ΔΗΜΟΤΙΚΟ ΚΕΝΤΡΟ ΚΟΙΝΩΝΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ - ΠΑΙΔΕΙΑΣ - ΠΟΛΙΤΙΣΜΟΥ ΚΑΙ ΑΘΛΗΤΙΣΜΟΥ | ΔΗΜΟΥ ΒΙΣΑΛΤΙΑΣ

ΠΟΛΙΤΙΚΗ ΠΑΡΑΒΙΑΣΗΣ ΔΕΔΟΜΕΝΩΝ

HomeΠΟΛΙΤΙΚΗ ΠΑΡΑΒΙΑΣΗΣ ΔΕΔΟΜΕΝΩΝ
  1. Σκοπός

1.1. Ο Γενικός Κανονισμός Προστασίας Δεδομένων 679/2016 (εφεξής και ως «ΓΚΠΔ» ή «GDPR»)   απαιτεί την εφαρμογή όλων των κατάλληλων τεχνολογικών μέτρων προστασίας και οργανωτικών μέτρων για την άμεση διαπίστωση της παραβίασης των δεδομένων, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή ζημία η οποία στη συνέχεια καθορίζει εάν υπάρχει υποχρέωση κοινοποίησης. Συνεπώς, ο σκοπός της παρούσας πολιτικής είναι:

α) να παρέχει τους στόχους και τις υιοθετημένες εσωτερικές διαδικασίες και διαδικασίες   του Δημοτικού Κέντρου Κοινωνικής Προστασίας – Παιδείας – Πολιτισμού και Αθλητισμού Δήμου Βισαλτίας (ΔΗ.Κ.Κ.Π.Π.Π.Α),  όσον αφορά τις παραβιάσεις δεδομένων και τα περιστατικά που αφορούν δεδομένα προσωπικού χαρακτήρα,

β) να λειτουργεί ως σχέδιο αντίδρασης για την αντιμετώπιση οποιασδήποτε παραβίασης και περιστατικού δεδομένων προσωπικού χαρακτήρα σε περίπτωση που συμβεί

γ) να παρέχει λεπτομέρειες σχετικά με τις διαδικασίες που τηρεί το ΔΗ.Κ.Κ.Π.Π.Π.Α για την παρακολούθηση, την αναφορά, τον εντοπισμό, την καταγραφή, τη διερεύνηση, την αξιολόγηση και την κοινοποίηση περιστατικών,

δ) να διευκολύνει τη λήψη αποφάσεων σχετικά με το κατά πόσον είναι απαραίτητη η κοινοποίηση του συμβάντος παραβίασης δεδομένων στην εποπτική αρχή και η επικοινωνία με τα θιγόμενα υποκείμενα των δεδομένων

ε) να  παρέχει καθοδήγηση σχετικά με τις εν λόγω κοινοποιήσεις και την απαραίτητη τήρηση αρχείων

στ) να καθορίζει ποιος έχει την επιχειρησιακή ευθύνη εντός του οργανισμού για τη διαχείριση μιας παραβίασης.

1.2. Έννοιες

  • «δεδομένα προσωπικού χαρακτήρα» ή «προσωπικά δεδομένα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
  • «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
  • «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
  • «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,
  • «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
  • «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

 

  1. Αντικείμενο – Πλαίσιο

2.1. Αντικείμενο και στόχο της παρούσας πολιτικής αποτελει η προστασία των προσωπικών των υποκειμένων των δεδομένων τόσο των υπαλλήλων και εργαζομένων όσο και των πολιτών. Η παρούσα πολιτική ισχύει για όλους τους χρήστες των πληροφοριακών συστημάτων του ΔΗ.Κ.Κ.Π.Π.Π.Α ή/και τους κατόχους πληροφοριών και προσωπικών δεδομένων που ανήκουν στο ΔΗ.Κ.Κ.Π.Π.Π.Α. Τα ανωτέρω πρόσωπα οφείλουν να γνωρίζουν και να ακολουθούν την παρούσα πολιτική και τις διαδικασίες που ορίζει αυτή για την αντιμετώπιση περιστατικού ασφαλείας  ή παραβίασης προσωπικών δεδομένων. Η τήρηση της παρούσας πολιτικής είναι υποχρεωτική.

2.2. Ο ΓΚΠΔ, με το άρθρο 33, επιβάλει στους υπευθύνους επεξεργασίας την υποχρέωση χειρισμού κάθε περιστατικού παραβίασης προσωπικών δεδομένων στο πλαίσιο των υποχρεώσεων του υπευθύνου για την ασφάλεια της επεξεργασίας. Σε περίπτωση που από το περιστατικό ενδέχεται να προκληθεί κίνδυνος στα δικαιώματα και τις ελευθερίες των προσώπων τα οποία αυτό αφορά, οι υπεύθυνοι επεξεργασίας οφείλουν να γνωστοποιήσουν το εν λόγω περιστατικό στην Αρχή. Η παρούσα πολιτική παρέχει τα βήματα οργάνωσης και σχετικές παραμέτρους που είναι απαραίτητες να ληφθούν υπόψη για την αντιμετώπιση του περιστατικού παραβίασης.

2.3. Η εν λόγω γνωστοποίηση πρέπει να γίνεται αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που ο υπεύθυνος επεξεργασίας ενημερωθεί για το περιστατικό. Η γνωστοποίηση πρέπει να περιέχει συγκεκριμένες πληροφορίες (π.χ. φύση/έκταση του περιστατικού, κατηγορίες προσώπων που επλήγησαν, αιτία και συνέπειες αυτού, ενέργειες που έγιναν προς αντιμετώπισή του, κ.ά.). Ακόμα και αν οι πληροφορίες αυτές δεν είναι όλες διαθέσιμες κατά την υποβολή της γνωστοποίησης, αυτή θα πρέπει να υποβληθεί ως αρχική και να ακολουθήσει στη συνέχεια, χωρίς αδικαιολόγητη καθυστέρηση, επικαιροποίησή της (με υποβολή συμπληρωματικής γνωστοποίησης).

2.4. Κατά την διαδικασία διερεύνησης του περιστατικού θα πρέπει να εντοπιστεί ποιες από τις βασικές αρχές προστασίας δεδομένων, δηλαδή εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα. Πιο συγκεκριμένα:

“Παραβίαση της εμπιστευτικότητας” – όταν υπάρχει μη εξουσιοδοτημένη ή τυχαία αποκάλυψη ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα.

“Παραβίαση της ακεραιότητας” – όταν υπάρχει μη εξουσιοδοτημένη ή τυχαία αλλοίωση δεδομένων προσωπικού χαρακτήρα.

“Παραβίαση της διαθεσιμότητας” – όταν υπάρχει τυχαία ή μη εξουσιοδοτημένη απώλεια πρόσβασης σε, ή καταστροφή δεδομένων προσωπικού χαρακτήρα.

2.4. Θα πρέπει επίσης να σημειωθεί ότι, ανάλογα με τις περιστάσεις, η παραβίαση μπορεί να αφορά την εμπιστευτικότητα, ακεραιότητα και τη διαθεσιμότητα των δεδομένων προσωπικού χαρακτήρα ταυτόχρονα, καθώς και οποιονδήποτε συνδυασμό αυτών.

  1. Κατανομή ρόλων και αρμοδιοτήτων για τη διαχείριση περιστατικών ασφαλείας

3.1. Σύμφωνα με την παρούσα πολιτική τα περιστατικά ασφαλείας και οι παραβιάσεις προσωπικών δεδομένων απευθύνονται και γνωστοποιούνται άμεσα από οποιονδήποτε χρήστη των συστημάτων ή εργαζόμενο ή και τρίτο αποδέκτη των δεδομένων ή εκτελούντα την επεξεργασία, ακόμη και με τη σχετική υποψία τους, στο αρμόδιο τμήμα του ΔΗ.Κ.Κ.Π.Π.Π.Α. στο e-mail info@dikpa.gr στο τηλ. 2322022306 καθώς και στα στοιχεία επικοινωνίας του DPO: e-mail dpo.kpmdnigritas@gmail.com τηλ 2322022306

3.2. Το αρμόδιο τμήμα του ΔΗ.Κ.Κ.Π.Π.Π.Α. είναι υπεύθυνο να αντιμετωπίσει τα περιστατικά, να διαπιστώσει την ύπαρξη παραβίασης και να αξιολογήσει τον κίνδυνο σε συνεργασία με τον DPO καθώς και να ορίσει επιπρόσθετα τεχνικό υπάλληλο ή ομάδα να υποστηρίξει την αντιμετώπιση του περιστατικού, εφόσον το κρίνει απαραίτητο. Πιο συγκεκριμένα, το τμήμα του ΔΗ.Κ.Κ.Π.Π.Π.Α. είναι υπεύθυνο για τη διερεύνηση, το συντονισμό και τη διαχείριση της αντίδρασης σε κάθε αναφερόμενο συμβάν ή περιστατικό, συμπεριλαμβανομένης της τεκμηρίωσης όλων των μέτρων έκτακτης ανάγκης που έχουν ληφθεί, της συλλογής αποδεικτικών στοιχείων, της εκτίμησης κινδύνου και κάθε άλλης απαιτούμενης ενέργειας. Το τμήμα  του ΔΗ.Κ.Κ.Π.Π.Π.Α. και όλοι οι υπόλοιποι οφείλουν να υποστηρίζουν την άμεση αντιμετώπιση του περιστατικού παρέχοντας κάθε απαιτούμενη υποστήριξη και πληροφορία.

3.3. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα,  το του ΔΗ.Κ.Κ.Π.Π.Π.Α. καθορίζει εάν απαιτούνται οι σχετικές νόμιμες κοινοποιήσεις βάσει του ΓΚΠΔ σύμφωνα με τη διαδικασία γνωστοποίησης παραβίασης δεδομένων σύμφωνα με τον ΓΚΠΔ που περιγράφεται κατωτέρω.

 

  1. Χρόνος ενημέρωσης

Καθόσον το χρονικό όριο για τη γνωστοποίηση παραβίασης δεδομένων στην ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) είναι μόλις 72 ώρες από το χρονικό σημείο ο υπεύθυνος επεξεργασίας λάβει γνώση του περιστατικού, η ενημέρωση θα πρέπει να πραγματοποιείται άμεσα, σε οποιοδήποτε χρονικό σημείο εντός ή εκτός ωραρίου εργασίας κατά το οποίο θα υπάρξει υποψία ή ενημέρωση για περιστατικό ασφαλείας.  Όλες οι παραβιάσεις δεδομένων θα διερευνώνται, ακόμη και σε περιπτώσεις όπου δεν απαιτείται γνωστοποίηση στην ΑΠΔΠΧ ή ενημέρωση των υποκειμένων των δεδομένων.

 

  1. Διαδικασία αντιμετώπισης περιστατικού παραβίασης

5.1. Μόλις διαπιστωθεί ή πιθανολογηθεί παραβίαση δεδομένων, αναφέρεται αμέσως στο ΔΗ.Κ.Κ.Π.Π.Π.Α.., όπως προαναφέρθηκε, ώστε να κινηθούν και να ακολουθηθούν άμεσα οι διαδικασίες αντιμετώπισης του περιστατικού παραβίασης. Η πλήρης και άμεση αναφορά των περιστατικών είναι απαραίτητη για τη νομικά σύμφωνη λειτουργία  του του ΔΗ.Κ.Κ.Π.Π.Π.Α. σύμφωνα με την ισχύουσα νομοθεσία όσον αφορά στην προστασία των προσωπικών δεδομένων και για την προστασία των υποκειμένων των προσωπικών δεδομένων που τυγχάνουν επεξεργασίας από αυτόν.

5.2. Σε περίπτωση παραβίασης δεδομένων που αφορά σε εκτελούντα την επεξεργασία, ο του ΔΗ.Κ.Κ.Π.Π.Π.Α. θεωρείται ενήμερος μόλις ο εκτελών την επεξεργασία τον ενημερώσει για την παραβίαση είτε με e-mail είτε τηλεφωνικά. Σε περίπτωση e-mail αυτό θα χρειαστεί να εισαχθεί σε διακριτό φάκελο μέσα στα e-mails προκειμένου να μη χαθεί να και υπάρχει διαρκής επικοινωνία με τον εκτελούντα την επεξεργασία. Επιπρόσθετα, θα χρειαστεί να αναζητηθεί η σύμβαση επεξεργασίας δεδομένων (DPA) με τον εκτελούντα την επεξεργασία. Κάθε εκτελών την επεξεργασία οφείλει να ενημερώνει  το  του ΔΗ.Κ.Κ.Π.Π.Π.Α. εάν αντιληφθεί οποιαδήποτε παραβίαση χωρίς αδικαιολόγητη καθυστέρηση. Αν οποιοσδήποτε εργαζόμενος λάβει την ενημέρωση τηλεφωνικά, θα πρέπει να τη διαβιβάσει στο αρμόδιο τμήμα του του ΔΗ.Κ.Κ.Π.Π.Π.Α. που αυτό με τη σειρά του θα το γνωστοποιήσει και στον DPO.  Από τον εκτελούντα την επεξεργασία θα ζητηθούν όλες οι πληροφορίες που διαθέτει σχετικά με το περιστατικό ασφαλείας και που δύνανται να συνδράμουν για να συμπληρωθεί η φόρμα γνωστοποίησης στην ΑΠΔΠΧ.

5.3. Μόλις αναφερθεί ένα περιστατικό, πρέπει να ληφθούν μέτρα για τον περιορισμό και τον περιορισμό, στο μέτρο του δυνατού, της παραβίασης. Τα μέτρα αυτά δεν εμπίπτουν στο πεδίο εφαρμογής του παρόντος εγγράφου λόγω της τεράστιας φύσης των παραβιάσεων και της ποικιλίας των μέτρων που πρέπει να ληφθούν- ωστόσο, στόχος των μέτρων αυτών θα πρέπει να είναι να σταματήσει οποιοσδήποτε περαιτέρω κίνδυνος/παραβίαση για την εταιρεία, τον προμηθευτή, τον συνεργάτη, τον πελάτη, τον τρίτο, το σύστημα ή τα δεδομένα πριν από τη διερεύνηση και την αναφορά. Τα μέτρα που πρέπει να ληφθούν αποφασίζονται από το αρμόδιο τμήμα  του ΔΗ.Κ.Κ.Π.Π.Π.Α. με την υποστήριξη του τμήματος πληροφορικής, αφού ενημερωθούν και εγκριθούν από τη διοίκηση.

 

  1. Καταγραφή παραβίασης

6.1. Έπειτα από την ενημέρωση σχετικά με την εκδήλωση περιστατικού παραβίασης, το αρμόδιο τμήμα του ΔΗ.Κ.Κ.Π.Π.Π.Α. σε συνεργασία με τον DPO θα πρέπει να καταγράφει τις πληροφορίες που συλλέγει σχετικά με αυτό στο πρότυπο της φόρμας γνωστοποίησης παραβίασης δεδομένων, πρότυπο του οποίου έχει αναρτημένο η ελληνική ΑΠΔΠΧ στη σελίδα της.

6.2. Μία πλήρης έρευνα θα πρέπει να πραγματοποιηθεί σχετικά με το περιστατικό, τα εμπλεκόμενα μέρη, τα γεγονότα, τα τεχνικά μέρη και τις αρχές ασφάλειας και προστασίας δεδομένων (εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα) και να συνταχθεί μία έκθεση περιστατικού ασφαλείας με τα απαραίτητα στοιχεία που ζητά και η ΑΠΔΠΧ.

 

  1. Αξιολόγηση και διερεύνηση του κινδύνου παραβίασης

Το αρμόδιο τμήμα του του ΔΗ.Κ.Κ.Π.Π.Π.Α. σε συνεργασία με τον αρμόδιο υπάλληλο πληροφορικής θα πρέπει να εξακριβώσουν ποιες πληροφορίες εμπλέκονται στην παραβίαση δεδομένων και ποια επακόλουθα βήματα απαιτούνται για την αποκατάσταση της κατάστασης και τον μετριασμό τυχόν περαιτέρω παραβιάσεων. Θα πρέπει να αξιολογείται ο κίνδυνος για τα υποκείμενα δεδομένων ως αποτέλεσμα μιας παραβίασης (πιθανότητα μηδενικού κινδύνου, κινδύνου ή υψηλού κινδύνου) καθώς και η σοβαρότητα του κινδύνου για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Κατά τη διενέργεια της αξιολόγησης του κινδύνου χρησιμοποιούνται τα κριτήρια που υποδεικνύονται από τις εκάστοτε ισχύουσες οδηγίες των αρμόδιων οργάνων και της ΑΠΔΠΧ για την αξιολόγηση της πιθανότητας και της σοβαρότητας του κινδύνου για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Τέτοια κριτήρια μπορεί να είναι: ο τύπος της παραβίασης, η φύση, η ευαισθησία και ο όγκος των δεδομένων προσωπικού χαρακτήρα, η ευκολία ταυτοποίησης των ατόμων, η σοβαρότητα των συνεπειών για τα άτομα, τα ειδικά χαρακτηριστικά του ατόμου, η φύση του υπευθύνου επεξεργασίας και ο αριθμός των επηρεαζόμενων ατόμων.

  1. Γνωστοποίηση περιστατικού παραβίασης στην ΑΠΔΠΧ

8.1. Ο ΓΚΠΔ εισάγει την απαίτηση για την κοινοποίηση μιας παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρμόδια εθνική εποπτική αρχή ή, σε περίπτωση διασυνοριακής παραβίασης, στην επικεφαλής αρχή. Το αρμόδιο τμήμα καθορίζει εάν η εποπτική αρχή πρέπει να ειδοποιηθεί σε περίπτωση παραβίασης δεδομένων και ενημερώνει σχετικά τη διοίκηση του υπεύθυνου επεξεργασίας.

8.2. Το αρμόδιο τμήμα του ΔΗ.Κ.Κ.Π.Π.Π.Α. αξιολογεί εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανό να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που θίγονται από την παραβίαση δεδομένων προσωπικού χαρακτήρα, διενεργώντας αξιολόγηση του κινδύνου που θα μπορούσε να προκύψει από αυτήν, χρησιμοποιώντας τα κριτήρια που αναφέρονται στις εφαρμοστέες κατευθυντήριες γραμμές για την αξιολόγηση της πιθανότητας και της σοβαρότητας του κινδύνου για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων με βάση τα προαναφερθέντα κριτήρια.

8.3. Εάν είναι πιθανός ο κίνδυνος για το(τα) υποκείμενο(α) των δεδομένων, ο υπεύθυνος επεξεργασίας αναφέρει την παραβίαση των προσωπικών δεδομένων στην ΑΠΔΠΧ χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 72 ωρών . 

8.4. Όταν μια παραβίαση αξιολογείται από το αρμόδιο τμήμα του ΔΗ.Κ.Κ.Π.Π.Π.Α. και θεωρείται απίθανο να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων,  ο υπεύθυνος επεξεργασίας διατηρεί το δικαίωμα να μην ενημερώσει την Εποπτική Αρχή σύμφωνα με το άρθρο 33 του ΓΚΠΔ.

8.5. Εάν δεν είναι δυνατόν να παρασχεθούν όλες οι απαραίτητες πληροφορίες ταυτόχρονα, ο υπεύθυνος επεξεργασίας θα παράσχει τις πληροφορίες σταδιακά χωρίς περαιτέρω αδικαιολόγητη καθυστέρηση. Είναι πιθανότερο ότι αυτό θα συμβεί σε πιο σύνθετες παραβιάσεις, όπως ορισμένα είδη περιστατικών κυβερνοασφάλειας, όπου, για παράδειγμα, μπορεί να χρειαστεί μια σε βάθος εγκληματολογική έρευνα για να διαπιστωθεί πλήρως η φύση της παραβίασης και ο βαθμός στον οποίο έχουν παραβιαστεί τα δεδομένα προσωπικού χαρακτήρα. Κατά συνέπεια, σε πολλές περιπτώσεις ο υπεύθυνος επεξεργασίας θα πρέπει να διεξάγει περισσότερη έρευνα και να παρακολουθεί με πρόσθετες πληροφορίες σε μεταγενέστερο σημείο.

8.6. Σύμφωνα με τον ΓΚΠΔ, πρέπει να παρέχονται στην εποπτική αρχή τουλάχιστον οι ακόλουθες πληροφορίες:

– Περιγραφή της φύσης της παραβίασης.

– Οι κατηγορίες των υποκειμένων των δεδομένων που θίγονται.

– Προσεγγιστικός αριθμός των υποκειμένων των δεδομένων που επηρεάζονται.

– Προσεγγιστικός αριθμός των σχετικών αρχείων δεδομένων προσωπικού χαρακτήρα.

– Οι κατηγορίες των οικείων αρχείων δεδομένων προσωπικού χαρακτήρα.

– Όνομα και στοιχεία επικοινωνίας του σημείου επαφής όπου μπορούν να ληφθούν περισσότερες πληροφορίες.

– Πιθανές συνέπειες της παραβίασης.

– Οποιαδήποτε μέτρα έχουν ληφθεί ή προτείνεται να ληφθούν για την αντιμετώπιση της παραβίασης, συμπεριλαμβανομένων, κατά περίπτωση, μέτρων για τον μετριασμό των πιθανών αρνητικών συνεπειών της.

Όταν δεν υπάρχουν ακριβείς πληροφορίες, μπορούν να χρησιμοποιηθούν προσεγγίσεις του αριθμού των ατόμων που θίγονται και του αριθμού των σχετικών αρχείων δεδομένων προσωπικού χαρακτήρα.

– Κάθε άλλη πληροφορία που απαιτείται από την εποπτική αρχή σχετικά με την παραβίαση δεδομένων σύμφωνα με τη διαδικασία που περιγράφεται στον ιστότοπό της.

8.7. Η παραβίαση δεδομένων θα πρέπει να γνωστοποιηθεί στην ΑΠΔΠΧ σύμφωνα με τη διαδικασία που ορίζεται στην ιστοσελίδα της ΑΠΔΠΧ1

  1. Ενημέρωση υποκειμένων δεδομένων

9.1. Εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, σύμφωνα με την εκτίμηση και την αξιολόγηση της παραβίασης με βάση τα προαναφερθέντα κριτήρια, το αρμόδιο τμήμα  του ΔΗ.Κ.Κ.Π.Π.Π.Α. ενημερώνει αμέσως για την παραβίαση δεδομένων προσωπικού χαρακτήρα στα θιγόμενα υποκείμενα των δεδομένων, σύμφωνα με τις κατάλληλες κατευθυντήριες γραμμές που ισχύουν για τη συγκεκριμένη περίπτωση, αφού ενημερωθεί σχετικά από τον DPO.

9.2. Η ανακοίνωση προς το υποκείμενο των δεδομένων περιγράφει με σαφή και κατανοητή γλώσσα τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα και περιέχει τουλάχιστον το όνομα και τα στοιχεία επικοινωνίας του σημείου επαφής όπου μπορούν να ληφθούν περισσότερες πληροφορίες, τις πιθανές συνέπειες της παραβίασης και τυχόν μέτρα που έχουν ληφθεί ή προτείνεται να ληφθούν για την αντιμετώπιση της παραβίασης, συμπεριλαμβανομένων, κατά περίπτωση, μέτρων για τον μετριασμό των πιθανών δυσμενών επιπτώσεών της.

9.3. Ο υπεύθυνος επεξεργασίας έχει το δικαίωμα να μην ενημερώσει τα υποκείμενα των δεδομένων για οποιαδήποτε παραβίαση δεδομένων προσωπικού χαρακτήρα όταν έχει εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας και τα μέτρα αυτά εφαρμόστηκαν στα δεδομένα προσωπικού χαρακτήρα που επηρεάζονται από την παραβίαση δεδομένων προσωπικού χαρακτήρα, τα οποία καθιστούν τα δεδομένα ακατάληπτα για κάθε πρόσωπο που δεν είναι εξουσιοδοτημένο να έχει πρόσβαση σε αυτά ή όταν έχει λάβει μεταγενέστερα μέτρα που διασφαλίζουν ότι ο υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων δεν είναι πλέον πιθανό να υλοποιηθεί.

9.4. Εάν η ενημέρωση του υποκειμένου των δεδομένων για την παραβίαση συνεπάγεται δυσανάλογη προσπάθεια, ο υπεύθυνος επεξεργασίας διατηρεί το δικαίωμα να προβεί αντ’ αυτού σε δημόσια ανακοίνωση μέσω της ιστοσελίδας του ή σε παρόμοιο μέτρο με το οποίο το ή τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

9.5. Εάν ο υπεύθυνος επεξεργασίας δεν έχει γνωστοποιήσει την παραβίαση των δεδομένων στο(α) υποκείμενο(α) των δεδομένων και η ΑΠΔΠΧ έπειτα από αρχικό έλεγχο που πραγματοποιήσει θεωρεί ότι η πιθανότητα παραβίασης των δεδομένων συνεπάγεται υψηλό κίνδυνο, ο υπεύθυνος επεξεργασίας θα γνωστοποιήσει την παραβίαση των δεδομένων στο υποκείμενο των δεδομένων επιλέγοντας την καταλληλότερη μέθοδο ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης.

  1. Τεκμηρίωση

Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, περιλαμβάνοντας τα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις επιπτώσεις της και τα διορθωτικά μέτρα που ελήφθησαν. Τόσο το περιστατικό όσο και τα μέτρα που λαμβάνονται, ως ορίζεται κατωτέρω, χρειάζεται να σημειώνονται στο αρχείο συμβάντων σε όλες τις περιπτώσεις είτε το αποτέλεσμα της αξιολόγησης του περιστατικού επιδείξει ότι πρέπει να γίνει η γνωστοποίηση στην ΑΠΔΠΧ ή/και στα υποκείμενα ή όχι. Η σχετική τεκμηρίωση καταγράφεται και στο Αρχείο Επεξεργασίας του Υπεύθυνου Επεξεργασίας.

  1. Τροποποίηση

Η παρούσα πολιτική μπορεί να τροποποιείται ανάλογα στις αντίστοιχες τροποποιήσεις της κείμενης νομοθεσίας και κατευθυντηρίων γραμμών σχετικά με την παραβίαση δεδομένων.

 

1 https://www.dpa.gr/el/foreis/asfaleia_dedomenwn/gnwstopoiisi_paraviasis/upovoli_gnwstopoihshs_paraviashs

 

Τελευταία ενημέρωση: Σεπτέμβριος 2023

Visited 10 times, 1 visit(s) today

Comments are closed.

Close Search Window
Close
ΑΡΧΕΙΟ