Ο Γενικός Κανονισμός για την Προστασία Δεδομένων εισάγει την υποχρέωση γνωστοποίησης παραβιάσεων προσωπικών δεδομένων (data breaches) – Τι ισχύει
Κατευθυντήριες γραμμές για την εφαρμογή των διατάξεων του νέου Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) αναφορικά με τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα, εξέδωσε η Ομάδα Εργασίας του άρθρου 29 (WP29)*.
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων [Κανονισμός (ΕΕ) 2016/679] εισάγει, μεταξύ άλλων, την υποχρέωση γνωστοποίησης τυχόν παραβιάσεων προσωπικών δεδομένων (data breaches).
Η γνωστοποίηση απευθύνεται προς την αρμόδια εθνική εποπτική αρχή (άρθρο 33) και σε ορισμένες περιπτώσεις, η παραβίαση πρέπει ανακοινώνεται και στα άτομα, των οποίων τα προσωπικά δεδομένα έχουν επηρεαστεί από αυτήν (άρθρο 34).
Η υποχρέωση γνωστοποίησης παραβιάσεων υφίσταται ήδη για ορισμένους οργανισμούς, όπως οι πάροχοι διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών (όπως ορίζονται στην Οδηγία 2009/136/ΕΚ και τον Κανονισμό 611/2013).
Υπάρχουν επίσης ορισμένα κράτη μέλη της ΕΕ στα οποία έχει ήδη θεσπιστεί υποχρέωση γνωστοποίησης των παραβάσεων, είτε σε γενικό επίπεδο (π.χ. Ολλανδία) είτε σε πιο ειδικό (π.χ. Γερμανία και Ιταλία), ενώ σε κάποιες χώρες, όπως για παράδειγμα στην Ιρλανδία, εφαρμόζονται σχετικοί κώδικες ορθών πρακτικών (Codes of Practice).
Αν και πολλές αρμόδιες αρχές κρατών μελών της ΕΕ ενθαρρύνουν τους υπεύθυνους επεξεργασίας να γνωστοποιούν τέτοιες παραβιάσεις, η Οδηγία 95/46/ΕΚ για την προστασία των δεδομένων, την οποία αντικαθιστά ο GDPR, δεν περιέχει συγκεκριμένη υποχρέωση γωνστοποίησης.
Ο GDPR καθιστά πλέον υποχρεωτική τη γνωστοποίηση για όλους τους υπεύθυνους επεξεργασίας, εκτός αν η παραβίαση δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
Οι εκτελούντες την επεξεργασία είναι επίσης επιφορτισμένοι με σημαντικό ρόλο, καθώς πρέπει να ενημερώνουν τον υπεύθυνο επεξεργασίας αμέσως μόλις αντιληφθούν κάποια παραβίαση δεδομένων προσωπικού χαρακτήρα.
Η Ομάδα Εργασίας του άρθρου 29 εκτιμά ότι η νέα υποχρέωση γνωστοποίησης έχει μία σειρά από πλεονεκτήματα.
Όταν γνωστοποιούν την παραβίαση στην εποπτική αρχή, οι υπεύθυνοι επεξεργασίας μπορούν να λαμβάνουν συμβουλές και καθοδήγηση σχετικά με το εάν τα πρόσωπα, τα δεδομένα των οποίων έχουν παραβιαστεί, θα πρέπει να ενημερωθούν (βλ. άρθρα 34 παρ. 4 και 58 παρ. 2).
Η ανακοίνωση της παραβίασης στα υποκείμενα των δεδομένων επιτρέπει στον υπεύθυνο επεξεργασίας να παρέχει πληροφορίες σχετικά με τους κινδύνους που παρουσιάζονται ως αποτέλεσμα της παραβίασης και τα μέτρα που μπορούν να λάβουν για να προστατευθούν από τις πιθανές συνέπειες.
Όπως επισημαίνει η WP 29, στο επίκεντρο οποιασδήποτε παραβίασης πρέπει να βρίσκεται η προστασία των ατόμων και των προσωπικών τους δεδομένων.
Συνεπώς, η γνωστοποίηση της παραβίασης πρέπει να θεωρείται ως εργαλείο που ενισχύει τη συμμόρφωση σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα.
Ταυτόχρονα, πρέπει να σημειωθεί ότι η μη γνωστοποίηση παραβίασης σε ένα υποκείμενο δεδομένων ή στην εποπτική αρχή ενδέχεται να συνεπάγεται την επιβολή κυρώσεων στον υπεύθυνο επεξεργασίας, δυνάμει του άρθρου 83.
Επομένως, οι υπεύθυνοι επεξεργασίας και οι εκτελούντες αυτήν, θα πρέπει να καταρτίσουν εκ των προτέρων ένα πλάνο και να θέσουν σε εφαρμογή τις απαιτούμενες διαδικασίες, προκειμένου να είναι σε θέση να εντοπίζουν και να περιορίζουν εγκαίρως τυχόν παραβιάσεις, να προβαίνουν σε εκτίμηση του κινδύνου τα υποκείμενα των δεδομένων, και εν συνεχεία να αποφασίζουν κατά πόσον είναι απαραίτητο να ειδοποιηθεί η αρμόδια εποπτική αρχή και συγκεκριμένα πρόσωπα.
Σύμφωνα με τη γνωμοδότηση, η γνωστοποίηση στην εποπτική αρχή θα πρέπει να αποτελεί μέρος του σχεδίου αντιμετώπισης περιστατικών παραβίασης δεδομένων.
Ο GDPR περιέχει διατάξεις σχετικά με το πότε πρέπει να γνωστοποιηθεί η παραβίαση και σε ποιον, καθώς και ποιες πληροφορίες θα πρέπει να παρέχονται πληροφορίες στο πλαίσιο της γνωστοποίησης.
Στις νέες Κατευθυντήριες Γραμμές της ομάδας του άρθρου 29 παρέχονται διευκρινίσεις αναφορικά με την υποχρέωση γνωστοποίησης και ανακοίνωσης τυχόν παραβίασης δεδομένων, σύμφωνα με τις διατάξεις του GDPR, καθώς και ορισμένα από τα μέτρα που μπορούν να λάβουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία, προκειμένου να συμμορφώνεται με τις νέες διατάξεις.
Παρέχονται επίσης παραδείγματα διαφόρων τύπων παραβιάσεων και εξετάζεται το ποιοι θα πρέπει να ενημερώνονται σε διαφορετικά σενάρια.
Δείτε αναλυτικά το έγγραφο της Ομάδας Εργασίας του άρθρου 29 εδώ.
* Η Ομάδα Εργασίας του άρθρου 29 είναι ένα ανεξάρτητο συμβουλετικό σώμα που ασχολείται με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ιδιωτικότητα στην Ευρωπαϊκή Ένωση. Συστάθηκε με βάση το άρθρο 29 της Οδηγίας 95/46/EC, ενώ οι αρμοδιότητές του περιγράφονται στο άρθρο 30 της ίδιας Οδηγίας, καθώς και στο άρθρο 15 της Οδηγίας 2002/58/EC.