Η καταγγελία έγινε από μέλος του Παγκύπριου Συνδέσμου Εκτιμητών Μηχανοκινήτων (εφεξής ο «Καθ’ ου»). Λόγω της διαγραφής του Καταγγέλλοντος από τον Σύνδεσμο, ο Καθ’ ου απέστειλε επιστολή προς τις ασφαλιστικές εταιρείες με ενημέρωση για την εν λόγω διαγραφή.

Κρίθηκε ότι ο Καθ’ ου παραβίασε τα άρθρα 5(1)(α), 6(1) και 9(1) του Κανονισμού, επιβάλλοντας Επίπληξη, αφού ο Καθ’ ου απέτυχε να τεκμηριώσει και/ή αποδείξει το σύννομο της σχετικής πράξης επεξεργασίας, την οποία ουδέποτε αρνήθηκε. Έλαβα, επίσης, υπόψιν ότι δεν καταδείχθηκε η πλήρωση οποιασδήποτε προϋπόθεσης ή υποχρέωσης στο Καταστατικό και τον Κώδικα Επαγγελματικής Δεοντολογίας του Καθ’ ου, αλλά και το γεγονός ότι ο Καθ’ ου δεν αποτελεί θεσμοθετημένη εποπτική αρχή και ότι το επάγγελμα το οποίο εκπροσωπεί δεν είναι θεσμοθετημένο και νομικά κατοχυρωμένο.

Παρά το γεγονός ότι η έλλειψη πολυπλοκότητας και η κατοχή των στοιχείων που ζήτησα, στο πλαίσιο της διερεύνησης της καταγγελίας, δεν δικαιολογούσαν ενδεχόμενη καθυστέρηση ή αίτημα για παράταση, ο Καθ’ ου δεν απάντησε στην επιστολή μου με την οποία ζητούσα συγκεκριμένα στοιχεία, ούτε προέβη σε ενημέρωση ή επικοινωνία με το Γραφείο μου για τη μη υποβολή τους, όχι μόνο στην αρχική προθεσμία που τους έθεσα, αλλά ούτε και στις τρεις παρατάσεις υποβολής που τους παρείχα. Απουσίαζε, επομένως, ενδεδειγμένη συνεργασία με το Γραφείο μου για την άσκηση των καθηκόντων μου, όπως αυτή προβλέπεται δυνάμει του άρθρου 31 του Κανονισμού. Για τον λόγο αυτό, συνεκτιμώντας θετικά το γεγονός ότι, εν τέλει, ο Καθ’ ου παρείχε απαντήσεις προς το Γραφείο μου, όπως επίσης τη φύση του Καθ’ ου, καθώς και τις πρωτοβουλίες του για επαγγελματική θεσμοθέτηση / νομική κατοχύρωση, επέβαλα Προειδοποίηση και όπως προβαίνει σε όλες τις απαραίτητες ενέργειες και ανταποκρίνεται έγκαιρα και με δέουσα επιμέλεια σε αιτήματα προς διευκόλυνση της άσκησης των καθηκόντων μου.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία για χρησιμοποίηση δεδομένων προσωπικού χαρακτήρα από την Ασφαλιστική Εταιρεία Trust Insurance Ltd, χωρίς αυτά να έχουν ληφθεί από το ίδιο το υποκείμενο των δεδομένων

Ο Καταγγέλλων είχε λάβει τηλεφώνημα από την ασφαλιστική του εταιρεία σε αριθμό τηλεφώνου τον οποίο δεν είχε παραχωρήσει ο ίδιος σ’ αυτή. Σκοπός του τηλεφωνήματος η επικαιροποίηση στοιχείων. Όταν ρώτησε από που είχαν βρει τον αριθμό τηλεφώνου του, η υπάλληλος που του είχε τηλεφωνήσει απάντησε ότι θα το ερευνήσει και θα επανέλθει. Παρόλα αυτά, η υπάλληλος δεν επανήλθε, ούτε προχώρησε στο θέμα της επικαιροποίησης στοιχείων. Ο Καταγγέλλων προέβηκε σε καταγγελία στο Γραφείο μου.

Στα πλαίσια της διερεύνησης, η Καθ’ ης την καταγγελία ανέφερε ότι είχε λάβει γνώση του αριθμού τηλεφώνου του Καταγγέλλοντος από υπάλληλο της ίδιας, η οποία υπάλληλος είχε στο παρελθόν προσωπική σχέση με τον καταγγέλλοντα. Υποστήριξε ότι ο αριθμός τηλεφώνου είχε δοθεί από τον ίδιο τον καταγγέλλοντα για να τον χρησιμοποιήσει εκεί και όπου χρειαστεί και ήταν με την συγκατάθεση του που είχε δοθεί. Οι θέσεις όμως της Καθ’ ης, δεν ήταν αρκετές για να τεκμηριώσουν την προβλεπόμενη εκ του Κανονισμού ενημέρωση και λήψη συγκατάθεσης για χρησιμοποίηση δεδομένων προσωπικού χαρακτήρα.

Προσμετρώντας όλους τους επιβαρυντικούς και μετριαστικούς παράγοντες που είχα ενώπιον μου, με Απόφαση μου ημερ. 19 Απριλίου, 2021, θεώρησα ορθό όπως μη επιβάλω οποιοδήποτε διοικητικό μέτρο κύρωσης εναντίον της Καθ’ ης. Η υπόθεση θεωρείται όμως ως προηγούμενο, σε περίπτωση επανάληψης παράβασης εκ μέρους της.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία για ελλιπή οργανωτικά μέτρα ασφάλειας

O Kαταγγέλων ισχυρίστηκε ότι η Καθ’ ής την καταγγελία, αποθήκευσε επιστολή που περιείχε προσωπικές πληροφορίες σχετικές με την εργασιακή απόδοση του σε ηλεκτρονικό αρχείο που βρίσκεται σε κοινό διακομιστή και στον οποίο είχαν ελεύθερη πρόσβαση πρόσωπα, τα οποία δεν δικαιολογείται να έχουν πρόσβαση βάση των καθηκόντων τους.

Μετά από διερεύνηση της υπόθεσης, διαπιστώθηκε ότι η Καθ’ ης τηρούσε μέτρα οργάνωσης και ασφάλειας, τα οποία όμως έχρηζαν αναθεώρησης και επικαιροποίησης. Η υπό αναφορά επιστολή αποθηκεύτηκε στο αρχείο με την ονομασία “Personnel” στις 17/9/2020 και διαγράφηκε στις 25/9/2020, μετά που ήγειρε το θέμα ο Καταγγέλων.

Έγινε εξ’ αρχής παραδεκτό από την Καθ’ ης ότι, η υπό αναφορά επιστολή δε θα έπρεπε να είχε φυλαχθεί στο συγκεκριμένο αρχείο με την ονομασία “Personnel”, εφόσον σε αυτόν είχαν πρόσβαση και εργαζόμενοι, των οποίων οι αρμοδιότητες δεν είχαν σχέση με το συγκεκριμένο θέμα.

Η Επίτροπος αποφάσισε ότι η φύλαξη της υπό αναφορά επιστολής στο αρχείο με την ονομασία “Personnel”, για το συγκεκριμένο χρονικό διάστημα που παρέμεινε εκεί, χωρίς τα ενδεδειγμένα μέτρα ασφάλειας, οργάνωσης και πρόσβασης (π.χ. περιορισμό πρόσβασης στα άτομα που ήταν αναγκαίο), συνιστά παραβίαση των Άρθρων 24 και 32 του ΓΚΠΔ.

