Πρόστιμα συνολικού ύψους 150.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στο υπουργείο Προστασίας του Πολίτη για σοβαρά ζητήματα επεξεργασίας προσωπικών δεδομένων που προέκυψαν στις νέες ταυτότητες.

Η Αρχή Προστασίας Προσωπικών Δεδομένων εντόπισε, μετά από αυτεπάγγελτη έρευνα, σοβαρές πλημμέλειες σε σχέση με την ενημέρωση των πολιτών για την επεξεργασία των προσωπικών πληροφοριών τους κατά τη διαδικασία έκδοσης νέων ταυτοτήτων, παραβιάζοντας έτσι τη θεμελιώδη αρχή της διαφάνειας όπως αυτή καθορίζεται από το GDPR – τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) της ΕΕ.

Συγκεκριμένα, η Αρχή Προστασίας Προσωπικών Δεδομένων διαπίστωσε ότι η ενημέρωση για την επεξεργασία προσωπικών δεδομένων από την Ελληνική Αστυνομία, η οποία ήταν υπεύθυνη για την έκδοση των νέων ταυτοτήτων, δεν ήταν επαρκής και συνολική. Η ΕΛ.ΑΣ. είχε δημοσιεύσει στον ιστότοπό της πληροφορίες σχετικά με την επεξεργασία των δεδομένων, ωστόσο, αυτές οι πληροφορίες κρίθηκαν ελλιπείς, καθυστερημένες και εν μέρει εσφαλμένες. Συγκεκριμένα, η ενημέρωση αυτή δεν είχε αναρτηθεί εγκαίρως, ενώ οι πολίτες δεν είχαν λάβει σαφή πληροφόρηση σχετικά με το πώς θα επεξεργάζονταν τα βιομετρικά τους δεδομένα, όπως τα δακτυλικά αποτυπώματα και η φωτογραφία τους, που απαιτούνται για την έκδοση των νέων ταυτοτήτων.

Παράλληλα, εντοπίστηκαν ανακριβείς αναφορές στο νομικό καθεστώς γύρω από την επεξεργασία των προσωπικών δεδομένων, όπως η χρήση της έννοιας της «πρόδηλης ενεργής συγκατάθεσης» αντί της επιβαλλόμενης από το νόμο επεξεργασίας, που παραβίαζαν το άρθρο 6 του ΓΚΠΔ. Επιπρόσθετα, η Αρχή έκρινε ανεπαρκή και τη διαδικασία εκτίμησης αντικτύπου για την προστασία των δεδομένων (DPIA), η οποία ορίζεται ως υποχρεωτική από το άρθρο 35 του GDPR. Η εκτίμηση αντικτύπου -που είχε ως στόχο να εντοπίσει και να διαχειριστεί πιθανούς κινδύνους για τα προσωπικά δεδομένα των πολιτών- πραγματοποιήθηκε με καθυστέρηση, μετά από την έναρξη της επεξεργασίας, κάτι που αποτελεί σοβαρή παράβαση. Η εκτίμηση αυτή, σύμφωνα με την Αρχή Προστασίας Προσωπικών Δεδομένων, δεν κάλυπτε επαρκώς τα τεχνικά και οργανωτικά μέτρα που θα έπρεπε να είχαν ληφθεί για να προστατευθούν τα προσωπιικά δεδομένα κατά τη διαδικασία έκδοσης των νέων δελτίων ταυτότητας.

Αρχή Προστασίας Προσωπικών Δεδομένων: Η καταγγελία πολίτη

Η έρευνα γύρω από τη νομιμότητα της επεξεργασίας προσωπικών δεδομένων για την έκδοση νέων ταυτοτήτων ξεκίνησε στις 26 Σεπτεμβρίου 2023, όταν ένας πολίτης υπέβαλε σχετική καταγγελία ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Ο καταγγέλλων είχε απευθύνει στις 25 Αυγούστου 2023 αίτημα προς το υπουργείο Προστασίας του Πολίτη, ζητώντας πληροφορίες σχετικά με την επεξεργασία των προσωπικών δεδομένων που σχετίζονται με την έκδοση των νέων ταυτοτήτων. Παρά το γεγονός ότι ο πολίτης απέστειλε υπενθύμιση στις 19 Σεπτεμβρίου 2023, το υπουργείο ουδέποτε απάντησε στο αίτημά του.

