150 χιλ. ευρώ πρόστιμο για παραβάσεις στα “Προσωπικά Δεδομένα”

Όσοι είχαν την ευκαιρία να παρευρεθούν στην πρόσφατη και πολύ επιτυχημένη εκδήλωση, που διοργάνωσε το Επαγγελματικό Επιμελητήριο Αθηνών με σκοπό την ενημέρωση των μελών του για την επικείμενη εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR), με κύριο ομιλητή τον πρώην Προϊστάμενο της Υποδιεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ. κ. Μ. Σφακιανάκη και τους εξαίρετους συνεργάτες του, ασφαλώς θα προβληματίστηκαν, αναλογιζόμενοι τις ενέργειες στις οποίες θα πρέπει άμεσα να προβούν, προκειμένου να εναρμονιστούν με τις διατάξεις του νέου Κανονισμού και να αποφύγουν τα βαρύτατα πρόστιμα, που οι διατάξεις αυτού προβλέπουν.

 

Σκόπιμο όμως θα ήταν να αναφερθεί ότι, οι σχετικές υποχρεώσεις για την διασφάλιση των προσωπικών δεδομένων, που επιβάλλει ο νέος Κανονισμός, αποτελούν στην βάση της φιλοσοφίας τους και κατά ένα μεγάλο μέρος τους, επανάληψη των διατάξεων του Ν.2472/1997, ο οποίος μέχρι σήμερα ίσχυε στην χώρα μας, σε εναρμόνιση με αντίστοιχη παλαιότερη Οδηγία της Ευρωπαϊκής Ένωσης και ο οποίος επίσης προέβλεπε (άρθρο 21) την επιβολή προστίμων, που όμως δεν ξεπερνούσαν κατ’ ανώτατο όριο το ποσό των 150.000 Ευρώ. Το πλέον ενδιαφέρον όμως είναι να γνωρίζει κανείς ότι, το μεγαλύτερο πρόστιμο που είχε μέχρι σήμερα επιβληθεί από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ποσού 150.000 Ευρώ, κατά την παραπάνω διάταξη του Ν.2472/1997, δεν αφορά σε ιδιώτη, αλλά στην ίδια την Γενική Γραμματεία Πληροφοριακών Συστημάτων του Υπουργείου Οικονομικών και αφορά στην μη λήψη των κατάλληλων κατά την διάταξη του άρθρου 10 παρ. 3 του Ν.2472/1997, μέτρων ασφαλείας, υπό την ιδιότητα αυτής, ως υπεύθυνου επεξεργασίας δε4ομένων προσωπικού χαρακτήρα, παράλειψη που είχε ως αποτέλεσμα να  ¨υποκλαπούν ¨από τα αρχεία της δεδομένα και δη ευαίσθητα, εκατομμυρίων φορολογουμένων πολιτών, τα οποία βρέθηκαν στην κατοχή εταιρειών, που δραστηριοποιούνται στον τομέα της εμπορίας δεδομένων προσωπικού χαρακτήρα . Μάλιστα, στην εξιχνίαση της σχετικής υπόθεσης συνέδραμε αποφασιστικά και η Υποδιεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ., η οποία κλήθηκε να προσφέρει τις πολύτιμες υπηρεσίες της, από την Αρχή Προστασίας Προσωπικών Δεδομένων.  

 

Ειδικότερα:

Με την υπ. αριθμ. 98/2013 απόφαση της, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε στην Γενική Γραμματεία Πληροφοριακών Συστημάτων του Υπουργείου Οικονομικών, ως υπεύθυνου επεξεργασίας πρόστιμο 150.000 Ευρώ για διαπιστωθείσα παράβαση του άρθρου 10 παρ. 3 του Ν.2472/1997, καλώντας παράλληλα αυτήν να εφαρμόσει τα κατάλληλα μέτρα ασφαλείας και να ενημερώσει σχετικά την Αρχή. 

 

Η υπόθεση ξεκίνησε, όταν κατά την διενέργεια τυχαίων διοικητικών ελέγχων, που πραγματοποίησε στα πλαίσια άσκησης των αρμοδιοτήτων της η ΑΠΔΠΧ σε εταιρείες, που δραστηριοποιούνταν στον τομέα της εμπορίας δεδομένων προσωπικού χαρακτήρα, διαπιστώθηκε ότι, ορισμένες εξ αυτών είχαν στην κατοχή τους έναν μεγάλο όγκο φορολογικών δεδομένων φυσικών και νομικών προσώπων και ειδικότερα στην κατοχή αυτών βρέθηκαν συμπιεσμένα αρχεία, που περιείχαν προσωπικά δεδομένα περίπου 1,5 εκατομμυρίων φορολογούμένων φυσικών προσώπων, τα οποία μεταξύ άλλων περιελάμβαναν, ΑΦΜ, ονοματεπώνυμο, διεύθυνση, επάγγελμα, τηλέφωνα, στοιχεία δελτίου αστυνομικής ταυτότητας, στοιχεία συζύγου, καθώς και συγκεκριμένους κωδικούς του εντύπου Ε1 της δήλωσης φορολογίας εισοδήματος και  άλλα φορολογικά δεδομένα, ορισμένα δε εξ αυτών συνδέονταν με ευαίσθητα, κατά την έννοια του Ν. 2472/1997, δεδομένα, όπως για παράδειγμα οι κωδικοί 001 και 002 ¨ΕΧΕΤΕ ΔΙΚΑΙΩΜΑ ΕΚΤΠΩΣΗΣ ΠΟΣΟΥ 2.400 ΕΥΡΏ ΛΌΓΩ ΑΝΑΠΗΡΙΑΣ 57% ΚΑΙ ΑΝΩ ¨. 

 

Μετά την αξιοποίηση των ψηφιακών ιχνών και την ανάλυση των πειστηρίων των ελέγχων από την ΑΠΔΠΧ και μετά την διενέργεια και άλλων ελέγχων προέκυψαν ενδείξεις ότι, φυσικό πρόσωπο, εξωτερικός συνεργάτης των άνω εταιρειών σε θέματα πληροφορικής, είχε ενδεχομένως παρανόμως επεξεργαστεί προσωπικά φορολογικά δεδομένα. Η ΑΠΔΠΧ διαβίβασε τα στοιχεία αυτά στην Υποδιεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ., η οποία κατά τον έλεγχο που πραγματοποίησε στην κατοικία του ως άνω φυσικού προσώπου, με την συνδρομή ελεγκτή της ΑΠΔΠΧ βρήκε και νέα ψηφιακά πειστήρια από τα οποία προέκυψε ότι, επρόκειτο για μεγάλο όγκο φορολογικών δεδομένων του οικονομικού έτους 2011 και ειδικότερα βρέθηκαν προσωπικά δεδομένα 3.165.546 φυσικών προσώπων που αφορούν σε όλα τα στοιχεία του εκκαθαριστικού σημειώματος της έκτακτης εισφοράς του Ν.3986/2011, καθώς και δεδομένα που αφορούσαν, στην πληρωμή των τελών κυκλοφορίας 6.800.715 οχημάτων φυσικών και νομικών προσώπων για το οικονομικό έτος 2011. 

 

Λαμβάνοντας υπόψη της η ΑΠΔΠΧ τον όγκο και την μορφή των στοιχείων, που ιδίως για το έτος 2011 παρέπεμπε ευθέως στα τηρούμενα από την ΓΓΠΣ δεδομένα, η Αρχή διευρύνοντας τον έλεγχο κάλεσε σε συνάντηση και την ΓΓΠΣ ζητώντας της σχετικές διευκρινίσεις, ενώ παράλληλα, ενημερώθηκε ο Υπουργός Οικονομικών, ο οποίος και διέταξε  την διενέργεια ΄Έρευνας και προκαταρτικής εξέτασης, για την διαπίστωση τυχόν πειθαρχικών και ποινικών παραπτωμάτων.

 

Από την επεξεργασία των στοιχείων των ελέγχων της ΑΠΔΠΧ προέκυψε ότι, τα ως άνω προσωπικά φορολογικά δεδομένα προέρχονταν πράγματι από τα τηρούμενα από την ΓΓΠΣ στοιχεία, τα οποία μάλιστα είχαν υποστεί περαιτέρω επεξεργασία από τις εταιρείες στην κατοχή των οποίων βρέθηκαν, αυτά δε ειδικότερα προέρχονταν από το σύστημα που χρησιμοποιείται για την εκτύπωση εκκαθαριστικών σημειωμάτων και λοιπών ειδοποιητηρίων, όπως άλλωστε συνομολόγησε και η ΓΓΠΣ Μάλιστα η ΓΓΠΣ παραδέχθηκε ότι, κατά το παρελθόν είχε αναφερθεί περιστατικό παραβίασης προσωπικών δεδομένων, που αφορούσε στοιχεία φορολογίας εισοδήματος του έτους 2008 και με αφορμή το περιστατικό αυτό είχαν ενισχυθεί τα μέτρα ασφαλείας στην ΓΓΠΣ, με την έναρξη λειτουργίας και Γραφείου Ασφάλειας Πληροφοριακών Συστημάτων και Προστασίας Δεδομένων και Υποδομών, πλην όμως, δεν είχε πραγματοποιηθεί ολοκληρωμένη αποτίμηση των ευπαθειών, ως προς τα υφιστάμενα συστήματα, ενώ επίσης διαπιστώθηκε ότι, δεν είχαν καταρτισθεί τα προβλεπόμενα σχέδια υλοποίησης ασφάλειας των επιμέρους πληροφοριακών συστημάτων, δεν είχε εφαρμοστεί η διαδικασία εσωτερικών και εξωτερικών ελέγχων ασφαλείας, τα συνθηματικά που χρησιμοποιούνταν για την πρόσβαση δεν ήταν ισχυρά, και δεν εφαρμόζονταν πολιτική ελέγχου των αποσπώμενων μέσων, ή λήψης αντιγράφων από τους υπολογιστές που χρησιμοποιούνταν για την επεξεργασία των προσωπικών δεδομένων, τέλος δε, δεν υπήρχε διαδικασία εξασφάλισης της ακεραιότητας των αρχείων καταγραφής.

Κατόπιν αυτών, η ΑΠΔΠΧ έκρινε ότι, κατά την γενική διάταξη του άρθρου 4 παρ. 2 του Ν.2472/1997 οι υποχρεώσεις του νόμου βαρύνον τον υπεύθυνο επεξεργασίας, προς, τον οποίο κατά συνέπεια απευθύνονται οι συστάσεις κατά το άρθρο 19 παρ. 1 γ) και επιβάλλονται οι κυρώσεις του άρθρου 21 .Ο γενικός αυτός κανόνας ακολουθείται και ως προς την υποχρέωση του υπεύθυνου επεξεργασίας να λαμβάνει κατά το άρθρο 10 παρ. 3 τα κατάλληλα μέτρα ασφαλείας .Η ύπαρξη εκτελούντος την επεξεργασία, κατά την παρ. 4 του ίδιου άρθρου δεν απαλλάσσει τον υπεύθυνο από την δική του υποχρέωση, αλλά η σχετική υποχρέωση βαρύνει αναλόγως και τον εκτελούντα, έτσι ώστε η ανάθεση της επεξεργασίας να μην οδηγεί στην απομείωση των προστασίας των υποκειμένων των δεδομένω. Ως υπεύθυνος δε επεξεργασίας ορίζεται όποιος καθορίζει τον σκοπό και τον τρόπο γης επεξεργασίας, όπως φυσικό ή νομικό πρόσωπο, ή δημόσια αρχή, ή υπηρεσία, ή οποιοσδήποτε άλλος  οργανισμός .όταν δε ο σκοπός και ο τρόπος καθορίζονται με διατάξεις νόμου ή κανονιστικές διατάξεις εθνικού, ή κοινοτικού δικαίου ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια με βάση τα οποία γίνεται η επιλογή του καθορίζονται αντίστοιχα από το εθνικό ή κοινοτικό δίκαιο. 

 

Για τον χαρακτηρισμό δε προσώπου ως υπεύθυνου επεξεργασίας βαρύτητα δίδεται στο λειτουργικό κριτήριο, δηλαδή υπεύθυνος επεξεργασίας είναι αυτός, που καθορίζει τον σκοπό, ή τα ουσιώδη τουλάχιστον στοιχεία του τρόπου της επεξεργασίας. Με βάση το κριτήριο αυτό και το γεγονός ότι η ΓΓΠΣ αποτελεί αυτοτελή υπηρεσία, κατά τις διατάξεις των άρθρων 26 και 27 του Ν.1558/1985 και του γεγονότος ότι, εκτός από την διοικητική έχει και δημοσιονομική αυτοτέλεια κρίθηκε ότι, από τις εκ του νόμου αρμοδιότητες της, η ΓΓΠΣ καθορίζει πρωτοτύπως ουσιώδη στοιχεία του τρόπου της επεξεργασίας, δηλαδή θέτει τους στόχους της ασφάλειας των δεδομένων, σχεδιάζει υλοποιεί και ελέγχει τα τεχνικά και οργανωτικά μέτρα ασφαλείας, προσδιορίζει τους απαιτούμενους οικονομικούς, ανθρώπινους κλπ πόρους, χωρίς ως προς τούτα να προβλέπεται έλεγχος της από άλλη υπηρεσία και για τον λόγο αυτό κρίθηκε από την ΑΠΔΠΧ ότι, η ΓΓΠΣ είναι ο υπεύθυνος επεξεργασίας, κατά την έννοια της διάταξης του άρθρου 2 στοιχ. ζ)  του Ν.2472/1997, ανεξάρτητα αν τα προσωπικά δεδομένα τυγχάνουν επεξεργασίας και από άλλες δημόσιες υπηρεσίες, που επίσης καθίστανται υπεύθυνοι επεξεργασίας.         

 

Τέλος, κατά το άρθρο 10 παρ. 3 του Ν.2472/1997, ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία, ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση, ή πρόσβαση, και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο με τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων, που είναι αντικείμενο  της επεξεργασίας. Από το γράμμα της σχετικής διάταξης προκύπτει σαφώς ότι, η υποχρέωση του υπεύθυνου επεξεργασίας έχει προληπτικό και κατασταλτικό χαρακτήρα.

 

Έτσι και με βάση τα παραπάνω, η ΑΠΔΠΧ έκρινε ότι από το σύνολο των δεδομένων που τηρεί η ΓΓΠΣ είναι δυνατόν να εξαχθεί το οικονομικό και περιουσιακό προφίλ κάθε φορολογουμένου στην Ελλάδα. Η χρήση των στοιχείων αυτών από μη εξουσιοδοτημένο άτομο, όπως οι εταιρείες στις οποίες διενεργήθηκαν οι διοικητικοί έλεγχοι, καθώς και όσοι τρίτοι προμηθεύτηκαν από τις εταιρείες αυτές τα δεδομένα συνιστά ιδιαίτερα έντονη προσβολή του δικαιώματος στην προστασία των προσωπικών δεδομένων και συνεπώς η ΓΓΠΣ οφείλει κατ’ εφαρμογή των οριζομένων στην διάταξη του άρθρου 10 παρ. 3 του Ν.2472/1997, να εξασφαλίζει ιδιαίτερα υψηλό επίπεδο ασφαλείας χωρίς να αποκλείονται διαβαθμίσεις ανάλόγα με κάθε κατηγορία δεδομένων, εφόσον αυτά διαχωρίζονται, όπως άλλωστε οφείλει και οι υπεύθυνος επεξεργασίας, σύμφωνα με τους στόχους ασφάλειας των δεδομένων .Ειδικότερα δε, τα δεδομένα τα οποία κατέστησαν αντικείμενο μη εξουσιοδοτημένης πρόσβασης και περαιτέρω επεξεργασίας συνιστούν προσωπικά δεδομένα  τόσο απλά, όσο και ευαίσθητα και επιπλέον υπόκεινται στο σύνολο τους στο φορολογικό απόρρητο.    

 

Η μη λήψη των κατάλληλων μέτρων ασφαλείας κατά το άρθρο 10 παρ. 3 του Ν.2472/1997, που ήδη οδήγησε σε ιδιαιτέρως εκτεταμένο σε πλήθος και διάρκεια περιστατικό παραβίασης προσωπικών δεδομένων δικαιολογεί την επιβολή στην ΓΓΠΣ, ως υπευθύνου επεξεργασίας προστίμου, σύμφωνα με την διάταξη του άρθρου 21 του Ν.2472/1997, ως προς το ύψος δε αυτού συνεκτιμώνται ιδίως η φύση και ο όγκος των δεδομένων, οι ενδεχόμενες και πραγματικές συνέπειες για τα υποκείμενα των δεδομένων από τη μη λήψη των κατάλληλων μέτρων ασφαλείας, καθώς και τα τυχόν αντίμετρα (δηλαδή τα διορθωτικά μέτρα), που λαμβάνει ο υπεύθυνος επεξεργασίας μετά την διαπίστωση του περιστατικού παραβίασης προσωπικών δεδομένων.

 

Για τους λόγους αυτούς, η ΑΠΔΠΧ επέβαλε το ανώτερο προβλεπόμενο πρόστιμο ύψους 150.000 ευρώ στην ΓΓΠΣ. Σημειώνεται τέλος ότι, με την υπ. αριθμ. 117/2014 απόφαση της η ΑΠΔΠΧ απέρριψε και την αίτηση θεραπείας, που είχε υποβάλλει η ΓΓΠΣ και επικύρωσε έτσι την νομιμότητα του επιβληθέντος προστίμου.