Α Π Ο Φ Α Σ Η ΑΡ. 110/2012

Σχετικά έγγραφα
Α Π Ο Φ Α Σ Η ΑΡ. 187 / 2012

Α Π Ο Φ Α Σ Η ΑΡ. 27/ 2013

Α Π Ο Φ Α Σ Η ΑΡ. 75/2016

Α Π Ο Φ Α Σ Η 64/2012

Α Π Ο Φ Α Σ Η 160/2011

Α Π Ο Φ Α Σ Η 50/2012

Α Π Ο Φ Α Σ Η 169/2011

Α Π Ο Φ Α Σ Η ΑΡ. 60/2011

Α Π Ο Φ Α Σ Η 49/2012

Α Π Ο Φ Α Σ Η 65/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2420/ Α Π Ο Φ Α Σ Η 43 / 2013

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2180/ Α Π Ο Φ Α Σ Η ΑΡ. 42/2013

Α Π Ο Φ Α Σ Η 3/2012

Α Π Ο Φ Α Σ Η 159/2012

Α Π Ο Φ Α Σ Η 106/2012

Α Π Ο Φ Α Σ Η 11/2014

Α Π Ο Φ Α Σ Η 1/2012

Α Π Ο Φ Α Σ Η 53/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5630/ Α Π Ο Φ Α Σ Η ΑΡ. 99/2013

Α Π Ο Φ Α Σ Η 2/2012

Α Π Ο Φ Α Σ Η 93/2012

Α Π Ο Φ Α Σ Η 157/2011

Α Π Ο Φ Α Σ Η 39/2012

Α Π Ο Φ Α Σ Η 05/2015

Α Π Ο Φ Α Σ Η 21 /2012

Α Π Ο Φ Α Σ Η 161/2011

Α Π Ο Φ Α Σ Η 152/2011

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/482/ Α Π Ο Φ Α Σ Η ΑΡ. 10/2014

Α Π Ο Φ Α Σ Η 96/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/579-6/ Α Π Ο Φ Α Σ Η ΑΡ. 140 / 2017

Α Π Ο Φ Α Σ Η 6/2012

Α Π Ο Φ Α Σ Η 60/2012

Α Π Ο Φ Α Σ Η 154/2011

Α Π Ο Φ Α Σ Η 97/2012

Α Π Ο Φ Α Σ Η ΑΡ. 91/2013

Α Π Ο Φ Α Σ Η 151/2014

Α Π Ο Φ Α Σ Η 141/2011

Α Π Ο Φ Α Σ Η 143/2011

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1859/ Α Π Ο Φ Α Σ Η ΑΡ. 22/ 2017

Α Π Ο Φ Α Σ Η 31/2012

Α Π Ο Φ Α Σ Η 52/2012

Α Π Ο Φ Α Σ Η 20/2012

Α Π Ο Φ Α Σ Η 56/2012

Α Π Ο Φ Α Σ Η 113 /2012

Α Π Ο Φ Α Σ Η 38/2014

Α Π Ο Φ Α Σ Η 137/2012

Α Π Ο Φ Α Σ Η 150/2012

Α Π Ο Φ Α Σ Η 47/2015

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/7700-1/ Α Π Ο Φ Α Σ Η ΑΡ. 150/2013

Αθήνα, ΑΠ: Γ/ΕΞ/595-1/

Αθήνα, ΑΠ: Γ/ΕΞ/5525-1/

Αθήνα, ΑΠ: Γ/ΕΞ/1852-1/

Α Π Ο Φ Α Σ Η 85/2012

Α Π Ο Φ Α Σ Η 136/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4573/ Α Π Ο Φ Α Σ Η 114/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2950-1//

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/6689/ Α Π Ο Φ Α Σ Η 133/2015

Α Π Ο Φ Α Σ Η 40/2012

Α Π Ο Φ Α Σ Η 44/2013

Α Π Ο Φ Α Σ Η 42/2012

Α Π Ο Φ Α Σ Η 147/2011

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3749/ Α Π Ο Φ Α Σ Η 79/2015

Α Π Ο Φ Α Σ Η 173/2014

Α Π Ο Φ Α Σ Η 98/2012

Α Π Ο Φ Α Σ Η 14/2019 (Τμήμα)

