GDPR Flash News: Fine on a telephone company for failure to comply with the principles of confidentiality

By Kleio Kondi

The Spanish Data Protection Authority imposed a fine of 50.000 euros on a telephone company for failure to comply with the principles of confidentiality and security of data processing through the implementation of adequate technical and organizational measures.

Below you may find the full article in Greek

GDPR: Πρόστιμο 50.000 ευρώ σε τηλεπικοινωνιακό πάροχο για εσφαλμένη αποστολή λογαριασμών

Η Ισπανική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο σε τηλεπικοινωνιακό πάροχο λόγω της αποστολής λογαριασμών άλλου πελάτη στον καταγγέλοντα. Παρόλο που ο καταγγέλων επικοινώνησε επανειλημμένως αυτή την εσφαλμένη πρακτική στον τηλεπικοινωνιακό πάροχο, δεν έλαβε καμία απάντηση σχετικά και ακολούθως υπέβαλε την καταγγελία. Η διάρκεια της σχετικής πρακτικής ήταν είκοσι μήνες.

Η αρμόδια εποπτική Αρχή έκρινε ότι ο τηλεπικοινωνιακός πάροχος ευθύνεται για παραβίαση της αρχής της εμπιστευτικότητας των δεδομένων και της ασφάλειας της επεξεργασίας (άρθρα 5.1.στ και 32 αντίστοιχα του Γενικού Κανονισμού Προστασίας Δεδομένων). Ειδικότερα, μέσω της εσφαλμένης αποστολής των λογαριασμών, κοινολογήθηκαν προσωπικά δεδομένα άλλου πελάτη στον καταγγέλοντα. Διαπιστώθηκε επίσης ότι δεν είχαν τεθεί σε ισχύ τα κατάλληλα τεχνικά και οργανωτικά μέτρα από την πλευρά του παρόχου που θα διασφάλιζαν ένα επαρκές επίπεδο ασφάλειας των δεδομένων και θα περιόριζαν τον σχετικό κίνδυνο.

Σε συνέχεια των ανωτέρω, επεβλήθη πρόστιμο συνολικού ύψους 50.000 ευρώ στον τηλεπικοινωνιακό πάροχο για την παραβίαση των προαναφερόμενων διατάξεων.  Η αμέλεια που προκάλεσε την παραβίαση, η διάρκεια της, καθώς και οι κατηγορίες προσωπικών δεδομένων που συνιστούν το αντικείμενο αυτής συνεκτιμήθηκαν ως παράγοντες κατά τον υπολογισμό του προστίμου από την εποπτική Αρχή.

Συμπεράσματα:

  • Η εν λόγω απόφαση της εποπτικής Αρχής αναδεικνύει τη σημασία λήψης κατάλληλων τεχνικών και οργανωτικών μέτρων τα οποία ελαχιστοποιούν τους υφιστάμενους κινδύνους για την προστασία των προσωπικών δεδομένων.
  • Είναι αξιοσημείωτο πως ενώ η εν λόγω παραβίαση δεν αφορούσε μεγάλο αριθμό υποκειμένων, επεβλήθη από την Αρχή ιδιαιτέρως υψηλό πρόστιμο, ώστε να λειτουργεί αποτρεπτικά και αποτελεσματικά αναφορικά με τη συμμόρφωση των υπευθύνων επεξεργασίας με το σύνολο των υποχρεώσεών τους.