Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Αποφάσεις : Ιανουάριος - Μάιος 2020


Αποφάσεις : Ιανουάριος - Μάιος 2020

Αποκάλυψη στοιχείων σε δελτίο ειδήσεων τηλεοπτικού σταθμού

Η Επίτροπος εξέτασε καταγγελία από άτομο του οποίου το όνομα είχε αναφερθεί στο κεντρικό δελτίο ειδήσεων του τηλεοπτικού σταθμού ΣΙΓΜΑ, σε σχέση με δανεισμό από συνεργατικό ίδρυμα με τον ισχυρισμό ότι αυτός λήφθηκε ευνοιοκρατικά ή παράτυπα ή κατά τρόπο που συνιστά σκάνδαλο, ενώ όπως σημειώνει ο παραπονούμενος, δεν είναι πολιτικά εκτεθειμένο πρόσωπο. Στα πλαίσια αποκαλύψεων του τηλεοπτικού σταθμού για δάνεια πολιτικά εκτεθειμένων προσώπων στο Συνεργατισμό, έγινε αναφορά σε Έκθεση της μονάδας εσωτερικής επιθεώρησης της Συνεργατικής με βάση την οποία, άτομο το οποίο σχετιζόταν με την Συνεργατική, είχε λάβει διευκολύνσεις από συνεργατικό ίδρυμα που αφορούσαν στον ίδιο και σε συνδεδεμένα με αυτόν πρόσωπα. Σύμφωνα με τον παραπονούμενο, το μεγαλύτερο μέρος των διευκολύνσεων που αναφέρθηκαν στο δελτίο δεν αφορούσαν στον ίδιο και στον συνεταιρισμό.

Κατά την εξέταση του παραπόνου λήφθηκαν υπόψη μεταξύ άλλων οι ακόλουθες νομοθετικές διατάξεις.

- Με βάση την αιτιολογική σκέψη 4 του προοιμίου του Κανονισμού, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα· πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, μεταξύ άλλων την ελευθερία έκφρασης και πληροφόρησης, σύμφωνα με την αρχή της αναλογικότητας.
- Σύμφωνα με την αρχή ελαχιστοποίησης των δεδομένων, τα δεδομένα προσωπικού χαρακτήρα, σε κάθε περίπτωση θα πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία σύμφωνα με το άρθρο 5(1)(γ) του Κανονισμού.
- Σύμφωνα με την αρχή της ακρίβειας των δεδομένων, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι ακριβή και, όταν είναι αναγκαίο, να επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας (Άρθρο 5(1)(δ)).
- Με βάση Αποφάσεις του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου τα κριτήρια που λαμβάνονται υπόψη κατά τη στάθμιση του δικαιώματος στην ιδιωτική ζωή με το δικαίωμα της ελευθερίας της έκφρασης μεταξύ άλλων είναι α) Κατά πόσο το άρθρο συνεισφέρει σε συζήτηση γενικού ενδιαφέροντος και β) Πόσο γνωστό είναι το άτομο και ποιο είναι το θέμα του άρθρου.

Παρά το ότι ο παραπονούμενος ανέφερε ότι δεν είναι δημόσιο πρόσωπο / πολιτικά εκτεθειμένο πρόσωπο, έχει συνεργαστεί με δημόσιο πρόσωπο (πολιτικά εκτεθειμένο πρόσωπο) και λόγω της εταιρείας στην οποία ήταν συνέταιρος, αναπόφευκτα είχε εμπλακεί σε θέματα δημόσιου ενδιαφέροντος και της επικαιρότητας κατά τον χρόνο στο οποίο αναφερόταν το ρεπορτάζ.

Το ρεπορτάζ αναφέρεται στην επαγγελματική ζωή του παραπονούμενου και όχι στην προσωπική ή οικογενειακή του ζωή.

Το θέμα του ρεπορτάζ αποτελεί θέμα γενικού ενδιαφέροντος και το υψηλό ποσό των διευκολύνσεων επιτρέπει το θέμα να κατηγοριοποιηθεί ως υψηλού ενδιαφέροντος, αλλά το ποσό με το οποίο σχετίζετο ο παραπονούμενος και η εταιρεία στην οποία ήταν συνεταίρος, φαίνεται να αποτελούσε μόνο ένα πολύ μικρό ποσοστό του ποσού αυτού.

Με βάση τα πιο πάνω η Επίτροπος απηύθυνε σύσταση προς τον τηλεοπτικό σταθμό ΣΙΓΜΑ, όπως φροντίζει πάντοτε όπως οι πληροφορίες που μεταδίδονται, ασχέτως εάν αυτές μεταδίδονται λέξη προς λέξη από άλλη πηγή, να ελέγχονται για την ακρίβεια τους (αρχή της ακρίβειας του άρθρου 5(1)(δ)) και νοουμένου ότι πληρούνται τα κριτήρια στάθμισης, να αποδίδονται μόνο στα άτομα που αφορούν.

Άσκηση δικαιώματος πρόσβασης σε υλικό καταγραφής που είχε γίνει από ΚΚΒΠ σε κατάστημα της Pop Life Electronic Shops Ltd

Η καταγγελία αφορούσε δικαίωμα πρόσβασης σε υλικό καταγραφής που είχε συλλεγεί από ΚΚΒΠ και το οποίο έδειχνε ατύχημα που είχε πάθει η παραπονούμενη σε χώρο στάθμευσης υποκαταστήματος. Ο υπεύθυνος επεξεργασίας (Pop Life Electronic Shops Ltd), συμμορφώθηκε με τις υποδείξεις του Γραφείου της Επιτρόπου, αλλά και στο αίτημα του υποκειμένου των δεδομένων, αποστέλλοντας απόσπασμα βιντεοσκοπημένου υλικού το οποίο απεικόνιζε το υποκείμενο των δεδομένων κατά την στιγμή της πτώσης του. Η Επίτροπος θεώρησε πώς υπήρξε συμμόρφωση στην βάση του Άρθρου 58 παρ. 2(γ) του ΓΚΠΔ.

Για ολόκληρη την απόφαση πατήστε εδώ.

Διερεύνηση καταγγελίας για μη τήρηση μέτρων ασφάλειας στην επεξεργασία προσωπικών δεδομένων από μέρους του Οργανισμού Κρατικών Υπηρεσιών Υγείας (ΟΚΥπΥ) μέσω του Γενικού Νοσοκομείου Λευκωσίας

Η Καταγγέλουσα με επιστολή του δικηγόρου της ισχυρίστηκε ότι ο ΟΚΥπΥ, δεν έλαβε τα δέοντα μέτρα ασφάλειας. Μετά από διερεύνηση της υπόθεσης, η Επίτροπος εξέτασε κατά πόσο ο ΟΚΥπΥ (α) απώλεσε την λεπτομερή ιατρική έκθεση της Καταγγέλλουσας και (β) διέρρευσε προσωπικά δεδομένα της Καταγγέλλουσας προς τους εργοδότες της.

Σύμφωνα με τα δεδομένα που τέθηκαν ενώπιον της Επιτρόπου, δεν διεφάνη ότι απωλέσθη οποιαδήποτε ιατρική έκθεση, αφού η ιατρική έκθεση στην οποία αναφέρθηκε η Καταγγέλλουσα, συντάσσεται μόνο κατόπιν γραπτού αιτήματος και αφού καταρτιστεί, για να παραληφθεί καταβάλλεται ως αντίτιμο το ποσό των €62, ως προνοείται στους Περί Κυβερνητικών Ιατρικών Ιδρυμάτων και Υπηρεσιών Γενικοί (Τροποποιητικοί) Κανονισμοί του 2013. Η Καταγγέλλουσα, δεν είχε προβεί πριν την 19η Σεπτεμβρίου 2019, τουλάχιστον γραπτώς, σε αίτηση για ετοιμασία/σύνταξη λεπτομερούς ιατρικής έκθεσης. Συνεπώς, ο ισχυρισμός ότι υπήρχε στον ιατρικό φάκελο και απωλέσθη, δε φαίνεται να ευσταθεί.

