Data Protection By Design & By Default; the Real Challenge

Date: October 16, 2019

Article Edited by Kleio Kondi

This article comments on the recent decisions of the Greek Data Protection Authority imposing fines on a telephone service provider for failure to comply with -amongst others-  the principle of data protection by design. 

Below you may find the full article in Greek.

Προστασία Δεδομένων by Design & by Default. Ένα Αληθινό Στοίχημα.

Με δύο πρόσφατες αποφάσεις που δημοσιεύθηκαν την προηγούμενη εβδομάδα, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επέβαλε διοικητικά πρόστιμα συνολικού ύψους 400.000 ευρώ σε εταιρεία παροχής υπηρεσιών τηλεφωνίας για:

α) την παραβίαση της αρχής της ακρίβειας και της προστασίας των δεδομένων ήδη από το σχεδιασμό κατά την τήρηση προσωπικών δεδομένων συνδρομητών και

β) τη μη ικανοποίηση του δικαιώματος εναντίωσης του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (Κανονισμός) και την παραβίαση της αρχής της προστασίας των δεδομένων ήδη από το σχεδιασμό κατά την τήρηση προσωπικών δεδομένων των συνδρομητών.

Πρόκειται για δύο αξιοσημείωτα πρόστιμα στη μετά την έναρξη εφαρμογής του Κανονισμού εποχή.

Οι παραβιάσεις συνοπτικά αφορούσαν στην πρώτη περίπτωση τη μη ορθή επικαιροποίηση του μητρώου αντιρρήσεων σχετικά με τη λήψη τηλεφωνικών κλήσεων για σκοπούς προώθησης προϊόντων και υπηρεσιών, κατόπιν αλλαγών που καταχωρούνταν στο σύστημα όπου τηρούνταν τα στοιχεία των πελατών. Λόγω αναντιστοιχιών μεταξύ των δύο αρχείων, που προέκυπταν από τεχνικούς λόγους, ορισμένοι συνδρομητές παρόλο που είχαν δηλώσει την αντίρρησή τους για τη λήψη τηλεφωνικών κλήσεων προώθησης προϊόντων και υπηρεσιών, λάμβαναν κλήσεις με αντίστοιχο περιεχόμενο.

Στη δεύτερη περίπτωση, εντοπίστηκε η αδυναμία διαγραφής των αποδεκτών μηνυμάτων διαφημιστικού περιεχομένου που  άσκησαν το δικαίωμα εναντίωσης όπως προβλέπεται  στον Κανονισμό, μέσω του σχετικού συνδέσμου “unsubscribe”. Η εν λόγω παραβίαση αφορούσε τόσο τη μη ουσιαστική ικανοποίηση του δικαιώματος, όσο και την έλλειψη κατάλληλου τεχνικού και οργανωτικού μέτρου, με το οποίο θα εντοπιζόταν η σχετική αδυναμία.

Ενδιαφέρον παρουσιάζει ότι και στις δύο αποφάσεις κατά τον υπολογισμό των προστίμων ελήφθησαν υπόψη -κατά περίπτωση- περιστάσεις όπως η χρονική διάρκεια του συμβάντος, ο σημαντικός αριθμός των επηρεαζόμενων προσώπων, η επιχειρηματική δραστηριότητα του υπεύθυνου επεξεργασίας, η ευθύνη του παρόχου σε προγενέστερο περιστατικό παραβίασης προσωπικών δεδομένων, καθώς και η παλαιότερη επιβολή της κύρωσης προειδοποίησης αναφορικά με τη δήλωση ένταξης συνδρομητών στο μητρώο. Ελαφρυντικά στοιχεία, όπως η απουσία δόλου, η λήψη επανορθωτικών μέτρων και η διάθεση συνεργασίας του παρόχου με την Αρχή συνεκτιμήθηκαν με τη σειρά τους κατά το σχετικό υπολογισμό.

Μια συνολική αποτίμηση των δύο αυτών αποφάσεων αναδεικνύει τη θεμελιώδους σημασίας αρχή της προστασίας των δεδομένων από το σχεδιασμό και εξ ορισμού (data protection by design & by default). Δεν πρόκειται για μια θεωρητική επιταγή του Κανονισμού, αλλά για μια πρακτική αναγκαιότητα. Στον απόηχο των αποφάσεων επισημαίνεται η αυξημένη ανάγκη εσωτερικών ελέγχων για τον εντοπισμό αντίστοιχων κενών ασφαλείας, ώστε να διασφαλίζονται ανά πάσα στιγμή, τόσο κατά τον καθορισμό των μέσων επεξεργασίας, όσο και κατά την επεξεργασία κατάλληλα τεχνικά και οργανωτικά μέτρα που εγγυώνται τη συμμόρφωση με το υφιστάμενο πλαίσιο. Η ύπαρξη τόσο των εσωτερικών ελέγχων καθώς και η λήψη περαιτέρω τεχνικών και οργανωτικών μέτρων είναι το στοίχημα της επόμενης ημέρας για τη συνεχή συμμόρφωση με τον Κανονισμό. Σε περίπτωση που οι υπόχρεοι δεν καταφέρουν να το κερδίσουν, είναι εξαιρετικά πιθανό να βρεθούν αντιμέτωποι με τις ανάλογες κυρώσεις.

Το άρθρο δημοσιεύτηκε στο capital.gr