Η παρούσα απόφαση ανακλήθηκε µε την υπ αριθµ.73/2011

Σχετικά έγγραφα
Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3718/ Α Π Ο Φ Α Σ Η 72/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5218/ Α Π Ο Φ Α Σ Η 129/2012

Α Π Ο Φ Α Σ Η ΑΡ. 9 / 2009

Α Π Ο Φ Α Σ Η ΑΡ. 6 / 2004

Α Π Ο Φ Α Σ Η ΑΡ. 41 / 2006

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/579-6/ Α Π Ο Φ Α Σ Η ΑΡ. 140 / 2017

Α Π Ο Φ Α Σ Η ΑΡ. 42 / 2005

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4573/ Α Π Ο Φ Α Σ Η 114/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2180/ Α Π Ο Φ Α Σ Η ΑΡ. 42/2013

Α Π Ο Φ Α Σ Η 93/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3111 Α Π Ο Φ Α Σ Η 49/2011

Α Π Ο Φ Α Σ Η ΑΡ. 38/2007

Α Π Ο Φ Α Σ Η 96/2012

Αθήνα, ΑΠ: Γ/ΕΞ/1684/ ΕΛΛΗΝΙΚΗ ΗΜΟΚΡΑΤΙΑ ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ. Ταχ. /νση: Λ. Κηφισίας ΑΘΗΝΑ

Α Π Ο Φ Α Σ Η 77/2012

Α Π Ο Φ Α Σ Η 106/2012

Α Π Ο Φ Α Σ Η ΑΡ. 60/2011

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/8841/ Α Π Ο Φ Α Σ Η ΑΡ. 66/2018

Α Π Ο Φ Α Σ Η 61/2006

Α Π Ο Φ Α Σ Η ΑΡ. 75/2016

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4806/ Α Π Ο Φ Α Σ Η ΑΡ. 70/ 2017

ΑΝΑΚΛΗΘΗΚΕ ΜΕ ΤΗΝ ΑΠΟΦΑΣΗ ΑΡ.120/2011. Αθήνα ΑΠ: 3206 ΕΛΛΗΝΙΚΗ ΗΜΟΚΡΑΤΙΑ ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Α Π Ο Φ Α Σ Η 151/2014

Α Π Ο Φ Α Σ Η 05/2015

Α Π Ο Φ Α Σ Η 64 /2011

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3337/

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1214/ Α Π Ο Φ Α Σ Η ΑΡ. 25 /2013

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4786/ Α Π Ο Φ Α Σ Η 95/2014

Α Π Ο Φ Α Σ Η 13/2011

Α Π Ο Φ Α Σ Η 90/2014

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1859/ Α Π Ο Φ Α Σ Η ΑΡ. 22/ 2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5630/ Α Π Ο Φ Α Σ Η ΑΡ. 99/2013

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/ 4590/ Α Π Ο Φ Α Σ Η 36/2016

Α Π Ο Φ Α Σ Η 11/2014

Α Π Ο Φ Α Σ Η ΑΡ. 131

Αθήνα, ΑΠ: Γ/ΕΞ/595-1/

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/482/ Α Π Ο Φ Α Σ Η ΑΡ. 10/2014

Α Π Ο Φ Α Σ Η 50/2014

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5059/ Α Π Ο Φ Α Σ Η ΑΡ. 77 / 2016

Α Π Ο Φ Α Σ Η 107/2011

Α Π Ο Φ Α Σ Η ΑΡ. 102/ 2017

Α Π Ο Φ Α Σ Η 49/2014

Α Π Ο Φ Α Σ Η 1/2012

Α Π Ο Φ Α Σ Η 169/2011

Αθήνα, ΑΠ: Γ/ΕΞ/2309/

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4805/ Α Π Ο Φ Α Σ Η ΑΡ. 71/ 2017

Ο Η Γ Ι Α ΑΡ. 1 / Η Αρχή Προστασίας εδοµένων Προσωπικού Χαρακτήρα

Α Π Ο Φ Α Σ Η 156/2014

Α Π Ο Φ Α Σ Η 102/2011

Α Π Ο Φ Α Σ Η 59 /2015

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2420/ Α Π Ο Φ Α Σ Η 43 / 2013