Η καταγγελία αυτή έφτασε στην Αρχή, η οποία αποφάσισε να προχωρήσει σε αυτεπάγγελτη εξέταση της υπόθεσης, λαμβάνοντας υπόψη και τη γενικότερη δημόσια συζήτηση και ανησυχία σχετικά με τις νέες ταυτότητες.

Η υπόθεση είχε ήδη αρχίσει να απασχολεί την κοινή γνώμη, καθώς υπήρχαν ανησυχίες για τη διαφάνεια και τη νομιμότητα της επεξεργασίας προσωπικών δεδομένων, ιδιαίτερα των βιομετρικών, στις νέες ταυτότητες. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διαπίστωσε σημαντικές παραβάσεις κατά την εξέταση της διαδικασίας έκδοσης των νέων δελτίων ταυτότητας, που αφορούσαν κυρίως την ενημέρωση των πολιτών και την επεξεργασία προσωπικών δεδομένων, όπως τα βιομετρικά στοιχεία.

Αρχή Προστασίας Προσωπικών Δεδομένων: Το διπλό πρόστιμο

Η Αρχή επέβαλε στο υπουργείο Προστασίας του Πολίτη, που είναι υπεύθυνο για τη διαχείριση της διαδικασίας έκδοσης των νέων ταυτοτήτων, διοικητικό πρόστιμο ύψους 150.000 ευρώ. Το πρόστιμο αυτό διασπάστηκε σε δύο μέρη: 50.000 ευρώ για την πλημμελή ενημέρωση των πολιτών σχετικά με την επεξεργασία των προσωπικών τους δεδομένων και 100.000 ευρώ για την καθυστέρηση και την πλημμελή διεξαγωγή της εκτίμησης αντικτύπου.

Παράλληλα, η Αρχή έδωσε σαφείς οδηγίες στο υπουργείο Προστασίας του Πολίτη για τη λήψη διορθωτικών μέτρων, τα οποία πρέπει να υλοποιηθούν εντός εξαμήνου. Το υπουργείο οφείλει να τεκμηριώσει την αναγκαιότητα συμπερίληψης ορισμένων πρόσθετων στοιχείων, όπως το επώνυμο του πατέρα, της μητέρας, ο αριθμός δημοτολογίου και ο Δήμος εγγραφής, τα οποία δεν περιλαμβάνονται στις υποχρεώσεις που προβλέπονται από τον Κανονισμό 2019/1157 της Ευρωπαϊκής Ένωσης, ο οποίος καθορίζει τα ελάχιστα δεδομένα που πρέπει να περιέχει ένα δελτίο ταυτότητας. Αυτά τα στοιχεία βασίζονται σε παλαιές εθνικές διατάξεις, οι οποίες έχουν ήδη κριθεί παράνομες ή/και αντισυνταγματικές από το Συμβούλιο της Επικρατείας (ΣτΕ), χωρίς ωστόσο να έχουν τροποποιηθεί ή καταργηθεί.

Αναλυτικά η απόφαση:

Σε μια απόφαση-βόμβα, προχώρησε σύμφωνα με την εφημερίδα ΕΣΤΙΑ, ο Πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρος Κωνσταντίνος Μενουδάκος, καθώς δεν αποδέχεται το πόρισμα του εσωτερικού ελέγχου που διεξήχθη στο υπουργείο Εσωτερικών για την διαρροή των 20.000 περίπου διευθύνσεων ηλεκτρονικού ταχυδρομείου Ελλήνων του εξωτερικού που είχαν δηλώσει τα στοιχεία τους στην πλατφόρμα που είχε ανοίξει για την επιστολική ψήφο.

Η απόφαση αυτή αφήνει διπλά έκθετη την υπουργό Εσωτερικών Νίκη Κεραμέως. Αφ’ ενός διότι πέφτει στο κενό η προσπάθεια περιορισμού των ευθυνών στο πρόσωπο ενός ανωτέρου δημοσίου υπαλλήλου, εν προκειμένω του Διευθυντού Εκλογών, με απόρριψη κάθε πολιτικής ευθύνης. Αφ’ ετέρου διότι δεν γίνεται δεκτό το ότι η όποια διαρροή είχε γίνει σε χρόνο προγενέστερο της θητείας της νυν υπουργού.