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/4470-1/ ΑΠΟΦΑΣΗ 100/2015

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1935-1/ Α Π Ο Φ Α Σ Η 127/2015

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/6617/ Α Π Ο Φ Α Σ Η ΑΡ. 164/2014

Αθήνα, ΑΠ: Γ/ΕΞ/5792-1/ Α Π Ο Φ Α Σ Η 153/2011

Α Π Ο Φ Α Σ Η 35/2012

Α Π Ο Φ Α Σ Η 47 / 2013

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/7500/

Αθήνα, ΑΠ: Γ/ΕΞ/133-1/

Α Π Ο Φ Α Σ Η 21/2016

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3287-1/ Α Π Ο Φ Α Σ Η 70/2014

Α Π Ο Φ Α Σ Η 92/2012

Α Π Ο Φ Α Σ Η 145/2011

Α Π Ο Φ Α Σ Η 09/2013

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/7022-2/ Α Π Ο Φ Α Σ Η ΑΡ. 67/ 2018

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/65-2/

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5615/ Α Π Ο Φ Α Σ Η 88 /2017

Α Π Ο Φ Α Σ Η 136/2011

Α Π Ο Φ Α Σ Η 89/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2118/ Α Π Ο Φ Α Σ Η 41 / 2014

Α Π Ο Φ Α Σ Η 103/2014

Α Π Ο Φ Α Σ Η 148/2012

Α Π Ο Φ Α Σ Η 25/2012

Αθήνα, ΑΠ: Γ/ΕΞ/2309/

Α Π Ο Φ Α Σ Η 13/2012

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/2326/ Α Π Ο Φ Α Σ Η 6/2019

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1166/ Α Π Ο Φ Α Σ Η 10/2011

Α Π Ο Φ Α Σ Η 94/2017

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/5067-1/

Α Π Ο Φ Α Σ Η 128/2013

Α Π Ο Φ Α Σ Η 13/2011

Αθήνα, ΑΠ: Γ/ΕΞ/4478-1/

Α Π Ο Φ Α Σ Η 69/ 2011

Α Π Ο Φ Α Σ Η 116/2011

Α Π Ο Φ Α Σ Η 166/2011

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/1052-1/ Α Π Ο Φ Α Σ Η 53/2013

Transcript:

ΕΛΛΗΝΙΚΗ ΗΜΟΚΡΑΤΙΑ ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ Αθήνα, 21-06-2012 Αριθ. Πρωτ.: Γ/ΕΞ/4449/21-06-2012 Α Π Ο Φ Α Σ Η ΑΡ. 110/2012 Η Αρχή Προστασίας εδοµένων Προσωπικού Χαρακτήρα συνεδρίασε σε σύνθεση Τµήµατος στην έδρα της την 12.06.2012 και ώρα 10:00 µετά από πρόσκληση του Προέδρου της, προκειµένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν οι Γεώργιος Μπατζαλέξης, Αναπληρωτής Πρόεδρος, κωλυοµένου του Προέδρου της Αρχής Πέτρου Χριστόφορου, και τα αναπληρωµατικά µέλη Γρηγόριος Λαζαράκος, ως εισηγητής, και Χαράλαµπος Ανθόπουλος, σε αντικατάσταση των τακτικών µελών Αναστασίου-Ιωάννη Μεταξά και ηµητρίου Μπριόλα, αντίστοιχα, οι οποίοι, αν και εκλήθησαν νοµίµως εγγράφως, δεν παρέστησαν λόγω κωλύµατος. εν παρέστησαν, αν και εκλήθησαν νοµίµως εγγράφως, ο Αναστάσιος Πράσσος, τακτικό µέλος, και ο Πέτρος Τσαντίλας, αναπληρωµατικό µέλος. Παρόντες χωρίς δικαίωµα ψήφου ήταν οι Ευφροσύνη Σιουγλέ, Ιωάννης Λυκοτραφίτης και Κωνσταντίνος Λιµνιώτης, πληροφορικοί ελεγκτές, ως βοηθοί εισηγητές. Επίσης παρέστη, µε εντολή Προέδρου, η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τµήµατος διοικητικών και οικονοµικών υποθέσεων, ως γραµµατέας. Η Αρχή έλαβε υπόψη της τα παρακάτω: Η Αρχή πραγµατοποίησε στις 06-07-2011 επιτόπιο έλεγχο στην Εθνική Μονάδα Eurodac (εφεξής, ΕΜΕ), αναφορικά µε την προστασία και την ασφάλεια των προσωπικών δεδοµένων που υφίστανται επεξεργασία στο πλαίσιο των εργασιών της ΕΜΕ. Ο έλεγχος πραγµατοποιήθηκε στις εγκαταστάσεις του Τµήµατος ακτυλοσκοπίας της ιεύθυνσης Εγκληµατολογικών Ερευνών της Ελληνικής Αστυνοµίας, στο οποίο υπάγεται η ΕΜΕ, από -1-