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/6617/ Α Π Ο Φ Α Σ Η ΑΡ. 164/2014

Α Π Ο Φ Α Σ Η 3/2012

Α Π Ο Φ Α Σ Η 137/2014

Αθήνα, ΑΠ: Γ/ΕΞ/1852-1/

Α Π Ο Φ Α Σ Η 166/2012

Α Π Ο Φ Α Σ Η 54/2011

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1091/ Α Π Ο Φ Α Σ Η 4 /2019

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/976/ Α Π Ο Φ Α Σ Η 19/2013

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1566-2/ Α Π Ο Φ Α Σ Η 91 /2016

Α Π Ο Φ Α Σ Η ΑΡ. 10/2008

Αθήνα, Αριθ. Πρωτ.: Α Π Ο Φ Α Σ Η 33/2016

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4804/ Α Π Ο Φ Α Σ Η ΑΡ. 72/ 2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5799/ Α Π Ο Φ Α Σ Η 52/2018

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1166/ Α Π Ο Φ Α Σ Η 10/2011

Α Π Ο Φ Α Σ Η 14/2019 (Τμήμα)

Α Π Ο Φ Α Σ Η 2/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5615/ Α Π Ο Φ Α Σ Η 88 /2017

Αθήνα, ΑΠ: Γ/ΕΞ/7418-1/

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4609/ Α Π Ο Φ Α Σ Η 37/2016

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/426-4/ Α Π Ο Φ Α Σ Η 172 / 2014

Α Π Ο Φ Α Σ Η 115/2014

Α Π Ο Φ Α Σ Η 47/2016

Α Π Ο Φ Α Σ Η 87/2013

Α Π Ο Φ Α Σ Η 152/2012

Α Π Ο Φ Α Σ Η ΑΡ. 91/2013

Α Π Ο Φ Α Σ Η ΑΡ. 34/2019 (Τμήμα)

Α Π Ο Φ Α Σ Η 94/2017

Α Π Ο Φ Α Σ Η 21/2011

Α Π Ο Φ Α Σ Η ΑΡ. 1/2018

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/7022-2/ Α Π Ο Φ Α Σ Η ΑΡ. 67/ 2018

Αθήνα, ΑΠ: Γ/ΕΞ/1284-2/

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/8287/ Α Π Ο Φ Α Σ Η 191 / 2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5394-1/ Α Π Ο Φ Α Σ Η 110 /2016

ΕΛΛΗΝΙΚΗ ΗΜΟΚΡΑΤΙΑ ΑΠΟΚΕΝΤΡΩΜΕΝΗ ΙΟΙΚΗΣΗ ΑΤΤΙΚΗΣ ΕΠΙΤΡΟΠΗ ΕΛΕΓΧΟΥ ΑΠΑΝΩΝ & ΕΚΛΟΓΙΚΩΝ ΠΑΡΑΒΑΣΕΩΝ αρθρ. 12 του Ν. 3870/2010. Αριθµός Απόφασης 129

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2950-1//

Α Π Ο Φ Α Σ Η 48/2011

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/944/ Α Π Ο Φ Α Σ Η 17 /2013

Α Π Ο Φ Α Σ Η 166/2011

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3749/ Α Π Ο Φ Α Σ Η 79/2015

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2411-1/

Αθήνα, ΑΠ: Γ/ΕΞ/427-1/

Α Π Ο Φ Α Σ Η 160/2011

Α Π Ο Φ Α Σ Η 159/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1935-1/ Α Π Ο Φ Α Σ Η 127/2015

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3869/ Α Π Ο Φ Α Σ Η 51 /2017

Αθήνα, ΑΠ: Γ/ΕΞ/610/

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/6689/ Α Π Ο Φ Α Σ Η 133/2015

Αθήνα, ΑΠ: Γ/ΕΞ/3336-2/ ΕΛΛΗΝΙΚΗ ΗΜΟΚΡΑΤΙΑ ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ. Ταχ. /νση: ΚΗΦΙΣΙΑΣ ΑΘΗΝΑ

