Πρόστιμο σε δικαστήριο για τη μη ενημέρωση υποκειμένων και αρχής για παραβίαση δεδομένων
Ο φάκελος με προσωπικά δεδομένα που ταχυδρομήθηκε από το δικαστήριο της Κρακοβίας παραδόθηκε ανοιγμένος
Διοικητικό πρόστιμο 2.283 ευρώ επέβαλε η πολωνική αρχή προστασίας δεδομένων (UODO) σε δικαστήριο για την παραβίαση των υποχρεώσεων των άρθρων 33 και 34 ΓΚΠΔ σχετικά με την ενημέρωση για περιστατικό παραβίασης δεδομένων.
Ο UODO ενημερώθηκε από το Υπουργείο Εξωτερικών της χώρας πως φάκελος που περιελάμβανε προσωπικά δεδομένα πολιτών σχετικά με δικαστικές υποθέσεις τους είχε παραδοθεί σε προξενείο της Πολωνίας στο Ηνωμένο Βασίλειο ανοιγμένος και χωρίς όλα τα έγγραφα που περιλαμβάνονταν σε αυτόν. Το Προξενείο είχε ενημερώσει σχετικά τον αποστολέα του φακέλου, που ήταν δικαστήριο της Κρακοβίας, αλλά και το Υπουργείο Εξωτερικών, το οποίο με τη σειρά του ενημέρωσε την εποπτική αρχή.
Η παράδοση του φακέλου στην κατάσταση αυτή συνιστούσε παραβίαση δεδομένων, η οποία όμως δεν είχε γνωστοποιηθεί από το δικαστήριο, με την ιδιότητά του ως υπευθύνου επεξεργασίας, στην εποπτική αρχή, όπως το άρθρο 33 ΓΚΠΔ προβλέπει.
Ο φάκελος περιελάμβανε τα προσωπικά δεδομένα επτά (7) φυσικών προσώπων, με τα τέσσερα (4) εξ αυτών να αντιμετωπίζουν υψηλό κίνδυνο ως αποτέλεσμα της διαρροής των δεδομένων τους. Τα δεδομένα αυτά συνίσταντο στα ονόματα και τους αριθμούς ταυτότητας των προσώπων, την κατάσταση υγείας διαδίκου ή ακόμη και την ψυχολογική αξιολόγηση των τέκνων της.
Ο UODO ζήτησε από το δικαστήριο την εκτίμηση κινδύνου που έκανε, με βάση την οποία αποφάσισε να μη γνωστοποιήσει την παραβίαση στην αρχή και να μην την ανακοινώσει στα υποκείμενα των δεδομένων, για να λάβει την απάντηση πως ως δικαστήριο δεν ελέγχεται από την αρχή προστασίας δεδομένων, αλλά από τον Πρόεδρο Εφετών της Κρακοβίας.
Υπενθυμίζεται πως, σύμφωνα με την παρ.3 του άρθρου 55: «Οι εποπτικές αρχές δεν είναι αρμόδιες να ελέγχουν πράξεις επεξεργασίας οι οποίες διενεργούνται από δικαστήρια στο πλαίσιο της δικαστικής τους ιδιότητας».
Ο ισχυρισμός αυτός δεν έγινε δεκτός από την πολωνική αρχή, η οποία έκρινε πως η επίμαχη πράξη επεξεργασίας δεν διενεργήθηκε στο πλαίσιο της δικαστικής ιδιότητας του δικαστηρίου, αλλά της διοικητικής λειτουργίας του, ως εκ τούτου βρίσκεται εκτός της εξαίρεσης του άρθρου 55 παρ.3 ΓΚΠΔ και εντός της αρμοδιότητάς της.
Από την έρευνα που διενήργησε ο UODO προέκυψε σειρά εσφαλμένων αποφάσεων και ενεργειών που ακολούθησαν την παραβίαση δεδομένων. Όπως ανέφερε χαρακτηριστικά η πολωνική αρχή, ο Υπεύθυνος Προστασίας Δεδομένων του δικαστηρίου εκτίμησε εσφαλμένα το επίπεδο κινδύνου για τα υποκείμενα των δεδομένων, βασιζόμενος στο σκεπτικό πως τα έγγραφα είχαν συνταχθεί στα πολωνικά, ως εκ τούτου η διαρροή των δεδομένων στο Ηνωμένο Βασίλειο δεν προκαλούσε υψηλό κίνδυνο, αφού εκεί δεν μιλούν και δεν διαβάζουν πολωνικά. Κατά την άποψη του Προέδρου της εποπτικής αρχής ένα τέτοιο σκεπτικό δεν μπορεί να περιορίσει το επίπεδο του κινδύνου. Όπως επεσήμανε, στην εποχή των εργαλείων της αυτόματης μετάφρασης εγγράφων δεν μπορεί κάποιος να στέκεται στην ομιλούμενη γλώσσα, ενώ άλλωστε πρέπει να ληφθεί υπόψιν πως σημαντικός αριθμός των κατοίκων του Ηνωμένου Βασιλείου προέρχεται από την Πολωνία.