Διευκρινιστική ανακοίνωση με αφορμή τη διαρροή 813 gb με προσωπικά δεδομένα από το Ανοιχτό Πανεπιστήμιο, τον περασμένο Οκτώβριο, εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μετά την επίσημη ανακοίνωση του Ιδρύματος την περασμένη Παρασκευή.
«Στις περιπτώσεις που από περιστατικό παραβίασης μπορεί να βρεθούν σε υψηλό κίνδυνο τα δικαιώματα ενός πολίτη, ο υπεύθυνος επεξεργασίας δεδομένων οφείλει, βάσει της νομοθεσίας για την προστασία των προσωπικών δεδομένων, να ενημερώσει και τον πολίτη που επηρεάζεται δυσμενώς. Η γνωστοποίηση πρέπει να περιέχει συγκεκριμένες πληροφορίες (π.χ. φύση/έκταση του περιστατικού, κατηγορίες προσώπων που επλήγησαν, αιτία και συνέπειες αυτού, ενέργειες που έγιναν προς αντιμετώπισή του, κ.ά.)», τονίζει αρχικά η Ανεξάρτητη Αρχή και προσθέτει ότι η ενημέρωση «πρέπει να γίνει με τον πλέον πρόσφορο και αποτελεσματικό τρόπο, με τη μορφή προσωποποιημένης πληροφόρησης και μόνο κατ’ εξαίρεση μέσω κάποιας γενικού χαρακτήρα ανακοίνωσης».
Υπενθυμίζεται ότι η διαρροή είχε γίνει γνωστή τον περασμένο Οκτώβριο και πέντε μήνες αργότερα, το Ανοιχτό Πανεπιστήμιο εξέδωσε ανακοίνωση σύμφωνα με την οποία δεν έχει γίνει σαφές τι δεδομένα διέρρευσαν, με το ΕΑΠ να αναφέρει «πιθανές κατηγορίες» όπως:
«Ονοματεπώνυμο, Πατρώνυμο / Μητρώνυμο, Ιδιότητα, Στοιχεία Συγγενών, Υπηκοότητα, Φύλο, Ημερομηνία Γέννησης, ΑΦΜ, ΑΜΚΑ, ΑΜ, ΑΔΤ, Υπογραφή (φυσική), Φωτογραφίες, όνομα χρήστη, Δεδομένα Επικοινωνίας (Ταχυδρομική Διεύθυνση, Αριθμός τηλεφώνου (σταθερό & κινητό), Διεύθυνση ηλεκτρονικού ταχυδρομείου (προσωπική & ιδρύματος), ηλεκτρονική αλληλογραφία), Ακαδημαϊκά και Εκπαιδευτικά Δεδομένα & Τίτλοι Σπουδών (Βαθμολογίες και επιδόσεις, Τίτλοι σπουδών, Βεβαιώσεις σπουδών), Δεδομένα Υγείας, Οικονομικά Δεδομένα (IBAN, στοιχεία τιμολόγησης, στοιχεία πληρωμής δαπάνης), Δεδομένα Επαγγελματικής & Ερευνητικής Δραστηριότητας (Βιογραφικό σημείωμα, ερευνητικό / επαγγελματικό / διδακτικό / συγγραφικό έργο), Δεδομένα Αποφάσεων Συλλογικών Οργάνων, αποφάσεις επιτροπών, Δεδομένα Συμβάσεων, Αναδόχων & Προσφορών».
Με βάση την ανακοίνωση της Παρασκευής, του Ανοιχτού Πανεπιστημίου δεν αναλαμβάνει κανείς την ευθύνη για το διάτρητο όπως αποδείχθηκε πληροφοριακό σύστημα του Ιδρύματος ενώ την ίδια στιγμή καλούνται οι φοιτητές του ΕΑΠ να μεριμνήσουν -μετά από 5 μήνες που έγινε γνωστή η κυβερνοεπίθεση- για τα προσωπικά δεδομένα τους.
Αναλυτικά η ανακοίνωση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα:
«Με αφορμή σειρά ερωτημάτων πολιτών που έχουν τεθεί στην Αρχή σχετικά με την ανακοίνωση του Ελληνικού Ανοικτού Πανεπιστημίου (28/3) για εντοπισμένο περιστατικό κακόβουλης επίθεσης, υπενθυμίζεται ότι στις περιπτώσεις που από περιστατικό παραβίασης μπορεί να βρεθούν σε υψηλό κίνδυνο τα δικαιώματα ενός πολίτη, ο υπεύθυνος επεξεργασίας δεδομένων οφείλει, βάσει της νομοθεσίας για την προστασία των προσωπικών δεδομένων, να ενημερώσει και τον πολίτη που επηρεάζεται δυσμενώς. Η γνωστοποίηση πρέπει να περιέχει συγκεκριμένες πληροφορίες (π.χ. φύση/έκταση του περιστατικού, κατηγορίες προσώπων που επλήγησαν, αιτία και συνέπειες αυτού, ενέργειες που έγιναν προς αντιμετώπισή του, κ.ά.). Στο βαθμό που αυτό είναι εφικτό η ανακοίνωση στα φυσικά πρόσωπα θα πρέπει να γίνει με τον πλέον πρόσφορο και αποτελεσματικό τρόπο, με τη μορφή προσωποποιημένης πληροφόρησης και μόνο κατ’ εξαίρεση μέσω κάποιας γενικού χαρακτήρα ανακοίνωσης. Η Αρχή επιβλέπει τις ενέργειες του εκάστοτε υπεύθυνου επεξεργασίας και την παροχή κατάλληλης ενημέρωσης με σκοπό την αποτελεσματική προστασία των δικαιωμάτων των πολιτών.
Επισημαίνεται ότι τα υποκείμενα δεδομένων, εφόσον το κρίνουν απαραίτητο, μπορούν για περισσότερες πληροφορίες σχετικά με περιστατικό παραβίασης να επικοινωνούν με τον εκάστοτε υπεύθυνο επεξεργασίας δεδομένων και όχι με την Αρχή.
Πληροφορίες σχετικά με τη γνωστοποίηση περιστατικού παραβίασης είναι διαθέσιμες εδώ».
