logo-print

Πρόστιμο 50.000 ευρώ στο Υπουργείο Πολιτικής Προστασίας (ΑΠΔΠΧ 43/2024)

Η Αρχή Προστασίας Δεδομένων διαπίστωσε την απουσία συμμόρφωσης με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων

Lawspot.gr

17/12/2024

22/12/2024

Δίκαιο πληροφορικής - E έκδοση
Δίκαιο πληροφορικής - E έκδοση

Την απουσία συμμόρφωσης του Υπουργείου Κλιματικής Κρίσης και Πολιτικής Προστασίας με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων διαπίστωσε η Αρχή Προστασίας Προσωπικών Δεδομένων, επιβάλλοντάς του πρόστιμο που ανήλθε συνολικά στο ύψος των 50.000 ευρώ.

Η έρευνα της Αρχής προέκυψε μετά τη μη ανταπόκριση του Υπουργείου στο ερωτηματολόγιο για τον ορισμό και τη θέση του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ – DPO), το οποίο του απέστειλε στις αρχές Μαΐου του 2023. Υπενθυμίζεται πως το ερωτηματολόγιο αυτό αναπτύχθηκε από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, στο πλαίσιο της συντονισμένης δράσης του για το έτος 2023, και στη συνέχεια υιοθετήθηκε από την Αρχή και απεστάλη σε 31 φορείς του δημοσίου τομέα.

Ένας από τους φορείς αυτούς ήταν και το Υπουργείο Κλιματικής Κρίσης και Πολιτικής Προστασίας, το οποίο δεν ανταποκρίθηκε στα υποβληθέντα αιτήματα της Αρχής, γεγονός που οδήγησε την Αρχή στη διαπίστωση πως το Υπουργείο δεν είχε προβεί σε ανακοίνωση στοιχείων επικοινωνίας ΥΠΔ, ως όφειλε σύμφωνα με το άρθρο 37 ΓΚΠΔ.

Η Αρχή κάλεσε το Υπουργείο όπως παραστεί ενώπιον της Ολομέλειάς της, όπου και αναπτύχθηκαν οι ισχυρισμοί του, ως υπευθύνου επεξεργασίας. Το Υπουργείο αναγνώρισε την καθυστέρηση συμμόρφωσης με τον ΓΚΠΔ, την οποία απέδωσε – μεταξύ άλλων -  «στη διενέργεια αλλαγών ως προς τη δομή και τη σύνθεση του Υπουργείου, καθώς το Υπουργείο είναι νεοσύστατο και σε αυτό μεταφέρθηκε σύνολο αρμοδιοτήτων, θέσεων και προσωπικού».  Παράλληλα, ενημέρωσε την Αρχή πως έχει συνάψει σύμβαση έργου με ανάδοχο εταιρεία για την παροχή συμβουλευτικών υπηρεσιών συμμόρφωσης με τον ΓΚΠΔ.

Διαβάστε επίσης: Πρόστιμο 25.000 ευρώ στο Υπουργείο Αγροτικής Ανάπτυξης για μη ορισμό DPO και μη συνεργασία με την Αρχή (ΑΠΔΠΧ 2/2024)

Η παραδοχή αυτή είχε ως αποτέλεσμα τη διαπίστωση από την Αρχή της παραβίασης σειράς υποχρεώσεων που θέτει ο Γενικός Κανονισμός. Η πρώτη παράβαση αφορούσε την υποχρέωση συνεργασίας με την εποπτική αρχή, σύμφωνα με το άρθρο 31 ΓΚΠΔ, όπως αυτή τελέστηκε με τη μη εμπρόθεσμη υποβολή του ερωτηματολογίου. Σημειώνεται ότι δεν είναι η πρώτη απόφαση της Αρχής για την ίδια παράβαση, στο πλαίσιο της έρευνάς της για τους ΥΠΔ του δημοσίου τομέα. Περαιτέρω, η Αρχή διαπίστωσε και την παραβίαση της υποχρέωσης του δημοσίου φορέα για ορισμό ΥΠΔ, όπως η υποχρέωση αυτή θεσπίζεται από το άρθρο 37 ΓΚΠΔ.

Ακολούθως, η Αρχή διαπίστωσε την παραβίαση πολλαπλών υποχρεώσεων του υπευθύνου επεξεργασίας, λόγω απουσίας συμμόρφωσης με τις απαιτήσεις του ΓΚΠΔ: μη λήψη κατάλληλων μέτρων για την παροχή διαφανούς ενημέρωσης προς τα υποκείμενα των δεδομένων, μη λήψη και εφαρμογή κατάλληλων οργανωτικών μέτρων για την προστασία των προσωπικών δεδομένων και ειδικότερα για τη διασφάλιση της επεξεργασίας των προσωπικών δεδομένων κατά το σχεδιασμό και εξ ορισμού, μη τήρηση αρχείου δραστηριοτήτων και μη λήψη και εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων προκειμένου να διασφαλιστεί το κατάλληλο επίπεδο ασφάλειας έναντι κινδύνων.

Με βάση τις ως άνω διαπιστώσεις, η Αρχή επέβαλε τρια αυτοτελή πρόστιμα, συνολικού ύψους 50.000 ευρώ:

Για την παραβίαση του άρθρου 31 επιβλήθηκε πρόστιμο ύψους 5.000 ευρώ, ενώ για τον μη ορισμό ΥΠΔ το πρόστιμο ανήλθε σε 25.000 ευρώ. Το τρίτο πρόστιμο αφορούσε την παραβίαση των λοιπόν απαιτήσεων συμμόρφωσης που είχε διαπιστωθεί: η Αρχή επέβαλε πρόστιμο συνολικού ύψους 20.000 ευρώ για τις παραβάσεις των άρθρων 12 και 32 παρ. 1 και 2, σε συνδυασμό προς το άρθρο 5 παρ. 1 στοιχ. α’, γ’, και στ’, καθώς και των άρθρων 25 και 30 ΓΚΠΔ.

Διαβάστε επίσης: Πρόστιμο 5.000 ευρώ στον Δήμο Αθηναίων για μη συνεργασία με την Αρχή Προστασίας Δεδομένων (ΑΠΔΠΧ 1/2024)

Απόσπασμα απόφασης:

13. Επειδή στην προκειμένη περίπτωση από τα στοιχεία του φακέλου της υπόθεσης προκύπτει αρχικά ότι ο υπεύθυνος επεξεργασίας δεν προέβη εμπροθέσμως στην υποβολή του ανωτέρω ερωτηματολογίου κατά παράβαση του άρθρου 31 του ΓΚΠΔ.

14. Επειδή επιπροσθέτως, διαπιστώθηκε ότι ο υπεύθυνος επεξεργασίας δεν είχε ορίσει ΥΠΔ από την ίδρυσή του. Κατόπιν της κλήσης στην Αρχή, ο υπεύθυνος επεξεργασίας όρισε ΥΠΔ για το σύνολο της Γενικής Γραμματείας αναφέροντας παράλληλα την ύπαρξη του ορισμένου ΥΠΔ για το ΠΣ, χωρίς ωστόσο να έχει γνωστοποιήσει τα στοιχεία τους στην Αρχή, αλλά ούτε να έχει αναρτήσει στην ιστοσελίδα τις σχετικές απαραίτητες πληροφορίες επικοινωνίας, ενώ δεν έχει οριστεί ΥΠΔ για το Υπουργείο συνολικά ως υπεύθυνο επεξεργασίας. Ο υπεύθυνος επεξεργασίας κατά τις κλήσεις αλλά και στα υπομνήματά του επικαλέστηκε ζητήματα πόρων και κάλυψης λειτουργικών θέσεων.

15. Επειδή ο υπεύθυνος επεξεργασίας δεν είχε προβεί από τη στιγμή της σύστασής του σε συμμόρφωση με το ΓΚΠΔ, και ειδικότερα προς τις διατάξεις του Κεφαλαίου 3 και 4 του ΓΚΠΔ, όπως είχε υποχρέωση με βάση την αρχή της λογοδοσίας, ενώ όπως φαίνεται από το ιστορικό της παρούσας, ο υπεύθυνος επεξεργασίας απλώς επικαλέστηκε το γεγονός ότι είναι νεοσύστατο Υπουργείο και επομένως δεν είχε προλάβει να συμμορφωθεί ως προς τις επιταγές του ΓΚΠΔ, και προέβη στη σύναψη σύμβασης με εξωτερικό συνεργάτη με σκοπό την ανωτέρω συμμόρφωση κατόπιν της κλήσης από την Αρχή. Συγκεκριμένα, ο υπεύθυνος επεξεργασίας δεν είχε λάβει τα κατάλληλα μέτρα ώστε να παρέχει στα υποκείμενα διαφανή ενημέρωση σε σχέση με τα δικαιώματά τους, όπως και διευκόλυνση για την άσκηση αυτών, όπως προβλέπεται στο άρθρο 12 του ΓΚΠΔ. Επιπροσθέτως, ο υπεύθυνος επεξεργασίας δεν είχε προβεί στην λήψη και εφαρμογή κατάλληλων οργανωτικών μέτρων για την προστασία των προσωπικών δεδομένων και ειδικότερα για τη διασφάλιση της επεξεργασίας των προσωπικών δεδομένων κατά το σχεδιασμό και εξ ορισμού για τα προσωπικά δεδομένα που είναι απαραίτητα για το εκάστοτε σκοπό επεξεργασίας, όπως προβλέπεται στο άρθρο 25 του ΓΚΠΔ. Εξάλλου, ο υπεύθυνος επεξεργασίας δεν είχε προβεί στην τήρηση του αρχείου δραστηριοτήτων όπως προβλέπεται από το άρθρο 30 του ΓΚΠΔ. Επιπλέον, ο υπεύθυνος επεξεργασίας δεν είχε προβεί στην λήψη και εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων προκειμένου να διασφαλιστεί το κατάλληλο επίπεδο ασφάλειας έναντι κινδύνων, σύμφωνα με τις επιταγές του άρθρου 32 του ΓΚΠΔ.

16. Επειδή, όπως προκύπτει από τα ανωτέρω, διαπιστώθηκαν οι παραβάσεις των άρθρων 12, 32, 25 και 30, συνάγεται και παραβίαση των αρχών νομιμότητας όπως αυτές περιγράφονται στο άρθρο 5 παρ. 1 εδ. α’, 5 παρ. 1 εδ γ’ και 5 παρ. 1 εδ. στ’, δεδομένου ότι η παράβαση των υποχρεώσεων του υπευθύνου επεξεργασίας για διαφανή ενημέρωση, για την προστασία δεδομένων από τον σχεδιασμό και εξ’ ορισμού και για την ασφάλεια καθώς και για την τήρηση αρχείων δραστηριοτήτων απορρέουν από τις ως άνω αρχές του άρθρου 5 και τεκμηριώνουν παράβαση αυτών.

17. Επειδή, βάσει των ανωτέρω η Αρχή διαπιστώνει τα εξής:

α. Παράβαση του άρθρου 31 αναφορικά με τη συνεργασία του υπεύθυνου επεξεργασίας με την Αρχή.

β. Παράβαση του άρθρου 37 αναφορικά με το μη ορισμό ΥΠΔ.

γ. Παράβαση του άρθρου 12 αναφορικά με τη διαφανή ενημέρωση, την ανακοίνωση και τις ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και του άρθρου 32 παρ. 1 και παρ. 2 σχετικά με την ασφάλεια της επεξεργασίας σε συνδυασμό με το άρθρο 5 παρ. 1 εδ. α’, 5 παρ. 1 εδ. γ’ και 5 παρ. 1 εδ. στ’ αναφορικά με την διαφάνεια, ελαχιστοποίηση, ακεραιότητα και εμπιστευτικότητα των δεδομένων.

δ. Παράβαση του άρθρου 25 αναφορικά με την προστασία των δεδομένων από τον σχεδιασμό και εξ ορισμού.

ε. Παράβαση του άρθρου 30 αναφορικά με την τήρηση αρχείου δραστηριοτήτων.

[...]

Για τους λόγους αυτούς

Η Αρχή λαμβάνοντας υπόψη τα παραπάνω:

α) Επιβάλλει με βάση το άρθρο 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, διοικητικό πρόστιμο στο Υπουργείο Κλιματικής Κρίσης και Πολιτικής Προστασίας συνολικού ύψους 5.000 ευρώ, για την παράβαση του άρθρου 31 του Κανονισμού (ΕΕ) 2016/679.

β) Επιβάλλει με βάση το άρθρο 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, διοικητικό πρόστιμο στο Υπουργείο Κλιματικής Κρίσης και Πολιτικής Προστασίας συνολικού ύψους 25.000 ευρώ, για την παράβαση του άρθρου 37 του Κανονισμού (ΕΕ) 2016/679.

γ) Επιβάλλει με βάση το άρθρο 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, διοικητικό πρόστιμο στο Υπουργείο Κλιματικής Κρίσης και Πολιτικής Προστασίας συνολικού ύψους 20.000 ευρώ, για τις παραβάσεις των άρθρων 12 και 32 παρ. 1 και 2, σε συνδυασμό προς το άρθρο 5 παρ. 1 στοιχ. α’, γ’, και στ’, καθώς και των άρθρων 25 και 30 του Κανονισμού (ΕΕ) 2016/679.

Το πλήρες κείμενο της απόφασης ΑΠΔΠΧ 43/2024 είναι διαθέσιμο στον ιστότοπο της Αρχής

Σχετικοί Τομείς

Λέξεις-Κλειδιά

ΔΗΜΟΦΙΛΗ ΝΕΑ

ΕΝΦΙΑ 2025: Αναρτήθηκαν 7,15 εκατ. εκκαθαριστικά

Προκηρύχθηκε ο νέος Εισαγωγικός Διαγωνισμός της Εθνικής Σχολής Δημόσιας Διοίκησης και Αυτοδιοίκησης

Εκπρόθεσμη άσκηση έφεσης λόγω ανωτέρας βίας: Αδυναμία πρόσβασης στη δικογραφία (ΑΠ 1252/2024)

Απώτατο χρονικό σημείο για την υποβολή αιτήματος επίδειξης εγγράφων (ΣτΕ 336-347/2025)

ΔΗΜΟΦΙΛΗΣ ΑΡΘΡΟΓΡΑΦΙΑ

Έληξε το συμβόλαιο της μίσθωσής μου. Τι να κάνω; (Mέρος Α' - Μίσθωση Κατοικίας)

Τι είναι εξύβριση, δυσφήμιση και συκοφαντική δυσφήμιση;

Τα parking στην πυλωτή της πολυκατοικίας

Ενδικοφανής προσφυγή: Απαντήσεις στα συχνότερα ερωτήματα
Η αναγκαστική ομοδικία στην πολιτική δίκη, 2η έκδ.,
Η αστική ευθύνη του οδικού μεταφορέα κατά τη CMR