τους ελεγκτές της Αρχής Ε. Σιουγλέ, Ι. Λυκοτραφίτη και Κ. Λιµνιώτη (εφεξής, οµάδα ελέγχου), µετά από την υπ αριθµ. πρωτ. Γ/ΕΞ/4169/15-06-2011 εντολή διενέργειας ελέγχου του Αναπληρωτή Προέδρου της Αρχής. Ο έλεγχος ήταν τακτικός και είχε προγραµµατιστεί βάσει του κοινού σχεδίου δράσης της Συντονιστικής Οµάδας για την εποπτεία του Eurodac (Eurodac Supervision Coordination Group), που αποτελείται από εκπροσώπους όλων των Κρατών Μελών, καθώς και του Ευρωπαίου Επόπτη Προστασίας εδοµένων (EDPS) που είναι υπεύθυνος για την εποπτεία της κεντρικής µονάδας Eurodac. Ειδικότερα, το σύστηµα Eurodac θεσπίστηκε µε τον υπ αριθ. 2725/2000/ΕΚ Κανονισµό (εφεξής, Κανονισµός Eurodac) του Συµβουλίου της 11ης εκεµβρίου 2000, κατ εφαρµογή της Σύµβασης του ουβλίνου (Dublin Convention), για το σκοπό της διευκόλυνσης στον προσδιορισµό του Κράτους Μέλους που είναι αρµόδιο για την εξέταση αίτησης ασύλου που έχει υποβληθεί στην επικράτεια της ΕΕ 1. Μέσω της σύγκρισης των δακτυλικών αποτυπωµάτων, οι χώρες της ΕΕ µπορούν να προσδιορίσουν κατά πόσον ο αιτών άσυλο ή ο αλλοδαπός υπήκοος που βρίσκεται παράνοµα σε µία χώρα της ΕΕ έχει ήδη υποβάλει αίτηση σε άλλη χώρα της ΕΕ, ή εάν ο αιτών άσυλο έχει εισέλθει παράνοµα στο έδαφος της ΕΕ. Επιπρόσθετα, ο υπ αριθ. 407/2002/ΕΚ Κανονισµός του Συµβουλίου της 28ης Φεβρουαρίου 2002 θεσπίζει ορισµένους κανόνες εφαρµογής του Κανονισµού Eurodac σχετικά µε τη θέσπιση του «Eurodac» για την αντιπαραβολή δακτυλικών αποτυπωµάτων. Το σύστηµα Eurodac αποτελείται από µια κεντρική µονάδα, την οποία διαχειρίζεται η Ευρωπαϊκή Επιτροπή, και εθνικές µονάδες που διαχειρίζονται τα Κράτη Μέλη. Η κεντρική µονάδα αποτελείται από µια ηλεκτρονική βάση δεδοµένων όπου καταχωρούνται τα δεδοµένα που αποστέλλονται από τις εθνικές µονάδες, καθώς και ηλεκτρονικά µέσα διαβίβασης των δεδοµένων µεταξύ της κεντρικής και των εθνικών µονάδων. Τα Κράτη Μέλη, σύµφωνα µε τα οριζόµενα στον Κανονισµό Eurodac, συλλέγουν δακτυλικά αποτυπώµατα και άλλα δεδοµένα των αιτούντων άσυλο (Κατηγορία Ι), των ατόµων που συλλαµβάνονται να διέρχονται παράνοµα τα σύνορα (Κατηγορία ΙΙ), καθώς και των ατόµων που συλλαµβάνονται να βρίσκονται παράνοµα στην επικράτεια του Κράτους Μέλους (Κατηγορία ΙΙΙ). Τα δεδοµένα αυτά αποστέλλονται στην κεντρική µονάδα µε σκοπό τον έλεγχο και τη σύγκρισή τους µε τα ήδη καταχωρηµένα δεδοµένα. Το 1 Τα κριτήρια και οι µηχανισµοί προσδιορισµού του Κράτους Μέλους που είναι υπεύθυνο για την εξέταση αίτησης ασύλου η οποία υποβάλλεται σε Κράτος Μέλος από υπήκοο τρίτης χώρας θεσπίζονται πλέον µε τον Κανονισµό 343/2003/ΕΚ ( ουβλίνο II) -2-