Ως εκ τούτου δυνάμει του Άρθρου 58(2)(β) του ΓΚΠΔ, απηύθυνε ΕΠΙΠΛΗΞΗ στην Καθ’ ης, για παραβίαση των Άρθρων 24 και 32 και συνέστησε όπως προς αποφυγή παρόμοιων περιστατικών στο μέλλον, η Καθ’ ης να προβαίνει σε τακτά χρονικά διαστήματα σε αναθεώρηση και επικαιροποίηση των διαδικασιών ασφάλειας και οργάνωσης, τόσο αυτών που αφορούν στη διακοπή συνεργασίας με υπαλλήλους όσο και γενικότερα στα μέτρα ασφάλειας, εμπιστευτικότητας και οργάνωσης που εφαρμόζει. Σε περίπτωση που διαπιστωθεί ότι η Καθ’ ης προβεί σε παρόμοιας φύσης παράβαση του ΓΚΠΔ τα επόμενα δύο (2) χρόνια, η παρούσα επίπληξη θα επιμετρηθεί στην ενδεχόμενη επιβολή διοικητικής κύρωσης εναντίον της.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία για μη ικανοποίηση του δικαιώματος πρόσβασης σε ειδικής κατηγορίας δεδομένα προσωπικού χαρακτήρα (Άρθρο 15 του Κανονισμού)

Η Καταγγέλλουσα είχε ζητήσει αντίγραφο του Ιατρικού της Φακέλου από τον ιατρό της – Καθ’ ου την καταγγελία. Ο Καθ’ ου, παραχώρησε αντίγραφο του Ιατρικού της Φακέλου, εκτός από ένα DVD το οποίο περιείχε την επέμβαση που είχε διενεργηθεί στην Kαταγγέλλουσα. Επικαλέστηκε δικαιώματα διανοητικής ιδιοκτησίας στην χειρουργική τεχνική που είχε εφαρμόσει.

Αφού ζητήθηκαν οι θέσεις του Καθ’ ου, αποφάσισα ότι δεν είχε αποδείξει ότι όντως κατείχε δικαιώματα διανοητικής ιδιοκτησίας στην χειρουργική τεχνική έτσι ώστε να επηρεαστούν αρνητικά οποιαδήποτε δικαιώματα του. Σε κάθε περίπτωση, υπάρχει lex specialis σε σχέση με την παροχή αντιγράφων από φάκελο ασθενούς όπου σύμφωνα με το άρθρο 18 του περί της Κατοχύρωσης και της Προστασίας των Δικαιωμάτων των Ασθενών Νόμο του 2004 (Ν.1(Ι)/2005), ο ασθενής δικαιούται να ζητήσει αντίγραφο πληροφοριών που είναι καταχωρισμένες στον Ιατρικό του Φάκελο, χωρίς τον περιορισμό που είχε επικαλεστεί ο Καθ’ ου την καταγγελία. Συνεπώς, δεν μπορεί να γίνει επίκληση οποιωνδήποτε εξαιρέσεων που δεν εμπίπτουν στο Νόμο αυτό.

Εκδόθηκε Απόφαση ημερ. 10 Ιουνίου, 2021, δίδοντας Εντολή προς τον Καθ’ ου για ικανοποίηση του αιτήματος της Καταγγέλλουσας. Ο Καθ’ ου συμμορφώθηκε με την Εντολή.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία για μη ικανοποίηση δικαιώματος πρόσβασης σε δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων (Άρθρο 15 του Κανονισμού)

Η Καταγγέλλουσα άσκησε δικαίωμα πρόσβασης στα δεδομένα προσωπικού της χαρακτήρα με βάση το Άρθρο 15 του Κανονισμού. Οι Καθ’ ων την καταγγελία είχαν απαντήσει ότι δεν είχαν εντοπίσει οτιδήποτε, έτσι ώστε να μπορέσουν να ικανοποιήσουν το αίτημα της. Η Καταγγέλλουσα απευθύνθηκε στο Γραφείο μου, παρουσιάζοντας κάποια έγγραφα που κατά τη γνώμη της στοιχειοθετούσαν παροχή υπηρεσιών από τους Καθ’ ων προς την ίδια, και συνεπώς οι Καθ’ ων, με βάση τα έγγραφα αυτά, θα έπρεπε να κατέχουν προσωπικά της δεδομένα.

