To E9, Ε1 που ζητάει η Υπηρεσία, η διασφάλιση του Απορρήτου των στοιχείων και το πρόστιμο 150.000€ στη ΓΓΠΣ που άφησε απροστάτευτα τα προσωπικά μας δεδομένα

Διαβάσαμε τον τίτλο ''Ξεφραγο Αμπέλι η Γ.Γ.Π.Σ. με τα φορολογικά στοιχεία των Ελλήνων. Πρόστιμο 150.000€ γιατί άφησαν απροστάτευτα τα προσωπικά μας δεδομένα (http://www.newsit.gr/)'' 

Η ΕΣΠΕ Θεσσαλίας και ο ΣΥΣΜΕΔ έχουν ασχοληθεί πολλές φορές με τα συμπληρωματικά δικαιολογητικά που ζητήθηκε να υποβάλλουν στις αρμόδιες οικονομικές υπηρεσίες ελέγχου για τη θεμελίωση του παρεχόμενου δικαιώματος τα στελέχη που λαμβάνουν μακρά αναρρωτική άδεια ή άδεια κύησης ή ανατροφής τέκνου και μετακινούνται στον τόπο οριστικής διαμονής τους. Τα επιπλέον δικαιολογητικά είναι  επικυρωμένο από την εφορία, φ/α του Ε9 καθώς και έντυπο Ε1 που ορισμένες φορές ζητήθηκε, κατόπιν ενημέρωσης μελών μας. Η ΕΣΠΕΘ ασχολήθηκε και με τον τρόπο διακίνησης αυτών των εντύπων για το εάν διασφαλίζεται το φορολογικό απόρρητο και τα ευαίσθητα προσωπικά δεδομένα καθώς τα δικαιολογητικά υποβάλλονται υπηρεσιακά με αδιαβάθμητα έγγραφα, από 1^ο Γραφείο, Γραμματεία κ.λ.π. και υπάρχει εύκολη πρόσβαση σε αρκετά άτομα.

Όπως ισχύει στο ΠΔ 200/1993 η καταβολή των οδοιπορικών εξόδων εξαρτάται από τον εάν έλαβε χώρα η πραγματική μετακίνηση και εγκατάσταση του στρατιωτικού και όχι από το εάν μένει σε συγγενικό πρόσωπο ή το ποσό στο οποίο καταβάλλει μίσθωμα ο μετακινούμενος (δωρεάν, 10€ κ.λ.π.).

 Εάν η υπηρεσία αμφισβητεί μετακίνηση και εγκατάσταση προσωπικού των παραπάνω κατηγοριών, το φρουραρχείο έχει υποχρέωση να ελέγχει σε χρονικά διαστήματα αν πραγματοποιήθηκε αυτή η μετακίνηση και εγκατάσταση.

Όπως διαβάσαμε η Αρχή Προστασίας Προσωπικών Δεδομένων επέβαλε στη Γενική Γραμματεία Πληροφοριακών Συστημάτων, με την υπ’ αριθμ. 98/2013 Απόφαση, πρόστιμο ύψους 150.000 Ευρώ,  κρίνοντας ότι παραβίασε την υποχρέωσή της για λήψη κατάλληλων μέτρων ασφάλειας, γεγονός που οδήγησε ήδη σε ιδιαίτερα σοβαρό περιστατικό παραβίασης προσωπικών δεδομένων, δηλαδή σε διαρροή δεδομένων που αφορούν i) στοιχεία του εντύπου Ε1 ii) στοιχεία του εντύπου Ε2 iii) στοιχεία του εντύπου Ε9, iv) στοιχεία του ΕΤΑΚ, Συνοπτικά υπήρξε διαρροή στοιχείων Α.Φ.Μ., ονοματεπώνυμο, διεύθυνση, επάγγελμα, τηλέφωνα, στοιχεία δελτίου αστυνομικής ταυτότητας, στοιχεία συζύγου, καθώς και συγκεκριμένους κωδικούς (με επεξήγηση) του εντύπου Ε1 της δήλωσης φορολογίας εισοδήματος που αντιστοιχούν στο δηλωθέν από το φορολογούμενο εισόδημα και σε άλλα φορολογικά δεδομένα που συνδέονται με ευαίσθητα, κατά την έννοια του ν. 2472/1997, δεδομένα (για παράδειγμα οι κωδικοί 001 και 002 «ΕΧΕΤΕ ΔΙΚΑΙΩΜΑ ΕΚΠΤΩΣΗΣ ΠΟΣΟΥ 2.400 ΕΥΡΩ ΛΟΓΩ ΑΝΑΠΗΡΙΑΣ 67% ΚΑΙ ΠΑΝΩ ΚΤΛ»).

Η Αρχή έκρινε ότι η Γ.Γ.Π.Σ., παρά τον όγκο των δεδομένων που διαχειρίζεται και την κρισιμότητα αυτών, δεν διαθέτει κατάλληλα μέτρα ασφάλειας για την αποτροπή αθέμιτης πρόσβασης και διάδοσης των δεδομένων, καθώς και μέτρα για την ανίχνευση και διερεύνηση τυχόν περιστατικών παραβίασης προσωπικών δεδομένων. Ως εκ τούτου, κάλεσε, τη Γ.Γ.Π.Σ. να λάβει τα αναφερόμενα στην Απόφαση μέτρα και να την ενημερώνει για την πορεία υλοποίησής τους.

Κατά το άρθρο 10 παρ. 3 του ν. 2472/1997 «Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας...». Ο φορέας της υποχρέωσης, δηλαδή ο υπεύθυνος επεξεργασίας, οφείλει ο ίδιος,  να προσδιορίζει την καταλληλότητα των μέτρων με κριτήρια α) τη φύση των δεδομένων, όπως καταρχήν απλά ή ευαίσθητα, χωρίς να αποκλείονται υποπεριπτώσεις αυτών, για παράδειγμα τα προστατευόμενα από ειδικά απόρρητα δεδομένα, και β) την επικινδυνότητα της επεξεργασίας, δηλαδή ιδίως τις επιπτώσεις που ενδέχεται να επιφέρουν στα φυσικά πρόσωπα περιστατικά παραβίασης των δεδομένων.

Η ασφάλεια εξειδικεύεται σε τρεις βασικούς στόχους, ήτοι την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των δεδομένων, ενώ συμπληρωματικοί στόχοι, ιδίως από τη σκοπιά της προστασίας των προσωπικών δεδομένων, αποτελούν ιδίως η μη αποποίηση της ευθύνης (ή λογοδοσία) καθώς και ο διαχωρισμός των δεδομένων ανάλογα με το σκοπό της επεξεργασίας.

Με το άρθρο 17 παρ. 1 Οδηγία 95/46/ΕΚ και το σκοπό της διάταξης είναι σαφές ότι η υποχρέωση αυτή του υπευθύνου επεξεργασίας έχει προληπτικό και κατασταλτικό χαρακτήρα. Προληπτικό ώστε τα εφαρμοστέα μέτρα να αποτρέψουν περιστατικά παραβίασης προσωπικών δεδομένων, κατασταλτικό ώστε τυχόν περιστατικό να μπορεί να ανιχνευθεί και να διερευνηθεί.

Η Γ.Γ.Π.Σ. επεξεργάζεται εν γένει δεδομένα προσωπικού χαρακτήρα τόσο απλά όσο και ευαίσθητα κατά την έννοια του άρθρου 2 στοιχ. α) και β) του ν. 2472/1997, για παράδειγμα στο βαθμό που οι δηλώσεις φορολογίας εισοδήματος περιέχουν πεδία για τη φορολόγηση με ειδικό τρόπο (π.χ. ΑΜΕΑ). Ένα σημαντικό μέρος αυτών υπόκειται παράλληλα και στο φορολογικό απόρρητο κατά τη διάταξη του άρθρου 85 παρ. 2 του ν. 2238/1994 (Κώδικας Φορολογίας Εισοδήματος), όπως και η ίδια η Γενική Γραμματεία συνομολογεί (πβλ. σελ. 7, 10, 11, 12, 21 , 22, 23, 25 του πρώτου υπομνήματος). Για παράδειγμα, στο μέτρο που οι δηλώσεις περιουσιακής κατάστασης των δημοσίων υπαλλήλων περιέχουν στοιχεία των φορολογικών δηλώσεων, τα δεδομένα αυτά υπόκεινται επίσης στο φορολογικό απόρρητο. Άλλες κατηγορίες δεδομένων αφορούν τη μισθοδοσία διάφορων υπουργείων, την Ενιαία Αρχή Πληρωμών, το επίδομα πετρελαίου θέρμανσης κ.α.