Παραβίαση δεδομένων προσωπικού χαρακτήρα με βάση το GDPR

Ποια είναι τα βήματα για την καλύτερη οργάνωση και προετοιμασία της επιχείρησης πριν μια παραβίαση λάβει χώρα!

Γράφει η Αναστασία Φύλλα

Δικηγόρος,

LLM Information Technology and Communications Law

Τι αποτελεί παραβίαση προσωπικών δεδομένων με βάση τον GDPR

Ένα από τα πλέον κρίσιμα ζητήματα που καλούνται να αντιμετωπίσουν οι επιχειρήσεις σήμερα, είναι η αντιμετώπιση των περιστατικών ασφαλείας, ο αριθμός των οποίων είναι λόγω και της ευρείας χρήσης της τεχνολογίας σε όλα τα επίπεδα της επιχειρηματικής δραστηριότητας, αρκετά αυξημένος. Ο Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679, πιο γνωστός και ως GDPR, ορίζει ως «παραβίαση δεδομένων προσωπικού χαρακτήρα[1]» την παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία, περιλαμβάνοντας στην ουσία ένα μεγάλο περιστατικών που μπορούν να χαρακτηριστούν ως παραβίαση δεδομένων, υπογραμμίζοντας μεταξύ άλλων την αναγκαιότητα για λήψη αυξημένης επιμέλειας από πλευράς των επιχειρήσεων. Από την άλλη πάλι πλευρά, θα πρέπει να καταστεί σαφές ότι η παραβίαση αποτελεί ένα είδος περιστατικού ασφαλείας και να αποσαφηνιστεί η διαφορά μεταξύ περιστατικού ασφαλείας και παραβίασης προσωπικών δεδομένων καθιστώντας ξεκάθαρο ότι ενώ όλες οι παραβιάσεις προσωπικών δεδομένων αποτελούν περιστατικά ασφαλείας, όλα τα περιστατικά ασφαλείας δεν συνιστούν απαραιτήτως παραβιάσεις προσωπικών δεδομένων[2]. Παραδείγματα παραβιάσεων προσωπικών δεδομένων με βάση τη νομολογία της ελληνικής αρχής προστασίας δεδομένων προσωπικού χαρακτήρα αποτελούν μεταξύ άλλων η γνωστοποίηση αναλυτικών κινήσεων τραπεζικών λογαριασμών σε μη δικαιούχο[3], η αποστολή ηχογραφημένων συνομιλιών προσώπου σε άλλο πρόσωπο διαφορετικό του ηχογραφούμενου[4], περιστατικά κυβερνοασφάλειας σχετικά με διάχυση κακόβουλου λογισμικού όπου εντοπίστηκε διαρροή δεδομένων[5] κλπ.

 Συμμόρφωση πριν και μετά την επέλευση της παραβίασης προσωπικών δεδομένων

 Η επέλευση μιας παραβίασης προσωπικών δεδομένων στο πλαίσιο της λειτουργίας μιας επιχείρησης, ενεργοποιεί μια σειρά υποχρεώσεων που απαιτείται η τελευταία να εκπληρώσει για να επιτύχει τη συμμόρφωση της με τον ΓΚΠΔ, με τις οποίες θα ασχοληθούμε σε άλλο άρθρο μας καθώς στο παρόν θα αναφερθούμε στις υποχρεώσεις της επιχείρησης στο στάδιο πριν λάβει χώρα μια ενδεχόμενη παραβίαση. Σημειώνουμε όμως ότι η συμμόρφωση στο στάδιο πριν, είναι ανεξάρτητη και πρέπει να συντρέχει και με τη συμμόρφωση στο στάδιο μετά την παραβίαση και ότι σε κάθε περίπτωση, οι υποχρεώσεις του υπευθύνου επεξεργασίας για τη συμμόρφωση με την νομοθεσία για τα προσωπικά δεδομένα δεν εξαντλούνται με την τήρηση των όσων θα αναφέρουμε ειδικότερα σε σχέση με την παραβίαση προσωπικών δεδομένων.

Σχεδιασμός και υλοποίηση εσωτερικών διαδικασιών, λήψη τεχνικών και οργανωτικών μέτρων, εκπαίδευση προσωπικού

 Ξεκινώντας λοιπόν θα πρέπει να αναφέρουμε ότι η επιχείρηση που ενεργεί ως υπεύθυνος επεξεργασίας, δηλαδή καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας, θα πρέπει να έχει σχεδιάσει και να υλοποιεί εσωτερικές διαδικασίες μέσω των οποίων να μπορεί να εντοπίσει και να στη συνέχεια να αντιμετωπίσει μια παραβίαση. Τέτοια παραδείγματα, αποτελούν η υιοθέτηση τεχνικών μέτρων όπως η ροή δεδομένων και οι αναλυτές αρχείων καταγραφής, με τα οποία είναι δυνατόν να καθοριστούν περιστατικά και ειδοποιήσεις μέσω της συσχέτισης οποιονδήποτε δεδομένων καταγραφής[6]. Όταν εντοπίζεται μια παραβίαση, είναι σημαντικό να αναφέρεται στο ανώτερο διοικητικό επίπεδο ώστε να είναι δυνατή η αντιμετώπισή της και εάν απαιτείται να πραγματοποιείται η γνωστοποίηση στην εποπτική αρχή (άρθρο 33 ΓΚΠΔ) και η ανακοίνωση της στο υποκείμενο των δεδομένων (άρθρο 34 ΓΚΠΔ). Αυτά τα μέτρα και οι μηχανισμοί αναφοράς θα πρέπει να περιγράφονται στα σχέδια αντιμετώπισης περιστατικών ή/και στις ρυθμίσεις διακυβέρνησης[7]. Ομοίως η επιχείρηση θα πρέπει να έχει μεριμνήσει ώστε τυχόν εκτελούντες την επεξεργασία για λογαριασμό της να έχουν την υποχρέωση την ενημερώσουν σε περίπτωση περιστατικού παραβίασης μέσω σχετικών συμβατικών ρυθμίσεων. Ορισμένα πρακτικά βήματα που προτείνονται από τις σχετικές κατευθυντήριες γραμμές[8] του ΕΣΠΔ περιλαμβάνουν μεταξύ άλλων την υποβολή στο αρμόδιο πρόσωπο που είναι επιφορτισμένο με την αντιμετώπιση περιστατικών, την εξακρίβωση της ύπαρξης παραβίασης και την αξιολόγηση του κινδύνου των πληροφοριών που σχετίζονται με το περιστατικό, στη συνέχεια την αξιολόγηση του κινδύνου για το πρόσωπο (πιθανότητα μηδενικού κινδύνου, κίνδυνος ή υψηλός κίνδυνος) και την ενημέρωση των αρμοδίων τμημάτων και τη γνωστοποίηση της παραβίασης στην εποπτική αρχή ή την ανακοίνωση της παραβίασης στα πρόσωπα που αφορά, εφόσον απαιτούνται. Παράλληλα, θα πρέπει να υλοποιούνται ενέργειες για τον περιορισμό της παραβίασης και να τεκμηριώνεται η παραβίαση όσο εξελίσσεται. Όλα τα ανωτέρω συνήθως εμπεριέχονται και τεκμηριώνονται στη σχετική πολιτική που συντάσσει και υιοθετεί η επιχείρηση στο πλαίσιο της λειτουργίας της, την οποία θα πρέπει να φροντίζει να γνωστοποιεί στους εργαζόμενους της, γεγονός που είναι χρήσιμο να αποδεικνύεται και να την επικαιροποιεί ανά τακτά χρονικά διαστήματα ώστε να συμβαδίζει με τις ανάγκες της ίδιας και των σκοπών που η πολιτική εξυπηρετεί.

Παράλληλα, η επιχείρηση θα πρέπει να φροντίζει ώστε να έχει λάβει όλα τα αναγκαία τεχνικά και οργανωτικά μέτρα, πριν η παραβίαση συμβεί ώστε να είναι δυνατόν η τελευταία να εντοπιστεί εγκαίρως, να συλλεχθεί η αναγκαία πληροφορία και να ληφθούν άμεσα οι αναγκαίες ενέργειες για άμεση και αποτελεσματική αντιμετώπισή της. Τέλος, η συνεχής εκπαίδευση και ενημέρωση του προσωπικού είναι ένα αδιαμφισβήτητα σημαντικό προληπτικό μέτρο, ώστε η επιχείρηση, ως ένα σύνολο πλέον να είναι καλύτερα προετοιμασμένη τόσο για να εντοπίζει τυχόν περιστατικά όσο και για να προχωρεί άμεσα και συντονισμένα στις αναγκαίες και εκ των προτέρων ορισμένες ενέργειες για την βέλτιστη αντιμετώπιση τους.

Συμπερασματικά λοιπόν, η επιχείρηση θα πρέπει καταρχήν να εντοπίσει ότι η παραβίαση προσωπικών δεδομένων, είναι πλέον ένα πιθανό σενάριο που ενδέχεται να αντιμετωπίσει και να φροντίσει εγκαίρως ώστε να διαμορφώσει όλες τις αναγκαίες διαδικασίες και πολιτικές, για τις οποίες θα ενημερώσει στους εργαζόμενους ώστε με την υιοθέτηση και των κατάλληλων τεχνικών και οργανωτικών μέτρων εντοπισμού και αποκατάστασης να βρίσκεται σε υψηλό επίπεδο ετοιμότητας για την άμεση αντιμετώπισή της.

Τα ανωτέρω αποτελούν απόψεις της γράφουσας και δε συνιστούν εξειδικευμένη νομική συμβουλή.

[1] Άρθρο 4 παρ. 12 ΓΚΠΔ

[2] Guidelines 9/2022 on personal data breach notification under GDPR Version 2.0 Adopted 28 March 2023, EDPB

[3] ΑΠΔΠΧ 4/2023

[4] ΑΠΔΠΧ 7/2023

[5] ΑΠΔΠΧ 43/2021

[6] Guidelines 9/2022 on personal data breach notification under GDPR Version 2.0 Adopted 28 March 2023, EDPB

[7] Guidelines 9/2022 on personal data breach notification under GDPR Version 2.0 Adopted 28 March 2023, EDPB

[8]  Guidelines 9/2022 on personal data breach notification under GDPR Version 2.0 Adopted 28 March 2023, EDPB