αποτέλεσµα της σύγκρισης (θετική ή αρνητική απάντηση) επιστρέφεται στο Κράτος Μέλος. Στον Κανονισµό Eurodac ρυθµίζονται όλα τα επιµέρους ζητήµατα, όπως µεταξύ άλλων το είδος των δεδοµένων που αποστέλλονται, ο χρόνος τήρησης αυτών στην κεντρική µονάδα, καθώς και οι προϋποθέσεις που πρέπει να πληρούνται για την πρόωρη απαλοιφή τους. Τα Κράτη Μέλη πρέπει, σύµφωνα µε τον Κανονισµό Eurodac, να διασφαλίζουν την προστασία και ασφάλεια των προσωπικών δεδοµένων στο τµήµα του συστήµατος Eurodac που τα αφορά, καθ όλη τη διάρκεια επεξεργασίας των δεδοµένων (π.χ. συλλογή, διαβίβαση, διατήρηση, διαγραφή). Αρµόδιες για τον έλεγχο της εφαρµογής των παραπάνω απαιτήσεων είναι οι Αρχές Προστασίας εδοµένων των Κρατών Μελών. Στο πλαίσιο εκπόνησης σχεδίου ελέγχου της Αρχής για την εν λόγω δράση, κλιµάκιο ελεγκτών της Αρχής, αποτελούµενο από τους Ε. Σιουγλέ (πληροφορικός), Ι. Λυκοτραφίτη (πληροφορικός), Ε. Μαραγκού (νοµικός), και Κ. Λιµνιώτη (πληροφορικός) πραγµατοποίησε στις 20-05-2011 επίσκεψη στην EME (βάσει της υπ αρ. πρωτ. Γ/ΕΞ/3261/11-05-2011 ενηµερωτικής επιστολής). Στην επίσκεψη αυτή οι ως άνω ελεγκτές της Αρχής ενηµερώθηκαν περί των γενικών διαδικασιών που ακολουθούνται, σε οργανωτικό επίπεδο, για την υποβολή δακτυλικών αποτυπωµάτων στην κεντρική µονάδα του Eurodac, προκειµένου να καταρτιστεί πλάνο ελέγχου προσανατολισµένο στα ιδιαίτερα χαρακτηριστικά της επεξεργασίας. Ακολούθως πραγµατοποιήθηκε έλεγχος στην ΕΜΕ στις 06-07-2011 από τους πληροφορικούς ελεγκτές Ε. Σιουγλέ, Ι. Λυκοτραφίτη και Κ. Λιµνιώτη (εφεξής οµάδα ελέγχου) ο οποίος επικεντρώθηκε στα οργανωτικά, τεχνικά και µέτρα φυσικής ασφαλείας που εφαρµόζονται κατά την επεξεργασία δεδοµένων προσωπικού χαρακτήρα στο πλαίσιο των εργασιών και αρµοδιοτήτων της ΕΜΕ. Η εντολή διενέργειας ελέγχου επιδόθηκε στους εκπροσώπους της EME, οι οποίοι παρείχαν στους ελεγκτές πληροφορίες τόσο για τις οργανωτικές όσο και για τις τεχνολογικές υποδοµές του συστήµατος. Πιο συγκεκριµένα, κατά τον επιτόπιο έλεγχο, η οµάδα ελέγχου πραγµατοποίησε συνεντεύξεις µε υπαλλήλους της ΕΜΕ βάσει ερωτηµατολογίου το οποίο καταρτίστηκε προ του ελέγχου από την οµάδα ελεγκτών και το οποίο εστίαζε σε συγκεκριµένα σηµεία προκειµένου αυτά να αποτελέσουν τη βάση για τον έλεγχο. Τα βασικά σηµεία του ελέγχου που πραγµατοποίησε η Αρχή ήταν τα εξής: α) ιαδικασίες που ακολουθούνται στο πλαίσιο των δραστηριοτήτων της ΕΜΕ, ήτοι διαδικασίες λήψης/παραλαβής προσωπικών δεδοµένων από περιφερειακούς σταθµούς, τήρησής τους στην ΕΜΕ, διαβίβασής τους στην κεντρική µονάδα, επεξεργασία των απαντήσεων που η ΕΜΕ λαµβάνει από την κεντρική -3-

