Με απόφασή της που δημοσιεύτηκε τον Ιανουάριο του 2022, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επέβαλε πρόστιμα συνολικού ύψους 9.250.000 ευρώ στην Cosmote και τον όμιλο ΟΤΕ.
Η έρευνα της ΑΠΔΠΧ, που αφορούσε το περιστατικό υποκλοπής προσωπικών δεδομένων άνω των 10 εκατ. χρηστών τον Σεπτέμβριο του 2020, διαπίστωσε σειρά παραβάσεων τόσο της ελληνικής νομοθεσίας για την προστασία προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών, όσο και του ευρωπαϊκού Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ ή αλλιώς GDPR).
Ανάμεσα στις παραβάσεις, που διαπιστώθηκαν απο την ανεξάρτητη Αρχή, αναφέρονται:
- η έλλειψη ορθής εφαρμογής της διαδικασίας ανωνυμοποίησης,
- η πλημμελής διεξαγωγή εκτίμησης αντικτύπου,
- καθώς και ευπάθειες σε σχέση με τα μέτρα ασφάλειας.
Ο έλεγχος είχε προέλθει ως αποτέλεσμα ενημέρωσης από την πλευρά των Cosmote/ΟΤΕ προς την ΑΠΔΠΧ ότι, τον Σεπτέμβριο του 2020, άγνωστοι χάκαραν το σύστημά τους οδηγώντας σε διαρροή αρχείου «το οποίο περιείχε δεδομένα κλήσεων συνδρομητών για το χρονικό διάστημα 1/9/2020 – 5/9/2020».
Ο έλεγχος είχε προέλθει ως αποτέλεσμα ενημέρωσης από την πλευρά των Cosmote/ΟΤΕ προς την ΑΠΔΠΧ ότι, τον Σεπτέμβριο του 2020, άγνωστοι χάκαραν το σύστημά τους οδηγώντας σε διαρροή αρχείου «το οποίο περιείχε δεδομένα κλήσεων συνδρομητών για το χρονικό διάστημα 1/9/2020 – 5/9/2020».
Η Αρχή αναφέρει πως η διαρροή αφορούσε δεδομένα «για το σύνολο των συνδρομητών» της Cosmote.
Όπως αναφέρει η ετήσια έκθεση της ΑΠΔΠΧ για το 2020, η διαρροή αφορούσε το σύνολο των συνδρομητών της εταιρείας, αλλά και πολλών εκατομμυρίων χρηστών άλλων παρόχων, που συνομιλούσαν με συνδρομητές του δικτύου της Cosmote ή είχαν κάνει χρήσει του δικτύου της μεσω υπηρεσιών roaming.
Πέρα από το συγκεκριμένο περιστατικό, η έκθεση της Αρχής έφερε στο φως ότι πραγματοποιήθηκαν άλλες τέσσερις παραβιάσεις, με αποτέλεσμα απώλεια μεγάλου όγκου δεδομένων της Cosmote, για τις οποίες η Αρχή σημειώνει ότι «δεν κατέστη εφικτό να εντοπιστεί το είδος των δεδομένων που διαβιβάστηκαν».
Cosmote/ΟΤΕ: Ζητούν ακύρωση των προστίμων
Ο Όμιλος ΟΤΕ αποτελεί την μεγαλύτερη εταιρεία τεχνολογίας στην Ελλάδα. Κύριος μέτοχος του ομίλου είναι η Deutsche Telekom με ποσοστό 50,9%, ενώ συμμετέχει και το ελληνικό Δημόσιο με 7,2%. Η Cosmote ανήκει κατά 100% στον όμιλο ΟΤΕ.
Σε πρόσφατη επικοινωνία με την ΑΠΔΠΧ, το Solomon πληροφορήθηκε ότι ο όμιλος ΟΤΕ και η Cosmote έχουν προσφύγει στο Συμβούλιο της Επικρατείας (ΣτΕ) προσβάλλοντας την εις βάρος τους απόφαση της Αρχής. Η συζήτηση της προσφυγής εκκρεμεί για τις 16 Μαΐου 2023.
Όπως αποσαφηνίζουν από πλευράς τους, μετά από διευκρινιστικά ερωτήματα του Solomon, «ο ΟΤΕ και η COSMOTE έχουν καταβάλει το σύνολο των προστίμων που τους επιβλήθηκε και δεν έχουν ασκήσει αιτήσεις αναστολής» σχετικά με αυτά.
Ωστόσο, έχουν προσφύγει στο ΣτΕ προσβάλλοντας με αίτηση ακυρώσεως την απόφαση της ΑΠΔΠΧ, υποστηρίζοντας πως η απόφαση:
- στηρίζεται σε εσφαλμένη ερμηνεία και εφαρμογή διατάξεων του νόμου για την προστασία των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, του GDPR και της Οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών,
- δεν έχει νόμιμη αιτιολογία,
- και παραβιάζει την αρχή της αναλογικότητας όσον αφορά στα επιβληθέντα πρόστιμα.
Η πλευρά των Cosmote/ΟΤΕ διευκρίνισε επίσης ότι έλαβαν όλα τα αναγκαία μέτρα για την αντιμετώπιση του περιστατικού, και, «από την πρώτη στιγμή, ενημέρωσαν και συνεργάζονται με τις αρμόδιες Αρχές».
Δεν παρείχαν, ωστόσο, κάποια άλλη πληροφορία για το εάν υπάρχουν νέα στοιχεία σε σχέση με το ποιοι διενήργησαν την παραβίαση του συστήματός τους και για ποιους λόγους.
Κατά τη διάρκεια της διερεύνησης του περιστατικού, η Cosmote είχε ισχυριστεί ότι, σύμφωνα με τα μέτρα προστασίας που είχε λάβει και με βάση την κοινή εμπειρία, μπορεί με μεγάλη βεβαιότητα να υποστηριχθεί ότι έχουν ληφθεί όλα τα κατάλληλα μέτρα ώστε η ύλη που διέρρευσε «να μην μπορεί αντικειμενικά να επαναταυτοποιηθεί λαμβάνοντας υπόψη αντικειμενικούς παράγοντες, όπως τα έξοδα και ο χρόνος που η διαδικασία επαναταυτοποίησης θα απαιτούσε».
Τα δεδομένα, σύμφωνα με την εταιρεία, τηρούνταν για την «εξυπηρέτηση αιτημάτων συνδρομητών που αντιμετωπίζουν προβλήματα/βλάβες στο δίκτυο κινητής τηλεφωνίας» και την «εξαγωγή στατιστικών συμπερασμάτων, τα οποία αξιοποιούνται για τον βέλτιστο σχεδιασμό του δικτύου κινητής τηλεφωνίας».
ΑΠΔΠΧ: Το συνολικό πρόστιμο θα μπορούσε να είναι 14 φορές υψηλότερο
Στην απόφασή της για την υπόθεση, η ΑΠΔΠΧ αναφέρεται στα πρόστιμα που δύνανται να επιφέρουν οι παραβάσεις που διαπίστωσε.
Σε ορισμένες περιπτώσεις (Παράβαση του άρθρου 25 παρ. 1 του GDPR σε σχέση με την ορθή εφαρμογή της διαδικασίας ανωνυμοποίησης) το πρόστιμο φτάνει έως το 2% «του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους».
Ενώ σε άλλες (Παράβαση της αρχής της διαφάνειας άρθρο 5 παρ. 1 α) GDPR και των άρθρων 13 και 14 του GDPR σε σχέση με το εμπλουτισμένο αρχείο) έως και το 4% του αντίστοιχου κύκλου εργασιών.
Η ΑΠΔΠΧ διαπίστωσε ότι κατά το 2019, δηλαδή το έτος που προηγήθηκε του χακαρίσματος, «ο κύκλος εργασιών του ομίλου ανήλθε σε 3,258 δισεκατομμύρια ευρώ».
Επομένως, όπως διευκρίνισε στο Solomon η Αρχή, «το μέγιστο ύψος του προστίμου θα μπορούσε να είναι 130,32 εκατομμύρια ευρώ εν όψει των παραβάσεων των άρ. 13 και 14 του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ). Επισημαίνεται ότι το ύψος της εκάστοτε κύρωσης ακολουθεί τα κριτήρια του άρ. 83 παρ. 2 του ΓΚΠΔ».
Όσον αφορά την Cosmote, σύμφωνα με την Αρχή, «στο βαθμό που η ελεγχόμενη δραστηριότητα εμπίπτει στο πεδίο εφαρμογής του ν. 3471/2006 (π.χ. για το ιδιαίτερα σοβαρό περιστατικό παραβίασης που αφορά τα δεδομένα των συνδρομητών της) το μέγιστο πρόστιμο περιορίζεται στις 150.000 ευρώ, καθώς εφαρμόζεται ακόμα ο ν. 2472/1997 ως προς το ύψος των προστίμων».
Η Αρχή είχε επισημάνει αυτή την ανακολουθία στο νομικό πλαίσιο, ήδη από τον Ιανουάριο του 2020 (σελ 26 στον σύνδεσμο), σε ενημερωτικό σημείωμα.
Σε αυτό, αναφέρεται ρητά το ενδεχόμενο «ιδιαίτερα σοβαρές παραβάσεις π.χ. περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα σε πάροχο υπηρεσιών ηλεκτρονικής επικοινωνίας, να αντιμετωπίζονται με το εξαιρετικά πεπαλαιωμένο σύστημα κυρώσεων του 1997», που εισήχθη 26 χρόνια πριν.
wearesolomon