ΑΡΧΙΚΑ ΘΥΜΗΘΕΙΤΕ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΥΠΟΘΕΣΗ ΕΔΩ:
https://www.kinima-ypervasi.gr/2018/11/financial-times-200000000-aegean-marine.html
https://www.kinima-ypervasi.gr/2018/11/aegean-marine-200000000.html
https://www.kinima-ypervasi.gr/2018/11/aegean-marine.html
https://www.kinima-ypervasi.gr/2018/12/aegean-marine-300000000.html
Πάμε στο σήμερα:
GDPR: Πρόστιμο 150.000 ευρώ για παράνομη επεξεργασία δεδομένων σε server
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Επεξεργασία δεδομένων προσωπικού χαρακτήρα σε διακομιστή (server) χωρίς την απόδειξη τήρησης των αρχών των άρθρων 5 παρ. 1 και 6 Γενικού Κανονισμού Προστασίας Δεδομένων και κατά παράβαση της αρχής της ασφαλούς επεξεργασίας
Η Αρχή με αφορμή Γνωστοποίηση Περιστατικού Παραβίασης Δεδομένων κατά της εταιρίας “Aegean Marine Petroleum Network Inc” (“AMPNI”), η οποία συνίστατο σε παράνομη πρόσβαση και αντιγραφή του συνόλου του περιεχομένου διακομιστή (server) που περιελάμβανε δεδομένα προσωπικού χαρακτήρα και τον οποίο χρησιμοποιούσαν από κοινού εργαζόμενοι τόσο της ανωτέρω εταιρίας αλλά και άλλων εταιριών του ίδιου Ομίλου όσο και εργαζόμενοι εταιριών εκτός Ομίλου, διερεύνησε τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα προ της αντιγραφής του διακομιστή.
Η Αρχή, με την απόφαση 44/2019, διαπίστωσε ότι η εταιρία ως υπεύθυνος επεξεργασίας δεν είχε συμμορφωθεί προς τις επιταγές του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), δεν είχε λάβει μέτρα συμμόρφωσης κατ’ άρ. 5 και 6 ΓΚΠΔ, δεν είχε σχεδιάσει και εφαρμόσει εσωτερικές πολιτικές και κανονισμούς για τη χρήση των εταιρικών μέσων ηλεκτρονικών επικοινωνιών και δικτύων, για τη δυνατότητα διενέργειας εσωτερικών ελέγχων και για την υποχρέωση ενημέρωσης των υποκειμένων των δεδομένων.
Επιπλέον δε, η Αρχή διαπίστωσε ότι η από κοινού χρήση του διακομιστή πραγματοποιούνταν κατά παράβαση της αρχής της ασφαλούς επεξεργασίας συνεπεία έλλειψης των κατάλληλων τεχνικών και οργανωτικών μέτρων, ιδίως εκείνων που αφορούσαν τον φυσικό και λογικό διαχωρισμό υλικού, λογισμικού και δεδομένων με αποτέλεσμα η εταιρία εν τέλει να αντιγράψει παράνομα το σύνολο του περιεχομένου του διακομιστή.
Μετά τη διαπίστωση των παραβάσεων του ΓΚΠΔ η Αρχή αποφάσισε την κατ’ άρ. 58 παρ. 2 ΓΚΠΔ άσκηση των διορθωτικών της εξουσιών, στη συγκεκριμένη περίπτωση, με την επιβολή διορθωτικών μέτρων και αποφάσισε:
Α. Να δώσει εντολή στην εταιρία όπως εντός τριών (3) μηνών από την παραλαβή της απόφασης, ενημερώνοντας την Αρχή :
i. να καταστήσει σύμφωνες με τις διατάξεις του ΓΚΠΔ τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται τόσο στη χρησιμοποιούμενη όσο και στην αντιγραφείσα υπολογιστική υποδομή.
ii. να λάβει όλα τα αναγκαία μέτρα εσωτερικής συμμόρφωσης και λογοδοσίας προς τις αρχές του άρθρου 5 παρ. 1 και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ.
Β. Να επιβάλει στην εταιρία το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στη συγκεκριμένη περίπτωση σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους εκατόν πενήντα χιλιάδων (150.000,00) ευρώ.
Δείτε αναλυτικά την απόφαση στο dpa.gr
Ας θυμηθούμε και ένα απόσπασμα σχετικό με τη σύγκρουση για το ηλεκτρονικό αρχείο της Aegean Marine που οδήγησε στο πρόστιμο, από το άρθρο «Το θρίλερ της πτώχευσης της Aegean Marine Petroleum Network» του Τάσου Τέλλογλου της 19/3/2019
(...) Tο γκρουπ των µετόχων, που ήταν δυσαρεστηµένο ήδη µε τις χαµηλές επιδόσεις σε όρους κερδών της AMPNI και την υπο-εκπροσώπηση της µειοψηφίας των µετόχων στη διοίκησή της, πίεζε ήδη από τις αρχές του 2018 για µεγαλύτερη συµµετοχή της µειοψηφίας στα κέντρα λήψης των αποφάσεων. «Κάποιοι άνθρωποι που ο Μελισσανίδης εµπιστευόταν φαίνεται ότι στο χρονικό αυτό σηµείο προσχώρησαν στη µειοψηφία», είπαν στο inside story δύο πηγές κοντά στις εσωτερικές διαδικασίες της εταιρείας το 2018 στη Νέα Υόρκη και την Αθήνα.
Στο χρονικό αυτό σηµείο, οι άνθρωποι των funds υπέδειξαν µια οµάδα για τη νέα διοίκηση της Aegean, στην οποία µεταξύ των άλλων συµµετείχε και συγγενής πρώτου βαθµού ενός εκ των διαχειριστών του fund µε µεγάλη εµπειρία στη διαχείριση εταιρειών του κλάδου και όχι µόνο. Ο Δ. Μελισσανίδης, παρά τις αντιρρήσεις συνεργατών του, δέχθηκε την πρόταση. Από τα επτά µέλη της διευθυντικής οµάδας, η µειοψηφία φαινόταν ότι ελέγχει τα τρία και ο Δ. Μελισσανίδης τα υπόλοιπα τέσσερα.
Οι δύο πλευρές µετόχων διαπραγµατεύτηκαν για να τα βρουν, αλλά µετά ακολούθησε νέα αντιπαράθεση για τον έλεγχο του ηλεκτρονικού αρχείου.
Δεν ήταν όµως έτσι ακριβώς, καθώς έναν µήνα µετά από αυτήν την εξέλιξη «έσκασε» η βόµβα της µάχης των δύο πλευρών για το ηλεκτρονικό αρχείο της εταιρείας Aegean Bunkering. Πρόκειται για θυγατρική εταιρεία της AMPNI, που εξακολουθούσε να ελέγχει διοικητικά ο Μελισσανίδης και έκανε τη λογιστική διαχείριση των εταιρειών πλοίων. Οι εκπρόσωποι των funds πίστευαν ότι αυτή η θυγατρική συνδεόταν µε τα 200 εκατ. δολάρια των ανείσπρακτων απαιτήσεων. Να σηµειωθεί ότι η οµάδα των µετόχων µειοψηφίας είχε υποσχεθεί ότι θα απέσυρε το αίτηµα για δικαστική επίλυση του ζητήµατος (οι µέτοχοι µειοψηφίας ζήτησαν από το δικαστήριο της Νέας Υόρκης το πάγωµα της συγχώνευσης AMPΝI-HEC και την εκπροσώπησή τους στη διοίκηση της εταιρείας).
Ο ίδιος ο Μελισσανίδης λέει σε συνεργάτες του ότι «η εταιρεία του απήχθη». Κάπως έτσι διαβάζονται και οι ένορκες βεβαιώσεις ελλήνων υπαλλήλων της εταιρείας σε συµβολαιογράφο της Αθήνας τον Ιούνιο του 2018. Σύµφωνα µε αυτές, δύο ελεγκτές της Ernst Young LLP – οι οποίοι είχαν οριστεί από τη νέα διοίκηση να βρουν οτιδήποτε για τα 200 εκατ. δολάρια – ο Μ.Τ. και ο Ι.Π. εισέβαλαν την Κυριακή 27 Μαΐου 2018 στα γραφεία της εταιρείας στην Ακτή Κονδύλη 10 στον Πειραιά, συνοδευόµενοι από εργαζόµενο της εταιρείας, αναζητώντας στοιχεία στο ηλεκτρονικό της αρχείο.
Η πλευρά Μελισσανίδη προσέφυγε στην Αρχή Προστασίας Δεδοµένων Προσωπικού Χαρακτήρα για να µην αποκτήσουν οι ελεγκτές πρόσβαση στα στοιχεία της AMPNI και θυγατρικών της.
Πριν στεγνώσει το µελάνι στις ένορκες αυτές καταθέσεις, ο οµότιµος καθηγητής του Ποινικού Δικαίου, Λεωνίδας Κοτσαλής είχε προσφύγει για λογαριασµό της εταιρείας Aegean Βunkering και του Δηµ. Μελισσανίδη στην Αρχή Προστασίας Δεδοµένων Προσωπικού Χαρακτήρα στις 18 Ιουνίου 2018, ζητώντας να απαγορευθεί η χρήση των δεδοµένων που υπήρχαν στους υπολογιστές της στον Πειραιά από χρήστες στις Ηνωµένες Πολιτείες Αµερικής (σ.σ. ίδια προσφυγή είχε γίνει όταν η νοµική εταιρεία Debevoise and Plimpton LLP, που είχε οριστεί από τις αµερικανικές αρχές για να ερευνήσει την Siemens, είχε επιχειρήσει να «σηκώσει» τους υπολογιστές των εργαζοµένων της Siemens το 2009).
Στην αίτηση (στην διάθεση του inside story) αναφέρεται ρητά η επίσκεψη των ελεγκτών της Ernst Young την Κυριακή 27 Μαΐου 2018. Ενώ η αίτηση στρέφεται εναντίον της ελεγκτικής εταιρείας, η προσφεύγουσα αναφέρει ότι «δεν υπάρχει συµβόλαιο (σ.σ. επεξεργασίας των προσωπικών δεδοµένων) µε την Ernst Young».
Το θρίλερ για τον έλεγχο του ηλεκτρονικού αρχείου
Ο δικηγόρος της εταιρείας περιγράφει ένα θρίλερ που προκλήθηκε πριν ακόµα αλλάξει η δοµή της εκτελεστικής διοίκησης. Το χρονικό που αναφέρεται στην προσφυγή µοιάζει σαν ένα ηµερολόγιο που περιγράφει την παρασκηνιακή µάχη για τον έλεγχό της:
Ο δικηγόρος της Aegean Bunkering ζήτησε να απαγορευθεί η χρήση των δεδοµένων που υπήρχαν στους υπολογιστές της εταιρείας στον Πειραιά από χρήστες εκτός Ελλάδος, που βρίσκονταν στις ΗΠΑ.
Πέρα από αυτό, ο Α.Μπ. στέλνει στον Γ.Ν. µια νέα λίστα 23 φυσικών προσώπων, ενώ ταυτόχρονα του ζητά να παραδώσει ολόκληρο το περιεχόµενο των µέιλ που βρίσκονται στον σχετικό σέρβερ. Ο σέρβερ, κατά τον κ. Κοτσαλή, όχι µόνο περιλαµβάνει το ιστορικό της ηλεκτρονικής αλληλογραφίας της AMPNI, αλλά και τρίτων εταιρειών, συνεπώς και προσωπικές πληροφορίες εργαζοµένων σε αυτές.
1. Δηµιούργησαν 5 domain admins (λογαριασµούς πλήρους πρόσβασης).
2. Τοποθέτησαν έναν φορέα συγκέντρωσης δεδοµένων στο δίκτυο.
3. Έκαναν ένα µη κρυπτογραφηµένο αντίγραφο του σέρβερ για τα µηνύµατα ηλεκτρονικού ταχυδροµείου.
4. Αντέγραψαν αυτό το αντίγραφο σε έναν δίσκο του δικτύου.
5. Αφαίρεσαν τον φορέα αποθήκευσης των δεδοµένων που περιείχε ολόκληρο το περιεχόµενο του σέρβερ δηµιουργώντας έναν νέο –παράνοµο– φάκελο και έφυγαν
Ο πραγµατογνώµoνας των ελεγκτών Α.Μπ., σε µια ένορκη βεβαίωσή του, περιγράφει τα πράγµατα λίγο διαφορετικά: Από τον έλεγχο που έκανε σε δύο file servers (AMPFSI1+AMPFS2) και το λογισµικό διαχείρισης φακέλων DANAOS, δουλεύοντας εξ αποστάσεως και χωρίς να έχει πρόσβαση σε φακέλους, τα µέλη της επιτροπής που είχε ορίσει το δικηγορικό γραφείο Πόρτερ µπόρεσαν να έχουν πρόσβαση στα µηνύµατα ηλεκτρονικού ταχυδροµείου 18 εργαζόµενων της εταιρείας. Από τον έλεγχο διαπιστώθηκε ότι ένα σύστηµα λογισµικού είχε τοποθετηθεί και είχε χρησιµοποιηθεί επανειληµµένα για να σβησθούν µηνύµατα ηλεκτρονικού ταχυδροµείου στις 25 Μαΐου 2018, δηλαδή τις ηµέρες που υποτίθεται ότι γινόταν ο έλεγχος στον Πειραιά. Το λογισµικό δεν είχε αγορασθεί «επίσηµα» από την εταιρεία AMPNI. O Α.Μπ. ζήτησε οδηγίες από το γραφείο Άρνολντ και Πόρτερ και την εξελεγκτική επιτροπή. Του ανέθεσαν να διατηρήσει στη ζωή ή να «ανασυστήσει» όσους περισσότερους φακέλους. Να σηµειωθεί ότι το λογισµικό που είχε εγκατασταθεί έδινε τη δυνατότητα να καταστραφούν οριστικά οι φάκελοι που είχαν σβησθεί χωρίς να είναι δυνατή η ανασύστασή τους.
Στις 19 Μαρτίου 2019 λήγει η διορία του πτωχευτικού δικαστηρίου προς τους πιστωτές να δηλώσουν εάν αποδέχονται ή όχι το σχέδιο εξυγίανσης.
