Πρόστιμο μαμούθ ύψους 6.000.000 € επέβαλλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην εταιρεία Cosmote όπως επίσης και πρόστιμο 3.250.000 € στον ΟΤΕ. Το πρόστιμο αφορά σε παραβίαση προσωπικών δεδομένων εκ μέρους της COSMOTE και συγκεκριμένα διαρροή δεδομένων κλήσεων χιλιάδων συνδρομητών της κατά το χρονικό διάστημα από 1/9/2020 έως 5/9/2020.
Η συγκεκριμένη υπόθεση είχε λάβει το Σεπτέμβριο του 2020 μεγάλη δημοσιότητα και σύμφωνα με ανακοίνωση που είχε εκδώσει, τότε, η εταιρεία κινητής τηλεφωνίας, η διαρροή δεδομένων κλήσεων συνδρομητών, ήταν αποτέλεσμα κυβερνοεπίθεσης, την οποία η ίδια ανακάλυψε κατά τη διάρκεια ελέγχου των συστημάτων της.
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διερευνώντας τις συνθήκες υπό τις οποίες έλαβε χώρα το περιστατικό, εξέτασε τη νομιμότητα της τήρησης των αρχείων που διέρρευσαν καθώς και τα εφαρμοζόμενα μέτρα ασφάλειας. Πρόκειται, όπως σημειώνει, «για ένα αρχείο που περιλαμβάνει δεδομένα κίνησης των συνδρομητών και το οποίο, αφενός μεν, τηρείται με σκοπό τη διαχείριση προβλημάτων και βλαβών για 90 ημέρες από την πραγματοποίηση των κλήσεων, αφετέρου δε, το αρχείο «ανωνυμοποιείται» (ψευδωνυμοποιείται) και τηρείται για 12 μήνες με σκοπό την εξαγωγή στατιστικών συμπερασμάτων προς τον βέλτιστο σχεδιασμό του δικτύου κινητής τηλεφωνίας, αφού εμπλουτιστεί με επιπλέον απλά προσωπικά δεδομένα».
Ωστόσο, όπως αναφέρει η ανεξάρτητη Αρχή «από τη διερεύνηση της υπόθεσης προέκυψε παράβαση, εκ μέρους της COSMOTE, της αρχής της νομιμότητας (άρθρα 5 και 6 ν. 3471/2006) και της αρχής της διαφάνειας, λόγω ασαφούς και ελλιπούς ενημέρωσης των συνδρομητών (άρθρο 5 παρ. 1 α) και 13-14 Γενικού Κανονισμού Προστασίας Δεδομένων – ΓΚΠΔ), παράβαση του άρθρου 35 παρ. 7 ΓΚΠΔ λόγω πλημμελούς διεξαγωγής της εκτίμησης αντικτύπου, παράβαση των άρθρων 25 παρ. 1 λόγω πλημμελούς υλοποίησης της διαδικασίας ανωνυμοποίησης, παράβαση του άρθρου 12 παρ. 1 ν. 3471/2006 λόγω ελλιπών μέτρων ασφαλείας και παράβαση του άρθρου 5 παρ. 2 σε συνδυασμό με τα άρθρα 26 και 28 λόγω μη κατανομής των ρόλων των δύο εταιρειών σε σχέση με την υπό κρίση επεξεργασία».
Ακόμη σύμφωνα με την Αρχή, «διαπιστώθηκε, εκ μέρους του ΟΤΕ, παράβαση του άρθρου 32 ΓΚΠΔ λόγω ελλιπών μέτρων ασφάλειας σε σχέση με τις υποδομές που χρησιμοποιήθηκαν στο πλαίσιο του περιστατικού».
Για τις παραπάνω παραβάσεις «και λαμβανομένων υπόψη των κριτηρίων του άρθρου 83 παρ. 2 ΓΚΠΔ», η Αρχή επέβαλε στην COSMOTE πρόστιμο συνολικού ύψους 6.000.000 €, καθώς και κύρωση διακοπής της επεξεργασίας και καταστροφής δεδομένων, ενώ στον ΟΤΕ επέβαλε πρόστιμο ύψους 3.250.000 €. Διαβάστε εδώ ολόκληρη την απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.