Παραβίαση της ασφάλειας των προσωπικών δεδομένων Ενέργειες των επιχειρήσεων πριν από την επιβολή κυρώσεων Δήμητρα Γαμπά ΜΔΕ, ΚΔΕΟΔ
Δύο είναι οι βασικές εκφάνσεις μίας πολιτικής ασφάλειας των προσωπικών δεδομένων: Α. Να είσαι ικανός να αποτρέψεις παραβίαση Β. Να είσαι ικανός να αντιδράσεις άμεσα όταν αυτή προκύψει
Άρθρο 4 ΓΚΠΔ: Παραβίαση δεδομένων προσωπικού χαρακτήρα «παραβίαση δεδομένων προσωπικού χαρακτήρα είναι η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία»
Ως παραβίαση της ασφάλειας των προσωπικών δεδομένων θεωρείται: Π.χ η κλοπή ενός laptop με βάσεις δεδομένων πελατών Π.χ Η μόλυνση των ηλεκτρονικών συστημάτων από κακόβουλο λογισμικό που επιτίθεται σε προσωπικά δεδομένα και τα κοινοποιεί ή τα καταστρέφει Π.χ Η απώλεια κωδικών πρόσβασης σε κλειδωμένα συστήματα προσωπικών δεδομένων Επομένως, η ασφάλεια των προσωπικών δεδομένων δεν είναι πάντα αποκλειστικά στο χέρι της ίδιας της επιχείρησης.
Για να ξέρουν οι επιχειρήσεις τι πρέπει να κάνουν όταν παραβιάσουν: πότε παραβίασαν; τι συνέπειες έχει αυτή η παραβίαση;
Α. ΜΕΡΟΣ. Τι συνιστά παραβίαση προσωπικών δεδομένων;
Τρεις κατηγορίες παραβιάσεων: Παραβίαση εμπιστευτικότητας/ απορρήτου: Τυχαία ή χωρίς άδεια κοινολόγηση ή πρόσβαση σε προσωπικά δεδομένα Παραβίαση ακεραιότητας: Τυχαία ή χωρίς άδεια τροποποίηση των δεδομένων Παραβίαση διαθεσιμότητας: Τυχαία ή χωρίς άδεια απώλεια πρόσβασης ή καταστροφή *Μία παραβίαση μπορεί να ενταχθεί ταυτόχρονα σε δύο ή και σε τρείς κατηγορίες παραβιάσεων.
Παραδείγματα Ένα διαφημιστικό mail στέλνετε σε μία λίστα αποδεκτών με αποτέλεσμα κάθε αποδέκτης να μπορεί να δει τις ηλεκτρονικές διευθύνσεις και των λοιπών αποδεκτών Μία λίστα με προσωπικά δεδομένα καταναλωτών κοινοποιείται κατά λάθος σε μία λίστα ηλεκτρονικών διευθύνσεων με πάνω από 1000 μέλη Ένα πρόβλημα στην τηλεφωνική σύνδεση που διαρκεί περίπου μισή ώρα καθιστά εκτός λειτουργίας το τηλεφωνικό κέντρο μίας επιχείρησης με αποτέλεσμα οι πελάτες να μην έχουν πρόσβαση για το διάστημα αυτό στα δεδομένα τους. Γίνεται διακοπή ρεύματος και για μία περίπου ώρα είναι αδύνατη η πρόσβαση στα αρχεία προσωπικών δεδομένων Μετά από μία διάρρηξη στο γραφείο της επιχείρησης λείπει ένα CD με προσωπικά δεδομένα πελατών.
Β. ΜΕΡΟΣ. Υποχρεώσεις των επιχειρήσεων μετά την παραβίαση
1. Υποχρέωση γνωστοποίησης στην εποπτική αρχή 33 παρ.1 Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση..
Πότε αποκτά γνώση της παραβίασης; Παράδειγματα Χάνεται ένα CD με κωδικοποιημένα προσωπικά δεδομένα. Γνώση αποκτάς όταν καταλαβαίνεις ότι χάθηκε το CD. Τρίτος ειδοποιεί τον υπεύθυνο επεξεργασίας ότι έφτασαν σε αυτόν προσωπικά δεδομένα κάποιου πελάτη και παρέχει αποδεικτικά στοιχεία για αποκάλυψη των στοιχείων αυτών χωρίς άδεια. Γνώση από το σημείο που έλαβε γνώση των αποδείξεων Τρίτος επικοινωνεί με τον υπεύθυνο, τον ενημερώνει ότι έχει χακάρει το σύστημα και ζητάει χρήματα για να μην καταστρέψει ή δημοσιοποιήσει τα προσωπικά δεδομένα. Σε αυτό το σημείο ο υπεύθυνος έχει λάβει γνώση Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα και αυτός υποχρεούται να ενημερώσει την αρχή
Τι πληροφορίες πρέπει να παρέχονται; Φύση της παραβίασης Όνομα και πληροφορίες επικοινωνίας του dpo ή οποιοδήποτε άλλου Περιγραφή των πιθανών συνεπειών της παραβίασης Περιγραφή των μέτρων που έχουν ήδη ληφθεί ή θα ληφθούν στο μέλλον και σε ορισμένες περιπτώσεις συγκεκριμένες προτάσεις προς το υποκείμενο για να προστατεύσει καλύτερα τα συμφέροντα και τα δικαιώματά του
Συγκεκριμένα είδη παραβιάσεων μπορεί να απαιτούν και την παροχή ειδικότερων πληροφοριών: Για παράδειγμα: Ένας υπεύθυνος επεξεργασίας μπορεί να χρειαστεί να παρέχει ως πληροφορία και το όνομα του εκτελούντος την επεξεργασία αν αυτός ευθύνεται για την παραβίαση των δεδομένων και ακόμη περισσότερο αν παρέχει τις ίδιες υπηρεσίες και σε άλλους υπεύθυνους * Σε κάθε περίπτωση η εποπτική αρχή μπορεί να ζητήσει περισσότερες πληροφορίες
Φάσεις γνωστοποίησης 4. Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση Μετά την αρχική γνωστοποίηση της παραβίασης πρέπει να υπάρχει συνεχής ενημέρωση της αρχής γιατί μπορεί να υπάρξουν μεταβολές: Για παράδειγμα: Χάνεται ένα CD με προσωπικά δεδομένα πελατών και ενημερώνεται εντός 72 ωρών την αρχή. Κάποιες μέρες αργότερα το CD βρίσκεται λανθασμένα τοποθετημένο σε ένα παλιό φάκελο. Αυτή η πληροφορία πρέπει να δοθεί στην αρχή γιατί εν τέλει δεν υπάρχει παραβίαση.
Επιτρεπτή καθυστέρηση στη γνωστοποίηση Όταν η γνωστοποίηση προς την αρμόδια εποπτική αρχή δεν γίνεται εντός 72 ωρών από την γνώση της παραβίασης πρέπει να συνοδεύεται με τους λόγους της καθυστέρησης.
Πότε η γνωστοποίηση δεν χρειάζεται; Όταν οι παραβιάσεις είναι απίθανο να έχουν ως αποτέλεσμα τη διακινδύνευση ελευθεριών και δικαιωμάτων φυσικών προσώπων δεν απαιτείται να γνωστοποιούνται. Προσοχή! Ακόμα και όταν μία παραβίαση δεν χρειάζεται να γνωστοποιηθεί γιατί στην παρούσα χρονική στιγμή δεν συνιστά κίνδυνο σε δικαιώματα και ελευθερίες αυτό δεν σημαίνει ότι στο μέλλον δεν θα μπορούσε να καταστεί επικίνδυνη.
2. Υποχρέωση ενημέρωσης του υποκείμενου 34. 1 Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων. H υποχρέωση αυτή συντρέχει σωρευτικά με την υποχρέωση γνωστοποίησης στην εποπτική αρχή. Η υποχρέωση αυτή υπάρχει όταν είναι πιθανό να επέλθει σοβαρός κίνδυνος στα δικαιώματα και τις ελευθερίες του ατόμου. Σκοπός της ενημέρωσης: Να παρέχουν προς τα υποκείμενα συγκεκριμένη πληροφόρηση ώστε να μπορέσουν αν προστατευτούν.
Τι πληροφορίες πρέπει να παρέχονται; Φύση της παραβίασης Όνομα και πληροφορίες επικοινωνίας του dpo ή οποιοδήποτε άλλου Περιγραφή των πιθανών συνεπειών της παραβίασης Περιγραφή των μέτρων που έχουν ήδη ληφθεί ή θα ληφθούν στο μέλλον και σε ορισμένες περιπτώσεις συγκεκριμένες προτάσεις προς το υποκείμενο για να προστατεύσει καλύτερα τα συμφέροντα και τα δικαιώματά του
Πως πρέπει να γίνεται η επικοινωνία με τα υποκείμενα; Εξατομικευμένη επικοινωνία Η ενημέρωση πρέπει να είναι ευθεία και σαφής. Προσοχή! Η ενημέρωση πρέπει να γίνεται με τέτοιον τρόπο ώστε να καθίσταται κατανοητή σε όλα τα υποκείμενα στα οποία απευθύνεται. Π.Χ ενημέρωση στη γλώσσα τους Προσοχή! στην επιλογή του τρόπου ενημέρωσης. Θα μπορούσε και αυτός να δεχθεί π.χ επίθεση από χάκερς.
Πότε δεν χρειάζεται γνωστοποίηση; Α) ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας β) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει υψηλός κίνδυνος γ) προϋποθέτει δυσανάλογες προσπάθειες.
