Μάθατε ότι μια εταιρεία που διατηρούσε τα προσωπικά σας δεδομένα υπέστη κυβερνοεπίθεση. Λάβατε email από οργανισμό που σας ενημερώνει ότι «ενδέχεται» να εκτέθηκαν στοιχεία σας. Ανακαλύψατε ότι τα δεδομένα σας χρησιμοποιούνται χωρίς άδεια για εμπορική επικοινωνία ή ότι προσωπικές σας πληροφορίες διαβιβάστηκαν σε τρίτους χωρίς νόμιμη βάση.
Η παραβίαση προσωπικών δεδομένων δεν είναι απλώς ένα τεχνικό περιστατικό. Μπορεί να αποτελεί σοβαρή προσβολή ενός θεμελιώδους δικαιώματος και να έχει πραγματικές συνέπειες: απώλεια ελέγχου των στοιχείων σας, κίνδυνο απάτης, ανεπιθύμητη εμπορική χρήση, έκθεση ευαίσθητων πληροφοριών ή βλάβη στην προσωπική και επαγγελματική σας ζωή.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων — GDPR παρέχει συγκεκριμένα δικαιώματα στα υποκείμενα των δεδομένων και επιβάλλει αυστηρές υποχρεώσεις στους οργανισμούς που συλλέγουν, αποθηκεύουν και επεξεργάζονται προσωπικά δεδομένα.
Τι Είναι το GDPR και Τι Προστατεύει
Ο Γενικός Κανονισμός Προστασίας Δεδομένων — Κανονισμός (ΕΕ) 2016/679 — εφαρμόζεται από τον Μάιο του 2018 σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένης της Ελλάδας. Ρυθμίζει τον τρόπο με τον οποίο δημόσιοι φορείς, επιχειρήσεις, οργανισμοί και επαγγελματίες συλλέγουν, αποθηκεύουν, χρησιμοποιούν, διαβιβάζουν και διαγράφουν προσωπικά δεδομένα.
Προσωπικά δεδομένα είναι κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Τέτοια δεδομένα μπορεί να είναι το όνομα, το email, ο αριθμός τηλεφώνου, η διεύθυνση κατοικίας, ο αριθμός ταυτότητας, οικονομικά στοιχεία, στοιχεία υγείας, δεδομένα τοποθεσίας, διαδικτυακά αναγνωριστικά, IP addresses και πληροφορίες που, μόνες τους ή σε συνδυασμό με άλλες, μπορούν να οδηγήσουν στην ταυτοποίηση ενός προσώπου.
Ο GDPR προβλέπει αυξημένη προστασία για ειδικές κατηγορίες δεδομένων, όπως δεδομένα υγείας, βιομετρικά και γενετικά δεδομένα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, πολιτικές απόψεις, συνδικαλιστική συμμετοχή και δεδομένα που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό.
Τι Είναι Παραβίαση Προσωπικών Δεδομένων
Παραβίαση προσωπικών δεδομένων είναι κάθε περιστατικό ασφάλειας που οδηγεί, τυχαία ή παράνομα, σε καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη κοινολόγηση ή πρόσβαση σε προσωπικά δεδομένα.
Δεν απαιτείται πάντοτε κακόβουλη πρόθεση. Μια παραβίαση μπορεί να προκύψει από κυβερνοεπίθεση, αλλά και από ανθρώπινο λάθος, ανεπαρκή μέτρα ασφαλείας ή εσφαλμένη εσωτερική διαδικασία.
Συνηθισμένα παραδείγματα είναι:
Κυβερνοεπίθεση ή hacking σε πληροφοριακά συστήματα εταιρείας.
Αποστολή email με προσωπικά δεδομένα σε λάθος παραλήπτη.
Απώλεια laptop, κινητού ή USB που περιέχει μη προστατευμένα προσωπικά δεδομένα.
Μη εξουσιοδοτημένη πρόσβαση εργαζομένου σε αρχεία πελατών, ασθενών ή συναδέλφων.
Παράνομη διαβίβαση ή πώληση βάσης δεδομένων πελατών.
Δημοσιοποίηση εγγράφων ή αρχείων που περιέχουν προσωπικά στοιχεία χωρίς νόμιμη βάση.
