Επιβολή διοικητικού προστίμου στην Τράπεζα Κύπρου αναφορικά με απώλεια ασφαλιστικού συμβολαίου πελάτη

Υποβλήθηκε καταγγελία εναντίον της Τράπεζας Κύπρου Δημόσιας Εταιρείας Λτδ και της ασφαλιστικής εταιρείας Eurolife Ltd, από άτομο το οποίο είχε ζητήσει αντίγραφο του ασφαλιστικού συμβολαίου του, αλλά παρά τη σχετική έρευνα δεν κατέστη δυνατός ο εντοπισμός του. Σύμφωνα με τους ισχυρισμούς της Τράπεζας ο λογαριασμός του πελάτη είχε μεταφερθεί πριν πολλά χρόνια σε άλλη πόλη και το πρωτότυπο συμβόλαιο είχε αρχειοθετηθεί σε χώρο όπου ο εντοπισμός του ήταν δύσκολος και χρονοβόρος. Η Τράπεζα πρότεινε στον πελάτη να ακυρώσει το συμβόλαιο.

Με βάση τα στοιχεία της έρευνας, διεφάνη ότι η εταιρεία Eurolife Ltd, ως ξεχωριστός υπεύθυνος επεξεργασίας, δεν προέβη σε παράνομη επεξεργασία προσωπικών δεδομένων του παραπονούμενου.

Η Τράπεζα, δεν προέβη σε γνωστοποίηση περιστατικού παραβίασης στην Επίτροπο αναφορικά με την απώλεια του συμβολαίου, όπως απαιτεί το άρθρο 33 του ΓΚΠΔ, καθότι, όπως δήλωσε στη συνέχεια, δεν υπήρχε η παραμικρή υποψία ότι το έγγραφο βρίσκεται εκτός της Τράπεζα, εφόσον κατά πάσα πιθανότητα είχε μόνο τοποθετηθεί σε λάθος χώρο.

Από τα στοιχεία του φακέλου της υπόθεσης και την παραδοχή της Τράπεζας ότι το επίμαχο ασφαλιστήριο συμβόλαιο, δεν κατέστει δυνατόν να ανευρεθεί, η Επίτροπος έκρινε ότι η Τράπεζα δεν συμμορφώθηκε με τις ακόλουθες υποχρεώσεις της που απορρέουν από τον Κανονισμό:

(α) Η απώλεια του ασφαλιστικού συμβολαίου του παραπονούμενου προκάλεσε κίνδυνο για τα δικαιώματα του, αφού ο παραπονούμενος στερήθηκε του δικαιώματος πρόσβασης στο ασφαλιστήριο συμβόλαιο, με αποτέλεσμα αφενός να μην μπορεί να ελέγξει την ορθότητα και εγκυρότητα των δεδομένων του και αφετέρου να μην μπορεί να επαληθεύσει την νομιμότητα της επεξεργασίας (απώλεια ελέγχου επί των δεδομένων του).

(β) Η Τράπεζα είχε υποχρέωση να προβεί σε γνωστοποίηση του περιστατικού παραβίασης στην Επίτροπο, αναφορικά με την απώλεια του συμβολαίου εντός 72 ωρών από τη στιγμή που το περιστατικό παραβίασης ήρθε σε γνώση της, κάτι το οποίο παρέλειψε να πράξει. Σύμφωνα με τον ΓΚΠΔ, «παραβίαση δεδομένων προσωπικού χαρακτήρα» σημαίνει την παραβίαση της ασφάλειας που οδηγεί, μεταξύ άλλων, σε απώλεια δεδομένων προσωπικού χαρακτήρα που αποθηκεύτηκαν ή υποβλήθηκαν σε επεξεργασία. Επομένως από την στιγμή που ήρθε σε γνώση της ότι το ασφαλιστικό συμβόλαιο απωλέσθη είτε εντός, είτε εκτός της Τράπεζας, αυτή είχε υποχρέωση να προβεί σε γνωστοποίηση περιστατικού παραβίασης στην Επίτροπο εντός 72 ωρών.

Επιβλήθηκε στην Τράπεζα Κύπρου η χρηματική ποινή των €15,000 για τη διάπραξη παράβασης της υποχρέωσης της εκ των άρθρων 5(1)(στ), 5(2), 15, 32 και 33 του Κανονισμού.

Για την επιμέτρηση του διοικητικού προστίμου, λήφθηκαν ιδιαίτερα υπόψιν ως επιβαρυντικοί παράγοντες:

· Η διάρκεια της παράβασης,
· Το γεγονός ότι η Επίτροπος ενημερώθηκε για το περιστατικό παραβίασης κατόπιν της καταγγελίας και όχι απευθείας από την Τράπεζα,
· Το γεγονός ότι πρόκειται για παραβιάσεις των άρθρων 5, 15, 32 και 33 του ΓΚΠΔ οι οποίες κρίνονται ως μεγαλύτερης βαρύτητας.

Για ολόκληρη την απόφαση πατήστε εδώ.

Επιβολή διοικητικού προστίμου στην Grand Ideas Ltd για αποστολή ανεπιθύμητων ηλεκτρονικών μηνυμάτων (email)

Υποβλήθηκε καταγγελία από δυο παραπονούμενους για λήψη ανεπιθύμητων ηλεκτρονικών μηνυμάτων (email) από τη Grand Ideas Ltd (CYSPOTS). Σε συνέχεια του ενδεδειγμένου ελέγχου, υποβλήθηκε στον υπεύθυνο επεξεργασίας διοικητικό πρόστιμο ύψους 1000 ευρώ για αποστολή ανεπιθύμητων ηλεκτρονικών μηνυμάτων, χωρίς την συγκατάθεση των παραληπτών.

Γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων εκ μέρους της Sea chefs Cruises Ltd

Υπάλληλος της μισθοδοσίας διαβίβασε κατά λάθος τις κάρτες μισθοδοσίας του Νοεμβρίου όλων των μελών του πληρώματος (35 άτομα) σε ένα από τους υπαλλήλους.

Μετά την αξιολόγηση των πληροφοριών που υποβλήθηκαν από τον υπεύθυνο επεξεργασίας, και λαμβάνοντας ιδιαίτερα υπόψη ότι -

· η παραβίαση γνωστοποιήθηκε από τον υπεύθυνο επεξεργασίας στην Εποπτική Αρχή εντός των 72 ωρών που προνοεί ο Κανονισμός, χωρίς να προηγηθεί οποιοδήποτε παράπονο,
· τα προσωπικά δεδομένα που έτυχαν παραβίασης δεν είναι ευαίσθητα,
· το περιστατικό φαίνεται ότι οφειλόταν σε ανθρώπινο λάθος,
· λήφθηκαν μέτρα για την αντιμετώπιση του περιστατικού,
· λήφθηκαν διορθωτικά μέτρα που να περιορίζουν τον κίνδυνο τέτοιο περιστατικό να συμβεί ξανά στο μέλλον, και συγκεκριμένα οι πληρωμές των πληρωμάτων όλων των πλοίων να φορτώνονται από το προσωπικό μισθοδοσίας στο σύστημα HR έτσι ώστε το πλήρωμα να μπορεί να κατεβάσει τα δελτία μισθοδοσίας μέσω της πύλης ελέγχου του πληρώματος της εταιρείας,

η Επίτροπος έκρινε ότι δεν συντρέχουν λόγοι επιβολής διοικητικής κυρώσης στην Εταιρεία, στο παρόν στάδιο.

Εξέταση διασυνοριακής καταγγελίας εναντίον της F1 Markets Limited (investous.com) για μη ικανοποίηση του δικαιώματος πρόσβασης

Παραπονούμενος από την Αυστρία ζήτησε από τον υπεύθυνο επεξεργασίας, F1 Markets Limited, το κλείσιμο του λογαριασμού του και την πρόσβαση στα δεδομένα του βάσει του άρθρου 15 του ΓΚΠΔ. Σύμφωνα με τον καταγγέλλοντα, ο υπεύθυνος επεξεργασίας δεν απάντησε στο αίτημα πρόσβασης και ο παραπονούμενος υπέβαλε καταγγελία στην εποπτική αρχή της Αυστρίας. Η εποπτική αρχή της Αυστρίας διαβίβασε το παράπονο για να εξεταστεί από το Γραφείο της Επιτρόπου, ως η Επικεφαλής Εποπτική Αρχή, επειδή η κύρια εγκατάσταση του υπεύθυνου επεξεργασίας είναι στην Κύπρο.

Μετά από την ενδεδειγμένη διερεύνηση διεφάνη ότι το μήνυμα ηλεκτρονικού ταχυδρομείου που αποστάληκε από τον καταγγέλλοντα, δεν ελήφθη ποτέ από την εταιρεία, καθώς κατηγοριοποιήθηκε ως ανεπιθύμητο λόγω των εφαρμοσμένων μέτρων ασφάλειας πληροφορικής της εν λόγω εταιρείας. Ο διαχειριστής λογαριασμού που έλαβε επίσης το email υπέθεσε ότι είχε ενημερωτικό χαρακτήρα και ότι το αίτημα ήταν υπό διαχείριση από μονάδα υποστήριξης πελατών, δεδομένου ότι η καθιερωμένη διαδικασία για το κλείσιμο ενός λογαριασμού γίνεται από την εν λόγω μονάδα. Ο υπεύθυνος επεξεργασίας συμμορφώθηκε με το αίτημα πρόσβασης και παρείχε όλες τις πληροφορίες που ζητήθηκαν από το υποκείμενο των δεδομένων, πριν κλείσει τον λογαριασμό του.

Δεδομένου ότι ο υπεύθυνος επεξεργασίας τελικά συμμορφώθηκε με το αίτημα πρόσβασης και ταυτόχρονα επιβεβαίωσε ότι λήφθηκαν μέτρα ώστε τα μηνύματα για άσκηση του δικαιώματος πρόσβασης να μην κατηγοριοποιούνται ως ανεπιθύμητα, η Επίτροπος αποφάσισε την μη επιβολή διοικητικής κύρωσης στην προκειμένη περίπτωση.

Για ολόκληρη την απόφαση (στα αγγλικά) πατήστε εδώ.

Διερεύνηση καταγγελίας από συντεχνίες των εργαζομένων της ΚΕΟ PLC σε συνέχεια της αναβάθμισης του συστήματος κτυπήματος κάρτας

Οι συντεχνίες Ο.ΒΙ.Ε.Κ – Σ.Ε.Κ και Σ.Ε.Β.Ε.Τ.Τ.Υ.Κ. – ΠΕΟ εκ μέρους των εργαζομένων στην εταιρεία ΚΕΟ PLC, κατήγγειλαν ότι η αντικατάσταση και αναβάθμιση του συστήματος κτυπήματος κάρτας δεν συνάδει με τις πρόνοιες του ΓΚΠΔ.

Η Επίτροπος εξέτασε (α) κατά πόσο η εγκατάσταση κάμερας από την εταιρεία με σκοπό τη λήψη φωτογραφίας χαμηλής ανάλυσης του υπαλλήλου για να ταυτοποιεί ότι ο υπάλληλος που κτυπά την κάρτα είναι ο κάτοχος της και όχι τρίτο πρόσωπο, ως μέτρο ελέγχου, υπακούει στην Αρχή της ελαχιστοποίησης των δεδομένων και (β) κατά πόσο ο χρόνος διατήρησης των δεδομένων εισόδου/εξόδου των υπαλλήλων (αριθμός κάρτας υπαλλήλου, ημερομηνία και ώρα εισόδου/εξόδου) για περίοδο επτά ετών, για σκοπούς επίλυσης εργατικών διαφορών ή για την άσκηση αγώγιμών δικαιωμάτων, υπακούει στην Αρχή του Περιορισμού της περιόδου αποθήκευσης.

Σύμφωνα με τα δεδομένα που τέθηκαν ενώπιον της, σε σχέση με το ερώτημα (α), η Επίτροπος έκρινε ότι η εγκατάσταση κάμερας από την εταιρεία με σκοπό τη λήψη φωτογραφίας χαμηλής ανάλυσης του υπαλλήλου, ως μέτρο ελέγχου, χωρίς να έχει λάβει υπόψιν ή να έχει εξετάσει την λήψη άλλων λιγότερο παρεμβατικών μέτρων πριν την εφαρμογή του μέτρου αυτού, παραβαίνει την Αρχή της Ελαχιστοποίησης των Δεδομένων και ως εκ τούτου δεν μπορεί να γίνει αποδεκτή. Σε σχέση με το ερώτημα (β), η Επίτροπος έκρινε ότι ο χρόνος διατήρησης των δεδομένων εισόδου/εξόδου των υπαλλήλων για περίοδο επτά (7) ετών, για σκοπούς άσκησης αγώγιμών δικαιωμάτων, παραβαίνει την Αρχή του Περιορισμού της περιόδου αποθήκευσης.

Η Επίτροπος έδωσε εντολή στην εταιρεία ΚΕΟ (υπεύθυνο επεξεργασίας):
(α) να αναστείλει την εγκατάσταση του αναβαθμισμένου συστήματος κτυπήματος κάρτας που περιλαμβάνει και την εγκατάσταση κάμερας και να καταστρέψει το υλικό που έχει συλλέξει, και
(β) να επιλέξει μέσα από διαφανείς διαδικασίες, με τη συμμετοχή των αντιπροσώπων των εργοδοτουμένων, διαφοροποιημένα μέτρα/λύσεις τα οποία να είναι κατάλληλα και επαρκή και τα οποία να διασφαλίζουν τα εχέγγυα νομιμότητας, διαφάνειας, διατήρησης, αναλογικότητας και ασφάλειας των δεδομένων προσωπικού χαρακτήρα και να υποβάλει προσχέδιο των εν λόγω διαδικασιών μέχρι τις 4/12/2020.

H εταιρεία ΚΕΟ συμμορφώθηκε με το σημείο (α) της ως άνω εντολής, και αναμένεται συμμόρφωση στο σημείο (β) μέχρι την 4^η Δεκεμβρίου 2020.

Για ολόκληρη την απόφαση πατήστε εδώ.

Εξέταση παράπονου σχετικά με το πρωτόκολλο διαχείρισης των αποτελεσμάτων προ-εγχειρητικών τεστ για τον κορωνοϊό από το Απολλώνειο Νοσοκομείο.

Οι παραπονούμενοι εξέφρασαν παράπονα για τον τρόπο με τον οποίο το Απολλώνειο Νοσοκομείο χειρίστηκε τα προσωπικά τους δεδομένα, τα οποία αναγράφονταν στο “Έντυπο διερεύνησης / δήλωσης περιστατικού ύποπτου για λοίμωξη με τον νέο κορωνοϊό (SARS-Cov-2)” και το οποίο αφορούσε δείγμα ασθενή που προέβη στο εν λόγω προ-εγχειρητικό τεστ. Οι παραπονούμενοι κατήγγειλαν ότι το εν λόγω έντυπο βρέθηκε στα χέρια μη εξουσιοδοτημένων ατόμων που εργάζονται σε διάφορα τμήματα του Νοσοκομείου, συμπεριλαμβανομένου του χειρουργικού τμήματος και ότι οι ίδιοι, αν και άμεσα ενδιαφερόμενοι, δεν είχαν ενημερωθεί κατάλληλα από τον υπεύθυνο επεξεργασίας.

Κατά τη διερεύνηση της καταγγελίας από το Γραφείο της Επιτρόπου, διαφαίνεται ότι το πρωτόκολλο για χειρισμό των ασθενών που έλαβαν θετική διάγνωση και τα μέτρα ασφάλειας για την προστασία των προσωπικών δεδομένων είχε τηρηθεί σε ικανοποιητικό βαθμό από το Νοσοκομείο. Εξαίρεση αποτέλεσε το γεγονός ότι νοσοκόμος του Χειρουργικού Τμήματος έλαβε γνώση του αποτελέσματος του τεστ, χωρίς να είναι ενδιαφερόμενο μέρος. Σχετικά με το γεγονός αυτό, ο υπεύθυνος επεξεργασίας προέβη σε γραπτή επίπληξη προς το νοσηλευτή.

