ΔΙΟΙΚΗΤΙΚΑ ΕΓΓΡΑΦΑ Απόφ.ΑΠΔΠΧ 2/2024 Μη ορισμός ΥΠΔ και μη συνεργασία Υπουργείου με την Αρχή

Εμφάνιση περισσότερων Εμφάνιση λιγότερων Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Περίληψη

Στο πλαίσιο μιας ευρύτερης πρωτοβουλίας του ΕΣΠΔ, η Αρχή, όπως και η πλειονότητα των μελών του ΕΣΠΔ, ανέλαβε από κοινού την εξέταση του θέματος "Ο ορισμός και η θέση του υπεύθυνου προστασίας δεδομένων", και απέστειλε στο πλαίσιο του ελέγχου αυτού ένα ενιαίο ερωτηματολόγιο σχετικά με τον ορισμό και τη θέση του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ) σε επιλεγμένους φορείς του δημοσίου. Το Υπουργείο δεν είχε ορίσει ΥΠΔ για ορισμένο χρονικό διάστημα, ούτε απάντησε εμπροθέσμως στην Αρχή, και για τους λόγους αυτούς επιβλήθηκαν διοικητικές κυρώσεις σύμφωνα με τον ΓΚΠΔ και τον ν. 4624/2019. ΚΥΡΩΣΗ: πρόστιμο 25.000 ευρώ

Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Διοικητικό Έγγραφο

ΑΠΟΦΑΣΗ 2/2024
Αθήνα, 29-01-2024
Αριθ. Πρωτ.: 423
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Προέδρου της μέσω τηλεδιάσκεψης, την 23-01-2024, προκειμένου να εξετάσει την υπόθεση, που αναφέρεται κατωτέρω στο ιστορικό της παρούσας απόφασης. Παρέστησαν ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος και τα τακτικά μέλη της Κωνσταντίνος Λαμπρινουδάκης, Σπυρίδων Βλαχόπουλος, Χρήστος Καλλονιάτης, Αικατερίνη Ηλιάδου, Γρηγόριος Τσόλιας και το αναπληρωματικό μέλος Νικόλαος Λίβος, ως εισηγητής σε αντικατάσταση του τακτικού μέλους Χαράλαμπου Ανθόπουλου, ο οποίος αν και εκλήθη νομίμως εγγράφως, δεν παρέστη λόγω κωλύματος. Παρούσες χωρίς δικαίωμα ψήφου ήταν οι Ελένη Μαραγκού, ειδική επιστήμονας- νομικός, Γεωργία Παναγοπούλου και Αικατερίνη Χατζηδιάκου, ειδικοί επιστήμονες - πληροφορικοί, ως βοηθοί εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων, ως γραμματέας.
Η Αρχή έλαβε υπόψη της τα κάτωθι:
Στο πλαίσιο μιας ευρύτερης πρωτοβουλίας του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (εφεξής, ΕΣΠΔ), η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής, Αρχή), όπως και η πλειοψηφία των μελών του ΕΣΠΔ αναλαμβάνει από κοινού την εξέταση ενός θέματος με συντονισμένο τρόπο. Για το 2023, το ΕΣΠΔ αποφάσισε να δώσει προτεραιότητα στο θέμα "Ο ορισμός και η θέση του υπεύθυνου προστασίας δεδομένων". Για το σκοπό αυτό, το ΕΣΠΔ ανέπτυξε ένα ενιαίο ερωτηματολόγιο σχετικά με τον ορισμό και τη θέση του Υπευθύνου Προστασίας Δεδομένων (εφεξής, ΥΠΔ), το οποίο η Αρχή υιοθέτησε και απέστειλε σε επιλεγμένους φορείς του δημοσίου.
Η Αρχή ως συμμετέχον μέλος σε αυτή τη δράση έχει επιπλέον επιλέξει να συμμετάσχει ασκώντας τις εξουσίες έρευνας, που διαθέτει δυνάμει του άρθρου 58 ΓΚΠΔ, προκειμένου να ελέγξει τον ορισμό και τη θέση του ΥΠΔ στον δημόσιο τομέα ενόψει της εκ του νόμου υφιστάμενης υποχρέωσης για ορισμό ΥΠΔ (άρθρα 37-39 ΓΚΠΔ και άρθρα 6-8 του ν. 4624/2019).
Η ομάδα συντονισμένης δράσης της Αρχής αποτελούμενη από τις ειδικούς επιστήμονες Ε. Μαραγκού, Γ. Παναγοπούλου και Α. Χατζηδιάκου απέστειλε το ερωτηματολόγιο σε 31 φορείς του δημοσίου στις 03-05-2023. Μεταξύ αυτών ήταν και το Υπουργείο ... (εφεξής, υπεύθυνος επεξεργασίας) στον οποίο η ομάδα συντονισμένης δράσης απέστειλε το ερωτηματολόγιο με το υπ’ αριθ. πρωτ. .../03-05-2023 έγγραφο με καταληκτική ημερομηνία υποβολής του μέσω του συνδέσμου EUsurvey στις 19-05-2023. Ο υπεύθυνος επεξεργασίας δεν ανταποκρίθηκε στο ανωτέρω έγγραφο. Η Αρχή έστειλε εκ νέου το ερωτηματολόγιο στον υπεύθυνο επεξεργασίας με το υπ’ αριθ. πρωτ. .../26-05-2023 έγγραφο, στο οποίο ο υπεύθυνος επεξεργασίας κλήθηκε εκ νέου να απαντήσει μέχρι τις 31-05-2023. Ο υπεύθυνος επεξεργασίας δεν ανταποκρίθηκε παρά τις τηλεφωνικές οχλήσεις, που πραγματοποιήθηκαν από μέλος της ομάδας συντονισμένης δράσης. Κατά τη διάρκεια των επικοινωνιών αυτών προέκυψε η πληροφορία ότι κατά τη δεδομένη χρονική περίοδο ο υπεύθυνος επεξεργασίας βρισκόταν σε διαδικασία αναζήτησης ΥΠΔ ή και ανανέωσης της σύμβασης του ΥΠΔ. Βάσει του μητρώου ΥΠΔ που τηρεί η Αρχή, ο υπεύθυνος επεξεργασίας έχει υποβάλει την υπ’ αριθ. πρωτ. .../14-10-2021 ανακοίνωση στοιχείων επικοινωνίας του ΥΠΔ, ως όφειλε σύμφωνα με το άρθρο 37 παρ. 1 και 7.
Στη συνέχεια και αφού η Αρχή εξέτασε τα στοιχεία του φακέλου, απέστειλε την υπ’ αριθ. πρωτ. .../28-11-2023 κλήση προς τον υπεύθυνο επεξεργασίας προκειμένου να συζητηθεί η εν λόγω υπόθεση ενώπιον της Ολομέλειας της Αρχής την Τρίτη 19 Δεκεμβρίου 2023. Κατόπιν της λήψης της κλήσης του στην Ολομέλεια της Αρχής, ο υπεύθυνος επεξεργασίας απέστειλε στην Αρχή το υπ’ αριθ. πρωτ. .../15-12-2023 υπόμνημα, στο οποίο αναφέρεται, αφενός ότι η θητεία του προηγούμενου ΥΠΔ είχε λήξει στις 04-08- 2022, και αφετέρου ότι δεν είχε ανανεωθεί λόγω έλλειψης της αναγκαίας πίστωσης. Τελικά εγκρίθηκε και υπεγράφη σύμβαση ανάθεσης υπηρεσιών του ΥΠΔ στις 20-06-2023 με διάρκεια δυο (2) έτη. Για το ενδιάμεσο διάστημα, κατά το οποίο δεν υπήρχε ορισμένος ΥΔΠ, αναφέρεται ότι υφίστατο σχέδιο προστασίας και ασφάλειας προσωπικών δεδομένων και ότι τα υποκείμενα των δεδομένων δεν υπέστησαν ουδεμία ζημία. Επιπλέον, κατά τους ισχυρισμούς του υπεύθυνου επεξεργασίας, από την ανωτέρω απάντησή του προκύπτουν εμμέσως οι απαντήσεις στο εν λόγω ερωτηματολόγιο, όπως η περιγραφή του ρόλου, των καθηκόντων, της εμπειρίας και των επαγγελματικών προσόντων του ΥΠΔ. Τέλος, ο υπεύθυνος επεξεργασίας υποστηρίζει στο υπόμνημά του ότι υπάλληλος της Διεύθυνσης Διοικητικής Οργάνωσης και Εποπτείας Νομικών Προσώπων του υπεύθυνου επεξεργασίας μετά την παραλαβή της δεύτερης επιστολής στις 26-05-2023 προέβη άμεσα στην συμπλήρωση και υποβολή του ερωτηματολογίου, η οποία όμως δεν κατέστη δυνατή λόγω τεχνικού σφάλματος.
Στην εν λόγω συνεδρίαση, η οποία πραγματοποιήθηκε δια ζώσης, ήταν παρόντες εκ μέρους του υπεύθυνου επεξεργασίας, οι Θωμαΐς Κουρτέση Πάρεδρος Νομικού Συμβουλίου του Κράτους με ΑΜΝΣ, A … Διεύθυνσης Διοικητικής Οργάνωσης και Εποπτείας Νομικών Προσώπων του Υπουργείου και ο Β που εκτελεί καθήκοντα ΥΠΔ του υπεύθυνου επεξεργασίας, προκειμένου να παράσχουν διευκρινίσεις επί της υπόθεσης. Εν συνεχεία, και όπως ζητήθηκε κατά τη διάρκεια της συνεδρίασης, ο υπεύθυνος επεξεργασίας υπέβαλε το υπ’ αριθ. πρωτ. Αρχής .../20-12-2023 υπόμνημα με το συμπληρωμένο ερωτηματολόγιο.
Η Αρχή, έπειτα από εξέταση των στοιχείων του φακέλου και όσων προέκυψαν από την ενώπιόν της ακροαματική διαδικασία και τα υπομνήματα του υπεύθυνου επεξεργασίας, με τα συμπληρωματικά έγγραφα αυτών, αφού άκουσε τον εισηγητή και τις διευκρινίσεις από τις βοηθούς εισηγητή, οι οποίες παρέστησαν χωρίς δικαίωμα ψήφου, κατόπιν διεξοδικής συζητήσεως,
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ
1. Επειδή, από τις διατάξεις των άρθρων 51 και 55 του ΓΚΠΔ και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων και να ασκεί τις εξουσίες που τις ανατίθενται σύμφωνα με τον ανωτέρω κανονισμό.
2. Επειδή σύμφωνα με τους ορισμούς του άρθρου 58 του ΓΚΠΔ «1. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες εξουσίες έρευνας: α) να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση, στον εκπρόσωπο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων της, β) να διεξάγει έρευνες με τη μορφή ελέγχων για την προστασία των δεδομένων,… δ) να ειδοποιεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση του παρόντος κανονισμού, ε) να αποκτά, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της…».
3. Επειδή σύμφωνα με τους ορισμούς των άρθρων 13 και 15 του ν. 4624/2019 αντίστοιχα προβλέπεται ότι : «1. Επιπλέον των καθηκόντων της δυνάμει του άρθρου 57 του ΓΚΠΔ, η Αρχή: ...η) διενεργεί αυτεπαγγέλτως ή κατόπιν καταγγελίας έρευνες ή ελέγχους για την εφαρμογή του παρόντος νόμου και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και βάσει πληροφοριών από άλλη δημόσια αρχή…» και «1. Εκτός των προβλεπομένων στο άρθρο 58 του ΓΚΠΔ εξουσιών, η Αρχή διενεργεί αυτεπαγγέλτως ή κατόπιν καταγγελίας έρευνες και ελέγχους ως προς τη συμμόρφωση με τον παρόντα νόμο στο πλαίσιο των οποίων ελέγχονται η τεχνολογική υποδομή και άλλα, αυτοματοποιημένα ή μη μέσα, που υποστηρίζουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Κατά τη διενέργεια των ερευνών και ελέγχων η Αρχή έχει την εξουσία να αποκτά από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας και όλες τις πληροφορίες που απαιτούνται για τους σκοπούς του σχετικού ελέγχου και την εκτέλεση των καθηκόντων της, χωρίς να μπορεί να της αντιταχθεί κανενός είδους απόρρητο…».
4. Επειδή σύμφωνα με τους ορισμούς του άρθρου 31 του ΓΚΠΔ: «Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, κατά περίπτωση, οι εκπρόσωποί τους συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή για την άσκηση των καθηκόντων της.»
5. Επειδή σύμφωνα με τους ορισμούς του άρθρου 37 του ΓΚΠΔ: «1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία: α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαστικής τους ιδιότητας,… 3. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ένας μόνο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για πολλές τέτοιες αρχές ή πολλούς τέτοιους φορείς, λαμβάνοντας υπόψη την οργανωτική τους δομή και το μέγεθός τους…5. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39. 6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών. 7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή.»
6. Επειδή σύμφωνα με τους ορισμούς του άρθρου 38 του ΓΚΠΔ «1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα. 2. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 39 παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του. 3. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. 4. Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού. 5. Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους. 6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.»
7. Επειδή σύμφωνα με τους ορισμούς του άρθρου 39 του ΓΚΠΔ: «1. Ο υπεύθυνος προστασίας δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα: α) ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων, β) παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων, γ) παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35, δ) συνεργάζεται με την εποπτική αρχή, ε) ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα. 2. Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας».
8. Στην προκειμένη περίπτωση από τα στοιχεία του φακέλου της υπόθεσης προκύπτει ότι ο υπεύθυνος επεξεργασίας δεν προέβη εμπροθέσμως στην υποβολή του ανωτέρω ερωτηματολογίου ενώ, επίσης, δεν προέβη σε επικοινωνία με την Αρχή το κρίσιμο χρονικό διάστημα κατά το οποίο σύμφωνα με τον ισχυρισμό του δεν κατέστη τεχνικά δυνατή η υποβολή του συμπληρωμένου ερωτηματολογίου, αλλά ούτε και μεταγενέστερα, ώστε να ενημερώσει την Αρχή σχετικά. Ο ισχυρισμός δε αυτός, προβλήθηκε μόνο κατά την παρουσία του υπευθύνου στη συνεδρίαση της Ολομέλειας της Αρχής. Επιπροσθέτως, διαπιστώθηκε ότι για το χρονικό διάστημα από 04-08-2022 έως 20-06-2023 ο υπεύθυνος επεξεργασίας δεν είχε ορίσει ΥΠΔ.
9. Συνεπώς βάσει των ανωτέρω η Αρχή διαπιστώνει τις εξής παραβάσεις για το Υπουργείο ...:
α. Παράβαση του άρθρου 31 αναφορικά με τη συνεργασία του υπεύθυνου επεξεργασίας με την Αρχή.
β. Παράβαση του άρθρου 37 αναφορικά με τον μη ορισμό ΥΠΔ για το χρονικό διάστημα από 04-08-2022 έως 20-06-2023.
10. Με βάση τα ανωτέρω, η Αρχή κρίνει ότι συντρέχει περίπτωση άσκησης των εκ του άρθρου 58 παρ. 2 ΓΚΠΔ διορθωτικών εξουσιών της και επιβολής διοικητικής κυρώσεως σε σχέση με τις διαπιστωθείσες παραβάσεις.
11. Η Αρχή κρίνει περαιτέρω ότι πρέπει, με βάση τις παραβάσεις που διαπιστώθηκαν, να επιβληθεί, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ ΓΚΠΔ, αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο, συμφώνως προς τα άρθρα 83 ΓΚΠΔ και 39 του Ν. 4624/2019, στον υπεύθυνο επεξεργασίας.
12. Περαιτέρω, η Αρχή έλαβε υπόψη τα κριτήρια επιμέτρησης του προστίμου που ορίζονται στο άρθρο 83, παρ. 2 του ΓΚΠΔ, τις παραγράφους 4 και 5 του ίδιου άρθρου που έχουν εφαρμογή στην παρούσα υπόθεση, το άρθρο 39 παρ. 1 και 2 του ν. 4624 που αφορά την επιβολή διοικητικών κυρώσεων στους φορείς του δημόσιου τομέα και τις Κατευθυντήριες Γραμμές 04/2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένωνγια τον υπολογισμό των διοικητικών προστίμων υπό τον ΓΚΠΔ οι οποίες εγκρίθηκαν στις 24/5/2023, καθώς και τα πραγματικά δεδομένα της εξεταζόμενης υπόθεσης και ιδίως τα εξής:
i) Το γεγονός ότι ο υπεύθυνος επεξεργασίας, ως δημόσιος φορέας, δεν είχε ορίσει ΥΠΔ για ορισμένο χρονικό διάστημα, παρά την υποχρέωση που έχει, και μάλιστα για μεγάλο χρονικό διάστημα.
ii) Το γεγονός ότι δεν προκύπτει υλική βλάβη για τα υποκείμενα των δεδομένων, καθώς επίσης ότι δεν μπορεί να βεβαιωθεί ο αριθμός πιθανώς επηρεαζόμενων υποκειμένων των δεδομένων.
iii) Το γεγονός ότι ο υπεύθυνος επεξεργασίας επέδειξε δυσχέρεια στη συνεργασία με την Αρχή, παραλείποντας να παράσχει εγκαίρως τις πληροφορίες που του ζητήθηκαν.
iv) Το γεγονός ότι αν και εκπροθέσμως ο υπεύθυνος επεξεργασίας υπέβαλε το ανωτέρω ερωτηματολόγιο.
v) Tο γεγονός ότι δεν έχει διαπιστωθεί προηγούμενη αντίστοιχη παράβαση από τον υπεύθυνο επεξεργασίας.
vi) Το γεγονός ότι ήδη υπεγράφη από τον υπεύθυνο επεξεργασίας σύμβαση ανάθεσης για τη θέση του ΥΠΔ με διετή θητεία (2023 -2024).
Η Αρχή κρίνει ότι, με βάση τις παραβάσεις που διαπιστώθηκαν, η κύρωση που αναφέρεται στο διατακτικό της απόφασης είναι το αποτελεσματικό, αναλογικό και αποτρεπτικό μέτρο τόσο προς αποκατάσταση της συμμόρφωσης, όσο και για την τιμωρία της παράνομης συμπεριφοράς.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή λαμβάνοντας υπόψη τα παραπάνω:
α) Επιβάλλει με βάση το άρθρο 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, διοικητικό πρόστιμο στο Υπουργείο Αγροτικής Ανάπτυξης και Τροφίμων συνολικού ύψους 5.000 ευρώ, για την παράβαση του άρθρου 31 του Κανονισμού (ΕΕ) 2016/679,
β) Επιβάλλει με βάση το άρθρο 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, διοικητικό πρόστιμο στο Υπουργείο Αγροτικής ανάπτυξης και Τροφίμων συνολικού ύψους 20.000 ευρώ, για την παράβαση του άρθρου 37 του Κανονισμού (ΕΕ) 2016/679.
Ο Πρόεδρος
Κωνσταντίνος Μενουδάκος
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου
anchor link
Εγγραφήκατε επιτυχώς στο newsletter!
Η εγγραφή στο newsletter απέτυχε. Παρακαλώ δοκιμάστε αργότερα.
Αρθρογραφία, Νομολογία ή Σχόλια | Άμεση ανάρτηση | Επώνυμη ή ανώνυμη | Προβολή σε χιλιάδες χρήστες σε όλη την Ελλάδα