Υπεβλήθη καταγγελία στο Γραφείο μου σχετικά με απώλεια φακέλου, τον οποίο τοποθέτησε σε κουτί στην είσοδο Κέντρου Εξυπηρέτησης του Πολίτη (ΚΕΠ), αφού λόγω των μέτρων κατά της πανδημίας COVID-19, η παράδοση φακέλων/αιτήσεων στα ΚΕΠ, τη συγκεκριμένη περίοδο γινόταν με τοποθέτηση των φακέλων/αιτήσεων σε κουτιά που βρίσκονταν στην είσοδο των ΚΕΠ.

Μετά την παράδοση του φακέλου, όταν ο καταγγέλλων επικοινώνησε με το ΚΕΠ, ενημερώθηκε ότι η αίτησή του δεν μπορούσε να βρεθεί και ακολούθως, προέβη σε καταγγελία στην Αστυνομία. Ο Προϊστάμενος του ΚΕΠ, πέραν των άλλων ενεργειών στις οποίες προέβη, επικοινώνησε με την αρμόδια Υπηρεσία και συμφωνήθηκε όπως ο καταγγέλλων υποβάλει νέα αίτηση, η οποία έλαβε ως ημερομηνία καταχώρισης την ημερομηνία επίσκεψης του καταγγέλλοντος στο ΚΕΠ. Εν τέλει, η νέα αίτηση του καταγγέλλοντος εγκρίθηκε.

Την ευθύνη για την εποπτεία, συντονισμό και ανάπτυξη του θεσμού των ΚΕΠ έχει το Τμήμα Δημόσιας Διοίκησης και Προσωπικού, από το οποίο ζήτησα όπως προβεί στη Γνωστοποίηση του περιστατικού παραβίασης στο Γραφείο μου, συμπληρώνοντας το σχετικό έντυπο.

Στο πλαίσιο της διερεύνησης της καταγγελίας, διαπίστωσα ότι το Τμήμα Δημόσιας Διοίκησης και Προσωπικού παραβίασε:

(α) το άρθρο 5(1)(στ) του Κανονισμού, αφού τα δεδομένα που περιέχονταν στον φάκελο δεν υποβλήθηκαν σε επεξεργασία κατά τρόπο που εγγυόταν την ενδεδειγμένη ασφάλειά τους,

(β) το άρθρο 24(1) του Κανονισμού, αφού το Τμήμα δεν υλοποίησε κατάλληλα και αποτελεσματικά μέτρα και ούτε ήταν σε θέση να αποδείξει την αποτελεσματικότητα των μέτρων που έλαβε,

(γ) το άρθρο 32(1) του Κανονισμού, αφού κατά τον σχεδιασμό και κατάρτιση της διαδικασίας παράδοσης φακέλων/αιτήσεων, δεν λήφθηκαν υπόψιν οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, και

(δ) το άρθρο 33(1) του Κανονισμού, αφού η Γνωστοποίηση δεν υποβλήθηκε στο Γραφείο μου εντός του χρονικού πλαισίου που ορίζεται στο άρθρο 33(1) του Κανονισμού.

Λαμβάνοντας υπόψιν μετριαστικούς και επιβαρυντικούς παράγοντες οι οποίοι αφορούσαν στο περιστατικό, επέβαλα στο Τμήμα Δημόσιας Διοίκησης και Προσωπικού, Επίπληξη για την παραβίαση των ανωτέρω άρθρων του Κανονισμού.

Για ολόκληρη την απόφαση πατήστε εδώ.

Γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων από την NAGA Markets Europe Ltd

Υπεβλήθη στο Γραφείο μου Γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων από την NAGA Markets Europe Ltd (εφεξής η «Εταιρεία»), σύμφωνα με την οποία τον Μαίο του 2021, ένα άγνωστο πρόσωπο παραβίασε βάση δεδομένων της Εταιρείας η οποία περιείχε δεδομένα περίπου 342.000 πελατών όπως ονοματεπώνυμα, ταχυδρομικές διευθύνσεις, διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμοί τηλεφώνου.

Με την ολοκλήρωση της διερεύνησης του περιστατικού διαπίστωσα παραβίαση των άρθρων 5(1)(στ) και 32(1)(β) και (δ) του Κανονισμού και επέβαλα διοικητική κύρωση προστίμου ύψους €9.000

Γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα από τον ΟΚΥπΥ, σχετικά με απώλεια Ιατρικού Φακέλου στο Γενικό Νοσοκομείο Λάρνακας

Υπεβλήθη στο Γραφείο μου από τον Οργανισμό Κρατικών Υπηρεσιών Υγείας, Γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα, σχετικά με απώλεια ιατρικού φακέλου στο Γενικό Νοσοκομείο Λάρνακας. Σύμφωνα με το ιστορικό επισκέψεων της ασθενούς, η ασθενής είχε επισκεφθεί το Νοσοκομείο για να προβεί σε συγκεκριμένη εξέταση, και ο ιατρικός της φάκελος ήταν διαθέσιμος. Ωστόσο, στην επόμενη επίσκεψη της ασθενούς, ο ιατρικός της φάκελος δεν βρέθηκε.

Λόγω του περιστατικού παραβιάστηκαν τα ακόλουθα δεδομένα: ονοματεπώνυμο, αριθμός ταυτότητας, μοναδικός αριθμός φακέλου, ημερομηνία γέννησης, διεύθυνση επικοινωνίας, αριθμός τηλεφώνου, γενετικά δεδομένα και δεδομένα υγείας. Ο ιατρικός φάκελος περιελάμβανε ιατρικές διαγνώσεις, θεραπείες, φαρμακευτικές αγωγές και ιατρικά αποτελέσματα.

Δεν έχουν εξακριβωθεί οι συνθήκες απώλειας του φακέλου και οι προσπάθειες ανεύρεσής του από το προσωπικό του Νοσοκομείου απέβησαν άκαρπες. Ωστόσο, ο Οργανισμός με σκοπό την αποκατάσταση της ζημιάς, την οποία υπέστη η ασθενής προχώρησε μετά και τη σύμφωνη γνώμη της, σε μερική ανάκτηση του ιατρικού φακέλου της, για όσες ιατρικές πράξεις είχαν εκτελεστεί μετά την εφαρμογή του Γενικού Συστήματος Υγείας (ΓεΣΥ). Οι ιατρικές πράξεις προγενέστερα του ΓεΣΥ δεν είναι δυνατό να αποκατασταθούν.

Στο πλαίσιο διερεύνησης της Γνωστοποίησης, διαπίστωσα ότι ο Οργανισμός Κρατικών Υπηρεσιών Υγείας παραβίασε:

(α) το άρθρο 5(1)(στ) του Κανονισμού, αφού δεν τηρήθηκε η αρχή της ακεραιότητας και εμπιστευτικότητας,

(β) του άρθρο 24(1) του Κανονισμού, αφού δεν εφαρμόστηκαν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται και να μπορεί να αποδεικνύεται ότι η επεξεργασία διενεργήθηκε σύμφωνα με τον Κανονισμό,

(γ) το άρθρο 32(1) του Κανονισμού, αφού δεν εφαρμόζονταν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, και

(δ) το άρθρο 33(1) του Κανονισμού, αφού η Γνωστοποίηση δεν υποβλήθηκε στο Γραφείο μου εντός του χρονικού πλαισίου που ορίζεται στο άρθρο 33(1) του Κανονισμού.

Λαμβάνοντας υπόψιν επιβαρυντικούς και μετριαστικούς παράγοντες, οι οποίοι αφορούσαν στο περιστατικό, μεταξύ άλλων το γεγονός ότι το περιστατικό αυτό αποτελούσε την πρώτη, από τη σύσταση του ΟΚΥπΥ, περίπτωση Γνωστοποίησης περιστατικού προς το Γραφείο μου που αφορά σε απώλεια φακέλου για το οποίο διαπίστωσα παραβίαση και εξέδωσα Απόφαση, αλλά κυρίως το γεγονός ότι το Γραφείο μου αξιολογεί, στο πλαίσιο ειδικού ελέγχου, το επίπεδο προστασίας δεδομένων που παρέχει ο Οργανισμός, έκρινα ότι το διοικητικό πρόστιμο δεν αποτελούσε, τη δεδομένη στιγμή, ενδεικνυόμενη κύρωση, και για τον λόγο αυτό, επέβαλα στον Οργανισμό Κρατικών Υπηρεσιών Υγείας, Επίπληξη για την παραβίαση των άρθρων 5(1)(στ), 24(1) και 32(1) του Κανονισμού και Επίπληξη για την παραβίαση του άρθρου 33(1) του Κανονισμού.

Καταγγελία για μη ικανοποίηση δικαιώματος πρόσβασης εντός ενός μηνός

Υπεβλήθη καταγγελία στη Γαλλική Εποπτική Αρχή εναντίον της εταιρείας Tarlun Limited (εφεξής η «Καθ’ ης»), σχετικά με την μη ικανοποίηση δικαιώματος πρόσβασης εντός του χρονικού διαστήματος που ορίζει ο Κανονισμός (Άρθρο 12(3)). Λαμβάνοντας υπόψη ότι η Καθ’ ης έχει την κύρια εγκατάσταση της στην Κύπρο, το Γραφείο μου ανέλαβε την διερεύνηση της καταγγελίας.

Η καταγγέλλουσα δήλωσε ότι χρεώθηκε για συνδρομητικές υπηρεσίες προς όφελος της ιστοσελίδας www.funnycuistot.com, ενώ ανέφερε ότι δεν θυμόταν να είχε εγγραφεί σε αυτήν την ιστοσελίδα. Κατόπιν αυτού, άσκησε το δικαίωμα πρόσβασής της για να προσδιορίσει ποια δεδομένα φυλάσσονταν για αυτήν και από πού συλλέχθηκαν τα δεδομένα. Επιπλέον, δέχτηκε μερική επιστροφή χρημάτων, αλλά δεν είχε λάβει απάντηση σχετικά με το αίτημα πρόσβασης. Αφού δεν έλαβε τις ζητούμενες πληροφορίες, υπέβαλε καταγγελία σχετικά με την αποτυχία του υπεύθυνου επεξεργασίας να εκπληρώσει το αίτημα.

Το Γραφείο μου ζήτησε τις θέσεις της Καθ’ ης για τα πιο πάνω, η οποία παραδέχθηκε ότι ο υπάλληλος που έλαβε το αίτημα δεν έδωσε την κατάλληλη προσοχή, αφού δεν εφαρμόστηκαν οι σωστές διαδικασίες για την ικανοποίηση αιτημάτων πρόσβασης. Μόλις αντιλήφθηκε το λάθος, προχώρησε με την ικανοποίηση του αιτήματος του καταγγέλλοντος.

Έλαβα υπόψη τα γεγονότα και τις θέσεις της Καθ’ ης, διαπίστωσα παραβίαση του Άρθρου 12(3), αφού δεν ικανοποιήθηκαν τα αιτήματα εντός μηνός και αποφάσισα να απευθύνω Επίπληξη στην Καθ’ ης.

Για ολόκληρη την απόφαση πατήστε εδώ.