Παραβιάσεις δεδομένων

Οι παραβιάσεις δεδομένων μπορεί να έχουν αρνητικές επιπτώσεις για τον οργανισμό σας∙ από την οικονομική απώλεια, τα πρόστιμα μέχρι και τη μείωση της εμπιστοσύνης των πελατών σας, ο αντίκτυπος των παραβιάσεων δεδομένων μπορεί να είναι τεράστιος. Αυτός είναι ο λόγος για τον οποίο είναι σημαντικό να εφαρμοστούν ορθές πρακτικές και διαδικασίες στον τομέα της κυβερνοασφάλειας για την πρόληψη συμβάντων ασφάλειας. Παρ’ όλα αυτά, υπάρχει πάντα το ενδεχόμενο να υποστείτε περιστατικό παραβίασης δεδομένων το οποίο να πρέπει να γνωστοποιήσετε στην αντίστοιχη αρχή προστασίας δεδομένων της χώρας σας (ΑΠΔ) ή στα θιγόμενα άτομα.

Τι είναι η «παραβίαση προσωπικών δεδομένων»

Ως παραβίαση προσωπικών δεδομένων νοείται «η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα».

Οι οργανισμοί θα πρέπει να γνωρίζουν ότι μια παραβίαση προσωπικών δεδομένων μπορεί να αφορά πολύ περισσότερα από «απώλεια» προσωπικών δεδομένων μόνο. Περιλαμβάνει περιστατικά που επηρεάζουν την εμπιστευτικότητα, την ακεραιότητα ή τη διαθεσιμότητα των προσωπικών δεδομένων. Oι παραβιάσεις προσωπικών δεδομένων κυρίως οφείλονται σε περιστατικά ασφάλειας που είναι αποτέλεσμα τόσο ενός τυχαίου συμβάντος (όπως η αποστολή ηλεκτρονικού μηνύματος σε λάθος παραλήπτη, η απώλεια ενός κλειδιού USB που περιέχει δεδομένα πελατών ή η τυχαία διαγραφή ιατρικών δεδομένων για τα οποία δεν υπάρχει διαθέσιμο αντίγραφο ασφαλείας), όσο και εσκεμμένων ενεργειών (όπως επιθέσεις ηλεκτρονικού ψαρέματος για την απόκτηση πρόσβασης σε δεδομένα πελατών).

Με άλλα λόγια, αυτό περιλαμβάνει καταστάσεις όπως όταν κάποιος αποκτά πρόσβαση σε προσωπικά δεδομένα ή τα κοινοποιεί χωρίς την κατάλληλη εξουσιοδότηση ή όταν τα προσωπικά δεδομένα καθίστανται μη διαθέσιμα λόγω κρυπτογράφησης από κακόβουλο λογισμικό, ή καταστάσεις τυχαίας απώλειας ή καταστροφής. Ενώ όλες οι παραβιάσεις προσωπικών δεδομένων είναι περιστατικά ασφαλείας, δεν είναι όλα απαραιτήτως τα περιστατικά ασφαλείας παραβιάσεις προσωπικών δεδομένων (δεδομένου ότι ενδέχεται να μην υπάρχουν προσωπικά δεδομένα σε ένα συγκεκριμένο περιστατικό ασφάλειας).

Διαβάστε περισσότερα

Σύνδεσμος

Άρθρο 4 ΓΚΠΔ

EUR-Lex

Υποχρεώσεις των υπευθύνων επεξεργασίας δεδομένων

Εάν η ΜΜΕ σας ενεργεί ως υπεύθυνος επεξεργασίας δεδομένων, υπάρχουν τρεις βασικές αρχές σχετικά με τις παραβιάσεις δεδομένων:

τεκμηρίωση τυχόν παραβίασης προσωπικών δεδομένων
γνωστοποίηση τυχόν παραβίασης προσωπικών δεδομένων στην αρμόδια αρχή προστασίας δεδομένων (ΑΠΔ) εντός 72 ωρών, εκτός εάν δεν ενδέχεται να προκαλέσει κίνδυνο για τα φυσικά πρόσωπα· και
ανακοίνωση της παραβίασης αυτής στα φυσικά πρόσωπα χωρίς αδικαιολόγητη καθυστέρηση, όταν η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο για τα πρόσωπα αυτά.

Είναι εξαιρετικά σημαντικό οι υπεύθυνοι επεξεργασίας δεδομένων να κατανοούν και να συμμορφώνονται με αυτές τις υποχρεώσεις και να εφαρμόζουν εκ των προτέρων τις κατάλληλες διαδικασίες που θα τους επιτρέψουν να καθορίσουν αντικειμενικά σε εύθετο χρόνο εάν απαιτείται οποιαδήποτε από τις προαναφερθείσες γνωστοποιήσεις.

Εν πάση περιπτώσει, για όλες τις παραβιάσεις –ακόμη και για τις παραβιάσεις που δεν γνωστοποιούνται σε ΑΠΔ, με το σκεπτικό ότι οι παραβιάσεις αυτές πιθανώς να μην ενέχουν κίνδυνο– ο υπεύθυνος επεξεργασίας πρέπει να καταγράφει τουλάχιστον τα βασικά στοιχεία της παραβίασης, την αξιολόγησή της, τις συνέπειές της και τα διορθωτικά μέτρα που ελήφθησαν, όπως απαιτείται από το άρθρο 33 παράγραφος 5 του ΓΚΠΔ.

Διαβάστε περισσότερα

Σύνδεσμος

Άρθρο 5 ΓΚΠΔ

EUR-Lex

Σύνδεσμος

Άρθρο 33 ΓΚΠΔ

EUR-Lex

Σύνδεσμος

Άρθρο 34 ΓΚΠΔ

EUR-Lex

Τι πρέπει να κάνουμε και πώς να αναλάβουμε δράση;

Γνωστοποίηση παραβίασης δεδομένων στην οικεία ΑΠΔ

Σύμφωνα με το άρθρο 33 παράγραφος 1 του ΓΚΠΔ, όλες οι παραβιάσεις δεδομένων θα πρέπει να γνωστοποιούνται στην οικεία ΑΠΔ, εκτός από εκείνες που δεν είναι πιθανό να παρουσιάσουν κίνδυνο για τα άτομα. Για να καταστεί ευκολότερη αυτή η γνωστοποίηση, οι ΑΠΔ έχουν εφαρμόσει διαδικασίες ή ηλεκτρονικά έντυπα που θα σας καθοδηγήσουν βήμα προς βήμα ώστε να διασφαλίσετε ότι παρέχετε όλες τις απαιτούμενες πληροφορίες.

Εάν η παραβίαση λαμβάνει χώρα στο πλαίσιο διασυνοριακής επεξεργασίας και απαιτείται γνωστοποίηση, ο υπεύθυνος επεξεργασίας, εάν είναι εγκατεστημένος στον ΕΟΧ, θα πρέπει να ενημερώσει την επικεφαλής ΑΠΔ. Ως εκ τούτου, κατά την κατάρτιση του οικείου σχεδίου αντιμετώπισης παραβιάσεων, ο υπεύθυνος επεξεργασίας θα πρέπει εκ των προτέρων να αξιολογήσει ποια ΑΠΔ είναι η επικεφαλής την οποία θα πρέπει να ενημερώσει. Εάν ο υπεύθυνος επεξεργασίας έχει οποιαδήποτε αμφιβολία ως προς την ταυτότητα της επικεφαλής ΑΠΔ, θα πρέπει, κατ’ ελάχιστον, να ενημερώσει την ΑΠΔ της χώρας στην οποία συνέβη το περιστατικό παραβίασης.

Όταν απαιτείται γνωστοποίηση, αυτή πρέπει να γίνεται το συντομότερο δυνατόν και εντός 72 ωρών από τη στιγμή που αποκτά γνώση για την παραβίαση. Σε περίπτωση που αυτό δεν είναι δυνατό, απαιτείται αιτιολόγηση της καθυστέρησης. Ένας οργανισμός θα πρέπει να θεωρείται ότι «αποκτά γνώση» όταν υπάρχει εύλογος βαθμός βεβαιότητας ότι ένα περιστατικό ασφάλειας έχει λάβει χώρα και έχει θέσει σε κίνδυνο προσωπικά δεδομένα.

Προκειμένου να είναι σε θέση να αποδείξουν στην οικεία ΑΠΔ πότε και πώς έλαβαν γνώση παραβίασης προσωπικών δεδομένων, συνιστάται σε όλους τους οργανισμούς, στο πλαίσιο των εσωτερικών διαδικασιών τους για παραβιάσεις προσωπικών δεδομένων, να διαθέτουν σύστημα για την καταγραφή του τρόπου και του χρόνου κατά τον οποίο λαμβάνουν γνώση των παραβιάσεων προσωπικών δεδομένων και του τρόπου με τον οποίο αξιολόγησαν τον δυνητικό κίνδυνο που ενέχει η παραβίαση.

Όταν δεν είναι δυνατόν να παρασχεθούν όλες οι σχετικές πληροφορίες στην ΑΠΔ εντός της περιόδου των 72 ωρών, η γνωστοποίηση θα πρέπει να γίνεται σε διάφορα στάδια. Θα πρέπει να υποβάλλεται η αρχική γνωστοποίηση και σταδιακά να παρέχονται περαιτέρω πληροφορίες.

Ομοίως, σύμφωνα με το άρθρο 33 παράγραφος 2 του ΓΚΠΔ, εάν η ΜΜΕ σας είναι εκτελών την επεξεργασία και επεξεργάζεται προσωπικά δεδομένα για λογαριασμό άλλου οργανισμού, πρέπει να ενημερώσετε τον υπεύθυνο επεξεργασίας για τυχόν παραβίαση προσωπικών δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Αυτό έχει καίρια σημασία προκειμένου ο υπεύθυνος επεξεργασίας να είναι σε θέση να συμμορφωθεί με τις υποχρεώσεις γνωστοποίησης που υπέχει σε εύθετο χρόνο. Οι απαιτήσεις σχετικά με την αναφορά παραβιάσεων θα πρέπει επίσης να περιγράφονται λεπτομερώς στη σύμβαση μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, όπως απαιτείται βάσει του άρθρου 28 του ΓΚΠΔ.

Η γνωστοποίηση παραβίασης προσωπικών δεδομένων στην οικεία ΑΠΔ πρέπει κατ’ ελάχιστον:

να περιγράφει τη φύση της παραβίασης των προσωπικών δεδομένων, συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων προσώπων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων προσωπικών δεδομένων·
να ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων (ΥΠΔ) ή άλλου σημείου επικοινωνίας από όπου μπορούν να ληφθούν περισσότερες πληροφορίες·
να περιγράφει τις πιθανές συνέπειες της παραβίασης προσωπικών δεδομένων· και
να περιγράφει τα μέτρα που έλαβε ή προτίθεται να λάβει η ΜΜΕ για την αντιμετώπιση της παραβίασης προσωπικών δεδομένων, συμπεριλαμβανομένων, κατά περίπτωση, μέτρων για την άμβλυνση των πιθανών δυσμενών επιπτώσεών της.

Διαβάστε περισσότερα

Σύνδεσμος

Άρθρο 5 ΓΚΠΔ

EUR-Lex

Σύνδεσμος

Άρθρο 28 ΓΚΠΔ

EUR-Lex

Σύνδεσμος

Άρθρο 33 ΓΚΠΔ

EUR-Lex

Σύνδεσμος

Εντύπων κοινοποίησης παραβίασης δεδομένων

ΕΣΠΔ

Ανακοίνωση της παραβίασης αυτής στα θιγόμενα άτομα

Επιπλέον, ορισμένες παραβιάσεις δεδομένων πρέπει να ανακοινώνονται χωρίς αδικαιολόγητη καθυστέρηση στα θιγόμενα άτομα. Αυτό συμβαίνει όταν η παραβίαση προσωπικών δεδομένων ενδέχεται να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες του φυσικού προσώπου.

Σκοπός αυτής της απαίτησης είναι να διασφαλιστεί ότι τα θιγόμενα άτομα μπορούν να λαμβάνουν τις απαραίτητες προφυλάξεις σε περίπτωση συμβάντων που ενδέχεται να οδηγήσουν σε υψηλό κίνδυνο για αυτά.

Οι εν λόγω ανακοινώσεις σε φυσικά πρόσωπα πρέπει να πραγματοποιούνται χωρίς καθυστέρηση και, κατά περίπτωση, σε στενή συνεργασία με την οικεία ΑΠΔ. Σε περιπτώσεις που υπάρχει ανάγκη μετριασμού του άμεσου κινδύνου για τα άτομα, θα είναι απαραίτητη η άμεση επικοινωνία.

Υπάρχουν περιπτώσεις στις οποίες οι υπεύθυνοι επεξεργασίας δεδομένων δεν θα υποχρεούνται να ενημερώνουν τα φυσικά πρόσωπα, π.χ. όταν:

ο υπεύθυνος επεξεργασίας δεδομένων είχε κρυπτογραφήσει τα δεδομένα και δεν διακυβεύτηκαν τα κλειδιά κρυπτογράφησης·
ο υπεύθυνος επεξεργασίας έχει λάβει στη συνέχεια μέτρα που διασφαλίζουν ότι ο υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων δεν είναι πλέον πιθανό να υλοποιηθεί·

θα συνεπαγόταν δυσανάλογη προσπάθεια. Σε μια τέτοια περίπτωση, ωστόσο, ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει, μέσω δημόσιας ανακοίνωσης ή παρόμοιου μέτρου, ότι τα φυσικά πρόσωπα ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

Η εν λόγω ανακοίνωση προς το άτομο θα πρέπει να περιγράφει με σαφή και απλή γλώσσα τη φύση της παραβίασης προσωπικών δεδομένων και θα πρέπει να περιλαμβάνει τουλάχιστον τις ακόλουθες πληροφορίες:

