Το πλαίσιο

Ενώ ορισμένοι οργανισμοί έχουν ξεκινήσει ή έχουν ήδη ολοκληρώσει την προετοιμασία για τη συμμόρφωσή τους με τον GDPR, πολλοί είναι εκείνοι που ακόμα αγωνίζονται για την επίτευξη του επιθυμητού επιπέδου συμμόρφωσης. Οι απαιτήσεις είναι υψηλές! Το γεγονός αυτό ωθεί τους οργανισμούς στην προσπάθεια τήρησης των υποχρεώσεών τους που απορρέουν από τον GDPR, ανάμεσα σε αυτές και της υποχρέωσης γνωστοποίησης των περιστατικών παραβίασης προσωπικών δεδομένων στις εποπτικές αρχές, με στόχο να αποφύγουν τις συνέπειες μίας ενδεχόμενης  παράλειψης τέτοιου είδους.

Οι μήνες που ακολούθησαν την ημερομηνία θέσης σε ισχύ του GDPR -25 Μαΐου 2018- χαρακτηρίστηκαν από μεγάλο όγκο γνωστοποιήσεων περιστατικών παραβίασης, γεγονός που τελικά προκάλεσε ξεκάθαρα προβλήματα στις εποπτικές αρχές. Όπως χαρακτηριστικά αποκάλυψε ο Αναπληρωτής Επίτροπος Πληροφοριών του Ηνωμένου Βασιλείου James Dipple-Johnstone κατά τη διάρκεια ενός συνεδρίου για την κυβερνοασφάλεια τον Σεπτέμβριο του 2018, η Αγγλική Εποπτική Αρχή δέχεται περίπου 500 τηλεφωνικές γνωστοποιήσεις την εβδομάδα από τότε που ο GDPR τέθηκε σε ισχύ, ενώ εκτιμάται ότι το ένα τρίτο αυτών των γνωστοποιήσεων ήταν απλά περιττό ή δεν μπορούσε να εκτιμήσει σωστά την σημασία και την φύση ενός περιστατικού παραβίασης. Ο James Dipple-Johnstone εξήγησε ότι αυτή η υπερβολική αύξηηση γνωστοποιήσεων παραβιάσεων μπορεί να αποτελεί είτε μία προσπάθεια επίτευξης διαφάνειας είτε απλά μία…παρεξήγηση του Κανονισμού.

Τα δύο άκρα

Η γνωστοποίηση στην εποπτική αρχή περιστατικών που δεν αφορούν προσωπικά δεδομένα φυσικών προσώπων χωρίς μέτρο και προηγούμενη αξιολόγηση δεν αποτελεί είδος «στρατηγικής». Εφιστά την προσοχή της εκάστοτε εποπτικής αρχής στις δραστηριότητες και τον τρόπο λειτουργίας του οργανισμού που γνωστοποίησε το «άσχετο» περιστατικό και έτσι γίνεται φανερό ότι δεν έχει εφαρμοστεί εξ αρχής μια σωστή διαδικασία αξιολόγησης του κινδύνου.

Ταυτόχρονα, θα πρέπει να αποφεύγεται κατά κόρον και η λύση της «σιγής». Είναι εύκολο να κατανοήσει κανείς τις συνέπειες που επιδιώκει να αποφύγει ένας οργανισμός με την απόκρυψη ενός περιστατικού παραβίασης από την εποπτική αρχή. Ωστόσο, σκεφτείτε την περίπτωση που το ίδιο το φυσικό πρόσωπο που επηρεάστηκε από την παραβίαση καταγγείλει αυτοβούλως το περιστατικό στην εποπτική αρχή; Σίγουρα ο οργανισμός θα βρεθεί εκτεθειμένος απέναντι σε αυτή αλλά και στις υποχρεώσεις που θέτει ο Κανονισμός, έχοντας πλέον να αντιμετωπίσει βαρύτατα πρόστιμα και την υπέρμετρη βλάβη της φήμης του, κάτι που μπορεί να έχει ολέθριες και μη αναστρέψιμες επιπτώσεις.

Πότε όμως είναι απαραίτητη η γνωστοποίηση ενός περιστατικού παραβίασης;

Σύμφωνα με το άρθρο 33 του Κανονισμού (ΕΕ) 2016/679 και τις οδηγίες της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.), οι υπεύθυνοι επεξεργασίας οφείλουν να γνωστοποιήσουν άμεσα στην εποπτική αρχή ένα περιστατικό παραβίασης προσωπικών δεδομένων από το οποίο ενδέχεται να προκληθεί κίνδυνος στα δικαιώματα και τις ελευθερίες των προσώπων τα οποία αφορά.  Η γνωστοποίηση αυτή πρέπει να γίνεται αμελλητί, το καλύτερο εντός 72 ωρών από τη στιγμή που ο υπεύθυνος επεξεργασίας ενημερωθεί για το περιστατικό. Η γνωστοποίηση πρέπει να περιέχει το σύνολο των σχετικών πληροφοριών, όπως την φύση και την έκταση του περιστατικού, τις κατηγορίες προσώπων που επλήγησαν, τα αίτια και τις συνέπειες αυτού, καθώς και τις ενέργειες και τα κατασταλτικά μέτρα που ελήφθησαν με στόχο την αντιμετώπισή του. Ακόμα και αν οι σχετικές αυτές πληροφορίες δεν είναι στο σύνολό τους διαθέσιμες κατά την υποβολή της γνωστοποίησης στην εποπτική αρχή, αυτή θα πρέπει να υποβληθεί με τα στοιχεία που είναι διαθέσιμα σε πρώτο στάδιο και έπειτα να ακολουθήσει η επικαιροποίηση της χωρίς αδικαιολόγητη καθυστέρηση, με την υποβολή μίας συμπληρωματικής γνωστοποίησης.

Επιπρόσθετα, σύμφωνα με το άρθρο 34 του Κανονισμού (ΕΕ) 2016/679, όταν η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων τα οποία αφορά το περιστατικό, ο υπεύθυνος επεξεργασίας οφείλει να ανακοινώνει αμελλητί την παραβίαση και στα πρόσωπα αυτά.

Στο σημείο αυτό θα πρέπει να υπογραμμιστεί ότι ακόμα κι αν το περιστατικό δεν δύναται να προκαλέσει κίνδυνο στα φυσικά πρόσωπα που αφορά, και ως εκ τούτου δεν απαιτείται η υποβολή της ως άνω γνωστοποίησης στην Αρχή, ο υπεύθυνος επεξεργασίας οφείλει σε κάθε περίπτωση να καταρτίσει και να τηρεί δικό του εσωτερικό αρχείο.

Για τον λόγο αυτό, κάθε οργανισμός οφείλει να λαμβάνει όλα τα μέτρα που απαιτούνται για την πρόληψη τέτοιων περιστατικών ασφαλείας και να ορίζει έναν ικανό και έμπειρο Υπεύθυνο Προστασίας Δεδομένων. Σε κάθε περίπτωση το περιστατικό που θα προκύψει θα πρέπει να αναλύεται σε συνεργασία με τον Υπεύθυνο Προστασίας Δεδομένων, ο οποίος, με γνώμονα την εμπειρία του και την επιστημονική του κατάρτιση θα είναι σε θέση να εκτιμήσει με μεγαλύτερη ψυχραιμία και αντικειμενικότητα τη φύση και το ρίσκο που αναφύεται κάθε φορά, ώστε ο οργανισμός να προβεί στις απαραίτητες και κατάλληλες γνωστοποιήσεις.