Διαφήμιση

Προσωπικά δεδομένα σε κοινή θέα: Οδηγίες της λετονικής αρχής για την προστασία των στοιχείων πελατών

Παραδείγματα από συνεργεία αυτοκινήτων, καταστήματα και χώρους εξυπηρέτησης αναδεικνύουν πότε η έκθεση δεδομένων σε τρίτους μπορεί να παραβιάζει τον ΓΚΠΔ

prosopika-dedomena-se-koine-thea-odegies-tes-letonikes-arkhes-gia-ten-prostasia-ton-stoikheion-pelaton

Η αδικαιολόγητη έκθεση προσωπικών δεδομένων πελατών σε τρίτους αποτέλεσε το αντικείμενο ενημερωτικής παρέμβασης της λετονικής αρχής προστασίας δεδομένων DVI, η οποία επισημαίνει ότι οι οργανισμοί οφείλουν να λαμβάνουν κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε να αποτρέπουν τη μη εξουσιοδοτημένη πρόσβαση στις πληροφορίες που επεξεργάζονται.

Η λετονική αρχή υπενθυμίζει ότι προσωπικά δεδομένα δεν είναι μόνο ο αριθμός ταυτότητας, το ονοματεπώνυμο ή ο τραπεζικός λογαριασμός, αλλά και ο αριθμός τηλεφώνου, ο αριθμός κυκλοφορίας ενός οχήματος, ο αριθμός πελάτη, η διεύθυνση, οι πληροφορίες παραγγελίας, καθώς και κάθε άλλη πληροφορία που συνδέεται με συγκεκριμένο φυσικό πρόσωπο. Υπενθυμίζει επίσης, ότι οι οργανισμοί που επεξεργάζονται τέτοια δεδομένα υποχρεούνται να διασφαλίζουν την προστασία τους από μη εξουσιοδοτημένη πρόσβαση.

Παρ’ όλα αυτά, η DVI επισημαίνει ότι η απλή έκθεση προσωπικών δεδομένων σε τρίτους δεν συνιστά αυτομάτως παραβίαση της νομοθεσίας, καθώς κάθε περίπτωση πρέπει να αξιολογείται με βάση τα ιδιαίτερα χαρακτηριστικά της, λαμβάνοντας υπόψη το είδος των δεδομένων, την έκταση της πρόσβασης, τον σκοπό της επεξεργασίας και το εάν υπάρχει νόμιμη βάση που να δικαιολογεί τη διάθεση των πληροφοριών σε άλλα πρόσωπα.

Στο ενημερωτικό της σημείωμα, η αρχή παραθέτει χαρακτηριστικά παραδείγματα από την καθημερινή πρακτική.

Ένα από αυτά αφορά συνεργείο επισκευής αυτοκινήτων, όπου στον χώρο εξυπηρέτησης πελατών υπάρχουν θήκες με έγγραφα, που αφορούν άλλα οχήματα. Στα έγγραφα αυτά είναι ορατά το ονοματεπώνυμο των πελατών, οι αριθμοί κυκλοφορίας των οχημάτων, πληροφορίες για τις ζημιές, τις προγραμματισμένες εργασίες επισκευής, το κόστος και άλλα στοιχεία σχετικά με την επισκευή, με αποτέλεσμα κάθε πελάτης που περιμένει τη σειρά του να μπορεί να λάβει γνώση των στοιχείων αυτών.

Αντίστοιχο παράδειγμα έχει να κάνει με καταστήματα στα οποία τα κιβώτια ή οι συσκευασίες με παραγγελίες πελατών παραμένουν σε κοινή θέα μέχρι την παραλαβή τους, αποκαλύπτοντας ονοματεπώνυμα, αριθμούς τηλεφώνου ή άλλα προσωπικά στοιχεία των παραληπτών. Σύμφωνα με τη λετονική αρχή, ανάλογες καταστάσεις μπορούν να εμφανιστούν και σε μονάδες υγείας, κέντρα εξυπηρέτησης πελατών, αθλητικές εγκαταστάσεις ή άλλους χώρους όπου επισκέπτες έχουν τη δυνατότητα να δουν λίστες εγγραφής, έγγραφα, πληροφορίες που εμφανίζονται σε οθόνες υπολογιστών ή άλλα δεδομένα που δεν προορίζονται για αυτούς.

Η DVI υπογραμμίζει ότι τέτοιες πρακτικές δεν συνάδουν με τις απαιτήσεις του ΓΚΠΔ και της νομοθεσίας για την προστασία δεδομένων προσωπικού χαρακτήρα, επισημαίνοντας ότι οι οργανισμοί οφείλουν να οργανώνουν τις διαδικασίες τους κατά τρόπο που να αποτρέπει την αδικαιολόγητη αποκάλυψη στοιχείων πελατών σε τρίτους. Αν και αναγνωρίζεται ότι παρόμοια περιστατικά συχνά οφείλονται σε ανθρώπινα λάθη ή αμέλεια, αυτό που τονίζεται είναι ότι η έκθεση προσωπικών δεδομένων σε τρίτους αντίκειται, κατά κανόνα, στις αρχές της ελαχιστοποίησης των δεδομένων και της εμπιστευτικότητας που προβλέπει ο ΓΚΠΔ.

Πηγή: Datu valsts inspekcija