Πρόστιμα πάνω από 9 εκατομμύρια ευρώ σε ΟΤΕ και Cosmote για παραβιάσεις Προσωπικών Δεδομένων

gdpr ote

Πρόστιμα συνολικού ύψους 9,25 εκατ. ευρώ επέβαλλε η Αρχή Προστασίας Προσωπικών Δεδομένων σε Cosmote και ΟΤΕ για την διαρροή προσωπικών δεδομένων καταναλωτών που είχε πραγματοποιηθεί στις αρχές Σεπτεμβρίου του 2020. Το αρχείο που διέρρευσε περιείχε δεδομένα κλήσεων των συνδρομητών για το χρονικό διάστημα 1.9.2020 – 5.9.2020 με τα εξής στοιχεία:

Τηλεφωνικός αριθμός Α, τηλεφωνικός αριθμός B, συντεταγμένες σταθμών βάσης, διεθνής ταυτότητα εξοπλισμού κινητής τηλεφωνίας, διεθνής ταυτότητα συνδρομητή κινητής τηλεφωνίας , χρονική σήμανση, διάρκεια κλήσης, ένδειξη παρόχου, τιμολογιακό πρόγραμμα συνδρομητή, ηλικία, φύλο, μέσο έσοδο ανά χρήστη.

Η Αρχή ανακοίνωσε:

Κατόπιν γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων εκ μέρους της εταιρείας COSMOTE, η Αρχή διερεύνησε τις συνθήκες υπό τις οποίες έλαβε χώρα το περιστατικό και, στο πλαίσιο αυτό, εξέτασε τη νομιμότητα της τήρησης των αρχείων που διέρρευσαν καθώς και τα εφαρμοζόμενα μέτρα ασφάλειας.

Πρόκειται για ένα αρχείο που περιλαμβάνει δεδομένα* κίνησης των συνδρομητών και το οποίο, αφενός μεν, τηρείται με σκοπό τη διαχείριση προβλημάτων και βλαβών για 90 ημέρες από την πραγματοποίηση των κλήσεων, αφετέρου δε, το αρχείο «ανωνυμοποιείται» (ψευδωνυμοποιείται) και τηρείται για 12 μήνες με σκοπό την εξαγωγή στατιστικών συμπερασμάτων προς τον βέλτιστο σχεδιασμό του δικτύου κινητής τηλεφωνίας, αφού εμπλουτιστεί με επιπλέον απλά προσωπικά δεδομένα.

Από τη διερεύνηση της υπόθεσης προέκυψε παράβαση, εκ μέρους της COSMOTE, της αρχής της νομιμότητας (άρθρα 5 και 6 ν. 3471/2006) και της αρχής της διαφάνειας, λόγω ασαφούς και ελλιπούς ενημέρωσης των συνδρομητών (άρθρο 5 παρ. 1 α) και 13-14 Γενικού Κανονισμού Προστασίας Δεδομένων - ΓΚΠΔ):

παράβαση του άρθρου 35 παρ. 7 ΓΚΠΔ λόγω πλημμελούς διεξαγωγής της εκτίμησης αντικτύπου,
παράβαση των άρθρων 25 παρ. 1 λόγω πλημμελούς υλοποίησης της διαδικασίας ανωνυμοποίησης,
παράβαση του άρθρου 12 παρ. 1 ν. 3471/2006 λόγω ελλιπών μέτρων ασφαλείας και
παράβαση του άρθρου 5 παρ. 2 σε συνδυασμό με τα άρθρα 26 και 28 λόγω μη κατανομής των ρόλων των δύο εταιρειών σε σχέση με την υπό κρίση επεξεργασία.
Επίσης, διαπιστώθηκε, εκ μέρους του ΟΤΕ, παράβαση του άρθρου 32 ΓΚΠΔ λόγω ελλιπών μέτρων ασφάλειας σε σχέση με τις υποδομές που χρησιμοποιήθηκαν στο πλαίσιο του περιστατικού.

Για τις διαπιστωθείσες παραβάσεις και λαμβανομένων υπόψη των κριτηρίων του άρθρου 83 παρ. 2 ΓΚΠΔ, η Αρχή επέβαλε στην COSMOTE πρόστιμο συνολικού ύψους 6.000.000 €, καθώς και κύρωση διακοπής της επεξεργασίας και καταστροφής δεδομένων, ενώ στον ΟΤΕ επέβαλε πρόστιμο ύψους 3.250.000 €.

Η ALPHA PLAN CONSULTANTS με σκοπό την πληρέστερη κάλυψη των αναγκών των Πελατών της, αναλαμβάνει τη σύνταξη της μελέτης GDPR, ενώ παράλληλα συνδράμει και στην εφαρμογή αυτής, προκειμένου η επιχείρηση να είναι πλήρως συμμορφωμένη στις απαιτήσεις που θέτει ο Κανονισμός, να μπορεί να αντιμετωπίσει οποιοδήποτε περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα και να είναι άριστα προετοιμασμένη να δεχθεί οποιοδήποτε έλεγχο από την Αρχή Προστασίας Προσωπικών Δεδομένων.

Δείτε αναλυτικά την Απόφαση της Αρχής