µονάδα, ενέργειες της ΕΜΕ για την πρόωρη απαλοιφή των δεδοµένων, β) Οργανωτικά µέτρα ασφάλειας, ήτοι πολιτική και σχέδιο ασφάλειας, ορισµό και αρµοδιότητες υπεύθυνου ασφάλειας, οργάνωση και εκπαίδευση του προσωπικού, διαχείριση περιστατικών παραβίασης προσωπικών δεδοµένων, διαδικασίες ανάκαµψης από καταστροφές, γ) Καταγραφή πληροφοριακού συστήµατος, υλικού, λογισµικού, δικτυακής υποδοµής και τεχνικά µέτρα ασφάλειας, ήτοι διαχείριση χρηστών (αναγνώριση και αυθεντικοποίηση), διαχείριση συνθηµατικών, διαµόρφωση υπολογιστών, αρχεία καταγραφής ενεργειών, εµπιστευτικότητα δεδοµένων/ασφάλεια επικοινωνιών, τεχνική υποστήριξη, δ) Μέτρα φυσικής ασφάλειας. Επίσης, στο πλαίσιο του ελέγχου, ζητήθηκε από τον υπεύθυνο επεξεργασίας να επιδώσει µια σειρά εντύπων και ηλεκτρονικών πειστηρίων (εφεξής, Πειστήρια). Για τη διασφάλιση της ακεραιότητας των ηλεκτρονικών πειστηρίων εφαρµόστηκε αλγόριθµος κατακερµατισµού (MD5 hash) µε χρήση κατάλληλου λογισµικού. Η λίστα των πειστηρίων εκτυπώθηκε σε δύο (2) αντίγραφα και υπογράφηκε από την οµάδα ελέγχου, καθώς και από εκπρόσωπο του υπεύθυνου επεξεργασίας. Τα έντυπα πειστήρια υποβλήθηκαν στην Αρχή (και έλαβαν αρ. πρωτ. Γ/ΕΙΣ/4792/07-07-2011). Μετά την πραγµατοποίηση του επιτόπιου ελέγχου, η οµάδα ελέγχου συνέταξε τα Πρακτικά του ελέγχου (εφεξής Πρακτικά), στα οποία κατεγράφησαν οι απαντήσεις/διευκρινήσεις του υπεύθυνου επεξεργασίας, καθώς και επιτόπιες παρατηρήσεις της οµάδας ελέγχου. Τα Πρακτικά απεστάλησαν µε το υπ αρ. πρωτ. Γ/ΕΞ/6035/14-9-2011 έγγραφο στον υπεύθυνο επεξεργασίας για υποβολή σχολίων ή/και παρατηρήσεων. Ο υπεύθυνος επεξεργασίας απάντησε µε το υπ αρ. πρωτ. Γ/ΕΙΣ/6507/4-10-2011 έγγραφο, οπότε και τα Πρακτικά λαµβάνοντας υπόψη και τα σχόλια του υπεύθυνου επεξεργασίας - οριστικοποιήθηκαν. Τα Πρακτικά περιέχουν επίσης συνηµµένη τη λίστα µε τα Πειστήρια. Στη συνέχεια, η οµάδα ελέγχου µελέτησε τα Πρακτικά σε συνδυασµό µε τα Πειστήρια. Ακολούθως συνέταξε Πόρισµα ιοικητικού Ελέγχου (εφεξής, Πόρισµα), το οποίο υπέβαλε στην Αρχή µε το υπ αρ. πρωτ. Γ/ΕΙΣ/8683/28-12-2011 έγγραφο και στο οποίο καταγράφονται µεταξύ άλλων τα ευρήµατα αναφορικά µε µέτρα ασφάλειας ή διαδικασίες προστασίας προσωπικών δεδοµένων που εντοπίστηκαν, καθώς και συστάσεις για την αντιµετώπιση των κινδύνων που δηµιουργούνται. Η Αρχή, µετά από εξέταση των προαναφεροµένων στοιχείων, αφού άκουσε τον εισηγητή και τους βοηθούς εισηγητές, οι οποίοι στη συνέχεια αποχώρησαν, και κατόπιν διεξοδικής συζήτησης, -4-

