logo-print

Τι είναι η παραβίαση δεδομένων (data breach) και ποιες είναι οι σχετικές υποχρεώσεις;

Χρήσιμες πληφορορίες και παραδείγματα για την παραβίαση δεδομένων

H πολύκροτη υπόθεση του Facebook και της Cambridge Analytica έφερε και πάλι στο προσκήνιο νομικά και τεχνικά ζητήματα σχετικά με την έννοια της παραβίασης δεδομένων (data breach).

Η εξέλιξη αυτή ήταν αναμενόμενη, καθώς με το νέο πλαίσιο για την προστασία δεδομένων, τον περίφημο GDPR ο οποίος τίθεται σε ισχύ σε λιγότερο από 60 ημέρες, προβλέπεται η υποχρέωση γνωστοποίησης των παραβιάσεων δεδομένων προσωπικού χαρακτήρα στις εποπτικές αρχές, υπό προϋποθέσεις, ενώ δεν αποκλείεται η παραβίαση να πρέπει να ανακοινωθεί και στα ίδια τα υποκείμενα των δεδομένων.

Ενημερωθείτε αναλυτικά για τον GDPR στο Lawspot.gr/GDPR

Τι συνιστά όμως παραβίαση προσωπικών δεδομένων;

Σημείωση: Για την καλύτερη κατανόηση των όρων, επισκεφθείτε το Λεξικό όρων του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR)

Σύμφωνα με την Ευρωπαϊκή Επιτροπή, παραβίαση δεδομένων επέρχεται όταν σημειώνεται συμβάν ασφαλείας σε σχέση με τα δεδομένα για τα οποία ευθύνεται μία εταιρεία ή ένας οργανισμός, το οποίο έχει ως αποτέλεσμα την παραβίαση του απορρήτου, της διαθεσιμότητας ή της ακεραιότητας.

Εάν αυτό συμβεί, και είναι πιθανό η παραβίαση να θέτει σε κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικού προσώπου, η εταιρεία ή ο οργανισμός πρέπει να ειδοποιήσει την εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 72 ωρών αφού αντιληφθεί την παραβίαση. Εάν η εταιρεία ή ο οργανισμός είναι ο εκτελών την επεξεργασία, πρέπει να ενημερώνει τον υπεύθυνο επεξεργασίας δεδομένων για κάθε παραβίαση δεδομένων.

Υπενθυμίζεται ότι, σύμφωνα με το άρθρο 83 του GDPR, οι παραβάσεις των διατάξεων σχετικά με τη γνωστοποίηση και ανακοίνωση παραβίασης δεδομένων μπορούν να επισύρουν διοικητικά πρόστιμα έως 10.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

Παραδείγματα

Ο οργανισμός πρέπει να ειδοποιήσει την ΑΠΔ και τα φυσικά πρόσωπα

Τα δεδομένα των εργαζομένων μιας κλωστοϋφαντουργίας γνωστοποιήθηκαν. Τα δεδομένα συμπεριλάμβαναν τις προσωπικές διευθύνσεις, τη σύνθεση της οικογένειας, τον μηνιαίο μισθό και τις ιατρικές αξιώσεις κάθε εργαζομένου. Σε αυτήν την περίπτωση, η κλωστοϋφαντουργία πρέπει να ενημερώσει την εποπτική αρχή σχετικά με την παραβίαση. Καθώς δε τα δεδομένα προσωπικού χαρακτήρα περιλαμβάνουν ευαίσθητα δεδομένα, όπως δεδομένα υγείας, η εταιρεία πρέπει επίσης να ειδοποιήσει τους εργαζομένους.

Ένας υπάλληλος νοσοκομείου αποφασίζει να αντιγράψει στοιχεία ασθενών σε CD και τα δημοσιεύει στο διαδίκτυο. Το νοσοκομείο το ανακαλύπτει μερικές μέρες αργότερα. Από τη στιγμή που λαμβάνει γνώση το νοσοκομείο, πρέπει σε 72 ώρες να ενημερώσει την εποπτική αρχή και επιπλέον, καθώς τα προσωπικά στοιχεία περιέχουν ευαίσθητες πληροφορίες, για παράδειγμα εάν ο/η ασθενής πάσχει από καρκίνο, είναι έγκυος κ.λπ., πρέπει να ενημερώσει και τους ασθενείς. Στην περίπτωση αυτή, είναι αμφίβολο εάν το νοσοκομείο είχε εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας . Εάν είχε πράγματι εφαρμόσει κατάλληλα μέτρα προστασίας (π.χ. κρυπτογράφηση των δεδομένων), δεν θα ήταν πιθανό να προκύψει ουσιώδης κίνδυνος και το νοσοκομείο θα μπορούσε να είχε απαλλαγεί από την υποχρέωση να ειδοποιήσει τους ασθενείς.

Η εταιρεία πρέπει να ειδοποιήσει τους πελάτες και αυτοί έπειτα μπορεί να πρέπει να ειδοποιήσουν την ΑΠΔ και τα φυσικά πρόσωπα

Σε μια υπηρεσία νέφους σημειώνεται απώλεια αρκετών σκληρών δίσκων που περιέχουν δεδομένα προσωπικού χαρακτήρα τα οποία ανήκουν σε αρκετούς πελάτες της. Η εταιρεία πρέπει να ειδοποιήσει τους εν λόγω πελάτες αμέσως μόλις αντιληφθεί την παραβίαση. Οι πελάτες της πρέπει να ειδοποιήσουν την ΑΠΔ και τα φυσικά πρόσωπα ανάλογα με τα δεδομένα που είχαν υποβληθεί σε επεξεργασία από τον εκτελούντα την επεξεργασία.

Περισσότερες πληροφορίες μπορείτε να βρείτε στις κατευθυντήριες οδηγίες της ομάδας εργασίας του άρθρου 29 σχετικά με την ειδοποίηση για παραβίαση δεδομένων προσωπικού χαρακτήρα και στα άρθρα 4 σημείο 12, 33 και 34 του Γενικού Κανονισμού για την Προστασία Δεδομένων.

Διαβάστε επίσης: GDPR: Νέες οδηγίες για τη γνωστοποίηση παραβίασης προσωπικών δεδομένων (data breach)

send