Mία συνεργάτης της ελεγκτικής εταιρείας κατήγγειλε προπηλακισµό στα γραφεία ενώ επιχειρούσε να κάνει τη δουλειά της. Στις 18 Ιουλίου 2018, η Αρχή Δεδοµένων Προσωπικού Χαρακτήρα εξέδωσε προσωρινή διαταγή απαγόρευσης επεξεργασίας των δεδοµένων αυτών. Το πουλάκι είχε ωστόσο πετάξει. H εταιρεία προσπάθησε να βρει χρηµατοδότση και να υλοποιήσει το σχέδιο Marathon τον Σεπτέµβριο του 2018, αλλά δεν πρόλαβε και υπέβαλε αίτηση πτώχευσης την 1η Νοεµβρίου 2018 ενώ στις 15 Φεβρουαρίου 2019 γνωστοποιήθηκε το πληροφοριακό δελτίο για σχέδιο εξυγίανσης µε χρηµατοδότη την εταιρεία Mercuria.
Στις 19 Μαρτίου 2019 (σήµερα, ηµέρα δηµοσίευσης του παρόντος άρθρου), λήγει η διορία του δικαστηρίου για τους πιστωτές να υποβάλουν δήλωση αποδοχής επί του σχεδίου εξυγίανσης. Η επόµενη κοµβική ηµεροµηνία είναι στις 26 Μαρτίου 2019 όταν το δικαστήριο θα αποφασίσει την έγκριση ή µη του σχεδίου.
https://www.kinima-ypervasi.gr/2018/11/financial-times-200000000-aegean-marine.html
https://www.kinima-ypervasi.gr/2018/11/aegean-marine-200000000.html
https://www.kinima-ypervasi.gr/2018/11/aegean-marine.html
https://www.kinima-ypervasi.gr/2018/12/aegean-marine-300000000.html
Πάμε στο σήμερα:
GDPR: Πρόστιμο 150.000 ευρώ για παράνομη επεξεργασία δεδομένων σε server
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Επεξεργασία δεδομένων προσωπικού χαρακτήρα σε διακομιστή (server) χωρίς την απόδειξη τήρησης των αρχών των άρθρων 5 παρ. 1 και 6 Γενικού Κανονισμού Προστασίας Δεδομένων και κατά παράβαση της αρχής της ασφαλούς επεξεργασίας
Η Αρχή με αφορμή Γνωστοποίηση Περιστατικού Παραβίασης Δεδομένων κατά της εταιρίας “Aegean Marine Petroleum Network Inc” (“AMPNI”), η οποία συνίστατο σε παράνομη πρόσβαση και αντιγραφή του συνόλου του περιεχομένου διακομιστή (server) που περιελάμβανε δεδομένα προσωπικού χαρακτήρα και τον οποίο χρησιμοποιούσαν από κοινού εργαζόμενοι τόσο της ανωτέρω εταιρίας αλλά και άλλων εταιριών του ίδιου Ομίλου όσο και εργαζόμενοι εταιριών εκτός Ομίλου, διερεύνησε τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα προ της αντιγραφής του διακομιστή.
Η Αρχή, με την απόφαση 44/2019, διαπίστωσε ότι η εταιρία ως υπεύθυνος επεξεργασίας δεν είχε συμμορφωθεί προς τις επιταγές του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), δεν είχε λάβει μέτρα συμμόρφωσης κατ’ άρ. 5 και 6 ΓΚΠΔ, δεν είχε σχεδιάσει και εφαρμόσει εσωτερικές πολιτικές και κανονισμούς για τη χρήση των εταιρικών μέσων ηλεκτρονικών επικοινωνιών και δικτύων, για τη δυνατότητα διενέργειας εσωτερικών ελέγχων και για την υποχρέωση ενημέρωσης των υποκειμένων των δεδομένων.
Επιπλέον δε, η Αρχή διαπίστωσε ότι η από κοινού χρήση του διακομιστή πραγματοποιούνταν κατά παράβαση της αρχής της ασφαλούς επεξεργασίας συνεπεία έλλειψης των κατάλληλων τεχνικών και οργανωτικών μέτρων, ιδίως εκείνων που αφορούσαν τον φυσικό και λογικό διαχωρισμό υλικού, λογισμικού και δεδομένων με αποτέλεσμα η εταιρία εν τέλει να αντιγράψει παράνομα το σύνολο του περιεχομένου του διακομιστή.
Μετά τη διαπίστωση των παραβάσεων του ΓΚΠΔ η Αρχή αποφάσισε την κατ’ άρ. 58 παρ. 2 ΓΚΠΔ άσκηση των διορθωτικών της εξουσιών, στη συγκεκριμένη περίπτωση, με την επιβολή διορθωτικών μέτρων και αποφάσισε:
Α. Να δώσει εντολή στην εταιρία όπως εντός τριών (3) μηνών από την παραλαβή της απόφασης, ενημερώνοντας την Αρχή :
i. να καταστήσει σύμφωνες με τις διατάξεις του ΓΚΠΔ τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται τόσο στη χρησιμοποιούμενη όσο και στην αντιγραφείσα υπολογιστική υποδομή.
ii. να λάβει όλα τα αναγκαία μέτρα εσωτερικής συμμόρφωσης και λογοδοσίας προς τις αρχές του άρθρου 5 παρ. 1 και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 ΓΚΠΔ.
Β. Να επιβάλει στην εταιρία το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στη συγκεκριμένη περίπτωση σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους εκατόν πενήντα χιλιάδων (150.000,00) ευρώ.
Δείτε αναλυτικά την απόφαση στο dpa.gr
Στο χρονικό αυτό σηµείο, οι άνθρωποι των funds υπέδειξαν µια οµάδα για τη νέα διοίκηση της Aegean, στην οποία µεταξύ των άλλων συµµετείχε και συγγενής πρώτου βαθµού ενός εκ των διαχειριστών του fund µε µεγάλη εµπειρία στη διαχείριση εταιρειών του κλάδου και όχι µόνο. Ο Δ. Μελισσανίδης, παρά τις αντιρρήσεις συνεργατών του, δέχθηκε την πρόταση. Από τα επτά µέλη της διευθυντικής οµάδας, η µειοψηφία φαινόταν ότι ελέγχει τα τρία και ο Δ. Μελισσανίδης τα υπόλοιπα τέσσερα.
Οι δύο πλευρές µετόχων διαπραγµατεύτηκαν για να τα βρουν, αλλά µετά ακολούθησε νέα αντιπαράθεση για τον έλεγχο του ηλεκτρονικού αρχείου.
Δεν ήταν όµως έτσι ακριβώς, καθώς έναν µήνα µετά από αυτήν την εξέλιξη «έσκασε» η βόµβα της µάχης των δύο πλευρών για το ηλεκτρονικό αρχείο της εταιρείας Aegean Bunkering. Πρόκειται για θυγατρική εταιρεία της AMPNI, που εξακολουθούσε να ελέγχει διοικητικά ο Μελισσανίδης και έκανε τη λογιστική διαχείριση των εταιρειών πλοίων. Οι εκπρόσωποι των funds πίστευαν ότι αυτή η θυγατρική συνδεόταν µε τα 200 εκατ. δολάρια των ανείσπρακτων απαιτήσεων. Να σηµειωθεί ότι η οµάδα των µετόχων µειοψηφίας είχε υποσχεθεί ότι θα απέσυρε το αίτηµα για δικαστική επίλυση του ζητήµατος (οι µέτοχοι µειοψηφίας ζήτησαν από το δικαστήριο της Νέας Υόρκης το πάγωµα της συγχώνευσης AMPΝI-HEC και την εκπροσώπησή τους στη διοίκηση της εταιρείας).
Ο ίδιος ο Μελισσανίδης λέει σε συνεργάτες του ότι «η εταιρεία του απήχθη». Κάπως έτσι διαβάζονται και οι ένορκες βεβαιώσεις ελλήνων υπαλλήλων της εταιρείας σε συµβολαιογράφο της Αθήνας τον Ιούνιο του 2018. Σύµφωνα µε αυτές, δύο ελεγκτές της Ernst Young LLP – οι οποίοι είχαν οριστεί από τη νέα διοίκηση να βρουν οτιδήποτε για τα 200 εκατ. δολάρια – ο Μ.Τ. και ο Ι.Π. εισέβαλαν την Κυριακή 27 Μαΐου 2018 στα γραφεία της εταιρείας στην Ακτή Κονδύλη 10 στον Πειραιά, συνοδευόµενοι από εργαζόµενο της εταιρείας, αναζητώντας στοιχεία στο ηλεκτρονικό της αρχείο.
Η πλευρά Μελισσανίδη προσέφυγε στην Αρχή Προστασίας Δεδοµένων Προσωπικού Χαρακτήρα για να µην αποκτήσουν οι ελεγκτές πρόσβαση στα στοιχεία της AMPNI και θυγατρικών της.
Πριν στεγνώσει το µελάνι στις ένορκες αυτές καταθέσεις, ο οµότιµος καθηγητής του Ποινικού Δικαίου, Λεωνίδας Κοτσαλής είχε προσφύγει για λογαριασµό της εταιρείας Aegean Βunkering και του Δηµ. Μελισσανίδη στην Αρχή Προστασίας Δεδοµένων Προσωπικού Χαρακτήρα στις 18 Ιουνίου 2018, ζητώντας να απαγορευθεί η χρήση των δεδοµένων που υπήρχαν στους υπολογιστές της στον Πειραιά από χρήστες στις Ηνωµένες Πολιτείες Αµερικής (σ.σ. ίδια προσφυγή είχε γίνει όταν η νοµική εταιρεία Debevoise and Plimpton LLP, που είχε οριστεί από τις αµερικανικές αρχές για να ερευνήσει την Siemens, είχε επιχειρήσει να «σηκώσει» τους υπολογιστές των εργαζοµένων της Siemens το 2009).
