Πότε να κοινοποιήσω ένα συμβάν στην εποπτική αρχή;
Του Κώστα Αργυρόπουλου, Υπεύθυνου Ασφαλείας και Προσωπικών Δεδομένων
Σύμφωνα με το άρθρο 33 του Γενικού Κανονισμού Προστασίας Δεδομένων, «σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και αν είναι δυνατόν, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.
Τα παρακάτω παραδείγματα αποτελούν πιθανά σενάρια παραβίασης/απώλειας δεδομένων που ενδέχεται να συμβούν σε ένα ασφαλιστικό γραφείο. Στόχος είναι να κατανοήσουμε πότε πρέπει να κοινοποιούμε ένα συμβάν προς την ασφαλιστική εταιρεία με την οποία συνεργαζόμαστε, την Εποπτική Αρχή και τους πελάτες των οποίων τα δεδομένα έχουν επηρεαστεί.
Η σημασία των προληπτικών μέτρων προστασίας που πρέπει να λαμβάνουμε για τη φύλαξη των δεδομένων αναδεικνύεται ως μείζον ζήτημα σε κάθε σενάριο και γίνεται σαφές πώς τα μέτρα αυτά μπορούν να ελαχιστοποιήσουν τις συνέπειες σε κάθε περίπτωση παραβίασης.
Σενάριο 1:
Ένα ασφαλιστικός διαμεσολαβητής αποθηκεύει ένα αντίγραφο ασφαλείαs ενός αρχείου προσωπικών δεδομένων κρυπτογραφημένο σε ενα USB. Το USB κλέβεται στο πλαίσιο μιας διάρρηξης.
Απάντηση:
Δε χρειάζεται να κοινοποιήσετε το συμβάν στο μέτρο που τα δεδομένα είναι κρυπτογραφημένα με έναν αλγόριθμο τελευταίας τεχνολογίας, τηρούνται αντίγραφα ασφαλείας των δεδομένων (backup) και τα δεδομένα μπορούν να αποκατασταθούν εγκαίρως. Εντούτοις, εάν τα προσωπικά δεδομένα στο USB δεν είναι κρυπτογραφημένα, απαιτείται γνωστοποίηση.
Σενάριο 2:
Ένας ασφαλιστικός διαμεσολαβητής δέχεται κυβερνοεπίθεση με αποτέλεσμα να παραβιαστούν προσωπικά δεδομένα φυσικών προσώπων.
Απάντηση:
Ναι, οφείλετε να γνωστοποιήσετε την παραβίαση στον Υπεύθυνο Προστασίας Δεδομένων (DΡΟ) της εταιρείας ώστε να αξιολογήσει εάν υπάρχουν πιθανές συνέπειες για τα φυσικά πρόσωπα, τη σοβαρότητα αυτών καθώς και τη φύση των υπό παραβίαση προσωπικών δεδομένων. Σε κάθε περίπτωση ο DΡΟ θα γνωστοποιήσει τηv παραβίαση στην εποπτική αρχή και στα υποκείμενα των δεδομένων λαμβάνοντας υπόψη τη σοβαρότητα της παραβίασης.
Σενάριο 3:
Μια διακοπή ρεύματος στο τηλεφωνικό κέντρο ενός ασφαλιστικού διαμεσολαβητή διαρκεί αρκετή ώρα, το οποίο σημαίνει ότι οι πελάτες δεν μπορούν να καλέσουν για να ενημερωθούν για τα προσωπικά δεδομένα και υποθέσεις τους.
Απάντηση:
Δεν πρόκειται για παραβίαση προσωπικών δεδομένων που υπόκειται σε γνωστοποίηση.
Σενάριο 4:
Ένας Διαμεσολαβητής υφίσταται μία επίθεση από κακόβουλο λογισμικό ransomware που έχει ως αποτέλεσμα την κρυπτογράφηση όλων των δεδομένων. Δεν υπάρχουν διαθέσιμα αντίγραφα ασφαλείας και δεν είναι δυνατή η αποκατάσταση των δεδομένων. Κατά την έρευνα, καθίσταται σαφές ότι η μοναδική λειτουργικότητα του ransomware ήταν να κρυπτογραφεί τα δεδομένα και ότι δεν υπήρχε άλλο κακόβουλο λογισμικό στο σύστημα.
Απάντηση:
Εάν υπάρχει ένα εφεδρικό αντίγραφο (backup) και τα δεδομένα μπορούν να ανακτηθούν εγκαίρως, η παραβίαση δε χρειάζεται να γνωστοποιηθεί, καθώς δεν υπάρχει μόνιμη απώλεια διαθεσιμότητας ή εμπιστευτικότητας. Διαφορετικά, προχωρήστε σε γνωστοποίηση προς τον DPO της εταιρείας.
Σενάριο 5:
Ένα φυσικό πρόσωπο καλεί στο τηλεφωνικό κέντρο του ασφαλιστικού διαμεσολαβητή για να αναφέρει παραβίαση δεδομένων. Το φυσικό πρόσωπο έχει λάβει προσωπικά δεδομένα άλλου ατόμου.
Απάντηση:
Εάν μετά από περαιτέρω διερεύνηση διαπιστωθεί ότι επηρεάζονται περισσότερα πρόσωπα, πρέπει να γνωστοποιηθεί στην ασφαλιστική εταιρεία και κατ’ επέκταση στην εποπτική αρχή και τους πελάτες που έχουν επηρεαστεί. Επίσης, εάν υπάρχει η πιθανότητα να έχουν επηρεαστεί και άλλα πρόσωπα, ο διαμεσολαβητής πρέπει να προχωρήσει στη γνωστοποίηση και προς αυτά.
Σενάρια 6:
Δεδομένα που αφορούν υποθέσεις αποζημιώσεων ενός αριθμού πελατών αποστέλλονται σε λάθος αποδέκτη.
Απάντηση:
Ναι, απαιτείται γνωστοποίηση ανάλογα πάντα με τη φύση των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στην αποστολή και εφόσον η σοβαρότητα των δυνητικών συνεπειών για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα είναι υψηλή.
Σενάρια 7:
Ένα μήνυμα άμεσου μάρκετινγκ αποστέλλεται μέσω ηλεκτρονικού ταχυδρομείου. Οι διευθύνσεις των παραληπτών είναι εμφανείς σε όλους καθώς εκ παραδρομής δε γίνεται «Ιδιαίτερη Κοινοποίηση» / «Bcc».
Απάντηση:
Η γνωστοποίηση ενδέχεται να μην είναι απαραίτητη εάν δεν αποκαλυφθούν προσωπικά δεδομένα ή αν έχει αποκαλυφθεί μόνο ένας μικρός αριθμός διευθύνσεων ηλεκτρονικού ταχυδρομείου. Εάν η λίστα περιέχει δεδομένα όπως αριθμούς τηλεφώνων, διευθύνσεις κατοικίας ή άλλα προσωπικά δεδομένα πρέπει να γνωστοποιηθεί.
*Αναδημοσίευση από το Ydrogios Voice: Το περιοδικό της Υδρογείου Ασφαλιστική – Τεύχος 19
No comment yet, add your voice below!