Μη έγκαιρη γνωστοποίηση παραβίασης - υπ’ αριθμ. 68/2018 απόφαση ΑΠΔΠΧ

Μη έγκαιρη γνωστοποίηση παραβίασης - υπ’ αριθμ. 68/2018 απόφαση ΑΠΔΠΧ

Στο άρθρο 4 του ΓΚΠΔ, ο οποίος αντικατέστησε την Οδηγία 95/56/ΕΚ, ορίζεται η παραβίαση δεδοµένων προσωπικού χαρακτήρα ως «η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνοµη καταστροφή, απώλεια, µεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδοµένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία».

Στο άρθρο 33, ορίζεται ότι σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.

Στην προκειμένη περίπτωση, ο υπεύθυνος επεξεργασίας υπέβαλε τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα με καθυστέρηση 2 ημερών από τη στιγμή κατά την οποία για πρώτη φορά ενημερώθηκε για το περιστατικό, χωρίς να παρέχει αιτιολογία για την εν λόγω καθυστέρηση. Συνεπώς, προκύπτει καθυστερημένη ενεργοποίηση της διαδικασίας χειρισμού περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα. Το περιστατικό, όμως,  ήταν εξαιρετικά περιορισμένο, αφορούσε μόνο δώδεκα πελάτες της τράπεζας και, από τη στιγμή που ξεκίνησαν οι διαδικασίες χειρισμού του, φαίνεται να αντιμετωπίστηκε ορθά.

Ενόψει της διαπιστωθείσας παράβασης, δηλαδή της καθυστερηµένης κατά δύο ηµέρες υποβολής γνωστοποίησης περιστατικού παραβίασης δεδοµένων προσωπικού χαρακτήρα, και λαµβάνοντας επίσης υπόψη τη µικρή βαρύτητα του περιστατικού, το γεγονός ότι ο ΓΚΠ∆ είχε µόλις τεθεί σε εφαρµογή και ότι ο υπεύθυνος επεξεργασίας προχώρησε σε ενέργειες αντιµετώπισής του περιστατικού, η Αρχή έκρινε οµόφωνα ότι πρέπει να ασκήσει την προβλεπόµενη στο άρθρο 58 παρ. 2 εδ. β΄ ΓΚΠ∆ εξουσία της, η οποία κρίνεται ανάλογη µε τη βαρύτητα των παραβάσεων. Απηύθυνε, δηλαδή, επίπληξη στην τράπεζα για την παραβίαση της καθυστερηµένης υποβολής γνωστοποίησης περιστατικού παραβίασης δεδοµένων προσωπικού χαρακτήρα.

Επιμέλεια: Βασιλική Γεωργίου / Επιστημονική Συνεργάτης e-Θέμις

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.