Τι να κάνετε εάν συμβεί διαρροή προσωπικών δεδομένων; Εξηγούμε τις διοικητικές ενέργειες που πρέπει να λάβει μια εταιρεία

Με την ανάπτυξη του διαδικτύου και τη δυνατότητα ανταλλαγής πληροφοριών σε απευθείας σύνδεση, οι περιπτώσεις ακούσιας διαρροής σημαντικών εταιρικών πληροφοριών έχουν αυξηθεί.

Στα τελευταία χρόνια, καθώς η αξία των πληροφοριών αυξάνεται, μια περίπτωση διαρροής πληροφοριών μπορεί να οδηγήσει σε σοβαρά προβλήματα απώλειας εμπιστοσύνης. Οι επιχειρήσεις πρέπει να αντιδρούν γρήγορα και κατάλληλα σε περιπτώσεις διαρροής πληροφοριών.

Εδώ θα αναλύσουμε λεπτομερώς τις ενέργειες που πρέπει να πραγματοποιήσει μια επιχείρηση σε περίπτωση διαρροής πληροφοριών, εστιάζοντας κυρίως στην αντίδραση από την πλευρά των διοικητικών αρχών.

Απαιτείται επίσης διοικητική ανταπόκριση σε περιπτώσεις διαρροής πληροφοριών

Η διαρροή πληροφοριών διαφέρει ανάλογα με το περιεχόμενο και τη σημασία των πληροφοριών. Όταν συμβαίνει μια διαρροή πληροφοριών, η ανάγκη για διοικητική ανταπόκριση προκύπτει όταν διαρρέουν προσωπικά δεδομένα.

Η ορισμός των προσωπικών δεδομένων καθορίζεται στο άρθρο 2, παράγραφος 1 του Νόμου για την Προστασία Προσωπικών Δεδομένων (εφεξής αναφερόμενος ως “Νόμος Προστασίας Προσωπικών Δεδομένων”).

(Ορισμός)
Άρθρο 2. Σε αυτόν τον νόμο, ο όρος “προσωπικά δεδομένα” αναφέρεται σε πληροφορίες που αφορούν ένα ζωντανό άτομο και που αντιστοιχούν σε οποιοδήποτε από τα ακόλουθα στοιχεία:
α. Πληροφορίες που περιέχουν όνομα, ημερομηνία γέννησης ή άλλες περιγραφές κλπ. (συμπεριλαμβανομένων εγγράφων, σχεδίων ή ηλεκτρονικών εγγραφών (ηλεκτρονικές, μαγνητικές ή άλλες μορφές που δεν μπορούν να αναγνωριστούν από την ανθρώπινη αντίληψη, όπως αναφέρεται στο επόμενο σημείο 2. Το ίδιο ισχύει και εδώ.) που καταγράφονται ή εκφράζονται μέσω φωνής, κινήσεων ή άλλων μεθόδων, που αποκλείουν τους κωδικούς αναγνώρισης του ατόμου.
β. Πληροφορίες που περιέχουν κωδικούς αναγνώρισης του ατόμου.

e-GOV｜Νόμος Προστασίας Προσωπικών Δεδομένων[ja]

Οι πληροφορίες που αντιστοιχούν στον παραπάνω ορισμό θεωρούνται προσωπικά δεδομένα και υπόκεινται στην προστασία που παρέχεται από τον Νόμο Προστασίας Προσωπικών Δεδομένων.

Σχετικό άρθρο: Τι είναι ο Νόμος Προστασίας Προσωπικών Δεδομένων και τα προσωπικά δεδομένα; Εξηγεί ένας δικηγόρος[ja]

Επιπλέον, όταν συμβαίνει μια διαρροή πληροφοριών, οι εταιρείες πρέπει να αντιδράσουν με διάφορους τρόπους, όχι μόνο με διοικητική ανταπόκριση αλλά και με την αποκάλυψη πληροφοριών όπου απαιτείται. Για περισσότερες πληροφορίες, δείτε το παρακάτω άρθρο.

Σχετικό άρθρο: Τι πρέπει να κάνει μια εταιρεία όταν συμβαίνει διαρροή πληροφοριών[ja]

Υποχρέωση Αναφοράς Διαρροής Προσωπικών Δεδομένων

Οι επιχειρήσεις που χειρίζονται προσωπικά δεδομένα έχουν την υποχρέωση να αναφέρουν στην Επιτροπή Προστασίας Προσωπικών Δεδομένων όταν προκύψει κάποια κατάσταση διαρροής ή πιθανής διαρροής προσωπικών δεδομένων, ανάλογα με τις συνθήκες που έχουν προκύψει.

Πριν από την 1η Απριλίου του 2022 (Reiwa 4), η αναφορά στην Επιτροπή Προστασίας Προσωπικών Δεδομένων σε περίπτωση διαρροής ή πιθανής διαρροής δεν ήταν υποχρεωτική, αλλά συνιστώταν. Με την τροποποίηση του Νόμου Προστασίας Προσωπικών Δεδομένων, από την 1η Απριλίου του 2022 και μετά, η αναφορά έγινε υποχρεωτική.

Ο όρος “επιχειρήσεις που χειρίζονται προσωπικά δεδομένα” αναφέρεται σε εκείνους που χρησιμοποιούν βάσεις δεδομένων προσωπικών πληροφοριών για επαγγελματικούς σκοπούς (Άρθρο 16, Παράγραφος 2 του Νόμου Προστασίας Προσωπικών Δεδομένων). Ωστόσο, κρατικοί οργανισμοί, τοπικές αυτοδιοικητικές οντότητες, ανεξάρτητες διοικητικές νομικές πρόσωπα και τοπικά ανεξάρτητα διοικητικά νομικά πρόσωπα δεν περιλαμβάνονται στις επιχειρήσεις που χειρίζονται προσωπικά δεδομένα.

Ο όρος “βάσεις δεδομένων προσωπικών πληροφοριών κλπ.” αναφέρεται σε συλλογές πληροφοριών που περιέχουν προσωπικά δεδομένα, οι οποίες δεν έχουν καθοριστεί με διάταγμα ως λιγότερο πιθανό να βλάψουν τα δικαιώματα και τα συμφέροντα των ατόμων, και πληρούν ένα από τα δύο ακόλουθα κριτήρια (Άρθρο 16, Παράγραφος 1 του Νόμου Προστασίας Προσωπικών Δεδομένων):

• Συστηματικά δομημένες έτσι ώστε να είναι δυνατή η αναζήτηση συγκεκριμένων προσωπικών δεδομένων μέσω ηλεκτρονικού υπολογιστή
• Συστηματικά δομημένες έτσι ώστε να είναι δυνατή η εύκολη αναζήτηση συγκεκριμένων προσωπικών δεδομένων

Οι επιχειρήσεις που χρησιμοποιούν βάσεις δεδομένων προσωπικών πληροφοριών για επαγγελματικούς σκοπούς έχουν την υποχρέωση να αναφέρουν στην Επιτροπή Προστασίας Προσωπικών Δεδομένων.

Σχετικό Άρθρο: Εξηγήσεις σχετικά με τα “Καθήκοντα των Επιχειρήσεων” στον Αναθεωρημένο Νόμο Προστασίας Προσωπικών Δεδομένων του 2022[ja]

Τέσσερις περιπτώσεις που απαιτούν αναφορά στην Επιτροπή Προστασίας Προσωπικών Δεδομένων

Υπάρχουν τέσσερις περιπτώσεις που καθορίζονται ως απαραίτητες για να γίνει αναφορά στην Επιτροπή Προστασίας Προσωπικών Δεδομένων, όταν συμβεί διαρροή προσωπικών δεδομένων (Κανονισμός Εφαρμογής του Νόμου για την Προστασία Προσωπικών Δεδομένων, Άρθρο 7).

1. Όταν συμβεί ή υπάρχει πιθανότητα να συμβεί διαρροή προσωπικών δεδομένων που περιλαμβάνουν ευαίσθητες πληροφορίες.
2. Όταν συμβεί ή υπάρχει πιθανότητα να συμβεί διαρροή προσωπικών δεδομένων που μπορεί να οδηγήσει σε οικονομική ζημία εάν χρησιμοποιηθούν παράνομα.
3. Όταν συμβεί ή υπάρχει πιθανότητα να συμβεί διαρροή προσωπικών δεδομένων με παράνομο σκοπό.
4. Όταν συμβεί ή υπάρχει πιθανότητα να συμβεί διαρροή προσωπικών δεδομένων που αφορούν περισσότερα από 1.000 άτομα.

Παρακάτω, περιγράφουμε αυτές τις περιπτώσεις.

Διαρροή Ευαίσθητων Προσωπικών Δεδομένων

Ο όρος “ευαίσθητα προσωπικά δεδομένα” αναφέρεται σε πληροφορίες που απαιτούν ιδιαίτερη προσοχή στην επεξεργασία τους, ώστε να μην προκύψει άδικη διάκριση, προκατάληψη ή άλλο μειονέκτημα για το άτομο, όπως ορίζεται από τον αντίστοιχο διάταγμα.

Για παράδειγμα, οι πληροφορίες που αφορούν το ιατρικό ιστορικό ενός εργαζομένου από τα αποτελέσματα μιας ιατρικής εξέτασης, θεωρούνται ευαίσθητα προσωπικά δεδομένα.

Διαρροή Προσωπικών Δεδομένων που Μπορεί να Προκαλέσει Οικονομική Ζημία

Εδώ καθορίζονται οι περιπτώσεις διαρροής προσωπικών δεδομένων που, εάν χρησιμοποιηθούν παράνομα, μπορεί να προκύψει οικονομική ζημία.

Ένα συγκεκριμένο παράδειγμα είναι όταν μια εταιρεία διαρρέει πληροφορίες πιστωτικών καρτών πελατών.

Διαρροή Προσωπικών Δεδομένων με Παράνομο Σκοπό

Αυτή η περίπτωση αφορά τη διαρροή προσωπικών δεδομένων από κάποιον που έχει παράνομο σκοπό.

Για παράδειγμα, όταν ένας τρίτος ή ένας εργαζόμενος της εταιρείας προσπαθεί να χρησιμοποιήσει προσωπικά δεδομένα για παράνομους σκοπούς και προκαλεί διαρροή δεδομένων μέσω παράνομης πρόσβασης στο δίκτυο της εταιρείας.

Μαζική Διαρροή Προσωπικών Δεδομένων

Αυτή η περίπτωση αφορά διαρροή προσωπικών δεδομένων που σχετίζονται με περισσότερα από 1.000 άτομα.

Εταιρείες που διαχειρίζονται μεγάλο όγκο προσωπικών δεδομένων πρέπει να είναι ιδιαίτερα προσεκτικές, καθώς υπάρχει ο κίνδυνος μαζικής διαρροής δεδομένων.

Αναφορά στην Επιτροπή Προστασίας Προσωπικών Δεδομένων κατά τη Διαρροή Πληροφοριών

Σε περίπτωση που απαιτείται αναφορά στην Επιτροπή Προστασίας Προσωπικών Δεδομένων, θα πρέπει να γίνει αναφορά των θεμάτων που ορίζονται στο Άρθρο 8, Παράγραφος 1 του Κανονισμού Εφαρμογής του Νόμου για την Προστασία Προσωπικών Δεδομένων.

(Αναφορά στην Επιτροπή Προστασίας Προσωπικών Δεδομένων)
Άρθρο 8: Οι επιχειρήσεις που χειρίζονται προσωπικά δεδομένα, κατά την αναφορά που προβλέπεται από το άρθρο 26, παράγραφος 1 του Νόμου, πρέπει να αναφέρουν άμεσα τα εξής θέματα σχετικά με την κατάσταση που έχουν γνώση (περιορισμένα σε αυτά που γνωρίζουν τη στιγμή της αναφοράς, όπως ορίζεται και στο επόμενο άρθρο).

e-GOV｜Νόμος για την Προστασία Προσωπικών Δεδομένων[ja]

Σε περίπτωση που συμβαίνει κάποια από τις τέσσερις αναφερόμενες περιπτώσεις διαρροής, οι επιχειρήσεις πρέπει να αναφέρουν άμεσα τα εξής στην Επιτροπή Προστασίας Προσωπικών Δεδομένων:

• Περίληψη
• Κατηγορίες προσωπικών δεδομένων που έχουν διαρρεύσει ή υπάρχει πιθανότητα διαρροής
• Αριθμός των ατόμων που αφορούν τα προσωπικά δεδομένα που έχουν διαρρεύσει ή υπάρχει πιθανότητα διαρροής
• Αιτία
• Υπάρχουσα ή πιθανή δευτερογενής ζημιά και τα στοιχεία της
• Κατάσταση των μέτρων που έχουν ληφθεί για τα πρόσωπα που επηρεάζονται
• Κατάσταση της δημοσιοποίησης του συμβάντος
• Μέτρα που έχουν ληφθεί για την αποτροπή επανάληψης
• Άλλα στοιχεία που μπορεί να είναι χρήσιμα

Ωστόσο, αρκεί να αναφέρετε μόνο τα στοιχεία που γνωρίζετε κατά τη στιγμή της αναφοράς.

