logo-print

Πρόστιμο στο Υπουργείο Τουρισμού: Μια απόφαση με πολλά ερωτηματικά

Λίγο πριν το τέλος του 2021, η ΑΠΔΠΧ δημοσίευσε απόφαση της με την οποία επέβαλε διοικητικό πρόστιμο 75.000 ευρώ στο Υπουργείο Τουρισμού για σημαντικές παραβιάσεις του GDPR. Ωστόσο, από την απόφαση αυτή προκύπτουν ορισμένα σημαντικά ερωτήματα.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «ΑΠΔΠΧ») εξέτασε αναφορά, σύμφωνα με την οποία υπήρξε περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα από πλατφόρμα του Υπουργείου Τουρισμού. Κατόπιν τούτου, και λίγο πριν την εκπνοή του 2021, εξέδωσε την υπ’ άρ. 55/2021 Απόφαση, με την οποία επέβαλλε πρόστιμο της τάξεως των 75.000 € στο Υπουργείο Τουρισμού για παραβίαση του Κανονισμού 2016/679 (εφεξής «ΓΚΠΔ») και ειδικότερα: α) για περιστατικό διαρροής προσωπικών δεδομένων σε ψηφιακό κόμβο τον οποίο διαχειρίζεται το Υπουργείο Τουρισμού, β) για μη ορισμό Υπεύθυνου Προστασίας Δεδομένων και γ) για μη παροχή ορθών πληροφοριών στα Υποκείμενα Δεδομένων.

1. Ιστορικό

Το Υπουργείο Τουρισμού διατηρεί την πλατφόρμα www.tourism4all.gov.gr. Κατά την προσπάθεια πολίτη να υποβάλει αίτηση μέσω της εν λόγω πλατφόρμας, διαπίστωσε ότι εμφανίζονταν προσωπικά δεδομένα τρίτων προσώπων, όπως ΑΜΚΑ, ΑΦΜ, email, τηλέφωνο, ταχυδρομική διεύθυνση, καθώς και ειδικές κατηγορίες δεδομένων όπως στοιχεία αναπηρίας. Για το περιστατικό αυτό ο πολίτης προέβη σε αναφορά προς την ΑΠΔΠΧ, ενώ το Υπουργείο Τουρισμού δεν προέβη σε γνωστοποίηση περιστατικού παραβίασης κατά τα προβλεπόμενα στο αρ. 33 του Κανονισμού.

Στο πλαίσιο διερεύνησης της αναφοράς, η ΑΠΔΠΧ διαπίστωσε ότι κατά το εν λόγω χρονικό διάστημα το Υπουργείο Τουρισμού δεν προέκυπτε ότι είχε ορίσει Υπεύθυνο Προστασίας Δεδομένων (εφεξής «ΥΠΔ»/ «DPO»)-και σε κάθε περίπτωση δεν είχε γνωστοποιήσει τα στοιχεία του στο σχετικό μητρώο που τηρεί η ΑΠΔΠΧ, όπως υποχρεούται βάσει του άρθρου 37 παρ. 7 του ΓΚΠΔ. Επιπλέον, η διεύθυνση ηλεκτρονικού ταχυδρομείου dpo@mintour.gov.gr, το οποίο αναγράφονταν στην πολιτική προστασίας προσωπικών δεδομένων της πλατφόρμας, δεν λειτουργούσε. Στη συνέχεια, η ΑΠΔΠΧ απέστειλε έγγραφο προς το Υπουργείο Τουρισμού με το οποίο ζητούσε τις απόψεις του, στο οποίο το τελευταίο απάντησε εκπρόθεσμα κατόπιν σχετικής υπενθύμισης από την ΑΠΔΠΧ.

2. Εξηγήσεις Υπουργείου

Το Υπουργείο Τουρισμού υποστήριξε ότι εν γένει η πλατφόρμα tourism4all.gov.gr αναπτύχθηκε σε συνεργασία με το Υπουργείο Ψηφιακής Διακυβέρνησης, το οποίο, μέσω του Κέντρου Διαλειτουργικότητας της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης (εφεξής, ΓΓΠΣΔΔ), καθοδήγησε τη συνεργαζόμενη με το Υπουργείο Ψηφιακής Διακυβέρνησης ανάδοχη εταιρεία THREENITAS Α.Ε. για θέματα σχεδιασμού και ανάπτυξης διαλειτουργικότητας. Ειδικότερα αναφορικά με το εν λόγω περιστατικό το Υπουργείο υποστήριξε, μεταξύ άλλων, ότι:

  • Το εν λόγω περιστατικό ήταν μεμονωμένο, συνέβη την δεύτερη ημέρα λειτουργίας της πλατφόρμας και μάλιστα εντός του πρώτου 24ώρου λειτουργίας της. Για πρώτη φορά το Κέντρο Διαλειτουργικότητας της ΓΓΠΣΔΔ δέχτηκε τεράστιο όγκο αιτημάτων, καθώς οι εν δυνάμει δικαιούχοι ήταν περίπου 5 εκατομμύρια πολίτες.
  • Υπήρξαν άμεσες και ορθές ενέργειες για την διερεύνηση και αντιμετώπιση του περιστατικού, όπως η προσωρινή διακοπή της λειτουργίας της πλατφόρμας και η χρήση δεύτερου παράγοντα αυθεντικοποίησης (two-factor authentication), εντούτοις δεν κατέστη εφικτός ο εντοπισμός του προβλήματος.
  • Εν γένει, η υλοποίηση της ψηφιακής εφαρμογής του προγράμματος «Τουρισμός για Όλους» προχώρησε με την μορφή του κατεπείγοντος λόγω της πανδημίας και έτσι το έργο δεν είχε συμβασιοποιηθεί. Επιπλέον, η ηλεκτρονική διεύθυνση dpo@mintour.gov.gr που περιλήφθηκε στους όρους χρήσης της εφαρμογής προοριζόταν να λειτουργεί και να διαχειρίζεται από το Υπουργείο Ψηφιακής Διακυβέρνησης και όχι το Υπουργείο Τουρισμού.
  • Δεν είχε οριστεί Υπεύθυνος Προστασίας Δεδομένων για το επίμαχο διάστημα, αλλά ορίστηκε αργότερα και συγκεκριμένα ένα χρόνο αργότερα.
  • Το «Συμφωνητικό για την επεξεργασία δεδομένων προσωπικού χαρακτήρα (Data Processing Agreement-DPA), υπογράφηκε μετά την έναρξη λειτουργίας της πλατφόρμας και το επίμαχο περιστατικό, ενώ μέχρι τότε ίσχυαν μόνο το Μνημόνιο Συνεργασίας μεταξύ Υπουργείου Τουρισμού και Υπουργείου Ψηφιακής Διακυβέρνησης και η Σύμβαση μεταξύ ΕΔΥΤΕ Α.Ε. (εκ μέρους του Υπουργείου Ψηφιακής Διακυβέρνησης) και THREENITAS.

3.Απόφαση της ΑΠΔΠΧ

Η ΑΠΔΠΧ προχώρησε καταρχάς στην υπαγωγή των ρόλων των εμπλεκομένων μερών από πλευράς προστασίας προσωπικών δεδομένων. Ειδικότερα, κατέληξε ότι το Υπουργείο Τουρισμού ενεργεί ως Υπεύθυνος Επεξεργασίας ενώ το Υπουργείο Ψηφιακής Διακυβέρνησης ως εκτελών την επεξεργασία και η THREENITAS Α.Ε. ως υπο-εκτελούσα την επεξεργασία. Επιπλέον, αναφορικά με τα τεχνικά θέματα ασφαλείας της επεξεργασίας, η ΑΠΔΠΧ κατέληξε ότι ως, τη σχετική αρμοδιότητα την έχει το Υπουργείο Ψηφιακής Διακυβέρνησης ως προς το σκέλος ιδίως της αυθεντικοποίησης των χρηστών και η THREENITAS Α.Ε. ως προς την υλοποίηση της πλατφόρμας για την παροχή evoucher στο πλαίσιο του προγράμματος.

Εντούτοις, το γεγονός ότι δεν υπήρχε σύμβαση ή άλλη νομική πράξη τόσο μεταξύ Υπουργείου Τουρισμού και Υπουργείου Ψηφιακής Διακυβέρνησης, όσο και μεταξύ Υπουργείου Ψηφιακής Διακυβέρνησης και THREENITAS Α.Ε. αποτελεί παράβαση του ΓΚΠΔ και δεν επιτρέπει και τον καθορισμό μίας σαφούς διαδικασίας για την αντιμετώπιση περιστατικών που αφορούν προσωπικά δεδομένα, με σαφή διάκριση και προσδιορισμό του ρόλου και της ευθύνης του κάθε φορέα. Η μη ύπαρξη συμβατικής ή νομικής πράξης που ρυθμίζει τις σχέσεις Υπευθύνων – Εκτελούντων και αντίστοιχα Εκτελούντων – Υπεκτελούντων δημιουργεί κινδύνους, όπως λ.χ. επεξεργασίες για τις οποίες δεν έχουν ληφθεί τα κατάλληλα μέτρα. Χαρακτηριστικό παράδειγμα αποτέλεσε, εν προκειμένω, η προσθήκη επιπλέον εκτελούντος για την τήρηση των δεδομένων στο υπολογιστικό του νέφος τρίτης εταιρείας (Amazon) και τη συνακόλουθη δυνητική διαβίβαση δεδομένων σε κράτη εκτός Ευρωπαϊκού Οικονομικού Χώρου (εφεξής «ΕΟΧ») για την οποία δεν προκύπτει ότι υπήρξε κάποια μέριμνα.

Προσέτι, οι υφιστάμενες διαδικασίες και μέτρα φαίνεται ότι δεν συνιστούσαν τα κατάλληλα- συμφώνως με τον Κανονισμό- τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της επεξεργασίας, κάτι που εντάσσεται στο πλαίσιο ευθύνης του Υπεύθυνου Επεξεργασίας. Παράλληλα, η ΑΠΔΠΧ αξιολόγησε και το γεγονός ότι το Υπουργείο Τουρισμού δεν προχώρησε σε γνωστοποίηση του περιστατικού παραβίασης στην ΑΠΔΠΧ, ως όφειλε σύμφωνα με τα προβλεπόμενα στο άρθρο 33 ΓΚΠΔ.

Τέλος, η ΑΠΔΠΧ εντόπισε και κενά γενικής συμμόρφωσης με τις απαιτήσεις του Κανονισμού, καθώς το Υπουργείο Τουρισμού κατά το υπό εξέταση χρονικό διάστημα (και ήδη 3 έτη μετά την έναρξη ισχύος του Κανονισμού) δεν είχε προχωρήσει στον ορισμό Υπεύθυνου Προστασίας Δεδομένων, κατά παράβαση του άρθρου 37 παρ. 1 του ΓΚΠΔ. Επιπλέον, το γεγονός ότι υπήρχε μεν διεύθυνση ηλεκτρονικού ταχυδρομείου (dpo@mintour.gov.gr), η οποία, όμως, δεν λειτουργούσε, αποτελούσε αθέτηση των υποχρεώσεων διαφάνειας, κατά τα προβλεπόμενα του άρθρου 13 του ΓΚΠΔ καθώς το Υπουργείο Τουρισμού υπό την ιδιότητα του ως Υπεύθυνος Επεξεργασίας είχε στο ακέραιο την υποχρέωση πλήρους και σωστής ενημέρωσης προς τα υποκείμενα των δεδομένων, όπως επίσης και την υποχρέωση διευκόλυνσης αυτών ως προς την άσκηση των δικαιωμάτων τους.

Για όλους τους ανωτέρω λόγους η ΑΠΔΠΧ προχώρησε στην επιβολή προστίμου της τάξεως των 75.000 € στο Υπουργείο Τουρισμού.

4. Συμπέρασμα

Με την υπ’ αρ. 55/2021, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε ένα από τα πιο υψηλά πρόστιμα στην ιστορία της. Η απόφασή της αυτή στηρίχθηκε στο γεγονός ότι το Υπουργείο Τουρισμού:

  • Δεν είχε προβεί στον ορισμό DPO, 3 έτη μετά την εφαρμογή του ΓΚΠΔ, ενώ παράλληλα χρησιμοποιούσε μη λειτουργική διεύθυνση ηλεκτρονικού ταχυδρομείου.
  • Δεν είχε διασφαλίσει τη σύναψη συμφωνητικού προστασίας δεδομένων μεταξύ Υπευθύνου – Εκτελούντος και Εκτελούντος – Υπεκτελούντος
  • Δεν είχε λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την αποφυγή περιστατικού παραβίασης. Παράλληλα, δεν προέβη, ως όφειλε στη γνωστοποίηση του επίμαχου περιστατικού ενώπιον της ΑΠΔΠΧ

Εντούτοις, παρουσιάζει ενδιαφέρον το γεγονός ότι η ΑΠΔΠΧ, βάσισε όλο της το αιτιολογικό στον ΓΚΠΔ, ενώ καμία αναφορά δεν έγινε στο ν.4624/2019, ο οποίος αποτελεί και τον ειδικότερο νόμο για επεξεργασία προσωπικών δεδομένων από Δημόσιους Φορείς.

Επιπλέον, ερώτημα προκύπτει και ως προς το ζήτημα της υπαγωγής των ρόλων των εμπλεκόμενων μερών, καθώς η ΑΠΔΠΧ κατέληξε στο συμπέρασμα ότι το Υπουργείο Ψηφιακής Διακυβέρνησης ενεργεί ως Εκτελών την Επεξεργασία για την εν λόγω επεξεργασία, χωρίς να φαίνεται να εξετάζει το άρθρο 47 παρ. 2 του ν.4623/2019, σύμφωνα με το οποίο «Όταν πρόκειται για δεδομένα προσωπικού χαρακτήρα το Υπουργείο Ψηφιακής Διακυβέρνησης ορίζεται υπεύθυνος επεξεργασίας, κατά την έννοια του άρθρου 26 του Κανονισμού (ΕΕ) 2016/ 679 (Γενικός Κανονισμός Προστασίας Δεδομένων) όλων των δεδομένων των Φορέων του Δημόσιου Τομέα και του ευρύτερου Δημόσιου Τομέα […] με αντικείμενο τον στρατηγικό σχεδιασμό, την επεξεργασία και τη διασύνδεση όλων των δεδομένων των ως άνω φορέων μέσω της χρήσης νέων τεχνολογιών, με σκοπό τη διαλειτουργικότητα των πληροφοριακών συστημάτων και εφαρμογών, τη διαβίβαση των δεδομένων μεταξύ των Φορέων είτε για την άσκηση της αρμοδιότητας των Φορέων είτε σύμφωνα με την κείμενη νομοθεσία είτε μετά από τη ρητή έγγραφη ή ηλεκτρονική συγκατάθεση του υποκειμένου των δεδομένων, τη χρήση υπηρεσιών νέφους, την αυτεπάγγελτη αναζήτηση δικαιολογητικών ή πιστοποιητικών ή εγγράφων των πολιτών είτε για την άσκηση της αρμοδιότητας των Φορέων είτε σύμφωνα με την κείμενη νομοθεσία είτε μετά από τη ρητή έγγραφη ή ηλεκτρονική συγκατάθεση του υποκειμένου των δεδομένων, την ανταλλαγή μεταξύ των ως άνω Φορέων δικαιολογητικών και δεδομένων των πολιτών είτε για την άσκηση της αρμοδιότητας των Φορέων είτε σύμφωνα με την κείμενη νομοθεσία είτε μετά από τη ρητή έγγραφη ή ηλεκτρονική συγκατάθεση του υποκειμένου των δεδομένων, και την παροχή ηλεκτρονικών υπηρεσιών εξυπηρέτησης των πολιτών, και μόνο ως προς τους ανωτέρω σκοπούς».

Σε κάθε περίπτωση, καθίσταται σαφές ότι οι ελλείψεις σε βασικά θέματα συμμόρφωσης, όπως ο ορισμός ΥΠΔ ή/και η υιοθέτηση εσωτερικών πολιτικών και διαδικασιών, αξιολογούνται αυστηρά από την ΑΠΔΠΧ και οδηγούν στην επιμέτρηση όλο και υψηλότερων προστίμων. Ως εκ τούτου, κρίνεται επιτακτική η ανάγκη για όλους τους φορείς του ιδιωτικού και δημοσίου τομέα να προβούν άμεσα σε ενέργειες συμμόρφωσης με τον Κανονισμό και εν γένει ρυθμιστικό πλαίσιο προστασίας δεδομένων, καθώς μπορεί να βρεθούν εκτεθειμένοι αστικά, ποινικά και διοικητικά. Σε περίπτωση δε επιβολής διοικητικού προστίμου, σημειώνεται πως αυτό μπορεί να φτάσει είτε μέχρι και τα 10.000.000 € ή το 2% του ετήσιου ισολογισμού του προηγούμενου έτους (όποιο είναι μεγαλύτερο) είτε μέχρι και τα 20.000.000 € ή το 4% του ετήσιου ισολογισμού (όποιο είναι μεγαλύτερο).

Στέργιος Κωνσταντίνου

Ο Στέργιος Κωνσταντίνου είναι δικηγόρος με ειδίκευση στην προστασία προσωπικών δεδομένων, στη διανοητική ιδιοκτησία και στο δίκαιο των τηλεπικοινωνιών. Διαθέτει πιστοποίηση από το Διεθνή Σύλλογο Επαγγλματιών στην Ιδιωτικότητα (IAPP) στο ενωσιακό...

Επαγγελματικό ποδόσφαιρο, 2η έκδ., 2023

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΕΜΠΟΡΙΚΩΝ ΣΥΜΒΑΣΕΩΝ

Πολιτική Δικονομία ΙΙΙ - Β έκδοση

ΝΙΚΟΛΑΟΣ ΝΙΚΑΣ

ΑΣΤΙΚΟ ΔΙΚΟΝΟΜΙΚΟ ΔΙΚΑΙΟ / ΕΝΔΙΚΑ ΜΕΣΑ ΚΑΙ ΑΝΑΚΟΠΕΣ

send