Η Αρχή Προστασίας Προσωπικών Δεδομένων επέβαλε στη Γενική Γραμματεία Πληροφοριακών Συστημάτων (ΓΓΠΣ) το ανώτερο προβλεπόμενο στον νόμο πρόστιμο, ύψους 150.000 ευρώ, κρίνοντας ότι παραβίασε την υποχρέωσή της για λήψη κατάλληλων μέτρων ασφάλειας, γεγονός που οδήγησε σε διαρροή δεδομένων που αφορούν στο σύνολο σχεδόν των φορολογουμένων στην Ελλάδα.

Η Αρχή έκρινε ότι η ΓΓΠΣ, παρά τον όγκο των δεδομένων που διαχειρίζεται και την κρισιμότητά τους, δεν διαθέτει κατάλληλα μέτρα ασφάλειας για την αποτροπή αθέμιτης πρόσβασης και διάδοσης των δεδομένων, καθώς και μέτρα για την ανίχνευση και διερεύνηση τυχόν περιστατικών παραβίασης προσωπικών δεδομένων.

Ως εκ τούτου, η Αρχή κάλεσε τη Γενική Γραμματεία Πληροφοριακών Συστημάτων να λάβει τα αναφερόμενα στην Απόφαση μέτρα και να την ενημερώνει για την πορεία υλοποίησής τους.

Η Απόφαση 98/2013 της Αρχής

Οπως ήδη ενημέρωσε η Αρχή, ξεκίνησε τον Οκτώβριο του 2012 σειρά διοικητικών ελέγχων σε εταιρείες που δραστηριοποιούνται στον τομέα της εμπορίας δεδομένων προσωπικού χαρακτήρα. Οι έλεγχοι επεκτάθηκαν εντός του 2013 και σε άλλες εταιρείες.

Κατόπιν επίπονης ανάλυσης, λόγω του όγκου των δεδομένων και της μορφής των ηλεκτρονικών αρχείων, διαπιστώθηκε ότι ορισμένες εξ αυτών είχαν στην κατοχή τους μεγάλο πλήθος φορολογικών δεδομένων φυσικών προσώπων, τα οποία παρέπεμπαν ευθέως στη ΓΓΠΣ ως πηγή προέλευσης των δεδομένων και είχαν υποστεί ήδη παράνομη επεξεργασία, αφού βρέθηκαν στην κατοχή εταιρειών.

Η Αρχή έκτοτε συνεργάσθηκε με την Υποδιεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος, στο μέτρο που είχε ενδείξεις ότι τα ηλεκτρονικά αρχεία τηρούνταν στις οικίες φυσικών προσώπων.

Τα ευρεθέντα προσωπικά (φορολογικά) δεδομένα αφορούν τουλάχιστον τα έτη από το 2000 έως και το 2012. Συνοπτικά περιλαμβάνουν:

- στοιχεία του εντύπου Ε1 για τα οικονομικά έτη από το 2003 έως και το 2009 και εν μέρει για το 2012,

- στοιχεία του εντύπου Ε2 για το οικονομικό έτος 2006,

- στοιχεία του εντύπου Ε9,

- στοιχεία του ΕΤΑΚ,

- στοιχεία της έκτακτης εισφοράς του ν. 3986/2011 για το οικονομικό έτος 2011, vi) στοιχεία του μητρώου φορολογουμένων,

- στοιχεία των σημειωμάτων περαίωσης του έτους 2010 και

- στοιχεία τελών κυκλοφορίας οχημάτων για τα έτη από το 2006 έως και το 2012.

Ποια μέτρα ζητά η Αρχή

Με την απόφασή της η Αρχή ζητά από τη ΓΓΠΣ καταρχήν να εφαρμόζει πλήρως, δηλαδή σε όλα τα πληροφοριακά συστήματα που βρίσκονται υπό την ευθύνη της, εγκεκριμένη πολιτική ασφαλείας. Επίσης, μετά από ολοκληρωμένη μελέτη ανάλυσης επικινδυνότητας και ευπαθειών, πρέπει να προβεί σε αναθεώρηση της υφιστάμενης πολιτικής ασφάλειας, κατάρτιση, εφαρμογή και αξιολόγηση των επιμέρους σχεδίων ασφάλειας.

Στο πλαίσιο των παραπάω ενεργειών πρέπει, κατά την Αρχή, να προβλεφθούν και τα ακόλουθα:

- Η σταδιακή διερεύνηση του ενδεχομένου λήψης πιστοποίησης σε θέματα διαδικασιών ασφάλειας.

- Ο έλεγχος από ανεξάρτητο οργανισμό, σε τακτική βάση τουλάχιστον ετησίως, της ασφάλειας των συστημάτων και διαδικασιών, συμπεριλαμβανομένης της αποτίμησης των εφαρμοζόμενων μέτρων ασφάλειας. Τα αποτελέσματά του να κοινοποιούνται στην Αρχή.

- Ο περιοδικός έλεγχος από τη ΓΓΠΣ, τουλάχιστον ετησίως, των τυχόν εκτελούντων την επεξεργασία ως προς τη λήψη των κατάλληλων μέτρων ασφάλειας.

Η ΓΓΠΣ πρέπει εντός δύο μηνών να συντάξει σχετικό χρονοδιάγραμμα, στο οποίο θα προσδιορίζονται οι διαδικασίες για την κατάρτιση, την υλοποίηση, την επίβλεψη και την επικαιροποίηση των παραπάνω και ο χρόνος εκτέλεσής τους. Πρέπει, επίσης, να ενημερώνει ανά τρίμηνο την Αρχή για την εφαρμογή του.

Επιπλέον, ως μέτρα για την αποφυγή, ανίχνευση και διερεύνηση περιστατικών παραβίασης προσωπικών δεδομένων η Αρχή τονίζει στην Απόφασή της θα πρέπει να προβλεφθούν και εφαρμοστούν τα εξής:

- Ελεγχόμενη, μέσω κατάλληλων εξουσιοδοτήσεων, διαδικασία εξαγωγής ή/και λήψης δεδομένων από τα τερματικά που χρησιμοποιούνται για την επεξεργασία προσωπικών δεδομένων ή/και να αποκλειστεί η χρήση αποσπώμενων μέσων και η σύνδεση στο διαδίκτυο από συγκεκριμένα τερματικά.

- Mέτρα για την προστασία της ακεραιότητας των αρχείων καταγραφής, τον έλεγχο της απομακρυσμένης πρόσβασης και την ενεργοποίηση συστηματικής διαδικασίας χρήσης και ελέγχου συνθηματικών σε κάθε σύστημα.

- Αναθεώρηση της διαδικασίας καταγραφής ενεργειών τύπου ερωτημάτων (SELECT) σε πίνακες της βάσης δεδομένων ή συστήματα που επεξεργάζονται προσωπικά δεδομένα και λήψη μέτρων για τον αυτοματοποιημένο, προληπτικό, έλεγχο των αρχείων καταγραφής.