Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε πρόστιμο 150.000 ευρώ στην εταιρεία Aegean Marine Petroleum Network Inc (AMPNI), καθώς είχε προβεί σε παράνομη, σύμφωνα με την Αρχή, επεξεργασίας δεδομένων προσωπικού χαρακτήρα μέσω διακομιστή (server).

Αναλυτικότερα, η Αρχή, με αφορμή γνωστοποίηση περιστατικού παραβίασης δεδομένων κατά της εταιρείας AMPNI, η οποία συνίστατο σε παράνομη πρόσβαση και αντιγραφή του συνόλου του περιεχομένου διακομιστή (server) που περιελάμβανε δεδομένα προσωπικού χαρακτήρα και τον οποίο χρησιμοποιούσαν από κοινού εργαζόμενοι, τόσο της ανωτέρω εταιρείας αλλά και άλλων εταιρειών του ίδιου ομίλου, όσο και εργαζόμενοι εταιρειών εκτός ομίλου, διερεύνησε τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα προ της αντιγραφής του διακομιστή.

Μετά από έρευνα η Αρχή, με την απόφαση 44/2019, διαπίστωσε ότι η εταιρία ως υπεύθυνος επεξεργασίας δεν είχε συμμορφωθεί προς τις επιταγές του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), δεν είχε λάβει μέτρα συμμόρφωσης κατ' άρ. 5 και 6 ΓΚΠΔ, δεν είχε σχεδιάσει και εφαρμόσει εσωτερικές πολιτικές και κανονισμούς για τη χρήση των εταιρικών μέσων ηλεκτρονικών επικοινωνιών και δικτύων, για τη δυνατότητα διενέργειας εσωτερικών ελέγχων και για την υποχρέωση ενημέρωσης των υποκειμένων των δεδομένων.

Παράλληλα, η Αρχή, σύμφωνα με ανακοίνωσή της, «διαπίστωσε ότι η από κοινού χρήση του διακομιστή πραγματοποιούνταν κατά παράβαση της αρχής της ασφαλούς επεξεργασίας συνεπεία έλλειψης των κατάλληλων τεχνικών και οργανωτικών μέτρων, ιδίως εκείνων που αφορούσαν τον φυσικό και λογικό διαχωρισμό υλικού, λογισμικού και δεδομένων με αποτέλεσμα η εταιρεία εν τέλει να αντιγράψει παράνομα το σύνολο του περιεχομένου του διακομιστή».

Μετά τη διαπίστωση των παραβάσεων του ΓΚΠΔ η Αρχή με την υπ΄ αριθμ. 44/2019 απόφασή της επέβαλε διορθωτικά μέτρα και συγκεκριμένα:

Α) Η εταιρεία εντός 3 μηνών από την παραλαβή της απόφασης να:

i. καταστήσει σύμφωνες με τις διατάξεις του ΓΚΠΔ τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται τόσο στη χρησιμοποιούμενη όσο και στην αντιγραφείσα υπολογιστική υποδομή και

ii. λάβει όλα τα αναγκαία μέτρα εσωτερικής συμμόρφωσης και λογοδοσίας προς τις αρχές του άρθρου 5 παρ. 1 και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ και για τις ενέργειες της να ενημερώσει την Αρχή

Β) Να επιβάλει στην εταιρεία το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στη συγκεκριμένη περίπτωση ύψους 150.000 ευρώ.

Πηγή: ΑΠΕ-ΜΠΕ