Πρόστιμο 150.000 ευρώ στην AMPNI για παραβίαση του GDPR

Και παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω server

Σύμφωνα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η εταιρεία Aegean Marine Petroleum Network Inc (AMPNI) προέβει σε παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω server και της επιβλήθηκε πρόστιμο 150.000 ευρώ.

Όλα ξεκίνησαν όταν γνωστοποιήθηκε στην Αρχή πως η συγκεκριμένη εταιρεία προχώρησε σε παράνομη πρόσβαση σε server (αλλά και αντιγραφή του συνόλου του περιεχομένου του) με δεδομένα προσωπικού χαρακτήρα. Τον συγκεκριμένο server τον χρησιμοποιούσαν από κοινού εργαζόμενοι, τόσο της AMPNI, όσο και άλλων εταιρειών του ίδιου ομίλου, όσο και εργαζόμενοι εταιρειών εκτός ομίλου.

Ακολούθησε έρευνα και, με την απόφαση 44/2019, η Αρχή διαπίστωσε ότι η εταιρία ως υπεύθυνος επεξεργασίας δεν είχε συμμορφωθεί προς τις επιταγές του GDPR, δεν είχε λάβει μέτρα συμμόρφωσης κατ' άρ. 5 και 6 ΓΚΠΔ, δεν είχε σχεδιάσει και εφαρμόσει εσωτερικές πολιτικές και κανονισμούς για τη χρήση των εταιρικών μέσων ηλεκτρονικών επικοινωνιών και δικτύων, για τη δυνατότητα διενέργειας εσωτερικών ελέγχων και για την υποχρέωση ενημέρωσης των υποκειμένων των δεδομένων.

Παράλληλα η Αρχή, σύμφωνα με ανακοίνωσή της, «διαπίστωσε ότι η από κοινού χρήση του διακομιστή πραγματοποιούνταν κατά παράβαση της αρχής της ασφαλούς επεξεργασίας συνεπεία έλλειψης των κατάλληλων τεχνικών και οργανωτικών μέτρων, ιδίως εκείνων που αφορούσαν τον φυσικό και λογικό διαχωρισμό υλικού, λογισμικού και δεδομένων με αποτέλεσμα η εταιρεία εν τέλει να αντιγράψει παράνομα το σύνολο του περιεχομένου του διακομιστή».

Μετά τη διαπίστωση των παραβάσεων του ΓΚΠΔ η Αρχή με την υπ΄ αριθμ. 44/2019 απόφασή της επέβαλε διορθωτικά μέτρα και συγκεκριμένα:

Α) Η εταιρεία εντός 3 μηνών από την παραλαβή της απόφασης να:

i. καταστήσει σύμφωνες με τις διατάξεις του ΓΚΠΔ τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται τόσο στη χρησιμοποιούμενη όσο και στην αντιγραφείσα υπολογιστική υποδομή και

ii. λάβει όλα τα αναγκαία μέτρα εσωτερικής συμμόρφωσης και λογοδοσίας προς τις αρχές του άρθρου 5 παρ. 1 και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ και για τις ενέργειες της να ενημερώσει την Αρχή

Β) Να επιβάλει στην εταιρεία το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στη συγκεκριμένη περίπτωση ύψους 150.000 ευρώ.