Ο άλλος ισχυρισμός της Καταγγέλλουσας για διαρροή προσωπικών δεδομένων της από τον ΟΚΥπΥ προς τον εργοδότη της, κρίθηκε ως αβάσιμος, εφόσον δεν έχει αποδειχθεί. Ενώπιον της Επιτρόπου δεν είχαν τεθεί οποιαδήποτε στοιχεία που να αποδεικνύουν, έστω και κατ’ ελάχιστον τον ισχυρισμό ότι έγινε οποιαδήποτε διαρροή ή ότι η ισχυριζόμενη διαρροή προσωπικών δεδομένων αποτέλεσε παράγοντα πρόκλησης ζημίας στην Καταγγέλλουσα και εξαιτίας αυτού του περιστατικού, διεκόπη η μεταξύ τους συνεργασία για κάποιο χρονικό διάστημα. Επιπλέον, το θέμα της οποιασδήποτε ζημίας, δεν εξετάζεται από το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Σε κάθε περίπτωση, κατά τη διερεύνηση διεφάνη ότι ο ΟΚΥπΥ, έλαβε μέτρα και προχώρησε σε διαδικασίες για προστασία των δεδομένων προσωπικού χαρακτήρα, εκπόνησε σχέδιο για ενημέρωση και παρακολούθηση. Επιπλέον, τα μέτρα για τήρηση της ασφάλειας επεξεργασίας προσωπικών δεδομένων, φαίνεται να είναι τέτοια που να καθιστούν μια πιθανή παραβίαση, απομακρυσμένο γεγονός, χωρίς αυτό να σημαίνει ότι τα μέτρα αυτά δεν θα πρέπει να τυγχάνουν ελέγχου και αναθεώρησης, όταν και όπου αυτό κρίνεται αναγκαίο.

Έχοντας υπόψη τα γεγονότα, την ανάλυση όπως αυτή επεξηγείται στην απόφαση, η Επιτροπος δεν διαπίστωσε παράβαση δυνάμει των διατάξεων του ΓΚΠΔ 2016/679 από μέρους του ΟΚΥπΥ.

Για ολόκληρη την απόφαση πατήστε
εδώ.

Παραβίαση προσωπικών δεδομένων από την Ελληνική Τράπεζα, μέσω του web banking system

Πελάτης της Ελληνικής Τράπεζας, είχε πρόσβαση σε οικονομικά δεδομένα άλλου πελάτη, μέσω του web banking system. Ειδοποίησε την Τράπεζα, η οποία απέστειλε έντυπο Γνωστοποίησης Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στο Γραφείο της Επιτρόπου. Παρόλο που η Τράπεζα προχώρησε σε διόρθωση δεδομένων που αντιστοιχούσαν στον συγκεκριμένο πελάτη, εντούτοις δεν προχώρησε και στη διόρθωση διεύθυνσης οικίας, με αποτέλεσμα όταν εκδόθηκε νέα κάρτα στο όνομα του άλλου πελάτη, αυτή να σταλεί στον πρώτο, ο οποίος και πάλι ενημέρωσε την Τράπεζα για το λάθος αυτό.

Η Επίτροπος κατέληξε ότι υπήρξε παράβαση εκ μέρους της Ελληνικής Τράπεζας του Κανονισμού 2016/679 (ΓΚΠΔ). Λαμβάνοντας υπόψιν όλα τα γεγονότα και τους μετριαστικούς παράγοντες οι οποίοι ήταν κατά πολύ περισσότεροι από τους επιβαρυντικούς, αποφάσισε όπως μη επιβάλει διοικητικό πρόστιμο σε αυτήν την περίπτωση. Δόθηκε εντολή προς την Ελληνική Τράπεζα, όπως θεσπίσει τέτοια μέτρα ασφαλείας και πρακτικές, ούτως ώστε να καθίστανται οι πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ και όπως σε διάστημα τριών μηνών, πληροφορήσει την Επίτροπο για τις ενέργειες στις οποίες προέβη για συμμόρφωση με την Απόφαση.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία εναντίον της GAIJIN NETWORK LTD για μη ικανοποίηση του αιτήματος διαγραφής