Στην αίτηση (στην διάθεση του inside story) αναφέρεται ρητά η επίσκεψη των ελεγκτών της Ernst Young την Κυριακή 27 Μαΐου 2018. Ενώ η αίτηση στρέφεται εναντίον της ελεγκτικής εταιρείας, η προσφεύγουσα αναφέρει ότι «δεν υπάρχει συµβόλαιο (σ.σ. επεξεργασίας των προσωπικών δεδοµένων) µε την Ernst Young».
Το θρίλερ για τον έλεγχο του ηλεκτρονικού αρχείου
Ο δικηγόρος της εταιρείας περιγράφει ένα θρίλερ που προκλήθηκε πριν ακόµα αλλάξει η δοµή της εκτελεστικής διοίκησης. Το χρονικό που αναφέρεται στην προσφυγή µοιάζει σαν ένα ηµερολόγιο που περιγράφει την παρασκηνιακή µάχη για τον έλεγχό της:
- Στις 13 Απριλίου, ο Ε.Χ. που είναι διοικητικός διευθυντής της Aegean Marine Petroleum Network (AMPNI) στέλνει στον Γ.Ν. που είναι υπεύθυνος πληροφορικής της εταιρείας, ένα µήνυµα ηλεκτρονικού ταχυδροµείου που προέρχεται από τη δικηγορική εταιρεία Άρνολντ και Πόρτερ. Αυτή η δικηγορική εταιρεία είναι εξουσιοδοτηµένη από την εξελεγκτική επιτροπή της AMPNI και κάνει ελέγχους σε σχέση µε υπόθεση που αφορά µεταβιβάσεις κεφαλαίων (σ.σ. των 200 εκατ. δολ.) και ζητάει τα προσωπικά στοιχεία 11 υπαλλήλων. Ειδικότερα ζητείται από τον κύριο Γ.Ν. να µεταφέρει σε ηλεκτρονικό µέσο αποθήκευσης τα µηνύµατα 11 υπαλλήλων που απασχολούνται από την 1 Ιανουαρίου 2014 µέχρι τότε. Παράλληλα, θα πρέπει να διατηρήσει το µέσο αυτό σε µια ασφαλή περιοχή χωρίς να εξαχθεί από την Ευρωπαϊκή Ένωση. Περαιτέρω ειδοποιείται ότι η παραπάνω εταιρεία (σ.σ. προφανώς εννοεί η δικηγορική εταιρεία Αρνολντ και Πόρτερ) συνεργάζεται µε τρίτο εξωτερικό συνεργάτη, ώστε να γίνει η παράδοση αυτών των µηνυµάτων ηλεκτρονικού ταχυδροµείου. Ο Γ.Ν. αναφέρει ότι για να γίνει αυτό θα πρέπει να συµβουλευθεί έναν δικηγόρο.
- Πράγµατι, στις 17 Απριλίου 2018, ο Γ.Ν. στέλνει στην AMPNI τη γνωµοδότηση του δικηγόρου, εξηγώντας τους λόγους για τους οποίους οι ενέργειες που του έχουν ζητηθεί δεν είναι δυνατόν να ολοκληρωθούν και ότι υπάρχει συγκεκριµένη διαδικασία για την εξαγωγή των δεδοµένων και τη φύλαξή τους.
- Στις 26 Απριλίου 2018 –µία εβδοµάδα πριν την αναδιοργάνωση του ΔΣ– ο επικεφαλής της εξελεγκτικής επιτροπής Γ.Κ. στέλνει ένα γράµµα στον δικηγόρο του Γ.Ν. όπου αναφέρεται στην επίσηµη εξουσιοδότηση που έχει δώσει στο δικηγορικό γραφείο Άρνολντ και Πόρτερ και επαναλαµβάνει την εντολή του προς Γ.Ν. για την εξαγωγή των δεδοµένων.
- Στις 9 Μαΐου 2018, δηλαδή µια εβδοµάδα µετά την αλλαγή στην εκτελεστική διοίκηση της εταιρείας, το δικηγορικό γραφείο Άρνολντ και Πόρτερ στέλνει στον Γ.Ν. ένα µήνυµα ηλεκτρονικού ταχυδροµείου µε το οποίο του επισηµαίνει την καθυστέρηση στις ενέργειες τις οποίες είχε αναλάβει να φέρει σε πέρας ενώ τον απειλεί ότι αν δεν συνεργασθεί πιθανά να αντιµετωπίσει τις συνέπειες.
- Στις 15 Μαΐου 2018, ο Γ.Ν. αναφέρει σε γράµµα του, ότι από τη µία πλευρά τα τρίτα µέρη (εννοεί το γραφείο Πόρτερ) δεν έχουν εξουσιοδότηση να δίνουν εντολές, από την άλλη ζητά νοµική κάλυψη από την εξελεγκτική επιτροπή αλλά αµφισβητεί τη νοµιµότητα των ενεργειών που του ζητείται να φέρει εις πέρας.
