«Τσουχτερό» πρόστιμο, το υψηλότερο προβλεπόμενο, σύμφωνα με την ισχύουσα νομοθεσία, θα πρέπει οριστικά πλέον να καταβάλει το Υπουργείο Οικονομικών για την πρωτοφανή σε έκταση διαρροή πλήθους προσωπικών δεδομένων Ελλήνων φορολογουμένων προς εταιρείες εμπορίας προσωπικών δεδομένων που είχε διαπιστωθεί, πριν από έξι χρόνια.
Πρόστιμο λόγω ανεπάρκειας
Το πρόστιμο το οποίο ανέρχεται στο ποσό των 150.000 ευρώ, είχε επιβληθεί από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα το 2013 στη Γενική Γραμματεία Πληροφοριακών Συστημάτων (Γ.Γ.Π.Σ.) του Υπουργείου Οικονομικών λόγω ανεπάρκειας των συστημάτων ασφαλείας με αποτέλεσμα τη διαρροή στοιχείων που αφορούσαν το σύνολο σχεδόν των φορολογουμένων στην Ελλάδα. Παρά τις επανειλημμένες προσπάθειες του υπουργείου Οικονομικών να μειώσει ή να ακυρώσει το πρόστιμο αυτό, δεν τα κατάφερε.
Επικύρωση του προστίμου από το ΣτΕ
Με απόφαση του Συμβουλίου της Επικρατείας , επικυρώθηκε τελικά το πρόστιμο που θα πρέπει να καταβληθεί από τη Γ.Γ.Π.Σ για παραβίαση της υποχρέωσής της στη λήψη των κατάλληλων μέτρων ασφαλείας καθώς απορρίφθηκε η αίτηση ακύρωσης που είχε καταθέσει στο Ανώτατο Ακυρωτικό Δικαστήριο το υπουργείο Οικονομικών.
Σύμφωνα με την απόφαση του ΣτΕ:
«Η κρίση της Αρχής σχετικά με την επιβολή του ανώτατου προβλεπόμενου στον νόμο προστίμου παρίσταται νομίμως και επαρκώς αιτιολογημένη και δεν προκύπτει παράβαση της αρχής της αναλογικότητας». Και τούτο «εν όψει της έκτασης της μη εξουσιοδοτημένης πρόσβασης και παράνομης επεξεργασίαςπροσωπικών φορολογικών στοιχείων που διαπιστώθηκε, του όγκου των προσωπικών δεδομένων και της μεγάλης χρονικής περιόδου, που αφορούσε η παραβίαση, της φύσης των δεδομένων, ορισμένα εκ των οποίων υπάγονται στην κατηγορία των ευαίσθητων προσωπικών δεδομένων, καλύπτονται δε, από το φορολογικό απόρρητο, καθώς επίσης και της σημασίας των εν λόγω δεδομένων για τα υποκείμενα αυτών, αλλά και της σημασίας της διαφύλαξης του φορολογικού απορρήτου χάριν της διασφάλισης της εμπιστοσύνης των πολιτών στη φορολογική αρχή, προς αποτροπή ενεργειών που κατατείνουν στην απόκρυψη φορολογητέας φορολογικής ύλης» (σκέψη 11).
Εξάλλου, το ΣτΕ με την εν λόγω απόφαση απέρριψε τον λόγο ακύρωσης που προέβαλε η Γ.Γ.Π.Σ. ότι μη νομίμως ζητήθηκε από αυτήν με τις συστάσεις που της απηύθυνε η Αρχή να λάβει «αμελλητί» τα ενδεδειγμένα μέτρα, που αναφέρονται στην απόφαση υπ’ αριθμ. 98/2013, για την αντιμετώπιση του προβλήματος της ενίσχυσης της ασφάλειας των πληροφοριακών συστημάτων της.
Συμμορφώθηκε πλέον η φορολογική διοίκηση
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εκφράζει πάντως την ικανοποίησή της για τα μέτρα που έχουν ληφθεί στο εξής για την προστασία των δικαιωμάτων των πολιτών. Όπως αναφέρει, σε νεότερο έλεγχό της κατά το έτος 2016 διαπίστωσε ότι:
«Η φορολογική διοίκηση είχε προχωρήσει σε ικανοποιητικές ενέργειες συμμόρφωσης με τις συστάσεις της απόφασης 98/2013 (βλ. απόφαση 75/2016 της Αρχής)».
Η Αρχή επισημαίνει μάλιστα χαρακτηριστικά ότι:
«Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) που έχει τεθεί σε ισχύ από τις 25/5/2018, προτάσσει την «αρχή της διαφάνειας». Ειδικά για τον δημόσιο τομέα, η διαφάνεια κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, όπως με την ορθή και σε απλή γλώσσα ενημέρωση για τον τρόπο με τον οποίο οι Δημόσιες Αρχές επεξεργάζονται τα δεδομένα των πολιτών για την άσκηση των αρμοδιοτήτων τους, θα οδηγήσει σε αύξηση της εμπιστοσύνης των πολιτών στη Δημόσια Διοίκηση.
Πρέπει να σημειωθεί ότι, με απώτερο στόχο την προστασία των δικαιωμάτων των πολιτών-υποκείμενων των δεδομένων, ο Γενικός Κανονισμός έχει αυξήσει τις υποχρεώσεις των «υπευθύνων επεξεργασίας» (εταιρειών, οργανισμών) ως προς την ασφάλεια της επεξεργασίας, δεδομένου ότι σε αυτούς ανατίθεται η γενικότερη ευθύνη για τον καθορισμό των κατάλληλων για τον σκοπό αυτό τεχνικών και οργανωτικών μέτρων. Συγχρόνως, ο Κανονισμός θεσπίζει για πρώτη φορά ρητά αυτοτελή υποχρέωση και των «εκτελούντων την επεξεργασία» για λήψη μέτρων ασφάλειας και εισάγει υποχρεώσεις για τον χειρισμό και τη γνωστοποίηση περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα».
Η πρωτοφανής διαρροή
Η επίμαχη διαρροή πάντως που προκάλεσε και την επιβολή του προστίμου και δεν αμφισβητήθηκε ούτε από τη Γενική Γραμματεία Πληροφοριακών Συστημάτων, φέρεται να συνέβαινε επί τουλάχιστον δώδεκα χρόνια.
Σύμφωνα με τα όσα περιλαμβάνονται στην απόφαση της Αρχής, πλήθος απόρρητων προσωπικών δεδομένων που αφορούσαν το σύνολο των φορολογουμένων στην Ελλάδα, όπως είναι τα Ε1, Ε9, στοιχεία για το ΕΤΑΚ, τα τέλη κυκλοφορίας κτλ., διέρρευσαν σε εταιρείες εμπορίας δεδομένων προσωπικού χαρακτήρα. Όπως ανέφερε μάλιστα η απόφαση, η διαρροή, η οποία αποδίδεται στα ελλιπή μέτρα ασφαλείας της Γ.Γ., ήταν «πρωτοφανούς έκτασης, αφού αφορά στο σύνολο των φορολογουμένων στην Ελλάδα, για ιδιαίτερα μακρύ χρονικό διάστημα». Η όλη υπόθεση αποκαλύφθηκε κατά τη διάρκεια ελέγχων της Αρχής σε εταιρείες εμπορίας προσωπικών δεδομένων, που έγιναν το 2012. Στο πλαίσιο των ερευνών διαπιστώθηκε ότι οι εταιρείες είχαν στη διάθεσή τους αναλυτικά στοιχεία δηλώσεων φορολογίας εισοδήματος, έντυπα Ε1 και Ε9, στοιχεία για το ΕΤΑΚ και την έκτακτη εισφορά, για το ύψος των τελών κυκλοφορίας αλλά και για το ποιοι φορολογούμενοι έκαναν περαίωση το 2010.
Ιδιαίτερα ενδιαφέρον είναι το γεγονός ότι, όπως χαρακτηριστικά αναφέρεται στην απόφαση της Αρχής, η Γενική Γραμματεία δεν αμφισβητεί τα πραγματικά δεδομένα της διαρροής προσωπικών δεδομένων φορολογουμένων αλλά και τις παραβάσεις που της αποδίδονται.