Σύμφωνα με τις πρόνοιες του Άρθρου 33 του Κανονισμού, το Συμβούλιο Αποχετεύσεων Λευκωσίας (εφεξής, «ΣΑΛ»), ενημέρωσε το Γραφείο μου για συμβάν που οδήγησε στην παραβίαση της εμπιστευτικότητας εσωτερικού εγγράφου, το οποίο αναφέρετο στο αποτέλεσμα της διερεύνησης καταγγελίας εναντίον υπαλλήλου του ΣΑΛ, σε μέσο μαζικής ενημέρωσης.

Αφού συνεκτίμησα τα περιστατικά του συμβάντος και έχοντας υπόψιν ότι:

(α) είχαν ληφθεί μέτρα για αποτροπή επανάληψης παρόμοιου περιστατικού,

(β) ήταν η πρώτη φορά που το ΣΑΛ ενεργοποιούσε τον μηχανισμό διερεύνησης και η απόκλιση από τη νενομισμένη διαδικασία δεν διαφοροποίησε το αποτέλεσμα,

(γ) η διαρροή φαίνεται να έγινε από τους λήπτες των εμπιστευτικών εγγράφων και όχι από το προσωπικό, και

(δ) ότι δεν αποκαλύφθηκαν προσωπικά δεδομένα επηρεαζόμενων υποκειμένων στο δημοσίευμα (μάρτυρες, υπαλληλικό προσωπικό, καταγγέλλοντας, καταγγελλόμενος),

αποφάσισα όπως μη επιβάλω διοικητική κύρωση προστίμου. Επιβλήθηκε όμως η διοικητική κύρωση της Επίπληξης. Σε περίπτωση επανάληψης παρόμοιου συμβάντος, μετά και τα πρόσθετα μέτρα που έχουν ληφθεί, η αντιμετώπιση από το Γραφείο μου θα είναι αυστηρότερη.

Καταγγελία για μη ικανοποίηση δικαιώματος διαγραφής

Υπεβλήθη καταγγελία στην Ομοσπονδιακή Εποπτική Αρχή της Γερμανίας εναντίον της εταιρείας Freedom Finance Europe Ltd (εφεξής, η «Καθ’ ης»), σχετικά με την μη ικανοποίηση δικαιώματος διαγραφής του Καταγγέλλοντος. Λαμβάνοντας υπόψη ότι η Καθ’ ης έχει την κύρια εγκατάσταση της στην Κύπρο, το Γραφείο μου ανέλαβε την διερεύνηση της καταγγελίας.

Ο Καταγγέλλων δήλωσε ότι είχε ξεκινήσει διαδικασία εγγραφής στην ιστοσελίδα της Καθ’ ης την οποία δεν ολοκλήρωσε και ζήτησε να διαγραφούν όσα στοιχεία συλλέχθηκαν. Αφού δεν έλαβε επιβεβαίωση ότι είχε ικανοποιηθεί το αίτημά του, έστειλε ξανά υπενθύμιση στην οποία δεν είχε λάβει επίσης απάντηση.

Το Γραφείο μου ζήτησε τις θέσεις της Καθ’ ης για τα πιο πάνω, η οποία ανέφερε ότι παρόλο που το αίτημα διαγραφής του Καταγγέλλοντος δεν στάλθηκε στην σωστή διεύθυνση ηλεκτρονικού ταχυδρομείου, επιβεβαίωσε ότι τα προσωπικά δεδομένα του Καταγγέλλοντος διαγράφηκαν και προσκόμισε σχετικά αποδεικτικά τα οποία κρίθηκαν ικανοποιητικά. Η Καθ’ ης προσκόμισε επίσης αποδεικτικά ότι ο Καταγγέλλων ενημερώθηκε για τη διαγραφή μετά από την επιστολή του Γραφείου μου.

Έλαβα υπόψιν τα γεγονότα και τις θέσεις της Καθ’ ης και διαπίστωσα παραβίαση:

α. του Άρθρου 12(3) αφού δεν ικανοποιήθηκαν τα αιτήματα εντός μηνός και
β. του Άρθρου 24(1) αφού η Καθ’ ης δεν είχε εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει ότι όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνονται από τους υπαλλήλους σχετικά με δικαιώματα των υποκειμένων των δεδομένων προωθούνται χωρίς περαιτέρω καθυστέρηση,

αποφάσισα να απευθύνω Επίπληξη στην Καθ’ ης, λόγω του ότι δεν υπήρχε προηγούμενη παραβίαση του Κανονισμού από μέρους της.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία για αποκάλυψη προσωπικών δεδομένων σε τρίτο πρόσωπο

Υπεβλήθη ενώπιον μου καταγγελία αναφορικά με αποκάλυψη δεδομένων προσωπικού χαρακτήρα του Καταγγέλλοντος, σε τρίτο πρόσωπο από την GoGordian Real Estate, η οποία λειτουργεί υπό την Gordian Servicing Limited. Ως αποτέλεσμα της αποκάλυψης, το τρίτο πρόσωπο επισκέφτηκε την οικία του Καταγγέλλοντος.

Η Καθ’ ης την καταγγελία με ενημέρωσε ότι το τρίτο πρόσωπο εκδήλωσε ενδιαφέρον για την αγορά τεμαχίου στο οποίο η Καθ’ ης και ο Καταγγέλλων είναι συνιδιοκτήτες, και ζήτησε το αντίγραφο του τίτλου ιδιοκτησίας. Ο Λειτουργός ο οποίος ανέλαβε να χειριστεί την προώθηση του συγκεκριμένου ακινήτου, εκ παραδρομής, δεν προχώρησε σε διαγραφή των προσωπικών στοιχείων (όνομα και διεύθυνση διαμονής) του συνιδιοκτήτη, παρά τις οδηγίες της Καθ’ ης επί του θέματος. Σύμφωνα με την Καθ’ ης την καταγγελία, η αποκάλυψη των προσωπικών δεδομένων αφορά σε μεμονωμένο περιστατικό και ήταν αποτέλεσμα της μη ορθής εφαρμογής των υφιστάμενων οδηγιών προς το προσωπικό.

Εντόπισα παραβίαση από την Καθ’ ης, των άρθρων 5(1)(στ), 24(1) και 32 του Κανονισμού και αφού συνεκτίμησα:

(α) το ισχύον νομοθετικό πλαίσιο,

(β) όλες τις περιστάσεις και τους παράγοντες που ο καταγγέλλων και η Καθ’ ης έθεσαν ενώπιον μου,

(γ) διάφορους μετριαστικούς και επιβαρυντικούς παράγοντες,

έκρινα ότι, υπό τις περιστάσεις δεν δικαιολογείται η επιβολή διοικητικού προστίμου. Παρά ταύτα, ασκώντας τις εξουσίες που μου παρέχει το Άρθρο 58(2)(β) του Κανονισμού, αποφάσισα να απευθύνω στην Καθ’ ης την καταγγελία Επίπληξη για την παραβίαση των πιο πάνω άρθρων του Κανονισμού.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία για μη ικανοποίηση δικαιώματος πρόσβασης

Υπεβλήθη καταγγελία στη Ολλανδική Εποπτική Αρχή εναντίον της εταιρείας Technius Ltd (εφεξής η «Καθ’ ης»), η οποία διαχειρίζεται τον ιστότοπο StripChat, σχετικά με την μη ικανοποίηση δικαιώματος πρόσβασης και για τη μη ενημέρωση για την παραβίαση των δεδομένων του από σχετικό περιστατικό. Λαμβάνοντας υπόψη ότι η Καθ’ ης έχει την κύρια εγκατάσταση της στην Κύπρο, το Γραφείο μου ανέλαβε την διερεύνηση της καταγγελίας.

Ο Καταγγέλλων ενημερώθηκε μέσω ηλεκτρονικών μέσων ενημέρωσης ότι ο ιστότοπος StripChat είχε υποστεί παραβίαση δεδομένων. Κατόπιν αυτού, μετά από σχετική έρευνα στο ηλεκτρονικό ταχυδρομείο του ανακάλυψε ότι, κάποιος άγνωστος τρίτος, δημιούργησε λογαριασμό στο StripChat χρησιμοποιώντας την προσωπική του διεύθυνση ηλεκτρονικού ταχυδρομείου. Στη συνέχεια επικοινώνησε με την Καθ’ ης για να ζητήσει αντίγραφο των προσωπικών του δεδομένων που κατέχει η εταιρεία και για να ενημερωθεί εάν επηρεαστήκαν τα δεδομένα του από το περιστατικό.

Η Καθ’ ης ζήτησε έγγραφα ταυτοποίησης από τον Καταγγέλλοντα και τον ενημέρωσε ότι ο λογαριασμός του θα διαγραφόταν καθώς δημιουργήθηκε με δόλο και τον παρέπεμψε επίσης στην ειδοποίηση για την παραβίαση δεδομένων στην σχετική ανάρτηση στην ιστοσελίδα.

Το Γραφείο μου ζήτησε τις θέσεις της Καθ’ ης για τα πιο πάνω, η οποία ανέφερε ότι το αίτημα πρόσβασης του Καταγγέλλοντος θεωρήθηκε ότι ικανοποιήθηκε, καθώς παρείχε όλες τις απαραίτητες πληροφορίες και εξηγήσεις σχετικά με τον λογαριασμό που άνοιξε με τη διεύθυνση ηλεκτρονικού ταχυδρομείου του, καθώς και όλες τις πληροφορίες που θα μπορούσαν να παρασχεθούν για το περιστατικό παραβίασης.

Έλαβα υπόψη τα γεγονότα και τις θέσεις της Καθ’ ης και διαπίστωσα παραβίαση:

α. του Άρθρου 5(1)(γ), καθώς ο υπεύθυνος επεξεργασίας δεν είχε εύλογο λόγο να ζητήσει επιπλέον ταυτοποίηση από τον καταγγέλλοντα και
β. του Άρθρου 34(1), αφού δεν κοινοποίησε την παραβίαση προσωπικών δεδομένων με τον κατάλληλο τρόπο,
αποφάσισα να απευθύνω Επίπληξη στην Καθ’ ης, λόγω του ότι δεν υπήρχε προηγούμενη παραβίαση του Κανονισμού από την Καθ’ ης και συμμορφώθηκε με τις οδηγίες μου χωρίς καθυστέρηση.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία για μη ικανοποίηση δικαιώματος πρόσβασης

Υποβλήθηκε καταγγελία στην Αρχή Προστασίας Δεδομένων της Μάλτας, εναντίον της εταιρείας Brivio Limited, η οποία διαβιβάστηκε στο Γραφείο μου, μέσω της διαδικασίας συνεργασίας και συνεκτικότητας του Κανονισμού.

Η καταγγελία αφορούσε στη μη ικανοποίηση του δικαιώματος πρόσβασης του Καταγγέλλοντος, από την εταιρεία. Ο Καταγγέλλων ήταν χρήστης ιστοσελίδας, την οποία διαχειριζόταν η εταιρεία. Ο ίδιος αιτήθηκε από την εταιρεία όπως τον προμηθεύσει με πληροφορίες σχετικά με τα προσωπικά του δεδομένα, τα οποία τυγχάνουν επεξεργασίας, πληρωμές που τον αφορούν, καθώς και παιχνίδια στα οποία είχε λάβει μέρος. Ωστόσο, η εταιρεία δεν απάντησε στο αίτημά του, μέσα στην περίοδο του ενός μηνός.

Στα πλαίσια της διερεύνησης της καταγγελίας, από το Γραφείο μου, η εταιρεία ανέφερε, μεταξύ άλλων ότι, παρά τις πολιτικές και τις διαδικασίες της, το αίτημα του Καταγγέλλοντος δεν είχε γνωστοποιηθεί στο τμήμα που ήταν αρμόδιο για τα προσωπικά δεδομένα. Ωστόσο, μόλις έλαβε γνώση της υποβληθείσας, στο Γραφείο μου, καταγγελίας, η εταιρεία απέστειλε στον Καταγγέλλοντα τη ζητούμενη πληροφόρηση και προχώρησε με τη λήψη πρόσθετων μέτρων, προς αποφυγή παρόμοιων περιστατικών στο μέλλον.

Μετά την αξιολόγηση όλων των στοιχείων που τέθηκαν ενώπιον μου, διαπίστωσα παραβίαση του Άρθρου 12(3) του Κανονισμού, καθώς η εταιρεία δεν ικανοποίησε το δικαίωμα πρόσβασης του Καταγγέλλοντος, σύμφωνα με τις διατάξεις του εν λόγω άρθρου. Για την παραβίαση του προαναφερθέντος άρθρου, επέβαλα στην εταιρεία, Επίπληξη, λαμβάνοντας υπόψιν, μεταξύ άλλων, την εν τέλει ικανοποίηση δικαιώματος πρόσβασης και το γεγονός ότι δεν είχε προκληθεί οποιαδήποτε σοβαρή ζημιά για τα δικαιώματα και ελευθερίες του Καταγγέλλοντος.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία για ανεπιθύμητη κλήση εμπορικής προώθησης

Υπεβλήθη στο Γραφείο μου καταγγελία από φυσικό πρόσωπο εναντίον της εταιρείας EMC Giorgallos Homecare Systems Ltd, σχετικά με τη λήψη ανεπιθύμητης κλήσης εμπορικής προώθησης.

Συγκεκριμένα, ο Καταγγέλλων έλαβε τηλεφώνημα από την Καθ’ ης την καταγγελία, στο οποίο ενημερώθηκε ότι κέρδισε κάποιες υπηρεσίες που προσφέρει η εταιρεία. Ο Καταγγέλλων ισχυρίστηκε ότι δεν έχει καμία προηγούμενη σχέση με την Καθ’ ης την καταγγελία και ότι δεν έχει δώσει ποτέ τη συγκατάθεσή του, για λήψη κλήσεων εμπορικής προώθησης.

Η Καθ’ ης την καταγγελία με ενημέρωσε ότι, ο Καταγγέλλων συστήθηκε στην εταιρεία ενδεχομένως από τρίτο πρόσωπο και η εν λόγω κλήση ήταν ενημερωτικού χαρακτήρα καθότι αποσκοπούσε αποκλειστικά στο να του κοινοποιήσει την παροχή δωρεάν υπηρεσιών δίχως οποιαδήποτε δέσμευση και/ή κόστος, και δεν θα έπρεπε να εκληφθεί ως προώθηση οποιωνδήποτε προϊόντων ή υπηρεσιών. Επίσης, με ενημέρωσε ότι δεν είχε την ευκαιρία να ενημερώσει τον Καταγγέλλοντα πλήρως για το δικαίωμα αντίταξης επειδή διέκοψε απρόσμενα την συνομιλία του με τον υπάλληλο της.

Μετά την αξιολόγηση του περιστατικού, έκρινα ότι υπήρξε παραβίαση του Άρθρου 6 του Κανονισμού, λόγω του ότι η Καθ’ ης την καταγγελία επεξεργάστηκε προσωπικό δεδομένο του Καταγγέλλοντος χωρίς την εκ των προτέρων συγκατάθεσή του. Λαμβάνοντας υπόψιν μετριαστικούς και επιβαρυντικούς παράγοντες, οι οποίοι αφορούσαν στο περιστατικό, επέβαλα στην Καθ’ ης την καταγγελία, Προειδοποίηση, όπως στο μέλλον φροντίσει να μην επαναληφθεί παρόμοιο περιστατικό.

Για ολόκληρη την απόφαση πατήστε εδώ.

Παραβίαση Προσωπικών Δεδομένων στο δίκτυο του Ανοικτού Πανεπιστημίου Κύπρου

Στις 30 Μαρτίου 2023 υπεβλήθη Γνωστοποίηση Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στο Γραφείο μου εκ μέρους του Ανοικτού Πανεπιστημίου Κύπρου (στο εξής το «Πανεπιστήμιο»). Oμάδα «χάκερς» (στο εξής «εισβολέας») δήλωσε μέσω της πλατφόρμας κοινωνικής δικτύωσης Twitter ότι ήταν αυτή υπεύθυνη για την επίθεση και δόθηκε χρονικό περιθώριο στο Πανεπιστήμιο για την καταβολή λύτρων για την επιστροφή / μη δημοσιοποίηση των αρχείων που είχαν διαρρεύσει από την επίθεση. Όταν το χρονικό περιθώριο για την καταβολή των λύτρων είχε παρέλθει, τα δεδομένα που είχαν κλαπεί, δημοσιευθήκαν από τον εισβολέα και έγιναν διαθέσιμα στο dark web.

Μετά από πλήρη διερεύνηση του περιστατικού, διαπιστώθηκε ότι τα δεδομένα τα οποία διέρρευσαν αφορούν σε φοιτητές, απόφοιτούς και αλλά υποκείμενα (συμβαλλόμενοι Πανεπιστημίου) τα οποία βρίσκονταν προσωρινά αποθηκευμένα σε επηρεαζόμενο εξυπηρετητή και χρησιμοποιούνταν για διεκπεραίωση εργασιών από τους εργαζόμενους.

Για το περιστατικό έχουν υποβληθεί στο Γραφείο μου 11 παράπονα από υποκείμενα των δεδομένων που καταγγέλλουν ότι τα προσωπικά τους δεδομένα έχουν διαρρεύσει λόγω του υπό εξέταση περιστατικού, τα οποία λήφθηκαν υπόψη κατά την εξέταση του περιστατικού.

Το Πανεπιστήμιο μου απέστειλε επίσης κατάλογο ενεργειών στις οποίες θα προβεί για ενίσχυση της ασφάλειας των συστημάτων του. Οι ενέργειες αυτές θα υλοποιηθούν σταδιακά με βάση πρόγραμμα που έχει καταρτιστεί, ξεκινώντας από τώρα, με χρονικό σημείο ολοκλήρωσης το 2026, ανάλογα με την κρισιμότητα, το κόστος και τα προαπαιτούμενα για την υλοποίηση τους.

Μετά από νομική και τεχνική εξέταση όλων των πιο πάνω, διαπιστώθηκε παράβαση του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΕΕ) 2016/679 από την μη εφαρμογή των κατάλληλων μέτρων ασφαλείας και παραβίαση της αρχής της «λογοδοσίας».

Αφού λήφθηκαν υπόψιν, όλα τα γεγονότα της υπόθεσης, τα τεχνικά και οργανωτικά μέτρα που λαμβάνονταν από το Πανεπιστήμιο πριν από την επίθεση και οι μετριαστικοί παράγοντες που αναφέρθηκαν από το Πανεπιστήμιο, καθώς επίσης και ότι το Πανεπιστήμιο αποτελεί μέρος του ευρύτερου δημόσιου τομέα, επιβλήθηκε στο Πανεπιστήμιο Διοικητικό Πρόστιμο ύψους σαράντα-πέντε χιλιάδων (€45.000) ευρώ.

Δόθηκε επίσης Εντολή στο Πανεπιστήμιο, εντός έξι μηνών:

(α) να ορίσει υπεύθυνο ασφαλείας συστημάτων έστω και προσωρινό / αναπληρωτή, ο οποίος να επιβλέπει την εφαρμογή των μέτρων που το Πανεπιστήμιο προτίθεται να λάβει,

(β) να με ενημερώσει σχετικά με την πρόοδο της υλοποίησης των μέτρων των οποίων το ίδιο με ενημέρωσε ότι προτίθεται να λάβει.

Καταγγελία για συλλογή προσωπικών δεδομένων

Υπεβλήθη στο Γραφείο μου καταγγελία εναντίον της εταιρείας CITIPOST ΙΔΙΩΤΙΚΗ ΚΕΦΑΛΑΙΟΥΧΙΚΗ ΕΤΑΙΡΕΙΑ (εφεξής, η «CITIPOST»), σχετικά με τη συλλογή προσωπικών δεδομένων στο Πράσινο Σημείο Στροβόλου.

Κατά τον ουσιώδη χρόνο η CITIPOST αποτελούσε τον Φορέα Εκμετάλλευσης των Πράσινων Σημείων του Δήμου Λευκωσίας, δυνάμει σχετικής Άδειας Διαχείρισης Αποβλήτων (ΑΔΑ). Μετά από προκαταρκτική έρευνα, διαπίστωσα ότι η εν λόγω εταιρεία ενεργούσε ως Ανάδοχος για τη λειτουργία και τη διαχείριση των οκτώ (8) Πράσινων Σημείων της επαρχίας Λευκωσίας και ενός (1) κινητού Πράσινου Σημείου, παρέχοντας υπηρεσίες, δυνάμει σχετικής σύμβασης, προς το Συμβούλιο Εκμετάλλευσης Χώρων Διάθεσης και Αξιοποίησης Οικιακών Αποβλήτων Λευκωσίας (εφεξής «το Συμβούλιο»), από την 1η Απριλίου 2019 μέχρι την 31η Μαρτίου 2022.

Κατά τη διερεύνηση της υπόθεσης, είχα επικοινωνία με όλους τους φορείς που εμπλέκονται στην επεξεργασία προσωπικών δεδομένων που διενεργείται στα Πράσινα Σημεία Λευκωσίας, ήτοι το Συμβούλιο, το Υπουργείο Γεωργίας, Αγροτικής Ανάπτυξης και Περιβάλλοντος και το Τμήμα Περιβάλλοντος του εν λόγω Υπουργείου και διαπίστωσα ότι η εν λόγω επεξεργασία αφορά σε συλλογή, καταχώριση και διατήρηση/αποθήκευση (i) του ονοματεπωνύμου του μεταφορέα αποβλήτων, (ii) του αριθμού εγγραφής οχήματος μεταφοράς και (iii) του Δήμου προέλευσής του. Τα ως άνω δεδομένα τυγχάνουν επεξεργασία για σκοπούς (α) ιχνηλασιμότητας του αρχικού παραγωγού ενός αποβλήτου, (β) αποτροπής κατάχρησης του συστήματος των Πράσινων Σημείων από πρόσωπα που παράγουν απόβλητα από επαγγελματική χρήση και (γ) στατιστικούς σκοπούς.

Λαμβάνοντας υπόψιν όλα τα στοιχεία και/ή θέσεις που παρασχέθηκαν από τους εμπλεκόμενους φορείς, και το ισχύον νομοθετικό πλαίσιο, διαπίστωσα ότι η επεξεργασία προσωπικών δεδομένων που διενεργείται στα Πράσινα Σημεία, δεν είναι σύμφωνη με το Άρθρο 5(1)(γ) του Κανονισμού. Συγκεκριμένα, για την εξυπηρέτηση των επιδιωκόμενων σκοπών, δεν απαιτείται η καταχώριση και διατήρηση των δεδομένων που συλλέγονται σε ενιαία βάση. Λαμβάνοντας υπόψιν ότι οι όροι στις σχετικές ΑΔΑ των Φορέων Εκμετάλλευση καθορίζονται από το Τμήμα Περιβάλλοντος, εξέδωσα Απόφαση μέσω της οποίας απηύθυνα Εντολή προς το Τμήμα Περιβάλλοντος, όπως, εντός δύο μηνών:

(α) Προβεί σε όλες τις απαραίτητες ενέργειες, ενδεχομένως και μέσω αλλαγής των όρων των ΑΔΑ που έχει παράσχει σε Φορείς Εκμετάλλευσης, ούτως ώστε να διασφαλίσει ότι η επεξεργασία των δεδομένων στα Πράσινα Σημεία, ικανοποιεί την αρχή της ελαχιστοποίησης, ήτοι το άρθρο 5(1)(γ) του Κανονισμού, και ενημερωθεί το Γραφείο μας σχετικά.

(β) Ενημερωθεί το Γραφείο μας, για κάθε Πράσινο Σημείο, για τα δεδομένα που τυγχάνουν επεξεργασίας προς εξυπηρέτηση κάθε επιδιωκόμενου σκοπού ξεχωριστά.

(γ) Ενημερωθεί το Γραφείο μας, για κάθε Πράσινο Σημείο, για τις κατηγορίες δεδομένων που περιλαμβάνονται σε κάθε βάση δεδομένων που διατηρείται.

(δ) Καθοριστεί εύλογο διάστημα διατήρησης των στοιχείων του χρονολογικού μητρώου, μέσω κατάλληλου όρου στις ΑΔΑ Φορέων Εκμετάλλευσης, τόσο για επικίνδυνα, όσο και για μη επικίνδυνα απόβλητα, και ενημερωθεί το Γραφείο μας σχετικά.

(ε) Καθοριστεί εύλογο διάστημα διατήρησης των στοιχείων που διατηρεί στο Ηλεκτρονικό Μητρώο Αποβλήτων τόσο για επικίνδυνα, όσο και για μη επικίνδυνα απόβλητα, και ενημερωθεί το Γραφείο μας σχετικά.

Η εν λόγω προθεσμία δεν έχει παρέλθει.

Καταγγελία για πρόσβαση σε λογαριασμό δικαιούχου του ΓεΣΥ από ιατρό

Εξέτασα καταγγελία που υποβλήθηκε στο Γραφείο μου σχετικά με πρόσβαση από ιατρό, στον λογαριασμό του Γενικού Συστήματος Υγείας (ΓεΣΥ) πρώην ασθενούς του. Ο Καταγγέλλων υπεβλήθη σε χειρουργική επέμβαση από τον ιατρό κατά το 2018, δηλαδή πριν την εφαρμογή του ΓεΣΥ. Μετά από ανάρτηση αξιολόγησης και/ή κριτικής για τον ιατρό από τον Καταγγέλλοντα, μέσω της διαδικτυακής πλατφόρμας Google Reviews, ο ιατρός καταχώρισε Αγωγή στο Επαρχιακό Δικαστήριο εναντίον του Καταγγέλλοντος, αξιώνοντας γενικές και ειδικές αποζημιώσεις για δυσφημιστικά δημοσιεύματα, ενώ στη συνέχεια πέτυχε πρόσβαση δύο φορές στο αρχείο δικαιούχου του Καταγγέλλοντος.

Λαμβάνοντας υπόψιν ότι υπήρχε προηγούμενη σχέση μεταξύ του Καταγγέλλοντος και του ιατρού και ότι ο ιατρός είχε τα απαιτούμενα στοιχεία για πρόσβαση στο αρχείο δικαιούχου του καταγγέλλοντος, οι προσβάσεις στο αρχείο του θα ήταν δικαιολογημένες, εάν ήταν σύμφωνες με τους σχετικούς κανονισμούς του Οργανισμού Ασφάλισης Υγείας, για τους σκοπούς του άρθρου 9(2)(η) του Κανονισμού. Ακόμη κι αν ίσχυαν οι λόγοι πρόσβασης στο αρχείο, τους οποίους ο ιατρός ανέφερε στο Γραφείο μου, οι εν λόγω προσβάσεις δεν μπορούσαν να πλαισιωθούν από οποιαδήποτε περίπτωση της παραγράφου 2 του άρθρου 9 του Κανονισμού, αφού κατά τον ουσιώδη χρόνο ο καταγγέλλων δεν λάμβανε υπηρεσίες από τον ιατρό.

Λαμβάνοντας υπόψιν επιβαρυντικούς παράγοντες οι οποίοι αφορούσαν στο περιστατικό, καθώς και μετριαστικούς παράγοντες, περιλαμβανομένου του γεγονότος ότι ο ιατρός δεν είναι πλέον συμβεβλημένος με το ΓεΣΥ, επέβαλα στον ιατρό Επίπληξη για την παραβίαση του άρθρου 9(2)(η) του Κανονισμού.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία σχετικά με τις Μεθόδους Στατιστικής Επεξεργασίας των βαθμολογιών των υποψηφίων που έλαβαν μέρος στις Γραπτές Εξετάσεις 2019 για Εγγραφή και Κατάταξη στους Πίνακες Διορισίμων

Εξέτασα καταγγελία σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά την εφαρμογή μεθόδων στατιστικής επεξεργασίας των βαθμολογιών των υποψηφίων που έλαβαν μέρος στις γραπτές εξετάσεις 2019 για εγγραφή και κατάταξη στους πίνακες διορισίμων του Νέου Συστήματος Διορισμών στην Εκπαίδευση.

Λαμβάνοντας υπόψιν τον περί Δημόσιας Εκπαιδευτικής Υπηρεσίας Νόμου του 1969, Ν. 10/1969, έκρινα ότι η Υπηρεσία Εξετάσεων (εφεξής η «Υπηρεσία») της Διεύθυνσης Ανώτερης Εκπαίδευσης του Υπουργείου Παιδείας, Αθλητισμού και Νεολαίας αποτελεί τον υπεύθυνο επεξεργασίας για την επεξεργασία προσωπικών δεδομένων η οποία πραγματοποιείται στο πλαίσιο της στατιστικής επεξεργασίας των αποτελεσμάτων των Εξετάσεων.

Για την εγγραφή στον πίνακα διορισίμων, απαιτείται η καταγραφή των προσόντων των υποψηφίων από τους ίδιους και η υποβολή πιστοποιητικών / αποδεικτικών, ούτως ώστε να λάβουν σχετική μοριοδότηση. Για να συμπεριληφθεί ένας υποψήφιος στον πίνακα διορισίμων απαιτείται η επιτυχία στις Εξετάσεις. Σε κάθε ειδικότητα, δημιουργείται πίνακας διορισίμων, ο οποίος περιλαμβάνει επιτυχόντες Εξετάσεων διαφόρων ετών. Σε καθορισμένες περιόδους, ο πίνακας διορισίμων κάθε ειδικότητας ανανεώνεται, με την προσθήκη των επιτυχόντων των νέων Εξετάσεων και/ή με τη διαφοροποίηση της μοριοδότησης των προσόντων και/ή της βαθμολογίας κάθε επιτυχόντος. Επομένως, απαιτείται συγκρισιμότητα βαθμολογιών των Εξετάσεων διαφόρων ετών. Ως εκ τούτου, εφαρμόζεται στατιστική επεξεργασία για σκοπούς ενιαίας κατάταξης των υποψηφίων.

Η εφαρμογή των μεθόδων στατιστικής επεξεργασίας έχει σκοπό τη διαμόρφωση του δείκτη ο οποίος αντικατοπτρίζει τον βαθμό δυσκολίας της Εξέτασης του 2019 σε σχέση με τον βαθμό δυσκολίας της αντίστοιχης Εξέτασης του 2017. Στις μεθόδους αυτές περιλαμβάνονται μέθοδοι οι οποίες απαιτούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Πέρα από την ύπαρξη σχετικής νομικής βάσης αφού η στατιστική επεξεργασία προβλέπεται στους σχετικούς Κανονισμούς, έκρινα ότι η εφαρμογή τέτοιων μεθόδων δεν εξέρχεται, αλλά αντιθέτως εντάσσεται σε ενέργειες για επίτευξη του επιδιωκόμενου σκοπού, ήτοι την κατάταξη των υποψηφίων στους πίνακες διορισίμων. Άλλωστε, η υποβολή των πιστοποιητικών / αποδεικτικών για εγγραφή σε πίνακα διορισίμων σχετικής ειδικότητας ή και για μοριοδότησή τους, διενεργήθηκε από τους ίδιους τους υποψήφιους,. Δηλαδή, η εφαρμογή στατιστικών μεθόδων, οι οποίες περιλαμβάνουν επεξεργασία δεδομένων προσωπικού χαρακτήρα, δεν εξέρχεται του πλαισίου νομιμότητας.

Ωστόσο, η Υπηρεσία ανέθεσε την εφαρμογή της στατιστικής επεξεργασίας σε εκτελούντα την επεξεργασία, χωρίς τη διενέργεια σχετικής σύμβασης ανάθεσης, ως προνοείται στο άρθρο 28(3) του Κανονισμού. Ως εκ τούτου, η Υπηρεσία δεν μπόρεσε να αποδείξει ότι η επεξεργασία διενεργείτο σύμφωνα με τον Κανονισμό, ως προβλέπεται στο άρθρο 24(1) του Κανονισμού. Ως εκ τούτων, απηύθυνα Επίπληξη για την παραβίαση των εν λόγω άρθρων.

Επειδή στους περί Γραπτών Εξετάσεων για Εγγραφή και Κατάταξη στους Πίνακες Διορισίμων Κανονισμούς του 2017, ως έχουν τροποποιηθεί, προνοείται στατιστική επεξεργασία για σκοπούς ενιαίας κατάταξης των υποψηφίων, η οποία προϋποθέτει επεξεργασία δεδομένων προσωπικού χαρακτήρα, η Υπηρεσία ήταν υποχρεωμένη να προβεί σε προηγούμενη διαβούλευση με το Γραφείο μου, πριν τη συμπερίληψη της σχετικής διάταξης. Ωστόσο, η Υπηρεσία δεν προέβη σε προηγούμενη διαβούλευση κατά παράβαση το άρθρου 36(4) του Κανονισμού και του άρθρου 13(1) του Νόμου 125(Ι)/2018, και για τον λόγο αυτό, απηύθυνα Επίπληξη στην Υπηρεσία.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία για πρόσβαση σε λογαριασμό δικαιούχου του ΓεΣΥ από ιατρό

Εξέτασα καταγγελία που υποβλήθηκε στο Γραφείο μου σχετικά με πρόσβαση στον λογαριασμό του Γενικού Συστήματος Υγείας (ΓεΣΥ) της Καταγγέλλουσας από ιατρό. Συγκεκριμένα, ως η Καταγγέλλουσα ανέφερε, διαπίστωσε πρόσβαση στα προσωπικά της δεδομένα από την ιατρό, στην πύλη δικαιούχων του ΓεΣΥ, χωρίς να γνωρίζει την ιατρό, χωρίς να υπάρχει παραπεμπτικό και χωρίς την άδειά της. Στο πλαίσιο της διερεύνησης, τόσο η Καταγγέλλουσα όσο και η ιατρός ανέφεραν προς το Γραφείο μου ότι εκάστη δεν γνώριζε την άλλη και ότι η ιατρός δεν εξέτασε την καταγγέλλουσα.

Αξιολόγησα τις θέσεις της ιατρού σχετικά με τους ενδεχόμενους τρόπους απόκτησης των δεδομένων της Καταγγέλλουσας, τα οποία ήταν αναγκαία για την πρόσβαση στην πύλη δικαιούχου της καταγγέλλουσας στο ΓεΣΥ. Ωστόσο, η ιατρός δεν μπόρεσε να αποδείξει ότι έλαβε με νόμιμο τρόπο τα προσωπικά δεδομένα της Καταγγέλλουσας και ότι είχε εξουσιοδότηση όπως επιτύχει πρόσβαση στην πύλη δικαιούχου. Επομένως, τα προσωπικά δεδομένα της Καταγγέλλουσας δεν υποβλήθηκαν σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο. Δηλαδή, δεν τηρήθηκε η αρχή της «νομιμότητας, αντικειμενικότητας και διαφάνειας», ως αυτή προνοείται στο άρθρο 5(1)(α) του Κανονισμού. Για την παραβίαση του άρθρου αυτού επέβαλα στην ιατρό διοικητικό πρόστιμο ύψους χιλίων πεντακοσίων ευρώ (€1500).

Για ολόκληρη την απόφαση πατήστε εδώ.

Κυβερνοεπίθεση στο δίκτυο του Τμήματος Κτηματολογίου και Χωρομετρίας

Στις 13 Μαρτίου 2023 υπεβλήθη Γνωστοποίηση Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στο Γραφείο μου εκ μέρους του Τμήματος Κτηματολογίου και Χωρομετρίας (στο εξής το «Τμήμα») στην οποία αναφέρεται ότι στις 8/3/2023 το Τμήμα δέχτηκε κυβερνοεπίθεση, η οποία επηρέασε τη διαδικτυακή πύλη του Τμήματος (DLS Portal).

Μετά από πλήρη διερεύνηση του περιστατικού, διαπιστώθηκε ότι από την επίθεση δεν αποκτήθηκε πρόσβαση από τον εισβολέα σε δεδομένα προσωπικού χαρακτήρα, επηρεάστηκε όμως η διαθεσιμότητα των δεδομένων λόγω του ότι τα συστήματα τέθηκαν εκτός λειτουργίας για διερεύνηση του περιστατικού και σταδιακή επαναφορά τους. Παρά το ότι δεν αποκτήθηκε πρόσβαση από τον εισβολέα σε δεδομένα προσωπικού χαρακτήρα, σημειώνω τα ακόλουθα:

(α) ο υπεύθυνος επεξεργασίας θα πρέπει να διασφαλίζει μεταξύ άλλων την διαθεσιμότητα και την αξιοπιστία των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση. Η έστω και προσωρινή μη διαθεσιμότητα των δεδομένων μπορεί να είχε επιπτώσεις στα υποκείμενα των δεδομένων από τη μη ύπαρξη της δυνατότητας εξυπηρέτησης τους.

(β) εφόσον ο εισβολέας είχε αποκτήσει πρόσβαση σε εξυπηρετητές του Τμήματος, υπήρχε η πιθανότητα να επιτύγχανε πρόσβαση και σε άλλα συστήματα / υποδίκτυα, τα οποία περιλαμβάνουν προσωπικά δεδομένα.

Μετά από έλεγχο των τεχνικών και οργανωτικών μέτρων που λαμβάνονταν πριν το περιστατικό, των αποτελεσμάτων της διερεύνησης, των ενεργειών που έγιναν μετά το περιστατικό, και των ενεργειών που προγραμματίζονται να γίνουν για περαιτέρω θωράκιση των συστημάτων, διαπιστώθηκε παράβαση του Κανονισμού από την μη εφαρμογή των κατάλληλων μέτρων ασφαλείας.

Στις 21/12/2023 εξέδωσα Απόφαση με την οποία απεύθυνα στο Τμήμα Επίπληξη.

Έδωσα επίσης Εντολή στο Τμήμα, όπως εντός δύο μηνών με ενημερώσει σχετικά με:

(α) την πρόοδο της υλοποίησης των επιπρόσθετων μέτρων που θα λάβει και της εξασφάλισης του επιπρόσθετου εξοπλισμού,

(β) τα αποτελέσματα του νέου ελέγχου διεισδυτικότητας και το στάδιο επίλυσης των ευρημάτων, και

(γ) τα χρονοδιαγράμματα κατά τα οποία θα υλοποιηθούν οι ενέργειες για ενίσχυση της ασφάλειας των συστημάτων του.

Για την έκδοση της Απόφασης λήφθηκαν υπόψιν, όλα τα περιστατικά που αφορούν στην παρούσα υπόθεση και κυρίως ότι:

(α) δεν αποκτήθηκε πρόσβαση από τον εισβολέα σε δεδομένα προσωπικού χαρακτήρα,

(β) το διάστημα κατά το οποίο επηρεάστηκε η διαθεσιμότητα των δεδομένων ήταν περιορισμένο (η πλήρης επαναφορά όλων των συστημάτων έγινε μετά από ένα μήνα, αλλά αρκετές υπηρεσίες παρέχονταν στους πολίτες με φυσική παρουσία μετά από μια περίπου εβδομάδα),

(γ) δεν φαίνεται να προκλήθηκε ουσιαστική ζημιά στα υποκείμενα.

Ακρίβεια καταχώρισης δεδομένων και διαφανής ενημέρωση υποκειμένου των δεδομένων κατά την συλλογή των δεδομένων που τον αφορούν

Στις 23 Νοεμβρίου 2022 υποβλήθηκε καταγγελία στο Γραφείο μου, εναντίον της Themis Portfolio Management Limited, με θέμα την μη έγκαιρη ικανοποίηση αιτήματος πρόσβασης. Στο έντυπο της καταγγελίας τίθονταν κάποιοι αρχικοί ισχυρισμοί για παράνομη μεταβίβαση δεδομένων από την Τράπεζα Κύπρου Δημόσια Εταιρεία Λτδ προς την Themis Portfolio Management Limited, μετά από πώληση πιστωτικών διευκολύνσεων, οι οποίοι μετά την ικανοποίηση του αιτήματος πρόσβασης αποτέλεσαν τους κύριους ισχυρισμούς που ο Καταγγέλλων έθεσε ενώπιον μου προς εξέταση.

Κατά τη διερεύνηση της καταγγελίας διαφάνηκε ότι, στοιχεία τα οποία είχαν καταχωρισμένα στο σύστημά τους οι δύο νομικές οντότητες, όσον αφορά στον Καταγγέλλοντα, ήταν λανθασμένα. Ως εκ τούτου, έκρινα σημαντικό όπως εξετάσω τους λόγους που τα στοιχεία ήταν καταχωρισμένα λάθος και κατά πόσο η ενημέρωση που παρασχέθηκε στον Καταγγέλλοντα όσον αφορά στην μεταβίβαση των δεδομένων του κατά την πώληση των πιστωτικών διευκολύνσεων ήταν πλήρης.

Μετά την λήψη των θέσεων των εμπλεκόμενων μερών, λαμβάνοντας υπόψη τις περιστάσεις της υπόθεσης και τους μετριαστικούς και επιβαρυντικούς παράγοντες που είχαν ενώπιον μου, αποφάσισα να –

- να απευθύνω Επίπληξη στην Τράπεζα Κύπρου Δημόσια Εταιρεία Λτδ για την παραβίαση των Άρθρων 12 και 14 του Κανονισμού και να επιβάλω Διοικητικό Πρόστιμο ύψους €8.000, για τη διάπραξη παράβασης των υποχρεώσεων της όπως αυτές προκύπτουν από το Άρθρο 5(1)(δ) του Κανονισμού,

- απευθύνω Επίπληξη στην Themis Portfolio Management Limited για την παραβίαση των Άρθρων 5(1)(δ), 12 και 14 του Κανονισμού και Εντολή όπως προβεί σε διόρθωση των δεδομένων που αφορούν στον Καταγγέλλοντα, σύμφωνα με την κείμενη νομοθεσία.