Μετά από ενημέρωση μέσω άρθρου που αναρτήθηκε στον ιστότοπο Secnews.gr ότι είχε διενεργηθεί επίθεση στην ιστοσελίδα «newarmy.mod.gov.cy» του Υπουργείου Άμυνας (στο εξής «ΥΠΑΜ»), το Γραφείο μου διενήργησε έλεγχο στις εγκαταστάσεις της εταιρείας DW Dynamic Works LIMITED (στο εξής «Dynamic Works») η οποία ενεργεί ως εκτελών την επεξεργασία, όσον αφορά στον σχεδιασμό, ανάπτυξη και υποστήριξη του συστήματος που είχε δεχθεί την επίθεση.

Με βάση την αλληλογραφία που ανταλλάχθηκε και τα ευρήματα του ελέγχου, διαπιστώθηκε ότι με την επίθεση αποκτήθηκε μη εξουσιοδοτημένη πρόσβαση σε σύστημα του ΥΠΑΜ, το οποίο φιλοξενείτο σε διακομιστές της Dynamic Works.

Μετά από νομική και τεχνική εξέταση, διαπιστώθηκε παραβίαση των άρθρων 32 (Ασφάλεια Επεξεργασίας) και 24 (Ευθύνη του Υπεύθυνου Επεξεργασίας) του Κανονισμού, από το ΥΠΑΜ και παραβίαση του άρθρου 32 από τον εκτελούντα την επεξεργασία.

Αφού λήφθηκαν υπόψιν όλα τα γεγονότα της υπόθεσης, τα τεχνικά και οργανωτικά μέτρα που λαμβάνονταν από τις δύο οντότητες πριν από την επίθεση και οι μετριαστικοί παράγοντες που αναφέρθηκαν από τις εταιρείες, επιβλήθηκε στο ΥΠΑΜ διοικητικό πρόστιμο ύψους πέντε χιλιάδων (€5.000) ευρώ για την παραβίαση του άρθρου 24(1) και 32(1),

Στην εταιρεία DW Dynamic Works Ltd επιβλήθηκε διοικητικό πρόστιμο ύψους επτά χιλιάδων πεντακοσίων (€7.500) ευρώ για την παραβίαση του άρθρου 32(1).

Η DW Dynamic Works Ltd καταχώρησε προσφυγή κατά της Απόφασης ενώπιον του Διοικητικού Δικαστηρίου.

Παραβίαση Προσωπικών Δεδομένων σε συστήματα της Hermes Airports Ltd

Μετά από ενημέρωση μέσω άρθρου που αναρτήθηκε στον ιστότοπο Secnews.gr ότι είχε διενεργηθεί επίθεση στον κυβερνοχώρο σε συστήματα της Hermes, το Γραφείο μου διενήργησε έλεγχο στις εγκαταστάσεις της Hermes και στην εταιρεία DW Dynamic Works LIMITED (στο εξής «Dynamic Works») η οποία ενεργεί ως εκτελών την επεξεργασία, όσον αφορά στον σχεδιασμό, ανάπτυξη και υποστήριξη του συστήματος που είχε δεχθεί την επίθεση.

Με βάση την αλληλογραφία που ανταλλάχθηκε και τα ευρήματα του ελέγχου, διαπιστώθηκε ότι με την επίθεση αποκτήθηκε μη εξουσιοδοτημένη πρόσβαση σε σύστημα του Αεροδρομίου.

Μετά από νομική και τεχνική εξέταση, διαπίστωσα παραβίαση των άρθρων 32 (Ασφάλεια Επεξεργασίας) και 24 (Ευθύνη του Υπεύθυνου Επεξεργασίας) του Κανονισμού, από την Hermes και παραβίαση του άρθρου 32 από τον εκτελούντα την επεξεργασία.

