Ανταπόκριση από Στρασβούργο – Νίκος Ρούσσης
Η Ιρλανδική Επιτροπή Προστασίας Δεδομένων, ως η κύρια εποπτική αρχή για το Facebook στην Ευρώπη, ερευνά το θέμα, της παραβίασης δεδομένων που αφορούσαν 533 εκατομμύρια λογαριασμούς στο Facebook, διαβεβαιώνει, με απάντηση του, προς την Γαλλίδα ευρωβουλευτή της Ομάδας Ταυτότητας και Δημοκρατίας Virginie Joron, ο αρμόδιος Επίτροπος Reynders!
Η Γαλλίδα ευρωβουλευτής, στην ερώτηση της, είχε υπενθυμίσει με νοημα στην Κομισιόν ότι:
-Στις αρχές Απριλίου 2021, δημοσιεύθηκαν νέα σχετικά με παραβίαση δεδομένων που αφορούσαν 533 εκατομμύρια λογαριασμούς στο Facebook, μ’ αποτέλεσμα να διακυβεύονται προσωπικές πληροφορίες, συμπεριλαμβανομένων αριθμών τηλεφώνου, τοποθεσιών και ορισμένων διευθύνσεων ηλεκτρονικού ταχυδρομείου.
-Αυτή η παραβίαση θα μπορούσε να επηρεάσει 20 εκατομμύρια χρήστες Facebook στη Γαλλία .
-Σύμφωνα με δημοσιεύματα, την Τρίτη 6 Απριλίου το Facebook είπε στην Ιρλανδική Επιτροπή Προστασίας Δεδομένων ότι επέλεξε να μην ειδοποιήσει τις αρμόδιες αρχές, για την παράβαση, υποστηρίζοντας ότι η παράβαση έλαβε χώρα πριν από την έναρξη ισχύος του Γενικού Κανονισμού Προστασίας Δεδομένων της ΕΕ.
Ερωτούσε δε, εύλογα, την Κομισιόν αν μπορεί να εξηγήσει εάν επιτρέπεται ή όχι στο Facebook να «επιλέξει να μην ειδοποιήσει» τις αρμόδιες αρχές για παραβίαση προσωπικών δεδομένων, αν μπορεί να ρίξει φως στα μέτρα που είναι διαθέσιμα, ώστε οι εταιρείες όπως το Facebook να είναι υπόλογες για να αποφασίσουν συνειδητά να κρατήσουν πληροφορίες για παραβίαση δεδομένων καθώς και αν προτίθεται να λάβει νομικά μέτρα κατά του Facebook.
Ακολουθεί ολόκληρη η διαφωτιστική απάντηση του Επιτρόπου:
Απάντηση του κ. Reynders εξ ονόματος της Ευρωπαϊκής Επιτροπής (16.6.2021)
Σε περίπτωση παραβίασης προσωπικών δεδομένων, ο υπεύθυνος επεξεργασίας υποχρεούται σύμφωνα με το άρθρο 33 του κανονισμού (ΕΕ) 2016/679 (GDPR) να ειδοποιεί την αρμόδια αρχή προστασίας δεδομένων, «εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι απίθανο να οδηγήσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων ». Ο ελεγκτής υποχρεούται να ειδοποιήσει την παράβαση εντός 72 ωρών. Εναπόκειται στην αρμόδια εθνική αρχή προστασίας δεδομένων να διερευνήσει εάν η υποχρέωση κοινοποίησης παραβίασης δεδομένων ισχύει για υπεύθυνο επεξεργασίας ενόψει της δυνατότητας εφαρμογής του GDPR από τις 25 Μαΐου 2018.
Η επιβολή του GDPR είναι καθήκον των εθνικών αρχών προστασίας δεδομένων, όπου απαιτείται, να συνεργάζεται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και στα δικαστήρια. Η μη κοινοποίηση παραβίασης δεδομένων (εγκαίρως) μπορεί να οδηγήσει σε διοικητικό πρόστιμο έως 10.000.000 ευρώ ή έως 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών μιας επιχείρησης, όποιο από τα δύο είναι υψηλότερο (άρθρο 83 παράγραφος 4 στοιχείο α) ) GDPR). Οι αρχές προστασίας δεδομένων μπορούν επίσης να διατάξουν τους υπευθύνους επεξεργασίας να κοινοποιούν παραβιάσεις δεδομένων στα άτομα που επηρεάζονται (άρθρα 34 παράγραφος 4 και 58 παράγραφος 2 στοιχείο ε) του GDPR).
Όπως αναφέρθηκε, η επιβολή του GDPR είναι καθήκον που ανατίθεται στις εθνικές αρχές προστασίας δεδομένων και στα δικαστήρια. Η Επιτροπή δεν έχει αρμοδιότητες εποπτείας βάσει του GDPR. Η Ιρλανδική Επιτροπή Προστασίας Δεδομένων, ως η κύρια εποπτική αρχή για το Facebook στην Ευρώπη, ερευνά το θέμα.
