Επ’ αφορμή της Ευρωπαϊκής Ημέρας Προστασίας Προσωπικών Δεδομένων, η οποία γιορτάζεται κάθε χρόνο στις 28 Ιανουαρίου με πρωτοβουλία του Συμβουλίου της Ευρώπης, ακολουθεί μια ανάλυση των βασικών ζητημάτων με τα οποία έρχονται αντιμέτωποι οι φορείς και οι επιχειρήσεις (ακολούθως «οργανισμοί») κατά την διαχείριση ενός περιστατικού παραβίασης προσωπικών δεδομένων.
Του Χρήστου Ζαγγανά,
Legal Counsel – Head of Legal Team,
PRIORITY (www.priority.com.gr)
Αν και στο μυαλό των περισσότερων οργανισμών, που έχουν τον ρόλο του Υπεύθυνου Επεξεργασίας ως προς τα προσωπικά δεδομένα που επεξεργάζονται, η πιθανότητα επέλευσης ενός περιστατικού παραβίασης προσωπικών δεδομένων φαντάζει ως ένα απομακρυσμένο και επώδυνο “worst case scenario”, η πρακτική τείνει στο να μας οδηγεί σε δύο πολύ ενδιαφέρουσες παρατηρήσεις: 1) Η πιθανότητα να βρεθεί αντιμέτωπος ένας Υπεύθυνος Επεξεργασίας με μία παραβίαση προσωπικών δεδομένων δεν είναι όσο απομακρυσμένη και μικρή όσο θα θέλαμε να πιστέψουμε και 2) η σωστή αντιμετώπιση ενός, πιθανού ή υφιστάμενου, περιστατικού παραβίασης μπορεί να μετατρέψει ένα εκ πρώτης όψεως εφιαλτικό σενάριο για έναν Υπεύθυνο Επεξεργασίας σε μία πρώτης τάξεως ευκαιρία να διαχειριστεί έγκαιρα και αποτελεσματικά μία ευπάθεια στο σύστημα συμμόρφωσής του, να προστατέψει τυχόν δικαιώματα και ελευθερίες των φυσικών προσώπων που υπό άλλες συνθήκες θα παρέμεναν εκτεθειμένα στον συγκεκριμένο κίνδυνο επ’ αόριστον, και ταυτόχρονα να αποδείξει το επίπεδο ετοιμότητας των μέτρων ασφαλείας που έχει θεσπίσει με σκοπό τον εντοπισμό και την αντιμετώπιση τέτοιων περιστατικών.
Τονίζεται πως ο κάθε οργανισμός, υπεύθυνος ή εκτελών την επεξεργασία, έχει την ευθύνη να θεσπίζει κατάλληλα, ανάλογα με το μέγεθος του και τα δεδομένα που επεξεργάζεται, μέτρα για την αποτροπή μιας παραβίασης, την αντίδραση σε αυτήν και την αντιμετώπισή της. Συνεπώς, τα μέτρα που εφαρμόζει ο κάθε οργανισμός θα πρέπει να καλύπτουν, πέραν της πρόληψης, και τον ορθό τρόπο αντιμετώπισης ενός περιστατικού, στις περιπτώσεις που τα μέτρα πρόληψης αποδεικνύονται ανεπαρκή.
Οι άμεσες ενέργειες
Ποιες είναι όμως οι πρώτες ενέργειες που πρέπει να ακολουθήσει ένας οργανισμός μόλις αντιληφθεί την πιθανή ύπαρξη ενός πιθανού περιστατικού; Και ποια είναι τα σημεία στα οποία θα πρέπει να επικεντρωθεί κατά την διαχείρισή του;
Όταν μία επιχείρηση αντιληφθεί την πιθανότητα ύπαρξης ενός περιστατικού παραβίασης, ανεξάρτητα από την πηγή της σχετική πληροφορίας (π.χ. εργαζόμενοι, πελάτες της επιχείρησης, τρίτα μέρη, εκτελούντες την επεξεργασία-υπεργολάβοι), θα πρέπει να προχωρήσει άμεσα σε δύο βασικές ενέργειες: 1) να συγκαλέσει/συστήσει την ομάδα διερεύνησης και αντιμετώπισης του πιθανού περιστατικού, η οποία -ανάλογα με τις πολιτικές του εκάστοτε οργανισμού- συνήθως στελεχώνεται από συγκεκριμένα μέλη με τις απαραίτητες νομικές, τεχνικές, αλλά και πρακτικές γνώσεις για την λειτουργία της επιχείρησης (π.χ. Νομικός Σύμβουλος, Υπεύθυνος Ασφάλειας Πληροφοριών, Αρμόδιος Διευθυντής/Υπάλληλος του τμήματος στο οποίο εντοπίστηκε το περιστατικό, και φυσικά ο Υπεύθυνος Προστασίας Δεδομένων του οργανισμού), και 2) να εξετάσει άμεσα, μέσω της λειτουργίας της ως άνω ομάδας και μία πρώτη διερεύνηση των διαθέσιμων στοιχείων/πληροφοριών, αν προκύπτει σε εύλογο βαθμό βεβαιότητας η ύπαρξη περιστατικού ασφαλείας το οποίο έχει ως αποτέλεσμα να τεθούν σε κίνδυνο δεδομένα προσωπικού χαρακτήρα.
Η παραπάνω άσκηση έχει ιδιαίτερη πρακτική σημασία για δύο λόγους, πρώτον εξασφαλίζει την άμεση αντιμετώπιση του περιστατικού και την παροχή οδηγιών από τα πλέον αρμόδια άτομα εντός του οργανισμού και δεύτερον οδηγεί σε άμεσα συμπεράσματα για το αν το περιστατικό μπορεί εύλογα να χαρακτηριστεί ως «περιστατικό παραβίασης προσωπικών δεδομένων», πληροφορία που έχει ιδιαίτερη αξία αν αναλογιστούμε πως, σύμφωνα με την ομάδα εργασίας του αρθ.29 (WP29 250/rev1 σελ.12), το χρονικό σημείο κατά το οποίο ο Υπεύθυνος Επεξεργασίας θεωρείται πως έλαβε «γνώση» μίας παραβίασης, και από το οποίο και έπειτα ξεκινάει να «τρέχει» η προθεσμία 72 ωρών για την γνωστοποίηση του περιστατικού στην ΑΠΔΠΧ, ταυτίζεται με την στιγμή κατά την οποία ο εν λόγω υπεύθυνος επεξεργασίας έχει εύλογο βαθμό βεβαιότητας ότι έχει προκύψει περιστατικό ασφάλειας το οποίο έχει ως αποτέλεσμα να τεθούν σε κίνδυνο τα δεδομένα προσωπικού χαρακτήρα.
Κατόπιν εξακρίβωσης των ανωτέρω, ακολουθεί η ενδελεχής έρευνα του περιστατικού. Σε αυτό το στάδιο είναι πολύ σημαντικό να συλλεχθούν όλες οι απαραίτητες πληροφορίες, που σχετίζονται με το περιστατικό, από τα αρχεία και τα συστήματα ασφαλείας του Υπεύθυνου Επεξεργασίας και να αξιολογηθούν οι κίνδυνοι για τα φυσικά πρόσωπα οι οποίοι απορρέουν από την παραβίαση (πιθανότητα μηδενικού κινδύνου/ κίνδυνος/ υψηλός κίνδυνος).
Η αξιολόγηση των κινδύνων για τα φυσικά πρόσωπα κρίνεται ιδιαίτερης σημασίας κατά την αντιμετώπιση του περιστατικού καθώς, ανάλογα με το ύψος του κινδύνου, ο οργανισμός μπορεί να οφείλει να προχωρήσει σε γνωστοποίηση του περιστατικού στην ΑΠΔΠΧ ( αν η παραβίαση ενδέχεται να επιφέρει κίνδυνο) ή και ανακοίνωσης του περιστατικού στα επηρεαζόμενα φυσικά πρόσωπα (αν η παραβίαση ενδέχεται να επιφέρει υψηλό κίνδυνο). Αντιθέτως, αν η παραβίαση κριθεί πως έχει μηδενικό κίνδυνο, ο Υπεύθυνος Επεξεργασίας δεν έχει υποχρέωση γνωστοποίησης ή ανακοίνωσης, και σε αυτές τις περιπτώσεις αρκεί η λήψη άμεσων ενεργειών για την κάλυψη της ευπάθειας που εντοπίστηκε, η εσωτερική γραπτή τεκμηρίωση της αξιολόγησης των κινδύνων και της συνολικής αντιμετώπισης του περιστατικού, καθώς και επαναξιολόγηση των κινδύνων σε δεύτερο χρόνο αν εντοπιστούν μεταγενέστερα στοιχεία που δύνανται να επηρεάσουν το αποτέλεσμα της αξιολόγησης.
Βασικοί παράγοντες αξιολόγησης κινδύνων
Βασικοί παράγοντες που θα πρέπει να λαμβάνονται υπόψιν κατά την αξιολόγηση των κινδύνων είναι:
α) το είδος της εξεταζόμενης παραβίασης,
β) Η φύση, η ευαισθησία και ο όγκος των δεδομένων προσωπικού χαρακτήρα που επηρεάζονται
γ) Η ευκολία ταυτοποίησης των επηρεαζόμενων προσώπων,
δ)Η σοβαρότητα των συνεπειών για τα πρόσωπα,
ε) Τα ειδικά χαρακτηριστικά του προσώπου (π.χ. ανήλικοι),
στ)Τα ειδικά χαρακτηριστικά του υπευθύνου επεξεργασίας δεδομένων, και
ζ) Ο αριθμός των επηρεαζόμενων προσώπων.
Σε αυτό το σημείο, είναι χρήσιμο να αναφερθεί πως οι, υπό διαβούλευση, κατευθυντήριες γραμμές 01/2021 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB) θα προσφέρουν, αφού κυρωθούν, χρήσιμα παραδείγματα ορθής αξιολόγησης των κινδύνων σε συγκεκριμένες περιπτώσεις παραβιάσεων προσωπικών δεδομένων (π.χ. ransomware attacks, κλοπή κρυπτογραφημένων υλικών κ.λπ.).
Ταυτόχρονα με την ως άνω διαδικασία είναι ζωτικής σημασίας ο υπεύθυνος επεξεργασίας να λάβει μέτρα και να επιδιώξει τον άμεσο περιορισμό του συμβάντος και των αποτελεσμάτων του, λαμβάνοντας υπόψιν τους κινδύνους τους οποίους αξιολογεί.
Στη συνέχεια, ανάλογα με τον βαθμό του κινδύνου, ο υπεύθυνος επεξεργασίας μπορεί να έχει την έννομη υποχρέωση να γνωστοποιήσει την παραβίαση στην ΑΠΔΠΧ ή και να ανακοινώσει την παραβίαση στα επηρεαζόμενα φυσικά πρόσωπα.
Σε αυτό το σημείο είναι σημαντικό να σημειωθεί ως προς την γνωστοποίηση πως αυτή μπορεί να πραγματοποιηθεί σταδιακά αν ο υπεύθυνος επεξεργασίας δεν έχει αξιολογήσει ακόμα το σύνολο των πληροφοριών και το μέγεθος του αντικτύπου της παραβίασης.
Σε ό,τι αφορά την ανακοίνωση προς τα φυσικά πρόσωπα, όταν αυτή απαιτείται, θα πρέπει να πραγματοποιείται άμεσα και να είναι συγκεκριμένη και κατανοητή. Άλλωστε, ο κύριος στόχος της ανακοίνωσης στα φυσικά πρόσωπα είναι η παροχή συγκεκριμένων πληροφοριών σχετικά με τις ενέργειες στις οποίες θα πρέπει να προβούν για να προστατευτούν από πιθανά αρνητικά αποτελέσματα της παραβίασης.
Το τελευταίο αλλά πολύ σημαντικό βήμα αυτής της περιπέτειας είναι η καταγραφή/συγγραφή αναφοράς του συμβάντος από τον υπεύθυνο επεξεργασίας, ανεξάρτητα από την έκβασης της έρευνας. Η καταγραφή του τρόπου αντιμετώπισης του συμβάντος και της λογικής πίσω από της αποφάσεις που ελήφθησαν είναι απαραίτητες τόσο για την εκπλήρωση της υποχρέωσης τήρησης αρχείων παραβιάσεων (αρθ. 33 παρ.5 GDPR) όσο και για την συνεχή βελτίωση του συστήματος συμμόρφωσης του.
Εν κατακλείδι
Από τα παραπάνω γίνεται κατανοητό πως η ορθή και επιτυχημένη αντιμετώπιση ενός περιστατικού παραβίασης προσωπικών δεδομένων από έναν οργανισμό αποτελεί πολλές φορές εξίσου μεγάλη πρόκληση με την επιτυχημένη πρόληψη των περιστατικών αυτών, ενώ δύναται να αποτελέσει απόδειξη των συνεχών προσπαθειών συμμόρφωσης ενός υπεύθυνου επεξεργασίας. Συνεπώς, είναι απολύτως απαραίτητο οι υπεύθυνοι επεξεργασίας να είναι επαρκώς προετοιμασμένοι και να έχουν εξασφαλίσει, μέσω πολιτικών/διαδικασιών και σχετικών εκπαιδεύσεων, την ύπαρξη ενός οργανωμένου πλάνου αντιμετώπισης τέτοιων περιστατικών.