Πρόστιμο σε Υπηρεσίες Κοινωνικών Ασφαλίσεων για διαρροή δεδομένων προσωπικού χαρακτήρα

Μετά από τη σχετική διερεύνηση, το Γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κυπριακής Δημοκρατίας, ανακοίνωσε πως επέβαλε πρόστιμο σε Υπηρεσίες Κοινωνικών Ασφαλίσεων μετά από διαρροή δεδομένων προσωπικού χαρακτήρα.

Αναλυτικά, όπως αναφέρει η ανακοίνωση του Γραφείου:

Με αφορμή πληθώρα δημοσιευμάτων στον ημερήσιο έντυπο και ηλεκτρονικό τύπο από τις 12/8/2017 μέχρι τις 18/8/2017 τα οποία έφεραν και /ή ενέπλεκαν εκτός από τη CYTA, την Αστυνομία Κύπρου και τις Υπηρεσίες Κοινωνικών Ασφαλίσεων, υπό την ιδιότητά τους ως ο υπεύθυνος επεξεργασίας του μηχανογραφημένου συστήματος των Υπηρεσιών Κοινωνικών Ασφαλίσεων (ΥΚΑ) σε υπόθεση διαρροής προσωπικών δεδομένων και/ή παραβίασης προσωπικών δεδομένων αριθμού φυσικών προσώπων από τις βάσεις δεδομένων τους, η Επίτροπος αποφάσισε να διερευνήσει την υπόθεση.

Έθεσε υπόψιν των ΥΚΑ τα εν λόγω δημοσιεύματα και ζήτησε επιβεβαίωσή τους, περιγραφή των συνθηκών επέλευσης του περιστατικού, τη φύση της παραβίασης, τα προτεινόμενα μέτρα για ελαχιστοποίηση των επιπτώσεων, τις συνέπειες της παραβίασης και τα εν ισχύ μέτρα ασφάλειας καθώς και τους λόγους για τους οποίους αυτά δεν λειτούργησαν και /ή δεν ήταν αποτελεσματικά ώστε να αποφευχθεί το περιστατικό και τέλος έθεσε υπόψιν τους το ισχύον νομοθετικό πλαίσιο, το οποίο θα αποτελούσε τη νομική βάση για τη διερεύνηση της υπόθεσης.

Στην απαντητική τους επιστολή, οι ΥΚΑ ενημέρωσαν την Επίτροπο μόνο σχετικά με τα ληφθέντα μέτρα ασφάλειας.

Σκεπτικό (συνοπτικά) και κατάληξη

Μετά από αξιολόγηση όλων των στοιχείων που συνέλεξε το Γραφείο της Επιτρόπου για την εξέταση της υπόθεσης και αφού ακούστηκε ο υπεύθυνος επεξεργασίας, η Επίτροπος έκρινε ότι υπήρξε παράβαση του Κανονισμού για τους πιο κάτω λόγους:

• Οι ΥΚΑ παρέλειψαν να παράσχουν στο Γραφείο της Επιτρόπου ορθή, ολοκληρωμένη και πλήρη ενημέρωση σχετικά με το περιστατικό ασφαλείας στο μηχανογραφημένο σύστημα των ΥΚΑ.
• Η Επίτροπος ενημερώθηκε σχετικά με την επέλευση του συμβάντος από την Αστυνομία σύμφωνα με την οποία επιβεβαιώθηκε ότι: Δύο λειτουργοί των ΥΚΑ είχαν πρόσβαση σε προσωπικά δεδομένα πολιτών του μηχανογραφημένου συστήματος των ΥΚΑ στα πλαίσια των καθηκόντων τους. Με τη χρήση των προσωπικών τους κωδικών πρόσβασης εκτύπωναν αποτυπώματα οθόνης (print screen) τα οποία παρέδιδαν ακολούθως παράνομα σε συνταξιούχο αστυνομικό (τρίτο).
• Οι ΥΚΑ δεν απάντησαν σε καίρια και ουσιαστικά ερωτήματα που τους τέθηκαν.
• Τα μέτρα ασφάλειας που λάμβαναν οι ΥΚΑ κατά το ουσιώδες χρονικό σημείο, κρίθηκαν ανεπαρκή.

Η Επίτροπος αφού συνεκτίμησε όλες τις περιστάσεις της υπόθεσης, καθώς και τους παράγοντες που ο υπεύθυνος επεξεργασίας έθεσε ενώπιόν της, κατέληξε ότι οι ΥΚΑ ευθύνονταν για την παράβαση των διατάξεων του άρθρου 32 παρ. (1)(β) και (δ) και παρ. (4) του Κανονισμού, ως αποτέλεσμα των ενεργειών του οποίου υπάλληλοί του προέβησαν σε άνευ αδείας κοινοποίηση σε τρίτο πρόσωπο δεδομένων προσωπικού χαρακτήρα, καταχωρισμένων στο μηχανογραφημένο σύστημα των ΥΚΑ, καθ’ υπέρβαση της εξουσιοδότησής τους και παρά τις εντολές του υπεύθυνου επεξεργασίας.

Επιβλήθηκε στις ΥΚΑ διοικητικό πρόστιμο ύψους €9,000, το οποίο κρίθηκε εύλογο και ανάλογο με βάση το σκεπτικό και την κατάληξη της απόφασης.