Προσωπικά δεδομένα εκατομμυρίων συνδρομητών του ΟΤΕ διέρρευσαν σε ιδιωτική εταιρεία

Προσωπικά δεδομένα εκατομμυρίων παλαιών και νέων συνδρομητών του ΟΤΕ διέρρευσαν -άγνωστο πώς-  σε ιδιωτική εταιρεία προσωπικών δεδομένων. Τώρα ο ΟΤΕ ζητάει από το Συμβούλιο της Επικρατείας να μην πληρώσει το πρόστιμο των 60.000 ευρώ που του επιβλήθηκε λόγω ανεπαρκών μέτρων ασφαλείας.

Μετά από έρευνα της υποδιεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος της ΕΛΑΣ βρέθηκαν στην εταιρεία εμπορίας προσωπικών δεδομένων «InfoCredit Α.Ε.» προσωπικά δεδομένα 31.713.909 παλαιών και νέων πελατών-συνδρομητών του ΟΤΕ της διετίας 2008-2010.  

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε στον ΟΤΕ πρόστιμο 60.000 ευρώ επειδή αποδείχθηκαν στην πράξη ανεπαρκή τα μέτρα ασφαλείας για την προστασία των δεδομένων προσωπικού χαρακτήρα των πελατών του ΟΤΕ.

Στην συνέχεια ο ΟΤΕ προσέφυγε στο Συμβούλιο της Επικρατείας και ζητάει να ακυρωθεί ως παράνομη η απόφαση της Αρχής που επέβαλε το επίμαχο πρόστιμο.

Ειδικότερα, βρέθηκαν μετά από εξέταση ψηφιακών πειστηρίων, πίνακες βάσης δεδομένων με ονοματεπώνυμο, όνομα πατρός, ημερομηνία γέννησης, διεύθυνση, ΑΦΜ, στοιχεία δελτίου ταυτότητας,  κ.λπ.

Να σημειωθεί ότι βρέθηκαν και προσωπικά δεδομένα 350.000 συνδρομητών του ΟΤΕ  οι οποίοι έχουν ζητήσει να μην περιλαμβάνονται στους τηλεφωνικούς καταλόγους.
Αναλυτικότερα, βρέθηκαν:

1)  Πίνακες «ote08_subscriptions», «ote09_subscriptions», «οte10a_subscriptions» και «ote10_subscriptions» με 5.434.349, 4.671.389,  4.620.797  και 4.563.422 στοιχεία συνδρομητών (συνολικά 19.289.957 μέχρι εδώ),
2) Πίνακας «ote_customers»  με 8.453.783 συνδρομητές,
3) Πίνακας «ote_epagelma»  με 3.969.568 εγγραφές και
4) Πίνακας «ote_epagelma»  με 3.969.568 εγγραφές (γενικό σύνολο 31.713.909).

Η παραβίαση των προσωπικών δεδομένων αφορούν την διετία 2008-2010 και δεν μπόρεσε να διαπιστωθεί με ποιόν τρόπο έγινε η παραβίαση, αλλά  κατά πάσα πιθανότητα έγινε σε τέσσερις διαφορετικές περιόδους.

Από την Αρχή κρίθηκε ότι τα μέτρα ασφαλείας του ΟΤΕ αποδείχθηκαν στην πράξη ανεπαρκή καθώς «δεν κατάφεραν να αποτρέψουν μαζική διαρροή δεδομένων για έως τέσσερις διαφορετικές χρονικές περιόδους, γεγονός που υποδεικνύει ότι το περιστατικό δεν ήταν ένα μεμονωμένο ή τυχαίο γεγονός».

Και καταλήγει η Αρχή ότι «αποδεικνύεται επομένως ότι τα λαμβανόμενα μέτρα ασφαλείας δεν ήταν ικανά να αποτρέψουν το περιστατικό».

Από την πλευρά του ο  ΟΤΕ, μεταξύ των άλλων, υποστήριξε ότι το σύνολο των προσωπικών δεδομένων ήταν καταχωρημένο μόνο στην κεντρική βάση δεδομένων τιμολόγησης του ΟΤΕ και ότι η επίμαχη διαρροή προσωπικών δεδομένων «μπορεί να είναι μόνο αποτέλεσμα κακόβουλης ενέργειας».

Στην αίτηση που κατέθεσε ο ΟΤΕ στο Συμβούλιο της Επικρατείας υποστηρίζει ότι δεν ήταν νόμιμη η συγκρότηση των μελών της Αρχής που εξέδωσαν την απόφαση με την οποία του επιβλήθηκε το πρόστιμο των 60.000 ευρώ, με αποτέλεσμα να είναι άκυρη.

Ακόμη, υποστηρίζει ο ΟΤΕ ότι η απόφαση με την οποία του επιβλήθηκε το πρόστιμο παραβιάζει τις αρχές της αναλογικότητας και της επιείκειας, αλλά είναι και μη νόμιμη όπως είναι και εσφαλμένη.