Διοικητικό πρόστιμο συνολικού ύψους 9.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε εκδοτικό οίκο για την παράνομη αποκάλυψη προσωπικών δεδομένων συγγραφέα μέσω email και την παραβίαση των υποχρεώσεών του σχετικά με την προστασία της εμπιστευτικότητας και την αντιμετώπιση της παραβίασης δεδομένων.

Σύμφωνα με την καταγγελία, ο συγγραφέας, συμβεβλημένος τότε με τον εκδοτικό οίκο, έλαβε μήνυμα στην προσωπική του ηλεκτρονική διεύθυνση, η οποία ήταν εμφανής στους υπόλοιπους πενήντα πέντε (55) παραλήπτες του μηνύματος αυτού. Στο πεδίο «Προς» του μηνύματος αναγράφονταν η ηλεκτρονική διεύθυνση του συγγραφέα, αλλά και το πλήρες ονοματεπώνυμό του, το καλλιτεχνικό ψευδώνυμό του, υπό το οποίο κυκλοφορούν τα βιβλία του, η διεύθυνση κατοικίας του και ο ΑΦΜ του.

Στη συγκεκριμένη περίπτωση, η αποκάλυψη των δεδομένων αυτών είχε ακόμη δυσμενέστερες συνέπειες, δεδομένου ότι ο συγγραφέας, όταν δραστηριοποιείται υπό τη συγγραφική-καλλιτεχνική του ιδιότητα, εμφανίζεται πάντοτε καλύπτοντας το πρόσωπό του, ώστε αυτό να μην είναι ποτέ εμφανές στο κοινό. Η χρήση του ψευδωνύμου και της κάλυψης του προσώπου οφείλεται, σύμφωνα με τον καταγγέλλοντα, στην επιθυμία του να προστατεύσει την προσωπικότητά του και να μην αποκαλύψει στο άμεσο οικογενειακό και επαγγελματικό του περιβάλλον την ταυτότητα φύλου του, καθώς ανήκει σε έμφυλη μειονότητα, στα προβλήματα της οποίας επικεντρώνεται η συγγραφική του δραστηριότητα.

Ο καταγγέλλων εξήγησε ότι η παραβίαση του προκάλεσε έντονο σοκ και ψυχολογικά προβλήματα, τα οποία επιδεινώθηκαν όταν χρήστης κοινωνικού δικτύου ανέφερε δημοσίως το επίθετό του, γεγονός που –κατά την άποψή του– τον εξέθεσε περαιτέρω και έθεσε σε κίνδυνο την επαγγελματική του πορεία. Υποστήριξε ακόμη ότι ο εκδοτικός οίκος δεν προέβη σε καμία από τις ενέργειες που προβλέπονται από τον Γενικό Κανονισμό Προστασίας Δεδομένων, δηλαδή δεν ενημέρωσε ούτε την Αρχή ούτε τον ίδιο για την παραβίαση, παρότι αυτή ενδέχεται να δημιουργεί υψηλό κίνδυνο για τα δικαιώματά του.

Κληθείσα από την Αρχή να παράσχει εξηγήσεις, η καταγγελλόμενη εταιρεία υποστήριξε ότι ουδεμία παράβαση επήλθε και ότι ο καταγγέλλων στρέφεται εναντίον της στο πλαίσιο μιας ευρύτερης δικαστικής αντιδικίας. Ισχυρίστηκε πως η αναγραφή των προσωπικών στοιχείων του συγγραφέα στο email εξυπηρετούσε καθαρά λειτουργικό σκοπό, δηλαδή την ταυτοποίηση για την επιστροφή βιβλίων, και πως δεν υπήρχε πρόθεση κοινολόγησης. Επιπλέον, υποστήριξε ότι δεν αποδεικνύεται οικονομική ή ηθική ζημία του καταγγέλλοντος, ούτε ότι η ανάρτηση σε κοινωνικό δίκτυο σχετιζόταν με ενέργεια της εταιρείας.

Κατά την ακρόαση ενώπιον της Αρχής, ο καταγγέλλων υποστήριξε ότι η παραβίαση συνιστά αντικειμενικό γεγονός, ανεξάρτητο από την πρόθεση του υπευθύνου επεξεργασίας, και πως το ψευδώνυμό του είναι δηλωτικό του σεξουαλικού του προσανατολισμού. Επομένως, η συνδυασμένη αποκάλυψη του πραγματικού του ονόματος και του ψευδωνύμου του επέφερε αποκάλυψη ευαίσθητων δεδομένων. Επεσήμανε επίσης ότι η εταιρεία δεν εφαρμόζει οργανωτικά ή τεχνικά μέτρα προστασίας, ούτε διαθέτει πολιτική διαχείρισης προσωπικών δεδομένων, μολονότι είχε δεσμευθεί συμβατικά να θεωρεί το πραγματικό του όνομα εμπιστευτικό.

Από την πλευρά της, η εταιρεία ανέφερε ότι παρόλο που έχει τη μορφή ανώνυμης εταιρείας, εντούτοις δεν χαρακτηρίζεται ως ψυχρή εμπορική επιχείρηση με στόχο αποκλειστικά το κέρδος, καθώς στηρίζεται σε προσωπικές σχέσεις εμπιστοσύνης με τους συγγραφείς της. Παράλληλα, υποστήριξε ότι όλοι οι παραλήπτες του μηνύματος εμφανίζονται με τον ίδιο τρόπο, ήτοι με έναν κωδικό πελάτη ο καθένας και στη συνέχεια με τα περαιτέρω στοιχεία του εκάστοτε παραλήπτη. Η αποστολή του εν λόγω μηνύματος έλαβε χώρα αποκλειστικά για την εκτέλεση της σύμβασης μεταξύ της καθ’ ης και των συμβεβλημένων με αυτήν και ο τρόπος αναγραφής των παραληπτών αφορά σε λειτουργικούς και λογιστικούς σκοπούς της καθ’ ης, ενώ ουδεμία «δημοσιοποίηση» έλαβε χώρα.

Η Αρχή, εξετάζοντας τα πραγματικά περιστατικά και τις σχετικές διατάξεις του ΓΚΠΔ, έκρινε ότι το email που εστάλη από την εταιρεία περιείχε δεδομένα προσωπικού χαρακτήρα, καθώς ανέφερε το όνομα, τη διεύθυνση, το ψευδώνυμο και τον ΑΦΜ του καταγγέλλοντος, τα οποία έγιναν γνωστά σε πενήντα πέντε παραλήπτες. Όπως μάλιστα παρατήρησε, «λόγω δε της αναφοράς του ψευδωνύμου του καταγγέλλοντος, του οποίου η συγγραφική-καλλιτεχνική δραστηριότητα είναι άμεσα συνυφασμένη με το σεξουαλικό προσανατολισμό του και την ιδιότητά του ως ανήκοντος σε έμφυλη μειονότητα, με το επίμαχο μήνυμα κατέστησαν γνωστά προσωπικά δεδομένα ειδικής κατηγορίας κατ’ άρθρο 9 ΓΚΠΔ».

Η Αρχή διαπίστωσε ότι η εταιρεία δεν είχε λάβει ούτε στοιχειώδη μέτρα για την αποφυγή τέτοιων περιστατικών, όπως η χρήση κρυφής κοινοποίησης ή η αποστολή ατομικών μηνυμάτων, ούτε είχε αναπτύξει πολιτικές προστασίας δεδομένων από τον σχεδιασμό, όπως επιβάλλει το άρθρο 25 ΓΚΠΔ.

Επιπλέον, η εταιρεία δεν προέβη σε καμία ενέργεια μετά την παραβίαση: δεν ενημέρωσε την Αρχή εντός 72 ωρών, όπως απαιτεί το άρθρο 33, ούτε ενημέρωσε το υποκείμενο των δεδομένων, μολονότι η παραβίαση ενδέχεται να θέτει σε υψηλό κίνδυνο τα δικαιώματά του, όπως ορίζει το άρθρο 34 ΓΚΠΔ. Η Αρχή σημείωσε ότι η αποκάλυψη αυτή ήταν ικανή να προκαλέσει υλική και ηθική ζημία, να βλάψει τη φήμη και την επαγγελματική εξέλιξη του καταγγέλλοντος και να επιφέρει ψυχικό κλονισμό, καθώς η ταυτότητα φύλου και η σεξουαλικότητα αποτελούν ιδιαιτέρως ευαίσθητα πεδία προστασίας.

Κατόπιν αυτών, η ΑΠΔΠΧ διαπίστωσε τέσσερις παραβάσεις: πρώτον, παραβίαση του άρθρου 5 παρ. 1 στοιχείο στ’ και του άρθρου 32 παρ. 1 του ΓΚΠΔ ως προς την ασφάλεια της επεξεργασίας· δεύτερον, παραβίαση του άρθρου 25 παρ. 1 περί προστασίας των δεδομένων από τον σχεδιασμό· τρίτον, παραβίαση του άρθρου 33 παρ. 1 λόγω μη γνωστοποίησης της παραβίασης στην Αρχή· και τέταρτον, παραβίαση του άρθρου 34 παρ. 1 επειδή δεν ενημερώθηκε ο καταγγέλλων.

Για την επιμέτρηση της κύρωσης, η Αρχή έλαβε υπόψη την φύση και τη σοβαρότητα της παράβασης, τον αριθμό των επηρεαζόμενων προσώπων, το γεγονός ότι τα δεδομένα αφορούσαν ειδική κατηγορία, την πλήρη απουσία ενεργειών διερεύνησης ή μετριασμού, καθώς και το ότι δεν είχε προηγηθεί άλλη παράβαση από την εταιρεία. Επίσης, συνυπολόγισε το περιορισμένο μέγεθος της επιχείρησης και τον ετήσιο κύκλο εργασιών της.

Για τις διαπιστωθείσες παραβάσεις, η Αρχή επέβαλε πρόστιμο συνολικού ύψους 9.000 ευρώ, κατανεμημένο ως εξής:

- 3.000 ευρώ για την παραβίαση των άρθρων 5 και 32 σχετικά με την ασφάλεια της επεξεργασίας,

- 2.000 ευρώ για την παραβίαση του άρθρου 25 σχετικά με την προστασία των δεδομένων από τον σχεδιασμό, και

- 4.000 ευρώ για την παραβίαση των άρθρων 33 και 34 περί μη γνωστοποίησης και ενημέρωσης. Παράλληλα, απηύθυνε εντολή συμμόρφωσης προς την εταιρεία να καταρτίσει και να εφαρμόσει πολιτική διαχείρισης περιστατικών παραβίασης δεδομένων και να ενημερώσει σχετικά την Αρχή εντός εύλογου χρόνου.

Πηγή: dpa.gr