Πρόστιμο βάσει GDPR για μη καθορισμό περιόδου αποθήκευσης προσωπικών δεδομένων και μη λήψη κατάλληλων μέτρων ασφαλείας

Η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL) επέβαλε πρόσφατα πρόστιμο ύψους 400.000 € σε βάρος εταιρείας ενοικιάσεων ακινήτων (SERGIC)[1] για μη περιορισμό της περιόδου αποθήκευσης των δεδομένων στον αναγκαίο για τον σκοπό επεξεργασίας τους χρόνο [2] και μη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας[3] του GDPR για την προστασία των προσωπικών δεδομένων.

Συνοπτικά διαπιστώθηκε ότι:

  • Η εταιρεία – Υπεύθυνος επεξεργασίας δεν διέγραφε ή δεν αποθήκευε σε χωριστά (ενδιάμεσα) αρχεία και για ξεχωριστή ορισμένη χρονική περίοδο δεδομένα[4] που απαιτούνται στα πλαίσια συμμόρφωσης με νομικές υποχρεώσεις ή επίλυση διαφορών από τα αρχεία δημοσίευσης στοιχείων των υποψηφίων ενοικιαστών σε ιστοσελίδα εταιρείας για τον σκοπό μίσθωσης κατοικιών. Δεν έκανε δηλαδή λογικό διαχωρισμό αρχείων και περιόδου διατήρησης τους ανάλογα με τον σκοπό χρήσης[5] τους, με αποτέλεσμα να διατηρεί προσωπικά δεδομένα υποψήφιων ενοικιαστών πέραν του αναγκαίου διαστήματος για εκπλήρωση του σκοπού -μίσθωσης κατοικίας.
  • Η εταιρεία – Υπεύθυνος επεξεργασίας δεν έλαβε τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας των προσωπικών δεδομένων[6] ώστε να διασφαλίσει την μη αποκάλυψη τους σε μη εξουσιοδοτημένα πρόσωπα, επειδή δεν αντιμετώπισε την ευπάθεια του συστήματος που γνώριζε και που εξαιτίας μη ταυτοποίησης χρήστη ιστοσελίδας έδινε πρόσβαση σε απεριόριστο αριθμό χρηστών της ιστοσελίδας και σε πλήθος εγγράφων με προσωπικά δεδομένα (κατάλογο δικαιολογητικών εγγράφων υποψήφιων ενοικιαστών) και μάλιστα εύκολα, χωρίς ειδικές τεχνικές γνώσεις[7].

Αξίζει να σημειωθεί ότι και η Δανική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο για μη περιορισμό της περιόδου αποθήκευσης[8] και (2) έλλειψη απόδειξης συμμόρφωσης (λογοδοσίας)[9] σε βάρος εταιρείας – Υπευθύνου επεξεργασίας (IDdesign)[10], επειδή δεν είχε στο σύστημα της περιόδους αποθήκευσης ανάλογα με τον σκοπό επεξεργασίας και δεν τηρούσε αρχείο που να βεβαιώνει ότι διαγράφηκαν τα δεδομένα που έληξε ο σκοπός και η αντίστοιχη περίοδος διατήρησης τους. Τονίστηκε επίσης ότι η διατήρηση προσωπικών δεδομένων πελατών (π.χ. τιμολόγια) για συμμόρφωση με νομικές υποχρεώσεις (π.χ. φορολογικές) ή επίλυση διαφορών πρέπει να διακρίνεται από την διατήρηση ή χρήση δεδομένων για σκοπό πώλησης εμπορεύματος και συνεπώς να τηρείται χωριστό αρχείο και χωριστή περίοδος αποθήκευσης αυτών.

Πρόσφατα, επίσης και η Ιταλική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο[11] για μη λήψη κατάλληλων μέτρων ασφαλείας[12] σε βάρος του εκτελούντος (ΙΤ support), αυτή την φορά, επεξεργασία για λογαριασμό του Υπεύθυνου επεξεργασίας, επειδή δεν τηρούταν αρχείο καταγραφής της πρόσβασης και των ολοκληρωμένων ενεργειών στην βάση δεδομένων (database) , δηλαδή των ονομαζόμενων ‘logs’, ενώ ακόμη καμία ενέργεια που λάμβανε χώρα στο ηλεκτρονικό σύστημα της πλατφόρμας δεν καταγραφόταν. Εντοπίστηκαν από την Αρχή συνολικά οι ακόλουθες ελλείψεις μέτρων ασφαλείας σε πλατφόρμα:

  • χρήση παλιού λογισμικού χωρίς δυνατότητα επικαιροποίησης που καθιστούσε ευπαθές και αργό το σύστημα
  • μη εφαρμογή συστήματος για ισχυρούς κωδικούς ασφαλείας ‘passwords’
  • μη εφαρμογή πρωτοκόλλων ασφαλείας και ψηφιακών πιστοποιητικών κατά την μεταφορά δεδομένων που μειώνουν τον κίνδυνο από ψεύτικες ιστοσελίδες
  • μη επαρκή μέτρα για αποθήκευση των ‘passwords’ εξαιτίας αδύναμου αλγόριθμου κρυπτογράφησης
  • μη εφαρμογή μέτρων ελέγχου για καταγραφή πρόσβασης και ενεργειών σε βάση δεδομένων του συστήματος
  • χρήση κοινόχρηστων λογαριασμών με αρκετά μεγάλα προνόμια στη λειτουργία της πλατφόρμας που έδιναν πρόσβαση και σε ευαίσθητα δεδομένα (όπως πολιτικές απόψεις)
  • ανεπαρκή μέτρα ανωνυμοποίησης των δεδομένων

Ενόψει των ανωτέρω, για να αποφευχθεί ο κίνδυνος επιβολής προστίμων απαιτείται να ληφθούν από τις επιχειρήσεις, τα κάτωθι προτεινόμενα τεχνικά και οργανωτικά μέτρα ασφαλείας:

  1. Διαχωρισμός αρχείων προσωπικών δεδομένων ανάλογα με τον σκοπό επεξεργασίας στο ηλεκτρονικό και χειρόγραφο σύστημα εταιρείας.
  2. Καθορισμός στο ηλεκτρονικό και χειρόγραφο σύστημα εταιρείας συγκεκριμένης περιόδου διατήρησης προσωπικών δεδομένων ανάλογα με τον σκοπό επεξεργασίας, με την συμπλήρωση της οποίας τα συγκεκριμένα δεδομένα πελάτη να διαγράφονται ή να ανωνυμοποιούνται.
  3. Τήρηση αρχείου συμμόρφωσης από ΥΠΔ- DPO που αποδεικνύει την ύπαρξη ελέγχου ανά τακτά σύντομα διαστήματα (μηνιαίως για χειρόγραφα ή καθημερινώς για ηλεκτρονικά αρχεία) και διαγραφής αχρείαστων δεδομένων που εκπλήρωσαν τον σκοπό επεξεργασίας τους.
  4. Τήρηση διαδικασίας ταυτοποίησης προσώπου που ζητά πρόσβαση σε προσωπικά δεδομένα πριν την παροχή πρόσβασης και αποκάλυψης αυτών.
  5. Λήψη μέτρων ασφαλείας που τεχνικά αποκλείει την μη εξουσιοδοτημένη πρόσβαση είτε μέσω κωδικών χρήστη ιστοσελίδας είτε διεύθυνσης φιλτραρίσματος URL ή μετακίνησης δεδομένων σε χωριστό μη προσπελάσιμο ή κρυπτογραφημένο αρχείο κλπ.
  6. Χρήση του μέτρου ανωνυμοποίησης των δεδομένων, όταν έληξε ο σκοπός και αντίστοιχα η περίοδος διατήρησης τους.
  7. Εφαρμογή μέτρων ελέγχου για καταγραφή πρόσβασης και ενεργειών σε βάση δεδομένων (database) του ηλεκτρονικού και/ή χειρόγραφου συστήματος.
  8. Χρήση πρόσφατου λογισμικού με δυνατότητα επικαιροποίησης από προμηθευτή σε πλατφόρμα/ηλεκτρονικό σύστημα.
  9. Εφαρμογή ισχυρών κωδικών ασφαλείας ‘passwords’ σε σύστημα/πλατφόρμα.
  10. Εφαρμογή πρωτοκόλλων ασφαλείας και ψηφιακών πιστοποιητικών που διασφαλίζουν την αυθεντικότητα της ιστοσελίδας
  11. Χρήση δυνατού αλγόριθμου κρυπτογράφησης για αποθήκευση των ‘passwords’
  12. Περιορισμός δυνατότητας πρόσβασης και διαχείρισης αρχείων σε κοινόχρηστους λογαριασμούς, μέσω περιορισμένων προνομίων στη λειτουργία της πλατφόρμας/ηλεκτρονικού συστήματος που αποκλείει πρόσβαση σε δεδομένα, ιδίως ευαίσθητα, που δεν αφορούν τον συγκεκριμένο χρήστη.

Το παρόν δεν συνιστά σε καμιά περίπτωση νομική συμβουλή αλλά είναι μόνο για ενημερωτικούς σκοπούς.

 

[1] Διαθέσιμη σε: https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1

[2] Παραβίαση του άρθρου 5 (1) (ε) (περιορισμός περιόδου αποθήκευσης) του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) EE 2016/679

[3] Παραβίαση του άρθρου 32 του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) EE 2016/679

[4] Δηλαδή τα δικαιολογητικά έγγραφα που τις έδιναν υποψήφιοι ενοικιαστές και τα οποία απαιτούνται σύμφωνα με τη νομοθεσία για ενοικίαση ακινήτων να υπάρχουν και να κρατούνται

[5] Έχει την έννοια επεξεργασίας του GDPR

[6] σύμφωνα με το άρθρο 32 του GDPR

[7] Συγκεκριμένα μέσω αλλαγής της τιμής του Χ στο τέλος της διεύθυνσης URL

[8] Παραβίαση του άρθρου 5 (1) (ε) (περιορισμός περιόδου αποθήκευσης) του GDPR

[9] Παραβίαση του άρθρου 5 (2) του GDPR

[10] Διαθέσιμη σε:

https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/jun/tilsyn-med-iddesigns-behandling-af-personoplysninger/

[11] Άρθρο για πρόστιμο διαθέσιμο σε:

https://www.gamingtechlaw.com/2019/04/first-gdpr-fine-italy.html

[12] και επομένως παραβίαση του άρθρου 32 του Κανονισμού (GDPR)