Αφού διερεύνησα την υπόθεση, θέτοντας υπόψιν των Καθ’ ων τις θέσεις της Καταγγέλλουσας και ζητώντας διευκρινίσεις σε σχέση με τα προσκομισθέντα έγγραφα, Αποφάσισα την 23 Ιουνίου, 2021, ότι όντως η απάντηση των Καθ’ ων πως δεν κατείχαν δεδομένα προσωπικού χαρακτήρα της Καταγγέλλουσας ήταν ξεκάθαρη και ότι από τα έγγραφα τα οποία προσκομίστηκαν δεν διαφάνηκε σύνδεση της Καταγγέλλουσας με τους Καθ’ ων. Συνεπώς, έκρινα ότι δεν χρειάζετο οποιαδήποτε περαιτέρω παρέμβαση του Γραφείου μου.

Καταγγελία για κοινοποίηση δεδομένων προσωπικού χαρακτήρα σε τρίτους

Ο Καταγγέλλων απέστειλε παράπονο στο Γραφείο μου, όταν συγκεκριμένη πληροφόρηση δόθηκε μέσω Ενόρκου Δηλώσεως στο Δικαστήριο, αποκαλύπτοντας ότι σε συγκεκριμένο τραπεζικό λογαριασμό, υπήρχαν διαθέσιμα κεφάλαια για ικανοποίηση της απαίτησης της Ενάγουσας. Το Δικαστήριο, στην βάση της πληροφόρησης αυτής, εξέδωσε απόφαση με την οποία διατάσσετο κατάσχεση ποσού από τον τραπεζικό λογαριασμό του Καταγγέλλοντος.

Ο Καταγγέλλων άσκησε δικαίωμα πρόσβασης στα αρχεία καταγραφής δραστηριοτήτων (activity logs) του επίδικου λογαριασμού, από την ημερομηνία δημιουργίας του μέχρι την ημερομηνία του αιτήματος του. Το δικαίωμα πρόσβασης του ικανοποιήθηκε κατόπιν μεσολάβησης του Γραφείου μου.

Ο Καταγγέλλων θεώρησε ότι συγκεκριμένη ενέργεια υπαλλήλου που καταγράφετο στα αρχεία καταγραφής δραστηριοτήτων, ενοχοποιούσε τον υπάλληλο αυτόν και κατ’ επέκταση την Τράπεζα, για την αποκάλυψη της πληροφορίας προς τον Ενόρκως Δηλούντα.

Αφού μελέτησα τα ενώπιον μου δεδομένα, όπως την ανεξάρτητη Έκθεση/Audit Trail/Activity Logs των λογαριασμών του Καταγγέλλοντος, σύμφωνα με την οποία δεν εντοπίζετο ανεξουσιοδότητη πρόσβαση στον λογαριασμό, το γεγονός ότι κατά την εν λόγω περίοδο ο τρόπος με τον οποίο ήταν καταχωρισμένα τα δεδομένα στο σύστημα που χρησιμοποιήθηκε, δεν έδιδαν τη δυνατότητα μεμονωμένης έρευνας στον επίδικο λογαριασμό, αλλά η καταγραφή αφορούσε γενικά σε όλους τους λογαριασμούς που διατηρούσε ο Καταγγέλλων στην Τράπεζα αυτή, με Απόφαση μου ημερ. 12 Ιουλίου, 2021, κατέληξα ότι δεν είχε τεκμηριωθεί επαρκώς η μεταφορά της γνώσης για την ύπαρξη υπολοίπων, από υπαλλήλους της Τράπεζα (πρώην ΣΚΤ) προς την Ενόρκως Δηλούσα.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία για ελλιπή οργανωτικά μέτρα ασφάλειας και μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες του Υφυπουργείου Ναυτιλίας, πρώην Τμήμα Εμπορικής Ναυτιλίας

O Kαταγγέλων ισχυρίστηκε ότι ο Καθ’ ού την καταγγελία εξασφάλισε μη εξουσιοδοτημένη πρόσβαση σε προσωπικά δεδομένα που τον αφορούν τα οποία ήταν στην κατοχή του ΥΦΥΝ.

Μετά από διερεύνηση της υπόθεσης, εξέτασα κατά πόσο

(α) το ΥΦΥΝ εφάρμοζε κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας, όσον αφορά στην πρόσβαση λειτουργών του σε δεδομένα προσωπικού χαρακτήρα, κατά την συγκεκριμένη περίοδο,

(β) κατά πόσο ο Καθ’ ου νόμιμα είχε πρόσβαση στις πληροφορίες που αφορούν στον Καταγγέλλοντα, και

(γ) αν η κοινοποίηση των εν λόγω πληροφοριών από μέρους του Καθ’ ου προς τον Γενικό Διευθυντή του Υπουργείου Συγκοινωνιών και Έργων μετέπειτα Υπουργείο Μεταφορών, Επικοινωνιών και Έργων συνιστούσε:

(i) παράβαση της Αρχής της Νομιμότητας σύμφωνα με το Άρθρο 4(1)(α) του Ν. 138(Ι)/2001, η οποία αποτυπώνεται και στο Άρθρο 5(1)(α) του ΓΚΠΔ, και

(ii) αν η εν λόγω κοινοποίηση συνιστούσε εκ μέρους του Καθ’ ου το παράπονο 2, επεξεργασία ασυμβίβαστη με τους αρχικούς σκοπούς συλλογής της κατά παράβαση της Αρχής του περιορισμού του Σκοπού που προβλέπει το Άρθρο 4(1)(β) του Ν. 138(Ι)/2001 και αποτυπώνεται στο Άρθρο 5(1)(β) του ΓΚΠΔ.

Επιπλέον, στην Απόφαση σχολιάστηκε και το θέμα του χρόνου που παρήλθε από τον χρόνο τέλεσης του ισχυριζόμενου συμβάντος, μέχρι και την ημερομηνία υποβολής της καταγγελίας στο Γραφείο μου, εφόσον δυσχεραίνει και σε κάποιες περιπτώσεις εμποδίζει τη σαφή και εμπεριστατωμένη τεκμηρίωση των γεγονότων.

Οι πληροφορίες που τέθηκαν ενώπιον μου από τον ΥΠΔ του ΥΦΥΝ, αναφορικά με τεχνικά και οργανωτικά μέτρα που ίσχυαν κατά το επίδικο χρονικό διάστημα, υπό το πρίσμα του Ν. 138(Ι)/2001, δεν επέτρεψαν να εξαχθεί με ασφάλεια το συμπέρασμα ότι, υπήρχαν ελλιπή μέτρα που ενδεχομένως να συνιστούσαν παράβαση του Ν. 138(Ι)/2001 και του ΓΚΠΔ.

Ως εκ τούτου, το εύλογο χρονικό διάστημα υποβολής κάποιου παραπόνου ενώπιον του Γραφείου μου είναι σημαντικό κομμάτι της ορθότερης και πιο τεκμηριωμένης διερεύνησης, τόσο από πλευράς των εμπλεκόμενων μερών όσο και από το Γραφείο μου.

Έχοντας υπόψη τα γεγονότα, την ανάλυση όπως αυτή επεξηγείται στην απόφαση, καθώς και τις προνοιες του Άρθρου 57 παρ. 1 εδαφ. στ), δεν διαπίστωσα παράβαση του Ν. 138(Ι)/2001, ο οποίος καταργήθηκε και αντικαταστάθηκε από το Νόμο 125(Ι)/2018 και τον Κανονισμό, από μέρους του ΥΦΥΝ και του Καθ’ού.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία εναντίον της Παγκυπριακής Ασφαλιστικής Λτδ για κοινοποίηση δεδομένων σε εταιρεία είσπραξης ληξιπρόθεσμων οφειλών

Υπεβλήθη καταγγελία στο Γραφείο μου εναντίον της Παγκυπριακής Ασφαλιστικής Λτδ (εφεξής η «Καθ’ ης») και εναντίον εταιρείας είσπραξης ληξιπρόθεσμων οφειλών, λόγω τηλεφωνικής κλήσης και επιστολής που έλαβε ο Καταγγέλλων από τη δεύτερη εταιρεία, για οφειλή που είχε στην Καθ’ ης.

Η Δήλωση Προστασίας Προσωπικών Δεδομένων της Καθ’ ης, η οποία ήταν αναρτημένη στο διαδίκτυο, περιείχε πληροφόρηση για ανάθεση της είσπραξης των απλήρωτων ασφαλίστρων/ληξιπρόθεσμων οφειλών σε τρίτο πρόσωπο. Όμως, επειδή το συμβόλαιο του Καταγγέλλοντος είχε τερματιστεί πριν την εφαρμογή του Κανονισμού, και η δήλωση αυτή απεστάλη μόνο σε όσους πελάτες της Καθ’ ης διατηρούσαν συμβόλαια σε ισχύ κατά την εφαρμογή του Κανονισμού, ο Καταγγέλλων δεν ενημερώθηκε σχετικά, ούτε έλαβε την εν λόγω δήλωση. Αφού ο Καταγγέλλων δεν έλαβε προσωπικά τη δήλωση, δεν ενημερώθηκε για την ενδεχόμενη κοινοποίηση των δεδομένων του σε αποδέκτες, συνεπώς ούτε και για το παρεπόμενο δικαίωμα της εναντίωσης. Ως εκ των ανωτέρω, έκρινα ότι η Καθ’ ης παραβίασε τα άρθρα 5(1)(α), 12(1), 13(1) και (2) και 21(4) του Κανονισμού.

Λαμβάνοντας, μεταξύ άλλων, υπόψιν ότι η Καθ’ ης αναθεώρησε τις σχετικές διαδικασίες και αποστέλλεται, πλέον, ειδική ενημερωτική επιστολή πριν την κοινοποίηση των δεδομένων των οφειλετών, καθώς και ότι η Καθ’ ης είχε δήλωση προστασίας προσωπικών δεδομένων, παρά το γεγονός ότι αυτή δεν απεστάλη σε όλους τους πελάτες της, απεύθυνα Επίπληξη στην Καθ’ ης. Η υπό διερεύνηση επεξεργασία, ήτοι η κοινοποίηση των δεδομένων του καταγγέλλοντος, διενεργήθηκε αποκλειστικά και μόνο από την Καθ’ ης, για τον λόγο αυτό κρίθηκε ότι η εταιρεία είσπραξης ληξιπρόθεσμων οφειλών δεν υπήχε ευθύνης.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελία για συλλογή και επεξεργασία δεδομένων από το ΤΕΠΑΚ μέσω του ηλεκτρονικού εντύπου ρει...START – Lime Survey

Με αφορμή γραπτή και τηλεφωνική επικοινωνία του Γραφείου μου με φοιτητές και εκπροσώπους Συνδικαλιστικών Οργανώσεων του Ακαδημαϊκού Προσωπικού του Τεχνολογικού Πανεπιστημίου Κύπρου (ΤΕΠΑΚ), κατά την οποίαν διατύπωσαν τις έντονες ανησυχίες τους σχετικά με τη συλλογή και επεξεργασία από το ΤΕΠΑΚ δεδομένων προσωπικού χαρακτήρα που αφορούσαν στον εμβολιασμό ή τη νόσησή τους από την COVID – 19, για σκοπούς ελέγχου της κατοχής των εν λόγω πιστοποιητικών, Αποφάσισα να διερευνήσω το σύννομο της επεξεργασίας αυτή.

