Στις 27 Νοεμβρίου 2024 η ανεξάρτητη Αρχή Προστασίας Δεδομένων (ΑΠΔ) δημοσίευσε απόφαση, με την οποία διαπίστωσε ότι το υπουργείο Κλιματικής Κρίσης και Πολιτικής Προστασίας προέβη σε παραβίαση σωρείας διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), γεγονός που οδήγησε την ανεξάρτητη Αρχή στην επιβολή τριών διοικητικών προστίμων συνολικού ύψους 50.000 ευρώ σε βάρος του υπουργείου, αρμοδιότητα που προκύπτει από το άρθρο 58 παρ. 2 του ΓΚΠΔ.
Ας δούμε αναλυτικά ποιες διατάξεις του ΓΚΠΔ παραβιάστηκαν εκ μέρους του υπουργείου Κλιματικής Κρίσης και Πολιτικής Προστασίας, καθώς και τι πρόστιμα επιβλήθηκαν.
Πρώτον, η ΑΠΔ επέβαλε πρόστιμο 5.000 ευρώ, καθώς το υπουργείο δεν υπέβαλε εμπρόθεσμα ερωτηματολόγιο το οποίο η ανεξάρτητη Αρχή τού είχε αποστείλει προς συμπλήρωση αναφορικά με τον Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ) που οφείλουν να διαθέτουν οι δημόσιες υπηρεσίες.
Το εν λόγω ερωτηματολόγιο, με θέμα «Ο ορισμός και η θέση του υπεύθυνου προστασίας δεδομένων», εστάλη εκ μέρους της ΑΠΔ σε επιλεγμένους φορείς του Δημοσίου, στο πλαίσιο μιας ευρύτερης πρωτοβουλίας του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ). Ωστόσο, το υπουργείο δεν ανταποκρίθηκε εμπρόθεσμα στο αίτημα της ΑΠΔ κατά παράβαση του άρθρου 31 του ΓΚΠΔ, σύμφωνα με το οποίο «ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, κατά περίπτωση, οι εκπρόσωποί τους συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή για την άσκηση των καθηκόντων της».
Δεύτερον, η ΑΠΔ επέβαλε πρόστιμο 25.000 ευρώ, καθώς το υπουργείο δεν διόρισε Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ) κατά παράβαση του άρθρου 37 του ΓΚΠΔ, το οποίο μεταξύ άλλων προβλέπει: «1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία: α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαστικής τους ιδιότητας […] 3. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ένας μόνο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για πολλές τέτοιες αρχές ή πολλούς τέτοιους φορείς, λαμβάνοντας υπόψη την οργανωτική τους δομή και το μέγεθός τους […] 5. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39. 6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών. 7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή».
Τρίτον, η ΑΠΔ επέβαλε πρόστιμο 20.000 ευρώ για παραβιάσεις -εκ μέρους του υπουργείου- των άρθρων 12 και 32 παρ. 1 και 2, σε συνδυασμό προς το άρθρο 5 παρ. 1 στοιχ. α’, γ’, και στ’, καθώς και των άρθρων 25 και 30 του ΓΚΠΔ.
Σύμφωνα με το σκεπτικό της ανεξάρτητης Αρχής, η παραβίαση των παραπάνω διατάξεων προέκυψε από το γεγονός ότι το υπουργείο Κλιματικής Κρίσης και Πολιτικής Προστασίας δεν έλαβε τα κατάλληλα μέτρα, ώστε να παρέχει στους πολίτες διαφανή ενημέρωση σε σχέση με τα δικαιώματά τους, καθώς και διευκόλυνση για την άσκηση αυτών, όπως προβλέπεται στο άρθρο 12 του ΓΚΠΔ. Ακόμη, το υπουργείο δεν προέβη στην εφαρμογή κατάλληλων μέτρων για την προστασία των προσωπικών δεδομένων, όπως προβλέπεται στο άρθρο 25 του ΓΚΠΔ, ενώ δεν τήρησε ούτε αρχείο δραστηριοτήτων κατά παράβαση του άρθρου 30 του ΓΚΠΔ. «Ο υπεύθυνος επεξεργασίας (σ.σ.: το υπουργείο) δεν είχε προβεί στην λήψη και εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων προκειμένου να διασφαλιστεί το κατάλληλο επίπεδο ασφάλειας έναντι κινδύνων, σύμφωνα με τις επιταγές του άρθρου 32 του ΓΚΠΔ», σημείωσε επίσης η ΑΠΔ στο σχετικό χωρίο της απόφασής της.
Σε ένα Κράτος Δικαίου οι δημόσιες Αρχές οφείλουν να τηρούν απαρέγκλιτα την ενωσιακή και εθνική νομοθεσία αναφορικά με την προστασία των προσωπικών δεδομένων των πολιτών κατά τις διαδικασίες νόμιμης επεξεργασίας τους.
Ωστόσο, η έρευνα της ανεξάρτητης Αρχής Προστασίας Δεδομένων (ΑΠΔ) τεκμηρίωσε εν προκειμένω ότι το υπουργείο Κλιματικής Κρίσης και Πολιτικής Προστασίας παραβίασε πλείστες διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (άρθρα 31, 37, 12 και 32 παρ. 1 και 2, σε συνδυασμό προς το άρθρο 5 παρ. 1 στοιχ. α’, γ’, και στ’, καθώς και 25 και 30 του ΓΚΠΔ).
Αριθμός Λογαριασμού: 1100 0232 0016 560
IBAN: GR56 0140 1100 1100 0232 0016 560
BIC: CRBAGRAA
Στον αγώνα μας για Λογοδοσία και Διαφάνεια, απέναντι σε οτιδήποτε υπονομεύει τις αρχές της Δημοκρατίας και του Κράτους Δικαίου.
Γιατί η Δημοκρατία δεν είναι αυτονόητη.
Είναι στο χέρι μας να μη στεκόμαστε απαθείς ή κυνικοί.
Δες πώς μπορείς να μας βοηθήσεις, εδώ!