- Μία µέρα αργότερα, στις 16 Μαΐου 2018, ο Ε.Χ. και ο Α.Μπ. που συστήνεται ως ειδικός στην συγκέντρωση δεδοµένων εργαζόµενος στην Ernst Young LLP, εµφανίζονται στο γραφείο του Γ.Ν. στον Πειραιά και του ζητούν να εξαγάγει και να παραδώσει τα προσωπικά δεδοµένα που επίµονα του ζητούνται.
Ο δικηγόρος της Aegean Bunkering ζήτησε να απαγορευθεί η χρήση των δεδοµένων που υπήρχαν στους υπολογιστές της εταιρείας στον Πειραιά από χρήστες εκτός Ελλάδος, που βρίσκονταν στις ΗΠΑ.
Πέρα από αυτό, ο Α.Μπ. στέλνει στον Γ.Ν. µια νέα λίστα 23 φυσικών προσώπων, ενώ ταυτόχρονα του ζητά να παραδώσει ολόκληρο το περιεχόµενο των µέιλ που βρίσκονται στον σχετικό σέρβερ. Ο σέρβερ, κατά τον κ. Κοτσαλή, όχι µόνο περιλαµβάνει το ιστορικό της ηλεκτρονικής αλληλογραφίας της AMPNI, αλλά και τρίτων εταιρειών, συνεπώς και προσωπικές πληροφορίες εργαζοµένων σε αυτές.
- Στις 21 Μαΐου του 2018, ο Γ.Ν. γράφει ένα γράµµα στην Άρνολντ και Πόρτερ, κοινοποιώντας το ταυτόχρονα στον πρόεδρο της εξελεγκτικής επιτροπής Γ.Κ. στον οποίο αναφέρει ότι παρά το γεγονός ότι ο ίδιος επισήµανε την έλλειψη νοµιµότητας στην όλη διαδικασία, αντί να απαντηθούν τα ζητήµατα που τέθηκαν, του απέστειλαν εντολοδόχους, που ζητούν να γίνουν εντελώς «παράνοµες πράξεις» πιθανά αντίθετες στην ελληνική και ευρωπαϊκή νοµοθεσία για την προστασία των προσωπικών δεδοµένων.
- Την επόµενη µέρα, στις 22 Μαΐου 2018, λαµβάνει χώρα µια τηλεφωνική επικοινωνία µεταξύ του επικεφαλής των διευθυντών (chairman of Board of Directors) Donald Moore της AMPNI που του ζητά την χωρίς όρους συνεργασία του και τον διαβεβαιώνει ότι η εταιρεία θα του παράσχει την πλήρη νοµική της κάλυψη σε ό,τι τον αφορά. Την ίδια µέρα, ο Γ.Ν. στέλνει µια επιστολή στον Moore κοινοποιώντας την στην δικηγορική εταιρεία Άρνολντ και Πόρτερ και τον Γ.Κ. (πρόεδρο της εξελεγκτικής επιτροπής). Επαναλαµβάνει ότι παρά τις διαρκείς αναφορές του στο παράνοµο της διαδικασίας καλείται να εξαγάγει και να παραδώσει τα δεδοµένα.
- Στις 23 Μαΐου 2018, ο πρόεδρος της εξελεγκτικής επιτροπής στέλνει γράµµα στον Γ.Ν., δηλώνοντας την επίσηµη εξουσιοδότηση στην Ernst Young και απαιτώντας να παραδώσει ό,τι του έχει ζητηθεί δίδοντάς του πλήρη νοµική κάλυψη.
- Στις 24 Μαΐου 2018, ο Γ.Ν. στέλνει γράµµα στον πρόεδρο της εξελεγκτικής επιτροπής, κοινοποιώντας το στο δικηγορικό γραφείο Άρνολντ και Πόρτερ και επισηµαίνοντας ότι παρά τη διαρκή αναφορά του στη νοµιµότητα της διαδικασίας του ζητούν να παραδώσει προσωπικά δεδοµένα κατά παράνοµο τρόπο.
- Την Παρασκευή 25 Μαΐου 2018, όπως αποκάλυψε ο υφιστάµενος Α.Θ. στον προϊστάµενό του Γ.Ν. στις 29 Μαΐου 2018, προσεκλήθη (ο υφισατάµενος) στην αίθουσα συσκέψεων από τον πρόεδρο της εξελεγκτικής επιτροπής και τον οικονοµικό διευθυντή. Κατά τη διάρκεια της συνάντησης αναφέρθηκαν στην έλλειψη συνεργασίας του Γ.Ν. και στην πρόθεσή τους να τον προβιβάσουν (τον υφιστάµενο) στη θέση του προϊσταµένου του, δηλαδή στη θέση του Γ.Ν. Στο τέλος του ζήτησαν να συνεργασθεί µε την Ernst Young για την εξαγωγή των δεδοµένων και να µην αποκαλύψει το παραµικρό σε οποιονδήποτε.
