Πότε θα πρέπει μία παραβίαση δεδομένων να γνωστοποιείται στις αρμόδιες αρχές και πότε στα ίδια τα υποκείμενα των δεδομένων
Η Ομάδα Εργασίας του άρθρου 29 (WP29)* δημοσίευσε επικαιροποιημένες κατευθυντήριες γραμμές για την εφαρμογή των διατάξεων του νέου Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) αναφορικά με τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα (data breach).
Όπως έχει αναφερθεί, ο Γενικός Κανονισμός για την Προστασία Δεδομένων [Κανονισμός (ΕΕ) 2016/679] εισάγει, μεταξύ άλλων, την υποχρέωση γνωστοποίησης τυχόν παραβιάσεων προσωπικών δεδομένων (data breaches).
Η γνωστοποίηση απευθύνεται προς την αρμόδια εθνική εποπτική αρχή αμελλητί και, αν είναι δυνατό, εντός 72 ωρών (άρθρο 33) και σε ορισμένες περιπτώσεις, η παραβίαση πρέπει ανακοινώνεται και στα άτομα, των οποίων τα προσωπικά δεδομένα έχουν επηρεαστεί από αυτήν (άρθρο 34).
Η υποχρέωση γνωστοποίησης παραβιάσεων υφίσταται ήδη για ορισμένους οργανισμούς, όπως οι πάροχοι διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών (όπως ορίζονται στην Οδηγία 2009/136/ΕΚ και τον Κανονισμό 611/2013).
Υπάρχουν επίσης ορισμένα κράτη μέλη της ΕΕ στα οποία έχει ήδη θεσπιστεί υποχρέωση γνωστοποίησης των παραβάσεων, είτε σε γενικό επίπεδο (π.χ. Ολλανδία) είτε σε πιο ειδικό (π.χ. Γερμανία και Ιταλία), ενώ σε κάποιες χώρες, όπως για παράδειγμα στην Ιρλανδία, εφαρμόζονται σχετικοί κώδικες ορθών πρακτικών (Codes of Practice).
Ο GDPR καθιστά πλέον υποχρεωτική τη γνωστοποίηση για όλους τους υπεύθυνους επεξεργασίας, εκτός αν η παραβίαση δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
Οι εκτελούντες την επεξεργασία είναι επίσης επιφορτισμένοι με σημαντικό ρόλο, καθώς πρέπει να ενημερώνουν τον υπεύθυνο επεξεργασίας αμέσως μόλις αντιληφθούν κάποια παραβίαση δεδομένων προσωπικού χαρακτήρα.
Σημαντική σημείωση: Σύμφωνα με τις ανανεωμένες κατευθυντήριες γραμμές «ο εκτελών την επεξεργασία πρέπει απλώς να διαπιστώσει εάν έχει σημειωθεί παραβίαση και στη συνέχεια να ειδοποιήσει τον υπεύθυνο επεξεργασίας. Ο υπεύθυνος επεξεργασίας χρησιμοποιεί τον εκτελούντα την επεξεργασία για να επιτύχει τους σκοπούς του: συνεπώς, κατ ‘αρχήν, ο υπεύθυνος επεξεργασίας πρέπει να θεωρείται “ενήμερος” τη στιγμή που ο εκτελών τον ενημερώσει σχετικά με την παραβίαση». Η νέα αυτή διατύπωση της WP 29 έχει σημαντικές επιπτώσεις σε σχέση με το χρονικό σημείο από όπου αρχίζουν να υπολογίζεται η προθεσμία των 72 ωρών για τη γνωστοποίηση στην εποπτική αρχή.
Όταν γνωστοποιούν την παραβίαση στην εποπτική αρχή, οι υπεύθυνοι επεξεργασίας μπορούν να λαμβάνουν συμβουλές και καθοδήγηση σχετικά με το εάν τα πρόσωπα, τα δεδομένα των οποίων έχουν παραβιαστεί, θα πρέπει να ενημερωθούν (βλ. άρθρα 34 παρ. 4 και 58 παρ. 2).
Η ανακοίνωση της παραβίασης στα υποκείμενα των δεδομένων επιτρέπει στον υπεύθυνο επεξεργασίας να παρέχει πληροφορίες σχετικά με τους κινδύνους που παρουσιάζονται ως αποτέλεσμα της παραβίασης και τα μέτρα που μπορούν να λάβουν για να προστατευθούν από τις πιθανές συνέπειες.
Όπως επισημαίνει η WP 29, στο επίκεντρο οποιασδήποτε παραβίασης πρέπει να βρίσκεται η προστασία των ατόμων και των προσωπικών τους δεδομένων.
Συνεπώς, η γνωστοποίηση της παραβίασης πρέπει να θεωρείται ως εργαλείο που ενισχύει τη συμμόρφωση σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα.
Ταυτόχρονα, πρέπει να σημειωθεί ότι η μη γνωστοποίηση παραβίασης σε ένα υποκείμενο δεδομένων ή στην εποπτική αρχή ενδέχεται να συνεπάγεται την επιβολή κυρώσεων στον υπεύθυνο επεξεργασίας, δυνάμει του άρθρου 83.
Δείτε αναλυτικά τις ανανεωμένες κατευθυντήριες γραμμές της WP 29 εδώ.
* Η Ομάδα Εργασίας του άρθρου 29 είναι ένα ανεξάρτητο συμβουλετικό σώμα που ασχολείται με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ιδιωτικότητα στην Ευρωπαϊκή Ένωση. Συστάθηκε με βάση το άρθρο 29 της Οδηγίας 95/46/EC, ενώ οι αρμοδιότητές του περιγράφονται στο άρθρο 30 της ίδιας Οδηγίας, καθώς και στο άρθρο 15 της Οδηγίας 2002/58/EC.