Τι Υποχρεούται να Κάνει ο Υπεύθυνος Επεξεργασίας
Όταν συμβεί παραβίαση προσωπικών δεδομένων, ο οργανισμός που καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας — δηλαδή ο υπεύθυνος επεξεργασίας — έχει συγκεκριμένες υποχρεώσεις.
Γνωστοποίηση στην εποπτική αρχή
Ο υπεύθυνος επεξεργασίας οφείλει, κατά κανόνα, να γνωστοποιήσει την παραβίαση στην αρμόδια εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και, εφόσον είναι εφικτό, εντός 72 ωρών από τότε που έλαβε γνώση της παραβίασης.
Στην Ελλάδα, αρμόδια εποπτική αρχή είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα — ΑΠΔΠΧ.
Δεν γνωστοποιείται κάθε περιστατικό υποχρεωτικά στην Αρχή. Αν η παραβίαση δεν είναι πιθανό να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, μπορεί να μην απαιτείται γνωστοποίηση. Απαιτείται, όμως, αξιολόγηση και τεκμηρίωση του περιστατικού.
Ενημέρωση των υποκειμένων των δεδομένων
Αν η παραβίαση είναι πιθανό να προκαλέσει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας οφείλει να ενημερώσει και τα πρόσωπα που επηρεάζονται, χωρίς αδικαιολόγητη καθυστέρηση.
Η ενημέρωση πρέπει να είναι σαφής και κατανοητή. Δεν αρκεί μια γενικόλογη ανακοίνωση ή μια τυπική συγγνώμη. Το υποκείμενο πρέπει, κατά περίπτωση, να μπορεί να καταλάβει τι συνέβη, ποια δεδομένα ενδέχεται να επηρεάστηκαν, ποιες είναι οι πιθανές συνέπειες και ποια μέτρα μπορεί να λάβει.
Τεκμηρίωση και διορθωτικά μέτρα
Ο υπεύθυνος επεξεργασίας οφείλει να τεκμηριώσει την παραβίαση, να καταγράψει τα πραγματικά περιστατικά, τις συνέπειες και τα μέτρα που έλαβε για την αντιμετώπισή της.
Η τεκμηρίωση είναι κρίσιμη, γιατί η συμμόρφωση με τον GDPR δεν αρκεί να δηλώνεται· πρέπει να μπορεί και να αποδεικνύεται.
Τα Δικαιώματά σας ως Θύμα Παραβίασης Προσωπικών Δεδομένων
Δικαίωμα ενημέρωσης και πρόσβασης
Μπορείτε να ζητήσετε από τον οργανισμό να σας ενημερώσει ποια προσωπικά δεδομένα σας επεξεργάζεται, για ποιον σκοπό, με ποια νομική βάση, για πόσο χρόνο τα διατηρεί και σε ποιους αποδέκτες τα έχει διαβιβάσει.
Σε περίπτωση παραβίασης, το δικαίωμα πρόσβασης μπορεί να είναι καθοριστικό, γιατί βοηθά να διαπιστωθεί ποια δεδομένα επηρεάστηκαν και ποιοι κίνδυνοι υπάρχουν.
Δικαίωμα διόρθωσης, διαγραφής και περιορισμού επεξεργασίας
Ανάλογα με την περίπτωση, μπορείτε να ζητήσετε διόρθωση ανακριβών δεδομένων, διαγραφή δεδομένων που δεν πρέπει πλέον να τηρούνται ή περιορισμό της επεξεργασίας.
Το λεγόμενο «δικαίωμα στη λήθη» δεν εφαρμόζεται αυτόματα σε κάθε περίπτωση. Εξαρτάται από τη νομική βάση της επεξεργασίας, τον σκοπό για τον οποίο τηρούνται τα δεδομένα και τυχόν νόμιμες υποχρεώσεις διατήρησής τους.
Δικαίωμα καταγγελίας στην ΑΠΔΠΧ
Μπορείτε να υποβάλετε καταγγελία στην ΑΠΔΠΧ, όταν θεωρείτε ότι η επεξεργασία των δεδομένων σας παραβιάζει τον GDPR ή την ελληνική νομοθεσία για την προστασία προσωπικών δεδομένων.
Η καταγγελία μπορεί να αφορά, μεταξύ άλλων, παράνομη επεξεργασία, μη ικανοποίηση αιτήματος πρόσβασης ή διαγραφής, μη νόμιμη διαβίβαση δεδομένων, ανεπαρκή ενημέρωση μετά από παραβίαση ή αθέμιτη εμπορική επικοινωνία.
Η ΑΠΔΠΧ μπορεί να διερευνήσει την υπόθεση και, εφόσον διαπιστώσει παράβαση, να επιβάλει διορθωτικά μέτρα ή διοικητικές κυρώσεις.
Δικαίωμα αποζημίωσης
Κάθε πρόσωπο που έχει υποστεί υλική ή μη υλική ζημία λόγω παράβασης του GDPR έχει δικαίωμα να ζητήσει αποζημίωση από τον υπεύθυνο επεξεργασίας ή, κατά περίπτωση, από τον εκτελούντα την επεξεργασία.
Η μη υλική ζημία μπορεί να συνδέεται με άγχος, αναστάτωση, φόβο κατάχρησης των δεδομένων, απώλεια ελέγχου προσωπικών πληροφοριών ή προσβολή της ιδιωτικότητας. Ωστόσο, η αποζημίωση δεν επιδικάζεται αυτομάτως μόνο επειδή υπήρξε παραβίαση. Πρέπει να αποδειχθούν η παράβαση, η ζημία και η αιτιώδης σύνδεση μεταξύ τους.
Δικαστική προστασία
Η καταγγελία στην ΑΠΔΠΧ και η αγωγή αποζημίωσης ενώπιον των πολιτικών δικαστηρίων είναι διακριτές δυνατότητες. Η μία δεν αποκλείει κατ’ ανάγκη την άλλη.
Η επιλογή της κατάλληλης στρατηγικής εξαρτάται από το είδος της παραβίασης, τη βαρύτητα της βλάβης, τα διαθέσιμα αποδεικτικά στοιχεία, τη στάση του οργανισμού και τον στόχο του υποκειμένου των δεδομένων.
Ειδικές Περιπτώσεις που Συναντώνται Συχνά
Διαρροή δεδομένων από εταιρεία ή οργανισμό
Τράπεζες, ασφαλιστικές εταιρείες, τηλεπικοινωνιακοί πάροχοι, νοσοκομεία, ιδιωτικές κλινικές, εκπαιδευτικοί οργανισμοί και e-commerce πλατφόρμες επεξεργάζονται μεγάλο όγκο προσωπικών δεδομένων. Όταν συμβεί παραβίαση, πρέπει να εξεταστεί τι είδους δεδομένα επηρεάστηκαν, πόσα πρόσωπα αφορά η διαρροή, ποια μέτρα ασφαλείας υπήρχαν και πώς αντέδρασε ο οργανισμός.
Παράνομη χρήση δεδομένων από εργοδότη
Η επεξεργασία δεδομένων εργαζομένων πρέπει να περιορίζεται σε ό,τι είναι αναγκαίο και νόμιμο για τη σχέση εργασίας και τη λειτουργία της επιχείρησης. Παρακολούθηση email, χρήση GPS, έλεγχος παραγωγικότητας, κοινοποίηση μισθολογικών ή ιατρικών στοιχείων και χρήση καμερών στον χώρο εργασίας απαιτούν ιδιαίτερη προσοχή, σαφή σκοπό, νόμιμη βάση και προηγούμενη ενημέρωση όπου απαιτείται.
Spam και αθέμιτη εμπορική επικοινωνία
Η αποστολή διαφημιστικών emails, SMS ή άλλων μηνυμάτων χωρίς νόμιμη βάση μπορεί να παραβιάζει τόσο τον GDPR όσο και τον ν. 3471/2006 για τις ηλεκτρονικές επικοινωνίες. Ιδιαίτερη σημασία έχουν η συγκατάθεση, η δυνατότητα εύκολης διαγραφής από λίστες επικοινωνίας και η προηγούμενη σχέση με τον αποστολέα.
Παραβίαση από δημόσιους φορείς
Ο GDPR εφαρμόζεται και στον δημόσιο τομέα. Νοσοκομεία, δήμοι, σχολεία, ασφαλιστικοί φορείς και δημόσιες υπηρεσίες οφείλουν να τηρούν τις αρχές της νομιμότητας, διαφάνειας, ελαχιστοποίησης, ασφάλειας και λογοδοσίας κατά την επεξεργασία προσωπικών δεδομένων.
Τι Πρέπει να Κάνετε Άμεσα αν Υποψιάζεστε Παραβίαση
Πρώτα, τεκμηριώστε. Αποθηκεύστε κάθε email, επιστολή, ειδοποίηση, screenshot, μήνυμα ή άλλο στοιχείο που αποδεικνύει τι συνέβη και πότε το πληροφορηθήκατε.
Δεύτερον, ζητήστε γραπτή ενημέρωση από τον οργανισμό. Μπορείτε να ζητήσετε να σας εξηγήσει ποια δεδομένα επηρεάστηκαν, ποια ήταν η αιτία της παραβίασης, ποια μέτρα ελήφθησαν και ποιοι είναι οι πιθανοί κίνδυνοι.
Τρίτον, λάβετε πρακτικά μέτρα προστασίας. Αν η παραβίαση αφορά στοιχεία πρόσβασης, οικονομικά δεδομένα ή στοιχεία ταυτοποίησης, μπορεί να χρειαστεί αλλαγή κωδικών, ενεργοποίηση διπλής ταυτοποίησης, ειδοποίηση τράπεζας ή αυξημένη προσοχή σε phishing μηνύματα.
Τέταρτον, αξιολογήστε νομικά τις επιλογές σας. Αν η παραβίαση είναι σοβαρή, αν ο οργανισμός δεν απαντά επαρκώς ή αν έχετε υποστεί βλάβη, μπορεί να χρειαστεί καταγγελία στην ΑΠΔΠΧ, εξώδικη όχληση ή αγωγή αποζημίωσης.
Συχνές Ερωτήσεις για Παραβίαση GDPR
Δικαιούμαι αποζημίωση ακόμη κι αν δεν υπέστην οικονομική ζημία;
Ναι, είναι δυνατόν να ζητηθεί αποζημίωση και για μη υλική ζημία. Δεν απαιτείται απαραίτητα οικονομική απώλεια. Ωστόσο, δεν αρκεί η απλή ύπαρξη παράβασης. Πρέπει να αποδεικνύεται ότι η παράβαση προκάλεσε συγκεκριμένη υλική ή μη υλική ζημία, όπως αναστάτωση, άγχος, απώλεια ελέγχου δεδομένων ή φόβο κατάχρησης, ανάλογα με τις περιστάσεις.
Ποια είναι η προθεσμία για να υποβάλω καταγγελία στην ΑΠΔΠΧ;
Ο GDPR δεν προβλέπει μια ενιαία σύντομη αποκλειστική προθεσμία για την υποβολή καταγγελίας στην εποπτική αρχή από το υποκείμενο των δεδομένων. Παρ’ όλα αυτά, η έγκαιρη ενέργεια είναι σημαντική, γιατί διευκολύνει τη διερεύνηση και την απόδειξη των πραγματικών περιστατικών.
Για την άσκηση αγωγής αποζημίωσης απαιτείται ιδιαίτερη αξιολόγηση της εφαρμοστέας παραγραφής, ανάλογα με τη νομική βάση της αξίωσης και τα πραγματικά περιστατικά της υπόθεσης.
Μπορώ να υποβάλω καταγγελία αν δεν γνωρίζω ακριβώς ποια δεδομένα διέρρευσαν;
Ναι. Δεν απαιτείται να έχετε πλήρη τεχνική εικόνα του περιστατικού για να απευθυνθείτε στην ΑΠΔΠΧ ή να ασκήσετε τα δικαιώματά σας προς τον οργανισμό. Είναι, όμως, σημαντικό να συγκεντρώσετε όσα στοιχεία έχετε και να ζητήσετε συγκεκριμένη γραπτή ενημέρωση.
