Βαρύ πρόστιμο επεφύλαξε η Αρχή για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα στο Αρχηγείο του Πυροσβεστικού Σώματος, μετά από καταγγελία που έλαβε από υπάλληλο της γραμματείας γραφείου, το οποίο υπάγεται στη Διοίκηση Πυροσβεστικών Υπηρεσιών Νομού της χώρας (ΔΙ.Π.Υ.Ν.).
Στην απόφασή της, η Αρχή διαπιστώνει πολλαπλές παραβάσεις των διατάξεων για την προστασία δεδομένων και για το λόγο αυτό επέβαλε στην Πυροσβεστική συνολική ποινή 35.000 ευρώ.
Όπως ανέφερε η καταγγέλλουσα στις … της είχε δοθεί προφορική εντολή να εργαστεί σε διαφορετικό υπηρεσιακό υπολογιστή από αυτόν που χρησιμοποιούσε καθημερινά για κάλυψη υπηρεσιακών αναγκών σε διαφορετικό χώρο από αυτόν που εργαζόταν καθημερινά.
Την ημέρα εκείνη πραγματοποιήθηκε έλεγχος, όπως αναφέρεται στην καταγγελία, από τον τέως Διοικητή, στον υπηρεσιακό υπολογιστή που η καταγγέλλουσα χειρίζεται, κατά τον οποίο η ίδια δεν ήταν παρούσα και δεν είχε λάβει καμία προφορική ή γραπτή ενημέρωση για τη διενέργειά του και για το εάν αφορούσε το σύνολο των υπολογιστών της υπηρεσίας.
Στη συνέχεια, παρέλαβε μία κλήση του Διοικητή ΔΙ.Π.Υ.Ν. σε απολογία, όπου αναφέρεται ότι σε έλεγχο του ιστορικού επίσκεψης ιστοσελίδων του υπηρεσιακού υπολογιστή που χειρίζεται, βρέθηκε να έχει επισκεφθεί πολλάκις κατά το ωράριο εργασίας της ιστοσελίδες κοινωνικής δικτύωσης και ψυχαγωγικές, στοιχειοθετώντας πειθαρχικά παραπτώματα και κατόπιν τη διαταγή επιβολής ποινής.
Ο κοινόχρηστος υπολογιστής χωρίς κωδικό
Μετά την καταγγελία, η ΔΙ.Π.Υ.Ν. απάντησε στην Αρχή πως το προσωπικό που αποτελείται από δύο υπαλλήλους διαθέτει έναν κοινόχρηστο υπολογιστή, στον οποίο γίνονται όλες οι εργασίες και στον οποίο υπάρχει άμεση προσβασιμότητα από τους υπαλλήλους χωρίς κωδικούς, επειδή δεν υπάρχουν αρχεία δεδομένων προσωπικού χαρακτήρα, οι υπάλληλοι είναι ενήμεροι για τις διατάξεις που αφορούν τα δεδομένα προσωπικού χαρακτήρα, χωρίς όμως να προσκομιστεί καμία απόδειξη, και τέλος, ότι δεν υπήρξε το παραμικρό πρόβλημα στο θέμα αυτό και ότι δεν υπάρχει Υπεύθυνος Προστασίας Δεδομένων.
Επίσης, «ανεφέρθη ότι στις … αφού ο Διοικητής μαζί με τον Προϊστάμενο Πυρασφάλειας διεπίστωσαν ότι η χρήση του επίμαχου υπολογιστή γίνεται ως επί το πλείστον για προσωπικά θέματα, τον έκλεισαν, χωρίς να γίνει άλλη ενέργεια πέραν της αναζήτησης του ιστορικού του ίντερνετ και χωρίς να γίνει καταγραφή και εξαγωγή στοιχείων».
