί ειδικά στην ανάγκη και τον τρόπο συµµόρφωσης σε συγκεκριµένη προτεινόµενη σύσταση του Πορίσµατος ελέγχου η οποία περιλαµβάνεται σε εµπιστευτικό Παράρτηµα της παρούσας. Λαµβάνοντας υπόψη ότι η πλειοψηφία των ευρηµάτων που διαπιστώθηκαν αφορά σε έλλειψη πρόβλεψης, έγκρισης, τεκµηρίωσης διαδικασιών για επιµέρους ζητήµατα, η Αρχή κρίνει το επίπεδο της ασφάλειας του υπευθύνου επεξεργασίας, ως προς την επεξεργασία προσωπικών δεδοµένων, σχετικά ικανοποιητικό. ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ Η Αρχή απευθύνει σύσταση στον υπεύθυνο επεξεργασίας να συµµορφωθεί µε τις συστάσεις που αναφέρονται στο επισυναπτόµενο εµπιστευτικό Πόρισµα του ελέγχου και το εµπιστευτικό Παράρτηµα της παρούσας και να ενηµερώνει την Αρχή σχετικά µε την πρόοδο υλοποίησης των συστάσεων αυτών. O Πρόεδρος της Αρχής Η Γραµµατέας Πέτρος Χριστόφορος Ειρήνη Παπαγεωργοπούλου 5

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια