Μετάβαση στο κύριο περιεχόμενο

Τι είναι η παραβίαση δεδομένων και τι πρέπει να κάνουμε σε περίπτωση παραβίασης δεδομένων;

Απάντηση

Παραβίαση δεδομένων επέρχεται όταν σημειώνεται συμβάν ασφαλείας σε σχέση με τα δεδομένα για τα οποία ευθύνεται η εταιρεία ή ο οργανισμός σας, το οποίο έχει ως αποτέλεσμα την παραβίαση του απορρήτου, της διαθεσιμότητας ή της ακεραιότητας. Εάν αυτό συμβεί, και είναι πιθανό η παραβίαση να θέτει σε κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικού προσώπου, η εταιρεία ή ο οργανισμός σας πρέπει να ειδοποιήσει την εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 72 ωρών αφού αντιληφθεί την παραβίαση. Εάν η εταιρεία ή ο οργανισμός σας είναι ο εκτελών την επεξεργασία, πρέπει να ενημερώνει τον υπεύθυνο επεξεργασίας δεδομένων για κάθε παραβίαση δεδομένων.

Εάν η παραβίαση δεδομένων θέτει σε υψηλό κίνδυνο τα φυσικά πρόσωπα που επηρεάζονται, τότε πρέπει επίσης να ενημερωθεί το καθένα εξ αυτών, εκτός εάν έχουν τεθεί σε εφαρμογή αποτελεσματικά τεχνικά και οργανωτικά μέτρα προστασίας ή άλλα μέτρα που διασφαλίζουν ότι ο κίνδυνος δεν είναι πλέον πιθανό να προκύψει.

Ως οργανισμός, είναι ζωτικής σημασίας να εφαρμόζετε τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την αποφυγή ενδεχόμενων παραβιάσεων δεδομένων.

Παραδείγματα

Ο οργανισμός πρέπει να ειδοποιήσει την ΑΠΔ και τα φυσικά πρόσωπα
Τα δεδομένα των εργαζομένων μιας κλωστοϋφαντουργίας γνωστοποιήθηκαν. Τα δεδομένα συμπεριλάμβαναν τις προσωπικές διευθύνσεις, τη σύνθεση της οικογένειας, τον μηνιαίο μισθό και τις ιατρικές αξιώσεις κάθε εργαζομένου. Σε αυτήν την περίπτωση, η κλωστοϋφαντουργία πρέπει να ενημερώσει την εποπτική αρχή σχετικά με την παραβίαση. Καθώς δε τα δεδομένα προσωπικού χαρακτήρα περιλαμβάνουν ευαίσθητα δεδομένα, όπως δεδομένα υγείας, η εταιρεία πρέπει επίσης να ειδοποιήσει τους εργαζομένους.

Ένας υπάλληλος νοσοκομείου αποφασίζει να αντιγράψει στοιχεία ασθενών σε CD και τα δημοσιεύει στο διαδίκτυο. Το νοσοκομείο το ανακαλύπτει μερικές μέρες αργότερα. Από τη στιγμή που λαμβάνει γνώση το νοσοκομείο, πρέπει σε 72 ώρες να ενημερώσει την εποπτική αρχή και επιπλέον, καθώς τα προσωπικά στοιχεία περιέχουν ευαίσθητες πληροφορίες, για παράδειγμα εάν ο/η ασθενής πάσχει από καρκίνο, είναι έγκυος κ.λπ., πρέπει να ενημερώσει και τους ασθενείς. Στην περίπτωση αυτή, είναι αμφίβολο εάν το νοσοκομείο είχε εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας . Εάν είχε πράγματι εφαρμόσει κατάλληλα μέτρα προστασίας (π.χ. κρυπτογράφηση των δεδομένων), δεν θα ήταν πιθανό να προκύψει ουσιώδης κίνδυνος και το νοσοκομείο θα μπορούσε να είχε απαλλαγεί από την υποχρέωση να ειδοποιήσει τους ασθενείς.

Η εταιρεία πρέπει να ειδοποιήσει τους πελάτες και αυτοί έπειτα μπορεί να πρέπει να ειδοποιήσουν την ΑΠΔ και τα φυσικά πρόσωπα
Σε μια υπηρεσία νέφους σημειώνεται απώλεια αρκετών σκληρών δίσκων που περιέχουν δεδομένα προσωπικού χαρακτήρα τα οποία ανήκουν σε αρκετούς πελάτες της. Η εταιρεία πρέπει να ειδοποιήσει τους εν λόγω πελάτες αμέσως μόλις αντιληφθεί την παραβίαση. Οι πελάτες της πρέπει να ειδοποιήσουν την ΑΠΔ και τα φυσικά πρόσωπα ανάλογα με τα δεδομένα που είχαν υποβληθεί σε επεξεργασία από τον εκτελούντα την επεξεργασία.

 

Παραπομπές

Examples

Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.

A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures.  If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.

Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.