Τι πρόστιμα μπορεί να επιβάλει η ΑΠΔΠΧ;
Ανάλογα με το είδος και τη βαρύτητα της παράβασης, τα διοικητικά πρόστιμα μπορούν να φτάσουν έως 10 εκατομμύρια ευρώ ή έως 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών για ορισμένες παραβάσεις, και έως 20 εκατομμύρια ευρώ ή έως 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών για σοβαρότερες παραβάσεις, όποιο ποσό είναι υψηλότερο.
Στην πράξη, το ύψος του προστίμου εξαρτάται από πολλούς παράγοντες, όπως η φύση, η βαρύτητα και η διάρκεια της παράβασης, ο αριθμός των προσώπων που επηρεάστηκαν, ο βαθμός υπαιτιότητας, τα μέτρα που ελήφθησαν και η συνεργασία με την εποπτική αρχή.
Ισχύει το GDPR και για μικρές επιχειρήσεις;
Ναι. Ο GDPR εφαρμόζεται και σε μικρές επιχειρήσεις, εφόσον επεξεργάζονται προσωπικά δεδομένα. Το μέγεθος της επιχείρησης μπορεί να λαμβάνεται υπόψη στην αξιολόγηση των κατάλληλων μέτρων συμμόρφωσης, αλλά δεν αποτελεί γενική εξαίρεση από την εφαρμογή του Κανονισμού.
Αν η παραβίαση έγινε από εταιρεία του εξωτερικού, μπορώ να κάνω κάτι;
Ναι, εφόσον υπάρχει εφαρμογή του GDPR. Ο Κανονισμός μπορεί να εφαρμόζεται και σε εταιρείες εκτός Ευρωπαϊκής Ένωσης, όταν προσφέρουν αγαθά ή υπηρεσίες σε πρόσωπα που βρίσκονται στην ΕΕ ή παρακολουθούν τη συμπεριφορά τους εντός της ΕΕ. Ανάλογα με την περίπτωση, μπορεί να υποβληθεί καταγγελία στην ΑΠΔΠΧ ή να ενεργοποιηθεί ο μηχανισμός συνεργασίας με την αρμόδια εποπτική αρχή άλλου κράτους μέλους.
Συνεργαστείτε με Εξειδικευμένο Δικηγορικό Γραφείο
Μια παραβίαση προσωπικών δεδομένων δεν είναι απλώς τεχνικό πρόβλημα. Μπορεί να επηρεάσει την ιδιωτικότητα, την οικονομική ασφάλεια, την επαγγελματική φήμη και την καθημερινότητα του προσώπου που θίγεται.
Το γραφείο μας παρέχει εξειδικευμένη νομική υποστήριξη σε υποθέσεις παραβίασης GDPR, διαρροής προσωπικών δεδομένων, παράνομης επεξεργασίας, αθέμιτης εμπορικής επικοινωνίας, παραβίασης δικαιωμάτων υποκειμένων και αγωγών αποζημίωσης λόγω προσβολής προσωπικών δεδομένων.
Αναλαμβάνουμε την αξιολόγηση του περιστατικού, τη συλλογή και οργάνωση αποδεικτικών στοιχείων, τη σύνταξη αιτημάτων προς υπευθύνους επεξεργασίας, την υποβολή καταγγελιών ενώπιον της ΑΠΔΠΧ και, όπου απαιτείται, την άσκηση αγωγών αποζημίωσης ενώπιον των αρμόδιων δικαστηρίων.
Σε τέτοιες υποθέσεις, η ταχύτητα έχει σημασία, αλλά η ακρίβεια έχει ακόμη μεγαλύτερη σημασία. Η σωστή νομική αξιολόγηση από την αρχή μπορεί να καθορίσει αν μια υπόθεση θα περιοριστεί σε ένα τυπικό αίτημα ή θα εξελιχθεί σε ουσιαστική διεκδίκηση δικαιωμάτων.
Το παρόν άρθρο έχει καθαρά ενημερωτικό χαρακτήρα και δεν συνιστά νομική συμβουλή. Κάθε υπόθεση απαιτεί εξατομικευμένη αξιολόγηση, με βάση τα συγκεκριμένα πραγματικά περιστατικά και το ισχύον νομικό πλαίσιο. Για εξειδικευμένη συμβουλή, παρακαλούμε επικοινωνήστε με το γραφείο μας.
No comment