Τι γίνεται σε περίπτωση μη συμμόρφωσης της εταιρείας ή του οργανισμού σας με τους κανόνες προστασίας δεδομένων;

Απάντηση

Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) παρέχει μια σειρά επιλογών στις αρχές προστασίας δεδομένων σε περίπτωση μη συμμόρφωσης με τους κανόνες προστασίας δεδομένων:

• εάν η παράβαση είναι απλώς πιθανή, μπορεί να εκδοθεί προειδοποίηση·
• εάν η παράβαση είναι διαπιστωμένη, ενδέχεται να επιβληθεί μεταξύ άλλων επίπληξη, προσωρινή ή οριστική απαγόρευση της επεξεργασίας και πρόστιμο μέγιστου ύψους 20 εκατομμυρίων ευρώ ή ίσο με το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης.

Πρέπει να επισημανθεί ότι σε περίπτωση παράβασης, η ΑΠΔ μπορεί να επιβάλει χρηματικό πρόστιμο, αντί ή επιπλέον της επίπληξης ή/και της απαγόρευσης της επεξεργασίας.

Η ΑΠΔ πρέπει να διασφαλίζει ότι τα πρόστιμα που επιβάλλονται σε κάθε ατομική περίπτωση είναι αποτελεσματικά, αναλογικά και αποτρεπτικά. Στο πλαίσιο αυτό, λαμβάνει υπόψη διάφορους παράγοντες, π.χ. τη φύση, τη σοβαρότητα και τη διάρκεια της παράβασης, το αν η παράβαση ήταν εσκεμμένη ή προήλθε από αμέλεια, τυχόν μέτρα που έχουν ληφθεί για τον μετριασμό της ζημίας που υπέστησαν φυσικά πρόσωπα, τον βαθμό συνεργασίας του οργανισμού κ.λπ.

Παράδειγμα

Μια εταιρεία πουλάει είδη σπιτιού στο διαδίκτυο. Μέσω του ιστοτόπου της οι καταναλωτές μπορούν να αγοράζουν ηλεκτρικές συσκευές κουζίνας, τραπέζια, καρέκλες και άλλα είδη σπιτιού εισάγοντας τα στοιχεία του τραπεζικού τους λογαριασμού. Ο ιστότοπος δέχτηκε κυβερνοεπίθεση που είχε ως αποτέλεσμα να αποκτηθεί πρόσβαση στα προσωπικά στοιχεία από τον υπεύθυνο της επίθεσης. Σε αυτήν την περίπτωση, η μη λήψη κατάλληλων τεχνικών μέτρων από την εταιρεία φαίνεται να είναι η αιτία της απώλειας των δεδομένων.

Σε αυτή την περίπτωση, η εποπτική αρχή θα πρέπει να λάβει υπόψη διάφορους παράγοντες πριν τη λήψη απόφασης σχετικά με το ποιο διορθωτικό εργαλείο πρέπει να χρησιμοποιηθεί. Τέτοιοι παράγοντες είναι οι εξής: Πόσο σοβαρή ήταν η ανεπάρκεια στο σύστημα ΤΠ; Πόσο καιρό οι υποδομές ΤΠ ήταν εκτεθειμένες σε έναν τέτοιο κίνδυνο; Έγιναν στο παρελθόν δοκιμές για την πρόληψη μιας τέτοιας επίθεσης; Τα δεδομένα πόσων πελατών κλάπηκαν/κοινολογήθηκαν; Τι είδους ήταν τα δεδομένα προσωπικού χαρακτήρα που επηρεάστηκαν και συμπεριλαμβάνονταν σε αυτά ευαίσθητα δεδομένα; Όλοι αυτοί και άλλοι παράγοντες θα ληφθούν υπόψη από την εποπτική αρχή.

Παραπομπές

• Άρθρα 58, 60, 83, 84 και αιτιολογικές σκέψεις 129, 148, 150 και 151 του ΓΚΠΔ
• Κατευθυντήριες οδηγίες του ΕΣΠΔ για την εφαρμογή και τον ορισμό διοικητικών προστίμων για τους σκοπούς του κανονισμού (ΕΕ) 2016/679, 3 Οκτωβρίου 2017

A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.

In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.

• Articles 58, 60, 83 and 84 and Recitals (129), (148), (150) and (151) of the GDPR
• EDPB Guidelines on the application and setting of administrative fines for the purposes of Regulation (EU) 2016/679, 3 October 2017