Hellenic Data Protection Authority (HDPA) har utfärdat en sanktionsavgift på 20 000 euro mot Alimos kommun för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål till HDPA angående en personuppgiftsincident som begåtts av Alimos kommun, efter att filer med personuppgifter om medborgare i kommunen varit lättillgängliga för alla internetanvändare som ändrade det sista femsiffriga numret i webbplatsens url-adress.
HDPA:s utredning bekräftade att filerna var tillgängliga. Utredningen visade att av de 45 000 filer som gjorts tillgängliga hade obehöriga tredje parter fått tillgång till 1 200 filer. Alimos kommun hade anlitat ett personuppgiftsbiträde för att implementera webbsidan och dess onlinetjänster. Alimos kommun hävdade att sårbarheten uppstått på grund av att personuppgiftsbiträdet aktiverat en felaktig version av webbapplikationen. Alimos kommun informerade HDPA om att han vidtagit korrigerande åtgärder och tagit bort filerna. Samma problem upprepades dock tre gånger, varje gång applikationen korrigerades och återställdes. Efter ett flertal felaktiga tester av applikationen utfärdade HDPA ett föreläggande om att stänga ner applikationen.
HDPA konstaterade att det inte vidtagits tillräckliga åtgärder för att upptäcka en personuppgiftsincident i tid, till exempel genom regelbunden övervakning. Varken Alimos kommun eller personuppgiftsbiträdet fick kännedom om överträdelsen förrän de informerades av HDPA efter den registrerades klagomål. Med tanke på att incidenten upprepades vid tre separata tillfällen konstaterade HDPA också att det inte fanns någon omedelbart effektiv reaktion på incidenten. Till följd av dessa brister ansåg HDPA att både Alimos kommun och personuppgiftsbiträdet brutit mot artikel 32 GDPR på grund av otillräckliga säkerhetsåtgärder. HDPA också att Alimos kommun brutit mot principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR.
Efter en granskning av personuppgiftsbiträdesavtalet mellan Alimos kommun och personuppgiftsbiträdet konstaterade HDPA att det var otillräckligt enligt artikel 28 GDPR. Avtalet innehöll inga detaljerade uppgifter om personuppgiftsbiträdets skyldigheter gentemot Alimos kommun när det gäller behandlingen av personuppgifter i applikationen. HDPA noterade att personuppgiftsbiträdet dröjt med att besvara Alimos kommuns begäran om information om överträdelsen, men ansåg också att Alimos kommun inte lagt fram bevis som visade vilka åtgärder som vidtagits för att få informationen från personuppgiftsbiträdet så snart som möjligt. HDPA ansåg att både Alimos kommun och personuppgiftsbiträdet därmed brutit mot artikel 28.3 GDPR. Dessutom ansåg HDPA att Alimos kommun brutit mot kravet om inbyggt dataskydd enligt artikel 25.1 GDPR eftersom denne saknade åtgärder för att hantera olika risker för personuppgifter redan i planeringsstadiet.
HDPA konstaterade slutligen att Alimos kommuns anmälan av incidenten till de registrerade stred mot artikel 33.4 GDPR, dels då Alimos kommun gjort fel i sin inledande bedömning att det inte var nödvändigt att meddela de registrerade om incidenten, dels då Alimos kommuns dröjt med informera de registrerade. Alimos kommun uppdaterade inte heller HDPA om detaljerna i anmälan, vilket krävs enligt artikel 34.1 GDPR.