- Στις 27 Μαΐου 2018, έγινε η επίσκεψη του Α.Θ. µε δύο υπαλλήλους της Ernst Young στα γραφεία της εταιρείας (ακτή Κονδύλη 10 στον Πειραιά).
- Τη Δευτέρα 28 Μαΐου 2018, ο Α.Θ. ξαναγύρισε µε τους δύο υπαλλήλους της Ernst Young και πήγαν στον 4ο όροφο. Από την αυτοψία που έγινε µετά προέκυψε –κατά το έγγραφο Κοτσαλή– ότι:
1. Δηµιούργησαν 5 domain admins (λογαριασµούς πλήρους πρόσβασης).
2. Τοποθέτησαν έναν φορέα συγκέντρωσης δεδοµένων στο δίκτυο.
3. Έκαναν ένα µη κρυπτογραφηµένο αντίγραφο του σέρβερ για τα µηνύµατα ηλεκτρονικού ταχυδροµείου.
4. Αντέγραψαν αυτό το αντίγραφο σε έναν δίσκο του δικτύου.
5. Αφαίρεσαν τον φορέα αποθήκευσης των δεδοµένων που περιείχε ολόκληρο το περιεχόµενο του σέρβερ δηµιουργώντας έναν νέο –παράνοµο– φάκελο και έφυγαν
Ο πραγµατογνώµoνας των ελεγκτών Α.Μπ., σε µια ένορκη βεβαίωσή του, περιγράφει τα πράγµατα λίγο διαφορετικά: Από τον έλεγχο που έκανε σε δύο file servers (AMPFSI1+AMPFS2) και το λογισµικό διαχείρισης φακέλων DANAOS, δουλεύοντας εξ αποστάσεως και χωρίς να έχει πρόσβαση σε φακέλους, τα µέλη της επιτροπής που είχε ορίσει το δικηγορικό γραφείο Πόρτερ µπόρεσαν να έχουν πρόσβαση στα µηνύµατα ηλεκτρονικού ταχυδροµείου 18 εργαζόµενων της εταιρείας. Από τον έλεγχο διαπιστώθηκε ότι ένα σύστηµα λογισµικού είχε τοποθετηθεί και είχε χρησιµοποιηθεί επανειληµµένα για να σβησθούν µηνύµατα ηλεκτρονικού ταχυδροµείου στις 25 Μαΐου 2018, δηλαδή τις ηµέρες που υποτίθεται ότι γινόταν ο έλεγχος στον Πειραιά. Το λογισµικό δεν είχε αγορασθεί «επίσηµα» από την εταιρεία AMPNI. O Α.Μπ. ζήτησε οδηγίες από το γραφείο Άρνολντ και Πόρτερ και την εξελεγκτική επιτροπή. Του ανέθεσαν να διατηρήσει στη ζωή ή να «ανασυστήσει» όσους περισσότερους φακέλους. Να σηµειωθεί ότι το λογισµικό που είχε εγκατασταθεί έδινε τη δυνατότητα να καταστραφούν οριστικά οι φάκελοι που είχαν σβησθεί χωρίς να είναι δυνατή η ανασύστασή τους.
Στις 19 Μαρτίου 2019 λήγει η διορία του πτωχευτικού δικαστηρίου προς τους πιστωτές να δηλώσουν εάν αποδέχονται ή όχι το σχέδιο εξυγίανσης.
Mία συνεργάτης της ελεγκτικής εταιρείας κατήγγειλε προπηλακισµό στα γραφεία ενώ επιχειρούσε να κάνει τη δουλειά της. Στις 18 Ιουλίου 2018, η Αρχή Δεδοµένων Προσωπικού Χαρακτήρα εξέδωσε προσωρινή διαταγή απαγόρευσης επεξεργασίας των δεδοµένων αυτών. Το πουλάκι είχε ωστόσο πετάξει. H εταιρεία προσπάθησε να βρει χρηµατοδότση και να υλοποιήσει το σχέδιο Marathon τον Σεπτέµβριο του 2018, αλλά δεν πρόλαβε και υπέβαλε αίτηση πτώχευσης την 1η Νοεµβρίου 2018 ενώ στις 15 Φεβρουαρίου 2019 γνωστοποιήθηκε το πληροφοριακό δελτίο για σχέδιο εξυγίανσης µε χρηµατοδότη την εταιρεία Mercuria.
Στις 19 Μαρτίου 2019 (σήµερα, ηµέρα δηµοσίευσης του παρόντος άρθρου), λήγει η διορία του δικαστηρίου για τους πιστωτές να υποβάλουν δήλωση αποδοχής επί του σχεδίου εξυγίανσης. Η επόµενη κοµβική ηµεροµηνία είναι στις 26 Μαρτίου 2019 όταν το δικαστήριο θα αποφασίσει την έγκριση ή µη του σχεδίου.
ΠΗΓΕΣ
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου