GDPR: Top 10 (+3) πρόστιμα που επιβλήθηκαν το 2023

Το 2023 ήταν μια πολύ ενδιαφέρουσα χρονιά για το GDPR. Αξιοσημείωτο είναι ότι επιβλήθηκε το υψηλότερο πρόστιμο ΓΚΠΔ που έχει εκδοθεί μέχρι σήμερα, το οποίο ξεπερνά το ένα δισεκατομμύριο ευρώ. Με το παρόν παρουσιάζονται οι μεγαλύτερες κυρώσεις που επιβλήθηκαν το 2023. Συγκεκριμένα:

1. Meta Platforms Ireland Ltd. - €1.2δις

Παραβίαση άρθρου 46 παρ. 1 ΓΚΠΔ

Η Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας (DPC) διαπίστωσε ότι η Meta διαβίβαζε προσωπικά δεδομένα σε χώρες εκτός ΕΟΧ κατά παράβαση του Κεφαλαίου V του ΓΚΠΔ. Το πρόστιμο ρεκόρ ύψους 1,2 δισ. ευρώ εκδόθηκε στη μητρική εταιρεία της Facebook μετά την παράνομη επεξεργασία προσωπικών δεδομένων κατά τη διαβίβασή τους μεταξύ Ευρώπης και Ηνωμένων Πολιτειών της Αμερικής (ΗΠΑ).

Στο επίκεντρο της παραβίασης βρίσκεται η διαβίβαση δεδομένων της Meta στις ΗΠΑ βάσει των Τυποποιημένων Συμβατικών Ρητρών από το 2020. Αυτός ήταν τότε ο μόνος έγκυρος τρόπος διαβίβασης δεδομένων μεταξύ του ΕΟΧ και των ΗΠΑ, υπό την προϋπόθεση ότι υπάρχει επαρκές επίπεδο προστασίας δεδομένων, το οποίο η Meta απέτυχε να παράσχει.

2. Meta Platforms Ireland Ltd. - €390 εκατομμύρια

Παραβίαση άρθρου 5 παρ. 1 στοιχ. α’, άρθρου 6 παρ. 1, άρθρου 12, άρθρου. 13 παρ. 1, στοιχ. γ’ ΓΚΠΔ

Η Meta είχε ζητήσει από τους χρήστες να συγκατατεθούν σε νέους όρους και προϋποθέσεις που άλλαξαν τη νομική βάση για την επεξεργασία των δεδομένων τους από τη συγκατάθεση στην εκπλήρωση της σύμβασης (άρθρο 6 παρ. 1 στοιχ. β’ ΓΚΠΔ). Η άρνηση συγκατάθεσης εμπόδισε τους χρήστες να έχουν πρόσβαση στους λογαριασμούς τους. Το DPC διαπίστωσε ότι η Meta παραβίασε τις οδηγίες διαφάνειας που περιγράφονται από τον ΓΚΠΔ.

Επιπλέον, διαπίστωσαν ότι η εταιρεία δεν έδωσε αρκετή σαφήνεια σχετικά με το γιατί η επεξεργασία προσωπικών δεδομένων είναι απαραίτητη και σε ποια νομική βάση, όπως περιγράφεται στους όρους και τις προϋποθέσεις τους.

Ορισμένες ρυθμιστικές αρχές του ΕΟΧ ισχυρίστηκαν επίσης ότι ήταν παράλογο να αναφέρουν την εκπλήρωση μιας σύμβασης ως νομική βάση για τη χρήση των υπηρεσιών της Meta και το θέμα εστάλη στο ΕΣΠΔ. Το τελευταίο έκανε δεκτή αυτή την κριτική και επέβαλε πρόστιμο 390 εκατομμυρίων ευρώ στη Meta.

3. TikTok Ltd - €345 εκατομμύρια

Παραβίαση άρθρου 5 παρ. 1 στοιχ. γ’, άρθρου 5 παρ. 1 στοιχ. στ’, άρθρου. 12 παρ. 1, άρθρου 13 παρ. 1 στοιχ. ε’, άρθρου. 24 παρ. 1, άρθρου. 25 παρ. 1, 2

Ο Ιρλανδός Επίτροπος Προστασίας Δεδομένων (DPC) επέβαλε πρόστιμο 345 εκατομμυρίων ευρώ στο TikTok για παραβίαση ορισμένων κανόνων του ΓΚΠΔ, συμπεριλαμβανομένης της τοποθέτησης λογαριασμών χρηστών ηλικίας 13-17 ετών σε προεπιλεγμένη δημόσια ρύθμιση.

Αυτή η αποτυχία προστασίας των ανήλικων χρηστών από τη δημόσια θέα συνδυάστηκε με τη μη παροχή σε αυτούς τους χρήστες διαφανών πληροφοριών και τον μη έλεγχο εάν ο ενήλικας που «ζευγάρωσε» με το παιδί στο σύστημα «οικογενειακής σύζευξης» ήταν, στην πραγματικότητα, γονέας ή κηδεμόνας.

