ΓΓΠΣ και διαρροή δεδομένων, επέμβαση της ΑΠΔΠΧ

[Κομπειλάδας]

ΑΠΔΠΧ
Νέα
(09-08-2013)-Επιβολή προστίμου ύψους εκατόν πενήντα χιλιάδων (150.000) Ευρώ στη Γενική Γραμματεία Πληροφοριακών Συστημάτων για τη μη λήψη κατάλληλων μέτρων ασφάλειας που οδήγησε ήδη σε περιστατικό παραβίασης προσωπικών δεδομένων.
Μπορείτε να κατεβάσετε το αρχείο εδώ

===============================================

Πρόστιμο στη Γενική Γραμματεία Πληροφοριακών Συστημάτων για διαρροή δεδομένων
Ημερομηνία: 09/08/2013 18:55

Η Αρχή Προστασίας Προσωπικών Δεδομένων επέβαλε στη Γενική Γραμματεία Πληροφοριακών Συστημάτων, με την υπ’ αριθμ. 98/2013 Απόφαση, πρόστιμο ύψους 150.000 ευρώ, (το ανώτερο προβλεπόμενο στο νόμο της), κρίνοντας ότι παραβίασε την υποχρέωσή της για λήψη κατάλληλων μέτρων ασφάλειας, γεγονός που οδήγησε ήδη σε ιδιαίτερα σοβαρό περιστατικό παραβίασης προσωπικών δεδομένων, δηλαδή σε διαρροή δεδομένων που αφορούν το σύνολο σχεδόν των φορολογουμένων στην Ελλάδα.

Όπως ήδη ενημέρωσε η Αρχή, με το από 21-11-2012 Δελτίο Τύπου, ξεκίνησε τον Οκτώβριο του 2012 σειρά διοικητικών ελέγχων σε εταιρείες που δραστηριοποιούνται στον τομέα της εμπορίας δεδομένων προσωπικού χαρακτήρα. Οι έλεγχοι επεκτάθηκαν εντός του 2013 και σε άλλες εταιρείες. Κατόπιν επίπονης ανάλυσης, λόγω του όγκου των δεδομένων και της μορφής των ηλεκτρονικών αρχείων, διαπιστώθηκε ότι ορισμένες εξ αυτών είχαν στην κατοχή τους μεγάλο πλήθος φορολογικών δεδομένων φυσικών προσώπων, τα οποία παρέπεμπαν ευθέως στη Γ.Γ.Π.Σ. ως πηγή προέλευσης των δεδομένων και είχαν υποστεί ήδη παράνομη επεξεργασία, αφού βρέθηκαν στην κατοχή εταιρειών.

Σημειωτέον ότι η Αρχή έκτοτε συνεργάσθηκε με την Υποδιεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος, στο μέτρο που είχε ενδείξεις ότι τα ηλεκτρονικά αρχεία τηρούνταν στις οικίες φυσικών προσώπων.

Τα ευρεθέντα προσωπικά (φορολογικά) δεδομένα αφορούν τουλάχιστον τα έτη από το 2000 έως και το 2012. Συνοπτικά περιλαμβάνουν: i) στοιχεία του εντύπου Ε1 για τα οικονομικά έτη από το 2003 έως και το 2009 και εν μέρει για το 2012, ii) στοιχεία του εντύπου Ε2 για το οικονομικό έτος 2006, iii) στοιχεία του εντύπου Ε9, iv) στοιχεία του ΕΤΑΚ, v) στοιχεία της έκτακτης εισφοράς του ν. 3986/2011 για το οικονομικό έτος 2011, vi) στοιχεία του μητρώου φορολογουμένων, vii) στοιχεία των σημειωμάτων περαίωσης του έτους 2010 και viii) στοιχεία τελών κυκλοφορίας οχημάτων για τα έτη από το 2006 έως και το 2012.

Η Αρχή έκρινε ότι η Γ.Γ.Π.Σ., παρά τον όγκο των δεδομένων που διαχειρίζεται και την κρισιμότητα αυτών, μέχρι τις μέρες μας (Ιούλιος 2013) δεν διαθέτει κατάλληλα μέτρα ασφάλειας για την αποτροπή αθέμιτης πρόσβασης και διάδοσης των δεδομένων, καθώς και μέτρα για την ανίχνευση και διερεύνηση τυχόν περιστατικών παραβίασης προσωπικών δεδομένων. Ως εκ τούτου, κάλεσε, τη Γ.Γ.Π.Σ. να λάβει τα αναφερόμενα στην Απόφαση μέτρα και να την ενημερώνει για την πορεία υλοποίησής τους.

==========================================

Απροστάτευτα τα απόρρητα προσωπικά δεδομένα των Ελλήνων φορολογουμένων
09.08.2013 18:55

«Χέρι» σε όλα τα απόρρητα στοιχεία σχεδόν του συνόλου των φορολογουμένων Ελλήνων είχαν βάλει εταιρείες καθώς δεν παρέχονταν καμία προστασία από τη Γενική Γραμματεία Πληροφοριακών Συστημάτων. Σε αυτό το συμπέρασμα κατέληξε η Αρχή Προστασίας Προσωπικών Δεδομένων, η οποία επέβαλε βαρύ πρόστιμο στην εν λόγω υπηρεσία του υπουργείου Οικονομικών και διέταξε τη λήψη μέτρων προκειμένου να αποτραπούν αντίστοιχες διαρροές στο μέλλον.

Τον περασμένο Νοέμβριο είχε ξεκινήσει μία σειρά διοικητικών ελέγχων σε εταιρείες που δραστηριοποιούνται στον τομέα της εμπορίας δεδομένων προσωπικού χαρακτήρα. Διαδικασία η οποία συνεχίστηκε και επεκτάθηκε μέσα στο 2013.

Σε αυτούς διαπιστώθηκε πως ορισμένες από τις εταιρείες είχαν στην κατοχή τους τεράστιο όγκο φορολογικών δεδομένων φυσικών προσώπων, τα οποία «έδειχναν» την Γενική Γραμματεία Πληροφοριακών συστημάτων ως πηγή προέλευσης και είχαν υποστεί παράνομη επεξεργασία. Μάλιστα στη συνέχεια υπήρξε συνεργασία με την Υποδιεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος, στο μέτρο που υπήρχαν ενδείξεις ότι τα ηλεκτρονικά αρχεία βρίσκονταν σε σπίτια.

Μάλιστα, όπως είχε προκύψει στις αρχές του χρόνου, η Δίωξη Ηλεκτρονικού Εγκλήματος είχε κάνει συλλήψεις καθώς προέκυψε ότι τα προσωπικά δεδομένα των φορολογουμένων ήταν αντικείμενο «εμπορίου» ανάμεσα στις εταιρείες, για τα οποία πλήρωναν τεράστια χρηματικά ποσά.

Τα προσωπικά στοιχεία που είχαν διαρρεύσει προκαλούν αμέτρητα ερωτηματικά. Αφορούσαν φορολογικά δεδομένα τουλάχιστον 12 χρόνων- από το 2000 έως το 2012- και περιλαμβάνουν ότι στοιχεία αναφέρονται στις δηλώσεις, τα χρέη των πολιτών, στοιχεία του Τειρεσία, στοιχεία για τα ΙΧ και τα ακίνητα των πολιτών, τις δόσεις που χρωστούν στις εφορίες και σχεδόν όλα τα στοιχεία των συναλλαγών τους με το δημόσιο.

Καμία προστασία

Στην έκτακτη συνεδρίασή της για το θέμα η Αρχή Προστασίας δεδομένων έκρινε πως η εν λόγω υπηρεσία του υπουργείου Οικονομικών «παραβίασε την υποχρέωσή της για λήψη κατάλληλων μέτρων ασφάλειας, γεγονός που οδήγησε ήδη σε ιδιαίτερα σοβαρό περιστατικό παραβίασης προσωπικών δεδομένων, δηλαδή σε διαρροή δεδομένων που αφορούν το σύνολο σχεδόν των φορολογουμένων στην Ελλάδα».

Εξίσου σοβαρό είναι το συμπέρασμα της Αρχής Προστασίας Δεδομένων πως η υπηρεσία δεν διαθέτει τα κατάλληλα μέτρα ασφαλείας για την αποτροπή της αθέμιτης πρόσβασης και διάδοσης των δεδομένων, αλλά ούτε και μέτρα για την ανίχνευση και διερεύνηση περιστατικών παραβίασης προσωπικών δεδομένων. Για αυτό, πέρα από το «βαρύ» πρόστιμο δόθηκε εντολή να ληφθούν τα απαραίτητα μέτρα από την Γ.Γ.Π.Σ. και να ενημερώσει για την πορεία υλοποίησης.

[pav]

Καλύτερα να ήταν ανοιχτά και προσβάσιμα από όλους.

Όχι μόνο είναι πολύ ευκολότερο και έχει σχεδόν μηδενικό κόστος αλλά θα έλυνε και πάρα πολλά προβλήματα οικονομικού εγκλήματος.

[mankasp]

Καλύτερα να ήταν ανοιχτά και προσβάσιμα από όλους.

Όχι μόνο είναι πολύ ευκολότερο και έχει σχεδόν μηδενικό κόστος αλλά θα έλυνε και πάρα πολλά προβλήματα οικονομικού εγκλήματος.

Αυτό κάποια στιγμή πρέπει να το δούμε σοβαρά και να το προτείνουμε ως θέση.