το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες·
περιγραφή των πιθανών συνεπειών της παραβίασης προσωπικών δεδομένων· και
περιγραφή των μέτρων που έλαβε ή προτίθεται να λάβει ο οργανισμός για την αντιμετώπιση της παραβίασης προσωπικών δεδομένων, συμπεριλαμβανομένων, κατά περίπτωση, μέτρων για την άμβλυνση των πιθανών δυσμενών επιπτώσεών της.
Η ανακοίνωση θα πρέπει επίσης να περιέχει συστάσεις προς τα επηρεαζόμενα άτομα για τον μετριασμό των πιθανών δυσμενών επιπτώσεων της παραβίασης.

Οι υπεύθυνοι επεξεργασίας δεδομένων και οι εκτελούντες την επεξεργασία ενθαρρύνονται να σχεδιάζουν εκ των προτέρων και να θέτουν σε εφαρμογή διαδικασίες ώστε να είναι σε θέση να εντοπίζουν και να περιορίζουν άμεσα μια παραβίαση, να αξιολογούν τον κίνδυνο για τα φυσικά πρόσωπα και, στη συνέχεια, να προσδιορίζουν κατά πόσον είναι αναγκαίο να γνωστοποιήσουν την παραβίαση στην αρμόδια ΑΠΔ και να την ανακοινώσουν στα επηρεαζόμενα άτομα, όταν είναι απαραίτητο.

Διαβάστε περισσότερα

Σύνδεσμος

Άρθρο 34 ΓΚΠΔ

EUR-Lex

Σύνδεσμος

Κατευθυντήριες γραμμές για παραδείγματα σχετικά με την κοινοποίηση παραβίασης προσωπικών δεδομένων

ΕΣΠΔ

Σύνδεσμος

Κατευθυντήριες γραμμές σχετικά με την κοινοποίηση παραβίασης προσωπικών δεδομένων βάσει του ΓΚΠΔ

ΕΣΠΔ

When do you need to notify a data breach?

Τα προσωπικά δεδομένα που επεξεργάζεστε έχουν χαθεί, κλαπεί ή τεθεί σε κίνδυνο;

Ναι

Όχι

Είναι πιθανό η επεξεργασία να επιφέρει υψηλούς κινδύνους;

Ναι

Όχι

Επιστροφή στην προηγούμενη ερώτηση

Ισχύουν εξαιρέσεις;

It’s important that you notify the competent data protection authority (DPA) within 72h.

Yes

No

Επιστροφή στην προηγούμενη ερώτηση

Πρέπει να διενεργήσω ΕΑΠΔ;

Ναι, πρέπει να διενεργήσετε ΕΑΠΔ

Παραμένουν υψηλοί κίνδυνοι μετά την ΕΑΠΔ;

Ναι

Όχι

Επιστροφή στην αρχή

Πρέπει να διενεργήσω ΕΑΠΔ;

No personal data breach has occurred.

Επιστροφή στην αρχή

Συμβουλευτείτε την Αρχή Προστασίας Δεδομένων

Επιστροφή στην αρχή

You don’t need to notify the data protection authority or individuals.

You need to document all data breaches in a record.

Επιστροφή στην αρχή

Τι είναι η «παραβίαση προσωπικών δεδομένων»

Διαβάστε περισσότερα

Άρθρο 4 ΓΚΠΔ

Υποχρεώσεις των υπευθύνων επεξεργασίας δεδομένων

Διαβάστε περισσότερα

Άρθρο 5 ΓΚΠΔ

Άρθρο 33 ΓΚΠΔ

Άρθρο 34 ΓΚΠΔ

Τι πρέπει να κάνουμε και πώς να αναλάβουμε δράση;

Γνωστοποίηση παραβίασης δεδομένων στην οικεία ΑΠΔ

Διαβάστε περισσότερα

Άρθρο 5 ΓΚΠΔ

Άρθρο 28 ΓΚΠΔ

Άρθρο 33 ΓΚΠΔ

Εντύπων κοινοποίησης παραβίασης δεδομένων

Ανακοίνωση της παραβίασης αυτής στα θιγόμενα άτομα

Διαβάστε περισσότερα

Άρθρο 34 ΓΚΠΔ

Κατευθυντήριες γραμμές για παραδείγματα σχετικά με την κοινοποίηση παραβίασης προσωπικών δεδομένων

Κατευθυντήριες γραμμές σχετικά με την κοινοποίηση παραβίασης προσωπικών δεδομένων βάσει του ΓΚΠΔ

Πότε πρέπει να γνωστοποιήσετε μια παραβίαση δεδομένων;