«Ναι» στο πρόστιμο των 150.000 ευρώ που επιβλήθηκε από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στη Γενική Γραμματεία Πληροφοριακών Συστημάτων είπε το Συμβούλιο της Επικρατείας.

Η Αρχή επέβαλε το πρόστιμο με την απόφαση υπ’ αριθμ. 98/2013, η Αρχή είχε επιβάλει στη ΓΓΠΣ κρίνοντας ότι η ΓΓΠΣ παραβίασε την υποχρέωσή της για λήψη κατάλληλων μέτρων ασφάλειας, γεγονός που οδήγησε σε ιδιαίτερα σοβαρό περιστατικό παραβίασης προσωπικών δεδομένων, δηλαδή σε διαρροή δεδομένων που αφορούν το σύνολο σχεδόν των φορολογουμένων στην Ελλάδα.

Το ΣτΕ με την εν λόγω απόφαση απέρριψε τον λόγο ακύρωσης που προέβαλε η ΓΓΠΣ ότι μη νομίμως ζητήθηκε από αυτήν με τις συστάσεις που της απηύθυνε η Αρχή να λάβει «αμελλητί» τα ενδεδειγμένα μέτρα, που αναφέρονται στην απόφαση υπ’ αριθμ. 98/2013, για την αντιμετώπιση του προβλήματος της ενίσχυσης της ασφάλειας των πληροφοριακών συστημάτων της.

Σημειώνεται ότι η Αρχή διαπίστωσε σε νεότερο έλεγχό της κατά το έτος 2016 ότι η φορολογική διοίκηση είχε προχωρήσει σε ικανοποιητικές ενέργειες συμμόρφωσης με τις συστάσεις της απόφασης 98/2013.

Με αφορμή την έκδοση της ανωτέρω απόφασης του ΣτΕ, η Αρχή επισημαίνει ότι ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) που έχει τεθεί σε ισχύ από τις 25/5/2018, προτάσσει την «αρχή της διαφάνειας». Ειδικά για τον δημόσιο τομέα, η διαφάνεια κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, όπως με την ορθή και σε απλή γλώσσα ενημέρωση για τον τρόπο με τον οποίο οι Δημόσιες Αρχές επεξεργάζονται τα δεδομένα των πολιτών για την άσκηση των αρμοδιοτήτων τους, θα οδηγήσει σε αύξηση της εμπιστοσύνης των πολιτών στη Δημόσια Διοίκηση.

Πρέπει να σημειωθεί ότι, με απώτερο στόχο την προστασία των δικαιωμάτων των πολιτών-υποκείμενων των δεδομένων, ο Γενικός Κανονισμός έχει αυξήσει τις υποχρεώσεις των «υπευθύνων επεξεργασίας» (εταιρειών, οργανισμών) ως προς την ασφάλεια της επεξεργασίας, δεδομένου ότι σε αυτούς ανατίθεται η γενικότερη ευθύνη για τον καθορισμό των κατάλληλων για τον σκοπό αυτό τεχνικών και οργανωτικών μέτρων.

Συγχρόνως, ο Κανονισμός θεσπίζει για πρώτη φορά ρητά αυτοτελή υποχρέωση και των «εκτελούντων την επεξεργασία» για λήψη μέτρων ασφάλειας και εισάγει υποχρεώσεις για τον χειρισμό και τη γνωστοποίηση περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα.