ΚΙΝΗΤΗ ΤΗΛΕΦΩΝΙΑ & ΤΗΛΕΠΙΚΟΙΝΩΝΙΕΣ - ΤΕΥΧΟΣ 270
ΚΙΝΗΤΗ ΤΗΛΕΦΩΝΙΑ & ΤΗΛΕΠΙΚΟΙΝΩΝΙΕΣ - ΤΕΥΧΟΣ 270
ΚΙΝΗΤΗ ΤΗΛΕΦΩΝΙΑ & ΤΗΛΕΠΙΚΟΙΝΩΝΙΕΣ - ΤΕΥΧΟΣ 270
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
PRIVACY<br />
• Το είδος της εξεταζόμενης παραβίασης<br />
• Η φύση, η ευαισθησία και ο όγκος των δεδομένων προσωπικού<br />
χαρακτήρα που επηρεάζονται<br />
• Η ευκολία ταυτοποίησης των επηρεαζόμενων προσώπων<br />
• Η σοβαρότητα των συνεπειών για τα πρόσωπα<br />
• Τα ειδικά χαρακτηριστικά του προσώπου (π.χ. ανήλικοι)<br />
• Τα ειδικά χαρακτηριστικά του υπευθύνου επεξεργασίας<br />
δεδομένων<br />
• Ο αριθμός των επηρεαζόμενων προσώπων<br />
Σε αυτό το σημείο, είναι χρήσιμο να αναφερθεί πως οι,<br />
υπό διαβούλευση, κατευθυντήριες γραμμές 01/2021 του<br />
Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB) θα<br />
προσφέρουν, αφού κυρωθούν, χρήσιμα παραδείγματα ορθής<br />
αξιολόγησης των κινδύνων σε συγκεκριμένες περιπτώσεις<br />
παραβιάσεων προσωπικών δεδομένων (π.χ. ransomware<br />
attacks, κλοπή κρυπτογραφημένων υλικών κ.λπ.).<br />
Ταυτόχρονα με την ως άνω διαδικασία είναι ζωτικής σημασίας<br />
ο υπεύθυνος επεξεργασίας να λάβει μέτρα και να<br />
επιδιώξει τον άμεσο περιορισμό του συμβάντος και των<br />
αποτελεσμάτων του, λαμβάνοντας υπόψιν τους κινδύνους<br />
τους οποίους αξιολογεί.<br />
Στη συνέχεια, ανάλογα με τον βαθμό του κινδύνου, ο υπεύθυνος<br />
επεξεργασίας μπορεί να έχει την έννομη υποχρέωση να<br />
γνωστοποιήσει την παραβίαση στην ΑΠΔΠΧ ή και να ανακοινώσει<br />
την παραβίαση στα επηρεαζόμενα φυσικά πρόσωπα.<br />
Σε αυτό το σημείο είναι σημαντικό να σημειωθεί ως προς<br />
την γνωστοποίηση πως αυτή μπορεί να πραγματοποιηθεί<br />
σταδιακά αν ο υπεύθυνος επεξεργασίας δεν έχει αξιολογήσει<br />
ακόμα το σύνολο των πληροφοριών και το μέγεθος<br />
του αντικτύπου της παραβίασης.<br />
Σε ό,τι αφορά στην ανακοίνωση προς τα φυσικά πρόσωπα,<br />
όταν αυτή απαιτείται, θα πρέπει να πραγματοποιείται άμεσα<br />
και να είναι συγκεκριμένη και κατανοητή. Άλλωστε, ο κύριος<br />
στόχος της ανακοίνωσης στα φυσικά πρόσωπα είναι η παροχή<br />
συγκεκριμένων πληροφοριών σχετικά με τις ενέργειες<br />
στις οποίες θα πρέπει να προβούν για να προστατευτούν από<br />
πιθανά αρνητικά αποτελέσματα της παραβίασης.<br />
Το τελευταίο αλλά πολύ σημαντικό βήμα αυτής της περιπέτειας<br />
είναι η καταγραφή / συγγραφή αναφοράς του<br />
συμβάντος από τον υπεύθυνο επεξεργασίας, ανεξάρτητα<br />
από την έκβασης της έρευνας. Η καταγραφή του τρόπου<br />
αντιμετώπισης του συμβάντος και της λογικής πίσω από της<br />
αποφάσεις που ελήφθησαν είναι απαραίτητες τόσο για την<br />
εκπλήρωση της υποχρέωσης τήρησης αρχείων παραβιάσεων<br />
(άρθρο 33 παράγραφος 5 GDPR) όσο και για την συνεχή<br />
βελτίωση του συστήματος συμμόρφωσής του.<br />
Εν κατακλείδι<br />
Από τα παραπάνω γίνεται κατανοητό πως η ορθή και επιτυχημένη<br />
αντιμετώπιση ενός περιστατικού παραβίασης προσωπικών<br />
δεδομένων από έναν οργανισμό αποτελεί πολλές φορές<br />
εξίσου μεγάλη πρόκληση με την επιτυχημένη πρόληψη των<br />
περιστατικών αυτών, ενώ δύναται να αποτελέσει απόδειξη<br />
των συνεχών προσπαθειών συμμόρφωσης ενός υπεύθυνου<br />
επεξεργασίας.<br />
Συνεπώς, είναι απολύτως απαραίτητο οι υπεύθυνοι επεξεργασίας<br />
να είναι επαρκώς προετοιμασμένοι και να έχουν<br />
εξασφαλίσει, μέσω πολιτικών / διαδικασιών και σχετικών<br />
εκπαιδεύσεων, την ύπαρξη ενός οργανωμένου πλάνου<br />
αντιμετώπισης τέτοιων περιστατικών.<br />
30 infocom•03•21