Πρόστιμο ύψους 9 εκατομμυρίων ευρώ σε Cosmote και ΟΤΕ για παραβιάσεις της νομοθεσίας για τα προσωπικά δεδομένα
Το πρόστιμο αφορά την υπόθεση κυβερνοεπίθεσης που είχε δεχθεί η εταιρεία το 2020
Πρόστιμο συνολικού ύψους 9.250.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στις εταιρείες Cosmote και ΟΤΕ.
Όπως αναφέρεται στην απόφαση, κατόπιν γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων εκ μέρους της εταιρείας COSMOTE (διαρροή δεδομένων κλήσεων συνδρομητών το χρονικό διάστημα 1/9/2020 – 5/9/2020), η Αρχή διερεύνησε τις συνθήκες υπό τις οποίες έλαβε χώρα το περιστατικό και, στο πλαίσιο αυτό, εξέτασε τη νομιμότητα της τήρησης των αρχείων που διέρρευσαν καθώς και τα εφαρμοζόμενα μέτρα ασφάλειας.
Πρόκειται για ένα αρχείο που περιλαμβάνει δεδομένα κίνησης των συνδρομητών και το οποίο, αφενός μεν, τηρείται με σκοπό τη διαχείριση προβλημάτων και βλαβών για 90 ημέρες από την πραγματοποίηση των κλήσεων, αφετέρου δε, το αρχείο «ανωνυμοποιείται» (ψευδωνυμοποιείται) και τηρείται για 12 μήνες με σκοπό την εξαγωγή στατιστικών συμπερασμάτων προς τον βέλτιστο σχεδιασμό του δικτύου κινητής τηλεφωνίας, αφού εμπλουτιστεί με επιπλέον απλά προσωπικά δεδομένα.
Από τη διερεύνηση της υπόθεσης προέκυψε παράβαση, εκ μέρους της COSMOTE, της αρχής της νομιμότητας (άρθρα 5 και 6 ν. 3471/2006) και της αρχής της διαφάνειας, λόγω ασαφούς και ελλιπούς ενημέρωσης των συνδρομητών (άρθρο 5 παρ. 1 α) και 13-14 Γενικού Κανονισμού Προστασίας Δεδομένων - ΓΚΠΔ), παράβαση του άρθρου 35 παρ. 7 ΓΚΠΔ λόγω πλημμελούς διεξαγωγής της εκτίμησης αντικτύπου, παράβαση των άρθρων 25 παρ. 1 λόγω πλημμελούς υλοποίησης της διαδικασίας ανωνυμοποίησης, παράβαση του άρθρου 12 παρ. 1 ν. 3471/2006 λόγω ελλιπών μέτρων ασφαλείας και παράβαση του άρθρου 5 παρ. 2 σε συνδυασμό με τα άρθρα 26 και 28 λόγω μη κατανομής των ρόλων των δύο εταιρειών σε σχέση με την υπό κρίση επεξεργασία.
Επίσης, διαπιστώθηκε, εκ μέρους του ΟΤΕ, παράβαση του άρθρου 32 ΓΚΠΔ λόγω ελλιπών μέτρων ασφάλειας σε σχέση με τις υποδομές που χρησιμοποιήθηκαν στο πλαίσιο του περιστατικού.
Για τις διαπιστωθείσες παραβάσεις και λαμβανομένων υπόψη των κριτηρίων του άρθρου 83 παρ. 2 ΓΚΠΔ, η Αρχή επέβαλε στην COSMOTE πρόστιμο συνολικού ύψους 6.000.000 €, καθώς και κύρωση διακοπής της επεξεργασίας και καταστροφής δεδομένων, ενώ στον ΟΤΕ επέβαλε πρόστιμο ύψους 3.250.000 €.
Απόσπασμα της απόφασης
21. Από την εξέταση των στοιχείων του φακέλου προκύπτουν ευπάθειες σε σχέση με τα μέτρα ασφάλειας, οι οποίες αξιοποιήθηκαν άμεσα ή έμμεσα από τον επιτιθέμενο κατά το περιστατικό. Οι ευπάθειες αυτές αναπτύσσονται αναλυτικά στο εμπιστευτικό παράρτημα Γ της απόφασης.
