PRIVACY • Το είδος της εξεταζόμενης παραβίασης • Η φύση, η ευαισθησία και ο όγκος των δεδομένων προσωπικού χαρακτήρα που επηρεάζονται • Η ευκολία ταυτοποίησης των επηρεαζόμενων προσώπων • Η σοβαρότητα των συνεπειών για τα πρόσωπα • Τα ειδικά χαρακτηριστικά του προσώπου (π.χ. ανήλικοι) • Τα ειδικά χαρακτηριστικά του υπευθύνου επεξεργασίας δεδομένων • Ο αριθμός των επηρεαζόμενων προσώπων Σε αυτό το σημείο, είναι χρήσιμο να αναφερθεί πως οι, υπό διαβούλευση, κατευθυντήριες γραμμές 01/2021 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB) θα προσφέρουν, αφού κυρωθούν, χρήσιμα παραδείγματα ορθής αξιολόγησης των κινδύνων σε συγκεκριμένες περιπτώσεις παραβιάσεων προσωπικών δεδομένων (π.χ. ransomware attacks, κλοπή κρυπτογραφημένων υλικών κ.λπ.). Ταυτόχρονα με την ως άνω διαδικασία είναι ζωτικής σημασίας ο υπεύθυνος επεξεργασίας να λάβει μέτρα και να επιδιώξει τον άμεσο περιορισμό του συμβάντος και των αποτελεσμάτων του, λαμβάνοντας υπόψιν τους κινδύνους τους οποίους αξιολογεί. Στη συνέχεια, ανάλογα με τον βαθμό του κινδύνου, ο υπεύθυνος επεξεργασίας μπορεί να έχει την έννομη υποχρέωση να γνωστοποιήσει την παραβίαση στην ΑΠΔΠΧ ή και να ανακοινώσει την παραβίαση στα επηρεαζόμενα φυσικά πρόσωπα. Σε αυτό το σημείο είναι σημαντικό να σημειωθεί ως προς την γνωστοποίηση πως αυτή μπορεί να πραγματοποιηθεί σταδιακά αν ο υπεύθυνος επεξεργασίας δεν έχει αξιολογήσει ακόμα το σύνολο των πληροφοριών και το μέγεθος του αντικτύπου της παραβίασης. Σε ό,τι αφορά στην ανακοίνωση προς τα φυσικά πρόσωπα, όταν αυτή απαιτείται, θα πρέπει να πραγματοποιείται άμεσα και να είναι συγκεκριμένη και κατανοητή. Άλλωστε, ο κύριος στόχος της ανακοίνωσης στα φυσικά πρόσωπα είναι η παροχή συγκεκριμένων πληροφοριών σχετικά με τις ενέργειες στις οποίες θα πρέπει να προβούν για να προστατευτούν από πιθανά αρνητικά αποτελέσματα της παραβίασης. Το τελευταίο αλλά πολύ σημαντικό βήμα αυτής της περιπέτειας είναι η καταγραφή / συγγραφή αναφοράς του συμβάντος από τον υπεύθυνο επεξεργασίας, ανεξάρτητα από την έκβασης της έρευνας. Η καταγραφή του τρόπου αντιμετώπισης του συμβάντος και της λογικής πίσω από της αποφάσεις που ελήφθησαν είναι απαραίτητες τόσο για την εκπλήρωση της υποχρέωσης τήρησης αρχείων παραβιάσεων (άρθρο 33 παράγραφος 5 GDPR) όσο και για την συνεχή βελτίωση του συστήματος συμμόρφωσής του. Εν κατακλείδι Από τα παραπάνω γίνεται κατανοητό πως η ορθή και επιτυχημένη αντιμετώπιση ενός περιστατικού παραβίασης προσωπικών δεδομένων από έναν οργανισμό αποτελεί πολλές φορές εξίσου μεγάλη πρόκληση με την επιτυχημένη πρόληψη των περιστατικών αυτών, ενώ δύναται να αποτελέσει απόδειξη των συνεχών προσπαθειών συμμόρφωσης ενός υπεύθυνου επεξεργασίας. Συνεπώς, είναι απολύτως απαραίτητο οι υπεύθυνοι επεξεργασίας να είναι επαρκώς προετοιμασμένοι και να έχουν εξασφαλίσει, μέσω πολιτικών / διαδικασιών και σχετικών εκπαιδεύσεων, την ύπαρξη ενός οργανωμένου πλάνου αντιμετώπισης τέτοιων περιστατικών. 30 infocom•03•21
THE FUTURE IS FEMALE! ΟΡΓΑΝΩΣΗ InfoComWorld InfoComConferences InfoComWorld InfoComWorld Smart Press S.A. www.womenindigital.gr 08 03 21
Facebook
Twitter