Παραβίαση δεδομένων προσωπικού χαρακτήρα με βάση το GDPR

 Ποιες είναι οι βασικές υποχρεώσεις μετά το συμβάν;

Γράφει η Αναστασία Φύλλα

Δικηγόρος LLM Information Technology and Communications Law
LLM Information Technology and Communications Law

H παραβίαση δεδομένων προσωπικού χαρακτήρα, αποτελεί όπως έχουμε αναφέρει και σε παλαιότερο άρθρο μας μια από τις σημαντικότερες προκλήσεις που καλείται να αντιμετωπίσει μια επιχείρηση, ανεξαρτήτως αντικειμένου – δηλαδή χωρίς να απαιτείται να δραστηριοποιείται σε αντικείμενο σχετικό με την τεχνολογία. Πέρα από δοκιμασία των υφιστάμενων συστημάτων, η παραβίαση προσωπικών δεδομένων συνιστά ταυτόχρονα μια δοκιμασία αντανακλαστικών και ετοιμότητας μια επιχείρησης που θα κληθεί να διερευνήσει ένα απρόβλεπτο συμβάν, να περιορίσει τυχόν κινδύνους και εν γένει να διαχειριστεί μια απαιτητική κατάσταση που απαιτεί τη συνεργασία διαφορετικών τμημάτων της σε εξαιρετικά σύντομο χρονικό διάστημα.

Όπως έχουμε αναφέρει στο προηγούμενο άρθρο μας, είναι αναγκαίο οι επιχειρήσεις να διαθέτουν εσωτερικές διαδικασίες που θα καθιστούν δυνατή την ανίχνευση του περιστατικού, την αξιολόγηση του κινδύνου για τα άτομα και θα καθορίζουν την αναγκαιότητα γνωστοποίησης της παραβίασης των προσωπικών δεδομένων στην εποπτική αρχή και την ανακοίνωση της παραβίασης των προσωπικών δεδομένων στα υποκείμενα των δεδομένων. Η περίπτωση της παραβίασης δεδομένων απαιτεί άμεση αξιολόγηση από πλευράς της επιχείρησης τόσο του κατά πόσο έλαβε όντως χώρα παραβίαση προσωπικών δεδομένων όσο και του κινδύνου (πιθανότητα μη κινδύνου, κίνδυνος ή υψηλός κίνδυνος) στα υποκείμενα των δεδομένων. Σε κάθε περίπτωση είναι αναγκαία η λήψη μέτρων για τον περιορισμό και την αποκατάσταση της παραβίασης και η εσωτερική καταγραφή/τεκμηρίωση της παραβίασης.

 Γνωστοποίηση της παραβίασης στην εποπτική αρχή

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, η επιχείρηση που φέρει τον ρόλο του Υπευθύνου Επεξεργασίας[1] έχει την υποχρέωση να γνωστοποιεί στην αρμόδια εποπτική αρχή το συντομότερο και αν είναι δυνατόν εντός 72 ωρών από τότε που απόκτησε γνώση του γεγονότος, την παραβίαση των προσωπικών δεδομένων εκτός αν η παραβίαση δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Ιδιαίτερα σημαντικό είναι το γεγονός ότι όταν η γνωστοποίηση δεν πραγματοποιείται εντός 72 ωρών, πρέπει να συνοδεύεται από αιτιολόγηση για την καθυστέρηση[2]. Στις περιπτώσεις που αρμόδια εποπτική αρχή για την γνωστοποίηση είναι η ελληνική αρχή προστασίας δεδομένων προσωπικού χαρακτήρα, η γνωστοποίηση γίνεται μέσω της συμπλήρωσης ειδικής φόρμας που βρίσκεται στην ιστοσελίδα της και ηλεκτρονικής υποβολής της μέσω της διαδικτυακής πύλης της. Η αρμόδια αρχή μπορεί να ζητήσει περισσότερες λεπτομέρειες ως μέρος της έρευνας που διεξάγει σε σχέση με κάποια παραβίαση.

 Ανακοίνωση της παραβίασης στο υποκείμενο των δεδομένων

Όταν η παραβίαση των προσωπικών δεδομένων ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η επιχείρηση που ενεργεί ως υπεύθυνος επεξεργασίας θα πρέπει να ανακοινώσει το συντομότερο δυνατόν την παραβίαση στα υποκείμενα των δεδομένων[3]. Το ελάχιστο περιεχόμενο αυτής της ανακοίνωσης ορίζεται στον ΓΚΠΔ, όπως και οι εξαιρετικές περιπτώσεις στις οποίες η ανακοίνωση στα υποκείμενα δεν απαιτείται[4]. Το όριο κινδύνου το οποίο εξάγεται ως αποτέλεσμα της αξιολόγησης που διενεργεί η επιχείρηση και το οποίο καθιστά την ενημέρωση υποχρεωτική στα υποκείμενα είναι υψηλότερο από αυτό που καθιστά αναγκαία τη γνωστοποίηση στην εποπτική αρχή[5]. Η ενημέρωση θα πρέπει να γίνεται απευθείας στα επηρεαζόμενα υποκείμενα και για λόγους διαφάνειας τα μηνύματα που περιλαμβάνουν τέτοια ενημέρωση δεν θα πρέπει να αποστέλλονται μαζί με άλλες πληροφορίες όπως επικαιροποιήσεις και newsletter[6].

Αξιολόγηση του κινδύνου και του υψηλού κινδύνου

Ένας από τους λόγους που καθιστούν την παραβίαση προσωπικών δεδομένων μια ιδιαίτερα απαιτητική για την επιχείρηση κατάσταση, είναι πέρα από την αμεσότητα των ενεργειών και η κρισιμότητα μιας σειράς σοβαρών αξιολογήσεων στις οποίες πρέπει να προβεί άμεσα και με ακρίβεια αμέσως μόλις λάβει γνώση του γεγονότος. Συγκεκριμένα, αμέσως μετά την επέλευση του περιστατικού, πέρα από την λήψη μέτρων για τον περιορισμό του, η επιχείρηση θα πρέπει να αξιολογήσει τον κίνδυνο που πηγάζει από αυτό λαμβάνοντας υπόψη μια σειρά από παράγοντες. Ο κίνδυνος αυτός υφίσταται όταν η παραβίαση ενδέχεται να οδηγήσει σε σωματική, υλική ή ηθική βλάβη για τα πρόσωπα τα δεδομένα των οποίων έχουν παραβιαστεί[7]. Κατά την αξιολόγηση του κινδύνου θα πρέπει να λαμβάνονται υπόψη η πιθανότητα και η σοβαρότητα του κινδύνου. Τα ειδικότερα κριτήρια που συνιστάται να λαμβάνονται υπόψη ορίζονται στις σχετικές οδηγίες του EDPB[8].

 Λογοδοσία και τεκμηρίωση

Όπως προαναφέραμε, η αξιολόγηση του κινδύνου συνεπάγεται μεταξύ άλλων τη γνωστοποίηση ή μη της παραβίασης στην εποπτική αρχή και την ανακοίνωσή της στα υποκείμενα των δεδομένων. Ανεξαρτήτως όμως των ανωτέρω, σε κάθε περίπτωση η επιχείρηση θα πρέπει να τηρεί αρχεία τεκμηρίωσης όλων των παραβιάσεων, όπως προκύπτει και από το άρθρο 33 παρ. 5 του ΓΚΠΔ. Το ελάχιστα στοιχεία που πρέπει αυτά να περιλαμβάνουν ορίζονται και πάλι από τον Κανονισμό και η επιχείρηση θα πρέπει να γνωρίζει ότι η εποπτική αρχή μπορεί να αποστήσει πρόσβαση στα αρχεία αυτά.

Συνολικά λοιπόν μετά την συνοπτική περιγραφή κάποιων από τις βασικές υποχρεώσεις της επιχείρησης επισημαίνεται ότι σε περίπτωση που λάβει χώρα ένα περιστατικό παραβίασης προσωπικών δεδομένων, είναι ιδιαίτερα σημαντικό να γνωρίζει κανείς ότι κάθε περίπτωση είναι ξεχωριστή και ως τέτοια πρέπει να αντιμετωπίζεται, αξιολογώντας εξατομικευμένα κάθε φορά τις ειδικότερες περιστάσεις που την περιβάλλουν. Κοινός τόπος όμως σε όλες τις περιπτώσεις είναι ότι οι επιχειρήσεις θα πρέπει να έχουν θέσει σε ισχύ τις αναγκαίες διαδικασίες οι οποίες σε μια τέτοια απρόβλεπτη κατάσταση θα μπορούν να εφαρμοστούν κατευθείαν και χωρίς χρονοτριβή, με την συνδρομή των κατάλληλων και ενημερωμένων υπαλλήλων και του εκάστοτε εξειδικευμένου νομικού συμβούλου.

Τα ανωτέρω έχουν ενημερωτικό χαρακτήρα δε συνιστούν εξειδικευμένη ή εξατομικευμένη νομική συμβουλή.

[1] Υπεύθυνος Επεξεργασίας είναι σύμφωνα με το άρθρο 4 παρ. 7 του ΓΚΠΔ το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·

[2] Άρθρο 33 ΓΚΠΔ

[3] Άρθρο 34 παρ. 1 ΓΚΠΔ

[4] Άρθρο 34 παρ.2 και 3 του ΓΚΠΔ

[5] EDPB Guidelines 9/2022 on personal data breach notification under GDPR, version 2, adopted 28-3-2023, par. 82

[6] EDPB Guidelines 9/2022 on personal data breach notification under GDPR, version 2, adopted 28-3-2023, par. 88, 89.

[7] EDPB Guidelines 9/2022 on personal data breach notification under GDPR, version 2, adopted 28-3-2023, par. 102.

[8] EDPB Guidelines 9/2022 on personal data breach notification under GDPR, version 2, adopted 28-3-2023, par. 105.