Διαπιστώνονται συνολικά έξι ευπάθειες, εκ των οποίων η πρώτη αφορά σύστημα το οποίο δεν σχετίζεται με τις υπό εξέταση δραστηριότητες επεξεργασίας – ωστόσο, λόγω ιδίως όχι ορθών ρυθμίσεων στις ενδότερες δικτυακές συνδέσεις, η πρώτη αυτή ευπάθεια αποτέλεσε το εφαλτήριο για τον εισβολέα. Στις λοιπές ευπάθειες, διαπιστώνεται ότι η COSMOTE αποτελεί τον υπεύθυνο επεξεργασίας σε σχέση με τους δύο επιδιωκόμενους σκοπούς του αρχείου που αποτέλεσε αντικείμενο του περιστατικού. Όσον αφορά τα μέτρα ασφάλειας, διαπιστώνεται ότι η ευθύνη της COSMOTE δεν είναι αποκλειστική. Τα μέτρα ασφάλειας λαμβάνονται, στην πράξη, από κοινού με τον ΟΤΕ. Τούτο προκύπτει από την ανάλυση των ευπαθειών των πολιτικών και των σχετικών ρυθμίσεων που οδήγησαν στην παραβίαση της ασφάλειας σε σχέση με τις εν λόγω επεξεργασίες. Ο καθορισμός των μέτρων ασφάλειας ανήκει στον ΟΤΕ, σε μεγάλο βαθμό, σε σχέση με τις ευπάθειες με αριθμό 2 (σε μεγάλο βαθμό), 3 (σε μεγάλο βαθμό), 4 (σε μεγάλο βαθμό καθώς σχετίζεται με προσωπικό του ΟΤΕ) και σε μικρότερο βαθμό (αλλά όχι αμελητέο) στις ευπάθειες 5 και 6 που σχετίζονται περισσότερο με τις δραστηριότητες επεξεργασίας της COSMOTE.
Όσον αφορά τη λήψη των μέτρων ασφάλειας, καθώς ο καθορισμός τους ανήκει ουσιωδώς τόσο στην COSMOTE, όσο και στον ΟΤΕ, με βαθμό ευθύνης όπως περιγράφεται παραπάνω, προκύπτει παράβαση του άρθρου 12 παρ. 1 του ν. 3471/2006, όσον αφορά την COSMOTE, ενώ για τον ΟΤΕ προκύπτει παράβαση του άρθρου 32 παρ. 1 του ΓΚΠΔ.
22. Οι δύο εταιρείες υποστηρίζουν ότι δρουν από κοινού μεν ως προς τα συστήματα, αλλά ανεξάρτητα η κάθε μία. Το μοντέλο αυτό λειτουργίας, στο οποίο η συνεργασία των εταιρειών είναι μη καταγεγραμμένη, τουλάχιστον σε σχέση με τα μέτρα ασφάλειας, δεν είναι σύμφωνο με την αρχή της λογοδοσίας του άρθρου 5 παρ. 2 του ΓΚΠΔ. Και τούτο γιατί δεν προκύπτει ποιος από τους συνεργαζόμενους φορείς έχει την ευθύνη για την επιλογή των ουσιωδών μέσων της επεξεργασίας, και ως εκ τούτου δεν είναι δυνατό να αποδειχθεί η συμμόρφωση των φορέων σε σχέση με την τήρηση της αρχής της ακεραιότητας και εμπιστευτικότητας που προβλέπεται στο άρθρο 5 παρ. 1 εδάφ. στ του ΓΚΠΔ. Η συνεργασία των δύο φορέων και η κατανομή των αρμοδιοτήτων τους θα έπρεπε να βασίζεται είτε σε συμφωνία με βάση το άρθρο 26 του ΓΚΠΔ σε περίπτωση από κοινού ευθύνης είτε σε σύμβαση ή άλλη νομική πράξη με βάση το άρθρο 28 σε περίπτωση ανάθεσης επεξεργασίας. Όπως προέκυψε κατά την ακρόαση των δύο εταιρειών, τέτοιες συμφωνίες δεν υπάρχουν.
23. Η COSMOTE προέβη αμέσως σε γνωστοποίηση του εν λόγω περιστατικού παραβίασης στην Αρχή, σύμφωνα με τα οριζόμενα στο άρθρο 12 του Ν. 3471/2006, ενώ επίσης προέβη, σε εύλογο χρόνο, μετά την αρχική διερεύνηση και αντιμετώπιση του περιστατικού, σε ενημέρωση των συνδρομητών της και άλλων προσώπων, όπως περιγράφεται στο ιστορικό της παρούσας. Η COSMOTE, από κοινού με τον ΟΤΕ όπου ήταν απαραίτητο, προέβη σε διορθωτικά μέτρα για την ασφάλεια της επεξεργασίας, ώστε να αντιμετωπισθούν επαρκώς, κατά την κρίση της Αρχής και για αυτό το χρόνο, οι ευπάθειες που αναφέρθηκαν νωρίτερα. Επισημαίνεται πάντως ότι οι δύο εταιρείες οφείλουν να διαθέτουν και να εφαρμόζουν ανελλιπώς διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.
Δείτε αναλυτικά την απόφαση στο dpa.gr