Καταγγελία αναφορικά με τη δημοσιοποίηση προσωπικών δεδομένων, από τις Εκδόσεις Αρκτίνος Λτδ, σε δημοσιεύματα που αφορούν στη διαχείριση τουρκοκυπριακών περιουσιών
Στα πλαίσια Κοινοβουλευτικού Ελέγχου, το Υπουργείο Εσωτερικών κοινοποίησε στη Βουλή των Αντιπροσώπων (ΒτΑ), έντυπα με πληροφορίες και δεδομένα προσωπικού χαρακτήρα των υπαλλήλων της Υπηρεσίας Διαχείρισης Τουρκοκυπριακών Περιουσιών (ΥΔτ/κΠ) και των μελών Ειδικών Συμβουλευτικών Επιτροπών και των συγγενών τους, μέχρι β’ βαθμού συγγένειας. Οι εν λόγω υπάλληλοι και μέλη είχαν συμπληρώσει και παραδώσει στην ΥΔτ/κΠ, Υπεύθυνη Δήλωση, στην οποία ανέγραψαν τα ζητούμενα δεδομένα, με σκοπό όπως αυτή παραδοθεί στη ΒτΑ και στην οποία αναγραφόταν ρητά ότι, τα δεδομένα θα τύγχαναν εμπιστευτικής χρήσης. Ωστόσο, τα δεδομένα αυτά δημοσιεύτηκαν, εκ των υστέρων, στον ημερήσιο τύπο, στην Εφημερίδα «Πολίτης».
Μέσω των επίμαχων δημοσιευμάτων, οι Εκδόσεις Αρκτίνος Λτδ (ιδιοκτήτες και κατά νόμον υπεύθυνοι όλων των εκδόσεων της Εφημερίδας «Πολίτης»), είχαν προβεί σε αποκάλυψη των ονοματεπωνύμων υπαλλήλων της ΥΔτ/κΠ και μελών των Ειδικών Συμβουλευτικών Επιτροπών, οι οποίοι κατείχαν (είτε οι ίδιοι είτε στενοί συγγενείς τους) τουρκοκυπριακές περιουσίες, την ιδιότητα και τη θέση τους, ως υπηρετούντες στην ΥΔτ/κΠ ή μέλη επιτροπών, τη χρήση της τ/κ περιουσίας (γεωργική/ οικιακή) και την κατοχή και την έκταση της τ/κ περιουσίας, από τους ίδιους ή στενά συγγενικά τους πρόσωπα.
Στις 05 Οκτωβρίου 2022, υποβλήθηκε καταγγελία, στο Γραφείο μου, από φυσικά πρόσωπα (στο εξής, «οι Καταγγέλοντες»), σχετικά με την αποκάλυψη των δεδομένων τους, μέσω δημοσιευμάτων στην έντυπη και διαδικτυακή έκδοση της Εφημερίδας «Πολίτης», ημερομηνίας ΧΧΧΧ, καθώς και στην ανάρτηση στο μέσο κοινωνικής δικτύωσης Facebook.
Υπό το πρίσμα των στοιχείων που είχαν τεθεί ενώπιόν μου, στις 10 Ιανουαρίου 2024, εξέδωσα Απόφαση, καθότι εντόπισα παραβίαση των διατάξεων του Άρθρου 5(1)(γ) του Κανονισμού, ήτοι της Αρχής της αναλογικότητας/ ελαχιστοποίησης των δεδομένων, εκ μέρους των Εκδόσεων Αρκτίνος Λτδ. Έκρινα ότι, οι Εκδόσεις Αρκτίνος Λτδ παρέλειψαν να προβούν σε ορθή στάθμιση των δύο δικαιωμάτων, ήτοι του δικαιώματος της έκφρασης και του τύπου με εκείνο της προστασίας της ιδιωτικής ζωής και των προσωπικών δεδομένων των Καταγγελλόντων και ενήργησαν εκτός των ορίων της Αρχής της αναλογικότητας. Δεν αποτέλεσε αντικείμενο της Απόφασης, ο τρόπος με τον οποίο, οι Εκδόσεις Αρκτίνος Λτδ εξασφάλισαν τα εν λόγω δεδομένα.
Αξιολογώντας όλους τους μετριαστικούς και επιβαρυντικούς παράγοντες, αποφάσισα όπως επιβάλω στις Εκδόσεις Αρκτίνος Λτδ, διοικητικό πρόστιμο ύψους €5,000 (πέντε χιλιάδων ευρώ) και εντολή όπως διαγράψουν τα προσωπικά δεδομένα, από το διαδικτυακό έντυπο της εφημερίδας «Πολίτης», ημερομηνίας ΧΧΧΧ, για την εκ μέρους τους παραβίαση του Άρθρου 5(1)(γ) του Κανονισμού.
Στις 22 Φεβρουαρίου 2024, οι Εκδόσεις Αρκτίνος καταχώρησαν Προσφυγή εναντίον της Απόφασης που εξέδωσα, η οποία εκκρεμεί ενώπιον του Δικαστηρίου.
Καταγγελία για μη ικανοποίηση του δικαιώματος διαγραφής
Υποβλήθηκε καταγγελία στην Γερμανική Αρχή Προστασίας Δεδομένων State Commissioner for Data Protection North Rhine-Westphalia SA, εναντίον της εταιρείας VIVERNO MARKETS LTD (πρώην BDSwiss Holding PLC), η οποία διαβιβάστηκε στο Γραφείο μου, μέσω της διαδικασίας συνεργασίας και συνεκτικότητας του Κανονισμού. Η καταγγελία αφορούσε στη μη ικανοποίηση του δικαιώματος διαγραφής του Καταγγέλλοντος, από την εταιρεία. Σύμφωνα με τον Καταγγέλλοντα, η εταιρεία δεν διέγραψε τα προσωπικά του δεδομένα παρά τα επανειλημμένα αιτήματα. Παρά το ότι, έλαβε απάντηση ότι ο λογαριασμός του είχε κλείσει, τα δεδομένα του ήταν ακόμα αποθηκευμένα.
Η εταιρεία ανέφερε ότι κατόπιν του αιτήματος του Καταγγέλλοντος, έκλεισε τον λογαριασμό του και τον ενημέρωσε την ίδια μέρα. Την ίδια μέρα, ο Καταγγέλλων έστειλε εκ νέου email στην εταιρεία, ζητώντας, πέραν από το κλείσιμο του λογαριασμού και τη διαγραφή των προσωπικών του δεδομένων. Η εταιρεία με πληροφόρησε ότι δεν είχε απαντήσει στο 2ο email, καθώς η διαγραφή των δεδομένων δεν ήταν δυνατή, βάσει νομικής υποχρέωσης διατήρησης των δεδομένων. Μετά από αλληλογραφία που αντάλλαξε το Γραφείο μου με την εταιρεία, η εταιρεία διευκρίνισε ότι με βάση τον περί Βεβαιώσεως και Εισπράξεως Φόρων Νόμο του 1978 (Ν. 4/1978) έχει υποχρέωση διατήρησης των δεδομένων για έξι έτη από το τέλος του φορολογικού έτους στο οποίο αναφέρονται.
Βάσει του Άρθρου 17(3)(β), η εταιρεία δεν ήταν υποχρεωμένη να διαγράψει τα δεδομένα του Καταγγέλλοντος, λόγω του ότι είχε νομική υποχρέωση να διατηρήσει τα δεδομένα. Ωστόσο, επέβαλα Επίπληξη στην εταιρεία για παράβαση του Άρθρου 12(4), επειδή δεν απάντησε στο 2ο email του Καταγγέλλοντος εντός ενός μηνός για να του παράσχει τους λόγους για τους οποίους δεν έλαβε μέτρα και να τον πληροφορήσει σχετικά με τη δυνατότητα υποβολής καταγγελίας στην Εποπτική αρχή και την δυνατότητα να ζητήσει ένδικα μέσα.
Για ολόκληρη την Απόφαση πατήστε εδώ.
Καταγγελία για μη ικανοποίηση του δικαιώματος διαγραφής
Υπεβλήθη καταγγελία σε Γερμανική Εποπτική Αρχή εναντίον της εταιρείας MG Social LTD, η οποία μετονομάστηκε σε Aylo Social LTD (εφεξής η «Καθ’ ης»), η οποία διαχειρίζεται τον ιστότοπο mydirtyhobby.de, σχετικά με την μη ικανοποίηση δικαιώματος διαγραφής. Λαμβάνοντας υπόψη ότι η Καθ’ ης έχει την κύρια εγκατάσταση της στην Κύπρο, το Γραφείο μου ανέλαβε την διερεύνηση της καταγγελίας.
Ο Καταγγέλλων ζήτησε την διαγραφή των δεδομένων του μέσω 2 μηνυμάτων ηλεκτρονικού ταχυδρομείου, στα οποία ισχυρίστηκε ότι δεν έλαβε απάντηση από την Καθ’ ης.
Το Γραφείο μου ζήτησε τις θέσεις της Καθ’ ης για τα πιο πάνω, η οποία ανέφερε ότι, το προσωπικό υποστήριξης απάντησε και στις 2 περιπτώσεις στον Καταγγέλλοντα με τις διαθέσιμες επιλογές σχετικά με την απενεργοποίηση του λογαριασμού του Καταγγέλλοντος ή τη διαγραφή του, παρέχοντας περαιτέρω πληροφορίες για το τι συνεπάγεται η κάθε επιλογή. Επιπλέον, δόθηκε ένας σύνδεσμος στο τέλος του μηνύματος, ο οποίος παρέπεμπε σε ηλεκτρονική πλατφόρμα όπου το υποκείμενο των δεδομένων καλείται να επαληθεύσει την διεύθυνση ηλεκτρονικού ταχυδρομείου του. Ο Καταγγέλλων δεν προέβη σε καμία σχετική ή περαιτέρω ενέργεια σχετικά με τις παρεχόμενες οδηγίες.
Έλαβα υπόψη τα γεγονότα και τις θέσεις της Καθ’ ης και διαπίστωσα παραβίαση:
α. του Άρθρου 12(4), καθώς η Καθ΄ης δεν ενημέρωσε τον Καταγγέλλοντα για την μη ικανοποίηση του αιτήματος διαγραφής εντός του χρονικού πλαισίου,
β. του Άρθρου 13, καθώς δεν παρείχε κατάλληλες πληροφορίες κατά την επίσκεψη στην ηλεκτρονική πλατφόρμα και
γ. του Άρθρου 17, αφού δεν ικανοποιήθηκε το δικαίωμα διαγραφής του Καταγγέλλοντος.
Σε συνέχεια του πιο πάνω αποφάσισα να απευθύνω Επίπληξη στην Καθ’ ης για τις παραβάσεις των Άρθρων 12(4) και 13 και διοικητικό πρόστιμό ύψους €1,500 για την παράβαση του Άρθρου 17.
Περαιτέρω δόθηκε Εντολή στην Καθ’ ης όπως:
α. ικανοποιήσει άμεσα το αίτημα διαγραφής του Καταγγέλλοντος,
β. συμμορφωθεί με τις υποχρεώσεις τις όσο αφορά στην ενημέρωση των επισκεπτών στην ηλεκτρονική πλατφόρμα ικανοποίησης δικαιωμάτων και
γ. αναθεωρήσει την διαδικασία χειρισμού των αιτημάτων των υποκειμένων των δεδομένων.
Για ολόκληρη την Απόφαση πατήστε εδώ.
Καταγγελία για συλλογή δεδομένων σε αίτηση εργασίας
Κοινοποιήθηκε ανώνυμη καταγγελία στο Γραφείο μου, μέσω του Τμήματος Εργασιακών Σχέσεων, σχετικά με τη συλλογή υπερβολικών δεδομένων σε αίτηση για εργασία στην εταιρεία Stasis Estates. Η εταιρεία προέβη στις απαιτούμενες τροποποιήσεις που υπέδειξα, όσον αφορά στα δεδομένα που ζητούνταν και στο κείμενο ενημέρωσης που περιλαμβανόταν στην αίτηση. Ωστόσο, δεν προέβη σε αφαίρεση του πεδίου που αφορά στους μισθούς των τριών προηγούμενων εργασιακών εμπειριών.
Λαμβάνοντας υπόψιν τις θέσεις της εταιρείας, έκρινα ότι θα μπορούσε υπό προϋποθέσεις να ζητούνται οι μισθοί προηγούμενων εργασιακών εμπειριών. Οι μισθοί αυτοί θα μπορούσαν να ζητούνται σε διαδικασίες πρόσληψης για διευθυντικές και/ή ανώτερες θέσεις, όχι από το αρχικό στάδιο της διαδικασίας, αλλά μόνο για τους αιτητές που έχουν περάσει με επιτυχία το αρχικό στάδιο ή στάδια της διαδικασίας. Σε κάθε περίπτωση, θα πρέπει να γίνεται στάθμιση της αναγκαιότητας της επεξεργασίας του δεδομένου αυτού.
Επειδή η εταιρεία είχε το ίδιο έντυπο αίτησης εργασίας για όλες τις θέσεις εργασίας, απέτυχε να αποδείξει ότι δικαιολογείται η συλλογή και, γενικότερα, η επεξεργασία του εν λόγω δεδομένου, κατά παράβαση της Αρχής της ελαχιστοποίησης, ήτοι του Άρθρου 5(1)(γ) του Κανονισμού.
Για τον λόγο αυτό, αποφάσισα να απευθύνω Εντολή στην εταιρεία όπως:
- τροποποιήσει και/ή διαμορφώσει το έντυπο αίτησης εργασίας ούτως ώστε να συλλέγει δεδομένα σχετικά με τη μισθοδοσία που είχαν αιτητές σε προηγούμενες εργασίες εμπειρίες, μόνο σε περιπτώσεις πρόσληψης για διευθυντικές και/ή ανώτερες θέσεις, όχι στο αρχικό στάδιο ή στάδια της διαδικασίας πρόσληψης, προβαίνοντας για κάθε τέτοια διαδικασία, σε στάθμιση της αναγκαιότητας της επεξεργασίας των εν λόγω δεδομένων, και
- με ενημερώσει σχετικά για τις ενέργειές της, εντός δύο μηνών από τη λήψη της Απόφασης.
Στο παρόν στάδιο, το Γραφείο μου παρακολουθεί τη συμμόρφωση της εταιρείας Stasis Estates με την Εντολή που απηύθυνα.
Για ολόκληρη την Απόφαση πατήστε εδώ.
Καταγγελίες για κοινοποίηση ιατρικών βεβαιώσεων σε τρίτο πρόσωπο
Ο Καταγγέλλων υπέβαλε στο Γραφείο μου, ξεχωριστά, δύο καταγγελίες εναντίον δύο ιατρών. Σύμφωνα με τις καταγγελίες, η πρώην σύζυγος του Καταγγέλλοντος εξασφάλισε από τους ιατρούς, εν αγνοία και χωρίς τη συγκατάθεση του Καταγγέλλοντος, ιατρικές βεβαιώσεις οι οποίες αφορούσαν στον Καταγγέλλοντα, για προσωπικό της όφελος. Οι καταγγελίες δεν αφορούσαν στην κατάθεση των εκθέσεων από την πρώην σύζυγο του Καταγγέλλοντος στη μεταξύ τους δικαστική διαδικασία στο Οικογενειακό Δικαστήριο, αλλά στην κοινοποίησή τους από τους ιατρούς σε αυτήν. Στη μία βεβαίωση αναφέρονταν επεμβάσεις στις οποίες υπεβλήθη ο Καταγγέλλων το 2014, ενώ στην άλλη βεβαίωση αναφερόταν ότι ο Καταγγέλλων παρακολουθείτο από τον ιατρό για την περίοδο 2003 - 2012. Και οι δύο ιατρικές βεβαιώσεις εκδόθηκαν το 2022 και ανέφεραν, επιπλέον, ότι ο Καταγγέλλων συνοδευόταν από τη σύζυγό του.
Ο κάθε ιατρός αποτελεί υπεύθυνο επεξεργασίας, αφού έκαστος αποφάσισε να εκδώσει τη βεβαίωση για τα δεδομένα του Καταγγέλλοντος που κατείχε. Το γεγονός ότι η πρώην σύζυγος του Καταγγέλλοντος είχε ζητήσει να λάβει βεβαίωση για τις πράξεις της, συγκεκριμένα ότι συνόδευε τον Καταγγέλλοντα, δεν σημαίνει αυτομάτως ότι δικαιούται να λάβει, χωρίς προϋποθέσεις, προσωπικά του δεδομένα, ακόμη κι αν αυτά ήταν γνωστά σε αυτήν.
Στο πλαίσιο της διερεύνησης και βάσει των στοιχείων που οι ιατροί υπέβαλαν προς το Γραφείο μου, έκρινα ότι οι ιατροί επεξεργάστηκαν δεδομένα του Καταγγέλλοντος που αφορούν στην υγεία χωρίς νομική βάση, κατά παράβαση του Άρθρου 9(2) του Κανονισμού. Πέραν τούτου, δεν τήρησαν τις Αρχές της νομιμότητας, αντικειμενικότητας και διαφάνειας, ήτοι το Άρθρο 5(1)(α) του Κανονισμού, αφού τα δεδομένα δεν υποβλήθηκαν σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο.
Λαμβάνοντας, μεταξύ άλλων, υπόψιν ότι τα δεδομένα που περιλαμβάνονταν στις βεβαιώσεις ήταν εις γνώσιν της πρώην συζύγου του Καταγγέλλοντος, επειδή ο ίδιος το επέτρεψε, έκρινα ότι δεν δικαιολογείτο η επιβολή διοικητικού προστίμου. Ωστόσο, επέβαλα σε κάθε ιατρό Επίπληξη για την παραβίαση των Άρθρων 5(1)(α) και 9(2) του Κανονισμού και τους κάλεσα να μην επαναλάβουν σχετική επεξεργασία, χωρίς την κατάλληλη νομική βάση.
Για ολόκληρη την Απόφαση προς τον πρώτο ιατρό πατήστε εδώ.
Για ολόκληρη την Απόφαση προς το δεύτερο ιατρό πατήστε εδώ.
Καταγγελίες για παραβίαση δεδομένων προσωπικού χαρακτήρα λόγω ενσωμάτωσης εργαλείων Google και Facebook σε ιστότοπους
Το Γραφείο μου έλαβε τρεις καταγγελίες σχετικά με φερόμενη παραβίαση των διατάξεων του Κεφαλαίου V του Κανονισμού. Οι καταγγελίες υπεβλήθησαν στην Εποπτική Αρχή Προστασίας Δεδομένων της Αυστρίας, από κάτοικο Αυστρίας, ο οποίος εκπροσωπείτο, δυνάμει του Άρθρου 80(1) του Κανονισμού, από τον μη - κερδοσκοπικό οργανισμό noyb – European Centre for Digital Rights. Αναφέρω ότι σχετικές καταγγελίες για άλλες εταιρείες, συνολικά 101, είχαν υποβληθεί εναντίον εταιρειών που έχουν έδρα σε όλα τα κράτη μέλη. Για τον λόγο αυτό, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημιούργησε ειδική ομάδα για ομοιόμορφο χειρισμό των καταγγελιών.
Συγκεκριμένα, οι καταγγελίες ήταν εναντίον:
Α. της Κυπριακής Ομοσπονδίας Ποδοσφαίρου (ΚΟΠ) και της εταιρείας Google LLC,
Β. του Κυπριακού Πρακτορείου Ειδήσεων (ΚΥΠΕ) και της εταιρείας Google LLC,
Γ. των Εκδόσεων «ΑΡΚΤΙΝΟΣ» Λτδ - εφημερίδα ΠΟΛΙΤΗΣ (Εκδόσεις), της εταιρείας Facebook Ireland Ltd και της εταιρείας Facebook Inc.
Όσον αφορά και στις τρεις καταγγελίες, η ΚΟΠ, το ΚΥΠΕ και οι Εκδόσεις αποτελούν ξεχωριστά τον υπεύθυνο επεξεργασίας για τις υπό διερεύνηση επεξεργασίες, αφού οι ίδιες οι εταιρείες έχουν καθορίσει τους σκοπούς και τα μέσα των επεξεργασιών, οι οποίες πραγματοποιούνται λόγω της ενσωμάτωσης εργαλείου στον ιστότοπό τους. Ως υπεύθυνοι επεξεργασίας, όφειλαν να λαμβάνουν όλα τα μέτρα ούτως ώστε να μην υπονομεύεται το επίπεδο προστασίας των προσωπικών δεδομένων τα οποία επεξεργάζονται ή που αναθέτουν την επεξεργασία σε εκτελούντα την επεξεργασία.
Κατά τον ουσιώδη χρόνο δεν υπήρχε απόφαση επάρκειας των Η.Π.Α. Σύμφωνα με την απόφαση του ΔΕΕ C-311/18, οι τυποποιημένες συμβατικές ρήτρες, ως εργαλείο διαβίβασης δεν μπορούν να δεσμεύσουν τις αρχές της τρίτης χώρες. Πέραν τούτου, λαμβάνοντας υπόψιν ότι δεν είναι περιστασιακή η επεξεργασία δεδομένων λόγω ενσωμάτωσης εργαλείου, δεν μπορεί να χρησιμοποιηθεί οποιαδήποτε παρέκκλιση για ειδικές καταστάσεις, σύμφωνα με το άρθρο 49 του Κανονισμού.
Το εργαλείο Google Analytics είναι μια υπηρεσία μέτρησης που επιτρέπει στους ιδιοκτήτες των ιστοτόπων να μετρούν, μεταξύ άλλων, τα χαρακτηριστικά επισκεψιμότητας. Αυτό περιλαμβάνει τη μέτρηση της επισκεψιμότητας των επισκεπτών που επισκέπτονται ένα συγκεκριμένο ιστότοπο. Με αυτό τον τρόπο, καθίσταται δυνατή η κατανόηση της συμπεριφοράς των επισκεπτών του ιστοτόπου και του τρόπου με τον οποίο οι επισκέπτες αλληλεπιδρούν με ένα συγκεκριμένο ιστότοπο. Συγκεκριμένα, ιδιοκτήτης ενός ιστοτόπου μπορεί να δημιουργήσει ένα λογαριασμό Google Analytics και να προβάλλει αναφορές σχετικά με τον ιστότοπο χρησιμοποιώντας ένα πίνακα ελέγχου. Το Google Analytics μπορεί επίσης να μετρήσει και να βελτιστοποιήσει την αποτελεσματικότητα των διαφημιστικών καμπανιών που πραγματοποιούν οι ιδιοκτήτες ιστοτόπων στις υπηρεσίες διαφημίσεων Google.
Το εργαλείο Facebook Pixel (εφεξής το «εργαλείο») είναι ένα τμήμα κώδικα το οποίο τοποθετείται σε ιστότοπο και επιτρέπει τη μέτρηση της αποτελεσματικότητας των διαφημίσεων της εταιρείας - ιστοτόπου, κατανοώντας τις ενέργειες που κάνουν οι χρήστες στον ιστότοπο. Βάσει πληροφοριών σε ιστοσελίδα του Facebook, το εργαλείο Pixel της Meta (ως ονομάζεται πλέον) μπορεί να βοηθήσει τον ιστότοπο - εταιρεία να κατανοήσει την αποτελεσματικότητα των διαφημίσεών της και τις ενέργειες που πραγματοποιούν οι χρήστες στον ιστότοπο, όπως η επίσκεψη σε μια σελίδα ή η προσθήκη ενός προϊόντος στο καλάθι. Δίνεται, επίσης, η δυνατότητα να βλέπει η εταιρεία πότε οι πελάτες πραγματοποίησαν κάποια ενέργεια αφού είδαν τη διαφήμιση στο Facebook και στο Instagram, πράγμα που μπορεί να βοηθήσει με την επαναστόχευση. Το εργαλείο Facebook Pixel χρησιμοποιείται για να βεβαιωθεί ο ιστότοπος - εταιρεία ότι οι διαφημίσεις της προβάλλονται στα κατάλληλα άτομα, να αυξήσει τις πωλήσεις της εταιρείας και να μετρήσει η εταιρεία τα αποτελέσματα των διαφημίσεών της.
Α. Καταγγελία εναντίον της Κυπριακής Ομοσπονδίας Ποδοσφαίρου και της εταιρείας Google LLC
Σύμφωνα με την καταγγελία, ο Καταγγέλλων επισκέφθηκε τον ιστότοπο http://cfa.com.cy, ενώ ήταν συνδεδεμένος, με την ηλεκτρονική του διεύθυνση, σε λογαριασμό Google. Λόγω του ότι ο ιστότοπος είχε ενσωματωμένο τον κώδικα HTML για Google Services (περιλαμβανομένου του Google Analytics), πραγματοποιήθηκε επεξεργασία των προσωπικών δεδομένων του Καταγγέλλοντος.
Σύμφωνα με τα στοιχεία που απέστειλε ο Καταγγέλλων, έχει διαφανεί κοινοποίηση δεδομένων, μέσω των cookies, από υπηρεσίες που παρέχει η Google, για σκοπούς μάρκετινγκ και analytics Επομένως, προκύπτει ότι η εγκατάσταση του εργαλείου στον ιστότοπο, είχε ως αποτέλεσμα διαβίβαση δεδομένων του Καταγγέλλοντος στις Η.Π.Α.
Συμπερασματικά, η ΚΟΠ δεν απέδειξε ότι, λόγω της διαβίβασης, το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο Κανονισμός δεν υπονομεύεται, κατά παράβαση του Άρθρου 44 του Κανονισμού. Ωστόσο, αξιολογώντας την εν λόγω διαβίβαση, δεν μπορεί να διαπιστωθεί παραβίαση του Άρθρου 44 του Κανονισμού από τη Google LLC.
Λαμβάνοντας υπόψιν όλα τα στοιχεία που είχαν τεθεί ενώπιόν μου, έκρινα ότι υπό τις περιστάσεις δεν δικαιολογείτο η επιβολή διοικητικού προστίμου. Ωστόσο, αποφάσισα να απευθύνω στην Κυπριακή Ομοσπονδία Ποδοσφαίρου:
Επίπληξη για την παραβίαση του Άρθρου 44 του Κανονισμού, και
Εντολή όπως, σε περίπτωση που συνεχίζει να χρησιμοποιεί το εργαλείο, διασφαλίσει ότι η διαβίβαση μπορεί να πραγματοποιηθεί στη βάση του νέου Πλαισίου Προστασίας Δεδομένων ΕΕ – ΗΠΑ, Εκτελεστική Απόφαση (ΕΕ) 2023/1795, ή στη βάση κατάλληλης εγγύησης δυνάμει του Άρθρου 46 του Κανονισμού, και με ενημερώσει σχετικά εντός ενός μηνός από τη λήψη της Απόφασης.
Στο παρόν στάδιο, το Γραφείο μου παρακολουθεί τη συμμόρφωση της Κυπριακής Ομοσπονδίας Ποδοσφαίρου με την Εντολή.
Για ολόκληρη την Απόφαση πατήστε εδώ.
Β. Καταγγελία εναντίον του Κυπριακού Πρακτορείου Ειδήσεων και της εταιρείας Google LLC
Βάσει της καταγγελίας, ενώ ο Καταγγέλλων ήταν συνδεδεμένος με την ηλεκτρονική του διεύθυνση, σε λογαριασμό Google, επισκέφθηκε τον ιστότοπο http://www.cna.org.cy. Λόγω του ότι ο ιστότοπος είχε ενσωματωμένο τον κώδικα HTML για Google Services (περιλαμβανομένου του Google Analytics), πραγματοποιήθηκε επεξεργασία των προσωπικών δεδομένων του Καταγγέλλοντος.
Εξετάζοντας τα στοιχεία που απέστειλε ο Καταγγέλλων, διαπιστώθηκε κοινοποίηση δεδομένων, μέσω των cookies, από υπηρεσίες που παρέχει η Google, για σκοπούς μάρκετινγκ και analytics Επομένως, προκύπτει ότι η εγκατάσταση του εργαλείου στον ιστότοπο, είχε ως αποτέλεσμα διαβίβαση δεδομένων του καταγγέλλοντος στις Η.Π.Α.
Δυνάμει του Άρθρου 5(2) του Κανονισμού, ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»). Ωστόσο, βάσει των θέσεων που το ΚΥΠΕ υπέβαλε προς το Γραφείο μου, διαπίστωσα ότι όχι μόνο δεν απέδειξε τη συμμόρφωσή του με το Άρθρο 5(1) του Κανονισμού, αλλά ούτε και αναγνώρισε την επεξεργασία η οποία διενεργήθηκε λόγω της δικής του απόφασης για ενσωμάτωση του εργαλείου.
Επίσης, το ΚΥΠΕ δεν απέδειξε ότι, λόγω της διαβίβασης, το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο Κανονισμός δεν υπονομεύεται, κατά παράβαση του Άρθρου 44 του Κανονισμού. Ωστόσο, αξιολογώντας την εν λόγω διαβίβαση, έκρινα ότι δεν μπορεί να διαπιστωθεί παραβίαση του Άρθρου 44 του Κανονισμού από τη Google LLC.
Λαμβάνοντας υπόψιν όλα τα στοιχεία που είχαν τεθεί ενώπιόν μου, έκρινα ότι υπό τις περιστάσεις δεν δικαιολογείτο η επιβολή διοικητικού προστίμου. Ωστόσο, αποφάσισα να απευθύνω στο Κυπριακό Πρακτορείο Ειδήσεων:
Επίπληξη για την παραβίαση του Άρθρου 5(2) του Κανονισμού,
Επίπληξη για την παραβίαση του Άρθρου 44 του Κανονισμού, και
Εντολή όπως, σε περίπτωση που συνεχίζει να χρησιμοποιεί το εργαλείο, διασφαλίσει ότι η διαβίβαση μπορεί να πραγματοποιηθεί στη βάση του νέου Πλαισίου Προστασίας Δεδομένων ΕΕ – ΗΠΑ, Εκτελεστική Απόφαση (ΕΕ) 2023/1795, ή στη βάση κατάλληλης εγγύησης δυνάμει του Άρθρου 46 του Κανονισμού, και με ενημερώσει σχετικά εντός ενός μηνός από τη λήψη της Απόφασης.
Στο παρόν στάδιο, το Γραφείο μου παρακολουθεί τη συμμόρφωση του Κυπριακού Πρακτορείου Ειδήσεων με την Εντολή που απηύθυνα.
Για ολόκληρη την Απόφαση πατήστε εδώ.
Γ. Καταγγελία εναντίον των Εκδόσεων «ΑΡΚΤΙΝΟΣ» Λτδ (εφημερίδα ΠΟΛΙΤΗΣ), της εταιρείας Facebook Ireland Ltd και της εταιρείας Facebook Inc.
Στην καταγγελία αναφερόταν ότι ο Καταγγέλλων επισκέφθηκε τον ιστότοπο https://politis.com.cy, ενώ ήταν συνδεδεμένος, με την ηλεκτρονική του διεύθυνση, σε λογαριασμό Facebook. Στον ιστότοπο, ήταν ενσωματωμένος κώδικας HTML για Facebook Services (περιλαμβανομένου του Facebook Connect). Λόγω της ενσωμάτωσης του εργαλείου αυτού, προσωπικά δεδομένα του Καταγγέλλοντος έτυχαν επεξεργασίας, εκ των οποίων, τουλάχιστον κάποια, διαβιβάστηκαν στο Facebook Inc, στις Η.Π.Α.
Διαπίστωσα παραβίαση από τις Εκδόσεις, αφού όχι μόνο δεν απέδειξαν τη συμμόρφωσή της με το Άρθρο 5(1) του Κανονισμού, αλλά ούτε και αναγνωρίσαν την επεξεργασία, η οποία διενεργήθηκε λόγω της δικής της απόφασης για ενσωμάτωση του εργαλείου.
Στο πλαίσιο της διερεύνησης της καταγγελίας και εξετάζοντας τα στοιχεία που τέθηκαν ενώπιον μου, διαπίστωσα ότι κοινοποιήθηκαν δεδομένα του Καταγγέλλοντος από υπηρεσίες που παρέχει το Facebook. Επίσης, διαπίστωσα ότι κοινοποίηση δεδομένων στο Facebook Inc. αποτελεί διαβίβαση δεδομένων. Εν τούτοις, οι Εκδόσεις δεν απέδειξαν ότι, λόγω της διαβίβασης, το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο Κανονισμός δεν υπονομεύεται, κατά παράβαση του Άρθρου 44 του Κανονισμού. Εξετάζοντας, όμως, την εν λόγω διαβίβαση έκρινα ότι δεν μπορεί να διαπιστωθεί παραβίαση του Άρθρου 44 του Κανονισμού από το Facebook Inc.
Λαμβάνοντας υπόψιν όλα τα στοιχεία που είχαν τεθεί ενώπιόν μου, έκρινα ότι υπό τις περιστάσεις δεν δικαιολογείτο η επιβολή διοικητικού προστίμου. Ωστόσο, αποφάσισα να απευθύνω στις Εκδόσεις «ΑΡΚΤΙΝΟΣ» Λτδ:
Επίπληξη για την παραβίαση του Άρθρου 5(2) του Κανονισμού,
Επίπληξη για την παραβίαση του Άρθρου 44 του Κανονισμού, και
Εντολή όπως, σε περίπτωση που συνεχίζει να χρησιμοποιεί το εργαλείο, διασφαλίσει ότι η διαβίβαση μπορεί να πραγματοποιηθεί στη βάση του νέου Πλαισίου Προστασίας Δεδομένων ΕΕ – ΗΠΑ, Εκτελεστική Απόφαση (ΕΕ) 2023/1795, ή στη βάση κατάλληλης εγγύησης δυνάμει του Άρθρου 46 του Κανονισμού, και με ενημερώσει σχετικά εντός ενός μηνός από τη λήψη της Απόφασης.
Στο παρόν στάδιο, το Γραφείο μου παρακολουθεί τη συμμόρφωση των Εκδόσεων «ΑΡΚΤΙΝΟΣ» Λτδ με την Εντολή που απηύθυνα.
Για ολόκληρη την Απόφαση πατήστε εδώ.
Καταγγελία για μη ικανοποίηση του δικαιώματος πρόσβασης
Φυσικό πρόσωπο άσκησε, μέσω δικηγόρου, το δικαίωμα πρόσβασης στη εταιρεία Brivio Limited, της οποίας ήταν πελάτης, ζητώντας πληροφόρηση σχετικά με τα προσωπικά δεδομένα που η εν λόγω εταιρεία επεξεργαζόταν και αφορούσαν στον ίδιο. Ωστόσο, μην λαμβάνοντας οποιαδήποτε απάντηση από την εταιρεία, σύμφωνα με τις πρόνοιες του Άρθρου 12 του Κανονισμού, υπέβαλε παράπονο, στο Γραφείο μου, για μη ικανοποίηση του δικαιώματός του.
Στα πλαίσια της διερεύνησης του παραπόνου, το Γραφείο μου επικοινώνησε με την εταιρεία, η οποία με πληροφόρησε ότι, υπάλληλος της εταιρείας, υπεύθυνος για την εισερχόμενη αλληλογραφία, δεν προώθησε το αίτημα του παραπονούμενου στο αρμόδιο τμήμα. Όταν η εταιρεία έλαβε γνώση για την υποβολή του παραπόνου, επικοινώνησε άμεσα με τον παραπονούμενο, ικανοποιώντας το αίτημά του και προχώρησε σε εκπαίδευση του προσωπικού της, σχετικά με τη διαχείριση της αλληλογραφίας.
Υπό το πρίσμα των στοιχείων που τέθηκαν ενώπιόν μου, εντόπισα παραβίαση του Άρθρου 12(3) του Κανονισμού, εκ μέρους της εταιρείας. Λαμβάνοντας υπόψιν όλους τους μετριαστικούς και επιβαρυντικούς παράγοντες, μεταξύ άλλων, δύο, παρόμοιας φύσεως, παράπονα που είχαν υποβληθεί παλαιότερα στο Γραφείο μου, εναντίον της εταιρείας, εξέδωσα Απόφαση και επέβαλα στην εταιρεία, διοικητικό πρόστιμο €2,000.
Για ολόκληρη την Απόφαση πατήστε εδώ.
Καταγγελία για επεξεργασία προσωπικών δεδομένων χωρίς νομική βάση
Υποβλήθηκε καταγγελία στην Αρχή Προστασίας Δεδομένων Φινλανδίας κατά της επενδυτικής εταιρείας Naxex Invest Ltd. Η καταγγελία διαβιβάστηκε στο Γραφείο μου στις 22 Ιουνίου 2022, σύμφωνα με το άρθρο 56 του Γενικού Κανονισμού Προστασίας Δεδομένων. Σύμφωνα με την καταγγελία, στις 15 Μαΐου 2020 ο Καταγγέλλων έλαβε ένα τηλεφώνημα από την επενδυτική εταιρεία το οποίο αφορούσε στην παροχή ενημέρωσης του για τις υπηρεσίες που παρείχε και την δυνατότητα επένδυσης. Κατά τη διάρκεια της κλήσης, ο Καταγγέλλων ζήτησε να ενημερωθεί για τη συλλογή και χρήση των δεδομένων του. Την ίδια μέρα υπέβαλε σχετικό αίτημα πρόσβασης στην εταιρεία μέσω ηλεκτρονικού ταχυδρομείου, δεν ικανοποιήθηκε από τις απαντήσεις που έλαβε και υπέβαλε την σχετική καταγγελία.
Από τη διερεύνηση διαφάνηκε ότι μετά την κλήση και την παραλαβή του αιτήματος πρόσβασης του Καταγγέλλοντος, η επενδυτική εταιρεία παρείχε στον Καταγγέλλοντα τις απαραίτητες πληροφορίες σχετικά με την επεξεργασία των δεδομένων του. Σύμφωνα με τα γεγονότα, τα προσωπικά δεδομένα του Καταγγέλλοντος χρησιμοποιήθηκαν μόνο για την επικοινωνία των υπηρεσιών της εταιρείας. Η εταιρεία δήλωσε ως νομική βάση της επεξεργασίας την λήψη συγκατάθεσης από τον Καταγγέλλοντα. Δήλωσε επίσης ότι η εν λόγω επεξεργασία ήταν απαραίτητη για την εκπλήρωση των έννομων συμφερόντων της και για την λήψη των απαραίτητων ενεργειών πριν από τη σύναψη σύμβασης.
Ο Καταγγέλλων αμφισβήτησε την παροχή της συγκατάθεσής του, οπότε το Γραφείο μου ζήτησε από την εταιρεία την απαραίτητη τεκμηρίωση. Μέσα από την διερεύνηση, κατέληξα ότι η εταιρεία δεν ήταν σε θέση να αποδείξει τη συμμόρφωσή της με τα Άρθρα 6 και 7 του Κανονισμού. Λαμβάνοντας υπόψη τις περιστάσεις της υπόθεσης και τους μετριαστικούς και επιβαρυντικούς παράγοντες που είχα ενώπιον μου, αποφάσισα όπως απευθύνω Επίπληξη στην επενδυτική εταιρεία για τις παραβιάσεις των προαναφερθέντων Άρθρων.
Για ολόκληρη την Απόφαση πατήστε εδώ.
Καταγγελία για αναγραφή προσωπικών δεδομένων σε ευδιάκριτο σημείο ταχυδρομικού φακέλου
Έλαβα παράπονο, από φυσικό πρόσωπο, εναντίον των Υπηρεσιών Κοινωνικών Ασφαλίσεων (ΥΚΑ), σχετικά με παράνομη επεξεργασία των προσωπικών του δεδομένων. Συγκεκριμένα, ο Καταγγέλλων, κατόπιν αιτήματός του, έλαβε από τις ΥΚΑ, μέσω ταχυδρομείου, την αναλυτική κατάσταση των αποδοχών του. Ο αριθμός δελτίου ταυτότητας (ΑΔΤ) και ο αριθμός κοινωνικών ασφαλίσεων (ΑΚΑ) του, είχαν αναγραφεί σε σημείο της επιστολής, από όπου ήταν ευδιάκριτα και εκτός του ταχυδρομικού φακέλου.
Στα πλαίσια της διερεύνησης του παραπόνου, επικοινώνησα με τις ΥΚΑ, ζητώντας τις θέσεις τους, καθώς και τον σκοπό της αναγραφής των ΑΔΤ και ΑΚΑ σε σημείο που να καθίστανται ευδιάκριτα και εκτός του φακέλου. Σε απαντητική τους επιστολή, οι ΥΚΑ με πληροφόρησαν ότι, στάλθηκαν οδηγίες προς όλα τα επαρχιακά γραφεία, μέσω ηλεκτρονικού ταχυδρομείου, ώστε να προβούν στις απαραίτητες διορθώσεις στις επιστολές. Το εν λόγω ηλεκτρονικό μήνυμα, κοινοποιήθηκε και στο Γραφείο μου, προς υποστήριξη των θέσεών τους.
Με βάση τα στοιχεία που τέθηκαν ενώπιόν μου, έκρινα ότι, οι ΥΚΑ, ως ο υπεύθυνος επεξεργασίας των δεδομένων που επεξεργάζονται, είχαν υποχρέωση να εφαρμόσουν κατάλληλα τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων που θα προέκυπταν, κατά την αποστολή των δεδομένων στον Καταγγέλλοντα.
Λαμβάνοντας υπόψιν τους μετριαστικούς και επιβαρυντικούς παράγοντες, εξέδωσα Απόφαση και απηύθυνα Επίπληξη, στις ΥΚΑ, για την εκ μέρους τους παραβίαση του Άρθρου 32 του Κανονισμού.
Για ολόκληρη την Απόφαση πατήστε εδώ.
Γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα σχετικά με απώλεια εγγράφων
Στις 26 Απριλίου 2023, υπεβλήθη στο Γραφείο μου Γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων από το Σωματείο «Όμιλος Αντισφαίρισης Λευκωσίας (Field Club)», σχετικά με την απώλεια των φορμών εγγραφής των μελών της ακαδημίας αντισφαίρισης του Ομίλου, στις οποίες αναγράφονταν τα ονοματεπώνυμα τους και στοιχεία επικοινωνίας τους.
Κατά τη διερεύνηση του περιστατικού, ενημερώθηκα από τον Όμιλο, ότι οι φόρμες εγγραφής κλάπηκαν από φυσικό πρόσωπο, πρώην μέλος του Ομίλου, το οποίο τις πήρε από τις εγκαταστάσεις του Ομίλου για δικούς του σκοπούς.
Το Γραφείο μου επικοινώνησε με το φυσικό πρόσωπο και επιβεβαίωσε ότι τα έγγραφα ήταν στην κατοχή του. Ενημέρωσα το φυσικό αυτό πρόσωπο ότι η κατοχή των εγγράφων χωρίς διαφαινόμενη νομική βάση, συνιστούσε ποινικό αδίκημα και του απηύθυνα εντολή όπως παραδώσει τα έγγραφα στους νόμιμους κατόχους τους. Ωστόσο, η προθεσμία που είχα θέσει είχε παρέλθει και επειδή η εν λόγω παράβαση συνιστούσε ποινικό αδίκημα, παρέπεμψα την εξέταση της υπόθεσης στην Αστυνομία.
Με το πέρας της διερεύνησης της Γνωστοποίησης, έκρινα ότι ο Όμιλος δεν εφάρμοσε τα κατάλληλα τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλίσει το κατάλληλο επίπεδο ασφαλείας έναντι των κινδύνων και να μπορεί να αποδείξει ότι η επεξεργασία διενεργήθηκε σύμφωνα με τον Κανονισμό, κατά παράβαση των Άρθρων 24(1) και 32(1) του Κανονισμού και ότι δεν τηρήθηκαν οι Αρχές της ακεραιότητας και της εμπιστευτικότητας, ως προνοεί το Άρθρο 5(1)(στ) του Κανονισμού.
Λαμβάνοντας υπόψιν επιβαρυντικούς και μετριαστικούς παράγοντες, οι οποίοι αφορούσαν στο περιστατικό, αποφάσισα να απευθύνω στον Όμιλο Αντισφαίρισης Λευκωσίας (Field Club), Επίπληξη για την παραβίαση των άρθρων 5(1)(στ), 24(1) και 32(1) του Κανονισμού (ΕΕ) 2016/679, λόγω του ότι ο Όμιλος συνεργάστηκε με το Γραφείο μου και προχώρησε άμεσα στις δέουσες διορθωτικές ενέργειες.
Για ολόκληρη την Απόφαση πατήστε εδώ.
Καταγγελία για μη εξουσιοδοτημένη πρόσβαση σε προσωπικά δεδομένα
Στις 28 Δεκεμβρίου 2022, διαβιβάστηκε καταγγελία στο Γραφείο μου από την Εποπτική Αρχή Φινλανδίας, η οποία στρεφόταν εναντίον της εταιρείας Briju 1920 Limited.
Σύμφωνα με την καταγγελία, στις 2 Δεκεμβρίου 2022, η Καταγγέλλουσα έλαβε ένα ηλεκτρονικό μήνυμα από τρίτο πρόσωπο, μέσω του οποίου ενημερώθηκε ότι ο αποστολέας του εν λόγω μηνύματος είχε μη εξουσιοδοτημένη πρόσβαση στα προσωπικά της δεδομένα. Σύμφωνα με τα λεγόμενα του, η εταιρεία δεν είχε αφαιρέσει/ανακαλέσει τις σχετικές εξουσιοδοτήσεις επεξεργασίας δεδομένων που του είχε παράσχει την περίοδο που τον εργοδοτούσε. Η Καταγγέλλουσα επικοινώνησε με την εταιρεία ζητώντας επεξηγήσεις για το περιστατικό και αιτήθηκε διαγραφή των δεδομένων της. Παράλληλα, για το ίδιο περιστατικό η εταιρεία υπέβαλε στο Γραφείο μου στις 6 Δεκεμβρίου 2022 σχετικό έντυπο Γνωστοποίησης περιστατικού παραβίασης δεδομένων προσωπικού.
Κατά τη διερεύνηση του περιστατικού, ζητήθηκαν και αποστάλθηκαν στο Γραφείο μου, ανάμεσα σε άλλα, τα συμβόλαια εργοδότησης του προσώπου (πρώην υπαλλήλου της εταιρείας) που είχε αποστείλει το προαναφερθέν μήνυμα. Διαπιστώθηκε ότι ο πρώην υπάλληλος είχε νόμιμη πρόσβαση στις διευθύνσεις ηλεκτρονικού ταχυδρομείου των πελατών, για το χρονικό διάστημα που εργαζόταν στην εταιρεία. Βάσει της σύμβασης του, τη στιγμή που συνέβη το περιστατικό, ο πρώην εργαζόμενος εξακολουθούσε να εργάζεται στην εταιρεία.
Επίσης, κατά τη διάρκεια της διερεύνησης η εταιρεία επιβεβαίωσε ότι προχώρησε σε διαγραφή όλων των δεδομένων της Καταγγέλλουσας, εκτός από αυτά που περιέχονταν στα τιμολόγια και στις αποδείξεις που εκδόθηκαν βάσει των συναλλαγών/αγορών της, αφού οι εκδοθείσες αποδείξεις και τιμολόγια πρέπει να τηρούνται σύμφωνα με τις νομικές υποχρεώσεις της εταιρείας.
Λαμβάνοντας υπόψη όλα τα ανωτέρω, κατέληξα ότι η επιβολή κάποιας διορθωτικής ενέργειας στην εταιρεία δεν ήταν ανάλογη αφού δεν διαπιστώθηκε παράβαση εκ μέρους της. Προκειμένου να αποτραπούν παρόμοια περιστατικά στο μέλλον, Σύστησα στην εταιρεία όπως εφαρμόζει συνεχή έλεγχο των ενεργειών των εργαζομένων της, προχωρά σε άμεση απόσυρση πρόσβασης των υπαλλήλων που έχουν επισημάνει την πρόθεσή τους να παραιτηθούν και εφαρμόζει αρχεία καταγραφής πρόσβασης, έτσι ώστε η ανεπιθύμητη πρόσβαση να καταγράφεται και να επισημαίνεται.
Για ολόκληρη την Απόφαση πατήστε εδώ.
Γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα σχετικά με κοινοποίηση προσωπικών δεδομένων
Στις 15 Μαΐου 2023, υποβλήθηκε από τον Δήμο Ύψωνα, τελική Γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα στο Γραφείο μου. Σύμφωνα με τις πληροφορίες που είχα ενώπιον μου, στις 2 Σεπτεμβρίου 2022, ο Δήμος Ύψωνα, στο πλαίσιο εξέτασης αίτησης για έκδοση Πιστοποιητικού Τελικής Έγκρισης παρέδωσε στο Επαρχιακό Γραφείο Επιθεώρησης Εργασίας Λεμεσού φάκελο, με σκοπό την λήψη των απόψεων του εν λόγω Τμήματος, σύμφωνα με το άρθρο 55 των περί Ασφάλειας και Υγείας στην Εργασία Νόμων του 1996 έως 2023 (Ν. 89(I)/1996). Έπειτα, ενημερώθηκε ότι, το Επαρχιακό Γραφείο Επιθεώρησης Εργασίας Λεμεσού παρέδωσε τον πιο πάνω φάκελο στον τέως ιδιοκτήτη του υποστατικού για το οποίο θα εκδιδόταν Πιστοποιητικό Τελικής Έγκρισης, για να τον επιστρέψει αυτός στον Δήμο.
Μέσα από τη διερεύνηση διαπίστωσα ότι ευθύνη για την προστασία και διασφάλιση της ασφάλειας των δεδομένων έφεραν και ο Δήμος Ύψωνα αλλά και το Τμήμα Επιθεώρησης Εργασίας. Κατάλληλα μέτρα θα έπρεπε να είχαν ληφθεί και από τα δύο μέρη, έτσι ώστε να προληφθεί αλλά και να αντιμετωπιστεί καταλλήλως οποιοδήποτε περιστατικό παραβίασης.
Ως εκ τούτου, διαπίστωσα παραβίαση των Άρθρων 5 και 32 του Κανονισμού από το Τμήμα Επιθεώρησης Εργασίας και το Δήμο Ύψωνα, απηύθυνα Επίπληξη και Εντολή όπως σε συνεργασία με τις άλλες εμπλεκόμενες αρχές καταγράψουν σχετική διαδικασία, σύμφωνη με τις διατάξεις του Κανονισμού, με σκοπό την αποφυγή άλλων περιστατικών παραβίασης παρόμοιας φύσης. Η εν λόγω διαδικασία θα αποσταλεί στο Γραφείο μου για ενημέρωση, εντός δύο μηνών από την έκδοση της Απόφασης.
Στο παρόν στάδιο, το Γραφείο μου παρακολουθεί τη συμμόρφωση του Τμήματος Επιθεώρησης Εργασίας και του Δήμου Ύψωνα με την Εντολή που απηύθυνα.
Για ολόκληρη την Απόφαση προς τον Δήμο Ύψωνα πατήστε εδώ.
Για ολόκληρη την Απόφαση προς το Τμήμα Επιθεώρησης Εργασίας πατήστε εδώ.
Καταγγελία σχετικά με αποστολή επιστολής για ασφάλιση ενυπόθηκου ακινήτου
Στις 22 Νοεμβρίου 2022, υποβλήθηκε καταγγελία εναντίον της Ελληνικής Τράπεζας Δημόσιας Εταιρείας Λτδ σχετικά με αποστολή επιστολής για ασφάλιση ενυπόθηκου ακινήτου. Η επιστολή αφορούσε στην ασφάλιση ενυπόθηκου ακινήτου, το οποίο εξασφάλιζε υπερανάληψη κοινού τρεχούμενου λογαριασμού για κάλυψη έκδοσης εγγυητικών επιστολών κατ’ εντολή συγκεκριμένης εταιρείας.
Ως διαφάνηκε, στο υπό διερεύνηση περιστατικό, παρόλες τις σχετικές διαδικασίες της Τράπεζας και τον τερματισμό της υπερανάληψης, οι σχετικές με αυτήν εξασφαλίσεις δεν αποδεσμεύτηκαν, καθώς, όπως η Τράπεζα ισχυρίστηκε, διεξάγονταν συζητήσεις με τον Καταγγέλλοντα για παραχώρηση νέας υπερανάληψης, με τις ίδιες εξασφαλίσεις. Σύμφωνα με τα τεκμήρια που είχα ενώπιον μου οι συζητήσεις διεξάγονταν περί τον Απρίλιο του 2020. Έκτοτε οι σχετικές εξασφαλίσεις διατηρήθηκαν με αποτέλεσμα την αποστολή της επιστολής τον Νοέμβριο του 2022. Το χρονικό διάστημα που μεσολάβησε και η μη επιβεβαίωση των θέσεων της Τράπεζας για ύπαρξη συζητήσεων από τον Παραπονούμενο, καταδεικνύουν ότι η επεξεργασία των δεδομένων για τους σκοπούς εξασφάλισης δεν διεπόταν από την Αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας και την αρχή της ακρίβειας όπως αυτές καθορίζονται στο Άρθρο 5 του Κανονισμού.
Λαμβάνοντας ιδιαιτέρως υπόψη το γεγονός ότι η πλειοψηφία των δεδομένων που υποβάλλονταν σε επεξεργασία για σκοπούς διατήρησης των εξασφαλίσεων περιλαμβάνεται και σε άλλα έγγραφα τα οποία τυγχάνουν επεξεργασίας από την Τράπεζα, αφού ο Καταγγέλλων είναι πελάτης της και συνεκτιμώντας όλους τους παράγοντες του αφορούσαν στο συγκεκριμένο περιστατικό, απηύθυνα Επίπληξη στην Τράπεζα για παραβίαση του Άρθρου 5 του Κανονισμού.
Για ολόκληρη την Απόφαση πατήστε εδώ.