ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΣΤΗΡΙΟ

(Συνεκδικαζόμενες Υποθέσεις Αρ.

14/2021, 1387/2021 και 1395/2021)

 

12 Μαΐου 2026

 

[ΜΙΧΑΗΛ, Δ/στης Δ.Δ.]

 

(Υπόθεση Αρ. 14/2021)

 

ΟΜΟΝΟΙΑ ΠΟΔΟΣΦΑΙΡΟ ΛΤΔ

 

Αιτήτρια

 

ν.

 

ΚΥΠΡΙΑΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ, ΜΕΣΩ ΕΠΙΤΡΟΠΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

 

Καθ’ ης η Αίτηση

…………………………

(Υπόθεση Αρ. 1387/2021)

 

ΑΠΟΕΛ ΠΟΔΟΣΦΑΙΡΟ (ΔΗΜΟΣΙΑ) ΛΤΔ

 

Αιτήτρια

 

ν.

 

ΚΥΠΡΙΑΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ, ΜΕΣΩ ΕΠΙΤΡΟΠΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

 

Καθ’ ης η Αίτηση

…………………………

(Υπόθεση Αρ. 1395/2021)

 

HELLENIC TECHNICAL ENTERPRISES LTD

 

Αιτήτρια

 

ν.

 

ΚΥΠΡΙΑΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ, ΜΕΣΩ ΕΠΙΤΡΟΠΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

 

Καθ’ ης η Αίτηση

…………………………

 

X. Χριστοφή για Χριστοφή & Συνεργάτες Δ.Ε.Π.Ε., για την αιτήτρια στην Υπόθεση Αρ. 14/2021.

Ν. Τριανταφυλλίδη (κα) μαζί με ασκούμενη δικηγόρο Β. Καραθανάση (κα) για Χρίστο Μ. Τριανταφυλλίδη, για την αιτήτρια στην Υπόθεση Αρ. 1387/2021.

 

Α. Παπαμιχαήλ (κα) μαζί με ασκούμενους δικηγόρους Α. Αυξεντίου και Κ. Βασιλείου (κα) για Α & Α Κ. Αιμιλιανίδης, Κ. Κατσαρός και Συνεργάτες Δ.Ε.Π.Ε., για την αιτήτρια στην Υπόθεση Αρ. 1395/2021.

 

Θ. Πιπερή – Χριστοδούλου (κα) για Γενικό Εισαγγελέα, για την καθ’ ης η αίτηση.

 

 

Α Π Ο Φ Α Σ Η

 

ΜΙΧΑΗΛ, Δ.Δ.Δ.: Όλες οι αιτήτριες ζητούν την ακύρωση της απόφασης της καθ’ ης η αίτηση ημερομηνίας 6.9.2021 με την οποία έκρινε ότι ενήργησαν κατά παράβαση του Γενικού Κανονισμού Προσωπικών Δεδομένων Κανονισμός ΕΕ 2016/679 (στο εξής ο «Γενικός Κανονισμός») και επέβαλε σε αυτές διοικητικό πρόστιμο ύψους €40.000, €10.000 και €25.000 αντίστοιχα.

 

Διευκρινίζεται ότι η αιτήτρια Αποέλ προσβάλλει μέρος του διοικητικού προστίμου που της επιβλήθηκε και όχι το σύνολο που ήταν €40.000.

 