Επιπλέον, το DPC διαπίστωσε ότι το TikTok δεν έλαβε υπόψη τον κίνδυνο που ενέχουν οι ανήλικοι χρήστες που απέκτησαν πρόσβαση στην πλατφόρμα.

4. Criteo - €40 εκατομμύρια

Παραβίαση άρθρου 7 παρ. 1, 3, άρθρου. 12, άρθρου. 13, άρθρου. 15 παρ. 1, άρθρου. 17 παρ. 1, άρθρου. 26

Η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL) επέβαλε πρόστιμο 40 εκατομμυρίων ευρώ στην Criteo, έναν ειδικό στη διαδικτυακή διαφήμιση, ως απάντηση σε καταγγελίες από τους μη κερδοσκοπικούς οργανισμούς Privacy International και NOYB.

Η απόφαση της CNIL αναφέρει την αποτυχία της Criteo να διασφαλίσει ότι οι συνεργάτες της, όπως οι εκδότες, έλαβαν τη συγκατάθεση των χρηστών για τη χρήση των cookies της Criteo. Παρόλο που οι συνεργάτες είναι κυρίως υπεύθυνοι για τη λήψη συγκατάθεσης από τους χρήστες, η CNIL εξακολουθεί να θεωρεί την Criteo υπεύθυνη για την επαλήθευση αυτής της συγκατάθεσης.

Το πρόστιμο των 40 εκατομμυρίων ευρώ ανέρχεται περίπου στο 2% των παγκόσμιων εσόδων της εταιρείας, μειωμένο από την αρχική πρόταση των 60 εκατομμυρίων ευρώ που υπέβαλαν οι εισηγητές της CNIL.

5. TikTok - £12.7 εκατομμύρια

Παραβίαση άρθρου 5 παρ. 1 στοιχ. α’, άρθρου 12, άρθρου 13

Το Γραφείο του Επιτρόπου Πληροφοριών (ICO) επέβαλε πρόστιμο 12,7 εκατομμυρίων λιρών στο TikTok για ορισμένες παραβιάσεις, οι οποίες περιλαμβάνουν την παράνομη επεξεργασία δεδομένων 1,4 εκατομμυρίων παιδιών ηλικίας κάτω των 13 ετών. Το ICO διαπίστωσε ότι το TikTok δεν έκανε αρκετά για να αποτρέψει την πρόσβαση στην πλατφόρμα από άτομα κάτω των 13 ετών και απέτυχε να πραγματοποιήσει επαρκείς ελέγχους.

Επιπλέον, το ICO διαπίστωσε ότι το TikTok απέτυχε να διασφαλίσει ότι τα προσωπικά δεδομένα που ανήκουν σε χρήστες του Ηνωμένου Βασιλείου υποβλήθηκαν σε νόμιμη επεξεργασία με δίκαιο και διαφανή τρόπο. Μετά την έρευνα, το ICO δημοσίευσε έναν κώδικα για τα παιδιά για να βοηθήσει στην προστασία των παιδιών στον ψηφιακό κόσμο.

6. Axpo Italia Spa - €10 εκατομμύρια

Παραβίαση άρθρου 5 παρ. 1 στοιχ. α’, δ’, άρθρου 5 παρ.2, άρθρου 24 παρ.2.

Η Axpo Italia, παραγωγός και έμπορος ανανεώσιμων πηγών ενέργειας, έλαβε πρόστιμο 10 εκατομμυρίων ευρώ από την ιταλική αρχή προστασίας δεδομένων (Garante Per La Protezione Dei Dati Personali) βάσει του ΓΚΠΔ. Το πρόστιμο επιβλήθηκε κατόπιν καταγγελιών πελατών που ανακάλυψαν μη εξουσιοδοτημένη ενεργοποίηση συμβάσεων ηλεκτρικής ενέργειας και φυσικού αερίου της Axpo στο όνομά τους.

Η έρευνα της Garante αποκάλυψε ότι η Axpo απέκτησε συμβάσεις μέσω ενός δικτύου 280 πωλητών πόρτα-πόρτα, χωρίς επαρκείς διαδικασίες για την επαλήθευση της ακρίβειας των δεδομένων των πελατών. Περισσότεροι από 5.000 χρήστες επηρεάστηκαν από την παράνομη επεξεργασία προσωπικών δεδομένων, οδηγώντας σε παραβιάσεις διαφόρων άρθρων του ΓΚΠΔ.

Εκτός από το πρόστιμο, η Garante ανέθεσε στην Axpo να εφαρμόσει διορθωτικά μέτρα, συμπεριλαμβανομένου ενός συστήματος προειδοποίησης για τον εντοπισμό παραπτωμάτων, μηχανισμών για την επαλήθευση των επικοινωνιών κατά τη φάση σύναψης συμβάσεων και ενισχυμένων δραστηριοτήτων ελέγχου για τους αντιπροσώπους της. Η Axpo εξέφρασε τη συνεργασία της με την έρευνα και επιφυλάχθηκε του δικαιώματος να ασκήσει έφεση κατά της απόφασης.

7. TIM SpA - €7.6 εκατομμύρια

Παραβίαση άρθρου 5 παρ. 2, άρθρου 6, άρθρου 7, άρθρου 12 παρ. 2, 3, άρθρου 13, άρθρου 14, άρθρου 15 παρ. 1, άρθρου 32 παρ. 1 στοιχ. β’ ΓΚΠΔ

Η Garante επέβαλε πρόστιμο 7,6 εκατομμυρίων ευρώ στην εταιρεία τηλεπικοινωνιών TIM SpA για ανεπαρκή ανταπόκριση στα αιτήματα των υποκειμένων των δεδομένων και για την εποπτεία παράνομων τηλεφωνικών κέντρων.

Η έρευνα διαπίστωσε ότι η εταιρεία ανταποκρίθηκε ανεπαρκώς σε αιτήματα ατόμων να ασκήσουν τα δικαιώματά τους ως υποκειμένων των δεδομένων και δημοσίευσε προσωπικά δεδομένα σε δημόσιους τηλεφωνικούς καταλόγους χωρίς να λάβει συγκατάθεση τους.

8. WhatsApp Ireland Ltd. - €5.5 εκατομμύρια

Παραβίαση άρθρου 6 παρ. 1, άρθρου 12, άρθρου 13 παρ. 1 στοιχ. γ’ ΓΚΠΔ

Στην WhatsApp επιβλήθηκε πρόστιμο για μη συμμόρφωση με τον ορισμό της συγκατάθεσης GDPR.

Οι χρήστες κλήθηκαν να αποδεχτούν τους νέους όρους και προϋποθέσεις κάνοντας κλικ σε ένα κουμπί που έγραφε «συμφωνώ και συνεχίστε», το οποίο το WhatsApp θεώρησε ως σύναψη σύμβασης και το χρησιμοποίησε ως νομική βάση για τη συλλογή προσωπικών δεδομένων.

Ωστόσο, τα υποκείμενα των δεδομένων κατήγγειλαν ότι η εταιρεία βασιζόταν στη συγκατάθεση και αντί να δοθεί ελεύθερα, η WhatsApp ανάγκαζε τα άτομα να συμφωνήσουν με τους νέους όρους.

Το DPC δεν δέχτηκε το επιχείρημα ότι ηWhatsApp ζητούσε πραγματικά συγκατάθεση, αλλά διαπίστωσε ότι η εταιρεία παραβίαζε τη διαφάνεια σε σχέση με τη νομική βάση επεξεργασίας.

9. EOS Matrix - €5.47 εκατομμύρια

Παραβίαση άρθρου 5 παρ. 2, άρθρου 6 παρ. 1, άρθρου 12 παρ. 1, άρθρου 13 παρ. 1, άρθρου 32 παρ. 1 στοιχ. β’ ΓΚΠΔ

Η Κροατική Εποπτική Αρχή επέβαλε πρόστιμο ύψους 5,47 εκατομμυρίων ευρώ στην EOS Matrix, εταιρεία είσπραξης οφειλών, για παραβίαση του ΓΚΠΔ. Η παραβίαση περιελάμβανε μη εξουσιοδοτημένη επεξεργασία δεδομένων, ανεπαρκή τεχνικά μέτρα και έλλειψη διαφάνειας.

Η υπόθεση προέκυψε από μια ανώνυμη καταγγελία τον Μάρτιο του 2023, αποκαλύπτοντας τη μη εξουσιοδοτημένη επεξεργασία προσωπικών δεδομένων από το EOS Matrix, υποστηριζόμενη από ένα USB stick που περιέχει πληροφορίες για περισσότερα από 180.000 άτομα με εκκρεμή χρέη. Το ανεπαρκές σύστημα επεξεργασίας της εταιρείας απέτυχε να εντοπίσει ασυνήθιστες δραστηριότητες και επεξεργάστηκε δεδομένα ατόμων χωρίς νομική βάση. Το EOS Matrix κατέγραψε σχόλια σχετικά με την υγεία και παρακολούθησε διαγνώσεις, παρά τον ισχυρισμό ότι δεν επεξεργάζεται δεδομένα υγείας στις πολιτικές απορρήτου του.

10. Clearview AI Inc. - €5.2m εκατομμύρια

Παραβίαση άρθρου 58 ΓΚΠΔ

Η Clearview AI Inc μετά το πρόστιμο ύψους 20 εκατομμυρίων ευρώ και την εντολή να μην συλλέγει και να μην επεξεργάζεται προσωπικά δεδομένα ατόμων στη Γαλλία χωρίς καμία νομική βάση, η Clearview AI συνέχισε να μην συνεργάζεται. Ως εκ τούτου, η CNIL, επέβαλε χρηματική ποινή ύψους 5,2 εκατομμυρίων ευρώ επιπλέον του οφειλόμενου ποσού προστίμου. Υπενθυμίζεται ότι η ΑΠΔΠΧ το 2022 επέβαλε πρόστιμο 20.000.000 € στην Clearview AI για παράνομη επεξεργασία δεδομένων ατόμων στην Ελλάδα.

11. Spotify - €4.9 εκατομμύρια

Παραβίαση άρθρου 12 παρ. 1, άρθρου 15 παρ. 1, 2

Η πλατφόρμα ροής μουσικής Spotify τιμωρήθηκε με πρόστιμο ύψους 58 εκατομμυρίων SEK (4,9 εκατομμύρια ευρώ) στη Σουηδία για παραβίαση των δικαιωμάτων πρόσβασης στα δεδομένα των χρηστών της. Η Σουηδική Αρχή Προστασίας Προσωπικών Δεδομένων (IMY) διαπίστωσε ότι το Spotify δεν ήταν διαφανές στον τρόπο συλλογής δεδομένων σχετικά με τους χρήστες του. Δεδομένου ότι το Spotify χρησιμοποιείται σε πολλές χώρες, η απόφαση ελήφθη με άλλες αρχές προστασίας δεδομένων στην ΕΕ.

12. Trygg-Hansa - €3 εκατομμύρια

Παραβίαση άρθρου 5 παρ. 1 στοιχ. στ’, Άρθρο 32 παρ. 1 ΓΚΠΔ

Η Σουηδική Αρχή Προστασίας Δεδομένων (IMY) εξέδωσε πρόστιμο ύψους 35 εκατομμυρίων SEK (περίπου 2.915.316 ευρώ) στην Tryg Forsikring A/S (Trygg-Hansa) για παραβίαση του ΓΚΠΔ κατόπιν καταγγελίας.

Η IMY έλαβε καταγγελία τον Δεκέμβριο του 2020 σύμφωνα με την οποία η Trygg-Hansa είχε επιτρέψει μη εξουσιοδοτημένη πρόσβαση στα ευαίσθητα προσωπικά δεδομένα των πελατών της. Μετά από έρευνα, η IMY διαπίστωσε ότι η Trygg-Hansa επεξεργάστηκε τα προσωπικά δεδομένα περίπου 650.000 ατόμων, συμπεριλαμβανομένων ονομάτων, στοιχείων επικοινωνίας, πληροφοριών υγείας, αριθμών κοινωνικής ασφάλισης, οικονομικών δεδομένων, ασφαλιστικών αρχείων, λεπτομερειών εκδηλώσεων και πληροφοριών ιδιοκτησίας. Αυτή η παραβίαση δεδομένων εξέθεσε ευαίσθητες πληροφορίες υγείας και αυτό ήταν προσβάσιμο στο διαδίκτυο χωρίς να απαιτείται έλεγχος ταυτότητας. Η IMY σημείωσε ότι επηρεάστηκαν τα δεδομένα 202 πελατών και αυτή η μη εξουσιοδοτημένη πρόσβαση πραγματοποιήθηκε από τον Οκτώβριο του 2018 έως τον Φεβρουάριο του 2021.

13. B2 Kapital - €2.2 εκατομμύρια

Παραβίαση άρθρου 6 παρ. 1, άρθρου 13 παρ. 1, άρθρου 28 παρ. 3, άρθρου 32 παρ. 1 στοιχ. β’ & δ’, άρθρου 32 παρ. 2 ΓΚΠΔ

Στον υπεύθυνο επεξεργασίας δεδομένων B2 Kapital επιβλήθηκε πρόστιμο 2,2 εκατομμυρίων ευρώ για μη εξουσιοδοτημένη επεξεργασία προσωπικών δεδομένων. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην Κροατία («AZOP») διαπίστωσε ότι η B2 Kapital δεν είχε ενημερώσει τα υποκείμενα των δεδομένων σχετικά με την επεξεργασία των δεδομένων τους. Η έλλειψη διαφάνειας αποτελεί παραβίαση του ΓΚΠΔ.

Επιπλέον, ο υπεύθυνος επεξεργασίας δεδομένων δεν συνήψε σύμβαση με τον εκτελούντα την επεξεργασία για την υπηρεσία παρακολούθησης απλής πτώχευσης καταναλωτή, γεγονός που έθεσε σε κίνδυνο τα προσωπικά δεδομένα. Από την έρευνα διαπιστώθηκε ότι η B2 Kapital δεν εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας.