Αρχή Προστασίας Προσωπικών Δεδομένων: Πρόστιμο 400.000€ στο ΥΠΕΣ και 40.000€ στην Α.Μ.Ασημακοπούλου για τα emails

Πρόστιμο ύψους 40.000 ευρώ επιβλήθηκε στην Άννα Μισέλ Ασημακοπούλου και 400.000 ευρώ στο υπουργείο Εσωτερικών από την Αρχή Προστασίας Προσωπικών Δεδομένων για το σκάνδαλο με τη διαρροή των emails.

Συγκεκριμένα στην απόφασή της η Αρχή Προστασίας Προσωπικών Δεδομένων αναφέρει ότι επιβάλει πρόστιμο 40.000 ευρώ στην Άννα Μισέλ Ασημακοπούλου, ως υπεύθυνο επεξεργασίας και της δίνει εντολή «να διαγράψει το σύνολο των δεδομένων των εκλογέων εξωτερικού».

Επιπλέον, επιβάλλεται πρόστιμο στο ΥΠΕΣ 400.000 ευρώ, ως υπεύθυνο επεξεργασίας και επιπλέον δίνει εντολή στο υπουργείο να προβεί στις εξής ενέργειες:

«Με αφορμή το περιστατικό αυτό, θα πρέπει το Υπουργείο να καταγράψει σε
εγκεκριμένες πολιτικές, να ελέγξει και να αναθεωρήσει τις διαδικασίες και τα μέτρα που εφαρμόζει σχετικά με την προστασία προσωπικών δεδομένων κατά την επεξεργασία προσωπικών δεδομένων των εκλογέων, συμπεριλαμβανομένων όσων στοιχείων τηρούνται στο σύστημα ΟΣΥΕΔ αλλά και σε όποιο άλλο σχετιζόμενο σύστημα.

Με τις παραπάνω ενέργειες πρέπει να διασφαλίζονται οι αρχές του άρθρου 5 παρ. 1 του ΓΚΠΔ και ιδίως η εμπιστευτικότητα σε όλη τη διαδικασία εκλογών και να προβλεφθεί διαδικασία περιοδικής αξιολόγησης των μέτρων.

Το Υπουργείο πρέπει εντός τριών μηνών από την κοινοποίηση της παρούσας, να συντάξει σχετικό χρονοδιάγραμμα, στο οποίο θα προσδιορίζονται οι διαδικασίες για την κατάρτιση, την υλοποίηση, την επίβλεψη και την επικαιροποίηση των ανωτέρω και ο χρόνος εκτέλεσής τους, να γνωστοποιήσει αμελλητί στην Αρχή το χρονοδιάγραμμα, και να την ενημερώνει ανά τρίμηνο για την εφαρμογή του. Ως ειδικότερα μέτρα για την αποφυγή, ανίχνευση και διερεύνηση περιστατικών παραβίασης προσωπικών δεδομένων θα πρέπει να προβλεφθούν και εφαρμοστούν αμελλητί τα εξής

1 Συστηματική ανάλυση του θεσμικού πλαισίου της διενέργειας των εκλογών,
προσδιορισμός των διαδικασιών που προϋποθέτουν επεξεργασία προσωπικών δεδομένων, καταγραφή για κάθε διαδικασία των ροών των προσωπικών δεδομένων και των αποδεκτών κάθε είδους δεδομένων.

Στο πλαίσιο της ανάλυσης, θα πρέπει να ελαχιστοποιηθεί η δυνατότητα εκτέλεσης ενεργειών σε σύνολα δεδομένων από φυσικά πρόσωπα (π.χ. υπαλλήλους) ώστε να παραμείνουν οι απόλυτα αναγκαίες. Διαδικασίες οι οποίες είναι επαναλαμβανόμενες πρέπει να εκτελούνται με την ελάχιστη ανθρώπινη παρέμβαση και χωρίς εξαγωγή δεδομένων.

Ειδικότερα προτείνονται:

α) Όλες οι λειτουργίες που απαιτούν μαζική επεξεργασία προσωπικών δεδομένων εκλογέων, και ειδικά δεδομένων επικοινωνίας, να ενσωματωθούν στις εφαρμογές, ώστε οι σύμφωνες με το νόμο επεξεργασίες να πραγματοποιούνται μέσα από το περιβάλλον της εφαρμογής (π.χ αποστολή ενημερωτικών μηνυμάτων στους εκλογείς), με πλήρη καταγραφή ενεργειών.

β) Να εξετασθεί η δυνατότητα χρήσης λογισμικού DLP, ειδικά για τις μονάδες του Υπουργείου που εμπλέκονται σε εξαγωγές αρχείων.

γ) Απαγόρευση διακίνησης μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου ή άλλου τρόπου εσωτερικής επικοινωνίας αρχείων που περιέχουν προσωπικά δεδομένα εκλογέων.

Κατ’ εξαίρεση, εφόσον είναι πραγματικά αναγκαίο, τέτοια διακίνηση μπορεί να γίνει μόνο σε κρυπτογραφημένη μορφή. Στο κάθε μήνυμα θα πρέπει να αναγράφεται ο σκοπός επεξεργασίας και ο σκοπός διακίνησης καθώς και να προκύπτει ο χρόνος τήρησης του αρχείου. Ο κωδικός να γνωστοποιείται με διαφορετικό μέσο. Η διακίνηση αυτή πρέπει να έχει εγκριθεί από αρμόδιο υψηλόβαθμο υπηρεσιακό στέλεχος και η σχετική έγκριση να τηρείται σε αρχείο (audit trail) για επαρκές χρονικό διάστημα.

δ) Αναθεώρηση της διαδικασίας καταγραφής ενεργειών τύπου ερωτημάτων (SELECT) σε πίνακες της βάσης δεδομένων του ΟΣΥΕΔ ή σε άλλα συστήματα που επεξεργάζονται προσωπικά δεδομένα και λήψη μέτρων για τον αυτοματοποιημένο, προληπτικό, έλεγχο των αρχείων καταγραφής

Πολιτική και Σχέδιο ασφάλειας – λοιπά οργανωτικά μέτρα

Με δεδομένο ότι στην Αρχή δεν κατατέθηκε εγκεκριμένη πολιτική ασφάλειας (ή επιμέρους σχέδια ασφάλειας), το Υπουργείο οφείλει να επικαιροποιήσει την Πολιτική Ασφάλειας που εφαρμόζει και τα συνοδευτικά αυτής επιμέρους σχέδια ασφάλειας τα οποία αφορούν επεξεργασία προσωπικών δεδομένων εκλογέων ώστε:

α) Να περιλαμβάνονται τα συστήματα διαχείρισης των δεδομένων των εκλογέων και να αποφασιστεί ποιοι από τους προτεινόμενους κανόνες θα υλοποιηθούν (ή να καταγραφεί ποιοι έχουν υλοποιηθεί).

β) Να περιλαμβάνονται κατάλληλες προβλέψεις για ενημέρωση των συμβάσεων με εκτελούντες την επεξεργασία για τις αλλαγές που θα προκύψουν.

γ) Τεκμηρίωση, αναθεώρηση και επικαιροποίηση της διαδικασίας χειρισμού
περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα, με έμφαση στο περιεχόμενο της γνωστοποίησης στην Αρχή, της ενημέρωσης των υποκειμένων, και των κατάλληλων διαδικασιών και οργάνων για την εσωτερική διερεύνηση.

δ) Έλεγχος από ανεξάρτητο οργανισμό ή φορέα, σε τακτική βάση τουλάχιστον ετησίως, της ασφάλειας των συστημάτων και διαδικασιών, συμπεριλαμβανομένης της αποτίμησης των εφαρμοζόμενων μέτρων ασφάλειας.

ε) Ο περιοδικός έλεγχος από το Υπουργείο, τουλάχιστον ετησίως, των τυχόν εκτελούντων

την επεξεργασία ως προς τη λήψη των κατάλληλων μέτρων ασφάλειας.

Μέτρα ενημέρωσης και ευαισθητοποίησης του προσωπικού

Να σχεδιαστεί πρόγραμμα δράσεων ευαισθητοποίησης και εκπαίδευσης τόσο της ηγεσίας όσο και στελεχών κάθε επιπέδου και υπαλλήλων του Υπουργείου για ζητήματα προστασίας προσωπικών δεδομένων, και ειδικά για τις υποχρεώσεις του υπευθύνου επεξεργασίας, τον τρόπο συνεργασίας με την

Αρχή και το ρόλο του ΥΠΔ. Οι δράσεις του προγράμματος θα πρέπει να προβλέπουν δραστηριότητες που κρατούν σε εγρήγορση το προσωπικό του Υπουργείου.

Kλείνοντας την απόφασή της η Αρχή αναφέρει ότι «Αναβάλλει την έκδοση απόφασης ως προς τη Νέα Δημοκρατία και τον Νίκο Θεοδωρόπουλο, κατά τα ανωτέρω αναφερόμενα». Σε προηγούμενο σημείο της απόφασης αναφερόταν σχετικά ότι «Ως προς την Νέα Δημοκρατία και τον κ. Θεοδωρόπουλο, η Αρχή αναβάλλει την έκδοση απόφασης, δεδομένου ότι ο τελευταίος μετά την ακρόαση και την υποβολή υπομνημάτων, προσκόμισε ένορκη βεβαίωση ως νεότερο στοιχείο, το οποίο μπορεί να ληφθεί υπόψη από την Αρχή στο πλαίσιο του αυτεπάγγελτου ελέγχου και από το περιεχόμενο του οποίου προκύπτει η ανάγκη περαιτέρω διερεύνησης των εκεί προβαλλόμενων ισχυρισμών».