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ Τα ευρήµατα του ελέγχου σχετίζονται ιδίως µε την ασφάλεια της επεξεργασίας των προσωπικών δεδοµένων στις εγκαταστάσεις της ΕΜΕ (άρθρο 10 του ν. 2472/1997 και άρθρο 14 του Κανονισµού 2725/2000/ΕΚ). Στο πλαίσιο του ελέγχου, πέραν της ασφάλειας, ελέγχθηκε και η γενικότερη συµµόρφωση του υπεύθυνου επεξεργασίας ως προς τις προϋποθέσεις νόµιµης επεξεργασίας δεδοµένων (άρθρο 4 του ν. 2472/1997). Το άρθρο 10 του ν. 2472/1997 ορίζει ότι: «1. Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα είναι απόρρητη. ιεξάγεται αποκλειστικά και µόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και µόνον κατ εντολή του. 2. Για τη διεξαγωγή της επεξεργασίας ο υπεύθυνος επεξεργασίας οφείλει να επιλέγει πρόσωπα µε αντίστοιχα επαγγελµατικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου. 3. Ο υπεύθυνος επεξεργασίας οφείλει να λαµβάνει τα κατάλληλα οργανωτικά και τεχνικά µέτρα για την ασφάλεια των δεδοµένων και την προστασία τους από τυχαία ή αθέµιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευµένη διάδοση ή πρόσβαση και κάθε άλλη µορφή αθέµιτης επεξεργασίας. Αυτά τα µέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδοµένων που είναι αντικείµενο της επεξεργασίας. Με την επιφύλαξη άλλων διατάξεων, η Αρχή παρέχει οδηγίες ή εκδίδει κανονιστικές πράξεις σύµφωνα µε το άρθρο 19 παρ. 1 ι' για τη ρύθµιση θεµάτων σχετικά µε τον βαθµό ασφαλείας των δεδοµένων και των υπολογιστικών και επικοινωνιακών υποδοµών, τα µέτρα ασφάλειας που είναι αναγκαίο να λαµβάνονται για κάθε κατηγορία και επεξεργασία δεδοµένων, καθώς και για τη χρήση τεχνολογιών ενίσχυσης της ιδιωτικότητας. 4. Αν η επεξεργασία διεξάγεται για λογαριασµό του υπεύθυνου από πρόσωπο µη εξαρτώµενο από αυτόν, η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως. Η ανάθεση προβλέπει υποχρεωτικά ότι ο ενεργών την επεξεργασία την διεξάγει µόνο κατ εντολή του υπεύθυνου και ότι οι λοιπές υποχρεώσεις του παρόντος άρθρου βαρύνουν αναλόγως και αυτόν». Περαιτέρω, το άρθρο 4 του ν. 2472/1997 προβλέπει ότι «Τα δεδοµένα προσωπικού χαρακτήρα για να τύχουν νόµιµης επεξεργασίας πρέπει : α) Να συλλέγονται κατά τρόπο θεµιτό και νόµιµο για καθορισµένους, σαφείς και νόµιµους σκοπούς και να υφίστανται θεµιτή και νόµιµη επεξεργασία ενόψει των σκοπών αυτών. β) Να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας. γ) Να είναι ακριβή και, εφόσον χρειάζεται, να υποβάλλονται σε ενηµέρωση. δ) Να διατηρούνται -5-

