Πρόστιμο 400.000 ευρώ στον ΟΤΕ από την Αρχή Προστασίας Προσωπικών Δεδομένων

[QuantumWanderer]

Πρόστιμο 400.000 ευρώ στον ΟΤΕ από την Αρχή Προστασίας Προσωπικών Δεδομένων

https://www.businessnews.gr/el/epixeiriseis/texnologia/πρόστιμο-400-000-ευρώ-στον-οτε-από-την-αρχή-προστασίας-προσωπικών-δεδομένων.html

Διάβαζα αυτό και μού έκανε εντύπωση το εξής.

«Κατά την εξέταση των καταγγελιών προέκυψε ότι από το 2013 και μετά, λόγω τεχνικού σφάλματος, δεν λειτουργούσε η διαγραφή από τις λίστες αποδεκτών των μηνυμάτων διαφημιστικού περιεχομένου για όσους παραλήπτες το ζητούσαν μέσω του συνδέσμου “unsubscribe”.»

[jkoukos]

Αφορούσε σοβαρή αβλεψία σε συγκεκριμένες περιπτώσεις συνδρομητών και γι' αυτό δέχτηκε η ΑΠΔΠΧ ότι ήταν ανθρώπινο σφάλμα που διορθώθηκε όταν έγινε γνωστό. Πρόκειται για 2 ξεχωριστές αποφάσεις για παρόμοιο πρόβλημα, εξού και το συνολικό ποσό του προστίματος (200 χιλ * 2)/
 

Spoiler

 

... η εταιρεία καταχωρεί τα στοιχεία των συνδρομητών της στο σύστημα διαχείρισης πελατειακών σχέσεων (CRM) Siebel, το οποίο διασυνδέεται με τον διαδικτυακό τόπο (portal) του ΟΤΕ, από όπου οι ενδιαφερόμενοι μπορούν να αντλήσουν τα στοιχεία του μητρώου άρ. 11. Διαπιστώθηκε ότι ο κώδικας διασύνδεσης μεταξύ Siebel και portal δεν λειτούργησε σωστά, με αποτέλεσμα να μη μεταφέρεται η εικόνα συγκεκριμένης κατηγορίας συνδρομητών από το Siebel στο portal. Ειδικότερα, όταν ένας συνδρομητής ενταγμένος στο μητρώο άρ. 11 υπέβαλε αίτημα φορητότητας, ξεκινούσε η διαδικασία διαγραφής από το Siebel και ακολούθως από το portal τόσο των συνδρομητών όσο και των επιλογών τους, συμπεριλαμβανομένης της επιλογής του μητρώου άρ. 11.

Όταν κάποιος συνδρομητής ανακαλούσε την αίτηση φορητότητας, τα στοιχεία του επανεγγράφονταν στο Siebel αλλά, λόγω σφάλματος στον κώδικα, η εικόνα αυτή δεν μεταφερόταν στο portal. Ο ΟΤΕ αναφέρει ότι μόλις έλαβε γνώση του προβλήματος προχώρησε σε διόρθωση του κώδικα, πραγματοποίησε επανέλεγχο των εγγραφών των συνδρομητών του, εντοπίζοντας τα προβλήματα και επανεγγράφοντας όλους τους αριθμούς αυτούς στο μητρώο. Οι συνδρομητές για τους οποίους εντοπίστηκε το πρόβλημα ήταν 7.499 συνδρομητές από το 2016 και μετά και εκτιμώνται σε 8.700 περίπου συνδρομητές για το προηγούμενο χρονικό διάστημα.

Ο ΟΤΕ δηλώνει ότι το πρόβλημα δεν είχε γίνει αντιληπτό γιατί ακόμα κι αν κάποιος συνδρομητής ρωτούσε για το αν έχει εγγραφεί στο μητρώο αρ.11, λάμβανε από τους υπαλλήλους θετική απάντηση, βάσει των στοιχείων του συστήματος Siebel.

...

Από τα στοιχεία του φακέλου προκύπτει ότι ο ΟΤΕ δεν διέθετε το κατάλληλο οργανωτικό μέτρο, δηλαδή καθορισμένη διαδικασία μέσω της οποίας να εντοπίζει ότι το δικαίωμα εναντίωσης του υποκειμένου δεν μπορούσε να ικανοποιηθεί. Αυτό προκύπτει αφού, και κατόπιν αναφοράς υποκειμένου των δεδομένων ότι παρά την υποβολή αιτήματος εξαίρεσης συνεχίζει να λαμβάνει προωθητικά μηνύματα, δεν προέβη σε καμία σχετική ενέργεια προς αποκατάσταση του ζητήματος.

...

Η χρονική διάρκεια του συμβάντος κατά το οποίο συνδρομητές φυσικά πρόσωπα του ΟΤΕ στερήθηκαν του δικαιώματός τους ήταν ιδιαίτερα μεγάλη, αφού από το 2013 8.000 περίπου συνδρομητές είχαν ανεπιτυχώς προσπαθήσει να διαγραφούν.
...

Η Αρχή δέχεται ότι το συμβάν δεν οφείλεται σε δόλο του υπευθύνου επεξεργασίας και ότι μόλις ο υπεύθυνος επεξεργασίας το πληροφορήθηκε από την Αρχή ενήργησε για την επανόρθωση της παράβασης, συνεργαζόμενος μαζί της.

 

Πηγή

[QuantumWanderer]

Δεν θεωρώ ότι υπήρχε δόλος, αλλά ξεκάθαρα υπάρχει διοικητική ευθύνη ανθρώπων σε κάθε εταιρεία όταν συμβαίνουν λάθη.

Το θεωρώ αδιανόητο να ρίχνουμε την ευθύνη στο εκάστοτε πληροφοριακό σύστημα. Τα συστήματα έχουν δικλείδες ασφαλείας για τις οποίες ελέγχονται κατά την παραλαβή και υπογράφονται από υψηλά και ενδιάμεσα ιστάμενους.

[jkoukos]

Ότι υπάρχει ευθύνη, δεν χωρά αμφιβολία, εξού και το τσουχτερό πρόστιμο.

Δεν πρόκειται για ευθύνη του πληροφοριακού συστήματος και ούτε την έριξε κανείς εκεί. Αβλεψία στην ρύθμισή του και παταγώδης αποτυχία στον έλεγχό του πριν την ενεργοποίηση.  Ξεκάθαρα σφάλμα στον κώδικα και στις ρουτίνες που τρέχουν σε συγκεκριμένο σενάριο (αίτημα φορητότητας και λίγο αργότερα ακύρωσή της), ενώ σε όλες τις άλλες περιπτώσεις δεν υπήρχε θέμα.

[QuantumWanderer]

Το γεγονός ότι 6 ολόκληρα χρόνια έτρεχε αυτό το σφάλμα και δεν το κατάλαβε κανένας μέσα στην εταιρεία, μού δημιουργεί σοβαρές αμφιβολίες για το τί γίνεται με την προστασία προσωπικών μας δεδομένων μέσα στους παρόχους, αλλά και γενικότερα σε άλλες εταιρείες που υποτίθεται έχουν τεχνογνωσία σε αυτά.

[jkoukos]

Πρώτη φορά είναι που ανακαλύπτεται σφάλμα σε κώδικα λειτουργικού, ή εφαρμογής, βάση δεδομένων κλπ μετά από πολύ χρόνο; Πρέπει να πέσει κανείς πάνω του και να το ψάξει ενδελεχώς. Διάβασες όλο το κείμενο της Αρχής; Ξεκίνησε από 2 πελάτες και στην έρευνα που έκανε η εταιρεία βρήκε ότι αφορούσε πολλούς σε αυτή την χρονική περίοδο και με συγκεκριμένο σενάριο ακολουθίας. Δεν ανακαλύφθηκε απ' όλους αυτούς ούτε όλοι έκαναν παράπονο.

[QuantumWanderer]

Αυτό ακριβώς λέω. Ότι ανατριχιάζω στην ιδέα ότι τέτοια λάθη σε πληροφοριακά συστήματα τεχνολογικών εταιρειών, ανακαλύπτονται λόγω εξωγενών παραγόντων και όχι λόγω εσωτερικής διαδικασίας ελέγχου.

[NikosKallithea]

Τα πρόστιμα δεν εχουν καμία ουσια και δεν ενδιαφέρουν τον κοσμο-πελατη

Αυτο που επρεπε να γινόταν ειναι, τα πρόστιμα αυτα να διανέμονται στους παθόντες ή εστω να αποζημιώνονται με κάποιον τρόπο οσοι έκαναν καταγγελία

[QuantumWanderer]

Θα προσθέσω στο παραπάνω, ότι τα πρόστιμα όταν είναι μικρά ως ποσοστό στα κέρδη μιας εταιρείας, μερικές φορές υπάρχει και λογιστικό/οικονομικό κίνητρο να παρανομήσεις.

[QuantumWanderer]

Σε τέτοια λάθη εταιρειών, υπάρχει πάντα και ένα ενδιαφέρον για το πώς αναλαμβάνονται οι διοικητικές ευθύνες.

Για παράδειγμα, στο εξωτερικό σε σοβαρές εταιρείες πάντα καθαιρείται ή αποχωρεί κάποιος υψηλά ιστάμενος που άφησε ένα λάθος να συμβαίνει για χρόνια.

Στην ελληνική διοικητική κουλτούρα, συχνά, αν το λάθος το έκανε κάποιο «δικό μας παιδί» υψηλά ιστάμενος, μπορεί εν δυνάμει να πάρει και μπόνους στο τέλος της χρονιάς.

Επεξ/σία 18 Οκτωβρίου 2019 από kostasgr78