Με πρόσφατη απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επιβλήθηκε διοικητικό πρόστιμο 25.000 ευρώ στο Υπουργείο Αγροτικής Ανάπτυξης καθότι διαπιστώθηκε ότι το οικείο Υπουργείο, για κάτι λιγότερο από ένα χρόνο, δεν είχε ορίσει υπεύθυνο προστασίας δεδομένων με αποτέλεσμα προσωπικά δεδομένα να εκτεθούν σε σοβαρούς κινδύνους (ΑΠΔΠΧ 2/2024).
Στο πλαίσιο μιας ευρύτερης πρωτοβουλίας του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ), η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, όπως και η πλειοψηφία των μελών του ΕΣΠΔ αναλαμβάνει από κοινού την εξέταση ενός θέματος με συντονισμένο τρόπο.
Για το 2023, το ΕΣΠΔ αποφάσισε να δώσει προτεραιότητα στο θέμα «Ο ορισμός και η θέση του υπεύθυνου προστασίας δεδομένων». Για το σκοπό αυτό, το ΕΣΠΔ ανέπτυξε ένα ενιαίο ερωτηματολόγιο σχετικά με τον ορισμό και τη θέση του Υπευθύνου Προστασίας Δεδομένων, το οποίο η Αρχή υιοθέτησε και απέστειλε σε επιλεγμένους φορείς του δημοσίου.
Η Αρχή ως συμμετέχον μέλος σε αυτή τη δράση έχει επιπλέον επιλέξει να συμμετάσχει ασκώντας τις εξουσίες έρευνας, που διαθέτει δυνάμει του άρθρου 58 ΓΚΠΔ, προκειμένου να ελέγξει τον ορισμό και τη θέση του Υπευθύνου Προστασίας Δεδομένων στον δημόσιο τομέα ενόψει της εκ του νόμου υφιστάμενης υποχρέωσης για τον ορισμό συγκεκριμένου προσώπου.
Η ομάδα συντονισμένης δράσης της Αρχής αποτελούμενη από ειδικούς επιστήμονες απέστειλε το ερωτηματολόγιο σε 31 φορείς του δημοσίου στις 03.05.2023. Μεταξύ αυτών ήταν και το Υπουργείο Αγροτικής Ανάπτυξης και Τροφίμων (υπεύθυνος επεξεργασίας) στον οποίο η ομάδα συντονισμένης δράσης απέστειλε το ερωτηματολόγιο με καταληκτική ημερομηνία υποβολής του μέσω του συνδέσμου EUsurvey στις 19.05.2023. Ο υπεύθυνος επεξεργασίας δεν ανταποκρίθηκε στο ανωτέρω έγγραφο.
Η Αρχή έστειλε εκ νέου το ερωτηματολόγιο στον υπεύθυνο επεξεργασίας, στο οποίο ο υπεύθυνος επεξεργασίας κλήθηκε εκ νέου να απαντήσει μέχρι τις 31.05.2023. Ο υπεύθυνος επεξεργασίας δεν ανταποκρίθηκε παρά τις τηλεφωνικές οχλήσεις, που πραγματοποιήθηκαν από μέλος της ομάδας συντονισμένης δράσης. Κατά τη διάρκεια των επικοινωνιών αυτών προέκυψε η πληροφορία ότι κατά τη δεδομένη χρονική περίοδο ο υπεύθυνος επεξεργασίας βρισκόταν σε διαδικασία αναζήτησης ΥΠΔ ή και ανανέωσης της σύμβασης του ΥΠΔ.
Στη συνέχεια και αφού η Αρχή εξέτασε τα στοιχεία του φακέλου, απέστειλε κλήση προς τον υπεύθυνο επεξεργασίας προκειμένου να συζητηθεί η εν λόγω υπόθεση ενώπιον της Ολομέλειας της Αρχής την Τρίτη 19 Δεκεμβρίου 2023. Κατόπιν της λήψης της κλήσης του στην Ολομέλεια της Αρχής, ο υπεύθυνος επεξεργασίας απέστειλε στην Αρχή υπόμνημα, στο οποίο αναφέρεται, αφενός ότι η θητεία του προηγούμενου ΥΠΔ είχε λήξει στις 04.08.2022, και αφετέρου ότι δεν είχε ανανεωθεί λόγω έλλειψης της αναγκαίας πίστωσης. Τελικά εγκρίθηκε και υπεγράφη σύμβαση ανάθεσης υπηρεσιών του ΥΠΔ στις 20.06.2023 με διάρκεια δυο έτη. Για το ενδιάμεσο διάστημα, κατά το οποίο δεν υπήρχε ορισμένος ΥΔΠ, αναφέρεται ότι υφίστατο σχέδιο προστασίας και ασφάλειας προσωπικών δεδομένων και ότι τα υποκείμενα των δεδομένων δεν υπέστησαν ουδεμία ζημία.
Στην προκειμένη περίπτωση, από τα στοιχεία του φακέλου της υπόθεσης προέκυψε ότι, ο υπεύθυνος επεξεργασίας δεν προέβη εμπροθέσμως στην υποβολή του ανωτέρω ερωτηματολογίου ενώ, επίσης, διαπιστώθηκε ότι για το χρονικό διάστημα από 04-08-2022 έως 20-06-2023 το οικείο Υπουργείο δεν είχε ορίσει Υπεύθυνο Προστασίας Δεδομένων.
Έτσι, λοιπόν, η Αρχή διαπιστώθηκε ότι παραβιάστηκε από το Υπουργείο Αγροτικής Ανάπτυξης το άρθρο 31 αναφορικά με τη συνεργασία του υπεύθυνου επεξεργασίας με την Αρχή καθώς και το άρθρο 37 αναφορικά με τον μη ορισμό ΥΠΔ για το χρονικό διάστημα από 04.08.2022 έως 20.06.2023.
Κατόπιν τούτων, η Αρχή επέβαλε το διοικητικό πρόστιμο των 25.000 ευρώ στο Υπουργείο Αγροτικής Ανάπτυξης.
Δείτε την απόφαση της Αρχής στη Qualex: ΑΠΔΠΧ 2/2024
Δείτε τη σχετική Έκδοση: Προσωπικά Δεδομένα
Δείτε το σχετικό Σεμινάριο: Προστασία Δεδομένων Προσωπικού Χαρακτήρα – Με βάση τον Καν (ΕΕ) 2016/679 (GDPR) & τον νέο Ν 4624/2019 – Πρακτική Εφαρμογή & Ουσιαστική Συμμόρφωση
Δείτε τη σχετική Αρθρογραφία στη Qualex: Ο Υπεύθυνος Προστασίας Δεδομένων κατά τον Κανονισμό 2016/679 και την Οδηγία 2016/680