Ο Διοικητής της κατά την ακρόαση υποστήριξε ότι στο πλαίσιο της εργασίας των υπαλλήλων «δεν υπάρχει η έννοια του «υπολογιστή μου», καθώς αυτός ανήκει στην Υπηρεσία και σε αυτόν έχουν πρόσβαση ο Διοικητής και οι υπάλληλοι και επομένως, δεν τίθεται ζήτημα επεξεργασίας προσωπικών δεδομένων και δεν μπορεί να ζητηθεί άδεια για να γίνει έλεγχος του υπολογιστή, καθώς επίσης ότι δεν υπάρχει λόγος να αναφερόμαστε σε προσωπικά δεδομένα αφού το ζήτημα αφορά ιστοσελίδες και μέσα κοινωνικής δικτύωσης που επισκέφθηκε η καταγγέλλουσα».
Ωστόσο, οι αρμόδιες υπηρεσίες δεν παρείχαν ποτέ απαντήσεις στις ερωτήσεις της Αρχής που τέθηκαν κατά την ακροαματική διαδικασία σχετικά με το εάν υπάρχουν αρχεία με προσωπικά δεδομένα στον υπολογιστή που πραγματοποιήθηκε ο έλεγχος, πώς γίνεται να παραμένουν ανοιχτές οι ιστοσελίδες για ημέρες χωρίς κωδικό προστασίας του υπολογιστή, και ποια είναι τα μέτρα ασφαλείας των προσωπικών δεδομένων που λαμβάνει η Υπηρεσία.
Προστασία Δεδομένων: Οποιοσδήποτε είχε πρόσβαση τον υπολογιστή
Διαπιστώθηκε όπως σημειώνει η Αρχή ότι «η καταγγέλλουσα, υπήρξε η «βασική χειριστής», όπως ανέφερε ο τέως Διοικητής της ΔΙ.Π.Υ.Ν., ενός συγκεκριμένου υπολογιστή, καθώς απασχολείτο το μεγαλύτερο χρονικό διάστημα της εργασίας της σε αυτόν. Ακόμη και σε περίπτωση χρήσης από την ίδια του υπολογιστή για προσωπικούς (μη υπηρεσιακούς) λόγους όπως π.χ. αποστολή από το ηλεκτρονικό ταχυδρομείο προσωπικής της αλληλογραφίας ή πλοήγηση σε ιστοτόπους για προσωπική της ενημέρωση, πρόκειται για επεξεργασία προσωπικών δεδομένων».
Σύμφωνα με την απόφαση της Αρχής Προστασίας Δεδομένων «από τα στοιχεία του φακέλου προκύπτει ότι ο συγκεκριμένος υπολογιστής δεν διαθέτει κωδικό πρόσβασης/ασφαλείας και μπορεί να έχει πρόσβαση στα αρχεία της υπηρεσίας οιοσδήποτε το επιδιώξει. Περαιτέρω, από τα ίδια τα έγγραφα του φακέλου προκύπτει ότι δεν έχουν ομοίως ληφθεί τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας για την αυθεντικοποίηση και ταυτοποίηση της επιτρεπόμενης πρόσβασης του κάθε εξουσιοδοτημένου χρήστη του ηλεκτρονικού υπολογιστή, ενώ πρόσβαση θα μπορούσε να έχει στα περιλαμβανόμενα προσωπικά δεδομένα ο οποιοσδήποτε τρίτος».
Οι ισχυρισμοί του Διοικητή
«Ο οψίμως υποβληθείς ισχυρισμός κατά τον οποίο ο τέως Διοικητής της ΔΙ.Π.Υ.Ν. δεν προέβη σε έλεγχο και αναζήτηση του ιστορικού επίσκεψης στις ιστοσελίδες αλλά ανοίγοντας τον ηλεκτρονικό υπολογιστή βρήκε, χωρίς να προβεί σε έλεγχο, μεγάλο αριθμό παράλληλα ανοιγμένων καρτελών, τυγχάνει απορριπτέος» τονίζει η Αρχή.
Και προσθέτει: «Επομένως, προέκυψε ότι ο τέως Διοικητής της ΔΙ.Π.Υ.Ν. ενεργώντας στο πλαίσιο της διοικητικής διάρθρωσης ως μέρος του υπευθύνου επεξεργασίας, προέβη σε έλεγχο των προσβάσεων του τελευταίου χειριστή του κοινόχρηστου και χωρίς κωδικούς ασφαλείας ηλεκτρονικού υπολογιστή στο ιστορικό επίσκεψης των ιστοσελίδων και άρα στον έλεγχο των προσωπικών δεδομένων κατά τη χρήση ηλεκτρονικών μέσων επικοινωνίας χωρίς να έχει προηγουμένως ενημερωθεί κανένας εκ των χρηστών του κοινόχρηστου υπολογιστή τόσο για τον έλεγχο, όσο και για το εάν επιτρέπεται ή απαγορεύεται η χρήση υπηρεσιακού ηλεκτρονικού υπολογιστή, μέσων και δικτύου επικοινωνιών, χωρίς να έχουν καταρτιστεί και εφαρμοστεί σχετικές πολιτικές προστασίας προσωπικών δεδομένων, πολιτική ασφαλείας και Κανονισμός για την ορθή χρήση και τη λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόμενους».
Ποιος χρησιμοποίησε τον υπολογιστή
«Δεν προέκυψε ότι η καταγγέλλουσα υπήρξε η υπάλληλος που χρησιμοποίησε τελευταία κατά σειρά τον συγκεκριμένο κοινόχρηστο ηλεκτρονικό υπολογιστή, δοθέντος ότι η πρόσβαση σε αυτόν επιτρεπόταν σε κάθε εργαζόμενο της υπηρεσίας και μάλιστα χωρίς να έχει προηγουμένως αποδοθεί διαφορετικός κωδικός πρόσβασης ανά πρόσωπο. Επομένως, από τα ανωτέρω στοιχεία αφενός προέκυψε ότι έλαβε χώρα έλεγχος ιστορικού επίσκεψης ιστοσελίδων κοινωνικής δικτύωσης από χρήστη – υπάλληλο της υπηρεσίας, αφετέρου ότι δεν προέκυψε ότι ο έλεγχος αφορούσε την επεξεργασία προσωπικών δεδομένων της καταγγέλλουσας» σημειώνει η ανεξάρτητη Αρχή.
Κάνει μάλιστα λόγο για «παντελή έλλειψη πολιτικών και διαδικασιών, περιλαμβανομένων πολιτικών ασφαλείας και Κανονισμού για την ορθή χρήση και τη λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόμενους».
Για τους λόγους αυτούς κρίνει πως κάθε επεξεργασία προσωπικών δεδομένων που λαμβάνει χώρα μέσω του ηλεκτρονικού υπολογιστή είναι αντίθετη προς τις σχετικές διατάξεις και παραβιάζει τις αρχές της νομιμότητας και της διαφάνειας, καθώς και της ασφάλειας λόγω έλλειψης πολιτικών.
Προστασία Δεδομένων: Επεξεργασία μη σύμφωνη με τις διατάξεις
Η Αρχή στην απόφασή της υποστηρίζει πως «από το σύνολο του φακέλου και την ακροαματική διαδικασία, προκύπτει ότι το Αρχηγείο του Πυροσβεστικού Σώματος είναι υπεύθυνος επεξεργασίας των δεδομένων που τυγχάνουν επεξεργασίας μέσω του κοινόχρηστου ηλεκτρονικού υπολογιστή που χειρίζονται οι εργαζόμενοι στις διευθύνσεις/μονάδες που υπάγονται σε αυτό για την επίτευξη των σκοπών επεξεργασίας που συνδέεται με την αποστολή του Πυροσβεστικού Σώματος.
Η επεξεργασία αυτή είναι αυτοματοποιημένη και περιλαμβάνει προσωπικά δεδομένα τόσο των εργαζομένων, όσο και πολιτών και πραγματοποιείται αφενός για τους πρώτους στο πλαίσιο της εργασιακής σχέσης και αφετέρου για τους πολίτες για την εκπλήρωση καθήκοντος του υπευθύνου επεξεργασίας προς το δημόσιο συμφέρον. Προκύπτει, όμως, ότι η εν λόγω επεξεργασία δεν είναι σύμφωνη με τη νομοθεσία προστασίας των δεδομένων προσωπικού χαρακτήρα».
Ακολουθήστε το HappenedNow.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις
Διαβάστε ολες τις ειδήσεις μας στο Facebook Group και μάθετε πρώτοι όλες τις ειδήσεις