Λογαριασμός χωρίς password: Παραβίαση των άρθρων 25 και 32 ΓΚΠΔ
Η είσοδος στην εφαρμογή της φινλανδικής ομοσπονδίας γκολφ γινόταν με τον αριθμό μέλους και τα στοιχεία του χρήστη
Επίπληξη απηύθυνε η φινλανδική αρχή προστασίας δεδομένων στην Εθνική Ομοσπονδία Γκολφ της χώρας για τα τεχνικά και οργανωτικά μέτρα ασφάλειας που είχαν ληφθεί κατά τον σχεδιασμό της εφαρμογής eBirdie.
Η εποπτική αρχή δέχθηκε την καταγγελία υποκειμένου των δεδομένων, το οποίο κατήγγειλε την παραβίαση των δεδομένων του από τη μη λήψη επαρκών μέτρων ασφάλειας για την είσοδο των χρηστών της εφαρμογής στους λογαριασμούς τους. Η αρχή αρχειοθέτησε την καταγγελία, ως προς το σκέλος της παραβίασης δεδομένων, ζήτησε ωστόσο τις απόψεις της Ομοσπονδίας, ως υπευθύνου επεξεργασίας, σχετικά με τα μέτρα ασφάλειας που είχαν ληφθεί για την αποτροπή μη εξουσιοδοτημένης πρόσβασης στους λογαριασμούς χρηστών.
Σύμφωνα με την απάντηση της Ομοσπονδίας, η είσοδος στην εφαρμογή eBirdie γινόταν χωρίς τη χρήση password, με την εισαγωγή αναγνωριστικών στοιχείων των μελών της και ειδικότερα του αριθμού μέλους, των πρώτων δύο γραμμάτων του ονόματος και του επωνύμου, καθώς και του έτους γέννησης του χρήστη.
Η Ομοσπονδία ισχυρίστηκε πως τα στοιχεία αυτά ήταν επαρκή για τη διασφάλιση της εμπιστευτικότητας των πληροφοριών και την αποτροπή του κινδύνου μη εξουσιοδοτημένης πρόσβασης στους λογαριασμούς, καθώς τρίτα πρόσωπα δεν θα μπορούσαν να γνωρίζουν τα αναγνωριστικά στοιχεία των χρηστών, ούτε και θα ήταν σε θέση να τα εντοπίσουν κατόπιν αναζήτησης. Παράλληλα, ο υπεύθυνος επεξεργασίας επικαλέστηκε τον εξαιρετικά χαμηλό κίνδυνο για τα δικαιώματα των χρηστών, καθώς οι πληροφορίες που τηρούνταν εντός της εφαρμογής δεν αφορούσαν παρά στοιχεία της δραστηριότητάς τους ως μελών της Ομοσπονδίας.
Η φινλανδική αρχή διαπίστωσε την παραβίαση δύο θεμελιωδών απαιτήσεων του Γενικού Κανονισμού Προστασίας Δεδομένων: της προστασίας δεδομένων από τον σχεδιασμό και της ασφάλειας της επεξεργασίας.
Η αρχή υπενθύμισε την πρόβλεψη του άρθρου 25 παρ.1 ΓΚΠΔ, σύμφωνα με το οποίο «Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων», καθώς και του άρθρου 32 παρ.1 ΓΚΠΔ, που ορίζει ότι: «Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση: […] β) της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,».
Σύμφωνα με την απόφαση της εποπτικής αρχής, η Ομοσπονδία δεν είχε εκπληρώσεις τις υποχρεώσεις της βάσει των ως άνω διατάξεων, καθώς είχε δημιουργήσει μια εφαρμογή στην οποία οι χρήστες – υποκείμενα των δεδομένων μπορούσαν να εισέρχονται χωρίς τη χρήση password, εισάγοντας απλά προσωπικά αναγνωριστικά τους στοιχεία.
Τα στοιχεία αυτά ήταν γράμματα από τα ονοματεπώνυμά τους, η ημερομηνία γέννησης, καθώς και ο αριθμός μέλους στην Ομοσπονδία, ο οποίος αποτελείτο από τον κωδικό της χώρας και του τοπικού συλλόγου, με τα στοιχεία του μέλους να είναι τα τελευταία τέσσερα ψηφία. Η ρύθμιση αυτή διαμόρφωνε ένα μηχανισμό εισόδου, ο οποίος θα μπορούσε εύκολα να παραβιαστεί από τρίτους, που θα αποκτούσαν πρόσβαση στα προσωπικά δεδομένα των χρηστών.
Η φινλανδική αρχή απηύθυνε επίπληξη στην Ομοσπονδία και της έδωσε εντολή να λάβει όλα τα αναγκαία τεχνικά και οργανωτικά μέτρα για την αντιμετώπιση των προβλημάτων που εντοπίστηκαν. Τα μέτρα αυτά δεν υποδείχθηκαν από την αρχή, αλλά αφέθηκαν στη διακριτική ευχέρεια του υπευθύνου επεξεργασίας, ο οποίος έλαβε προθεσμία προκειμένου να τα επιλέξει, εφαρμόσει και παρουσιάσει στην εποπτική αρχή.