Στις 26.7.2021 δημοσιογράφος ενημέρωσε την καθ’ ης η αίτηση για κενό ασφάλειας στην ηλεκτρονική πλατφόρμα stadium360.net το οποίο επέτρεπε σε κάποιο χρήστη να εντοπίσει σε εικονίδιο κρατημένης θέσης το ονοματεπώνυμο του φιλάθλου που κράτησε τη θέση και αριθμό ταυτότητάς του και ακολούθως, κάνοντας χρήση των πληροφοριών αυτών, να κατεβάσει την κάρτα φιλάθλου με τη φωτογραφία του συγκεκριμένου προσώπου. Η εν λόγω ηλεκτρονική πλατφόρμα φιλοξενεί ιστοσελίδες αγοράς εισιτηρίων των σωματείων των αιτητριών στις Υποθέσεις Αρ. 14/2021 και 1387/2021 και η αιτήτρια στην Υπόθεση Αρ. 1395/2021 είναι η υπεύθυνη επεξεργασίας δεδομένων. Εφόσον η καθ’ ης η αίτηση διαπίστωσε κατόπιν δοκιμής την παράβαση, ζήτησε με επιστολές ημερομηνίας 28.7.2021 από τις αιτήτριες Ομόνοια και Αποέλ να υποβάλουν γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων και της αποστείλουν τις συμβάσεις ανάθεσης επεξεργασίας με την αιτήτρια Hellenic. Τα στοιχεία υποβλήθηκαν, απαντήθηκαν διευκρινιστικές ερωτήσεις, υποβλήθηκε έκθεση προκαταρκτικού ελέγχου και στις 6.8.2021 η καθ’ ης η αίτηση ενημέρωσε γραπτώς τις αιτήτριες ότι εντοπίζει εκ πρώτης όψεως παράβαση και όπως υποβάλουν τις θέσεις τους μέχρι τις 13.8.2021, προθεσμία που αργότερα παρατάθηκε. Οι αιτήτριες υπέβαλαν γραπτώς τις θέσεις τους και στις 6.9.2021 εκδόθηκαν οι προσβαλλόμενες αποφάσεις.

 

Η αιτήτρια Ομόνοια εισηγείται ότι παραβιάστηκαν οι αρχές της δίκαιης δίκης διότι το κατηγορητήριο δεν αιτιολογήθηκε με αναφορά στα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας που όφειλε να εφαρμόζει η αιτήτρια και κατ’ επέκταση ποιες ήταν οι παραβάσεις και εφόσον η καθ’ ης η αίτηση κατέληγε σε εύρημα παράβασης, τότε να καλείτο η αιτήτρια να παρουσιάσει μετριαστικούς παράγοντες. Εισηγείται επίσης ότι η προσβαλλόμενη απόφαση πάσχει λόγω έλλειψης δέουσας έρευνας και αιτιολογίας, πλάνης περί τα πράγματα και τον νόμο, αναιτιολόγητα ψηλό διοικητικό πρόστιμο, μη ορθή εφαρμογή του Άρθρου 83 του Γενικού Κανονισμού και παραβίαση της αρχής της αναλογικότητας σε σχέση με το ύψος του διοικητικού προστίμου.

 

Η αιτήτρια Αποέλ εισηγείται ότι η προσβαλλόμενη απόφαση πάσχει λόγω πλάνης εφόσον η αιτήτρια δεν είχε υποχρέωση να διενεργήσει penetration test στη βάση των προνοιών των Άρθρων 24(1) και 32(1) του Γενικού Κανονισμού και πάσχει επίσης λόγω υπέρβασης εξουσίας εφόσον τους επιβλήθηκε διπλό πρόστιμο.

 

Η αιτήτρια Hellenic εισηγείται ότι η προσβαλλόμενη απόφαση πάσχει λόγω εσφαλμένης ερμηνείας των Άρθρων 28(1) και 32(1) του Γενικού Κανονισμού, πλάνης περί τα πράγματα εφόσον η αιτήτρια δεν είναι ο εκτελών την επεξεργασία και έλλειψης δέουσας έρευνας εφόσον δεν λήφθηκε υπόψη ότι η αιτήτρια πριν τεθούν σε λειτουργία οι ιστοσελίδες διενήργησε εσωτερικούς ελέγχους οι οποίοι δεν αποκάλυψαν την ανάγκη εφαρμογής πρόσθετων τεχνικών μέτρων.

