Σύμφωνα με την 4/2022 Απόφαση της ΑΠΔΠΧ κατόπιν γνωστοποίησης στην Αρχή περιστατικού παραβίασης προσωπικών δεδομένων από την Cosmote (διαρροή δεδομένων κλήσεων συνδρομητών), η Αρχή διερεύνησε τις συνθήκες υπό τις οποίες έλαβε χώρα το περιστατικό και, στο πλαίσιο αυτό, εξέτασε τη νομιμότητα της τήρησης των αρχείων που διέρρευσαν καθώς και τα εφαρμοζόμενα μέτρα ασφάλειας. 

Πρόκειται διαρροή αρχείου (διαδικτυακή πειρατεία – hacking) που περιλαμβάνει δεδομένα κίνησης των συνδρομητών και το οποίο, αφενός μεν, τηρείται με σκοπό τη διαχείριση προβλημάτων και βλαβών για 90 ημέρες από την πραγματοποίηση των κλήσεων, αφετέρου δε, το αρχείο «ανωνυμοποιείται» (ψευδωνυμοποιείται) και τηρείται για 12 μήνες με σκοπό την εξαγωγή στατιστικών συμπερασμάτων προς τον βέλτιστο σχεδιασμό του δικτύου κινητής τηλεφωνίας, αφού εμπλουτιστεί με επιπλέον απλά προσωπικά δεδομένα.

Από τη διερεύνηση της υπόθεσης, σύμφωνα με την Αρχή, προέκυψε :

• παράβαση, εκ μέρους της COSMOTE, της αρχής της νομιμότητας (άρθρα 5 και 6 ν. 3471/2006) και της αρχής της διαφάνειας, λόγω ασαφούς και ελλιπούς ενημέρωσης των συνδρομητών,
• παράβαση του άρθρου 35 παρ. 7 ΓΚΠΔ λόγω πλημμελούς διεξαγωγής της εκτίμησης αντικτύπου, 
• παράβαση των άρθρων 25 παρ. 1 λόγω πλημμελούς υλοποίησης της διαδικασίας ανωνυμοποίησης, και λόγω ελλιπών μέτρων ασφαλείας
• παράβαση του άρθρου 5 παρ. 2 σε συνδυασμό με τα άρθρα 26 και 28 λόγω μη κατανομής των ρόλων των δύο εταιρειών σε σχέση με την υπό κρίση επεξεργασία. 
• Επίσης, διαπιστώθηκε, εκ μέρους του ΟΤΕ, παράβαση του άρθρου 32 ΓΚΠΔ λόγω ελλιπών μέτρων ασφάλειας σε σχέση με τις υποδομές που χρησιμοποιήθηκαν στο πλαίσιο του περιστατικού.

Συγκεκριμένα:

1) Παράβαση του άρθρου 5 και 6 του Ν. 3471/2006.

Πριν την εξέταση των ζητημάτων ασφάλειας κατά την επεξεργασία, αξιολογείται η νομιμότητα των δραστηριοτήτων επεξεργασίας τις οποίες εξυπηρετεί το αρχείο που διέρρευσε προερχόμενο από το σύστημα μαζικών δεδομένων «Big Streamer». 

Πρώτος σκοπός επεξεργασίας είναι η χρήση δεδομένων θέσης και κίνησης για σκοπούς βλαβοδιαχείρισης. 

Επομένως, η βλαβοδιαχείριση αποτελεί λειτουργία που εύλογα αναμένεται από τους ίδιους τους συνδρομητές της ότι αποτελεί αναπόσπαστο κομμάτι της παρεχόμενης υπηρεσίας, ενώ η συνάφεια της σχέσης της διαδικασίας βλαβοδιαχείρισης με την παροχή των τηλεπικοινωνιακών υπηρεσιών είναι τέτοια ώστε η εν λόγω διαδικασία να μην μπορεί να προσφερθεί στους συνδρομητές της ως υπηρεσία προστιθέμενης αξίας. 

Η επεξεργασία προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών ρυθμίζεται από τον Ν. 3471/2006, ο οποίος πρέπει να ερμηνεύεται υπό το φως της Οδηγίας 2002/58/ΕΚ την οποία και ενσωμάτωσε στο ελληνικό δίκαιο, όπως αυτή επεξηγείται μέσω των αιτιολογικών της σκέψεων και ερμηνεύεται από τις αποφάσεις του ΔΕΕ. 

Ο σκοπός της διαχείρισης βλαβών είναι στενά συνδεδεμένος με τη συμβατική σχέση μεταξύ παρόχου και συνδρομητή και την τιμολόγησή του. 

Ωστόσο, τα συστήματα για την παροχή ηλεκτρονικών επικοινωνιακών δικτύων και υπηρεσιών θα πρέπει να σχεδιάζονται έτσι ώστε να περιορίζουν την ποσότητα των απαιτούμενων δεδομένων προσωπικού χαρακτήρα στο ελάχιστο δυνατό, σύμφωνα και με την αρχή της ελαχιστοποίησης των δεδομένων. 

Περαιτέρω, το ΔΕΕ έχει κρίνει (υποθέσεις C 203/15 και C 698/15) ότι η αρχή του απορρήτου των επικοινωνιών που κατοχυρώνεται με την Οδηγία 2002/58/ΕΚ περιλαμβάνει, μεταξύ άλλων, την απαγόρευση, καταρχήν, της αποθήκευσης των συναφών με ηλεκτρονικές επικοινωνίες δεδομένων κίνησης από άλλα πρόσωπα πλην των χρηστών, χωρίς τη συγκατάθεση των ενδιαφερομένων χρηστών. Εξαιρούνται μόνο τα νομίμως εξουσιοδοτημένα πρόσωπα και η τεχνική αποθήκευση η οποία είναι αναγκαία για τη διαβίβαση επικοινωνίας. 

Επομένως, η επεξεργασία και η αποθήκευση των δεδομένων κινήσεως επιτρέπονται μόνο στην απαιτούμενη έκταση και για την απαιτούμενη διάρκεια για την τιμολόγηση των υπηρεσιών, την εμπορική προώθησή τους ή την παροχή υπηρεσιών προστιθεμένης αξίας, αλλά και για τους σκοπούς εντοπισμού τεχνικών βλαβών η σφαλμάτων σε επιμέρους μόνο περιπτώσεις.

Σημειώνεται επίσης ότι οι υποχρεώσεις για την ποιότητα στην παροχή υπηρεσιών στους συνδρομητές οι οποίες και καθορίζονται από τους σχετικούς κανονισμούς της ΕΕΤΤ και κώδικες δεοντολογίας δεν επιβάλλουν ούτε και αναφέρουν ότι απαιτείται η εκ των προτέρων καθολική τήρηση για συγκεκριμένο χρονικό διάστημα όλων ανεξαιρέτως των δεδομένων θέσης και κίνησης για τους σκοπούς της βλαβοδιαχείρισης. Ο στόχος της ποιοτικής παροχής υπηρεσιών δεν προϋποθέτει μια τέτοιας έκτασης επεξεργασία. 

Λαμβανομένων υπόψη των ανωτέρω, προς το σκοπό της βλαβοδιαχείρισης θα ήταν επιτρεπτή μόνο η τήρηση περιορισμένου υποσυνόλου δεδομένων κίνησης, σε επιμέρους περιπτώσεις, στον βαθμό και για το χρόνο που αυτό απαιτείται για να εντοπιστούν συγκεκριμένες τεχνικές βλάβες ή συγκεκριμένα σφάλματα, ενώ δεν υφίσταται νομική βάση στην οποία θα μπορούσε να στηριχθεί η τήρηση του συνόλου των δεδομένων κίνησης επί τρίμηνο, όπως στην εξεταζόμενη υπόθεση. 

2) Παράβαση του άρθρου 35 παρ. 7 του ΓΚΠΔ. 

Συναφώς δε, η COSMOTE εκπόνησε για την εν λόγω επεξεργασία εκτίμηση αντικτύπου ως προς την προστασία των προσωπικών δεδομένων (“ΕΑΠΔ”). Αν και η εν λόγω εκτίμηση αντικτύπου βασίστηκε σε έγκυρη μεθοδολογία που έγκειται στην απάντηση συγκεκριμένων ερωτήσεων, από τις οποίες απαντήσεις καταδεικνύεται, και η αναγκαιότητα της επεξεργασίας σε σχέση με τους κινδύνους που απορρέουν, δεν φαίνεται ότι η μεθοδολογία αυτή εφαρμόστηκε κατά τον ορθό τρόπο αφού οι απαντήσεις που παρέχει η COSMOTE, ως υπεύθυνος επεξεργασίας, δεν είναι τεκμηριωμένες και, ως εκ τούτου, δεν καταδεικνύεται ότι έχουν εξεταστεί όλοι οι κίνδυνοι.

Σύμφωνα με το άρθρο 35 παρ. 7 του ΓΚΠΔ η ΕΑΠΔ οφείλει να περιέχει τουλάχιστον συγκεκριμένα στοιχεία, μεταξύ των οποίων και εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς. Επομένως, ο ΓΚΠΔ προκρίνει την αναλυτική εξέταση των πράξεων επεξεργασίας κατά την εκπόνηση της ΕΑΠΔ. Κάθε κρίση που περιέχεται σε αυτή πρέπει να είναι τεκμηριωμένη και κάθε απάντηση να είναι κατάλληλα αιτιολογημένη. 

3) Παράβαση της αρχής της διαφάνειας και των άρθρων 13 και 14 του ΓΚΠΔ σε σχέση με τη βλαβοδιαχείριση. 

 Όσον αφορά τις υποχρεώσεις διαφάνειας σε σχέση με τη βλαβοδιαχείριση, αν και υπήρχε ενημέρωση στους συνδρομητές για την εν λόγω επεξεργασία, η εν λόγω ενημέρωση δεν μπορεί να χαρακτηριστεί ακριβής και πλήρης διότι δεν είναι σαφής η ενημέρωση ως προς το σκοπό επεξεργασίας σε σχέση με το χρόνο τήρησης (εν προκειμένω 90 ημέρες), ανεξαρτήτως του ότι, σύμφωνα με όσα εκτίθενται σε προηγούμενη σκέψη, δεν ήταν νόμιμη η τήρηση του συνόλου των δεδομένων επί τρίμηνο. 

Στο κείμενο ενημέρωσης, για τα μεν δεδομένα κίνησης ο σκοπός αναφέρεται εμμέσως ως «εξυπηρέτηση της σύμβασης», χωρίς να καθίσταται σαφές ότι για λόγους βλαβοδιαχείρισης τα δεδομένα τηρούνται επί τρίμηνο, για τα δε δεδομένα θέσης ο ίδιος σκοπός αναφέρεται πιο ειδικά ως «επίλυση προβλημάτων στο δίκτυο και βελτίωση της υπηρεσίας». 

Μάλιστα η COSMOTE τηρεί δεδομένα τόσο των συνδρομητών της, όσο και συνδρομητών τρίτων παρόχων, τα οποία όσον αφορά τα δεδομένα που σχετίζονται με τις κλήσεις συλλέγονται απευθείας από τα πρόσωπα αυτά κατά τη χρήση των υπηρεσιών τηλεφωνίας της, άρα εφαρμοστέο είναι το άρθρο 13 του ΓΚΠΔ, ενώ όσον αφορά τα δεδομένα θέσης, συλλέγονται από τον ίδιο τον πάροχο, άρα εφαρμοστέο είναι το άρθρο 14 του ΓΚΠΔ. 

4) Παράβαση των άρθρων 5 και 6 του Ν. 3471/2006 για την νομιμότητα της επεξεργασίας της εξαγωγής στατιστικών συμπερασμάτων για σκοπούς ανάπτυξης του δικτύου. 

Δεύτερος σκοπός επεξεργασίας είναι η επεξεργασία τόσο του αρχείου δεδομένων κίνησης και θέσης όσο και των λοιπών προσωπικών δεδομένων των συνδρομητών (εμπλουτισμένο αρχείο) με σκοπό την εξαγωγή στατιστικών συμπερασμάτων για σκοπούς ανάπτυξης του δικτύου. 

Όπως προκύπτει από το φάκελο της υπόθεσης, το αρχείο αυτό εξυπηρετεί ένα σκοπό ο οποίος μπορεί, κατ΄ αρχήν, να επιτευχθεί με χρήση ανωνυμοποιημένων δεδομένων. 

Σε τούτο συνηγορεί εξάλλου και η COSMOTE, η οποία αναφέρει ότι πραγματοποιεί ανωνυμοποίηση, για τον εν λόγω σκοπό, όπως προβλέπεται να γίνεται μετά τη λήξη της επικοινωνίας. 

Ωστόσο, σε σχέση με τη διαδικασία που 35 ακολουθεί η COSMOTE για την ανωνυμοποίηση, προκύπτουν τα εξής: Κατά το χρόνο του περιστατικού και νωρίτερα, το αρχείο τηρούνταν, σε μη ανωνυμοποιημένη μορφή για διάστημα τριμήνου, μετά την πάροδο του οποίου ακολουθούσε η διαδικασία ανωνυμοποίησης. Κατά τη διάρκεια του τριμήνου, τα εμπλουτισμένα δεδομένα δεν ήταν σε ανωνυμοποιημένη (ούτε ψευδωνυμοποιημένη) μορφή. Αυτό άλλωστε είναι και το αρχείο το οποίο αφορά η διαρροή. 

Συνεπώς, πέραν του ότι δεν προκύπτει ότι υπάρχει νομική βάση για τη δημιουργία και τήρηση με σκοπό την εξαγωγή στατιστικών συμπερασμάτων του αρχικού, μη εμπλουτισμένου («απλού»), αρχείου προσωπικών δεδομένων όπως περιγράφηκε ανωτέρω, δεν υπάρχει νομική βάση ούτε για τη δημιουργία και τήρηση του εμπλουτισμένου, μη ανωνυμοποιημένου αρχείου αφού, για τους σκοπούς του εμπλουτισμένου αρχείου, αυτό θα έπρεπε να είναι σε μορφή ανωνυμοποιημένη. 

Ο ΓΚΠΔ πράγματι προβλέπει, αναφορικά με την αρχή του περιορισμού του σκοπού, ότι η περαιτέρω επεξεργασία για στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς, αλλά παραπέμπει σχετικώς στα όσα ορίζονται στο άρθρο 89, όπου εκεί υπάρχει ρητή αναφορά ως προς το ότι η επεξεργασία για στατιστικούς σκοπούς υπόκειται σε κατάλληλες εγγυήσεις, ως προς τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων.

Οι εν λόγω εγγυήσεις διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα, ιδίως για να διασφαλίζουν την τήρηση της αρχής της ελαχιστοποίησης των δεδομένων.

Τα εν λόγω μέτρα μπορούν να περιλαμβάνουν τη χρήση ψευδωνύμων, εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν κατ’ αυτόν τον τρόπο. Εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν από περαιτέρω επεξεργασία η οποία δεν επιτρέπει ή δεν επιτρέπει πλέον την ταυτοποίηση των υποκειμένων των δεδομένων, οι εν λόγω σκοποί εκπληρώνονται κατ’ αυτόν τον τρόπο. 

Η δε αναφορά σε συμβατό σκοπό δεν καθιερώνει νομική βάση για την επεξεργασία των δεδομένων κίνησης. Άλλωστε, η COSMOTE, αναγνωρίζοντας ότι δεν είναι αναγκαία η τήρηση του εμπλουτισμένου αρχείου σε μη ανωνυμοποιημένη μορφή, έχει τροποποιήσει τις διαδικασίες της από τον Ιανουάριο του 2021 έτσι ώστε αυτό το (νέου τύπου) εμπλουτισμένο αρχείο πλέον δεν περιέχει, σε καμία χρονική στιγμή, τα άμεσα αναγνωριστικά στοιχεία του εκάστοτε συνδρομητή (MSSDN, IMSI, ΙΜΕΙ). 

Ακόμα όμως και μετά την τροποποίηση αυτή, η επεξεργασία πραγματοποιείται με συνδυασμό των δεδομένων κίνησης του εκάστοτε συνδρομητή με εμπορικές του πληροφορίες (τιμολογιακό πρόγραμμα συνδρομητή, ηλικία, φύλο, ARPU), άρα ακόμα κι αν θεωρηθεί ότι πραγματοποιείται πράγματι ανωνυμοποίηση, προηγείται της ανωνυμοποίησης διαδικασία συσχέτισης των δεδομένων, η οποία αποτελεί επεξεργασία χωρίς νομική βάση, που λαμβάνει χώρα κατά παράβαση των άρθρων 5 και 6 του Ν. 3471/2006. 

5) Παράβαση της αρχής της διαφάνειας (άρθρο 5 παρ. 1 α) ΓΚΠΔ) και των άρθρων 13 και 14 του ΓΚΠΔ σε σχέση με το εμπλουτισμένο αρχείο. 

Περαιτέρω, δεν υπήρχε καμία ενημέρωση στα υποκείμενα των δεδομένων για αυτήν την επεξεργασία, δηλαδή την τήρηση του εμπλουτισμένου αρχείου, σε μη ανωνυμοποιημένη/ψευδωνυμοποιημένη μορφή. 

Στο κείμενο ενημέρωσης υπάρχει αναφορά για την τήρηση δεδομένων για τρεις μήνες με σκοπό την βελτίωση της υπηρεσίας, χωρίς να προκύπτει από αυτή την ενημέρωση η τήρηση όλων των κατηγοριών των δεδομένων κίνησης (συμπεριλαμβανομένων των δεδομένων θέσης) που περιλαμβάνονται στο αρχείο ούτε ο συνδυασμός τους με άλλα προσωπικά δεδομένα (όπως φύλο, ηλικία, πρόγραμμα συνδρομητή, ARPU) για το σκοπό της εξαγωγής στατιστικών στοιχείων και της βελτιστοποίησης του δικτύου. 

Επισημαίνεται ότι, ακόμα και αν θεωρηθεί ότι ο σκοπός της στατιστικής επεξεργασίας των ως άνω δεδομένων για τη βελτιστοποίηση του δικτύου αποτελεί συμβατό σκοπό περαιτέρω επεξεργασίας, για τον οποίο δεν απαιτείται χωριστή νομική βάση από εκείνη που επέτρεψε την αρχική συλλογή των δεδομένων, σε κάθε περίπτωση πρέπει να τηρείται η υποχρέωση ενημέρωσης των υποκειμένων και ο υπεύθυνος επεξεργασίας οφείλει να παρέχει στο υποκείμενο των δεδομένων, πριν από την περαιτέρω επεξεργασία, πληροφορίες για το νέο σκοπό και άλλες αναγκαίες πληροφορίες. Εν προκειμένω, η ενημέρωση που παρέχεται δεν είναι πλήρης. 

Πέραν του ότι η COSMOTE αναφέρεται σε ανωνυμοποίηση, το οποίο δεν είναι ακριβές, από το κείμενο προκύπτει ότι αυτή η ανωνυμοποίηση πραγματοποιείται μόνο όταν με οποιονδήποτε τρόπο λήξει η σύμβαση του συνδρομητή με την COSMOTE – ενώ, τελικά, ισχύει για όλους τους ενεργούς συνδρομητές, όσους χρησιμοποιούν το δίκτυο με περιαγωγή και όσους δέχονται κλήσεις από συνδρομητές. 

6) Παράβαση του άρθρου 25 παρ. 1 του ΓΚΠΔ σε σχέση με την ορθή εφαρμογή της διαδικασίας ανωνυμοποίησης. 

Από την ανάλυση της διαδικασίας για την ανωνυμοποίηση των δεδομένων, προέκυψε ότι τα δεδομένα που εν τέλει χρησιμοποιούνται για το δεύτερο σκοπό είναι ψευδωνυμοποιημένα και όχι ανωνυμοποιημένα. 

Σύμφωνα με τη μέθοδο αυτή, στα αναγνωριστικά στοιχεία του εκάστοτε συνδρομητή εφαρμόζεται κρυπτογραφική συνάρτηση κατακερματισμού (“hash function”) με χρήση μυστικού κλειδιού (“salt”), το οποίο φυλάσσεται ξεχωριστά και προστατεύεται. 

H COSMOTE τηρεί το salt και γνωρίζει επίσης και τα αναγνωριστικά στοιχεία των συνδρομητών της, άρα μπορεί ανά πάσα στιγμή, για το διάστημα του τριμήνου κατά το οποίο το salt δεν έχει καταστραφεί, να αντιστοιχίσει κάθε κατακερματισμένη τιμή (που εμφανίζεται στο – φερόμενο ως ανωνυμοποιημένο – αρχείο) με το αντίστοιχο αναγνωριστικό του συνδρομητή. 

Συνεπώς, η εν λόγω επεξεργασία αποτελεί ψευδωνυμοποίηση, όπου οι συμπληρωματικές πληροφορίες που επιτρέπουν την ταυτοποίηση και χρήζουν προστασίας συνίστανται στο μυστικό κλειδί, το οποίο πράγματι, με βάση την περιγραφή της COSMOTE, τηρείται χωριστά και υπόκειται σε τεχνικά και οργανωτικά μέτρα ασφάλειας. 

Άρα, τα εν λόγω δεδομένα είναι προσωπικά δεδομένα και όχι ανώνυμα, οπότε για το εν λόγω εμπλουτισμένο αρχείο έχει εφαρμογή ο ΓΚΠΔ, σύμφωνα με τις διατάξεις του οποίου ο τρόπος αυτός επεξεργασίας δεν οδηγεί σε σύννομη επεξεργασία, αφού τα δεδομένα παραμένουν προσωπικά και όχι ανώνυμα. 

Συνεπώς, προκύπτει ότι η εφαρμοζόμενη διαδικασία ανωνυμοποίησης του «εμπλουτισμένου» αρχείου, δεν διασφαλίζει την ανωνυμία των τηρούμενων δεδομένων, αλλά απλώς την τήρηση προσωπικών δεδομένων σε ψευδωνυμοποιημένη μορφή.

Αυτό αποτελεί παράβαση του άρθρου 25 παρ. 1 του ΓΚΠΔ από την COSMOTE καθώς δεν εφαρμόστηκαν κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλιστεί η ορθή εφαρμογή διαδικασίας ανωνυμοποίησης.

7) Παράβαση του άρθρου 12 παρ. 1 του ν. 3471/2006. 

Επίσης προεκυψαν ευπάθειες σε σχέση με τα μέτρα ασφάλειας, οι οποίες αξιοποιήθηκαν άμεσα ή έμμεσα από τον hacker. Οι ευπάθειες αυτές αναπτύσσονται αναλυτικά σε εμπιστευτικό παράρτημα της απόφασης. Διαπιστώθηκαν συνολικά έξι ευπάθειες, εκ των οποίων η πρώτη αποτέλεσε το εφαλτήριο για τον εισβολέα. 

Όσον αφορά τα μέτρα ασφάλειας, διαπιστώνεται ότι η ευθύνη της COSMOTE δεν είναι αποκλειστική. Τα μέτρα ασφάλειας λαμβάνονται, στην πράξη, από κοινού με τον ΟΤΕ. Τούτο προκύπτει από την ανάλυση των ευπαθειών των πολιτικών και των σχετικών ρυθμίσεων που οδήγησαν στην παραβίαση της ασφάλειας σε σχέση με τις εν λόγω επεξεργασίες. 

Όσον αφορά τη λήψη των μέτρων ασφάλειας, καθώς ο καθορισμός τους ανήκει ουσιωδώς τόσο στην COSMOTE, όσο και στον ΟΤΕ, προκύπτει παράβαση του άρθρου 12 παρ. 1 του ν. 3471/2006, όσον αφορά την COSMOTE, ενώ για τον ΟΤΕ προκύπτει παράβαση του άρθρου 32 παρ. 1 του ΓΚΠΔ.

8) Παράβαση του άρθρου 5 παρ. 2 σε συνδυασμό με τα άρθρα 26 και 28 του ΓΚΠΔ. 

Οι δύο εταιρείες υποστηρίζουν ότι δρουν από κοινού μεν ως προς τα συστήματα, αλλά ανεξάρτητα η κάθε μία. Το μοντέλο αυτό λειτουργίας, στο οποίο η συνεργασία των εταιρειών είναι μη καταγεγραμμένη, τουλάχιστον σε σχέση με τα μέτρα ασφάλειας, δεν είναι σύμφωνο με την αρχή της λογοδοσίας του άρθρου 5 παρ. 2 του ΓΚΠΔ. 

Και τούτο γιατί δεν προκύπτει ποιος από τους συνεργαζόμενους φορείς έχει την ευθύνη για την επιλογή των ουσιωδών μέσων της επεξεργασίας, και ως εκ τούτου δεν είναι δυνατό να αποδειχθεί η συμμόρφωση των φορέων σε σχέση με την τήρηση της αρχής της ακεραιότητας και εμπιστευτικότητας που προβλέπεται στον ΓΚΠΔ. 

Η συνεργασία των δύο φορέων και η κατανομή των αρμοδιοτήτων τους  θα έπρεπε να βασίζεται είτε σε συμφωνία με βάση το άρθρο 26 του ΓΚΠΔ σε περίπτωση από κοινού ευθύνης είτε σε σύμβαση ή άλλη νομική πράξη με βάση το άρθρο 28 σε περίπτωση ανάθεσης επεξεργασίας. Όπως προέκυψε κατά την ακρόαση των δύο εταιρειών, τέτοιες συμφωνίες δεν υπάρχουν. 

Για τις παραπάνω παραβάσεις, η Αρχή επέβαλε στην COSMOTE πρόστιμο συνολικού ύψους 6.000.000 €, καθώς και κύρωση διακοπής της επεξεργασίας και καταστροφής δεδομένων, ενώ στον ΟΤΕ επέβαλε πρόστιμο ύψους 3.250.000 €.

Το Δικηγορικό μας Γραφείο, για περισσότερα από 15 χρόνια εξειδικεύεται στο Εταιρικό και Εμπορικό Δίκαιο. Επικοινωνήστε μαζί μας για σας καθοδηγήσουμε και να σας συμβουλεύσουμε σε κάθε θέμα σχετικά με τις με τα προσωπικά δεδομένα και τις υποχρεώσεις συμμόρφωσης.