Η Επίτροπος έκρινε ότι τα περιστατικά της υπόθεσης δεν συνηγορούν υπέρ της επιβολής διοικητικού προστίμου στο Απολλώνειο Νοσοκομείο. Ωστόσο, υποβλήθηκαν συγκεκριμένες συστάσεις στο Νοσοκομείο προς αποφυγήν παρόμοιων περιστατικών στο μέλλον.

Προειδοποίηση στην G&P Lazarou Estate Agents Ltd αναφορικά με αποστολή ανεπιθύμητων διαφημιστικών μηνυμάτων sms

Υποβλήθηκε παράπονο για λήψη ανεπιθύμητων διαφημιστικών μηνυμάτων sms από την G&P Lazarou Estate Agents Ltd, χωρίς τη συγκατάθεση του παραπονούμενου. Μετά από διερεύνηση του παραπόνου, η Επίτροπος εξέδωσε απόφαση προειδοποίησης όπως, στο μέλλον, φροντίσει η αποστολή μηνυμάτων με ηλεκτρονικά μέσα να γίνεται μόνο στην περίπτωση προσώπων, τα οποία έχουν δώσει εκ των προτέρων τη συγκατάθεση τους για την αποστολή αυτή, καθώς και να βεβαιωθεί ότι η διαδικασία για διαγραφή από τις λίστες παραληπτών να γίνεται άμεσα και αποτελεσματικά.

Εξέταση παραπόνου εναντίον Μ.Μ.Ε. για αναφορά πλήρους ονόματος σε δημοσίευμα

Υποβλήθηκε καταγγελία στο Γραφείο της Επιτρόπου από τρεις παραπονούμενους, εναντίον μερίδας Μ.Μ.Ε. και δημοσιογράφων, επειδή τα εν λόγω Μ.Μ.Ε ανέφεραν το πλήρες ονοματεπώνυμο τους στα δημοσιεύματα τους.

Το Γραφείο της Επιτρόπου ζήτησε τις θέσεις των Μ.Μ.Ε. εναντίον των οποίων στρέφονταν τα παράπονα, κατά πόσον οι αναφορές στα πλήρη στοιχεία (ονοματεπώνυμο) των παραπονούμενων εξυπηρετούσαν σε υπέρτερο βαθμό το δημοσιογραφικό ενδιαφέρον, έναντι της ιδιωτικότητας και της προστασίας των δεδομένων προσωπικού χαρακτήρα.

Αξιολογώντας τις απαντήσεις που έλαβε, η Επίτροπος έκρινε βάσιμη την κοινή θέση των Μ.Μ.Ε., τα οποία δήλωσαν, μεταξύ άλλων, ότι η φύση της υπόθεσης ήταν υψηλού ενδιαφέροντος καθώς τα αδικήματα άγγιζαν ιδιαίτερα την κοινή γνώμη, ότι οι παραπονούμενοι εκ των οποίων ο ένας είναι δημόσιο πρόσωπο και/ ή ασκούσε δημόσια εξουσία, με τις πράξεις τους προκάλεσαν το ενδιαφέρον του κοινού και ότι τα μέσα όφειλαν να ενημερώσουν το κοινό για την κατάληξη της υπόθεσης, κάτι που έπραξαν παρουσιάζοντας τα γεγονότα της υπόθεσης, τα ονόματα των καταδικασθέντων προσώπων, τα αδικήματα για τα οποία καταδικάστηκε καθένα από αυτά και τις ποινές που τους επιβλήθηκαν.

Λαμβάνοντας υπόψιν το νομικό πλαίσιο και τη νομολογία του ΕΔΔΑ, για την στάθμιση του δικαιώματος πληροφόρησης και της ελευθερίας του τύπου έναντι του δικαιώματος προστασίας των προσωπικών δεδομένων των παραπονούμενων, η Επίτροπος κατέληξε ότι οι ιστοσελίδες οι οποίες καταγγέλθηκαν, ενήργησαν εντός των ορίων του δικαιώματος τους ήτοι της ελευθερίας της έκφρασης και του τύπου προς το συμφέρον της ενημέρωσης της κοινής γνώμης, ή για δημοσιογραφικούς αποκλειστικά σκοπούς, δικαίωμα το οποίο κρίνεται ότι υπερτερεί σε σχέση με το δικαίωμα της ιδιωτικής ζωής των παραπονούμενων, και επομένως αποτελεί περίπτωση εμπίπτουσα στην προβλεπόμενη εξαίρεση του άρθρου 85(1) του ΓΚΠΔ και του άρθρου 29(1) του Νόμου 125(Ι)/2018.

Με βάση τις περιστάσεις της υπόθεσης, η Επίτροπος έκρινε ότι δεν υπήρξε παραβίαση του οικείου νομοθετικού πλαισίου και των δεδομένων προσωπικού χαρακτήρα των παραπονούμενων και ότι δεν δικαιολογείται οποιαδήποτε επιβολή κύρωσης εναντίον των Μ.Μ.Ε.

Επιβολή διοικητικού προστίμου στην Αστυνομία Κύπρου αναφορικά με διαρροή προσωπικών δεδομένων

Με αφορμή πληθώρα δημοσιευμάτων στον ημερήσιο έντυπο και ηλεκτρονικό τύπο το 2017, τα οποία έφεραν και /ή ενέπλεκαν εκτός από τη CYTA, τις Υπηρεσίες Κοινωνικών Ασφαλίσεων και την Αστυνομία Κύπρου, υπό την ιδιότητά της ως υπεύθυνου επεξεργασίας του Κεντροποιημένου Συστήματος της Αστυνομίας και ειδικότερα της εφαρμογής ή βάσης δεδομένων «ιδιοκτήτες οχημάτων», σε σκάνδαλο διαρροής και /ή παραβίασης προσωπικών δεδομένων αριθμού φυσικών προσώπων από τις βάσεις δεδομένων τους, η Επίτροπος αποφάσισε να διερευνήσει αυτεπαγγέλτως την υπόθεση.

Η διαδικασία της διερεύνησης ολοκληρώθηκε με την έκδοση Απόφασης ημερ. 30/9/2020 εναντίον της Αστυνομίας Κύπρου και την επιβολή διοικητικού προστίμου ύψους €6,000, σχετικά με την παράβαση των διατάξεων του άρθρου 32 παρ. (1)(β) και (δ) και παρ. (4) του Κανονισμού (μη λήψη επαρκών οργανωτικών και τεχνικών μέτρων ασφάλειας). Η Επίτροπος κατέληξε ότι η Αστυνομία είχε την ευθύνη για τις πράξεις μέλους της, το οποίο έχοντας ως εκ των καθηκόντων του νόμιμη πρόσβαση στο Κεντροποιημένο Σύστημα και στη βάση δεδομένων ιδιοκτητών οχημάτων, ενήργησε εκτός των νομίμων εντολών του και προέβη σε παράνομες πράξεις επεξεργασίας αναζητήσεις, εκτυπώσεις και κοινολόγηση εγγράφων με προσωπικά δεδομένα ιδιοκτητών οχημάτων σε τρίτο, μη εξουσιοδοτημένο πρόσωπο.

Υπενθυμίζεται ότι με την έκδοση της παρούσας Απόφασης, ολοκληρώθηκε η διαδικασία αυτεπάγγελτης διερεύνησης της Επιτρόπου σχετικά με τη διαρροή προσωπικών δεδομένων από τη CYTA (Απόφαση 2017 διοικητικό πρόστιμο €10,000) και τις Υπηρεσίες Κοινωνικών Ασφαλίσεων (Απόφαση 2019 διοικητικό πρόστιμο €9,000).

Περισσότερες πληροφορίες αναφορικά με την Απόφαση εναντίον της Αστυνομίας Κύπρου θα βρείτε εδώ.

Last update
23/10/2020