 

Οι επιστολές της καθ’ ης η αίτηση ημερομηνίας 28.7.2021 προς τους τρεις αιτητές έχουν πανομοιότυπο περιεχόμενο και είναι το ακόλουθο:

 

«Έχει περιέλθει στην αντίληψη μας, όπως αναφέρεται και σε δημοσίευμα στην ιστοσελίδα sigmalive, ότι υπάρχει κενό ασφαλείας στην πλατφόρμα http://tickets.stadium-360.net. Το εν λόγω κενό ασφαλείας, δίνει την δυνατότητα σε μη εξουσιοδοτημένο πρόσωπο να έχει πρόσβαση και να μπορεί αν το επιθυμεί να αποσπάσει προσωπικά δεδομένα φιλάθλων που έχουν χρησιμοποιήσει την εν λόγω πλατφόρμα.

2.      Ήδη έγινε επαλήθευση / επιβεβαίωση από το Γραφείο μας, και έχει εντοπιστεί το κενό ασφάλειας που αφορά στην εν λόγω πλατφόρμα, μέσω της ιστοσελίδας κρατήσεων (https://tickets.stadium-360.net/omonoia). Συγκεκριμένα, μελετώντας την ανταλλαγή δεδομένων μεταξύ του φυλλομετρητή (browser) και της πλατφόρμας, ο χρήστης μπορεί να δει τα στοιχεία των προσώπων που έχουν ήδη κρατήσει θέση για τον εν λόγω αγώνα. Τα στοιχεία που εμφανίζονται είναι ο αριθμός πολιτικής ταυτότητας, ο αριθμός μητρώου ΚΟΑ και το ονοματεπώνυμο των εν λόγω φιλάθλων.

3.      Με βάση το Άρθρο 33 του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΕΕ) 2016/679, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.

4.      Λαμβάνοντας υπόψην τα πιο πάνω, παρακαλούμε όπως:

α) μας αποσταλεί συμπληρωμένο το σχετικό έντυπο γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων που μπορείτε να βρείτε στην ιστοσελίδα μας dataprotection.qov.cy), στο μέρος «Πληροφορίες για οργανισμούς» - «Γνωστοποίηση παραβίασης».

β)      μας ενημερώσετε εάν είχε γίνει δοκιμή διείσδυσης στην πλατφόρμας και να μας κοινοποιήσετε τα αποτελέσματα,

γ)      μας αποστείλετε την σύμβαση ανάθεσης επεξεργασίας με την εταιρεία που παρέχει την εν λόγω πλατφόρμα (βάσει του Άρθρου 28 του Κανονισμού).»

 

Με μεταγενέστερη επιστολή ημερομηνίας 29.7.2021 η καθ’ ης η αίτηση διευκρίνισε προς την αιτήτρια Hellenic ότι το έντυπο γνωστοποίησης παραβίασης προσωπικών δεδομένων δεν την αφορά επειδή είναι εκτελούσα την επεξεργασία αλλά αφορά μόνο τις αιτήτριες Ομόνοια και Αποέλ (βλ. Τεκμήριο 3, έγγραφο 6879958).

 

Στις 29.7.2021 οι αιτήτριες Ομόνοια και Αποέλ ανταποκρίθηκαν υποβάλλοντας «Έντυπο υποβολής γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων» (βλ. Τεκμήριο 1, έγγραφο 6883350 και Τεκμήριο 2 έγγραφο 6883328 αντίστοιχα). Υπέβαλαν επίσης τα υπόλοιπα έγγραφα που τους ζητήθηκαν από την καθ’ ης η αίτηση ως επίσης απάντησαν σε διευκρινιστικές ερωτήσεις που τους ζητήθηκαν.

 

Το Άρθρο 33 του Γενικού Κανονισμού προνοεί ότι:

 

          «                                    Άρθρο 33

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή

1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.

2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.

3. Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 κατ' ελάχιστο:

α) περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,

β) ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες,

γ) περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,

δ) περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

4. Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.

5. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, που συνίστανται στα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.»

 

Δεδομένων των πιο πάνω πραγματικών γεγονότων, συνεπάγεται ότι οι αιτήτριες Ομόνοια και Αποέλ υποβάλλοντας το έντυπο υποβολής γνωστοποίησης αποδέχτηκαν τόσο ότι υπήρξε παραβίαση δεδομένων προσωπικού χαρακτήρα όσο ότι και οι δύο είναι οι υπεύθυνοι επεξεργασίας για σκοπούς του Γενικού Κανονισμού εφόσον σύμφωνα με το Άρθρο 33 η παραβίαση γνωστοποιείται από τον υπεύθυνο επεξεργασίας. Συνεπώς, λόγοι ακύρωσης που προβάλλονται από τις εν λόγω αιτήτριες και άπτονται είτε της παραδοχής της παραβίασης είτε του ρόλου τους ως υπεύθυνου επεξεργασίας προσκρούουν στο δόγμα της επιδοκιμασίας και αποδοκιμασίας.

 

Με βάση την πιο πάνω κατάληξη, εκ μέρους της αιτήτριας Ομόνοιας απορρίπτεται η εισήγηση ότι η καθ’ ης η αίτηση έπρεπε πρώτα να καταλήξει σε εύρημα εκ πρώτης όψεως παραβίασης και αφού ακούσει την αιτήτρια να αποφανθεί τελικά επί της παραβίασης  εφόσον την παραβίαση την αποδέχτηκε εκ των προτέρων η αιτήτρια υποβάλλοντας τη σχετική γνωστοποίηση. Εν πάση περιπτώσει, όμως, η καθ’ ης η αίτηση στην απόφασή της ημερομηνίας 6.8.2021 αφού έθεσε το πραγματικό και νομικό υπόβαθρο, έδωσε το δικαίωμα στην αιτήτρια να υποβάλει τις θέσεις της καταλήγοντας στα εξής:

 

«4.1. Έχοντας υπόψιν ότι, με βάση τις διατάξεις του Άρθρου 58(2) του ΓΚΠΔ έχω εξουσία να επιβάλω διοικητικές κυρώσεις για τυχόν παραβάσεις του ΓΚΠΔ, στα πλαίσια του δικαιώματος ακρόασης που σας παρέχει το άρθρο 43 του περί των Γενικών Αρχών του Διοικητικού Δικαίου Νόμου του 1999, Νόμος 158(Ι)/1999, όπως τροποποιήθηκε, καλείστε όπως το συντομότερο και όχι αργότερα από τις 13/08/2021:

(α)     υποβάλετε γραπτώς τις θέσεις σας στο Γραφείο μου, για όλα τα πιο πάνω και ιδίως για τα όσα αναφέρονται στις παραγράφους 3.2.2, 3.2.3 και 3.2.4 και

(β)     μας αναφέρετε τους λόγους για τους οποίους θεωρείτε ότι δεν συντρέχουν λόγοι για την επιβολή κάποιας κύρωσης και/ή οποιουσδήποτε μετριαστικούς παράγοντες,

πριν προχωρήσω στην έκδοση Απόφασης.»

 

          Όπως προκύπτει από την απόφαση της καθ’ ης η αίτηση ημερομηνίας 6.9.2021, διαπιστώθηκε παράβαση από τις αιτήτριες Ομόνοια και Αποέλ των Άρθρων 24(1), 25 και 32(1) του Γενικού Κανονισμού. Οι αντίστοιχες πρόνοιες των εν λόγω άρθρων είναι οι πιο κάτω:

 

«                           Άρθρο 24

Ευθύνη του υπευθύνου επεξεργασίας

1.Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.

Άρθρο 25

Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού

1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.

2. Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρεώση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.

3. Εγκεκριμένος μηχανισμός πιστοποίησης σύμφωνα με το άρθρο 42 μπορεί να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει τη συμμόρφωση με τις απαιτήσεις που προβλέπονται στις παραγράφους 1 και 2 του παρόντος άρθρου.

Άρθρο 32

Ασφάλεια επεξεργασίας

1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:

α) της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα,

β) της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,

γ) της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,

δ) διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.»  

 

          Η επίκληση των πιο πάνω προνοιών από την καθ’ ης η αίτηση γίνεται για να καταδείξει το υψηλό επίπεδο ευθύνης που φέρουν όλες οι αιτήτριες. Και στα τρία άρθρα είναι διάχυτη η ευθύνη που φέρει κάθε υπεύθυνος επεξεργασίας και κάθε εκτελούντας την επεξεργασία να λαμβάνει τέτοια μέτρα ώστε να εξασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων που συνεχώς μεταβάλλονται. Τα μέτρα που προνοούνται στο Άρθρο 32 είναι ενδεικτικά και όχι εξαντλητικά επειδή ακριβώς, είναι ευθύνη του υπεύθυνου επεξεργασίας και του εκτελόντα την επεξεργασία να προβαίνει στη λήψη των κατάλληλων ανά περίσταση μέτρων. Ο Γενικός Κανονισμός κατανείμει την ευθύνη και στον υπεύθυνο επεξεργασίας και στον εκτελών την επεξεργασία ακριβώς επειδή σκοπό έχει να διασφαλίσει την απόδοση της μέγιστης προστασίας στο υποκείμενο της επεξεργασίας.

 

Συνεπώς, η εισήγηση της αιτήτριας Αποέλ ότι διαπιστώθηκε παράβαση για παράλειψη ενέργειας που δεν ήταν δική της υποχρέωση να διενεργήσει δεν ευσταθεί όπως δεν ευσταθεί ούτε η εισήγηση ότι δεν είχε καθήκον να διενεργήσει penetration test πριν την έναρξη λειτουργίας της ιστοσελίδας. Είχαν και οι τρείς αιτήτριες την ευθύνη να λάβουν τέτοια τεχνικά μέτρα έτσι ώστε να είναι διασφαλισμένη η ασφάλεια των δεδομένων των υποκειμένων.

 

Η αιτήτρια Αποέλ στη σελίδα 6 της γραπτής αγόρευσης αναφέρει άνευ βλάβης των όσων αναπτύσσει προηγουμένως, ότι δεν προσβάλλει την απόφαση της καθ’ ης η αίτηση σε σχέση με την παράβαση των Άρθρων 24(1) και 32(1) που προκύπτει από την παράλειψή της να χρησιμοποιήσει ψεύτικα (dummy) δεδομένα και να ενεργοποιήσει την απόκρυψη των δεδομένων. Όπως εξήγησα πιο πάνω, το Άρθρο 32(1) αναφέρει ενδεικτικά κάποια μέτρα («μεταξύ άλλων») που πρέπει να λαμβάνουν ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και ανάμεσα σε αυτά αναφέρεται η ψευδωνυμοποίηση και κρυπτογράφηση δεδομένων όμως η υποχρέωσή τους δεν σταματά στα όσα ενδεικτικά αναφέρει το Άρθρο 32(1) αλλά επεκτείνεται σε εκείνα τα «κατάλληλα τεχνικά και οργανωτικά μέτρα», προκειμένου να διασφαλιστεί η προστασία των προσωπικών δεδομένων. Με άλλα λόγια, ο Γενικός Κανονισμός θέτει τη γενική ευθύνη στους ώμους του υπεύθυνου επεξεργασίας και του εκτελούντως την επεξεργασία να ελέγχει συνεχώς την ασφάλεια του συστήματος που λειτουργεί.

 

Προτού προχωρήσω στην εξέταση των λόγων ακύρωσης που εγείρονται σε σχέση με το διοικητικό πρόστιμο που επιβλήθηκε στις τρεις αιτήτριες, θα εξετάσω τις εισηγήσεις της αιτήτριας Hellenic επί της ορθότητας της προσβαλλόμενης απόφασης.

 

Η καθ’ ης η αίτηση αντιμετώπισε την αιτήτρια Hellenic για σκοπούς του Γενικού Κανονισμού ως εκτελούσα την επεξεργασία. Σχετικές είναι οι πρόνοιες του Άρθρου 28:

 

          «                                     Άρθρο 28

Εκτελών την επεξεργασία

1. Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.

[.]

3. Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:

α) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος,

β) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,

γ) λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32,

δ) τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 4 για την πρόσληψη άλλου εκτελούντος την επεξεργασία,

ε) λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων,

στ) συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία,

ζ) κατ' επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,

η) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

[.]»

          Όπως προκύπτει από τα γεγονότα, η καθ’ ης η αίτηση ζήτησε και έλαβε από τις αιτήτριες Ομόνοια και Αποέλ τις συμβάσεις τους με την αιτήτρια Hellenic (Τεκμήριο 1, μέρος του εγγράφου αρ. 6883350 και Τεκμήριο 2, μέρος του εγγράφου αρ. 6885902). Το περιεχόμενο των δύο συμβάσεων είναι ταυτόσημο και από αυτές προκύπτει αναντίλεκτα ότι η αιτήτρια Hellenic ανέλαβε «την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του φιλάθλου» (βλ. προοίμιο συμφωνίας). Στο τέλος του όρου 1 αναφέρεται ότι:

 

«Για σκοπούς της παρούσης τα μέρη συμφωνούν ότι η [Ομόνοια / Αποέλ] ενεργεί ως ο Υπεύθυνος Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα, η δε ΗΤΕ αναλαμβάνει να επεξεργαστεί Δεδομένα Προσωπικού Χαρακτήρα εκ μέρους της [Ομόνοια / Αποέλ] ως Εκτελούντα την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα στα πλαίσια της παρούσας Συνεργασίας.»

 

          Σημαντικό επίσης είναι και το περιεχόμενο του όρου 3.6 της σύμβασης:

 

«3.6. Η ΗΤΕ και [.] θα εφαρμόσουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων μεταξύ άλλων, κατά περίπτωση:

(α)     της ψευδωνυμοποίησης και της κρυπτογράφησης Δεδομένων Προσωπικού Χαρακτήρα,

(β)     της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,

(γ)     της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε Δεδομένα Προσωπικού Χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,

(δ)     διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας,

(ε)      την παροχή των απαραίτητων διεπαφών όπου ισχύει ή υποστήριξης για άλλες επεξεργασίες της Εταιρείας στα πλαίσια παροχής πληροφοριών στα υποκείμενα των δεδομένων με βάση τη νομοθεσία και τον Κανονισμό,

(στ)   την επικαιροποίηση, τροποποίηση ή διόρθωση των Δεδομένων Προσωπικού Χαρακτήρα κατόπιν γραπτών οδηγιών από [.],

(ζ)      την παύση ή διακοπή προσβάσεων σε Δεδομένα Προσωπικού Χαρακτήρα κατόπιν γραπτών οδηγιών από [.].»

 

          Από τα πιο πάνω προκύπτει με σαφήνεια ότι η αιτήτρια Hellenic ήταν για σκοπούς εφαρμογής του Γενικού Κανονισμού η εκτελούσα την επεξεργασία η οποία, όπως προαναφέρθηκε, έχει τις ίδιες αυξημένες υποχρεώσεις με τον υπεύθυνο επεξεργασίας συνεπώς δεν παραβιάστηκαν τα Άρθρα 28(1) και 32(1) ως η εισήγηση της αιτήτριας. Ούτε η εισήγησή της ότι δεν λήφθηκαν υπόψη οι έλεγχοι που διενήργησε πριν να τεθούν σε λειτουργία οι ιστοσελίδες αλλάζει κάπως το αποτέλεσμα εφόσον, όπως επεξηγήθηκε πιο πάνω, η υποχρέωση να λαμβάνονται τα κατάλληλα μέτρα υφίσταται συνέχεια και τα μέτρα εξαρτούνται από την περίπτωση. Εξάλλου, η αιτήτρια δεσμεύτηκε ως προς αυτή την υποχρέωση και μέσω του όρου 3.6 της σύμβασης.

 

          Με βάση τα πιο πάνω προκύπτει ότι η προσβαλλόμενη απόφαση είναι ορθή ως προς τη διαπίστωση παράβασης εκ μέρους και των τριών αιτητριών.

 

          Αναφορικά με τους λόγους ακύρωσης που εγείρουν οι αιτήτριες και σχετίζονται με το διοικητικό πρόστιμο που τους επιβλήθηκε, σχετικές είναι οι πρόνοιες του Άρθρου 83 του Γενικού Κανονισμού:

 

                   «                                     Άρθρο 83

Γενικοί όροι επιβολής διοικητικών προστίμων

1. Κάθε εποπτική αρχή μεριμνά ώστε η επιβολή διοικητικών προστίμων σύμφωνα με το παρόν άρθρο έναντι παραβάσεων του παρόντος κανονισμού που αναφέρονται στις παραγράφους 4, 5 και 6 να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική.

2. Τα διοικητικά πρόστιμα, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, επιβάλλονται επιπρόσθετα ή αντί των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 στοιχεία α) έως η) και στο άρθρο 58 παράγραφος 2 στοιχείο ι). Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:

α) η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν,

β) ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,

γ) οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,

δ) ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των άρθρων 25 και 32,

ε) τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,

στ) ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,

ζ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,

η) ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,

θ) σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,

ι) η τήρηση εγκεκριμένων κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα με το άρθρο 42 και

ια) κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.

3. Σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει αρκετές διατάξεις του παρόντος κανονισμού, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.

4. Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 10 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:

α) οι υποχρεώσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με τα άρθρα 8, 11, 25 έως 39 και 42 και 43,

[.]

8. Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες δικονομικές εγγυήσεις σύμφωνα με το δίκαιο της Ένωσης και το δίκαιο του κράτους μέλους, συμπεριλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας.»

 

          Μελετώντας τις προσβαλλόμενες αποφάσεις, την έκταση του επηρεασμό προσωπικών δεδομένων σε κάθε μία από τις τρεις περιπτώσεις και την επιβολή διοικητικού προστίμου διαπιστώνω ότι η καθ’ ης η αίτηση δεν ενήργησε αναλογικά. Συγκεκριμένα, στην περίπτωση της αιτήτριας Ομόνοιας επηρεάστηκαν από την παράβαση 3.652 πρόσωπα (βλ. σελίδα 2 απόφασης) και της επιβλήθηκε συνολικό διοικητικό πρόστιμο €40.000. Στην περίπτωση της αιτήτριας Αποέλ επηρεάστηκαν μέχρι 100 πρόσωπα και της επιβλήθηκε το ίδιο διοικητικό πρόστιμο ενώ στην περίπτωση της αιτήτριας Hellenic η οποία είχε την ευθύνη ως εκτελούσα την επεξεργασία και των δύο παραβάσεων που σημειώθηκαν, επιβλήθηκε το μικρότερο διοικητικό πρόστιμο ήτοι €25.000.

 

          Δεδομένου ότι και στις τρεις περιπτώσεις τα πραγματικά γεγονότα είναι τα ίδια και δεδομένου ότι η ευθύνη σύμφωνα με τον Γενικό Κανονισμό επιμερίζεται ισότιμα στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία, κατά την επιβολή διοικητικού προστίμου στις τρεις αιτήτριες δεν τηρήθηκε η αρχή της αναλογικότητας με αποτέλεσμα να διαπιστώνεται παρανομία σε αυτό το σκέλος των προσβαλλόμενων αποφάσεων.

 

          Για τους πιο πάνω λόγους καταλήγω ότι οι προσφυγές επιτυγχάνουν μερικώς ως προς την επιβολή του διοικητικού προστίμου ως αυτό προσβάλλεται σε κάθε μία προσφυγή και ακυρώνονται οι προσβαλλόμενες αποφάσεις ως προς αυτό ενώ επικυρώνονται οι προσβαλλόμενες αποφάσεις κατά τα λοιπά.

 

          Λόγω της μερικής επιτυχίας των προσφυγών, επιδικάζονται μειωμένα έξοδα €650 πλέον Φ.Π.Α. υπέρ κάθε αιτήτριας και εναντίον της καθ’ ης η αίτηση.

 

Ε. ΜΙΧΑΗΛ, Δ.Δ.Δ.   

---

cylaw.org: Από το ΚΙΝOΠ/CyLii για τον Παγκύπριο Δικηγορικό Σύλλογο