Το προαναφερθέν πόρισμα είχε συνταχθεί από την Μονάδα Εσωτερικού Ελέγχου του υπουργείου Εσωτερικών, αμέσως δε μόλις υπεβλήθη στην πολιτική ηγεσία (την περασμένη Παρασκευή) η κ. Κεραμέως έσπευσε να το διαβιβάσει στον προϊστάμενο της Εισαγγελίας Πρωτοδικών Αθηνών και στον πρόεδρο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρος «προς διευκόλυνση των ερευνών τους». Τούτο αναφέρεται σε σχετική ανακοίνωση του υπουργείου. Όμως ο κ. Μενουδάκος τουλάχιστον δεν θεωρεί ότι το πόρισμα διευκολύνει την έρευνα και δια τούτο κατέστησε σαφές ότι δεν το λαμβάνει υπ’ όψιν του και θα προχωρήσει στην ανεξάρτητη διερεύνηση της υποθέσεως.

Σημειώνεται ότι στο πόρισμα προτείνεται η επιβολή πειθαρχικών κυρώσεων με μονοδιάστατη στόχευση προς τον Διευθυντή Εκλογών, ενώ σε ανακοίνωση του υπουργείου αναφέρεται ότι η πολιτική ηγεσία έχει εκκινήσει τις διαδικασίες επιβολής των κυρώσεων αυτών.

Ήδη όμως τα πράγματα έχουν πάρει άλλη τροπή καθώς ο κ. Μενουδάκος έχει ακούσει τις απολογίες και των άλλων εμπλεκομένων προσώπων και συγκεκριμένα του τέως ΓΓ Αποδήμου Ελληνισμού Νίκου Θεοδωρόπουλου, της Άννας Μισέλ Ασημακοπούλου και του τέως ΓΓ του Υπουργείου Εσωτερικών Μιχάλη Σταυριανουδάκη, οπότε έχει διαμορφώσει ιδίαν αντίληψη για τα γεγονότα καθώς και για τον χρόνο κατά τον οποίο έγινε η διαρροή.

Όλα τα στοιχεία συγκλίνουν ότι έγινε επί των ημερών της κ. Κεραμέως.

Υπενθυμίζεται ότι ο κ. Θεοδωρόπουλος, ο οποίος καρατομήθηκε μόλις έγινε γνωστό το σκάνδαλο, δήλωσε ότι την λίστα με τα ονόματα και τα λοιπά προσωπικά στοιχεία των ομογενών του την έδωσε μεγάλο στέλεχος της ΝΔ, συμφώνως δε προς πληροφορίες έδειξε το μήνυμα που είχε λάβει από τον συγκεκριμένο πολιτικό παράγοντα μέσω εφαρμογής κινητού τηλεφώνου, έχοντας καλύψει το όνομά του αποστολέα.

Ήδη για το θέμα της διαρροής αυτής έχουν υποβληθεί 300 προσφυγές ομογενών που όλες έχουν να κάνουν με την επιστολική ψήφο. Δεν είναι τυχαίο κατόπιν τούτου, ότι αποτυγχάνει η προσπάθεια προσελκύσεως Ελλήνων της διασποράς να μετάσχουν στις προσεχείς ευρωεκλογές, καθώς έχει δημιουργηθεί εντονότατη δυσπιστία απέναντι στο σύστημα.

Έτσι μόλις 45.000 ομογενείς έχουν εγγραφεί στην πλατφόρμα του υπουργείου Εσωτερικών για να έχουν δυνατότητα να ψηφίσουν. Προφανώς δεν πείθονται για την ασφάλεια των προσωπικών δεδομένων τα οποία τους ζητείται να δηλώσουν.

Για περισσότερο από τέσσερις ώρες, κλιμάκιο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα πραγματοποίησε έρευνα στη Διεύθυνση Ηλεκτρονικής Διακυβέρνησης του υπουργείου Εσωτερικών.

Η εν λόγω έρευνα έρχεται μετά το σκάνδαλο διαρροής προσωπικών δεδομένων από το υπουργείο Εσωτερικών και τα emails από το πολιτικό γραφείο της Άννας Μισέλ Ασηκαμοπούλου. Υπενθυμίζεται ότι οι πλατφόρμες για την ψήφο των αποδήμων τελούν υπό την ευθύνη της Διεύθυνση Ηλεκτρονικής Διακυβέρνησης του Υπουργείου.

