Ο επίτροπος για το δικαίωμα στην ενημέρωση και την προστασία των προσωπικών δεδομένων επέβαλε πρόστιμο 1,92 εκατ. ALL στο Αλβανικό Γραφείο Ασφαλείας για αρκετές παραβιάσεις του νόμου «Περί προστασίας δεδομένων προσωπικού χαρακτήρα.»

Το Αλβανικό Ασφαλιστικό Γραφείο (BSHS) επεξεργάζεται προσωπικά δεδομένα διαφόρων ατόμων για βλάβες και ζημιές, μέλη της οικογένειας, κληρονόμοι, δεδομένα εμπειρογνωμόνων που εκτιμούν την υγεία και υλικές ζημιές, δεδομένα εργαζομένων και μελών της συνέλευσης, πελάτες δικαιούχων πράσινης κάρτας, και τα λοιπά.

Από τον διοικητικό έλεγχο που άσκησε ο Επίτροπος, διαπιστώθηκε ότι η BSHS δεν προβλέπει συγκεκριμένη περίοδο αποθήκευσης προσωπικών δεδομένων, τόσο για τα δεδομένα που αποθηκεύονται στο φυσικό αρχείο όσο και στο ηλεκτρονικό σύστημα. Όλα τα δεδομένα που συλλέγονται για τις κατηγορίες διαφορετικών προσώπων που είναι δικαιούχοι ή αιτίες ζημιών, πελάτες κ.λπ. αποθηκεύονται από τη στιγμή της υποβολής του αιτήματος αποζημίωσης, χωρίς να προσδιορίζεται συγκεκριμένος όρος αποθήκευσης τους, αντίθετα με την αρχή της προστασίας που προβλέπονται στο άρθρο 5 του νόμου.

Το Γραφείο του Επιτρόπου εκτιμά ότι η BSHS θα πρέπει να προβλέπει τη διατήρηση των δεδομένων προσωπικού χαρακτήρα όχι περισσότερο από όσο είναι απαραίτητο για την εκπλήρωση του σκοπού της συλλογής τους και ο χρόνος διατήρησής τους θα πρέπει να καθορίζεται από τον υπεύθυνο επεξεργασίας, σύμφωνα με τις ειδικές νομικές διατάξεις και την σκοπό της συλλογής πληροφοριών.

Επίσης, η BSHS δεν έχει τοποθετήσει την «Πολιτική Απορρήτου» στον επίσημο ιστότοπο https://www.insurers-al.org, προκειμένου να ενημερώσει τους κατόχους των δεδομένων που έχουν πρόσβαση και ανεβάζουν προσωπικά δεδομένα σε αυτήν τη σελίδα, σε αντίθεση με τις διατάξεις του άρθρου 18 του νόμου. Ο Επίτροπος εκτιμά ότι η ενημέρωση των κατόχων των προσωπικών δεδομένων αποτελεί μια από τις βασικές υποχρεώσεις, καθώς δίνει τη δυνατότητα να εξοικειωθούν με τα δικαιώματα που απολαμβάνουν και τη δυνατότητα άσκησής τους στην πράξη.

Ο υπεύθυνος επεξεργασίας επεξεργάζεται προσωπικά δεδομένα ηλεκτρονικά μέσω του «Συστήματος Διαχείρισης Ζημιών του Αλβανικού Γραφείου Ασφαλίσεων». Το σύστημα αυτό αποτελείται από δύο ενότητες ή μητρώα, τα οποία είναι εμπλουτισμένα με δεδομένα, για λογαριασμό του «Ταμείου Αποζημίωσης» και του «Ταμείου Πράσινης Κάρτας». Το Σύστημα Διαχείρισης Ζημιών χρησιμεύει για την ηλεκτρονική καταγραφή φακέλων ζημιών για περιπτώσεις που προκαλούνται από ανασφάλιστα ή αγνώστων στοιχείων οχήματα. Από τον έλεγχο, διαπιστώθηκε ότι οι διακομιστές στους οποίους είναι εγκατεστημένο το Σύστημα Διαχείρισης Απαιτήσεων δεν βρίσκονται φυσικά στις εγκαταστάσεις του ελεγκτή, αλλά έχουν πρόσβαση από τον υπεύθυνο υπάλληλο μέσω σήραγγας IP.

Μια πρακτική αξίωσης, μεταξύ άλλων, περιέχει δεδομένα για το συμβάν, γενικότητες της αιτίας του συμβάντος, γενικότητες του δικαιούχου, δικαστικές αποφάσεις, δεδομένα του οχήματος της αιτίας, δεδομένα του οχήματος του δικαιούχου, δεδομένα υγείας κ.λπ.

Από τις επαληθεύσεις διαπιστώθηκε ότι υπάρχει μόνο ένας υπεύθυνος, με καθήκον ειδικού πληροφορικής, που γεμίζει με δεδομένα το Σύστημα Διαχείρισης Ζημιών. Ο συγκεκριμένος υπάλληλος δεν έχει καμία ιδιότητα στο σύστημα, σε ρόλο διαχειριστή με πλήρη δικαιώματα, καθώς και δεν είναι σε θέση να εντοπίσει ή να παρακολουθήσει τη δραστηριότητα τρίτων που εκτελούν ενέργειες στο ηλεκτρονικό σύστημα μέσω. Ως εκ τούτου, η BSHS δεν είναι σε θέση να πραγματοποιήσει προληπτικές τεχνικές ενέργειες στο ηλεκτρονικό σύστημα, για την επαλήθευση και παρακολούθηση της λειτουργίας αυτού του συστήματος, σε αντίθεση με τις διατάξεις του άρθρου 27 του νόμου.

Το Γραφείο του Επιτρόπου εκτιμά ότι η ιχνηλασιμότητα των ενεργειών επεξεργασίας είναι σημαντική για την εξασφάλιση του απορρήτου και της ασφάλειας των προσωπικών δεδομένων και για την αποφυγή των σοβαρών συνεπειών που ενδέχεται να προκύψουν σε περίπτωση παράνομης πρόσβασης ή διάδοσής τους. Σύμφωνα με τον Επίτροπο, η BSHS δεν έχει λάβει επαρκή οργανωτικά και τεχνικά μέτρα για την προστασία των προσωπικών δεδομένων από παράνομη, τυχαία καταστροφή, τυχαία απώλεια, για την προστασία της πρόσβασης ή της διάδοσης από μη εξουσιοδοτημένα άτομα, ειδικά όταν η επεξεργασία δεδομένων πραγματοποιείται μέσω επικοινωνιών και ηλεκτρονικών συστημάτων.

Η BSHS δήλωσε ότι έχει αναθέσει τη διαχείριση και τη συντήρηση αυτού του συστήματος σε εξωτερικό φορέα εκμετάλλευσης. Από την επανεξέταση του περιεχομένου της σύμβασης με τον εν λόγω φορέα εκμετάλλευσης, το Γραφείο Επιτρόπου εκτίμησε ότι οι υποχρεώσεις που επιβάλλονται στο άρθρο 20 του νόμου, για τη διασφάλιση της προστασίας των δεδομένων, καθώς και τα μέτρα που θα ληφθούν σε περίπτωση παραβίασής τους, δεν έχουν εκπληρωθεί.

Η BSHS έχει τιμωρηθεί με πέντε πρόστιμα συνολικής αξίας 1,92 εκατομμυρίων λεκ, καθώς και με την υποχρέωση να διορθώσει όλες τις παραβάσεις που διαπίστωσε ο Επίτροπος.