Η έρευνα του Γραφείου μου και η επικοινωνία μου με το ΤΕΠΑΚ κατέδειξε ότι μέσω του διαδικτύου και της χρήσης ηλεκτρονικού εντύπου της πλατφόρμας Lime Survey γινόταν συλλογή προσωπικών δεδομένων και μεταφόρτωση των σχετικών πιστοποιητικών. Συγκεκριμένα η συλλογή αφορούσε στα ακόλουθα στοιχεία: ΑΔΤ, Θέση, Τμήμα, πιστοποιητικό (νόσησης και εμβολιασμού) και ημερ. έκδοσης τους. Η διατήρηση των δεδομένων καθορίστηκε για χρονική περίοδο ενός έτους.

Οι θέσεις και το σκεπτικό της Απόφασης συνοψίζονται ως ακολούθως:

- η συλλογή και επεξεργασία των ως άνω δεδομένων δεν μπορεί να εδράζεται στη συγκατάθεση των υποκειμένων των δεδομένων λόγω της ετεροβαρούς σχέσης μεταξύ εργοδότη και εργοδοτούμενου,

- η συλλογή των δεδομένων μέσω ηλεκτρονικού εντύπου και η διατήρηση τους σε ηλεκτρονική και /ή έντυπη μορφή για χρονική περίοδο ενός έτους υπερβαίνει τα όρια του σύννομου και θεμιτού καθ’ όσων τίθεται εκτός επιταγής του νόμου (Διάταγμα)

- η εν λόγω επεξεργασία αναιρεί και /ή παραβαίνει τις βασικές αρχές της σύννομης επεξεργασίας δεδομένων (βλ. άρθρο 5(1)), όπως τις Αρχές της Νομιμότητας, Αναλογικότητας, και περιορισμού της περιόδου αποθήκευσης / διατήρησης των δεδομένων,

- η συλλογή των δεδομένων μέσω του διαδικτύου αποτελεί επεξεργασία που από τη φύση της εγκυμονεί και/ή ελλοχεύει κινδύνους που σχετίζονται με την ασφάλεια της επεξεργασίας και των προσωπικών δεδομένων.

Αφού έλαβα υπόψιν κατά την κρίση μου όλες τις περιστάσεις της υπόθεσης συμπεριλαμβανομένων των μεμονωμένων ενεργειών στις οποίες προέβη το ΤΕΠΑΚ προς αποκατάσταση της νομιμότητας της επεξεργασίας, έκρινα τη συγκεκριμένη επεξεργασία αντιβαίνουσα με τις Αρχές

(α) της νομιμότητας (καθ’ υπέρβαση της νομικής επιταγής του Διατάγματος), αντικειμενικότητας, διαφάνειας, (ελλειπής και ανεπαρκής ενημέρωση αφού το πληροφοριακό μέρος στην αρχή του εντύπου δεν παρέχει την απαραίτητη και ελάχιστη πληροφόρηση για τη διασφάλιση της αναγκαίας διαφάνειας στη βάση των άρθρων 12 και 13 του του Κανονισμού (ΕΕ) 2016/679, ως εκτίθενται στο Μέρος Β πιο πάνω,

(β) της αναγκαιότητας και αναλογικότητας, με την έννοια ότι η επεξεργασία υπερέβη το μέτρο του αναγκαίου και του ανάλογου τόσο αναφορικά με τη χρήση του ηλεκτρονικού εντύπου της υπό αναφορά πλατφόρμας, εκτιμώντας ότι αφενός υπήρχαν άλλες λύσεις λιγότερο παρεμβατικές (xls file μέσω ενδοδικτύου), όσο και αναφορικά με την ποσότητα και ποιότητα των δεδομένων που έχουν συλλεγεί πριν από τη διαμόρφωση του εντύπου π.χ πιστοποιητικό νόσησης, πιστοποιητικό εμβολιασμού,

(γ) της περιόδου τήρησης των δεδομένων (ένα έτος) η οποία δεν δικαιολογείται από τη νομική επιταγή ήτοι το Διάταγμα, το οποίο δεν προβλέπει καν τη διατήρηση των δεδομένων αυτών, καθώς και

(δ) της ασφάλειας των δεδομένων, ένεκα της έκθεσής τους σε περιβάλλον του διαδικτύου και λογισμικό τρίτου ήτοι του παρόχου της συγκεκριμένης πλατφόρμας αντί της διενέργειας της επεξεργασίας σε ψηφιακό περιβάλλον εσωτερικού δικτύου ή ενδοδικτύου του ΤΕΠΑΚ.

Αποφάσισα την επιβολή στο ΤΕΠΑΚ της διοικητικής κύρωσης της Εντολής, τηρουμένων των διατάξεων του άρθρου 58(2)(δ) του Κανονισμού (ΕΕ) 2016/679, την οποία θεωρώ κατάλληλη και ανάλογη υπό τις περιστάσεις.

Ασκώντας τις υπό αναφορά εξουσίες που μου απονέμει ο Κανονισμός έχω απευθύνει τις ακόλουθες Εντολές στο ΤΕΠΑΚ-

Εντολή 1η: Τερματίσει άμεσα την επεξεργασία μέσω του ηλεκτρονικού εντύπου.

Εντολή 2η: Διαγράψει ή καταστρέψει ανάλογα με την περίπτωση τα πιστοποιητικά εμβολιασμού και νόσησης από τη βάση δεδομένων ή τα αρχεία του, τα οποία έχει ήδη συλλέξει.

Εντολή 3η: Προβεί σε όλες τις απαραίτητες, σύννομες ενέργειες ώστε να καταστήσει την επεξεργασία σύννομη, θεμιτή και συμμορφούμενη με τις ως άνω βασικές αρχές του Κανονισμού σύμφωνα με τις εισηγήσεις μου.

Εντολή 4η: Γνωστοποιήσει στο Γραφείο μου εντός αποκλειστικής προθεσμίας 2 εβδομάδων από την παραλαβή της παρούσας όλες τις ενέργειες προς υλοποίηση των Εντολών 1 - 3.

Υπήρξε συμμόρφωση του ΤΕΠΑΚ, αφού διακόπηκε η λειτουργία της συλλογής δεδομένων μέσω του συγκεκριμένου ηλεκτρονικού εντύπου και διαγράφηκαν τα πιστοποιητικά εμβολιασμού.

Για ολόκληρη την απόφαση πατήστε εδώ.

Καταγγελίες για αποστολή ανεπιθύμητων διαφημιστικών μηνυμάτων για σκοπούς απ’ ευθείας εμπορικής προώθησης

Υποβλήθηκαν παράπονα στο Γραφείο μου για αποστολή ανεπιθύμητων διαφημιστικών μηνυμάτων με σκοπό την απευθείας εμπορική προώθηση αγαθών ή / και υπηρεσιών που προσφέρουν άτομα ή / και εταιρείες. Η απευθείας εμπορική προώθηση πραγματοποιείται είτε με την χρήση ηλεκτρονικών μέσων χωρίς ανθρώπινη παρέμβαση όπως email, φαξ, sms, mms κλπ. είτε με την χρήση με ανθρώπινη παρέμβαση όπως μέσω ταχυδρομείου και κλήσεων δια ζώσης.

Οι Καταγγέλλοντες ανέφεραν ότι η αποστολή διαφημιστικών μηνυμάτων sms ή / και email πραγματοποιήθηκε χωρίς την συγκατάθεση τους ή / και χωρίς να υφίσταται οποιαδήποτε σχέση μεταξύ των ιδίων και των ατόμων / εταιρειών ή / και χωρίς να παρέχεται η οδηγία αντίταξης ατελώς και εύκολα.

Αφού εξετάστηκαν οι λόγοι που προέβαλαν κάθε φορά οι Καθ’ ου την καταγγελία, εξέδωσα αποφάσεις προειδοποίησης εναντίον 7 ατόμων / εταιρειών.

Για τις Τελικές Αποφάσεις που αφορούσαν στις Βουλευτικές Εκλογές του 2021, σχετική είναι η Ανακοίνωση μου ημερ. 15 Σεπτεμβρίου, 2021.