Η παραπάνω είδηση έρχεται ενώ αυξάνονται οι αγωγές των Ελλήνων ομογενών προς το ελληνικό δημόσιο, με τις πληροφορίες να αναφέρουν πως ήδη έχουν γίνει πάνω από 60 αγωγές στο ηλεκτρονικό σύστημα.

Από την πλευρά τους, κυβερνητικοί παράγοντες προσπαθούν απεγνωσμένα να διασώσουν την υπουργό Εσωτερικών, Νίκη Κεραμέως και τον ίδιο τον πρωθυπουργό Κυριάκο Μητσοτάκη, από το κάδρο του σκανδάλου. Ωστόσο, είναι ηλίου φαεινότερον πως το σκάνδαλο εκπορεύτηκε από τον μηχανισμό της Ν.Δ.

Συγκεκριμένα, η Αρχή διαπίστωσε ότι στη συγκεκριμένη περίπτωση η καταγγελλόμενη εταιρεία, η οποία εμπορεύεται υπηρεσίες αναγνώρισης προσώπων, παραβίασε τις αρχές της νομιμότητας και διαφάνειας (άρθρο 5 παρ. 1 α’, 6, 9 ΓΚΠΔ), καθώς και τις απορρέουσες από τις διατάξεις των άρθρων 12, 14, 15 και 27 του ΓΚΠΔ υποχρεώσεις της, επιβάλλοντας χρηματικό πρόστιμο ύψους 20.000.000 ευρώ.

Παράλληλα, η Αρχή απηύθυνε εντολή συμμόρφωσης στην ίδια ως άνω εταιρεία για την ικανοποίηση του ασκηθέντος ενώπιόν της αιτήματος πρόσβασης σε προσωπικά δεδομένα της καταγγέλλουσας, ενώ επέβαλε στην αυτή εταιρεία απαγόρευση ως προς τη συλλογή και επεξεργασία προσωπικών δεδομένων υποκειμένων ευρισκομένων στην ελληνική επικράτεια, με τη χρήση μεθόδων που περιλαμβάνει η υπηρεσία αναγνώρισης προσώπου.

Με την επίμαχη απόφαση η Αρχή απηύθυνε στην εταιρεία Clearview AI, Inc και εντολή διαγραφής των προσωπικών δεδομένων των ως άνω ευρισκόμενων στην ελληνική επικράτεια υποκειμένων, τα οποία η καταγγελλομένη συλλέγει και επεξεργάζεται με τη χρήση των αυτών ως άνω μεθόδων.

Τα δεδομένα για την απόφαση

Αξίζει να σημειωθεί η καταγγελία έγινε από την οργάνωση Homodigitalis. Σύμφωνα με όσα έχουν γίνει γνωστά, τα βασικά σημεία της απόφασης είναι τα εξής:

1. Η Clearview πραγματοποιεί κατάρτιση προφίλ χρησιμοποιώντας βιομετρικά δεδομένα
2. Η επεξεργασία δεδομένων δεν είχε καμία νομική βάση, επομένως η Clearview είχε παραβιάσει την αρχή της νομιμότητας
3. Υπάρχει έλλειψη διαφάνειας όσον αφορά τη διαδικασία επεξεργασίας
4. Το δικαίωμα πρόσβασης της καταγγέλλουσας δεν έγινε σεβαστό
5. Η Clearview δεν έχει ορίσει Εκπρόσωπο στην Ε.Ε. ως όφειλε.

Ποια είναι η Clearview AI

Η Clearview AI είναι μια αμερικανική εταιρεία με έδρα τη Νέα Υόρκη, η οποία ισχυρίζεται στον δικτυακό τόπο της ότι διαθέτει τη μεγαλύτερη βιομετρική βάση δεδομένων του κόσμου, η οποία περιέχει πάνω από 3 δισεκατομμύρια εικόνες προσώπων που συλλέχθηκαν αυτόματα από το Facebook και άλλους δικτυακούς τόπους.

