Αποστολή προσωπικών δεδομένων σε λάθος παραλήπτες. Αντιμετώπιση.

Κατά την διάρκεια της άσκησης των εργασιακών μας καθηκόντων οφείλουμε να ενεργούμε υπεύθυνα, με επαγγελματισμό και να είμαστε προσεκτικοί, ειδικότερα δέ όσον αφορά τον χειρισμό και την επεξεργασία   δεδομένων προσωπικού χαρακτήρα.

Είναι γεγονός ότι με την έλευση του Γενικού Κανονισμού Προστασίας Δεδομένων (ΕΕ) 2016/679 (στο εφεξής ο «Κανονισμός»), όλοι μας έχουμε γίνει ακόμη πιο προσεκτικόι όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Όμως, παρόλα αυτά, είμαστε άνθρωποι και πολλές φορές λόγω της βιασύνης μας, της πίεσης και της έντασης στην εργασία, μπορεί να προβούμε σε κάποιο λάθος.

Τι συμβαίνει  στην περίπτωση που έχουμε αποστείλει μήνυμα (μέσω τηλεμοιτύπου ή/και μέσω ηλεκτρονικού ταχυδρομείου ή/και ταχυδρομείου ή/και ταχυμεταφορά)  το οποίο περιέχει δεδομένα προσωπικού χαρακτήρα σε λάθος παραλήπτη;

Είναι δεδομένο ότι όταν είμαστε οι  παραλήπτες τέτοιων μηνυμάτων, η κατάσταση είναι πιο εύκολη και διαχειρίσιμη για εμάς, εφόσον, αν είμαστε ευσυνείδητα άτομα με κατανόηση, θα προβούμε σε άμεση διαγραφή του μηνύματος αφού επιβεβαιωθούμε οτι δεν μας αφορά και το θέμα θα λήξει εκεί.

Τι συμβαίνει όμως  στην περίπτωση όπου εμείς είμαστε αυτοί που κάνουμε  το λάθος;  

Σε τέτοια περίπτωση είναι φυσικό και αναμενόμενο να μας καταβάλουν συναισθήματα πανικού, φόβου και άγχους, εφόσον ένα κατά τα άλλα μικρό, ακούσιο/μή ηθελημένο λάθος, μια απροσεξία της στιγμής (π.χ ένα λάθος ψηφίο σε ένα αριθμό τηλεμοιοτύπου ή μια λανθασμένη επιλογή παραλήπτη από το βιβλίο διευθύνσεών του ηλεκτρονικού ταχυδρομείου), πιθανώς να έχει σοβαρές επιπτώσεις  τόσο για το  Υποκείμενο των Δεδομένων όσο και για εμάς και την επιχείρηση ή/και οργανισμό όπου εργαζόμαστε.

Σε τέτοια περίπτωση σημειώνεται ότι εάν το μήνυμα έχει ήδη σταλεί, και δεν υπάρχει η δυνατότητα της ανάκλησης του (recall message), τότε αυτό που πρέπει να κάνουμε είναι με ψυχραιμία και χωρίς πανικό να επικοινωνήσουμε άμεσα με τον παραλήπτη  του μηνύματος (μόλις αντιληφθούμε το λάθος), να απολογηθούμε, να του εξηγήσουμε ότι έγινε λάθος και να ζητήσουμε την άμεση διαγραφή του μηνύματος, ώστε να αποκλείσουμε την πιθανότητα περαιτέρω διασποράς των δεδομένων αυτών σε άλλα πρόσωπα.

Είναι επίσης σημαντικό να μιλήσουμε στον υπέυθυνο προστασίας δεδομένων του γραφείου (DPO) (άν υπάρχει), στο αφεντικό μας και σε συναδέλφους μας  ώστε να υπάρχει διαφάνεια και να είναι  ενήμεροι για το περιστατικό.

Στην συνέχεια, θα πρέπει να γίνει μία  έγγραφη αξιολόγηση των κινδύνων που ενέχει η παράβαση αυτή στα δικαιώματα και στις ελευθερίες του Υποκειμένου Δεδομένων.

Κατα την αξιολόγηση αυτή πρέπει να λαμβάνεται υπόψιν ο αριθμός των υποκειμένων δεδομένων των οποίων τα προσωπικά δεδομένα έχουν παραβιαστεί, ο αριθμός των παραληπτών (π.χ είναι διαφορετικό να στάλθηκαν σε ένα πρόσωπο και διαφορετικό να στάλθηκαν σε πολλούς ή/και να δημοσιοποιήθηκαν), το είδος των προσωπικών δεδομένων (εάν αυτά είναι ευαίσθητα πιθανώς να οδηγήσουν σε  διάκριση εναντίον του Υποκειμένου π.χ λόγω των πολιτικών του απόψεων ή/και της σεξουαλικής του προτίμησης ή/και της συμμετοχής του σε συνδικαλιστική οργάνωση και άρα πιθανόν να  θέτουν σε κίνδυνο τα δικαιώματα και τις ελευθερίες του).

Η αιτιολογική σκέψη υπ’ αριθμόν 75 του Κανονισμού προνοεί τα εξής:

«The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects».

Σε περίπτωση που από το περιστατικό ενδέχεται να προκληθεί κίνδυνος στα δικαιώματα και τις ελευθερίες των προσώπων τα οποία αυτό αφορά, οι υπεύθυνοι επεξεργασίας  οφείλουν να γνωστοποιήσουν το εν λόγω περιστατικό στην Εποπτική  Αρχή εντός 72 ωρών απο τότε που έλαβαν γνώση της παράβασης (άρθρο 33 του Κανονισμού).

Εάν όμως απο την αξιολόγηση  προκύπτει ότι  απο την παράβαση δέν υπόκεινται σε κάποιο κίνδυνο τα δικαιώματα και  οι ελευθερίες των υποκείμενων δεδομένων, τότε δέν χρειάζεται να ειδοποιηθεί η Εποπτική Αρχή.

Το άρθρο 33 του Κανονισμού προνοεί τα εξής:

«1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση. 2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα. 3. Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 κατ’ ελάχιστο: α) περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα, β) ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες, γ) περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα, δ) περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. 4. Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση. 5. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, που συνίστανται στα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο»

Η γνωστοποίηση στην Εποπτική Αρχή θα πρέπει να περιέχει συγκεκριμένες πληροφορίες (π.χ. φύση/έκταση του περιστατικού, κατηγορίες προσώπων που επλήγησαν, αιτία και συνέπειες αυτού, ενέργειες που έγιναν προς αντιμετώπισή του, κ.ά.).

Επίσης, σε περίπτωση που οι παραβιάσεις είναι υψηλού βαθμού επικινδυνότητας  (δηλαδή ενδέχεται να θέσουν σε υψηλό  κίνδυνο το υποκείμενο) τότε θα πρέπει να ενημερώνεται και το Υποκείμενο των Δεδομένων, χωρίς καθυστέρηση (άρθρο 34 Κανονισμού).

Το άρθρο 34 του Κανονισμού προνοεί τα εξής.

«1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων. 2. Στην ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 του παρόντος άρθρου περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 33 παράγραφος 3 στοιχεία β), γ) και δ). 3. Η ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 δεν απαιτείται, εάν πληρείται οποιαδήποτε από τις ακόλουθες προϋποθέσεις: α) ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα προσωπικού χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση, β) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο αναφερόμενος στην παράγραφο 1 υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, γ) προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται αντ’ αυτής δημόσια ανακοίνωση ή υπάρχει παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο. 4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ήδη ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, η εποπτική αρχή μπορεί, έχοντας εξετάσει την πιθανότητα επέλευσης υψηλού κινδύνου από την παραβίαση των δεδομένων προσωπικού χαρακτήρα, να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι πληρούται οποιαδήποτε από τις προϋποθέσεις που αναφέρονται στην παράγραφο 3.»

Σε κάθε περίπτωση τονίζεται ότι όσον αφορά τον Κανονισμό η πρόληψη είναι η καλύτερη θεραπεία.

Τα πιο πάνω δέν αποτελούν νομική συμβουλή.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: