Πρόστιμο σε δημοτική αρχή για την κλοπή laptop από το σπίτι εργαζομένου
Δανία: Η εποπτική αρχή διαπίστωσε πως κανένας από τους 1200 φορητούς υπολογιστές του Δήμου δεν είχε κρυπτογραφημένο σκληρό δίσκο
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Πρόστιμο της τάξης των 13.000- 26.000 ευρώ πρότεινε η δανική εποπτική αρχή Datatilsynet σε βάρος του Δήμου του Odsherred για την παραβίαση των μέτρων ασφάλειας στους φορητούς υπολογιστές του προσωπικού του.
Στη Δανία τα πρόστιμα του ΓΚΠΔ επιβάλλονται από τα δικαστήρια μετά από πρόταση της εποπτικής αρχής και διαβίβαση της υπόθεσης στην αστυνομία.
Τον Σεπτέμβριο 2022 η Datatilsynet έλαβε γνωστοποίηση παραβίασης δεδομένων από τη δημοτική αρχή, σύμφωνα με την υποχρέωση που θεσπίζει το άρθρο 33 ΓΚΠΔ. Η παραβίαση δεδομένων συνίστατο στην απώλεια ενός υπηρεσιακού φορητού υπολογιστή, ο οποίος είχε κλαπεί από την οικία υπαλλήλου του υπευθύνου επεξεργασίας.
Η δανική αρχή διενήργησε έρευνα επί των μέτρων ασφαλείας που είχε υιοθετήσει ο Δήμος στα φορητά μέσα του προσωπικού, για να διαπιστώσει πως κανένας εκ των 1200 φορητών υπολογιστών του προσωπικού δεν είχε μέτρα κρυπτογράφησης των δεδομένων που αποθήκευε στον σκληρό δίσκο του.
Οι υπεύθυνοι επεξεργασίας έχουν την υποχρέωση να διασφαλίζουν πως τα δεδομένα που επεξεργάζονται δεν θα τεθούν σε γνώση μη εξουσιοδοτημένων προσώπων, επισημαίνει η Datatilsynet στο σχετικό δελτίο τύπου που εξέδωσε για την υπόθεση. Η πρόσβαση σε αρχεία που είναι αποθηκευμένα σε ένα laptop είναι σχετικά απλή, όταν ο σκληρός δίσκος του δεν έχει κρυπτογραφηθεί, για παράδειγμα μέσω της μεταφοράς του σκληρού σε άλλον υπολογιστή. Επιπροσθέτως, αναφέρει η εποπτική αρχή, οι κλεμμένες φορητές συσκευές ολοένα και περισσότερο πια ελέγχονται για τον εντοπισμό προσωπικών δεδομένων πριν αυτές διατεθούν προς πώληση. Αυτό οφείλεται στη διαμόρφωση μιας νέας ακμάζουσας αγοράς παράνομης εμπορίας δεδομένων, όπου αυτοί οι τύποι πληροφοριών μπορούν να πωληθούν ανεξάρτητα από την πώληση της ίδιας της συσκευής. Πρόκειται για ένα αποτέλεσμα της αυξανόμενης ψηφιοποίησης της κοινωνίας.
Η κρυπτογράφηση των προσωπικών δεδομένων, συνεχίζει η δανική αρχή, αποτελεί ένα γενικώς αναγνωρισμένο μέτρο ασφάλειας, το οποίο μνημονεύεται και ως παράδειγμα τεχνικού μέτρου στον Γενικό Κανονισμό Προστασίας Δεδομένων. Στην περίπτωση φορητών συσκευών, συμπεριλαμβανομένων των laptop, που αποθηκεύουν προσωπικά δεδομένα, η κρυπτογράφηση πρέπει να θεωρείται όχι απλώς ένα χρήσιμο μέτρο, αλλά ένα μέτρο ασφάλειας αναγκαίο και απαιτούμενο.
Κατά τον υπολογισμό του προτεινόμενου προς επιβολή προστίμου σε βάρος του υπευθύνου επεξεργασίας, η δανική αρχή έλαβε υπόψιν της την έκταση της έκθεσης σε κίνδυνο παραβίασης δεδομένων, σε σχέση με τον χρόνο της μη λήψης των αναγκαίων μέτρων, αλλά και τον αριθμό των φορητών συσκευών, καθώς και το γεγονός πως η κρυπτογράφηση τοπικών αποθηκευτικών μέσων αποτελεί μια συνήθη τεχνολογική λύση που ακολουθείται τουλάχιστον από το 2007.