Οι εικόνες συλλέχθηκαν χωρίς τη γνώση και τη συγκατάθεση των εικονιζόμενων, κάτι που σημαίνει ότι η εταιρεία παραβίασε τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) που ισχύει στην ΕΕ, επεσήμαναν τέσσερις οργανώσεις, οι οποίες υπέβαλαν καταγγελίες στις αρχές δεδομένων της Ελλάδας, της Γαλλίας, της Αυστρίας, της Ιταλίας και της Βρετανίας (η οποία έχει υιοθετήσει τη δική της βερσιόν του GDPR).

Σύμφωνα με την οργάνωση homodigitalis, οι καταγγελίες περιγράφουν λεπτομερώς τον τρόπο με τον οποίο λειτουργεί ο αυτοματοποιημένος συλλέκτης εικόνων της Clearview ΑΙ. Πρόκειται για ένα αυτοματοποιημένο εργαλείο, το οποίο επισκέπτεται δημόσιες ιστοσελίδες και συλλέγει όσες εικόνες εντοπίζει που περιέχουν ανθρώπινα πρόσωπα. Μαζί με τις εικόνες αυτές, ο αυτοματοποιημένος συλλέκτης συλλέγει επίσης και μεταδεδομένα που συμπληρώνουν τις εικόνες αυτές, όπως ο τίτλος της ιστοσελίδας και ο σύνδεσμος πηγής της. Στη συνέχεια, οι εικόνες προσώπου που έχουν συλλεχθεί αντιπαραβάλλονται στο λογισμικό αναγνώρισης προσώπου που έχει δημιουργήσει η εταιρία Clearview ΑΙ προκειμένου να χτιστεί η βάση δεδομένων της εταιρίας. Η Clearview ΑΙ πουλάει την πρόσβαση σε αυτή τη βάση δεδομένων σε ιδιωτικές εταιρίες και αρχές επιβολής του νόμου, όπως αστυνομικές αρχές, διεθνώς.

Η εταιρία Clearview ΑΙ έγινε διεθνώς γνωστή τον Ιανουάριο του 2020 όταν μία έρευνα των New York Times αποκάλυψε τις πρακτικές της, οι οποίες έως τότε καλύπτονταν από ένα πέπλο μυστηρίου.
Έρευνες κατά της εταιρείας εκκρεμούν σε Βρετανία, Αυστραλία και Καναδά, ενώ αμερικανικές οργανώσεις για τα πολιτικά δικαιώματα προσέφυγαν τον Μάρτιο του 2021 στη Δικαιοσύνη ζητώντας να σταματήσει η συλλογή βιομετρικών δεδομένων στην Καλιφόρνια.

Η εταιρεία υποστηρίζει από την πλευρά της ότι η βάση δεδομένων είναι νόμιμη επειδή βασίζεται σε δημόσια διαθέσιμες εικόνες και δεν μπορεί να χρησιμοποιηθεί για παρακολούθηση προσώπων.

Στις 8 Μαρτίου 2022 επιδόθηκε, με δικαστικό επιμελητή, στην Αρχή Προστασίας Προσωπικών Δεδομένων επείγουσα έκκληση προκειμένου να παρέμβει άμεσα για την υπεράσπιση του θεμελιώδους δικαιώματος της προστασίας των προσωπικών δεδομένων των πολιτών, καθώς βρίσκεται σε εξέλιξη μιας μεγάλης κλίμακας παράνομη επεξεργασία ευαίσθητων προσωπικών δεδομένων από δημόσιους φορείς με σκοπό την επιβολή του διοικητικού προστίμου των 100 ευρώ που προβλέπεται από τη διάταξη του άρθρου 24 ν. 4865/2021.

Η έκκληση αυτή υπογράφεται από 31 νομικούς και καθηγητές ΑΕΙ, ενώ ήδη δεκάδες πολίτες έχουν απευθυνθεί στους υπεύθυνους Προστασίας Δεδομένων της ΗΔΙΚΑ, του υπουργείου Εργασίας και υπουργείου Υγείας ασκώντας το νόμιμο δικαίωμά τους να μη χρησιμοποιηθούν τα προσωπικά δεδομένα τους σε παράνομη επεξεργασία.

Ολόκληρο το εξώδικο των νομικών και καθηγητών μπορείτε να το βρείτε εδώ.