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2326/ Α Π Ο Φ Α Σ Η 6/2019

Transcript:

Η παρούσα απόφαση ανακλήθηκε µε την υπ αριθµ.73/2011 ΕΛΛΗΝΙΚΗ ΗΜΟΚΡΑΤΙΑ ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ Αθήνα, 8.2.2005 ΑΠ: 348 Ταχ. /νση: ΚΗΦΙΣΙΑΣ 1-3 115 23 ΑΘΗΝΑ ΤΗΛ.: 210-6475601 FAX: 210-6475628 Α Π Ο Φ Α Σ Η ΑΡ. 11 / 2005 Η Αρχή Προστασίας εδοµένων Προσωπικού Χαρακτήρα, συνήλθε µετά από πρόσκληση του Προέδρου της σε τακτική συνεδρίαση την 20-1-2005 στο κατάστηµά της αποτελούµενη από τον. Γουργουράκη, Πρόεδρο, και τους Α. Ποµπόρτση, Α. Παπαχρίστου, Σ. Λύτρα και Σ. Σαρηβαλάση, µέλη, και τα αναπληρωµατικά µέλη Α. Παπανεοφύτου και Χ. Πολίτη σε αναπλήρωση των τακτικών µελών Ν. Παπαγεωργίου και Ν. Φραγκάκη αντιστοίχως, οι οποίοι αν και είχαν προσκληθεί νοµίµως δεν προσήλθαν λόγω κωλύµατος, προκειµένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρόντες χωρίς δικαίωµα ψήφου ήσαν η Α. Μπούρκα, υπάλληλος του τµήµατος Ελεγκτών, ως εισηγήτρια και η Μ. Τσιάβου, υπάλληλος του τµήµατος ιοικητικού-οικονοµικού, ως γραµµατέας. Η Αρχή έλαβε υπόψη τα παρακάτω: Η ΣΕΑ Πρωτοβουλία Πολιτών (ΣΕΑ) κατήγγειλε τους υπεύθυνους επεξεργασίας ΤΡΑΠΕΖΑ α, *** Α.Ε. έκδοσης πιστωτικής κάρτας β (καταγγελίες υπ. αρ. πρωτ. ***, 1

***, ***, *** και ***), ηµοτική Επιχείρηση Πολιτιστικής και Κοινωνικής Ανάπτυξης ήµου *** (καταγγελία υπ. αρ. πρωτ. ***), ΤΡΑΠΕΖΑ γ (καταγγελίες υπ. αρ. πρωτ. ***, ***), ΤΡΑΠΕΖΑ δ (καταγγελία υπ. αρ. πρωτ. ***), ΤΡΑΠΕΖΑ ε (καταγγελίες υπ. αρ. πρωτ. ***, ***, ***, *** και ***), ΤΡΑΠΕΖΑ στ (καταγγελίες υπ. αρ. πρωτ. ***, *** και ***), Ασφαλιστικό γραφείο *** Ο.Ε. (καταγγελία υπ. αρ. πρωτ. ***) και ΤΡΑΠΕΖΑ ζ (καταγγελία υπ. αρ. πρωτ. ***) για παραβίαση των κανόνων επεξεργασίας προσωπικών δεδοµένων. Ειδικότερα, έγγραφα που περιείχαν προσωπικά δεδοµένα πελατών φυσικών προσώπων των υπευθύνων επεξεργασίας βρέθηκαν εκτεθειµένα σε δηµόσιους χώρους και κάδους απορριµµάτων εκτός των γραφείων των υπεύθυνων επεξεργασίας. Οι παραπάνω υπεύθυνοι επεξεργασίας, µετά από την έγγραφη υποβολή των απόψεων τους σχετικά µε τις καταγγελίες που τους αφορούσαν, κλήθηκαν προς ακρόαση κατά την αρχική συζήτηση του θέµατος στο Συµβούλιο της Αρχής στις 29-11-2004. Το Συµβούλιο ανέβαλε την λήψη απόφασης κατά την παραπάνω συνεδρίαση µε σκοπό να ληφθούν υπόψη και νέα υποµνήµατα των εταιρειών ε και στ σχετικά µε καταγγελίες για τις οποίες οι τελευταίες δεν είχαν ενηµερωθεί. Εν συνεχεία, το θέµα επανήλθε προς συζήτηση στο Συµβούλιο της Αρχής, το οποίο µετά από εξέταση όλων των παραπάνω στοιχείων και κατόπιν διαλογικής συζήτησης ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ Σύµφωνα µε το αρ. 10 του Ν. 2472/1997, ο υπεύθυνος επεξεργασίας οφείλει να λαµβάνει τα κατάλληλα οργανωτικά και τεχνικά µέτρα για την ασφάλεια των δεδοµένων και την προστασία τους από τυχαία ή αθέµιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευµένη διάδοση ή πρόσβαση και κάθε άλλη µορφή αθέµιτης επεξεργασίας. Τα παραπάνω ισχύουν καθόλη τη διάρκεια της επεξεργασίας και µέχρι το τέλος της, το οποίο ολοκληρώνεται µε την καταστροφή των προσωπικών δεδοµένων, σύµφωνα µε το αρ. 4 παρ. 1 δ) του Ν. 2472/1997. Κατά συνέπεια, το αρ. 10 του Ν. 2472/1997 αναφέρεται και στην ασφαλή καταστροφή των προσωπικών δεδοµένων µετά το πέρας της περιόδου που απαιτείται για την πραγµατοποίηση του σκοπού της επεξεργασίας, ώστε αυτά να µην αποτελέσουν αντικείµενο αθέµιτης επεξεργασίας, όπως διάδοσης τους σε τρίτους. Ως εκ τούτου, µετά το πέρας της περιόδου που απαιτείται για την πραγµατοποίηση του 2

σκοπού της επεξεργασίας, ο υπεύθυνος επεξεργασίας οφείλει να καταστρέψει τα δεδοµένα µε ασφαλή τρόπο. Σε αντίθετη περίπτωση, ο υπεύθυνος επεξεργασίας παραβιάζει το αρ. 10 του Ν. 2472/1997. Σύµφωνα µε τα υποµνήµατα και τις προφορικές δηλώσεις των εκπροσώπων των υπευθύνων επεξεργασίας κατά την από 29-11-2004 συνεδρίαση του Συµβουλίου της Αρχής, οι καταγγελίες της ΣΕΑ αφορούν σε όλες τις περιπτώσεις προσωπικά δεδοµένα που µετά το πέρας της περιόδου που απαιτείται για την πραγµατοποίηση του σκοπού της επεξεργασίας εγκαταλείφθηκαν χωρίς πρότερη ασφαλή καταστροφή τους από τους υπεύθυνους επεξεργασίας. Αυτό, σύµφωνα µε τα παραπάνω, συνιστά παραβίαση του αρ. 10 του Ν. 2472/1997. Για τον καθορισµό της βαρύτητας της παραβίασης εφαρµόζονται τα παρακάτω δύο κριτήρια: α) Αν ο υπεύθυνος επεξεργασίας διαθέτει συγκεκριµένη διαδικασία καταστροφής των δεδοµένων µετά το πέρας της περιόδου που απαιτείται για την πραγµατοποίηση του σκοπού της επεξεργασίας, και αν ελέγχει την τήρηση της παραπάνω διαδικασίας (γεγονός που µπορεί να αποδειχθεί από τον αριθµό των προσωπικών δεδοµένων που παραδόθηκαν στην Αρχή µε τις καταγγελίες), β) Η κρισιµότητα των συγκεκριµένων προσωπικών δεδοµένων που αναφέρονται στις καταγγελίες και τα οποία βρέθηκαν εκτεθειµένα σε δηµόσιους χώρους (για παράδειγµα ένα αντίγραφο κατάθεσης σε τραπεζικό λογαριασµό πελάτη έχει µικρότερη κρισιµότητα από ένα αντίγραφο φορολογικής δήλωσης ή ταυτότητας πελάτη). Με βάση τα κριτήρια αυτά µπορεί να εξαχθεί αν ο υπεύθυνος επεξεργασίας τηρεί ή όχι το απαιτούµενο επίπεδο ασφαλείας για την καταστροφή των δεδοµένων και αν τα καταγγελλόµενα περιστατικά αποτελούν συνήθη πρακτική του υπεύθυνου επεξεργασίας ή µπορούν να χαρακτηριστούν ως µεµονωµένα. Σύµφωνα µε το παραπάνω σκεπτικό και λαµβάνοντας υπόψη τα υποµνήµατα και τις προφορικές δηλώσεις των εκπροσώπων των υπευθύνων επεξεργασίας κατά την από 29-11-2004 συνεδρίαση του Συµβουλίου της Αρχής, ισχύουν τα εξής για τους υπεύθυνους επεξεργασίας των καταγγελιών της ΣΕΑ: 1) Η ΤΡΑΠΕΖΑ α δεν είναι ο υπεύθυνος επεξεργασίας των προσωπικών δεδοµένων που αναφέρονται στις καταγγελίες της ΣΕΑ. Ως εκ τούτου, δεν τίθεται ζήτηµα ως προς αυτήν παραβίασης του Ν. 2472/1997. 2) Η *** Α.Ε. έκδοσης πιστωτικής κάρτας β διαθέτει συγκεκριµένη διαδικασία καταστροφής των δεδοµένων µετά το πέρας της περιόδου που απαιτείται για την πραγµατοποίηση του σκοπού της επεξεργασίας (συλλογή σε ειδικό χώρο, 3

πολτοποίηση). Παρά ταύτα, φαίνεται ότι η τήρηση της διαδικασίας αυτής δεν επιβλέπεται επαρκώς, καθώς τόσο ο µεγάλος αριθµός των καταγγελιών, όσο και το σηµαντικό πλήθος και κρισιµότητα των προσωπικών δεδοµένων (αντίγραφα δανείων, αναλύσεις πιστωτικών καρτών) που βρέθηκαν εκτεθειµένα χωρίς πρότερη καταστροφή καταδεικνύουν σηµαντικές ελλείψεις στην διαδικασία επιθεώρησης της καταστροφής. 3) Η ηµοτική Επιχείρηση Πολιτιστικής και Κοινωνικής Ανάπτυξης ήµου *** δεν είναι υπεύθυνος ή εκτελών την επεξεργασία των προσωπικών δεδοµένων που αναφέρονται στην καταγγελία της ΣΕΑ. Επιπλέον, αν και τα δεδοµένα βρέθηκαν σε φάκελο µε την ένδειξη Πρόεδρος ηµοτικής Επιχείρησης Πολιτιστικής και Κοινωνικής Ανάπτυξης ήµου *** έξω από τα γραφεία της επιχείρησης, δεν µπορεί να αποδειχθεί ότι εγκαταλείφθηκαν από την ηµοτική Επιχείρηση Πολιτιστικής και Κοινωνικής Ανάπτυξης ήµου ***. Ως εκ τούτου, δεν τίθεται ζήτηµα ως προς αυτήν παραβίασης του Ν. 2472/1997. 4) Η ΤΡΑΠΕΖΑ γ διαθέτει συγκεκριµένη διαδικασία καταστροφής των σκοπού της επεξεργασίας (συλλογή σε ειδικό χώρο, πολτοποίηση). Παρά το ότι η κρισιµότητα κάποιων από τα δεδοµένα που παραδόθηκαν στην Αρχή είναι σηµαντική (αιτήσεις χορήγησης δανείων, σύµβαση καταναλωτικού δανείου), ο αριθµός των προσωπικών δεδοµένων που βρέθηκαν εκτεθειµένα χωρίς πρότερη καταστροφή είναι µικρός και καταδεικνύει ότι το συγκεκριµένο γεγονός θα µπορούσε να χαρακτηριστεί ως µεµονωµένο. 5) Η ΤΡΑΠΕΖΑ δ διαθέτει συγκεκριµένη διαδικασία καταστροφής των σκοπού της επεξεργασίας (συλλογή σε ειδικό χώρο, πολτοποίηση). Παρά το ότι η κρισιµότητα ενός από τα δεδοµένα που παραδόθηκαν στην Αρχή είναι σηµαντική (πιστοποιητικό εγκρίσεως δανείου µε συνοδευτική πάγια εντολή χρεώσεως και δήλωση λήψης δανείου), ο αριθµός των προσωπικών δεδοµένων που βρέθηκαν εκτεθειµένα χωρίς πρότερη καταστροφή είναι µικρός και καταδεικνύει ότι το συγκεκριµένο γεγονός θα µπορούσε να χαρακτηριστεί ως µεµονωµένο. 6) Η ΤΡΑΠΕΖΑ ε διαθέτει συγκεκριµένη διαδικασία καταστροφής των σκοπού της επεξεργασίας, (συλλογή σε ειδικό χώρο και πολτοποίηση, οδηγίες για τεµαχισµό των εγγράφων στα καταστήµατα). Παρά ταύτα, φαίνεται ότι η τήρηση της 4

διαδικασίας αυτής δεν επιβλέπεται επαρκώς, καθώς τόσο ο µεγάλος αριθµός των καταγγελιών, όσο και η κρισιµότητα των προσωπικών δεδοµένων που βρέθηκαν εκτεθειµένα χωρίς πρότερη καταστροφή (αντίγραφα εκκαθαριστικών σηµειωµάτων πελατών, αντίγραφα ταυτοτήτων) καταδεικνύουν σηµαντικές ελλείψεις στην διαδικασία επιθεώρησης της καταστροφής. 7) Η ΤΡΑΠΕΖΑ στ, διαθέτει συγκεκριµένη διαδικασία καταστροφής των σκοπού της επεξεργασίας (χρήση καταστροφέων εγγράφων, συλλογή σε ειδικό χώρο). Παρά το ότι η κρισιµότητα κάποιων από τα δεδοµένα που παραδόθηκαν στην Αρχή είναι σηµαντική (στοιχεία για προσωπικά δάνεια πελατών, κατάσταση παραλαβής ενσήµων ΙΚΑ φυσικών προσώπων), ο αριθµός των προσωπικών δεδοµένων που βρέθηκαν εκτεθειµένα χωρίς πρότερη καταστροφή είναι µικρός και καταδεικνύει ότι το συγκεκριµένο γεγονός θα µπορούσε να χαρακτηριστεί ως µεµονωµένο. 8) Η εταιρεία ασφαλιστικό γραφείο *** Ο.Ε µετά το πέρας της περιόδου που απαιτείται για την πραγµατοποίηση του σκοπού της επεξεργασίας των ασφαλιστήριων συµβολαίων, τοποθετεί τα αντίγραφα τους σε κοινούς σάκους απορριµµάτων χωρίς πρότερη καταστροφή τους. Παρά τον µεγάλο αριθµό των προσωπικών δεδοµένων που βρέθηκαν εκτεθειµένα χωρίς πρότερη καταστροφή τους, η κρισιµότητα των δεδοµένων είναι σχετικά µικρή και το συγκεκριµένο γεγονός, λαµβάνοντας υπόψη και το γεγονός ότι πρόκειται για µικρή εταιρεία µε λίγους εργαζόµενους και περιορισµένο κύκλο εργασιών, µπορεί να θεωρηθεί ότι οφείλεται σε έλλειψη ενηµέρωσης και άγνοια του υπεύθυνου επεξεργασίας. 9) Η ΤΡΑΠΕΖΑ ζ, διαθέτει συγκεκριµένη διαδικασία καταστροφής των σκοπού της επεξεργασίας (συλλογή σε ειδικό χώρο και καταστροφή). Από την ανάλυση των συγκεκριµένων στοιχείων της καταγγελίας προέκυψε ότι µόνο 2 εξ αυτών βρέθηκαν εκτεθειµένα µε ευθύνη της τράπεζας χωρίς πρότερη καταστροφή. Ως εκ τούτου, το συγκεκριµένο γεγονός µπορεί να χαρακτηριστεί ως µεµονωµένο. Σύµφωνα µε τα παραπάνω συνάγεται ότι: Οι εταιρείες ΤΡΑΠΕΖΑ α και ηµοτική Επιχείρηση Πολιτιστικής και Κοινωνικής Ανάπτυξης ήµου *** δεν είναι υπεύθυνοι επεξεργασίας δεδοµένων των 5

καταγγελιών της ΣΕΑ και, ως εκ τούτου, οι σχετικές καταγγελίες κατά αυτών απορρίπτονται. Οι υπόλοιπες εταιρείες που καταγγέλλονται από την ΣΕΑ παραβίασαν το αρ. 10 του Ν. 2472/1997, καθώς δεν έχουν τηρήσει τα απαιτούµενα µέτρα ασφαλείας για την προστασία των προσωπικών δεδοµένων που επεξεργάζονται. Από τις εταιρείες αυτές: α) για την εταιρεία ασφαλιστικό γραφείο *** Ο.Ε, η παραβίαση αποδίδεται στην ελλιπή ενηµέρωση του υπεύθυνου επεξεργασίας, λόγω της οποίας δεν έχουν εφαρµοστεί τα απαιτούµενα µέτρα ασφαλείας για την καταστροφή των δεδοµένων µετά το πέρας της περιόδου που απαιτείται για την πραγµατοποίηση του σκοπού της επεξεργασίας. β) για τις εταιρείες ΤΡΑΠΕΖΑ γ, δ, στ και ζ, η παραβίαση µπορεί να χαρακτηριστεί ως µεµονωµένο περιστατικό, λόγω της ύπαρξης της απαιτούµενης διαδικασίας ασφαλούς καταστροφής των δεδοµένων µετά το πέρας της περιόδου που απαιτείται για την πραγµατοποίηση του σκοπού της επεξεργασίας, καθώς και του µικρού αριθµού και κρισιµότητας των δεδοµένων των καταγγελιών. γ) για τις εταιρείες *** Α.Ε. έκδοσης πιστωτικής κάρτας β, και ΤΡΑΠΕΖΑ ε, η παραβίαση δεν µπορεί να χαρακτηριστεί ως µεµονωµένο περιστατικό, καθώς αν και υπάρχουν µέτρα ασφαλείας, διαπιστώθηκαν σηµαντικές ελλείψεις στην διαδικασία επιθεώρησης της καταστροφής των προσωπικών δεδοµένων, των οποίων η κρισιµότητα είναι σε συγκεκριµένες περιπτώσεις ιδιαίτερα σηµαντική. ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ Η Αρχή α)απευθύνει αυστηρή προειδοποίηση προς την εταιρεία ασφαλιστικό γραφείο *** Ο.Ε. να εφαρµόσει τις απαιτούµενες διαδικασίες για την ασφαλή καταστροφή των προσωπικών δεδοµένων που επεξεργάζεται µετά το πέρας της περιόδου που απαιτείται για την πραγµατοποίηση του σκοπού της επεξεργασίας, καθώς επίσης και για την τήρηση των διαδικασιών αυτών; β)απευθύνει αυστηρή προειδοποίηση προς τις εταιρείες ΤΡΑΠΕΖΑ γ, ΤΡΑΠΕΖΑ δ, ΤΡΑΠΕΖΑ στ και ΤΡΑΠΕΖΑ ζ να τηρούν τις διαδικασίες καταστροφής των προσωπικών δεδοµένων που οφείλουν να εφαρµόζουν µετά το πέρας της περιόδου που απαιτείται για την πραγµατοποίηση του σκοπού της επεξεργασίας; 6

γ)επιβάλλει πρόστιµο ύψους πέντε χιλιάδων (5.000) Ευρώ σε κάθε µία από τις εταιρείες *** Α.Ε. έκδοσης πιστωτικής κάρτας β και ΤΡΑΠΕΖΑ ε για την παραβίαση του αρ. 10 του Ν. 2472/19997. Ο Πρόεδρος Η Γραµµατέας ηµήτριος Γουργουράκης Μαριάνθη Τσιάβου 7

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια