GDPR: Πρόστιμο 150.000 ευρώ για παράνομη επεξεργασία δεδομένων σε server
Απόφαση της Αρχής Προστασίας Δεδομένων κατά της εταιρίας “Aegean Marine Petroleum Network Inc”
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Επεξεργασία δεδομένων προσωπικού χαρακτήρα σε διακομιστή (server) χωρίς την απόδειξη τήρησης των αρχών των άρθρων 5 παρ. 1 και 6 Γενικού Κανονισμού Προστασίας Δεδομένων και κατά παράβαση της αρχής της ασφαλούς επεξεργασίας
Η Αρχή με αφορμή Γνωστοποίηση Περιστατικού Παραβίασης Δεδομένων κατά της εταιρίας “Aegean Marine Petroleum Network Inc” (“AMPNI”), η οποία συνίστατο σε παράνομη πρόσβαση και αντιγραφή του συνόλου του περιεχομένου διακομιστή (server) που περιελάμβανε δεδομένα προσωπικού χαρακτήρα και τον οποίο χρησιμοποιούσαν από κοινού εργαζόμενοι τόσο της ανωτέρω εταιρίας αλλά και άλλων εταιριών του ίδιου Ομίλου όσο και εργαζόμενοι εταιριών εκτός Ομίλου, διερεύνησε τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα προ της αντιγραφής του διακομιστή.
Η Αρχή, με την απόφαση 44/2019, διαπίστωσε ότι η εταιρία ως υπεύθυνος επεξεργασίας δεν είχε συμμορφωθεί προς τις επιταγές του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), δεν είχε λάβει μέτρα συμμόρφωσης κατ’ άρ. 5 και 6 ΓΚΠΔ, δεν είχε σχεδιάσει και εφαρμόσει εσωτερικές πολιτικές και κανονισμούς για τη χρήση των εταιρικών μέσων ηλεκτρονικών επικοινωνιών και δικτύων, για τη δυνατότητα διενέργειας εσωτερικών ελέγχων και για την υποχρέωση ενημέρωσης των υποκειμένων των δεδομένων.
Επιπλέον δε, η Αρχή διαπίστωσε ότι η από κοινού χρήση του διακομιστή πραγματοποιούνταν κατά παράβαση της αρχής της ασφαλούς επεξεργασίας συνεπεία έλλειψης των κατάλληλων τεχνικών και οργανωτικών μέτρων, ιδίως εκείνων που αφορούσαν τον φυσικό και λογικό διαχωρισμό υλικού, λογισμικού και δεδομένων με αποτέλεσμα η εταιρία εν τέλει να αντιγράψει παράνομα το σύνολο του περιεχομένου του διακομιστή.
Μετά τη διαπίστωση των παραβάσεων του ΓΚΠΔ η Αρχή αποφάσισε την κατ’ άρ. 58 παρ. 2 ΓΚΠΔ άσκηση των διορθωτικών της εξουσιών, στη συγκεκριμένη περίπτωση, με την επιβολή διορθωτικών μέτρων και αποφάσισε:
Α. Να δώσει εντολή στην εταιρία όπως εντός τριών (3) μηνών από την παραλαβή της απόφασης, ενημερώνοντας την Αρχή :
i. να καταστήσει σύμφωνες με τις διατάξεις του ΓΚΠΔ τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται τόσο στη χρησιμοποιούμενη όσο και στην αντιγραφείσα υπολογιστική υποδομή.
ii. να λάβει όλα τα αναγκαία μέτρα εσωτερικής συμμόρφωσης και λογοδοσίας προς τις αρχές του άρθρου 5 παρ. 1 και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ.
Β. Να επιβάλει στην εταιρία το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στη συγκεκριμένη περίπτωση σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους εκατόν πενήντα χιλιάδων (150.000,00) ευρώ.
Δείτε αναλυτικά την απόφαση στο dpa.gr