Πρόστιμο άνω των 740.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων στις εταιρείες Vodafone-ΠΑΝΑΦΟΝ Α.Ε.Ε.Τ. και DS Phone Μονοπρόσωπη ΙΚΕ, έπειτα από σοβαρές παραβιάσεις στη διαχείριση προσωπικών δεδομένων. Η υπόθεση ήρθε στο φως όταν συνδρομήτρια της Vodafone κλήθηκε σε προκαταρκτική εξέταση, καθώς ένας αριθμός που είχε ενεργοποιηθεί εν αγνοία της χρησιμοποιήθηκε για την τέλεση αδικημάτων.
Η έρευνα αποκάλυψε ότι σε κατάστημα franchise της Vodafone, το οποίο διαχειριζόταν η DS Phone, 15 γραμμές καρτοκινητής ενεργοποιήθηκαν με τη χρήση αντιγράφου ταυτότητας της καταγγέλλουσας, χωρίς τη συναίνεσή της. Ο υπάλληλος φέρεται να τις διέθεσε σε «ομάδα τουριστών», χρησιμοποιώντας έγγραφο που είχε αποθηκευτεί ήδη στο σύστημα του καταστήματος.
Ιδιαίτερη βαρύτητα έχει το γεγονός ότι η Vodafone, παρότι ενημερώθηκε για το περιστατικό, παρείχε δύο φορές ανακριβή πληροφόρηση στις εισαγγελικές αρχές, κατονομάζοντας την καταγγέλλουσα ως κάτοχο των συνδέσεων. Η Αρχή κατέληξε ότι τόσο η Vodafone όσο και η DS Phone παραβίασαν θεμελιώδεις υποχρεώσεις προστασίας προσωπικών δεδομένων, επιβάλλοντας πρόστιμα που ξεπερνούν συνολικά τις 740.000 ευρώ.
Το περιστατικό αναδεικνύει σοβαρά κενά στον έλεγχο ταυτοποίησης και την ασφάλεια διαδικασιών ενεργοποίησης συνδέσεων, σε μια περίοδο που η Αρχή εντείνει τους ελέγχους για την προστασία πολιτών από κακόβουλες ή αμέλειες πρακτικές.
Ως εκτελών την επεξεργασία, η DS Phone κρίθηκε υπεύθυνη για παράβαση των άρθρων 32 και 29 του ΓΚΠΔ, καθώς δεν τήρησε τα απαραίτητα μέτρα ασφαλείας και τις διαδικασίες ταυτοποίησης. Για την παράβαση αυτή, της επιβλήθηκε πρόστιμο 40.000 ευρώ.
Από την πλευρά της, η Vodafone, ως υπεύθυνος επεξεργασίας, κρίθηκε ένοχη για πολλαπλές παραβάσεις, οι οποίες οδήγησαν στην επιβολή προστίμων συνολικού ύψους 700.000 ευρώ.
Πιο συγκεκριμένα, η Αρχή διαπίστωσε παραβιάσεις:
του άρθρου 28, παρ. 1 και 3 του ΓΚΠΔ, για το οποίο επιβλήθηκε πρόστιμο 350.000 ευρώ.
του άρθρου 5, παρ. 1, στοιχ. δ’ του ΓΚΠΔ, που αφορά την αρχή της ακρίβειας των δεδομένων, επιβάλλοντας πρόστιμο 200.000 ευρώ.
του άρθρου 12, παρ. 1 και 3 του Ν. 3471/2006, για το οποίο επιβλήθηκε πρόστιμο 150.000 ευρώ.
Τέλος, η Αρχή Προστασίας Δεδομένων υπογράμμισε ότι η Vodafone, παρότι γνώριζε το περιστατικό, χορήγησε δύο φορές λανθασμένη πληροφόρηση στις εισαγγελικές αρχές, κατονομάζοντας την καταγγέλλουσα ως κάτοχο των συνδέσεων. Επιπλέον, κρίθηκε ότι δεν είχε λάβει επαρκή μέτρα για την αποτελεσματική επιλογή και εποπτεία του συνεργάτη της. Παράλληλα με τα πρόστιμα, η Αρχή απηύθυνε στην εταιρεία προειδοποίηση για άμεση ενίσχυση της ασφάλειας των διαδικασιών της.
