ΑΠΔΠΧ: Πρόστιμο σε εκτελούντα την επεξεργασία για διαβίβαση προσωπικών δεδομένων σε τρίτο
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε πρόστιμο ύψους 5.000 ευρώ σε εκτελούντα την επεξεργασία, διότι ενήργησε ως αυτοτελώς υπεύθυνος επεξεργασίας και δεν ενημέρωσε τα υποκείμενα των δεδομένων για τη διαβίβαση αυτή.
Σύμφωνα με το ιστορικό της υπόθεσης, ο Ενιαίος Δημοσιογραφικός Οργανισμός Επικουρικής Ασφάλισης και Περίθαλψης (εφεξής «ΕΔΟΕΑΠ») με την ιδιότητα του υπευθύνου επεξεργασίας υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης από την εκτελούσα την επεξεργασία ΕΔΥΤΕ Α.Ε.
Ειδικότερα, όπως ανέφερε, ο ΕΔΟΕΑΠ (υπεύθυνος επεξεργασίας) διενήργησε αρχαιρεσίες μέσω της πλατφόρμας ΖΕΥΣ της ΕΔΥΤΕ Α.Ε.(εκτελούσα).
Τρεις υποψήφιοι ζήτησαν από την ΕΔΥΤΕ Α.Ε. προσωπικά δεδομένα των ψηφοφόρων (ποιος και με ποιο τρόπο ψήφισε) με βάση σχετική εισαγγελική παραγγελία.
Η ΕΔΥΤΕ Α.Ε. (ως εκτελούσα) ενημέρωσε τον υπεύθυνο, ο οποίος εξέφρασε αντίθεση στη διαβίβαση ενημερώνοντας την ΕΔΥΤΕ ότι είχε λάβει και αυτός εισαγγελική παραγγελία που είχε όμως «ανακληθεί».
Παρόλα αυτά, ο εκτελών προχώρησε σε διαβίβαση (με επίκληση υποχρέωσή του κατά το νόμο) και ενημέρωσε τον υπεύθυνο.
Ο ΕΔΟΕΑΠ υπέβαλε την ανωτέρω γνωστοποίηση διότι θεώρησε ότι συνέτρεχε παραβίαση εμπιστευτικότητας και άρα περιστατικό του άρθ. 33 του ΓΚΠΔ.
Η Αρχή επεσήμανε ότι στην προκειμένη υπόθεση δεν τίθεται θέμα έλλειψης/παράβασης ασφάλειας, ανακύπτει όμως το ζήτημα, αυτεπαγγέλτως εξεταζόμενο, αν νομίμως η ΕΔΥΤΕ Α.Ε., ως εκτελούσα την επεξεργασία, παρέσχε τα σχετικά στοιχεία.
Μεταξύ άλλων, η Αρχή σημείωσε στην απόφασή της ότι τα στοιχεία που διαβιβάσθηκαν αποτελούν ιδιωτικά έγγραφα και δεν εμπίπτουν στην κατηγορία των δημοσίων εγγράφων, εφόσον ο ΕΔΟΕΑΠ αποτελεί ΝΠΙΔ, μη υπαγόμενο στη διάταξη του άρθρου 25 παρ. 4 του Ν. 1756/88, κατά συνέπεια δεν τυγχάνουν εφαρμογής στην προκειμένη περίπτωση οι διατάξεις του άρθρου 5 του ΚΔΔιαδ., όπως έχει γνωμοδοτήσει και η Αρχή με τη Γνμδ. 3/2009, η εισαγγελική παραγγελία είναι δεσμευτική για τη διοίκηση μόνον στις περιπτώσεις που δίδεται στο πλαίσιο ποινικής διαδικασίας.
Στις υπόλοιπες περιπτώσεις έχει την έννοια επιτακτικής εντολής προς τη διοίκηση για τη διερεύνηση του αιτήματος χορήγησης του δημοσίου εγγράφου.
Συνεπώς, η ΕΔΥΤΕ Α.Ε. κατά παράβαση του άρθρου 29 του ΓΚΠΔ, ως εκτελούσα την επεξεργασία διαβίβασε, παρά τις αντιρρήσεις του υπευθύνου επεξεργασίας ΕΔΟΕΑΠ, προσωπικά δεδομένα των ψηφοφόρων στους τρίτους που είχαν υποβάλει σχετική αίτηση, χωρίς να υφίσταται ρητή υποχρέωσή της από διάταξη νόμου σύμφωνα με όσα εκτίθενται ανωτέρω.
Με τα δεδομένα αυτά, η ΕΔΥΤΕ κατέστη αυτοτελώς υπεύθυνη επεξεργασίας.
Περαιτέρω, η ΕΔΥΤΕ, εφόσον, σύμφωνα με τα προαναφερόμενα, ενήργησε ως αυτοτελώς υπεύθυνη επεξεργασίας, όφειλε κατά τις διατάξεις του άρθρου 28 παρ. 10 του ΓΚΠΔ, πριν τη διαβίβαση των δεδομένων σε τρίτους, να ενημερώσει τα υποκείμενα των δεδομένων για τη διαβίβαση αυτή, αλλά η ενημέρωση αυτή ουδέποτε έλαβε χώρα.
Δείτε αναλυτικά την απόφαση στο dpa.gr