Η Grand Value (μέλος του Ομίλου Εταιρειών ARTION), δραστηριοποιείται στην παροχή εξειδικευμένων συμβουλευτικών υπηρεσιών που απευθύνονται σε μικρομεσαίες και μεγάλες εταιρείες ολόκληρου του φάσματος της επιχειρηματικής δραστηριότητας.

Η Grand Value διαθέτοντας αφενός πιστοποιημένη (DPO) ομάδα στελεχών & αφετέρου την εμπειρία από την υλοποίηση 40 έργων συμμόρφωσης με τις απαιτήσεις του Κανονισμού, είναι στη διάθεσή σας για ενημέρωση και υποστήριξη.

Παραβίαση Δεδομένων Προσωπικού Χαρακτήρα – Personal Data Breach

Σύμφωνα με τον Κανονισμό για την Προστασία των Προσωπικών Δεδομένων, ‘’παραβίαση δεδομένων προσωπικού χαρακτήρα’’ είναι μία παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία (1).

Παραβίαση Δεδομένων (ΠΔ) μπορεί να είναι παραβίαση εμπιστευτικότητας (δηλαδή μη εξουσιοδοτημένη ή τυχαία αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα), παραβίαση ακεραιότητας (δηλαδή μη εξουσιοδοτημένη ή τυχαία αλλοίωση των προσωπικών δεδομένων) ή παραβίαση διαθεσιμότητας (όταν υπάρχει τυχαία ή μη εξουσιοδοτημένη απώλεια πρόσβασης ή καταστροφή προσωπικών δεδομένων) (2).

Ο κίνδυνος από μια ΠΔ (Παραβίαση Δεδομένων)  – εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα – μπορεί να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα ή ο περιορισμός των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας δεδομένων που προστατεύονται από επαγγελματικό απόρρητο ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο (3).

Κατά συνέπεια, αμέσως μόλις ο Υπεύθυνος Επεξεργασίας  (δηλαδή η επιχείρηση στην οποία συνέβη μια Παραβίαση Δεδομένων) λάβει γνώση μιας ΠΔ, θα πρέπει αμελλητί και, ει δυνατόν, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, να γνωστοποιήσει την ΠΔ στην ΑΠΔΠΧ (4), εκτός εάν o Υπεύθυνος Επεξεργασίας μπορεί να αποδείξει, σύμφωνα με την αρχή της λογοδοσίας, ότι η ΠΔ δεν ενδέχεται να επιφέρει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

Εάν μια τέτοια γνωστοποίηση δεν μπορεί να επιτευχθεί εντός 72 ωρών, η γνωστοποίηση θα πρέπει να συνοδεύεται από αιτιολογία η οποία αναφέρει τους λόγους της καθυστέρησης και οι πληροφορίες μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση (5).

Επιπλέον, ο Υπεύθυνος Επεξεργασίας θα πρέπει να ανακοινώνει αμελλητί στα φυσικά πρόσωπα (που τα δεδομένα τους παραβιάστηκαν)  για την ΠΔ, όταν αυτή η παραβίαση είναι πιθανόν να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες του φυσικού προσώπου. Στόχος αυτής της ανακοίνωσης είναι να μπορέσει το φυσικό πρόσωπο να λάβει τις αναγκαίες προφυλάξεις, (5).

Η ανακοίνωση θα πρέπει να περιγράφει τη φύση της ΠΔ και να περιέχει συστάσεις προς το ενδιαφερόμενο φυσικό πρόσωπο για τον μετριασμό δυνητικών δυσμενών συνεπειών. Οι ανακοινώσεις αυτές στα υποκείμενα των δεδομένων θα πρέπει να πραγματοποιούνται το συντομότερο δυνατόν, σε στενή συνεργασία με την ΑΠΔΠΧ (4), τηρώντας την καθοδήγηση που παρέχεται από αυτήν ή άλλες σχετικές αρχές, όπως πχ αρχές επιβολής του νόμου.

Για παράδειγμα, η ανάγκη να μετριαστεί άμεσος κίνδυνος ζημίας θα απαιτούσε την άμεση ανακοίνωση στα υποκείμενα των δεδομένων, ενώ η αναγκαιότητα εφαρμογής κατάλληλων μέτρων κατά συνεχών ή παρόμοιων παραβιάσεων δεδομένων μπορεί να δικαιολογεί περισσότερο χρόνο για την ανακοίνωση.

Η επιχείρηση, στο πλαίσιο της εκ του νόμου υποχρέωσής της να εφαρμόζει τον Κανονισμό και λαμβάνοντας υπόψη την αρχή της λογοδοσίας (6), πρέπει να υλοποιεί τα ‘’κατάλληλα τεχνικά και οργανωτικά μέτρα’’ (πχ πολιτικές, διαδικασίες, εκπαίδευση, υποδομές) ώστε να διασφαλίζονται η ασφάλεια και η προστασία των προσωπικών δεδομένων και συνεπώς να ελαχιστοποιείται η πιθανότητα παραβίασης CIA (confidentiality, integrity, availability) (7).

H λέξη ‘’κατάλληλα’’ υποδηλώνει ότι τα τεχνικά και οργανωτικά μέτρα διαμορφώνονται σύμφωνα με τις ιδιαιτερότητες της επιχείρησης και περιλαμβάνουν και την προετοιμασία της επιχείρησης για τον τρόπο αντίδρασής της σε μια παραβίαση δεδομένων.

Περισσότερες πληροφορίες

  1. Κανονισμός 2016/679, Άρθρο12
  2. Κατευθυντήρια Οδηγία της Ομάδας Εργασίας του Άρθρου 29, 3 Oct. 2017 (WP 250)
  3. Κανονισμός 2016/679, Αιτιολογικές Σκέψεις 78, 85-88
  4. ΑΠΔΠΧ: Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, www.dpa.gr
  5. Κανονισμός 2016/679, Άρθρα 33 -34
  6. Κανονισμός 2016/679, Άρθρο 5
  7. Κανονισμός 2016/679, Άρθρα 32 & 35