Οι δέκα ευρωβουλευτές (Jean-Lin Lacapelle , Gunnar Beck , Julie Lechanteux , Georg Mayer , Joachim Kuhs , Harald Vilimsky , Jérôme Rivière , France Jamet , Roman Haider , André Rougé), αποκάλυψαν ότι τα δεδομένα 700.000 ατόμων στη Γαλλία διέρρευσαν λόγω σφάλματος στο ιδιωτικό λογισμικό της πλατφόρμας Francetest, η οποία μεταφέρει τα αποτελέσματα των τεστ COVID-19 που πραγματοποιήθηκαν σε φαρμακεία στη βάση δεδομένων SI-DEP της γαλλικής κυβέρνησης.
Όπως δε τόνισαν, μερικά από τα κλεμμένα δεδομένα – που περιλαμβάνουν ονόματα ασθενών, διευθύνσεις κατοικίας, αριθμούς τηλεφώνου, διευθύνσεις email, αριθμούς κοινωνικής ασφάλισης και αποτελέσματα εξετάσεων – συλλέχθηκαν πριν από έξι μήνες, παρά το γεγονός ότι θα έπρεπε να είχαν διαγραφεί μετά από τρεις μήνες. Αυτές οι πληροφορίες έχουν επιβεβαιωθεί από τον εκδότη του λογισμικού.
Υπογράμμιζαν δε ότι ενόψει αυτής της κατάφωρης παραβίασης των προσωπικών και ιατρικών δεδομένων των πολιτών:
Θεωρεί η Επιτροπή ότι πρόκειται για παραβίαση της νομοθεσίας της ΕΕ για την προστασία δεδομένων;
Σκοπεύει να υπενθυμίσει στα κράτη μέλη την υποχρέωσή τους να δημιουργήσουν τους δικούς τους, ασφαλείς μηχανισμούς για τη διαχείριση των ιατρικών δεδομένων που σχετίζονται με τον COVID-19(1);
Προτίθεται να προτείνει αλλαγές στο ισχύον νομικό πλαίσιο για την καλύτερη προστασία των πολιτών;
Στην απάντηση του, ωστόσο, ο Επίτροπος Reynders, μεταθέτει στις εθνικές εποπτικές αρχές προστασίας δεδομένων, την ευθύνη για την προστασία τους και «ομολογεί» οτι η Κομισιόν δεν έχει εξουσίες επιβολής έναντι των μεμονωμένων ελεγκτών και, ως εκ τούτου, δεν δικαιούται να σχολιάζει συγκεκριμένα περιστατικά!!!
Ακολουθεί ολόκληρη, η καθόλου διαφωτιστική απάντηση του Επιτρόπου:
Απάντηση του κ. Reynders εξ ονόματος της Ευρωπαϊκής Επιτροπής (19.11.2021)
Σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR), οι ανεξάρτητες εθνικές εποπτικές αρχές προστασίας δεδομένων είναι υπεύθυνες για την επιβολή των κανόνων προστασίας δεδομένων, υπό τον έλεγχο των δικαστηρίων, με την επιφύλαξη των αρμοδιοτήτων της Επιτροπής ως θεματοφύλακα των Συνθηκών.
Η Επιτροπή δεν έχει εξουσίες επιβολής έναντι των μεμονωμένων ελεγκτών και, ως εκ τούτου, δεν δικαιούται να σχολιάζει συγκεκριμένα περιστατικά. Η γαλλική αρχή προστασίας δεδομένων CNIL διαθέτει, ως αρμόδια εποπτική αρχή, όλα τα απαραίτητα εργαλεία για να δώσει συνέχεια στον ενδιαφερόμενο υπεύθυνο επεξεργασίας. Ο ελεγκτής έφερε επίσης την προσοχή των αρχών επιβολής του νόμου για την ύποπτη επίθεση.
Είναι ευθύνη των αρχών που εκδίδουν ψηφιακά πιστοποιητικά COVID ως ελεγκτές να εφαρμόσουν τα κατάλληλα μέτρα ασφαλείας.
Ούτε ο κανονισμός (ΕΕ) 2021/953, ούτε ο GDPR, τους εμποδίζουν να χρησιμοποιούν εξωτερικούς επεξεργαστές για την εκπλήρωση των καθηκόντων τους. Σε περίπτωση που επιλέξουν να βασιστούν σε έναν εξωτερικό επεξεργαστή, ο GDPR προβλέπει απαιτήσεις για τη σύμβαση με τον εκτελούντα την επεξεργασία, ώστε να διασφαλίζεται ότι ο υπεύθυνος επεξεργασίας διατηρεί τον έλεγχο της επεξεργασίας.
Η Επιτροπή δεν σκοπεύει να προτείνει αλλαγές στο νομικό πλαίσιο ως συνέχεια αυτού του περιστατικού. Οι κανόνες για τις ειδοποιήσεις παραβίασης δεδομένων που εισήχθησαν από τον GDPR εξασφάλισαν ότι ο υπεύθυνος επεξεργασίας γνωστοποίησε αυτό το περιστατικό στο CNIL και ενημέρωσε τα άτομα που επηρεάστηκαν. Ακριβώς επειδή η ΕΕ έχει υιοθετήσει κανόνες προστασίας δεδομένων, όπως ο GDPR, οι εποπτικές αρχές προστασίας δεδομένων μπορούν να λάβουν μέτρα κατά των εικαζόμενων παραβιάσεων της ιδιωτικής ζωής και της προστασίας δεδομένων.
Nίκος Ρούσσης – Στρασβούργο
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο reporter.gr