fbpx

Tag Archives: dikigoros

building-camera-stefanos-bagdatoglou-dikigoros

Κάμερες: Πρόστιμο 5.000 σε εταιρεία για μη ικανοποίηση δικαιώματος πρόσβασης σε σύστημα βιντεοεπιτήρησης

Πρόστιμο 5.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε εταιρεία για τη μη ικανοποίηση δικαιώματος πρόσβασης σε σύστημα βιντεοεπιτήρησης.

Αξίζει να σημειωθεί ότι το πρόστιμο επιβλήθηκε με βάση τις διατάξεις του προϊσχύοντος Νόμου 2472/1997, καθώς η δραστηριότητα επεξεργασίας δεν αφορά σε χρονικό διάστημα κατά το οποίο εφαρμοζόταν ο ΓΚΠΔ και η, σύμφωνα με το αντικείμενο της καταγγελίας, πιθανή παράβαση δικαιώματος πρόσβασης δεν αποτελεί «διαρκή» παράβαση.

Η υπόθεση έφτασε ενώπιον της Αρχής έπειτα από καταγγελία του A, σύμφωνα με την οποία ζήτησε μέσω μηνύματος ηλεκτρονικού ταχυδρομείου και παράλληλα με αποστολή fax, για το οποίο έλαβε αποδεικτικό παράδοσης, τη χορήγηση αντιγράφου από το σύστημα βιντεοσκόπησης των χώρων του Γκολφ Γλυφάδας, το οποίο περιλαμβάνει συμβάν με εμπλεκόμενους τον καταγγέλλοντα και υπάλληλο της εταιρείας.

Το αίτημα αυτό επαναλήφθηκε χωρίς η εταιρεία να απαντήσει.

Ο καταγγέλλων κατέθεσε εκ νέου αίτημα, με το οποίο ζήτησε επίσης αντίγραφα εγγράφων που τον αφορούν, όπως παράπονο τρίτου για αυτόν, έγγραφα διερεύνησης, απόφαση ΔΣ, χωρίς και πάλι να λάβει απάντηση.

Η απόφαση της Αρχής

Σύμφωνα με την απόφαση της Αρχής, ο υπεύθυνος επεξεργασίας στην προκειμένη περίπτωση δηλώνει ότι τη χρονική περίοδο που έγινε το περιστατικό και ασκήθηκε το δικαίωμα πρόσβασης δεν ήταν σε λειτουργία το καταγραφικό του συστήματος βιντεοεπιτήρησης. Αυτό δεν επιβεβαιώνεται από τη δήλωση της εταιρείας που διεξήγαγε σχετικό έλεγχο, η οποία αναφέρει ότι ήταν χαλασμένο διαφορετικό υποσύστημα και δεν έλεγξε το υποσύστημα του χώρου της Γραμματείας.

Η καταγγελλόμενη εταιρεία δεν προσκόμισε κανένα έγγραφο, είτε της εταιρείας εγκατάστασης είτε εσωτερική αναφορά, όπως έγγραφο του τεχνικού ασφάλειας, ή έγγραφο του Δ.Σ. από το οποίο να προκύπτει ότι το υποσύστημα του χώρου της Γραμματείας ήταν μη λειτουργικό.

Μάλιστα, στην γνωστοποίηση, την οποία κατέθεσε στην Αρχή με καθυστέρηση, δήλωσε ότι τηρεί αρχεία για διάστημα πέντε (5) ημερών

Συνεπώς, η Αρχή έκρινε πως η θέση της καταγγελλόμενης εταιρείας, ότι το επίμαχο καταγραφικό ήταν εκτός λειτουργίας, δεν αποδεικνύεται.

Η Αρχή επισημαίνει ότι σε κάθε περίπτωση, ακόμα κι αν το καταγραφικό του συστήματος ήταν εκτός λειτουργίας, ο υπεύθυνος επεξεργασίας όφειλε, με βάση τη διάταξη του άρθρου 12 παρ. 1 του ν. 2472/1997 να απαντήσει στον καταγγέλλοντα εάν δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτέλεσαν αντικείμενο επεξεργασίας, έστω και αρνητικά, εντός της προθεσμίας των δεκαπέντε ημερών.

Στην προκειμένη περίπτωση προκύπτει, ότι ο υπεύθυνος επεξεργασίας δεν απάντησε εντός της προβλεπόμενης προθεσμίας στα αιτήματα του υποκειμένου των δεδομένων.

Η απάντηση που αναφέρει ο υπεύθυνος επεξεργασίας ότι ετοιμάστηκε και ήταν στη διάθεση του υποκειμένου των δεδομένων, δεν κοινοποιήθηκε σε αυτόν, παρά μόνο μετά την παρέμβαση δύο δημόσιων αρχών και μετά από μεγάλη χρονική καθυστέρηση.

Από τα στοιχεία του φακέλου της υπόθεσης προκύπτει ότι ο υπεύθυνος επεξεργασίας παραβίασε τη διάταξη του άρθρου 12 του ν. 2472/1997, σε σχέση με την άσκηση δικαιώματος πρόσβασης του καταγγέλλοντος σε υλικό συστήματος βιντεοεπιτήρησης το οποίο περιλάμβανε την εικόνα του.

Περαιτέρω, η Αρχή έλαβε ιδίως υπόψη, ότι ο υπεύθυνος επεξεργασίας επέδειξε ελλιπή συμμόρφωση σε σχέση με την τότε εφαρμοζόμενη νομοθεσία, καθώς κατά το χρόνο της παράβασης το σύστημα βιντεοεπιτήρησης δεν είχε γνωστοποιηθεί στην Αρχή, και ότι η συνεργασία του υπευθύνου επεξεργασίας με την Αρχή ήταν ιδιαίτερα δυσχερής.

Με βάση τα παραπάνω, η Αρχή επέβαλε στη «ΜΟΝΟΜΕΤΟΧΙΚΗ ΔΗΜΟΤΙΚΗ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ ΓΚΟΛΦ ΔΗΜΟΥ ΓΛΥΦΑΔΑΣ Α.Ε.» πρόστιμο πέντε χιλιάδων ευρώ.

Δείτε αναλυτικά την απόφαση στο dpa.gr

Πηγή: lawspot

GDPR-prosopika-dedomena

Συμμόρφωση ιστοσελίδων με τον GDPR: Έγιναν οι πρώτοι έλεγχοι από την ΑΠΔΠΧ

Με επιτυχία διοργανώθηκε τη Δευτέρα, 28 Ιανουαρίου, στο Εθνικό Ίδρυμα Ερευνών, η επιστημονική ημερίδα της Αρχής Προστασίας Δεδομένων «Γενικός Κανονισμός Προστασίας Δεδομένων: Χρήσιμες επισημάνσεις 8 μήνες μετά», με αφορμή τον εορτασμό της 13ης Ευρωπαϊκής Ημέρας Προστασίας Δεδομένων.

Στην ημερίδα, η οποία πραγματοποιήθηκε με την υποστήριξη της Αντιπροσωπείας της Ευρωπαϊκής Επιτροπής στην Ελλάδα, πραγματοποιήθηκαν ενδιαφέρουσες εισηγήσεις επί διαφόρων θεματικών, όπως το εδαφικό πεδίο εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), ο εκσυγχρονισμός των δικαιωμάτων των υποκειμένων των δεδομένων, η έννοια της συγκατάθεσης, ο θεσμός του Υπευθύνου Προστασίας Δεδομένων (DPO) και η εκτίμηση αντικτύπου (DPIA).

Ωστόσο, ιδιαίτερο ενδιαφέρον εμφάνισε η παρουσίαση της κυρίας Γεωργίας Παναγοπούλου, σχετικά με τη συμμόρφωση υπευθύνων επεξεργασίας που παρέχουν διαδικτυακές υπηρεσίες με το ΓΚΠΔ αλλά και την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες.

Στην εισήγησή της παρουσίασε τα πρώτα συμπεράσματα καθώς και στατιστικά στοιχεία που προέκυψαν ως αποτέλεσμα πολύ πρόσφατης δράσης της Αρχής, κατά την οποία ελέγχθηκε ο τρόπος ικανοποίησης συγκεκριμένων απαιτήσεων μέσω ενδεικτικών σημείων, αντιληπτών στον πολίτη κατά την πλοήγησή του στο διαδίκτυο και κατά τη χρήση των διαδικτυακών υπηρεσιών.

Οι 65 ιστοσελίδες που αποτέλεσαν αντικείμενο έρευνας ανήκουν σε ποικίλους τομείς, όπως ασφαλιστικές εταιρείες, χρηματοπιστωτικά ιδρύματα, ηλεκτρονικό εμπόριο, υπηρεσίες εισιτηρίων και δημόσιες υπηρεσίες, ενώ η επιλογή έγινε με κριτήριο την επισκεψιμότητα και την παροχή ηλεκτρονικών υπηρεσιών.

Σύμφωνα με την έρευνα, τα σημεία συμμόρφωσης με το ΓΚΠΔ και την οδηγία e-Privacy, τα οποία ελέγχθηκαν ήταν τα εξής:

Διαφάνεια – ενημέρωση υποκειμένων (ΓΚΠΔ άρθρα 1314)

  • Στοιχεία υπευθύνου επεξεργασίας
  • Δικαιώματα υποκειμένων
  • Άσκηση δικαιωμάτων υποκειμένων
  • Στοιχεία υπευθύνου προστασίας δεδομένων
  • Δυνατότητα προσφυγής στην ΑΠΔΠΧ
  • Σκοποί, νομική βάση επεξεργασιών
  • Αποδέκτες δεδομένων
  • Δυνατότητα ανάκλησης συγκατάθεσης

Διαβάστε επίσης: Ο GDPR σε αριθμούς (infographic)Μέτρα ασφάλειας της επεξεργασίας (ΓΚΠΔ άρθρo 32)

  • Ψηφιακό πιστοποιητικό – υλοποίηση https
  • Ισχυρός μηχανισμός εγγραφής
  • Πολιτική συνθηματικών
  • Διαδικασία ανάκτησης συνθηματικού

Αποστολή ηλεκτρονικών μηνυμάτων διαφημιστικού περιεχομένου (N. 3471/2006 άρθρο 11)

  • Λήψη συγκατάθεσης
  • Συμμόρφωση με την οδηγία 2/2011
  • Δυνατότητα διαγραφής

Εγκατάσταση και χρήση cookies (N. 3471/2006 άρθρο 4, παρ. 5)

  • Ενημέρωση
  • Συγκατάθεση όπου απαιτείται

Ικανοποιητικό επίπεδο συμμόρφωσης σε ορισμένους τομείς

Τα αποτελέσματα της έρευνας ήταν αρκετά ικανοποιητικά σε ορισμένους τομείς, όπως η διαφάνεια και η ενημέρωση των υποκειμένων, ιδιαιτέρως σε ό,τι αφορά στην ενημέρωση για τα δικαιώματά τους, αλλά και την ασφάλεια της επεξεργασίας, με την Αρχή να διαπιστώνει ικανοποιητικό βασικό επίπεδο ασφάλειας.

Στον αντίποδα, αρκετές ελλείψεις παρατηρήθηκαν στην εγκατάσταση και χρήση cookies, καθώς και στην αποστολή ηλεκτρονικών μηνυμάτων διαφημιστικού περιεχομένου.

Ως προς τις κατηγορίες των υπευθύνων, διαπιστώθηκε ότι οι ασφαλιστικές εταιρείες, τα χρηματοπιστωτικά ιδρύματα και το ηλεκτρονικό εμπόριο επιδεικνύουν υψηλά ποσοστά συμμόρφωσης, σε αντίθεση με το Δημόσιο.

Οι σημαντικότερες ελλείψεις, το Δημόσιο και ο πονοκέφαλος των cookies

Σύμφωνα με τα στοιχεία της Αρχής, παρατηρήθηκε, μεταξύ άλλων, σημαντική έλλειψη συμμόρφωσης με τη νομοθεσία για τα cookies, ελλιπής ενημέρωση για τις πράξεις επεξεργασίας και τους αποδέκτες, καθώς και μεγάλη υστέρηση του Δημοσίου στη διαφάνεια.

Ειδικότερα, σε σχέση με τη διαφάνεια, σημαντικές ελλείψεις παρατηρήθηκαν, μεταξύ άλλων, στην αναφορά των σκοπών και της νομικής βάσης της επεξεργασίας.

Σε σχέση με τα μέτρα ασφάλειας της επεξεργασίας, διαπιστώθηκε ότι δεν υπάρχει στις περισσότερες περιπτώσεις έλεγχος για την πολυπλοκότητα των συνθηματικών των χρηστών και βέλτιστη υλοποίηση ασφαλούς σύνδεσης https.

Αναφορικά με την αποστολή ηλεκτρονικών μηνυμάτων διαφημιστικού περιεχομένου, σε καμία (από τις ελεγχόμενες) περίπτωση δεν υπήρχε επιβεβαίωση του email μέσω της προβλεπόμενης διαδικασίας double opt-in.

Τέλος, σε σχέση με τα cookies, τα κυριότερα προβλήματα επικεντρώνονται στη μη επαρκή ενημέρωση των χρηστών, καθώς και στη συγκατάθεση μέσω browser ή στην παροχή μόνο της δυνατότητας opt-out.

Τα cookies εξακολουθούν να αποτελούν “πονοκέφαλο” στη συμμόρφωση των ιστοσελίδων και στην Ελλάδα. Υπενθυμίζεται ότι κατά τους τελευταίους μήνες του 2018, η αυστριακή και η βρετανική αρχή προστασίας δεδομένων εξέδωσαν σχετικές αποφάσεις, ακολουθώντας διαφορετικές προσεγγίσεις σε σχέση με τη συγκατάθεση.

Πηγή: lawspot.gr

Skip to content