Σε σχέση με το θέμα αυτό, σχετικές είναι οι Ανακοινώσεις του Γραφείου μου ημερ. 6 Αυγούστου, 2021 και 6 Σεπτεμβρίου, 2021, τις οποίες μπορείτε να βρείτε εδώ και εδώ.

Το σωματείο ΟΜΟΝΟΙΑ και η εταιρεία Hellenic Technical Enterprises Ltd καταχώρησαν διοικητική προσφυγή εναντίον της Απόφασης μου, ενώ το ΑΠΟΕΛ καταχώρησε διοικητική προσφυγή εναντίον μέρους της Απόφασης μου.

Καταγγελία εναντίον της Altius Insurance Ltd για συλλογή υπερβολικών δεδομένων σε ασφαλιστικό συμβόλαιο

Υπεβλήθη καταγγελία εναντίον της ασφαλιστικής εταιρείας Altius Insurance Ltd (εφεξής η «Καθ’ ης»), από πρόσωπο που είχε συνάψει ασφαλιστικό συμβόλαιο και το οποίο υπήρξε συνεργάτης - ασφαλιστής της.

Ο Καταγγέλλων ανέφερε ότι ερωτάτο από την Καθ’ ης για το κόμμα στο οποίο ανήκε, επειδή σημείωσε στο συμβόλαιό του ότι ήταν μέλος πολιτικού κόμματος. Λόγω των αντικρουόμενων θέσεων που ετέθησαν ενώπιόν μου και της προκύπτουσας δυσχέρειας, αφού η καταγγελία υπεβλήθη με καθυστέρηση αρκετών χρόνων, το περιστατικό δεν μπορούσε να διερευνηθεί περαιτέρω.

Στο πλαίσιο όμως εξέτασης της καταγγελίας, διαπίστωσα ότι οι ερωτήσεις/πεδία του συμβολαίου για την αναγνώριση των πολιτικώς εκτεθειμένων προσώπων δεν ήταν διατυπωμένες με σαφήνεια και/ή εξέρχονταν του πλαισίου υποχρεώσεών της Καθ’ ης. Διαπίστωσα επίσης παραβίαση των άρθρων 5(1)(γ) και 6 του Κανονισμού αφού με βάση την αρχή της ελαχιστοποίησης, συλλέχθηκαν μη αναγκαία και ακατάλληλα δεδομένα προσωπικού χαρακτήρα του καταγγέλλοντος από όσα απαιτούνταν για εκπλήρωση των έννομων υποχρεώσεών της Καθ’ ης.

Λόγω των ανωτέρω, αποφάσισα:

(α) να δώσω Εντολή στην Καθ’ ης όπως, εντός ενός μηνός από τη λήψη της απόφασης, προβεί σε κατάλληλη αναδιατύπωση των υπό αναφορά προτάσεων του εντύπου πρότασης ασφάλισης κλάδου ζωής, ούτως ώστε να τηρούνται οι πρόνοιες των άρθρων 5(1)(γ) και 6 του Κανονισμού, και αποστείλει προς το Γραφείο μου το νέο έντυπο,

(β) να δώσω Εντολή στην Καθ’ ης όπως, εντός τριών μηνών από τη λήψη της απόφασης, προβεί σε καταστροφή όλων των απαντήσεων των πελατών της στις υπό αναφορά προτάσεις, και οι οποίες παραβιάζουν τα άρθρα 5(1)(γ) και 6 του Κανονισμού, και με ενημερώσει σχετικά.

Η Καθ’ ης συμμορφώθηκε με τις ανωτέρω εντολές.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία για μη ικανοποίηση δικαιώματος πρόσβασης από Mediterranean Hospital of Cyprus

Εργαζόμενος του Καθ’ ου υπέβαλε παράπονο στο Γραφείο μου, όπου ισχυρίστηκε ότι ζήτησε από τον εργοδότη να του κοινοποιηθούν όλα τα προσωπικά δεδομένα που τον αφορούσαν και συγκεκριμένα, οι πληροφορίες που αφορούν στις πληρωμές στο όνομα του από τον Οργανισμό Ασφάλισης Υγείας.

Το Γραφείο μου όταν έλαβε το παράπονο, επικοινώνησε μαζί με τον Διευθυντή του Νοσηλευτηρίου και ζητηθήκαν οι απόψεις του για την καταγγελία. Στην απάντηση του, ανέφερε ότι, είχε ικανοποιήσει το αίτημα πρόσβασης του καταγγέλλοντος και απέρριψε τους ισχυρισμούς του. Το Γραφείο μου ζήτησε αποδεικτικά της εν λόγω ικανοποίησης αλλά η απάντηση του Διευθυντή ήταν αρνητική.

Στη συνέχεια των πιο πάνω εξέδωσα Εντολή προς τον Καθ’ ου όπως παρασχεθούν οι πληροφορίες που είχαν ζητηθεί ως άνω, αλλά το Γραφείο μου δεν έλαβε τις εν λόγω πληροφορίες, ούτε επικοινώνησε ο Καθ’ ου με σχετική ενημέρωση.

Λαμβάνοντας υπόψη ότι αγνόησε τις εντολές μου και απέφυγε να συνεργαστεί με το Γραφείο μου κατά παράβαση του Άρθρου 31 και του Άρθρου 58(1)(α) του Κανονισμού, αποφάσισα όπως επιβάλλω προς το νοσηλευτήριο Mediterranean Hospital of Cyprus διοικητικό πρόστιμο ύψους €10,000.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία εναντίον του Συμβουλίου Αποχετεύσεως Λεμεσού – Αμαθούντας για επεξεργασία δεδομένων προσωπικού χαρακτήρα χωρίς συγκατάθεση

Οι Καταγγέλλoντες, κατήγγειλαν το Συμβούλιο Αποχετεύσεων Λεμεσού - Αμαθούντας, ότι επεξεργάστηκε προσωπικά δεδομένα τους, χωρίς την εκ των προτέρων συγκατάθεσή τους. Μετά τη διερεύνηση της καταγγελίας διαπιστώθηκε ότι η παράβαση αφορούσε στη μη τήρηση των μέτρων ασφαλείας. Έκρινα ότι δεν τηρήθηκαν επ’ ακριβώς οι οδηγίες ταυτοποίησης, ως αυτές απορρέουν από τις οδηγίες που είχα ήδη δώσει στο Συμβούλιο Αποχετεύσεων Λεμεσού - Αμαθούντας.

Στις 30/9/2021 εξέδωσα απόφαση Επίπληξης προς το Συμβούλιο Αποχετεύσεων Λεμεσού - Αμαθούντας, ως υπεύθυνος επεξεργασίας, όπως, στο μέλλον, ακολουθεί τις διαδικασίες για τήρηση του Κανονισμού, καθώς και των μέτρων ασφάλειας σε όλα τα τμήματα και υπηρεσίες που το απαρτίζουν και τελούν υπό τη διοίκηση του.

Σε περίπτωση που διαπιστωθεί ότι το Συμβούλιο Αποχετεύσεων Λεμεσού – Αμαθούντας, προβεί σε παρόμοιας φύσης παράβαση τους επόμενους έξι (6) μήνες, η παρούσα Επίπληξη θα επιμετρηθεί στην ενδεχόμενη επιβολή διοικητικής κύρωσης εναντίον του.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία εναντίον εταιρείας Crowd Tech Limited για τηλεφωνικές κλήσεις

Ο Καταγγέλλων, κάτοικος κράτους μέλους της Ε.Ε., έλαβε τρεις διαδοχικές τηλεφωνικές κλήσεις από εκπρόσωπο της εταιρείας Crowd Tech Limited, ενώ είχε ασκήσει το δικαίωμα διαγραφής και ανάκλησης της συγκατάθεσης του για περαιτέρω επεξεργασία των προσωπικών του δεδομένων. Η καταγγελία διαβιβάστηκε στο Γραφείο μου από την Αρχή του κράτους μέλους, για να διερευνηθεί ως τοπική υπόθεση, εφόσον η εταιρεία έχει την κύρια εγκατάσταση της στη Κύπρο.

Αφού εξετάστηκε το παράπονο, διαπιστώθηκε ότι ο καταγγέλλων ήταν πελάτης της Καθ’ ης την καταγγελία. Η Καθ’ ης δεν θα μπορούσε να ικανοποιήσει πλήρως το δικαίωμα διαγραφής του Καταγγέλλοντος εφόσον υπήρχαν άλλες νομικές υποχρεώσεις που την ανάγκαζαν να διατηρεί αρχείο με τα προσωπικά του δεδομένα. Θα μπορούσε όμως να ικανοποιήσει το δικαίωμα αντίταξης του σε σχέση με τις τηλεφωνικές κλήσεις, εφόσον δεν υφίστατο οποιαδήποτε νομική υποχρέωση σε σχέση με το θέμα αυτό.

Διαπιστώθηκε έλλειψη ορθής εκπαίδευσης του προσωπικού της εταιρείας, η οποία διενεργούσε τις τηλεφωνικές κλήσεις εκ μέρους της Καθ’ ης την καταγγελία (εκτελών την επεξεργασία), στο να αναγνωρίζει τα αιτήματα των υποκειμένων των δεδομένων και να διευκολύνει την άσκηση τους, όπως και καθυστέρηση στην ικανοποίηση του αιτήματος του υποκειμένου των δεδομένων σε σχέση με την αντίταξη στην λήψη τηλεφωνικών κλήσεων.

Ως εκ τούτου δυνάμει του Άρθρου 58(2)(β) του ΓΚΠΔ, απηύθυνα Επίπληξη στην Καθ’ ης, για παραβίαση των Άρθρων 6(1)(α), 12(2), 12(3), 17(1)(β) και 24 του Κανονισμού.

Εκδόθηκε Εντολή προς την Καθ’ ης την καταγγελία όπως εφαρμόσει ικανοποιητικά τεχνικά και οργανωτικά μέτρα έτσι ώστε να αναγνωρίζονται και να διευκολύνονται τα αιτήματα των υποκειμένων των δεδομένων. Δόθηκε περιθώριο τριών μηνών για ικανοποίηση της Εντολής με οδηγίες προς την Καθ’ ης την καταγγελία όπως ενημερώσει το Γραφείο μου για τις ενέργειες στις οποίες θα προβεί.

Η Καθ’ ης την καταγγελία έχει συμμορφωθεί με την Εντολή, προσφέροντας πρόσθετη εκπαίδευση επί του θέματος στο προσωπικό, εφαρμόζοντας πρόγραμμα ανταπόκρισης περιστατικού, δημιουργώντας ενημερωμένο αρχείο καταγραφής αιτημάτων, κ.ά.. Πέραν του συγκεκριμένου στοιχείου της Εντολής, έχει εφαρμόσει πρόσθετα τεχνικά και οργανωτικά μέτρα, σε σχέση με την συμμόρφωση ενός υπεύθυνου επεξεργασίας με τον Κανονισμό.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία για κοινοποίηση προσωπικών δεδομένων από εργοδοτουμένους του ΤΕΠΑΚ

Ο Καταγγέλων παραπονείτο ότι ο Καθ’ ου την καταγγελία αρ. 1 κοινοποιούσε δεδομένα προσωπικού του χαρακτήρα και γι’ αυτό ήταν υπόλογος ποινικών ευθυνών. Τόσο ο Καταγγέλλων όσο και ο Καθ’ ου την καταγγελία αρ. 1 ήταν εργοδοτούμενοι στο Τεχνολογικό Πανεπιστήμιο Κύπρου.

Ήταν ευθύνη του ΤΕΠΑΚ στα πλαίσια των υποχρεώσεων του για εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, να γνωρίζει σε ποιους αποστέλλονται στοιχεία ή/και έγγραφα, τα οποία αφορούσαν στον οργανισμό και στην περίπτωση που εντοπίζετο περιστατικό ασφάλειας, το οποίο θα οδηγούσε σε διαρροή δεδομένων προσωπικού χαρακτήρα, να λάμβανε τα δέοντα μέτρα.

Τα έγγραφα που κοινοποιούνταν και το περιεχόμενο αυτών δεν αφορούσαν στην προσωπική και οικογενειακή ζωή του Καταγγέλλοντος, αλλά αφορούσαν στην επαγγελματική του ιδιότητα και καθήκοντα στο ΤΕΠΑΚ. Οι κοινοποιήσεις στις οποίες προέβη ο Καθ’ ου την καταγγελία αρ. 1 ήταν προς άλλα τμήματα του ΤΕΠΑΚ και/ή προσωπικό, όπου θεωρούνται κοινοποιήσεις εντός του ίδιου του υπεύθυνου επεξεργασίας και όχι κοινοποιήσεις σε «τρίτους». Κοινοποιήσεις σε δικηγορικά γραφεία φαίνεται να αφορούσαν σε άτομα τα οποία παρείχαν διαχρονικά νομική συμβουλή εκατέρωθεν, επί των εγειρόμενων θεμάτων. Κοινοποιήσεις σε δημόσιες αρχές στα πλαίσια νομικής υποχρέωση για την άσκηση των επίσημων καθηκόντων τους, δεν θεωρούνται ως κοινοποίηση σε αποδέκτες.

Το κατά πόσο ο Καθ’ ου την καταγγελία αρ. 1 είναι υπόλογος ποινικού αδικήματος, ως ήταν η θέση του Καταγγέλλοντος, δεν είναι κάτι το οποίο άπτεται των αρμοδιοτήτων μου. Παραπέμφθηκε ο Καταγγέλλων για σχετική καταγγελία στην Αστυνομία. Το θέμα της ποινικής ευθύνης ακολούθως θα κριθεί ενώπιον Δικαστηρίου.

Σε σχέση με την αρχή της «Ανάγκης Γνώσης» και με τα στοιχεία που είχα στη διάθεση μου, δεν μπορούσα να καταλήξω σε ασφαλή συμπεράσματα για το κατά πόσον οι παραλήπτες των εγγράφων είχαν σχετική αρμοδιότητα να τα παραλαμβάνουν.

Έγινε Σύσταση προς το ΤΕΠΑΚ, όπως σε περίπτωση που δεν υπάρχουν, θεσπιστούν διαδικασίες τέτοιες οι οποίες να επιτρέπουν την διερεύνηση παρόμοιων καταγγελιών μέσω εσωτερικών μηχανισμών.

Για ολόκληρη την απόφαση πατήστε εδώ.

Αυτεπάγγελτη έρευνα εναντίον της εταιρείας WiSpear Ltd για παραβίαση Αρχών του Κανονισμού

Σχετική με το εν λόγω θέμα, η Ανακοίνωση του Γραφείου μου ημερ. 12 Νοεμβρίου, 2021, την οποία μπορείτε να βρείτε εδώ.

Καταγγελία εναντίον της Universal Life Insurance Public Co. Ltd για ανεπιθύμητη κλήση εμπορικής προώθησης προς υπηρεσιακό τηλεφωνικό αριθμό

O Καταγγέλλων είχε λάβει κλήση στο υπηρεσιακό του τηλέφωνο από συνεργάτιδα ασφαλιστική διαμεσολαβήτρια της Καθ’ ης, για προώθηση υπηρεσιών / συμβολαίων της Καθ’ ης. Η καλούσα ζήτησε ονομαστικά τον Καταγγέλλοντα και του ανέφερε ότι ο συγκεκριμένος τρόπος προσέγγισης αποτελεί πολιτική της Καθ’ ης.

Αφού ζητήθηκαν οι θέσεις της Καθ’ ης, αποφάσισα ότι , η πρακτική που ακολουθείται, δεν θεωρείται νόμιμη και θεμιτή λαμβάνοντας υπόψη ότι, διενεργούνται τηλεφωνικές κλήσεις, χωρίς να προηγηθεί η λήψη της ανάλογης συγκατάθεσης από το υποκείμενο των δεδομένων και χωρίς να υπάρχει οποιαδήποτε συμβατική σχέση.

Ως εκ τούτου δυνάμει του Άρθρου 58(2)(β) του ΓΚΠΔ, απηύθυνα Επίπληξη στην Καθ’ ης, για παραβίαση του Άρθρου 6(1) του ΓΚΠΔ και συνέστησα όπως προς αποφυγή παρόμοιων περιστατικών στο μέλλον, η Καθ’ ης απέχει από οποιαδήποτε απευθείας εμπορική προώθηση, χωρίς να υπάρχει νομική βάση, και ακολουθεί όλες τις διαδικασίες προς συμμόρφωση με τον ΓΚΠΔ.

Σε περίπτωση που διαπιστωθεί ότι η Καθ’ ης προβεί σε παρόμοιας φύσης παράβαση του ΓΚΠΔ, η παρούσα επίπληξη θα επιμετρηθεί αναλόγως.

Για ολόκληρη την απόφαση πατήστε εδώ.