Παραβιάσεις δεδομένων: 98.000 ευρώ πρόστιμο σε Πανεπιστήμιο

Πρόστιμο συνολικού ύψους 98.000 ευρώ επέβαλε η ιρλανδική αρχή προστασίας δεδομένων στο Πανεπιστήμιο του Λίμερικ για πολλαπλές παραβάσεις των απαιτήσεων του Γενικού Κανονισμού Προστασίας Δεδομένων.

Η έρευνα της ιρλανδικής αρχής DPC διεξήχθη αυτεπάγγελτα, μετά τη διαπίστωση πως το Πανεπιστήμιο είχε γνωστοποιήσει δώδεκα περιστατικά παραβίασης δεδομένων μέσα σε χρονικό διάστημα δεκατεσσάρων μηνών. Το χρονικό πεδίο της έρευνας κάλυψε την περίοδο από τον Μάιο 2018 έως τον Ιανουάριο 2020 και αυτό που εξετάστηκε ήταν το κατά πόσον το Πανεπιστήμιο είχε συμμορφωθεί με βασικές διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων.

Σύμφωνα με τα στοιχεία της έρευνας, μεταξύ 30 Νοεμβρίου 2018 και 20 Ιανουαρίου 2020 το Πανεπιστήμιο του Λίμερικ γνωστοποίησε στην DPC συνολικά δώδεκα περιστατικά παραβίασης δεδομένων προσωπικού χαρακτήρα. Σε έξι από αυτά τα περιστατικά, μη εξουσιοδοτημένα πρόσωπα απέκτησαν πρόσβαση σε υπηρεσιακούς λογαριασμούς ηλεκτρονικού ταχυδρομείου εργαζομένων του ιδρύματος, μέσω επιθέσεων ηλεκτρονικού «ψαρέματος» (phishing). Οι επιτιθέμενοι κατάφεραν σε ορισμένες περιπτώσεις να δημιουργήσουν κανόνες αυτόματης προώθησης μηνυμάτων, με αποτέλεσμα μηνύματα που περιείχαν συγκεκριμένες λέξεις-κλειδιά να μεταφέρονται σε φάκελο που είχαν δημιουργήσει εντός των παραβιασμένων γραμματοκιβωτίων.

Οι λογαριασμοί ηλεκτρονικού ταχυδρομείου που επηρεάστηκαν περιείχαν μεγάλο όγκο προσωπικών δεδομένων, μεταξύ αυτών στοιχεία ταυτότητας και επικοινωνίας, τραπεζικές πληροφορίες, ιατρικά ή νομικά έγγραφα, καθώς και αρχεία πειθαρχικών διαδικασιών και διοικητικών θεμάτων του προσωπικού. Στους ίδιους λογαριασμούς περιλαμβάνονταν επίσης δεδομένα που αφορούσαν φοιτητές, μέλη του προσωπικού και τρίτα πρόσωπα εκτός του πανεπιστημίου.

Η DPC εξέτασε την τήρηση σειράς υποχρεώσεων που απορρέουν από τον ΓΚΠΔ και ειδικότερα τη συμμόρφωση με τις απαιτήσεις ασφάλειας των άρθρων 5 παρ.1στ’ και 32 ΓΚΠΔ, σχετικά με την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων για την ασφάλεια της επεξεργασίας των προσωπικών δεδομένων.

Παράλληλα εξετάστηκε η συμμόρφωση με το άρθρο 30 παρ.1 ΓΚΠΔ σχετικά με την τήρηση αρχείου δραστηριοτήτων, με το άρθρο 33 παρ.1 για την υποχρέωση γνωστοποίησης παραβιάσεων δεδομένων στην εποπτική αρχή, καθώς και με το άρθρο 34 παρ.1 για την ενημέρωση των υποκειμένων των δεδομένων.

Σε όλες τις περιπτώσεις, η έρευνα κατέδειξε παραβίαση των απαιτήσεων του νόμου. Ειδικότερα, η DPC διαπίστωσε ότι το Πανεπιστήμιο του Λίμερικ δεν είχε εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτούνται για την ασφάλεια των προσωπικών δεδομένων που υποβάλλονταν σε επεξεργασία μέσω της υπηρεσίας ηλεκτρονικού ταχυδρομείου, κατά παράβαση των άρθρων 5 παρ.1στ’ και 32 παρ.1 ΓΚΠΔ. Επιπλέον, διαπιστώθηκε ότι το αρχικό αρχείο δραστηριοτήτων που τηρούσε το Πανεπιστήμιο δεν πληρούσε τις απαιτήσεις του άρθρου 30 του Γενικού Κανονισμού, ενώ και στις περιπτώσεις των άρθρων 33 και 34 ΓΚΠΔ, οι ενέργειες του Πανεπιστημίου κρίθηκαν ανεπαρκείς.

Η ιρλανδική αρχή διαπίστωσε ότι σε τρεις περιπτώσεις οι γνωστοποιήσεις παραβιάσεων υποβλήθηκαν σε αυτήν πέραν της προθεσμίας των 72 ωρών από τη στιγμή που το Πανεπιστήμιο έλαβε γνώση των περιστατικών, γεγονός που συνιστά παράβαση του άρθρου 33 παρ.1 ΓΚΠΔ. Αντίστοιχα, σε τρεις περιπτώσεις το πανεπιστήμιο δεν ενημέρωσε τα υποκείμενα των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση, παρά το γεγονός ότι οι παραβιάσεις αξιολογήθηκαν ως υψηλού κινδύνου για τα δικαιώματα και τις ελευθερίες τους, κατά παράβαση του άρθρου 34 παρ.1 ΓΚΠΔ.

Κατά τον καθορισμό των διορθωτικών μέτρων η ιρλανδική αρχή έλαβε υπόψη της ότι το Πανεπιστήμιο προέβη σε σημαντικές ενέργειες για την αποκατάσταση των ελλείψεων που εντοπίστηκαν κατά την έρευνα. Με βάση τα στοιχεία που υπέβαλε το ίδρυμα σχετικά με τις βελτιώσεις που εφαρμόστηκαν, η DPC έκρινε ότι δεν ήταν αναγκαίο να δοθεί εντολή συμμόρφωσης με τον Γενικό Κανονισμό.

Παράλληλα, ωστόσο, η αρχή υπογράμμισε ότι η αναγνώριση των βελτιώσεων δεν απαλλάσσει το Πανεπιστήμιο από την υποχρέωση να αξιολογεί διαρκώς την αποτελεσματικότητα των μέτρων που εφαρμόζει και να διασφαλίζει επίπεδο ασφάλειας ανάλογο με τους κινδύνους που ενδέχεται να προκύπτουν από την επεξεργασία δεδομένων.

Η DPC επέβαλε στο Πανεπιστήμιο του Λίμερικ πρόστιμο συνολικού ύψους 90.000 ευρώ και ειδικότερα, πρόστιμο 45.000 ευρώ για τα μέτρα ασφάλειας, 3.000 ευρώ για το αρχείο δραστηριοτήτων, 35.000 ευρώ για τη γνωστοποίηση των παραβιάσεων δεδομένων στην εποπτική αρχή και 15.000 ευρώ για την ανακοίνωση των παραβιάσεων στα υποκείμενα.

Η εποπτική αρχή επεσήμανε ότι τα τελικά ποσά των προστίμων είναι σημαντικά χαμηλότερα από εκείνα που είχαν προταθεί στο σχέδιο απόφασης. Η μείωση συνδέθηκε με το γεγονός ότι το Πανεπιστήμιο αποδέχθηκε την πλειονότητα των διαπιστώσεων της αρχής, αναγνώρισε την ευθύνη του για τις σημαντικές παραβάσεις και προχώρησε σε προληπτικά μέτρα ενίσχυσης των συστημάτων ασφάλειας, της εκπαίδευσης του προσωπικού και των εσωτερικών πολιτικών με στόχο τη μείωση της πιθανότητας επανάληψης παρόμοιων περιστατικών στο μέλλον.