Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) υιοθέτησε τις υπ’ αριθμ. 1/2021 Κατευθυντήριες Γραμμές οι οποίες αναφέρονται εκτενώς και με συγκεκριμένα παραδείγματα σε ποικίλα περιστατικά παραβίασης προσωπικών δεδομένων, καθώς και στις υποχρεώσεις γνωστοποίησής τους αντιστοίχως. Το κείμενο αποτελεί έναν πολύ πρακτικό οδηγό, κυρίως για τους Υπεύθυνους Επεξεργασίας, αναλύοντας πώς θα αποφευχθούν επιβλαβείς παραβιάσεις των δεδομένων και σημειώνοντας τις υποχρεώσεις και τους ενδεδειγμένους αποδέκτες κοινοποίησης των ανωτέρω παραβάσεων. Στο άρθρο αυτό επιδιώκουμε ν’ αναδείξουμε το νομικό γίγνεσθαι του Κανονισμού γύρω απ’ αυτά τα περιστατικά και, ακολούθως, να επισημάνουμε ενδεικτικά κάποια περιστατικά παραβίασης τα οποία μπορούν να φανούν χρήσιμα για την αποτροπή αντίστοιχων συμβάντων.
Νομικό Πλαίσιο GDPR
Ο Υπεύθυνος Επεξεργασίας πρέπει να μπορεί ν’ αναγνωρίσει μία παραβίαση προσωπικών δεδομένων για να είναι σε θέση να την προλάβει ή να την κοινοποιήσει. Με βάση το Άρθρο 4 παρ. 12 ορίζεται ως «η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία». Μια παραβίαση μπορεί ενδεχομένως να επιφέρει μια σειρά σημαντικών δυσμενών επιπτώσεων, κάτι που μπορεί να μεταφραστεί σε φυσική, υλική ή μη υλική ζημία. Ο ΓΚΠΔ εξηγεί ότι αυτό μπορεί να περιλαμβάνει απώλεια ελέγχου, περιορισμό των δικαιωμάτων τους, διακρίσεις, κλοπή ταυτότητας ή απάτη, οικονομική απώλεια, ζημία στη φήμη και απώλεια εμπιστευτικότητας. Τα άρθρα 33 και 34 του Κανονισμού ορίζουν αντιστοίχως ότι: α) ο Υπεύθυνος Επεξεργασίας γνωστοποιεί (αν είναι δυνατό, εντός 72 ωρών) από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, β) όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
Παραδείγματα
1ο) Επίθεση ransomware (κακόβουλο λογισμικό) σε νοσοκομείο με ύπαρξη back up χωρίς εκροή(εξαγωγή) προσωπικών δεδόμενων
Ο επιτιθέμενος κρυπτογραφεί σημαντικό μέρος των προσωπικών δεδομένων των ασθενών και των εργαζομένων, ωστόσο λόγω του διαθέσιμου back-up το νοσοκομείο έχει πρόσβαση πάλι στα δεδομένα των υποκειμένων εντός 2 ημερών. Αυτή η καθυστέρηση προκαλεί μια προβληματική παροχή των ιατρικών υπηρεσιών (αναβολές/ματαιώσεις χειρουργείων) και συνεπώς η γνωστοποίηση είναι επιβεβλημένη προς την Α.Π.Δ.Π.Χ., αλλά και προς τα υποκείμενα των δεδομένων.
2ο) Επίθεση στον κυβερνοχώρο της ιστοσελίδας μιας τράπεζας
Ο επιτιθέμενος κατάφερε ν’ αποσπάσει απλά προσωπικά δεδομένα περίπου 100.000 πελατών και να συνδεθεί στους λογαριασμούς περίπου 2.000 χρηστών δίχως ωστόσο να προχωρήσει σε κάποιες συναλλαγές. Η κοινοποίηση της συγκεκριμένης παραβίασης καθίσταται απαραίτητη προς την Α.Π.Δ.Π.Χ. αλλά και προς τα πληττόμενα υποκείμενα.
3ο) Κλοπή συσκευών/υλικού με μη κρυπτογραφημένα δεδομένα
Εκλάπη ηλεκτρονική συσκευή φορητού υπολογιστή ενός υπαλλήλου μιας εταιρείας παροχής υπηρεσιών η οποία περιείχε ονοματεπώνυμα, φύλο, διευθύνσεις και ημερομηνία γέννησης περίπου 10.0000 πελατών, αλλά λόγω της μη διαθεσιμότητας της συσκευής, δεν ήταν δυνατό να προσδιοριστεί εάν επηρεάστηκαν επίσης άλλες κατηγορίες προσωπικών δεδομένων. Η πρόσβαση στον σκληρό δίσκο του υπολογιστή δεν προστατευόταν από κωδικό πρόσβασης και επιπλέον τα προσωπικά δεδομένα θα μπορούσαν να αποκατασταθούν από τα διαθέσιμα καθημερινά αντίγραφα ασφαλείας. Η έλλειψη βασικών μέτρων ασφαλείας αυξάνει το επίπεδο κινδύνου για τα επηρεαζόμενα υποκείμενα και συνεπώς η γνωστοποίηση πρέπει να κατευθυνθεί προς την Α.Π.Δ.Π.Χ. και τα υποκείμενα.
4ο) Κλοπή έντυπων εγγράφων με ευαίσθητα προσωπικά δεδομένα
Εκλάπη βιβλίο από μονάδα αποκατάστασης τοξικομανών που περιείχε ευαίσθητα προσωπικά δεδομένα (δεδομένα για την υγεία) τα οποία δεν είχαν αντιγραφεί σε ηλεκτρονική μορφή. Το βιβλίο δεν ήταν αποθηκευμένο σε κλειδωμένο συρτάρι ή δωμάτιο, ο Υπεύθυνος Επεξεργασίας δεν διατηρούσε ούτε καθεστώς ελέγχου πρόσβασης ούτε άλλο μέτρο διασφάλισης για την ακεραιότητα των εγγράφων. Δεδομένης της ειδικής κατηγορίας των προσωπικών δεδομένων, οι δυνητικοί κίνδυνοι για τα εμπλεκόμενα υποκείμενα ήταν αυξημένοι, γεγονός το οποίο θα έπρεπε επίσης να έχει ληφθεί υπόψη από τον Υπεύθυνο Επεξεργασίας που αξιολογεί τον κίνδυνο. Συνεπώς, είναι επιβεβλημένη η κοινοποίηση προς την Α.Π.Δ.Π.Χ. και τα υποκείμενα.
Εν κατακλείδει, η καθολική εφαρμογή του Κανονισμού σε συνδυασμό με τους εντατικούς ελέγχους της Αρχής, έχουν καταστήσει τις παραβιάσεις και τις παρεπόμενες ποινές ένα σύνηθες φαινόμενο. Επιβάλλεται, λοιπόν, επαγρύπνιση και αυξημένη προσοχή εκ μέρους των Υπευθύνων Επεξεργασίας, ώστε να προληφθούν αντίστοιχα περιστατικά αλλά και να γνωρίζουν τις υποχρεώσεις τους στο απευκταίο σενάριο της τετελεσμένης παραβίασης των δεδομένων.