Προθεσμίες Αναφοράς στην Επιτροπή Προστασίας Προσωπικών Δεδομένων κατά τη Διαρροή Πληροφοριών

Όσον αφορά την αναφορά στην Επιτροπή Προστασίας Προσωπικών Δεδομένων, έχει καθοριστεί προθεσμία (Κανονισμός Εφαρμογής του Νόμου για την Προστασία Προσωπικών Δεδομένων, Άρθρο 8, Παράγραφος 2).

Η αναφορά στην Επιτροπή Προστασίας Προσωπικών Δεδομένων πρέπει, καταρχήν, να γίνεται εντός 30 ημερών από την ημέρα που έγινε γνωστή η διαρροή ή άλλη αντίστοιχη κατάσταση. Σε περίπτωση που ο υπεύθυνος για τη διαρροή προσωπικών δεδομένων έχει δόλιο σκοπό, η αναφορά πρέπει να γίνει εντός 60 ημερών.

Υποχρέωση Ειδοποίησης του Υποκειμένου

Σε περίπτωση διαρροής προσωπικών δεδομένων, εκτός από την υποχρέωση αναφοράς στην Επιτροπή Προστασίας Προσωπικών Δεδομένων, υπάρχει επίσης ρύθμιση για την υποχρέωση ειδοποίησης του υποκειμένου (Άρθρο 26, Παράγραφος 2 του Νόμου για την Προστασία Προσωπικών Δεδομένων).

Η ειδοποίηση προς το υποκείμενο έχει ως σκοπό να επιτρέψει στο άτομο να αντιδράσει στη διαρροή των προσωπικών του δεδομένων το συντομότερο δυνατόν, προκειμένου να προστατευθούν τα δικαιώματα και τα συμφέροντά του από πιθανή παραβίαση. Για αυτόν τον λόγο, οι επιχειρήσεις που χειρίζονται προσωπικά δεδομένα οφείλουν να ειδοποιούν το υποκείμενο άμεσα.

Συνοπτικά: Συμβουλευτείτε δικηγόρο για τη διοικητική αντιμετώπιση διαρροής προσωπικών δεδομένων

Παραπάνω, περιγράψαμε τις αντιδράσεις που πρέπει να έχει μια εταιρεία σε περίπτωση που συμβεί διαρροή προσωπικών δεδομένων, εστιάζοντας κυρίως στη διοικητική αντιμετώπιση.

Για μια εταιρεία, είναι φυσικά σημαντικό να δημιουργήσει συστήματα που θα αποτρέπουν τη διαρροή πληροφοριών. Ωστόσο, σε περίπτωση που συμβεί διαρροή, είναι απαραίτητο να αντιδράσει κατάλληλα.

Η Νομοθεσία για την Προστασία Προσωπικών Δεδομένων είναι ένας νόμος με πολλές τροποποιήσεις και μερικές φορές περίπλοκη δομή, γι’ αυτό συνιστούμε τη συμβουλή δικηγόρου με ειδίκευση στον τομέα για την κατάλληλη αντιμετώπιση.

Οδηγίες Μέτρων από το Δικηγορικό μας Γραφείο

Το Δικηγορικό Γραφείο Monolith είναι ένα γραφείο με υψηλή εξειδίκευση στον τομέα της πληροφορικής, και ειδικότερα στο δίκαιο του διαδικτύου. Στις μέρες μας, η διαρροή προσωπικών δεδομένων αποτελεί σημαντικό πρόβλημα. Σε περίπτωση που συμβεί διαρροή προσωπικών πληροφοριών, μπορεί να έχει καταστροφικές συνέπειες στην επιχειρηματική δραστηριότητα. Η εταιρεία μας διαθέτει ειδικευμένη γνώση στην πρόληψη και την αντιμετώπιση διαρροών πληροφοριών. Παρακαλούμε δείτε το παρακάτω άρθρο για περισσότερες λεπτομέρειες.