Και οι ελέγχοντες, ελέγχονται: Πρόστιμο 8.000 ευρώ στην ΑΑΔΕ για παραβίαση προσωπικών δεδομένων

Η απόφαση- σταθμός της Αρχής Προστασίας Προσωπικών Δεδομένων σε βάρος μίας άλλης ανεξάρτητης Αρχής.

NEWSROOM
Και οι ελέγχοντες, ελέγχονται: Πρόστιμο 8.000 ευρώ στην ΑΑΔΕ για παραβίαση προσωπικών δεδομένων

Σε μία πρωτοποριακή απόφαση προχώρησε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, επιβάλλοντας πρόστιμο 8.000 ευρώ στην ΑΑΔΕ. Αφορμή για την αντίδραση μίας ανεξάρτητης Αρχής έναντι μίας άλλης στάθηκε καταγγελία πολίτη για παραβίαση προσωπικών δεδομένων, καθώς όπως ανέφερε έλαβε κατά τα δύο προηγούμενα έτη το εκκαθαριστικό σημείωμα της φορολογικής του δήλωσης μέσα σε φάκελο που δεν πληρούσε τις προδιαγραφές και τις απαιτήσεις ασφαλείας της Ε.Ε.Τ.Τ και της Α.Δ.Α.Ε., και ειδικότερα σε φάκελο με παράθυρο/θυρίδα, με τέτοιο τρόπο ώστε να έχουν διαρρεύσει σε απροσδιόριστο αριθμό ατόμων πληροφορίες ευαίσθητης φύσης, όπως το συνολικό δηλωθέν εισόδημά του.

eurokinissi

«Όπως ισχυρίζεται ο καταγγέλλων, το εν λόγω σφάλμα αφορά είτε την επιλογή των προδιαμορφωμένων φακέλων είτε προέκυψε κατά την εμφακέλλωση του περιεχομένου από την Α.Α.Δ.Ε ή, τέλος, από τον πάροχο ταχυδρομικών υπηρεσιών, δηλ. τα ΕΛΤΑ» αναφέρει η Αρχή Προστασίας Προσωπικών Δεδομένων και παραπέμπει στο αίτημα που υπέβαλε στην ΑΑΔΕ ζητώντας εξηγήσεις.

Ειδικότερα, στο αίτημα του αναφέρει πως ζητούσε πλήρη ενημέρωση από την ΑΑΔΕ: i) για την επεξεργασία των προσωπικών του δεδομένων (με ειδικότερη αναφορά στην ταυτότητα όλων των υπευθύνων, εκτελούντων και υπο-εκτελούντων την επεξεργασία των προσωπικών του δεδομένων και των στοιχείων επικοινωνίας τους, καθώς και τυχόν τρίτων μερών στα οποία είχαν δημοσιοποιηθεί τα δεδομένα του, συμπεριλαμβανομένου του ονόματος και των στοιχείων επικοινωνίας των παραληπτών), καθώς και ii) για τον ρόλο της ΕΛΤΑ Α.Ε. στην εν λόγω επεξεργασία των προσωπικών του δεδομένων και την τυχόν ύπαρξη σύμβασης μεταξύ της ΕΛΤΑ Α.Ε. και της Α.Α.Δ.Ε. δυνάμει του άρθρου 28 του ΓΚΠΔ.

Εν όψει της επικείμενης λήψης νέου εκκαθαριστικού o καταγγέλλων εναντιώθηκε στην επεξεργασία των προσωπικών του δεδομένων κατά αυτόν τον τρόπο, ώστε να μην επαναληφθεί το περιστατικό.

Επί του ως άνω αιτήματός του, στις … όπως ο καταγγέλλων ισχυρίζεται, έλαβε απάντηση από την καταγγελλόμενη, χωρίς ωστόσο κατά τους ισχυρισμούς του, η τελευταία να απαντάει ικανοποιητικώς στα ερωτήματά του και ιδίως στο ερώτημά του αναφορικά με τον ρόλο της ΑΑΔΕ και της ΕΛΤΑ Α.Ε. στην εν λόγω επεξεργασία.

eurokinissi

Τι ανέφεραν οι δύο πλευρές

Ο καταγγέλλων τόσο κατά την ακρόαση όσο και με το υπόμνημά του, υποστήριξε τα αναφερόμενα στην καταγγελία του, επαναλαμβάνοντας ότι:

(α) Οι εν λόγω φάκελοι εστάλησαν σε παλαιότερο τόπο διανομής του, … και παρέμειναν εκτεθειμένοι σε κοινή θέα, για μεγάλο χρονικό διάστημα, …

(β) Η ΑΑΔΕ δεν απάντησε επί του αιτήματός του για τον προσδιορισμό των ρόλων μεταξύ ΕΛΤΑ και ΑΑΔΕ και ως εκ τούτου παραβίασε την υποχρέωση του άρθρου 13 ΓΚΠΔ.

(γ) Tα προσωπικά δεδομένα που διέρρευσαν σε απροσδιόριστο αριθμό ατόμων ήταν ευαίσθητης φύσης, λαμβάνοντας συνδυαστικά υπόψη το είδος της πληροφορίας, …και τον πιθανό αντίκτυπο.

(δ) Δεν πρόκειται για μεμονωμένο περιστατικό, αλλά κατ’ επανάληψη αμελή συμπεριφορά της ΑΑΔΕ.

Η καταγγελλόμενη, τόσο κατά την ακρόαση όσο και με το υπόμνημα επανέλαβε τις θέσεις που είχε υποστηρίξει το Αυτοτελές Τμήμα Υποστήριξης Υπευθύνου Προστασίας Δεδομένων της και συγκεκριμένα προέβαλε τους εξής ισχυρισμούς:

(α) Οι δηλώσεις φόρου εισοδήματος φυσικών προσώπων υποβάλλονται κατά κανόνα από τους φορολογούμενους ηλεκτρονικά, μέσω του λογαριασμού τους στο Taxisnet και την ψηφιακή πύλη myAADE, εκκαθαρίζονται ηλεκτρονικά και κοινοποιούνται ηλεκτρονικά στους φορολογούμενους, ενώ μόνο σε εξαιρετικές περιπτώσεις που η εκκαθάριση της δήλωσης φόρου εισοδήματος φυσικού προσώπου δεν είναι δυνατόν να πραγματοποιηθεί ηλεκτρονικά, όπως στην υπό κρίση περίπτωση πραγματοποιείται χειρόγραφη εκκαθάριση και κοινοποίηση της πράξης διοικητικού προσδιορισμού φόρου από την αρμόδια ΔΟΥ.

(β) Κατά το επίμαχο διάστημα, δεν πραγματοποιήθηκε από την ΔΟΥ … μαζική αποστολή εκκαθαριστικών σημειωμάτων, η δε εσφαλμένη τοποθέτηση των εκκαθαριστικών σημειωμάτων αποτελεί μεμονωμένο περιστατικό, οφειλόμενο σε ανθρώπινο λάθος.

(γ) Ο χειρισμός της καταγγελίας ήταν απόλυτα αρμόζων, μετά δε από το περιστατικό εστάλη από τη Γενική Διεύθυνση Φορολογικής Διοίκησης προς όλες τις Δ.Ο.Υ της επικράτειας η οδηγία να χρησιμοποιούνται φάκελοι χωρίς θυρίδα/ παράθυρο στην αλληλογραφία με τους πολίτες, εν συνεχεία δε δόθηκε εντολή προς όλες Υπηρεσίες της Δ.Ο.Υ. να διακόψουν την προμήθεια φακέλων αλληλογραφίας που φέρουν παράθυρο/θυρίδα.

(δ) Από το έτος 2021 προβλέπεται πλέον ως αποκλειστικός τρόπος κοινοποίησης των πράξεων διοικητικού προσδιορισμού φόρου εισοδήματος (εκκαθαριστικά σημειώματα) η ηλεκτρονική αποστολή στους φορολογούμενους.

eurokinissi

Αρχή Προστασίας Δεδομένων: Η απόφαση

Όπως αναφέρεται από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην εξεταζόμενη καταγγελία, κρίθηκε ότι «η καταγγελλόμενη επεξεργασία της αποστολής των εκκαθαριστικών σημειωμάτων σε φάκελο με παράθυρο/θυρίδα απ’ όπου ήταν ορατά προσωπικά δεδομένα του καταγγέλλοντος, παραπάνω από τα αναγκαία για την αποστολή των φακέλων και την ταυτοποίηση του παραλήπτη, συνιστά, βάσει των αρχών ασφάλειας πληροφοριών σύμφωνα με τη Γνωμοδότηση 3/2014 του άρθρου 29 σχετικά με τη γνωστοποίηση παραβίασης προσωπικών δεδομένων και τις Κατευθυντήριες γραμμές του άρθρου 29 σχετικά με τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα δυνάμει του κανονισμού 2016/6793, παραβίαση εμπιστευτικότητας (απορρήτου), ήτοι ενδεχόμενη μη εξουσιοδοτημένη αποκάλυψη και λήψη γνώσης από μη εξουσιοδοτημένα πρόσωπα».

Επισημαίνει, επίσης, πως «η ΑΑΔΕ όφειλε, σε εκπλήρωση της υποχρέωσης λήψης κατάλληλων τεχνικών και οργανωτικών μέτρων, στο πλαίσιο μιας ενδεδειγμένης πολιτικής ασφαλείας από την ΑΑΔΕ ως υπεύθυνου επεξεργασίας, να διασφαλίζει την τήρηση του απορρήτου/εμπιστευτικότητας τόσο κατά την εκτύπωση και την εμφακέλλωση των εκκαθαριστικών σημειωμάτων, όσο και κατά την αποστολή τους στους φορολογούμενους».

Επιπλέον, τονίζεται ότι «η αναφορά του Αυτοτελούς Τμήματος Υποστήριξης Υπευθύνου Προστασίας Δεδομένων της Α.Α.Δ.Ε στην υποχρέωση των χρηστών των ταχυδρομικών υπηρεσιών για τη διαφύλαξη του απορρήτου των επιστολών, σύμφωνα με το άρθρο 32 του Κτιριοδομικού Κανονισμού (Υ.Α. 3046/304/1989 του Υπουργείου Περιβάλλοντος, Χωροταξίας και Δημοσίων Έργων) να λαμβάνουν μέτρα αυτοπροστασίας εγκαθιστώντας γραμματοκιβώτιο με κλειδαριά, μέσα στο οποίο ο διανομέας οφείλει να τοποθετεί την απλή αλληλογραφία, καθώς στις διατάξεις περί φορολογικού απορρήτου (αρ. 26 του Ν. 4174/2013) ή του καθήκοντος εχεμύθειας των υπαλλήλων της ΑΑΔΕ στο πλαίσιο άσκησης των καθηκόντων τους (αρ. 26 Ν. 3528/2007), ουδεμία επιρροή ασκεί στις αυτοτελείς υποχρεώσεις του υπευθύνου επεξεργασίας σχετικά με την ασφάλεια της επεξεργασίας».

Και καταλήγει: «Η Αρχή, περαιτέρω, κρίνει ότι οι πρόσθετες πληροφορίες που αιτήθηκε ο καταγγέλλων (αναφορικά με τον ρόλο των ΕΛΤΑ στην εν λόγω επεξεργασία των προσωπικών του δεδομένων) δεν περιλαμβάνονται στις πληροφορίες που οφείλει, κατ’ άρθρο 13 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας να παράσχει στο υποκείμενο των δεδομένων, λαμβανομένου προσέτι υπόψη ότι η ευθύνη για την καταγγελλόμενη παραβίαση της εμπιστευτικότητας των οικονομικών/φορολογικών του δεδομένων με την αποστολή του επίμαχου εκκαθαριστικού σημειώματος βαρύνει την ΑΑΔΕ ως υπεύθυνο επεξεργασίας κατά τα ανωτέρω διαλαμβανόμενα. Βάσει των ανωτέρω, η Αρχή κρίνει ομόφωνα ότι πρέπει να επιβληθεί στην καταγγελλόμενη ως υπεύθυνο επεξεργασίας, η αναφερόμενη στο διατακτικό διοικητική κύρωση, η οποία κρίνεται ανάλογη με τη βαρύτητα των παραβάσεων».

Δείτε ολόκληρη την απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Ακολουθήστε το dikastiko.gr στο Google News και δείτε πρώτοι όλες τις ειδήσεις

Διαβάστε όλες τις τελευταίες ειδήσεις από την Ελλάδα και τον Κόσμο στο dikastiko.gr