Πρόστιμο 25.000 ευρώ στο Υπουργείο Αγροτικής Ανάπτυξης για μη ορισμό DPO και μη συνεργασία με την Αρχή (ΑΠΔΠΧ 2/2024)
Το Υπουργείο είχε μείνει χωρίς Υπεύθυνο Προστασίας Δεδομένων επί 10 μήνες
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Συνέχεια στις αποφάσεις της επί του ελέγχου ορισμό DPO στον δημόσιο τομέα έδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με την υπ’ αριθμ. 2/2024 απόφασή της.
Μετά τον Δήμο Αθηναίων και το πρόστιμο των 5.000 ευρώ που του επιβλήθηκε για τη μη συνεργασία με την Αρχή, σειρά είχε το Υπουργείο Αγροτικής Ανάπτυξης και Τροφίμων, με το πρόστιμο αυτή τη φορά να ανέρχεται σε 25.000 ευρώ.
Η διαφορά στα δύο πρόστιμα εντοπίζεται στην πρόσθετη παραβίαση της υποχρέωσης ορισμού DPO, όπως αυτή εντοπίστηκε κατά την έρευνα της Αρχής, παραβίαση για την οποία επιβλήθηκε αυτοτελές πρόστιμο 20.000 ευρώ.
Διαβάστε επίσης: Infolaw Conference 2024: Ρυθμίζοντας την Ψηφιακή Καινοτομία - Τεχνητή Νοημοσύνη, Κυβερνοασφάλεια και Πλατφόρμες
Ειδικότερα, στο πλαίσιο της 2ης Συντονισμένης Δράσης του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων με θέμα «Ο ορισμός και η θέση του υπεύθυνου προστασίας δεδομένων», το ΕΣΠΔ ανέπτυξε ένα ενιαίο ερωτηματολόγιο σχετικά με τον ορισμό και τη θέση του Υπευθύνου Προστασίας Δεδομένων. Το ερωτηματολόγιο αυτό υιοθετήθηκε από την ελληνική εποπτική αρχή και απεστάλη σε επιλεγμένους φορείς του δημοσίου, μεταξύ των οποίων και το Υπουργείο Αγροτικής Ανάπτυξης και Τροφίμων. Η αποστολή του ερωτηματολογίου έγινε στις 3-5-2023, με καταληκτική ημερομηνία υποβολής αυτού, μέσω του συνδέσμου EUsurvey, την 19-5-2023.
Ακολούθως και σύμφωνα με την απόφαση, «ο υπεύθυνος επεξεργασίας δεν ανταποκρίθηκε στο ανωτέρω έγγραφο. Η Αρχή έστειλε εκ νέου το ερωτηματολόγιο στον υπεύθυνο επεξεργασίας με το υπ’ αριθ. πρωτ. Γ/ΕΞΕ/1347/26-05-2023 έγγραφο, στο οποίο ο υπεύθυνος επεξεργασίας κλήθηκε εκ νέου να απαντήσει μέχρι τις 31-05-2023. Ο υπεύθυνος επεξεργασίας δεν ανταποκρίθηκε παρά τις τηλεφωνικές οχλήσεις, που πραγματοποιήθηκαν από μέλος της ομάδας συντονισμένης δράσης. Κατά τη διάρκεια των επικοινωνιών αυτών προέκυψε η πληροφορία ότι κατά τη δεδομένη χρονική περίοδο ο υπεύθυνος επεξεργασίας βρισκόταν σε διαδικασία αναζήτησης ΥΠΔ ή και ανανέωσης της σύμβασης του ΥΠΔ. Βάσει του μητρώου ΥΠΔ που τηρεί η Αρχή, ο υπεύθυνος επεξεργασίας έχει υποβάλει την υπ’ αριθ. πρωτ. Γ/ΕΙΣ/6655/14-10-2021 ανακοίνωση στοιχείων επικοινωνίας του ΥΠΔ, ως όφειλε σύμφωνα με το άρθρο 37 παρ. 1 και 7».
Το Υπουργείο κλήθηκε όπως παραστεί κατά τη συζήτηση της υπόθεσης ενώπιον της Ολομέλειας της Αρχής και απέστειλε υπόμνημα, σύμφωνα με το οποίο «η θητεία του προηγούμενου ΥΠΔ είχε λήξει στις 04-08-2022, και αφετέρου ότι δεν είχε ανανεωθεί λόγω έλλειψης της αναγκαίας πίστωσης. Τελικά εγκρίθηκε και υπεγράφη σύμβαση ανάθεσης υπηρεσιών του ΥΠΔ στις 20-06-2023 με διάρκεια δυο (2) έτη».
Περαιτέρω και σχετικά με το χρονικό διάστημα των δέκα και πλέον μηνών κατά τους οποίους η θέση του DPO είχε μείνει κενή, το Υπουργείο ισχυρίστηκε ότι «υφίστατο σχέδιο προστασίας και ασφάλειας προσωπικών δεδομένων και ότι τα υποκείμενα των δεδομένων δεν υπέστησαν ουδεμία ζημία».
Συναφώς και ως προς το ζήτημα της μη συμπλήρωσης του ερωτηματολογίου, το Υπουργείο διατύπωσε τον ισχυρισμό πως από την ως άνω απάντησή του «προκύπτουν εμμέσως οι απαντήσεις» επ’ αυτού, προσθέτοντας πως αρμόδιος υπάλληλος προέβη, μετά τη δεύτερη επιστολή της Αρχής, στη συμπλήρωση και υποβολή του, «η οποία όμως δεν κατέστη δυνατή λόγω τεχνικού σφάλματος.»
Με το ίδιο σκεπτικό που διατύπωσε και στην απόφαση σε βάρος του Δήμου Αθηναίων, η Αρχή Προστασίας Δεδομένων έκρινε πως οι χειρισμοί του Υπουργείου Αγροτικής Ανάπτυξης στις επανειλημμένες κλήσεις της για συμπλήρωση του ερωτηματολογίου της συνιστούσαν παραβίαση της υποχρέωσης του άρθρου 31 ΓΚΠΔ για συνεργασία με την εποπτική αρχή. Για την παράβαση αυτή, η Αρχή επέβαλε πρόστιμο 5.000 ευρώ, όπως είχε κάνει και σε βάρος του Δήμου.
Επιπροσθέτως όμως, η Αρχή επέβαλε και δεύτερο – και δη κατά πολύ υψηλότερο – πρόστιμο για την απουσία του DPO κατά τους δέκα μήνες που μεσολάβησαν μεταξύ των δύο συμβάσεων.
Επικαλούμενη τις σαφείς υποχρεώσεις που θέτουν τα άρθρα 37-38-39 ΓΚΠΔ στους υπευθύνους επεξεργασίας, η Αρχή διαπίστωσε πως είχε τελεστεί παραβίαση της υποχρέωσης ορισμού DPO από δημόσιο φορέα, για την οποία επέβαλε διοικητικό πρόστιμο 20.000 ευρώ.
Διαβάστε σχετικά: Πρόστιμο 5.000 ευρώ στον Δήμο Αθηναίων για μη συνεργασία με την Αρχή Προστασίας Δεδομένων (ΑΠΔΠΧ 1/2024
