Η τελική έκδοση των νέων Κατευθυντηρίων αποσκοπεί στο να συνδράμει τους υπευθύνους επεξεργασίας στην εκπλήρωση των απαιτήσεων του άρθρου 33 ΓΚΠΔ για γνωστοποίηση στην εποπτική αρχή και του άρθρου 34 ΓΚΠΔ για ανακοίνωση στα υποκείμενα των δεδομένων
Δημοσιεύθηκε το τελικό κείμενο των νέων Κατευθυντηρίων Γραμμών 9/2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων με αντικείμενο τη γνωστοποίηση της παραβίασης δεδομένων προσωπικού χαρακτήρα. Το κείμενο φιλοδοξεί να παράσχει συνδρομή σε υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία ως προς τη συμμόρφωσή τους με τις απαιτήσεις των άρθρων 33-34 ΓΚΠΔ.
Υπενθυμίζεται ότι, σύμφωνα με το άρθρο 33 ΓΚΠΔ, «σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση». Αντίστοιχα, ως προς τα υποκείμενα των δεδομένων, το άρθρο 34 παρ.1 προβλέπει ότι: «Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.»
Στην εισαγωγή των Κατευθυντηρίων Γραμμών 9/2022 παρατηρείται ότι:
Με τον ΓΚΠΔ θεσπίστηκε η απαίτηση για την γνωστοποίηση της παραβίασης δεδομένων προσωπικού χαρακτήρα (εφεξής “παραβίαση”) στην αρμόδια εθνική εποπτική αρχή (ή, σε περίπτωση διασυνοριακής παραβίασης, στην επικεφαλής αρχή) και, σε ορισμένες περιπτώσεις, την ανακοίνωση της παραβίασης στα άτομα, των οποίων τα δεδομένα α επηρεάστηκαν από την παραβίαση.
Υποχρεώσεις γνωστοποίησης σε περιπτώσεις παραβιάσεων υπήρχαν ήδη για ορισμένους φορείς, όπως οι πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών που είναι διαθέσιμες στο κοινό (όπως ορίζεται στην οδηγία 2009/136/ΕΚ και στον κανονισμό (ΕΕ) αριθ. 611/2013), ενώ και αρκετά κράτη μέλη είχαν ήδη θεσπίσει τη δική τους εθνική υποχρέωση γνωστοποίησης της παραβίασης. Η γνωστοποίηση μπορεί να περιελάμβανε παραβιάσεις που αφορούν συγκεκριμένες κατηγορίες υπευθύνων επεξεργασίας, εκτός από τους παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, (για παράδειγμα στη Γερμανία και την Ιταλία), ή το σύνολο των παραβιάσεων που αφορούν δεδομένα προσωπικού χαρακτήρα (όπως στις Κάτω Χώρες). Άλλα κράτη μέλη μπορεί να είχαν σχετικούς κώδικες δεοντολογίας (για παράδειγμα, η Ιρλανδία).
Ενώ ορισμένες αρχές προστασίας δεδομένων της ΕΕ ενθάρρυναν τους υπευθύνους επεξεργασίας να αναφέρουν τις παραβιάσεις, η οδηγία 95/46/ΕΚ για την προστασία των δεδομένων, την οποία αντικατέστησε ο ΓΚΠΔ, δεν περιείχε συγκεκριμένη υποχρέωση γνωστοποίησης παραβίασης, ως εκ τούτου, μια τέτοια απαίτηση για πολλούς οργανισμούς ήταν νέα. Ο ΓΚΠΔ έχει καταστήσει τη γνωστοποίηση υποχρεωτική για όλους τους υπευθύνους επεξεργασίας, εκτός εάν η παραβίαση είναι απίθανο να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων. Οι εκτελούντες την επεξεργασία έχουν επίσης σημαντικό ρόλο να διαδραματίσουν και πρέπει να κοινοποιούν κάθε παραβίαση στον υπεύθυνο επεξεργασίας τους.
Το ΕΣΠΔ έχει τη γνώμη ότι η απαίτηση γνωστοποίησης παρουσιάζει αρκετά οφέλη. Κατά τη γνωστοποίηση στην εποπτική αρχή, οι υπεύθυνοι επεξεργασίας μπορούν να λάβουν συμβουλές σχετικά με το αν πρέπει να ενημερωθούν τα θιγόμενα άτομα. Πράγματι, η εποπτική αρχή μπορεί να διατάξει τον υπεύθυνο επεξεργασίας να ενημερώσει τα εν λόγω άτομα για την παραβίαση. Η ανακοίνωση μιας παραβίασης στα άτομα επιτρέπει στον υπεύθυνο επεξεργασίας να παράσχει πληροφορίες σχετικά με τους κινδύνους που παρουσιάζονται, ως αποτέλεσμα της παραβίασης, και τα μέτρα που μπορούν να λάβουν τα άτομα αυτά για να προστατευθούν από τις πιθανές συνέπειές της. Η εστίαση κάθε σχεδίου αντιμετώπισης της παραβίασης πρέπει να είναι η προστασία των ατόμων και των προσωπικών τους δεδομένων. Κατά συνέπεια, η γνωστοποίηση της παραβίασης θα πρέπει να θεωρείται ως εργαλείο ενίσχυσης της συμμόρφωσης σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα. Ταυτόχρονα, θα πρέπει να σημειωθεί ότι η παράλειψη αναφοράς μιας παραβίασης, είτε σε ένα άτομο είτε σε μια εποπτική αρχή, μπορεί να σύμφωνα με το άρθρο 83 ΓΚΠΔ να επιφέρει κυρώσεις στον υπεύθυνο επεξεργασίας.
Ως εκ τούτου, οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία ενθαρρύνονται να σχεδιάζουν εκ των προτέρων και να θέτουν σε εφαρμογή διαδικασίες, ώστε να είναι σε θέση να εντοπίζουν και να περιορίζουν άμεσα μια παραβίαση, να αξιολογούν τον κίνδυνο για τα άτομα και στη συνέχεια να καθορίζουν εάν είναι απαραίτητο να ενημερώσουν την αρμόδια εποπτική αρχή και να ανακοινώσουν την παραβίαση στα ενδιαφερόμενα άτομα, όταν αυτό είναι απαραίτητο. Η γνωστοποίηση στην εποπτική αρχή θα πρέπει να αποτελεί μέρος του εν λόγω σχεδίου αντιμετώπισης περιστατικών.
Ο ΓΚΠΔ περιλαμβάνει διατάξεις σχετικά με το πότε και σε ποιον πρέπει να γνωστοποιείται μια παραβίαση, καθώς και ποιες πληροφορίες πρέπει να παρέχονται στο πλαίσιο αυτό. Οι πληροφορίες που απαιτούνται μπορούν να παρέχονται σταδιακά, αλλά σε κάθε περίπτωση οι υπεύθυνοι επεξεργασίας θα πρέπει να ενεργούν εγκαίρως για κάθε παραβίαση.
Στη γνωμοδότησή της 03/2014 σχετικά με τη γνωστοποίηση της παραβίασης δεδομένων προσωπικού χαρακτήρα, η Ομάδα Εργασίας του Άρθρου 29 παρείχε καθοδήγηση στους υπευθύνους επεξεργασίας προκειμένου να τους βοηθήσει να αποφασίσουν εάν θα πρέπει να ενημερώσουν τα υποκείμενα των δεδομένων σε περίπτωση παραβίασης. Η γνώμη εξέτασε την υποχρέωση των παρόχων ηλεκτρονικών επικοινωνιών σχετικά με την οδηγία 2002/58/ΕΚ, παρέσχε παραδείγματα από πολλούς τομείς, στο πλαίσιο του τότε σχεδίου του ΓΚΠΔ, και παρουσίασε καλές πρακτικές για όλους τους υπευθύνους επεξεργασίας.
Οι παρούσες Κατευθυντήριες Γραμμές επεξηγούν τις υποχρεωτικές απαιτήσεις του ΓΚΠΔ για τη γνωστοποίηση και ανακοίνωση των παραβιάσεων, καθώς και ορισμένα από τα μέτρα που μπορούν να λάβουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία για να ανταποκριθούν στις υποχρεώσεις αυτές. Παρέχουν επίσης παραδείγματα διαφόρων τύπων παραβιάσεων και ποιος θα πρέπει να ενημερώνεται κατά περίπτωση.
Οι Κατευθυντήριες Γραμμές 9/2022 είναι διαθέσιμες στα αγγλικά.