Συνολικό πρόστιμο ύψους 6.000.000 ευρώ επέβαλε με απόφασή της (4/2022) η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην εταιρεία COSMOTE για υπόθεση διαρροής δεδομένων κλήσεων συνδρομητών της κατά το χρονικό διάστημα από 1/9/2020 έως 5/9/2020. Ακόμη, για την ίδια υπόθεση, η Αρχή επέβαλλε πρόστιμο και στον ΟΤΕ ύψους 3.250.000 ευρώ.

Σε σχετικό δελτίο Τύπου που εξέδωσε η ανεξάρτητη Αρχή για τη συγκεκριμένη υπόθεση αναφέρει:

«Κατόπιν γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων εκ μέρους της εταιρείας COSMOTE (διαρροή δεδομένων κλήσεων συνδρομητών το χρονικό διάστημα 1/9/2020 - 5/9/2020), η Αρχή διερεύνησε τις συνθήκες υπό τις οποίες έλαβε χώρα το περιστατικό και, στο πλαίσιο αυτό, εξέτασε τη νομιμότητα της τήρησης των αρχείων που διέρρευσαν καθώς και τα εφαρμοζόμενα μέτρα ασφάλειας. Πρόκειται για ένα αρχείο που περιλαμβάνει δεδομένα κίνησης των συνδρομητών και το οποίο, αφενός μεν, τηρείται με σκοπό τη διαχείριση προβλημάτων και βλαβών για 90 ημέρες από την πραγματοποίηση των κλήσεων, αφετέρου δε, το αρχείο «ανωνυμοποιείται» (ψευδωνυμοποιείται) και τηρείται για 12 μήνες με σκοπό την εξαγωγή στατιστικών συμπερασμάτων προς τον βέλτιστο σχεδιασμό τού δικτύου κινητής τηλεφωνίας, αφού εμπλουτιστεί με επιπλέον απλά προσωπικά δεδομένα.

Από τη διερεύνηση της υπόθεσης προέκυψε παράβαση, εκ μέρους της COSMOTE, της αρχής της νομιμότητας (άρθρα 5 και 6 ν. 3471/2006) και της αρχής της διαφάνειας, λόγω ασαφούς και ελλιπούς ενημέρωσης των συνδρομητών (άρθρο 5 παρ. 1 α) και 13-14 Γενικού Κανονισμού Προστασίας Δεδομένων- ΓΚΠΔ), παράβαση του άρθρου 35 παρ. 7 ΓΚΠΔ λόγω πλημμελούς διεξαγωγής της εκτίμησης αντικτύπου, παράβαση των άρθρων 25 παρ. 1 λόγω πλημμελούς υλοποίησης της διαδικασίας ανωνυμοποίησης, παράβαση του άρθρου 12 παρ. 1 ν. 3471/2006 λόγω ελλιπών μέτρων ασφαλείας και παράβαση του άρθρου 5 παρ. 2 σε συνδυασμό με τα άρθρα 26 και 28 λόγω μη κατανομής των ρόλων των δύο εταιρειών σε σχέση με την υπό κρίση επεξεργασία. Επίσης, διαπιστώθηκε, εκ μέρους του ΟΤΕ, παράβαση του άρθρου 32 ΓΚΠΔ λόγω ελλιπών μέτρων ασφάλειας σε σχέση με τις υποδομές που χρησιμοποιήθηκαν στο πλαίσιο του περιστατικού.

Για τις διαπιστωθείσες παραβάσεις και λαμβανομένων υπόψη των κριτηρίων του άρθρου 83 παρ. 2 ΓΚΠΔ, η Αρχή επέβαλε στην COSMOTE πρόστιμο συνολικού ύψους 6.000.000 ευρώ, καθώς και κύρωση διακοπής της επεξεργασίας και καταστροφής δεδομένων, ενώ στον ΟΤΕ επέβαλε πρόστιμο ύψους 3.250.000 ευρώ».

H Cosmote εφάρμοζε και εφαρμόζει όλα τα διαθέσιμα μέτρα για τη θωράκιση των υποδομών της

Σε συνέχεια της ανακοίνωσης της ΑΠΔΠΧ για την απόφασή της για το περιστατικό κυβερνοεπίθεσης με θύμα την COSMOTE που έλαβε χώρα τον Σεπτέμβριο του 2020, η εταιρεία σε ανακοίνωσή της σημειώνει ότι εφάρμοζε και εφαρμόζει όλα τα διαθέσιμα μέτρα για τη θωράκιση των υποδομών της. Η ίδια ανίχνευσε την κυβερνοεπίθεση, έλαβε όλα τα αναγκαία μέτρα και ενημέρωσε από την πρώτη στιγμή τις αρμόδιες Αρχές, όπως προβλέπεται. Όπως αναγνωρίζει και η Αρχή, η εταιρεία συνεργάστηκε πλήρως με την ΑΠΔΠΧ και έλαβε μέτρα για την αντιμετώπιση του περιστατικού. Από την πλευρά των πελατών, δεν χρειάστηκε και δεν χρειάζεται να γίνει καμία ενέργεια. Σε κάθε περίπτωση, η εταιρεία επιφυλάσσεται κάθε νόμιμου δικαιώματός της.

Το φαινόμενο των κυβερνοεπιθέσεων αποτελεί καθημερινότητα παγκοσμίως για όλα τα συστήματα τεχνολογίας εταιρειών, οργανισμών και θεσμών. Ο Όμιλος ΟΤΕ αποκρούει κάθε μήνα πάνω από 500.000 κακόβουλες επιθέσεις τρίτων σε συστήματα.

«Υπενθυμίζεται ότι το αρχείο που είχε εξαχθεί παρανόμως δεν περιελάμβανε περιεχόμενο κλήσεων (συνομιλίες) ή περιεχόμενο μηνυμάτων, ονοματεπώνυμα ή διευθύνσεις, ούτε κωδικούς πρόσβασης ή δεδομένα πιστωτικών καρτών ή τραπεζικών λογαριασμών». επισημαίνεται στην ανακοίνωση της Cosmote.

Η Αρχή Προστασίας των Προσωπικών Δεδομένων, εν όψει των επικειμένων εθνικών-βουλευτικών εκλογών της 7ης Ιουλίου 2019, επαναλαμβάνει τις κατευθυντήριες οδηγίες της, στις οποίες περιγράφονται οι κανόνες για τη σύννομη επεξεργασία προσωπικών δεδομένων μέσω τηλεφωνικών κλήσεων, αλλά και με χρήση ηλεκτρονικών μέσων (SMS, MMS, email, εφαρμογές ανταλλαγής μηνυμάτων υπηρεσιών «της κοινωνίας των πληροφοριών» και αυτόματες τηλεφωνικές κλήσεις με προηχογραφημένο μήνυμα και φωνητικά μηνύματα που αποθηκεύονται μέσω υπηρεσίας αυτόματου τηλεφωνητή).

Με τις οδηγίες της Αρχής εξειδικεύονται οι κανόνες για τη σύννομη επεξεργασία προσωπικών δεδομένων στην πολιτική επικοινωνία, η οποία πραγματοποιείται με ποικίλους τρόπους και σε οποιαδήποτε χρονική περίοδο, συμπεριλαμβανομένης της προεκλογικής, από πολιτικά κόμματα, βουλευτές, ευρωβουλευτές, παρατάξεις και κατόχους αιρετών θέσεων στην Τοπική Αυτοδιοίκηση ή υποψηφίους στις βουλευτικές εκλογές, τις ευρωεκλογές και τις εκλογές Τοπικής Αυτοδιοίκησης (νομαρχιακές, δημαρχιακές και δημοτικές).

Ειδικότερα, η Αρχή αναφέρει τους κανόνες για τη σύννομη επεξεργασία προσωπικών δεδομένων μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση, αλλά και με τη χρήση ηλεκτρονικών μέσων χωρίς ανθρώπινη παρέμβαση (όπως είναι SMS, MMS, email, εφαρμογές ανταλλαγής μηνυμάτων υπηρεσιών «της κοινωνίας των πληροφοριών», αυτόματες τηλεφωνικές κλήσεις με προηχογραφημένο μήνυμα και φωνητικά μηνύματα που αποθηκεύονται μέσω υπηρεσίας αυτόματου τηλεφωνητή).

Αναλυτικότερα, η Αρχή αναφέρει για την πολιτική επικοινωνία μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση, δηλαδή, ότι επιτρέπεται, με συγκατάθεση όμως των υποκειμένων (καλουμένου) για την επεξεργασία δεδομένων τους για το συγκεκριμένο σκοπό.



ΑΠΕ