Ο λογαριασμός του παραπονούμενου (από τη Γαλλία) χρησιμοποιήθηκε από τρίτο πρόσωπο (hacker) και δεν μπορούσε να αλλάξει τον κωδικό πρόσβασής, ούτε μπορούσε να έχει πρόσβαση στον αρχικό λογαριασμό του ηλεκτρονικού ταχυδρομείου, με τον οποίο δημιούργησε τον λογαριασμό του.

Ζήτησε βοήθεια, αλλά ο υπεύθυνος επεξεργασίας (Gaijin Network) απαιτούσε πολλές πληροφορίες εξακρίβωσης ταυτότητας, όπως τρέχοντα και προηγούμενα ψευδώνυμα, ημερομηνία εγγραφής του λογαριασμού, αγορές που έγιναν κτλ. Ο χρήστης δεν μπόρεσε να παράσχει όλες τις πληροφορίες και ζήτησε τη διαγραφή του λογαριασμού του και τη διαγραφή όλων των δεδομένων που τον αφορούν. Ο υπεύθυνος επεξεργασίας δεν συμμορφώθηκε με το αίτημα διαγραφής και δεν έδωσε εξηγήσεις.


Μετά από διερεύνηση, η Επίτροπος έκρινε ότι οι απαιτήσεις εξακρίβωσης ταυτότητας του υπεύθυνου επεξεργασίας είναι δικαιολογημένες και σύμφωνα με το άρθρο 12.6 του ΓΚΠΔ: οι πληροφορίες που ζητούνται από την Gaijin Network βρίσκονται ήδη στην κατοχή και υποβάλλονται σε επεξεργασία από τον υπεύθυνο επεξεργασίας. Η απαίτηση προς το χρήστη να παρέχει ξανά τις εν λόγω πληροφορίες, θεωρείται ότι είναι σχετική και ανάλογη σε σχέση με τον σκοπό της επεξεργασίας και στοχεύει μόνο σε προσδιορισμό της ταυτότητας του χρήστη.


Παρόλα αυτά, η Επίτροπος έκρινε ότι τα εργαλεία που παρέχονται στις εσωτερικές πολιτικές του υπεύθυνου επεξεργασίας, δεν συμμορφώνονται πλήρως με τις απαιτήσεις του ΓΚΠΔ και θα πρέπει να εφαρμοστούν επιπλέον εργαλεία που να επιτρέπουν σε ένα υποκείμενο δεδομένων με παραβιασμένο λογαριασμό να αποδείξει εύκολα την ταυτότητά του. Για παράδειγμα, μια μυστική ερώτηση θα μπορούσε να προβλεφθεί κατά την εγγραφή.


Για ολόκληρη την απόφαση (στα αγγλικά) πατήστε εδώ.

Εντολές προς τις σχολικές μονάδες αναφορικά με την εξ’ αποστάσεως εκπαίδευση

Η Επίτροπος αποφάσισε τη διενέργεια επιτόπιων ελέγχων σε Λύκεια ύστερα από τις ανησυχίες που εξέφρασαν γονείς, μαθητές, εκπαιδευτικοί και οργανωμένα αντιπροσωπευτικά σύνολα σχετικά με τη λειτουργία της σύγχρονης εκπαίδευσης και κυρίως της οπτικογράφησης της διδασκαλίας από τις σχολικές μονάδες και της απευθείας μετάδοσής της στους μαθητές που παραμένουν στο σπίτι τους.

Κατά την κρίση της η Επίτροπος επεσήμανε ότι η απευθείας μετάδοση ηχητικού υλικού από τις παραδόσεις στις αίθουσες διδασκαλίας, αποτελούσε συνέχιση της συμβατικής εκπαίδευσης, η οποία εμπίπτει στο πλαίσιο της σχέσης απασχόλησης, η λειτουργία της οποίας ρυθμίζεται πρώτιστα με πρωτογενείς και δευτερογενείς κανόνες δικαίου, οι οποίοι αποτελούν τη νομική βάση για την εν λόγω επεξεργασία.

Για την οπτικογράφηση των εκπαιδευτικών κατά την παράδοση των μαθημάτων η Επίτροπος έκρινε ότι δεν υπήρχε εν ισχύ νομική βάση, η οποία να καθιστά σύννομη την εν λόγω επεξεργασία.

Για την οπτικογράφηση των μαθητών με φυσική παρουσία στην αίθουσα διδασκαλίας ή των απόντων στο σπίτι μαθητών, έκρινε ότι είναι εκτός νομοθετικού πλαισίου και αντιβαίνουσα στις θεμελιώδεις αρχές νόμιμης επεξεργασίας προσωπικών δεδομένων.

Η Επίτροπος ασκώντας, τις δυνάμει του άρθρου 58(2)(δ) του ΓΚΠΔ εξουσίες της, εξέδωσε και /ή απηύθυνε στη βάση των τεκμηρίων / ευρημάτων / και της κρίσης της συγκεκριμένες εντολές προς το ΥΠΠΑΝ για ενέργειες εντός χρονοδιαγράμματος, κυριότερες από τις οποίες είναι:

Το ΥΠΠΑΝ εντέλλεται όπως:

(1) Μεριμνήσει για την εφαρμογή ομοιόμορφης και ενιαίας πολιτικής εξ’ αποστάσεως εκπαίδευσης από όλες τις σχολικές μονάδες σύμφωνα με τρόπο που εισηγήθηκε η ίδια.
(2) Προβεί σε ενημέρωση όλων των χρηστών της πλατφόρμας για την εξ’ αποστάσεως εκπαίδευση σχετικά με τη συλλογή και επεξεργασία των δεδομένων τους. (Δεν αρκεί η παραπομπή σε συνδέσμους πολιτικών της αναδόχου εταιρείας).
(3) Προβεί σε επιμόρφωση και κατάρτιση όλων των χρηστών της πλατφόρμας για διασφάλιση της ορθής και ασφαλούς χρήσης της πλατφόρμας, των εργαλείων και ρυθμίσεων της ώστε να αποφευχθούν κατά το μέγιστο δυνατό βαθμό συμβάντα ασφαλείας και,
(4) Μεριμνήσει κατ’ εξαίρεση και ως προσωρινό μέτρο, μέχρι την εκπόνηση Εκτίμησης Αντικτύπου, τηρουμένων των διατάξεων των άρθρων 35 και 36 του ΓΚΠΔ, για την εξασφάλιση ενημερωμένης, ελεύθερης και ξεχωριστής συγκατάθεσης, για κάθε πράξη επεξεργασίας (συλλογή, μετάδοση, αποθήκευση κλπ) των δεδομένων που αφορούν στην οπτικογράφηση των εκπαιδευτικών καθώς και στο οπτικό υλικό από τη διδασκαλία τους στη σχολική αίθουσα, με την έννοια που αποδίδει ο ορισμός του όρου «συγκατάθεση» σύμφωνα με το άρθρο 4 (11) του ΓΚΠΔ και υπό τις προϋποθέσεις του άρθρου 7 και της αιτιολογικής σκέψης 43 του ΓΚΠΔ.

Ανάρτηση φωτογραφίας σε προσωπικό ιστολόγιο στο κοινωνικό δίκτυο FACEBOOK χωρίς συγκατάθεση

Διερευνήθηκε παράπονο για παράνομη ανάρτηση και /ή δημοσίευση φωτογραφίας του παραπονούμενου, στο προσωπικό ιστολόγιο της Καθ’ής το παράπονο, στο κοινωνικό δίκτυο FACEBOOK, η οποία είχε ληφθεί από τις καλοκαιρινές του διακοπές και συνοδευόταν με άκρως προσβλητικά, κατά την άποψη του παραπονούμενου, σχόλια για το πρόσωπό του.

Σύμφωνα με το σκεπτικό της Απόφασης, λήφθηκαν υπόψιν η ιδιότητα του παραπονούμενου ως δημόσιο πρόσωπο και πρόσωπο της επικαιρότητας, ως εκ της θέσεως του κατά τον ουσιώδη χρόνο. Υπό τις περιστάσεις η ιδιότητα του ως δημόσιο πρόσωπο, οι ενέργειές και η συμπεριφορά, δικαιολογούσαν τον έλεγχο των πράξεων και /ή παραλείψεών του από το κοινωνικό σύνολο, στο βαθμό που η επέμβαση αυτή δεν υπεισέρχετο στον αποκλειστικό πυρήνα της ιδιωτικής του σφαίρας και ως εκ τούτου δεν υποβαθμίζει την αξία και το ήθος του ως ιδιαίτερες πτυχές της προσωπικότητάς του.

Ακολούθησε στάθμιση μεταξύ των δικαιωμάτων του παραπονούμενου στην ιδιωτική ζωή επέκταση και /ή έκφανση της οποίας αποτελεί η προστασία των προσωπικών δεδομένων και της ελευθερίας της έκφρασης και του τύπου, έκφανση της οποίας αποτελεί η επεξεργασία για δημοσιογραφικούς σκοπούς από την Καθ’ής το παράπονο.

Λήφθηκε υπόψιν και αξιολογήθηκε η εύλογη προσδοκία του παραπονούμενου για την προστασία της ιδιωτικότητας του σε συνάρτηση με τον αυξημένο αριθμό ακόλουθων και φίλων που είχε στο κοινωνικό δίκτυο FACEBOOK και την καταλληλότητα και αναλογικότητα του μέσου ήτοι της φωτογραφίας να εξυπηρετήσει το σκοπό και /ή να συμβάλει στην άσκηση δημόσιας κριτικής σχετικά με ένα επίκαιρο και πολυσυζητημένο θέμα.

Κρίθηκε ότι η δημοσίευση της φωτογραφίας ήταν ικανή, ως απολύτως αναγκαία και απαραίτητη υπό τις περιστάσεις να μεταφέρει το μήνυμα και να εξυπηρετήσει τους σκοπούς της πληροφόρησης του κοινού για την διασφάλιση του δικαιώματος πληροφόρησής του, επί θεμάτων δημοσίου ενδιαφέροντος και να συμβάλει στο δημόσιο διάλογο αναφορικά με το πολυσυζητημένο και επίκαιρο θέμα.

Η Επίτροπος κατέληξε ότι η Καθ’ής το παράπονο ενήργησε εντός των ορίων του δικαιώματός της ήτοι της ελευθερίας έκφρασης και του τύπου προς το συμφέρον της ενημέρωσης της κοινής γνώμης, ή για δημοσιογραφικούς αποκλειστικά σκοπούς, δικαίωμα το οποίο κρίθηκε ότι υπερτερεί σε σχέση με το δικαίωμα της ιδιωτικής ζωής του Παραπονούμενου, και επομένως η κρινόμενη περίπτωση θεωρήθηκε ότι εμπίπτει στην προβλεπόμενη εξαίρεση του άρθρου 85(1) του ΓΚΠΔ και του άρθρου 29(1) του Εθνικού Νόμου, (Ν. 125(Ι)/2018).

Ως εκ των ανωτέρω, το υποβληθέν παράπονο απορρίφθηκε ως αβάσιμο.
Κατεβάστε το αρχείο τύπου Acrobat Pop life access request ΑΝΩΝΥΜ ΑΠΟΦΑΣΗ.pdf

Κατεβάστε το αρχείο τύπου Acrobat ΟΚΥΠΥ ΑΝΟΝΥΜ ΑΠΟΦΑΣΗ.pdf

Κατεβάστε το αρχείο τύπου Acrobat Ελληνική Τράπεζα ΑΝΩΝΥΜ ΑΠΟΦΑΣΗ.pdf

Κατεβάστε το αρχείο τύπου Acrobat Decision - Gaijin network 04-2019.pdf


Back To Top