Αξιολόγηση κινδύνου: 1. Βοηθά να γίνουν τα κατάλληλα βήματα για τη μείωση της βλάβης 2. Γνωρίζει εάν και ποιον πρέπει να ενημερώσει για την παραβίαση
Δύο είναι οι βασικοί παράγοντες αξιολόγησης: ένταση παραβίασης ελευθεριών και δικαιωμάτων πιθανότητα παραβίασης ελευθεριών και δικαιωμάτων
Κριτήρια για να εντοπισθούν η ένταση και η πιθανότητα παραβίασης Το είδος της παραβίασης Φύση και ευαισθησία των προσωπικών δεδομένων Επίπεδο ευκολίας ταυτοποίησης του υποκειμένου Δριμύτητα συνεπειών για το υποκείμενο Ειδικά χαρακτηριστικά υποκειμένου Ο αριθμός των υποκειμένων που επηρεάζονται Ειδικά χαρακτηριστικά του υπευθύνου επεξεργασίας
Πότε είναι πιθανό να υπάρχει υψηλός κίνδυνος; Όταν η διαρροή είναι να δυνατόν να οδηγήσει σε: φυσική, υλική ή ηθική ζημία για τα υποκείμενα, τα δεδομένα των οποίων έχουν παραβιασθεί. Π.χ κλοπή ταυτότητας, απάτη, οικονομική ζημία, βλάβη στη φήμη. Όταν η παραβίαση αφορά δεδομένα που αποκαλύπτουν: φυλή ή εθνοτική καταγωγή, πολιτική άποψη, θρησκεία, συμμετοχή σε συνδικαλιστικές οργανώσεις, πολιτικά φρονήματα, γενετικά δεδομένα, σεξουαλική ζωή ή ποινικές καταδίκες, είναι πιθανό να προκύψουν τέτοιου είδους παραβιάσεις.
Άσχετα με το αν υπάρχει υποχρέωση γνωστοποίησης, η υποχρέωση τεκμηρίωσης ισχύει για κάθε παραβίαση
3. Υποχρέωση καταγραφής της παραβίασης Άρθρο 33 παρ. 5 Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, που συνίστανται στα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.
Τι περιλαμβάνει αυτή η τεκμηρίωση: Αιτίες παραβίασης Πραγματικά γεγονότα Δεδομένα που επηρεάστηκαν Αιτιολογία για τη μη κοινοποίηση στην αρχή Αιτιολογία για μη κοινοποίηση στο υποκείμενο Αιτιολογία καθυστέρησης γνωστοποιήσης προς την αρχή Αποδείξεις της επικοινωνίας με το υποκείμενο ώστε να αποδεικνύεται πως η γνωστοποίηση ήταν ορθή και πλήρης
Πρακτικά βήματα προετοιμασίας Βασικό στοιχείο των τεχνικών και οργανωτικών μέτρων που πρέπει να λάβει ένας υπεύθυνος επεξεργασίας ώστε να κατοχυρώνει ένα κατάλληλο επίπεδο ασφάλειας των προσωπικών δεδομένων είναι η δυνατότητα εντοπισμού και αναφοράς αφενός εντός της επιχείρησης και αφετέρου στην αρχή ή το ίδιο το υποκείμενο μίας παραβίασης.
Όλες πληροφορίες σχετικά με πιθανές παραβιάσεις των δεδομένων πρέπει να κατευθύνεται προς ένα πρόσωπο με αρμοδιότητα να επιβεβαιώνει ότι υπήρξε παραβίαση και να κάνει εκτίμηση κινδύνου ώστε ανάλογα με τον κίνδυνο να γίνονται οι κατάλληλες ειδοποιήσεις των άρθρων 33 και 34
Ο εκτελών και ο υπεύθυνος επεξεργασίας θα πρέπει να διατηρούν σε προσιτό μέρος ένα κατανοητό έγγραφο που θα επεξηγεί τη διαδικασία αντίδρασης σε περίπτωση παραβίασης των προσωπικών δεδομένων, ώστε το σύνολο του προσωπικού να είναι σε θέση να γνωρίζει πως θα αντιδράσει.
Συμπερασματικά: Ο υπεύθυνος εντοπίζει μία παράβαση ασφάλειας προσωπικών δεδομένων Ο Υπεύθυνος αποκτά «γνώση» Κίνδυνος; Αξιολόγηση κινδύνου Ναι: Γνωστοποίηση στην εποπτική αρχή. Αν αφορά υποκείμενα σε περισσότερα κράτη μέλη, γνωστοποίηση σε κάθε αρμόδια εποπτική αρχή Σοβαρός κίνδυνος; ΝΑΙ: Γνωστοποίηση και στο υποκείμενο Σε κάθε περίπτωση Υποχρέωση καταγραφής