Αφού έλαβα υπόψιν όλα τα γεγονότα της υπόθεσης, τα τεχνικά και οργανωτικά μέτρα που λαμβάνονταν από τις δύο εταιρείες πριν από την επίθεση και τους μετριαστικούς παράγοντες που αναφέρθηκαν από τις εταιρείες, επέβαλα στην Hermes:

α) διοικητικό πρόστιμο ύψους έξι χιλιάδων (€6.000) ευρώ για την παραβίαση του άρθρου 32,

β) για την παραβίαση του άρθρου 24, δόθηκε Εντολή στην Hermes όπως:

i) προβαίνει σε τακτική επίβλεψη των ενεργειών του εκτελούντα την επεξεργασία και

ii) προβεί σε αναθεώρηση της σύμβασης με τον εκτελούντα την επεξεργασία, ώστε να περιλαμβάνονται μέτρα ασφαλείας που θα πρέπει να λαμβάνονται τα οποία να περιγράφονται σε κατάλληλο βαθμό λεπτομέρειας σύμφωνα με την φύση και το περιβάλλον του συστήματος.

Στην εταιρεία DW Dynamic Works Ltd επέβαλα διοικητικό πρόστιμο ύψους πέντε χιλιάδων (€5.000) ευρώ.

Η DW Dynamic Works Ltd καταχώρησε προσφυγή κατά της πιο πάνω Απόφασης ενώπιον του Διοικητικού Δικαστηρίου.

Περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα πελατών ασφαλιστικής εταιρείας σε εγκαταστάσεις εκτελούντος την επεξεργασία

Η ασφαλιστική εταιρεία Universal Life Insurance Public Co Ltd γνωστοποίησε, προς το Γραφείο μου, περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα, το οποίο επισυνέβη στις εγκαταστάσεις της εταιρείας PRINTAFORM LTD Ltd, η οποία ενεργούσε ως εκτελών την επεξεργασία. Η ασφαλιστική εταιρεία, ως ο υπεύθυνος επεξεργασίας, ανέθεσε στον εκτελούντα την επεξεργασία, την εκτύπωση, φακελοποίηση και ταχυδρόμηση τριών εντύπων, τα οποία ήταν οι ετήσιες καταστάσεις πληρωμών ασφαλίστρων των πελατών (δικαιούχων ή/και ασφαλισμένων προσώπων) του υπεύθυνου επεξεργασίας.

Το ένα έντυπο απαιτούσε την εισαγωγή δύο σελίδων σε κάθε φάκελο ασφαλιζομένου, γεγονός που διεκπεραιώθηκε ορθώς. Τα άλλα δύο έντυπα, απαιτούσαν την εισαγωγή μίας σελίδας σε κάθε φάκελο ασφαλιζομένου. Ωστόσο, δεν πραγματοποιήθηκε η απαιτούμενη αλλαγή στον προγραμματισμό της φακελωτικής μηχανής και συνεπώς, συνεχίστηκε η εμφακέλωση δύο σελίδων ανά φάκελο. Η παράλειψη της αλλαγής είχε ως αποτέλεσμα οι μισοί παραλήπτες να λάβουν, εκτός από το έντυπο που τους αφορούσε, και έντυπο άλλου παραλήπτη (και πιο συγκεκριμένα, το έντυπο του επόμενου παραλήπτη που βρισκόταν στον κατάλογο). Ο υπεύθυνος επεξεργασίας έλαβε γνώση του περιστατικού παραβίασης από πελάτη του, ο οποίος παρέλαβε και το έντυπο άλλου πελάτη. Ως αναφέρθηκε στο Γραφείο μου, ο υπεύθυνος παραγωγής, έδωσε σαφείς γραπτές οδηγίες στον χειριστή του συστήματος για τις ενέργειες που έπρεπε να ακολουθήσει και αποχώρησε από τα καθήκοντά του, γιατί είχε συμπληρώσει τον χρόνο που έπρεπε να παραμείνει στον χώρο εργασίας του. Ωστόσο, ο χειριστής από «καθαρά δική του αμέλεια» έκανε λάθος στον προγραμματισμό της φακελωτικής μηχανής και δεν προέβη στον ενδεδειγμένο δειγματοληπτικό έλεγχο, με αποτέλεσμα να προκύψει το υπό διερεύνηση περιστατικό.

Μεταξύ του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία υπήρχε πολυετής συνεργασία, χωρίς ωστόσο να υπάρχει, κατά τον ουσιώδη χρόνο, υπογεγραμμένη σύμβαση ανάθεσης επεξεργασίας, ως προβλέπεται στο άρθρο 28(3) του Κανονισμού. Επομένως, δεν χρησιμοποιήθηκε εκτελών την επεξεργασία, ο οποίος παρείχε επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά παράβαση του άρθρου 28(1) του Κανονισμού. Επιπροσθέτως, λόγω της μη ύπαρξης της προβλεπόμενης από τον Κανονισμό σύμβασης ανάθεσης, διαπιστώθηκε ότι ο υπεύθυνος επεξεργασίας δεν μπορούσε να αποδείξει ότι η επεξεργασία διενεργείτο σύμφωνα με τον Κανονισμό, ως προβλέπεται στο άρθρο 24(1) του Κανονισμού. Ως εκ τούτου, διαπίστωσα παραβίαση του άρθρου 24(1) και του άρθρου 28(1) του Κανονισμού από τον υπεύθυνο επεξεργασίας και του επέβαλα διοικητικό πρόστιμο ύψους τριών χιλιάδων πεντακοσίων ευρώ (€3.500).

Στο πλαίσιο της διερεύνησης του περιστατικού, προέκυψε ότι ο εκτελών την επεξεργασία δεν εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, ως η υποχρέωσή του, δυνάμει του άρθρου 32(1) του Κανονισμού, η οποία απορρέει εξάλλου από την υποχρέωσή του να «λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32», ως προνοείται δυνάμει του άρθρου 28(3)(γ) του Κανονισμού. Συνεπώς, διαπιστώνοντας παραβίαση των ανωτέρω άρθρων, επέβαλα στον εκτελούντα την επεξεργασία διοικητικό πρόστιμο ύψους τριών χιλιάδων επτακοσίων πενήντα ευρώ (€3.750).

Γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων από την Τράπεζα Κύπρου Δημόσια Εταιρεία Λτδ

Υπεβλήθη στο Γραφείο μου Γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων από την Τράπεζα Κύπρου Δημόσια Εταιρεία Λτδ (εφεξής η «Τράπεζα»), σύμφωνα με την οποία περί τα τέλη Σεπτεμβρίου – αρχές Οκτωβρίου του 2021, μετά την πώληση πιστωτικών διευκολύνσεων της Τράπεζας στην εταιρεία Themis Portfolio Management Limited (εφεξής η «Themis»), κατά τη διαδικασία μεταφοράς ηλεκτρονικών αρχείων πελατών και εγγυητών στη δεύτερη, κοινοποιήθηκαν εκ παραδρομής δεδομένα πελατών των οποίων οι πιστωτικές διευκολύνσεις δεν είχαν πωληθεί.

Γνωστοποιήθηκαν στο Γραφείο μου 3 περιστατικά εσφαλμένων αποστολών. Το 1ο περιστατικό αφορούσε μία επιστολή η οποία αποστάληκε εσφαλμένα από την Τράπεζα στην Themis, το 2ο περιστατικό στην εκ παραδρομής αποστολή 11.673 ηλεκτρονικών αρχείων και το 3ο περιστατικό την εσφαλμένη αποστολή ηλεκτρονικού αρχείου, το οποίο περιελάμβανε τις επιστολές 45 ημερών που στάλθηκαν σε πελάτες, και επηρέαζε 5.500 υποκείμενα των δεδομένων.

Με την ολοκλήρωση της διερεύνησης των περιστατικών διαπίστωσα παραβίαση των άρθρων 5(1)(στ), 24(1) και 32 του Κανονισμού και επέβαλα διοικητικό πρόστιμο ύψους €10.000, αναφορικά με το δεύτερο περιστατικό και διοικητικό πρόστιμο ύψους €7.000, αναφορικά με το τρίτο περιστατικό. Τέλος, απηύθυνα Σύσταση προς την Τράπεζα, όπως η Υπεύθυνη Προστασίας Δεδομένων ενημερώνεται εκ των προτέρων, πριν την λήψη οποιωνδήποτε ενεργειών, αναφορικά με περιστατικά που δύναται να παραβιάζουν τον Κανονισμό, και οποιεσδήποτε αποφάσεις για τυχόν ενέργειες να λαμβάνονται από κοινού.

Καταγγελία για εγκατάσταση και λειτουργία Κλειστού Κυκλώματος Βίντεο-Παρακολούθησης σε ιδιωτική εταιρεία

Υπεβλήθη καταγγελία στο Γραφείο μου, η οποία αφορούσε εγκατάσταση και λειτουργία κλειστού κυκλώματος βίντεο-παρακολούθησης (εφεξής το «ΚΚΒΠ») στο εσωτερικό των γραφείων της KUUTIO HOMES LTD (εφεξής η «Καθ’ ης την καταγγελία»). Κατά τη διερεύνηση του περιστατικού, διαφάνηκε ότι πέραν της βιντεοσκόπησης των εσωτερικών χώρων της, η Καθ’ ης την καταγγελία λάμβανε εικόνα και από δημόσιους χώρους εξωτερικά του κτηρίου της.

Λαμβάνοντας υπόψη όλες τις θέσεις της Καθ’ ης την καταγγελία και όλα τα δεδομένα που είχα ενώπιον μου, διαπίστωσα παραβίαση των Άρθρων 5 και 6 του Κανονισμού και αποφάσισα να απευθύνω Επίπληξη στην Καθ’ ης την καταγγελία.

Επίσης, αφού παρέθεσα και ανέλυσα στο Νομικό Πλαίσιο και στο Σκεπτικό της Απόφασής μου όλες τις σχετικές νομικές πρόνοιες, απηύθυνα στην Καθ’ ης την Καταγγελία Εντολή όπως -

- απενεργοποιήσει πλήρως τις κάμερες του ΚΚΒΠ που λαμβάνουν εικόνα εσωτερικά των γραφείων, των χώρων αναμονής και συνεδριάσεων του κτηρίου της,
- απενεργοποιήσει πλήρως τις εξωτερικές κάμερες που λαμβάνουν εικόνα από δημόσιους χώρους και χώρους εκτός της ιδιωτικής της περιουσίας, και Εντολή όπως στην περίπτωση που λάβει πρόσθετα εναλλακτικά μέτρα ασφαλείας και κρίνει απαραίτητη την λειτουργία ΚΚΒΠ,
- εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα, έτσι ώστε οι κάμερες του ΚΚΒΠ που τυχόν τεθούν σε λειτουργία να είναι σύμφωνες με τις πρόνοιες του Κανονισμού.

Για ολόκληρη την απόφαση πατήστε εδώ.

Μη συμμόρφωση με Εντολή της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εντός ταχθείσας προθεσμίας

Στις 21 Φεβρουαρίου 2022 με Απόφασή μου, απηύθυνα Εντολή στο Ραδιοφωνικό Ίδρυμα Κύπρου (εφεξής το «ΡΙΚ»), όπως εντός 8 εβδομάδων καταγράψει διαδικασία σχετική με την εξέταση παραπόνων που αφορούν επαγγελματικά ζητήματα, μη πειθαρχικής φύσεως, σύμφωνη με τις διατάξεις του Κανονισμού.

Το χρονικό περιθώριο, που όρισα, για την αποστολή της ζητηθείσας διαδικασίας έληγε στις 21 Απριλίου 2022. Στις 21 Ιουνίου 2022, εξέδωσα Εκ Πρώτης Όψεως Απόφαση με θέμα την μη συμμόρφωση του ΡΙΚ με την πιο πάνω Εντολή μου, καθώς μέχρι την εν λόγω ημερομηνία, δεν είχε αποσταλεί καμία διαδικασία στο Γραφείο μου. Με την Εκ Πρώτης Όψεως Απόφαση μου, το ΡΙΚ κλήθηκε όπως εντός 3 βδομάδων υποβάλει τους λόγους και τις θέσεις που θα έπρεπε να λάβω υπόψη στο πλαίσιο και για σκοπούς επιβολής διοικητικής κύρωσης. Μετά την έκδοση της Εκ Πρώτης Όψεως Απόφασης μου, το ΡΙΚ απέστειλε, εκπρόθεσμα, την ζητηθείσα διαδικασία.

Ως εκ τούτου, αποφάσισα να απευθύνω Επίπληξη στο ΡΙΚ, για την μη συμμόρφωσή του, με την Εντολή μου, ημερομηνίας 21 Φεβρουαρίου 2022, εντός της ταχθείσας προθεσμίας.

Για ολόκληρη την απόφαση πατήστε εδώ.

Απόφαση με τη μορφή Προειδοποίησης προς το Τμήμα Δημόσιας Διοίκησης και Προσωπικού

Το ΤΔΔΠ, υπό την ιδιότητά του ως υπεύθυνος επεξεργασίας, απέστειλε στο Γραφείο μου γραπτό ερώτημα σχετικά με ενδεχόμενη χρήση των λογισμικών google forms ή Qualtrics για τους σκοπούς της συλλογής πληροφοριών μέσω σχετικού ερωτηματολογίου για τη διεξαγωγή μελέτης αναφορικά με τη ρύθμιση ευέλικτων μορφών απασχόλησης στη δημόσια υπηρεσία.

Παρά το γεγονός ότι δεν θα συλλέγονταν ονομαστικά δεδομένα, έκρινα ότι μέσω του συγκεκριμένου ερωτηματολογίου θα πραγματοποιείται συλλογή και επεξεργασία απλών καθώς και ευαίσθητων (ειδικές κατηγορίες δεδομένων) δεδομένων προσωπικού χαρακτήρα, με την έννοια ότι τα ερωτήματα θα οδηγούσαν στην ταυτοποίηση και /ή προσδιορισμό της ταυτότητας των υποκειμένων των δεδομένων, και καθηκόντως έθεσα υπόψιν του τις συγκεκριμένες υποχρεώσεις τηρουμένων των διατάξεων του Κανονισμού (ΕΕ) 2016/679, μεταξύ άλλων τις βασικές αρχές σύννομης επεξεργασίας (αρχή της ελαχιστοποίησης των δεδομένων) - (άρθρο 5 του Κανονισμού), νομική βάση / προϋποθέσεις νόμιμης επεξεργασίας (άρθρα 6 και 9 του Κανονισμού) - γραπτή ανάθεση επεξεργασίας (άρθρο 28(3) του Κανονισμού), - διενέργεια ΕΑΠΔ (Εκτίμηση Αντικτύπου Προστασίας Δεδομένων) (άρθρα 35, 36 του Κανονισμού) και - Διαβίβαση δεδομένων σε τρίτες χώρες (Κεφ.V του Κανονισμού) (τα google forms αποτελούν εφαρμογή cloud της εταιρείας GOOGLE με έδρα τις ΗΠΑ).

Από τα στοιχεία του φακέλου της υπόθεσης διεφάνη ότι το Τμήμα δεν είχε μεριμνήσει, ούτε προέβη σε ενέργειες για την εφαρμογή και /ή συμμόρφωση με τις ως άνω υποχρεώσεις.

Ενημέρωσα ακολούθως το αρμόδιο Τμήμα ότι η μόνη λύση που προέκρινα υπό τις περιστάσεις για να μπορέσει να προχωρήσει στη διεξαγωγή της μελέτης ήταν η πλήρης απάλειψη των δημογραφικών και των άλλων στοιχείων που ταυτοποιούν ή ενδέχεται να ταυτοποιούν τους υπαλλήλους.

Το αρμόδιο Τμήμα προχώρησε εντέλει στην υλοποίηση της μελέτης απαλείφοντας κάποια από τα δημογραφικά στοιχεία, όχι όλα, δηλ. συμμορφώθηκε εν μέρει με την εισήγησή μου, παρέμεινε ωστόσο ο πιθανός ο κίνδυνος η συγκεκριμένη επεξεργασία να οδηγήσει στην κατάρτιση προφίλ, των συμμετεχόντων με βάση τις απαντήσεις τους στο ερωτηματολόγιο, και περαιτέρω να οδηγήσει σε διακρίσεις στη βάση του καθεστώτος εργασίας τους ή της υγείας τους ή άλλης κατάστασης που τους χαρακτηρίζει.

Διαπιστώθηκε ότι έγινε χρήση από την ανάδοχο της εφαρμογής google forms, χωρίς να αποδείξει το Τμήμα ότι ενδεχόμενη διαβίβαση δεδομένων σε τρίτες χώρες έχει περιβληθεί τον κατάλληλο τύπο, εγγυήσεις και διαδικασία συνάδουσα με το Κεφ. V του Κανονισμού.

Αφού έλαβα υπόψιν τις ιδιαίτερες περιστάσεις της υπόθεσης και συνεκτίμησα όλες τις παραμέτρους αποφάσισα να επιβάλω στο Τμήμα την κύρωση της Προειδοποίησης επισημαίνοντας όπως –

(α) εφεξής και στο μέλλον συμμορφώνεται με τις διατάξεις του νομοθετικού πλαισίου και προβαίνει σε όλες τις απαραίτητες ενέργειες σύμφωνα με το σκεπτικό και,

(β) αναφορικά με τη συλλογή των δημογραφικών δεδομένων μέσω του ερωτηματολογίου απόσχει από την ανάλυση, διασύνδεση, και εξαγωγή συμπερασμάτων στη βάση εκείνων των δημογραφικών στοιχείων, που με βάση το σκεπτικό, θα μπορούσαν να αυξήσουν τον κίνδυνο ταυτοποίησης ή και δημιουργίας προφίλ ή και να οδηγήσουν σε διακρίσεις των εργοδοτουμένων.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία για διαρροή προσωπικών δεδομένων πολίτη σε τρίτο πρόσωπο

Πολίτης υπέβαλε καταγγελία στο Γραφείο μου, εναντίον της Αρχής Ηλεκτρισμού Κύπρου (εφεξής η «Καθ’ ης την καταγγελία»), σχετικά με διαρροή προσωπικών του δεδομένων σε τρίτο πρόσωπο. Η διαρροή αφορούσε απλής κατηγορίας προσωπικά δεδομένα, τα οποία περιέχονταν σε έντυπο συγκατάθεσης της Καθ’ ης την καταγγελία, το οποίο αντί να δοθεί στον ίδιο τον καταγγέλλοντα, τον οποίο και αφορούσε, δόθηκε σε τρίτο άτομο.

Όπως διαφάνηκε κατά τη διάρκεια διερεύνησης της καταγγελίας, η Καθ’ ης δεν διασφάλισε, ως όφειλε, την προστασία των προσωπικών δεδομένων του καταγγέλλοντος από ανεξουσιοδότητη ή παράνομη επεξεργασία. Ούτε και είχε λάβει, εκ των προτέρων, κατάλληλα μέτρα για να είναι σε θέση να εμποδίσει ή να εντοπίσει την καταγγελθείσα παραβίαση. Συνεπώς, διαπιστώνοντας παραβίαση των Άρθρων 5(1)(στ), 24(1) και 32 του Κανονισμού, επέβαλα διοικητικό πρόστιμο ύψους €5.000 στην Καθ’ ης την καταγγελία.

Για ολόκληρη την απόφαση πατήστε εδώ.

.