σε µορφή που να επιτρέπει τον προσδιορισµό της ταυτότητας των υποκειµένων τους µόνο κατά τη διάρκεια της περιόδου που απαιτείται, κατά την κρίση της Αρχής, για την πραγµατοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους.» Επίσης, σύµφωνα µε το αρ. 14 του Κανονισµού Eurodac, «το κράτος-µέλος πρέπει να λαµβάνει τα αναγκαία µέτρα ώστε: α) να αποτρέπει την πρόσβαση µη εξουσιοδοτηµένου προσώπου σε εθνικές εγκαταστάσεις στις οποίες τα κράτη-µέλη εκτελούν εργασίες σύµφωνες µε τους στόχους του Eurodac, β) να αποτρέπει την ανάγνωση, αντιγραφή, τροποποίηση ή διαγραφή δεδοµένων του Eurodac και των υποθεµάτων τους από µη εξουσιοδοτηµένα πρόσωπα, γ) να διασφαλίζει τη δυνατότητα να ελέγχεται και να εξακριβώνεται εκ των υστέρων ποια δεδοµένα έχουν καταχωρηθεί στο Eurodac, πότε και από ποιον, δ) να αποτρέπει την άνευ αδείας καταχώρηση δεδοµένων στο Eurodac καθώς και κάθε άνευ αδείας τροποποίηση ή διαγραφή δεδοµένων που έχουν καταχωρηθεί στο Eurodac, ε) να εξασφαλίζει ότι, για τη χρήση του Eurodac, τα εξουσιοδοτηµένα πρόσωπα έχουν πρόσβαση µόνο στα δεδοµένα που εµπίπτουν στον τοµέα της αρµοδιότητάς τους, στ) να διασφαλίζει τη δυνατότητα να ελέγχεται και να εξακριβώνεται σε ποιες αρχές µπορούν να διαβιβάζονται τα δεδοµένα που έχουν καταχωρηθεί στο Eurodac µέσω του εξοπλισµού διαβίβασης δεδοµένων, ζ) να αποτρέπει την άνευ αδείας ανάγνωση, αντιγραφή, τροποποίηση ή διαγραφή δεδοµένων, αφενός κατά την άµεση διαβίβαση δεδοµένων από ή προς την κεντρική βάση δεδοµένων και, αφετέρου, κατά τη µεταφορά των υποθεµάτων δεδοµένων από και προς την κεντρική µονάδα». Λαµβάνοντας υπόψη τα ανωτέρω και µετά από εξέταση των ευρηµάτων που αναφέρονται στο Πόρισµα, η Αρχή ενέκρινε τις προτάσεις της οµάδας ελέγχου. Ειδικότερα, η Αρχή διαπίστωσε συγκεκριµένες ελλείψεις ή/και παραλείψεις του υπεύθυνου επεξεργασίας αναφορικά µε τα οργανωτικά και τεχνικά µέτρα ασφάλειας και προστασίας των προσωπικών δεδοµένων. Η αναλυτική παρουσίαση των ευρηµάτων, καθώς και των κινδύνων που αυτά ενδέχεται να δηµιουργήσουν, καταγράφονται στο επισυναπτόµενο εµπιστευτικό τελικό Πόρισµα. Η πλειοψηφία των ευρηµάτων που διαπιστώθηκαν αφορά σε έλλειψη επαρκούς τεκµηρίωσης των εφαρµοζόµενων µέτρων ασφαλείας και συστηµατικής επίβλεψής τους, καθώς και σε µη ισχυρές διαδικασίες πιστοποίησης της ταυτότητας των χρηστών του πληροφοριακού συστήµατος. -6-

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ Η Αρχή Προστασίας εδοµένων απευθύνει προειδοποίηση στην ΕΜΕ να συµµορφωθεί µε τις συστάσεις που αναφέρονται στο επισυναπτόµενο τελικό Πόρισµα του ελέγχου και να ενηµερώσει σχετικά την Αρχή εντός ενός έτους από τη λήψη του Πορίσµατος. Ο Αναπληρωτής Πρόεδρος Η Γραµµατέας Γεώργιος Μπατζαλέξης Ειρήνη Παπαγεωργοπούλου -7-

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια