123 456 7890info@example.com
123 456 7890

Tag Archives: δεδομενα

Revenge porn: Κακουργηματική παραβίαση προσωπικών δεδομένων με σκοπό βλάβης άλλου (ΑΠ 686/2021)

admin0 Comment
Αποθήκευση αρχείου με βιντεοσκοπημένες ερωτικές συνευρέσεις, μεταφορά σε Η/Υ, «μοντάρισμα» και μετάδοσή του, χωρίς δικαίωμα και χωρίς τη συναίνεση της παθούσας, με την ανάρτησή του στο διαδίκτυο – Ο σκοπός της βλάβης άλλου δεν απαιτεί και τη συνδρομή ποσοτικού κριτηρίου

Με απόφασή του (686/2021) ο Άρειος Πάγος απέρριψε αίτηση αναίρεσης απόφασης, δυνάμει της οποίας ο κατηγορούμενος κηρύχθηκε ένοχος για τις πράξεις της μετάδοσης κατ’ εξακολούθηση σε τρίτα μη δικαιούμενα πρόσωπα αρχείων δεδομένων προσωπικού χαρακτήρα με σκοπό να βλάψει τρίτον και της συμμετοχής σε αυτοκτονία κατ’ εξακολούθηση.

Σύμφωνα με το σκεπτικό του ανωτάτου δικαστηρίου, υπό την ισχύ του Ν. 4624/2019, αρχείο προσωπικών δεδομένων αποτελεί και η με την μαγνητοσκόπηση δια ψηφιακής κάμερας συσκευής κινητής τηλεφωνίας δημιουργία οπτικοακουστικού υλικού της ερωτικής συνεύρεσης δύο προσώπων, αφού το παραχθέν υλικό δεν χρειάζεται καμία ομαδοποίηση ή ταξινόμηση. Επεξεργασία δε αποτελεί και η αποθήκευση αυτού και η μη διαγραφή του μετά τη λήψη του, όπως και το “μοντάρισμα”, προκειμένου να αποκοπούν συγκεκριμένες σκηνές.

Για την πραγμάτωση της αντικειμενικής υπόστασης του αδικήματος, δεν απαιτείται οπωσδήποτε θετική χωρίς δικαίωμα ενέργεια έξωθεν εισβολής-εισχώρησης, που να επιφέρει με οποιονδήποτε τρόπο υλική επενέργεια σε σύστημα αρχειοθέτησης δεδομένων, αλλά είναι δυνατή και η μετά από νόμιμη κατοχή των δεδομένων, χρήση και επεξεργασία τους, χωρίς δικαίωμα, με έναν από τους αναφερόμενους στο άρθρο 38 παρ. 1 β’ του Ν. 4624/2029 τρόπους.

Περαιτέρω, με την παράγραφο 4 του άρθρου 38 προβλέπεται ιδιαίτερα διακεκριμένης μορφής έγκλημα (κακούργημα) υπερχειλούς υποκειμενικής υπόστασης, τιμωρούμενο ελαφρύτερα σε σχέση με την προϊσχύουσα διάταξη του άρθρου 22 παρ. 6 του Ν. 2472/1997, με κάθειρξη μέχρι δέκα ετών, όταν ο υπαίτιος είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει το ποσό των εκατόν είκοσι χιλιάδων (120.000) ευρώ.

Κατά τη σαφή και αδιάστικτη διατύπωση της διάταξης αυτής, επιβάλλεται η ποινή της κάθειρξης μέχρι δέκα ετών όχι μόνο όταν ο υπαίτιος είχε σκοπό προσπορισμού παράνομου περιουσιακού οφέλους στον εαυτό του ή σε άλλον ή σκοπό πρόκλησης περιουσιακής ζημίας σε άλλον, αλλά και όταν αυτός σκόπευε να βλάψει άλλον, χωρίς να τίθεται από το νόμο στην περίπτωση της βλάβης ποσοτικό κριτήριο. Το ότι αυτή είναι η σαφής βούληση του νομοθέτη, ο οποίος με τη εν λόγω ρύθμιση δεν διαπλάθει ένα αμιγώς περιουσιακό αδίκημα, προκύπτει από το γεγονός ότι στη νέα αυτή διάταξη προβλέφθηκε εκτός από το σκοπό παράνομου περιουσιακού οφέλους και το σκοπό βλάβης τρίτου (που υπήρχαν και στην προηγούμενη διάταξη του άρθρου 22 παρ. 6 του Ν.2472/1997), και ο σκοπός πρόκλησης περιουσιακής ζημίας.

Κατά την κρίση του δικαστηρίου, λοιπόν, απορρίπτοντας όλες τις αντίθετες αιτιάσεις του αναιρεσείοντος περί μη ορθής ερμηνείας και εφαρμογής του νόμου, συντρέχει η κακουργηματικής μορφής παράβαση του άρθρου 38 παρ. 4 του Ν. 4624/2019, όταν συνυπάρχει στο πρόσωπο του δράστη το πρόσθετο στοιχείο του σκοπού πρόκλησης βλάβης τρίτου από την παραβίαση προσωπικών δεδομένων, μη περιουσιακής, αλλά ηθικής, χωρίς πρόβλεψη ποσοτικού ορίου, εφόσον ο νόμος διαχωρίζει με σαφήνεια την έννοια της περιουσιακής ζημίας από την έννοια της βλάβης του υποκειμένου των δεδομένων, την οποία δεν περιόρισε ποσοτικά.

Όσον αφορά δε στην χωρίς δικαίωμα επέμβαση του αναιρεσείοντος στο σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα των ερωτικών συνευρέσεών του με την παθούσα, κρίθηκε πως με σαφήνεια και πληρότητα αιτιολογείται και διευκρινίζεται ότι ο αναιρεσείων, μετά τη βιντεοσκόπηση των ερωτικών επαφών του με την παθούσα, για την οποία και μόνο συναίνεσε η τελευταία, χωρίς τη γνώση και τη συναίνεσή της, ήτοι χωρίς σχετικό δικαίωμα και χωρίς την συγκατάθεσή της, αντί να διαγράψει το σχετικό αρχείο που δημιουργείτο στο δικό του κινητό τηλέφωνο, εκείνος επενέβαινε σ’ αυτό και το επεξεργαζόταν.

Συγκεκριμένα, το αποθήκευε και το μετέφερε στον ηλεκτρονικό του υπολογιστή και αφού προέβη στο “μοντάρισμά” του, ώστε να αποκοπούν οι σκηνές που εμφανιζόταν ο ίδιος και να εμφανίζεται μόνο το πρόσωπο και το γυμνό σώμα της παθούσας, στη συνέχεια, το μετέδωσε, χωρίς δικαίωμα και χωρίς τη συναίνεση της παθούσας, σε τρίτα μη δικαιούμενα πρόσωπα, με την ανάρτησή του στο διαδίκτυο.

Πηγή: lawspot

eu gdpr

Προσωπικά δεδομένα: Πρόστιμο 40.000 ευρώ σε Κωτσόβολο και Εθνική Τράπεζα για παραβίαση δικαιώματος πρόσβασης καταναλωτή

admin0 Comment

Πρόστιμο 40.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε δύο υπεύθυνους επεξεργασίας για μη ικανοποίηση του δικαιώματος πρόσβασης καταναλωτή σε αλληλογραφία μεταξύ τους.

Σύμφωνα με το ιστορικό της υπόθεσης, ο καταγγέλλων έπειτα από επιστροφή προϊόντος ζήτησε από το κατάστημα (Dixons South East Europe ΑΕΒΕ-ΚΩΤΣΟΒΟΛΟΣ) μέσω facebook-messenger να του κοινοποιηθεί το αίτημα αποχρέωσης των δόσεων της πιστωτικής του κάρτας, που είχε σταλεί ηλεκτρονικά προς την τράπεζα (Εθνική Τράπεζα).

Ο υπεύθυνος επεξεργασίας αρνήθηκε να το ικανοποιήσει και στη συνέχεια ο καταγγέλλων άσκησε το ίδιο δικαίωμα προς την τράπεζα, η οποία δεν του έδωσε καμία απάντηση.

Η κρίση της Αρχής

Ως προς την πρώτη εταιρεία, η Αρχή σημειώνει, μεταξύ άλλων, ότι ενώ κατά δήλωσή της και στην πράξη χρησιμοποιούσε την εφαρμογή κοινωνικής δικτύωσης Facebook για την διαχείριση αιτημάτων σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων, περιλαμβανομένου του δικαιώματος πρόσβασης, εν τούτοις δεν την είχε περιλάβει στην οικεία Πολιτική ή Διαδικασία και επομένως η τελευταία υπήρξε ελλιπής και μη ανταποκρινόμενη στη πραγματικότητα.

Ως εκ τούτου τα υποστηριζόμενα από την ίδια στο μετ’ ακρόαση υπόμνημά της σύμφωνα με τα οποία οι υπάλληλοί της ενώ είχαν λάβει γνώση της Πολιτικής, εν τέλει δεν εξέλαβαν το εν λόγω αίτημα ως αίτημα πρόσβασης επειδή δεν ήταν εξοικειωμένοι, δεν μπορεί να γίνει δεκτό.

Οι υπάλληλοι της Εταιρίας, οι οποίοι σημειωτέον υπάγονται και αποτελούν μέρος του υπευθύνου επεξεργασίας, δεν ανταποκρίθηκαν στο αίτημα πρόσβασης μέσω της εφαρμογής κοινωνικής δικτύωσης Facebook γιατί ουδέποτε είχαν ενημερωθεί για μια τέτοια δυνατότητα καθώς η σχετική «Οδηγία» της Εταιρίας δεν περιελάμβανε τέτοια περίπτωση, ούτε είχαν εκπαιδευθεί να αναγνωρίζουν και να διακρίνουν τα αιτήματα των υποκειμένων σε σχέση με τα εκ του ΓΚΠΔ και της κείμενης νομοθεσίας, δικαιώματά τους για την περίπτωση αυτή.

Ως προς την τράπεζα, η Αρχή σημειώνει ότι δεν παρείχε καμία απάντηση στον καταγγέλλοντα προς ικανοποίηση ή μη του δικαιώματός του.

Η Τράπεζα ισχυρίστηκε ότι η γραπτή αίτηση του καταγγέλλοντος διά του καταστήματος [περιοχής] Χ δεν συνιστά άσκηση του δικαιώματος πρόσβασης, καθώς από το περιεχόμενό του προκύπτει ότι αφορούσε τον τρόπο επιστροφής χρημάτων από τρίτη εταιρία εμπορίας καταναλωτικών αγαθών για συναλλαγή η οποία διενεργήθηκε μεν με χρέωση κάρτας έκδοσης της Εθνικής Τράπεζας όμως εκκαθαρίστηκε από άλλη τράπεζα.

Από το περιεχόμενο της εν λόγω αίτησης προκύπτει ότι ο καταγγέλλων αιτήθηκε «να ενημερωθεί για το αν υπάρχει αίτημα από την εταιρία Κωτσόβολος/Dixons που να αφορά την ωρίμανση των δόσεων και αποδέσμευση του ποσού από την πιστωτική μου κάρτα για προϊόν που έχει επιστραφεί στην εταιρία. Η εταιρία ισχυρίζεται ότι το αίτημα έχει υποβληθεί στην Εθνική Τράπεζα 22/6 και ότι έχει λάβει επιβεβαίωση παραλαβής του αιτήματος από την τράπεζα στις 23/6».

Από το ανωτέρω περιεχόμενο, προκύπτει ότι ο αιτών ζήτησε ενημέρωση σχετικά με την ύπαρξη ή μη αιτήματος από την Εταιρία αναφορικά με το ζήτημά του και επιπλέον ζήτησε επιβεβαίωση ή μη εάν το σχετικό αίτημα έχει υποβληθεί στην Τράπεζα σε συγκεκριμένη ημερομηνία και εάν έχει αποσταλεί επιβεβαίωση παραλαβής του.

Η από μέρους του καταγγέλλοντος αίτηση προς την Τράπεζα προς επιβεβαίωση ή μη της ύπαρξης των εν λόγω αιτημάτων που διακινήθηκαν μέσω ηλεκτρονικής αλληλογραφίας και περιελάμβαναν προσωπικά του δεδομένα, σύμφωνα με όσα προεκτέθηκαν αναλυτικά σε σχέση τόσο με την Εταιρία όσο και με την Τράπεζα, συνιστά αίτημα πρόσβασης σε προσωπικά δεδομένα του ιδίου κατ’ αρ. 15 παρ. 1 ΓΚΠΔ, χωρίς να απαιτείται, όπως ομοίως προεκτέθηκε, να περιβληθεί συγκεκριμένο τύπο ή να ασκηθεί με πανηγυρικό τρόπο, ούτε όμως να περιλαμβάνει τους λόγους για τους οποίους το υποκείμενο των δεδομένων ασκεί το δικαίωμα πρόσβασης (ΑΠΔ 16/2017 σκ. 3) .

Επιπλέον, με το άρθρο 15 παρ. 1 ΓΚΠΔ, η ελεγχόμενη Τράπεζα, ως υπεύθυνος επεξεργασίας των προσωπικών δεδομένων του καταγγέλλοντος στο πλαίσιο παραλαβής της ηλεκτρονικής αλληλογραφίας που απεστάλη από την Εταιρία κατά τα προεκτεθέντα, προκειμένου να διευθετηθεί το ζήτημα που αφορούσε τη χρέωση της πιστωτικής κάρτας του καταγγέλλοντος, την ωρίμανση των δόσεων και την αποχρέωσή τους, προέβη σε αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων και επομένως είχε την υποχρέωση, να απαντήσει σε κάθε περίπτωση, έστω και αρνητικά στο αίτημα του καταγγέλλοντος (σχετικά βλ. ΣτΕ 2627/2017, ΑΠΔΠΧ 15/2021).

Επομένως, η Αρχή έκρινε ότι, ενώ η Τράπεζα είχε την ιδιότητα του υπευθύνου επεξεργασίας και αυτοματοποιημένα επεξεργαζόταν προσωπικά δεδομένα του καταγγέλλοντος στο πλαίσιο του ανωτέρω αιτήματός του, απέτυχε να το αξιολογήσει ορθά ως αίτημα πρόσβασης κατ’ αρ. 15 ΓΚΠΔ και συνακόλουθα, αφενός, δεν παρείχε απάντηση, έστω και αρνητική, αφετέρου, δεν ικανοποίησε το νόμιμο αίτημα του καταγγέλλοντος ως όφειλε.

Στο πλαίσιο αυτό, η Αρχή προχώρησε στην επιβολή διοικητικού προστίμου ύψους 20.000 ευρώ σε καθέναν από τους υπεύθυνους επεξεργασίας.

Δείτε αναλυτικά την απόφαση 36/2021 στο dpa.gr

Δελτίο Τύπου της ΑΠΔΠΧ σχετικά με την εξ αποστάσεως εκπαίδευση των μαθητών

admin0 Comment

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

ΔΕΛΤΙΟ ΤΥΠΟΥ

Πραγματοποίηση τηλεδιασκέψεων του Προέδρου της Αρχής με τη Διδασκαλική Ομοσπονδία Ελλάδας, την ΟΛΜΕ και τον Πανελλήνιο Σύλλογο Αναπληρωτών Δασκάλων, κατόπιν σχετικών αιτημάτων τους

Ο Πρόεδρος καθώς και μέλη της Αρχής πραγματοποίησαν σήμερα τηλεδιασκέψεις με το Προεδρείο και τη νομική σύμβουλο της Διδασκαλικής Ομοσπονδίας Ελλάδας, με μέλη του Δ.Σ. της ΟΛΜΕ και εκπροσώπους του Πανελλήνιου Συλλόγου Αναπληρωτών Δασκάλων, μετά από σχετικά αιτήματά τους.

Με αφορμή την πραγματοποίηση των εν λόγω τηλεδιασκέψεων, η Αρχή παρατηρεί επί του θέματος της πρόσφατης νομοθετικής διάταξης του Υπουργείου Παιδείας τα εξής:

Με πρόσφατη νομοθετική διάταξη προβλέπεται, στην ειδική περίπτωση επιδημικών νόσων, η ταυτόχρονη διδασκαλία σε μαθητές με φυσική παρουσία και σε άλλους μαθητές με τη μέθοδο της εξ αποστάσεως εκπαίδευσης. Ο σκοπός της συγκεκριμένης επεξεργασίας που συνίσταται στην παροχή εκπαίδευσης είναι κατ’ αρχήν νόμιμος και μπορεί να αποτελέσει, υπό προϋποθέσεις, τη βάση για τη σύννομη επεξεργασία των προσωπικών δεδομένων των διδασκόντων και των μαθητών στο πλαίσιο της εξ αποστάσεως εκπαίδευσης.

Πέραν της απαγόρευσης της καταγραφής και αποθήκευσης του μαθήματος, μετά από συμβουλευτική σύσταση της Αρχής, ορίστηκε ο υπεύθυνος επεξεργασίας, περιορίστηκε ο σκοπός χρήσης των μεταδεδομένων (πληροφορίες που παράγονται κατά τη λειτουργία των συστημάτων τηλεκπαίδευσης, π.χ. δεδομένα για τους χρόνους διάσκεψης ενός χρήστη) και θεσπίσθηκε η υποχρέωση καταστροφής τους. Περαιτέρω ετέθη, ως προϋπόθεση για την έκδοση της Υπουργικής Απόφασης που θα εξειδικεύσει τη σχετική νομοθετική ρύθμιση, η διενέργεια εκτίμησης αντικτύπου. Με την Υπουργική Απόφαση θα οριστούν, πλην άλλων, και οργανωτικά και τεχνικά μέτρα για τη διασφάλιση της προστασίας των προσωπικών δεδομένων των συμμετεχόντων. Με την απόφαση αυτή θα ολοκληρωθεί ο σχεδιασμός του νέου τρόπου διδακτικής και θα είναι δυνατή η συνολική αξιολόγησή του από την άποψη της αρχής της αναλογικότητας που διέπει το δίκαιο των προσωπικών δεδομένων.

Η Αρχή αναγνωρίζει ότι η ταυτόχρονη διδασκαλία συνεπάγεται περισσότερους κινδύνους στα δικαιώματα των εκπαιδευτικών και των μαθητών εν συγκρίσει με τη διδασκαλία στην τάξη. Για τον λόγο αυτό, άλλωστε, προβλέπεται μόνο κατ’ εξαίρεση σε περίπτωση επιδημικής νόσου. Τονίζεται, όμως, ότι η εφαρμογή της διάταξης εξαρτάται από τη διενέργεια εκτίμησης αντικτύπου των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα, η οποία διενεργείται με συγκεκριμένη μεθοδολογία, ώστε να προσδιοριστούν τα κατάλληλα μέτρα αντιμετώπισης των κινδύνων, μεταξύ των οποίων περιλαμβάνονται οι εγγυήσεις, τα μέτρα και οι μηχανισμοί ασφάλειας μέσω των οποίων διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των εκπαιδευτικών, των μαθητών, ανάλογα με τα ιδιαίτερα χαρακτηριστικά τους, και άλλων ενδιαφερόμενων προσώπων.

Επισημαίνουμε ότι, εάν μετά την εκπόνηση της εκτίμησης αντικτύπου και τον προσδιορισμό των μέτρων, η επεξεργασία θα προκαλούσε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας οφείλει να ζητήσει τη γνώμη της Αρχής πριν από την έναρξη της επεξεργασίας (βλ. άρθρο 36 Γενικού Κανονισμού Προστασίας Δεδομένων).

ktirio-cosmote

Πρόστιμα 400.000 ευρώ στον ΟΤΕ από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

admin0 Comment

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε στον ΟΤΕ δύο πρόστιμα συνολικού ύψους 400.000 ευρώ για παράβαση της νομοθεσίας περί προώθησης προϊόντων και υπηρεσιών.

Αναλυτικότερα, με απόφαση της Αρχής επιβλήθηκε πρόστιμο 200.000 ευρώ στον ΟΤΕ έπειτα από καταγγελίες συνδρομητών του, οι οποίοι, αν και είχαν εγγραφεί στο μητρώο αντιρρήσεων (“opt-out”) του παρόχου τους, είχαν λάβει τηλεφωνικές κλήσεις από τρίτες εταιρείες για σκοπούς προώθησης προϊόντων και υπηρεσιών.

Παράλληλα, σε δεύτερη περίπτωση, υπήρξαν στην Αρχή καταγγελίες από παραλήπτες μηνυμάτων διαφημιστικού περιεχομένου του ΟΤΕ σχετικά με τη μη δυνατότητα διαγραφής τους από τη λίστα αποδεκτών μηνυμάτων διαφημιστικού περιεχομένου.

Η Αρχή κατά την εξέταση των καταγγελιών διαπίστωσε ότι από το 2013 και μετά, λόγω τεχνικού σφάλματος, δεν λειτουργούσε η διαγραφή από τις λίστες αποδεκτών των μηνυμάτων διαφημιστικού περιεχομένου για όσους παραλήπτες ασκούσαν το δικαίωμά τους και το ζητούσαν μέσω του συνδέσμου “unsubscribe”.

Όπως επισημαίνει η Αρχή, ο ΟΤΕ δεν διέθετε την προβλεπόμενη διαδικασία. Μετά την παρέμβαση της Αρχής διορθώθηκε το σφάλμα και έτσι ο ΟΤΕ προέβη στη διαγραφή 8.000 περίπου προσώπων από τις λίστες αποδεκτών των μηνυμάτων, οι οποίοι είχαν ανεπιτυχώς προσπαθήσει να διαγραφούν από το 2013 και μετά. Με δεύτερη απόφασή της η Αρχή επέβαλε δεύτερο πρόστιμο ύψους 200.000 ευρώ στον ΟΤΕ.

Η τοποθέτηση του Ομίλου ΟΤΕ 

Σχετικά με τις αποφάσεις της ΑΠΔΠΧ, από τον ΟΤΕ διευκρινίζεται ότι και στις δύο περιπτώσεις επρόκειτο για συστημικό πρόβλημα, που αφορούσε πολύ περιορισμένες κατηγορίες συνδρομητών κι έχει επιλυθεί. Στη μια περίπτωση επηρεάστηκαν συνδρομητές που έκαναν ακύρωση αιτήματος φορητότητας και το σύστημα δεν τους επανέντασσε αυτόματα στο Μητρώο του αρ. 11 και στη δεύτερη, συνδρομητές που δεν μπόρεσαν να εξαιρεθούν ηλεκτρονικά από την παραλαβή newsletter. Όπως σημειώνεται και στις σχετικές αποφάσεις: “η Αρχή δέχεται ότι το συμβάν δεν οφείλεται σε δόλο του υπευθύνου επεξεργασίας και ότι μόλις ο υπεύθυνος επεξεργασίας το πληροφορήθηκε από την Αρχή ενήργησε για την επανόρθωση της παράβασης, συνεργαζόμενος μαζί της”. Για τον Όμιλο ΟΤΕ, ο σεβασμός στην ιδιωτικότητα αποτελεί ύψιστη προτεραιότητα, σημειώνεται από την πλευρά της εταιρείας.

ΠΗΓΗ: ΑΠΕ-ΜΠΕ

Μετάβαση στο περιεχόμενο