RSS

GDPR Ευθύνη από παραβιάσεις προσωπικών δεδομένων

07 Ιον.

Με τον GDPR (Κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου) να έχει τεεί σε ισχύ από την 25.05.2018, όλη η Ευρώπη εργάζεται πυρετωδώς για την προσαρμογή της στα νέα δεδομένα τα οποία ο Κανονισμός επιτάσσει. Είναι σκόπιμο λοιπόν, στο πνεύμα αυτό, να γίνει λόγος για τις ενέργειες στις οποίες πρέπει να προβεί ο υπεύθυνος για την επεξεργασία των δεδομένων στο ενδεχόμενο της παραβίασης προσωπικών δεδομένων.

Σύμφωνα με τον Κανονισμό, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας τους θα πρέπει να την γνωστοποιήσει αμελλητί, εντός 72 ωρών από τη γνώση της παραβίασης, στην οικεία εποπτική αρχή. Η μεταγενέστερη γνωστοποίηση συνοδεύεται με αιτιολόγηση της καθυστέρησης, ενώ μόνη περίπτωση μη γνωστοποίησης είναι η παραβίαση να μην ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των προσώπων. Σε κάθε περίπτωση, η γνωστοποίηση πρέπει να περιλαμβάνει περιγραφή της φύσης της προκείμενης παραβίασης, καθώς και την κατηγορία και τον κατά προσέγγιση αριθμό των θιγόμενων υποκειμένων των δεδομένων αφ’ ενός, και την κατηγορία και τον κατά προσέγγιση αριθμό των επηρεαζόμενων αρχείων, αφ’ ετέρου. Θα πρέπει δε να περιγράφονται οι ενδεχόμενες συνέπειες της παραβίασης, αλλά και τα ληφθέντα ή και τα προτεινόμενα μέτρα αντιμετώπισης αυτών στο μέτρο του δυνατού. Τέλος, θα πρέπει να ανακοινώνεται το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων. Εάν όλες οι ως άνω πληροφορίες δεν μπορούν να παρασχεθούν ταυτοχρόνως, είναι δυνατό να παρέχονται σταδιακά, χωρίς όμως αδικαιολόγητη καθυστέρηση.

Παράλληλα προς τη γνωστοποίηση της παραβίασης προς την εποπτική αρχή, ο υπεύθυνος επεξεργασίας θα πρέπει να ανακοινώνει την παραβίαση και στο υποκείμενο των δεδομένων, όταν η παραβίαση αυτή ενδέχεται να θέσει σε κίνδυνο τα δικαιώματα και της ελευθερίες του. Η ανακοίνωση αυτή πρέπει να περιλαμβάνει, τουλάχιστον, τη φύση της παραβίασης, εκτεθειμένη με σαφήνεια, αλλά και τα προτεινόμενα μέτρα άμβλυνσης των συνεπειών της παραβίασης. Η ανακοίνωση αυτή, πάντως, δεν είναι απαραίτητη εφ’ όσον ο υπεύθυνος επεξεργασίας εφήρμοσε τα κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, ιδίως μέτρα όπως η κρυπτογράφηση, οπότε η κατανόησή τους από τρίτους καθίσταται αδύνατη. Επίσης δεν απαιτείται ανακοίνωση αν λήφθηκαν μέτρα που εξασφαλίζουν ότι δεν υφίσταται πλέον ο ως άνω κίνδυνος. Τέλος, αν η ανακοίνωση της παραβίασης απαιτεί δυσανάλογες προσπάθειες από τον υπεύθυνο επεξεργασίας, μπορεί να γίνει δημόσια ανακοίνωση ή με οποιονδήποτε άλλο παρόμοιο και αποτελεσματικό τρόπο.

Τέλος, η ίδια η εποπτική αρχή μπορεί να ζητήσει από τον υπεύθυνο επεξεργασίας να προβεί στην εν λόγω ανακοίνωση, σταθμίζοντας την πιθανότητα επέλευσης του κινδύνου για το υποκείμενο των δεδομένων από την παραβίαση. Αυτό βέβαια προϋποθέτει ότι ο υπεύθυνος επεξεργασίας δεν έχει ήδη προβεί στην ανακοίνωση της παραβίασης στο υποκείμενο των δεδομένων.

Για περισσότερες πληροφορίες και ραντεβού καλέστε στο δικηγορικό γραφείο και μιλήστε με εξειδικευμένο δικηγόρο στα τηλ: 210 8811903, 210 8251894, 6932 455478.

 

 

 

Ετικέτες: , , , , , , , ,

Τα σχόλια είναι απενεργοποιημένα.

 
Αρέσει σε %d bloggers: