Παραβίαση δεδομένων έχουμε όταν τα δεδομένα για τα οποία είναι υπεύθυνη μία εταιρεία ή ένας οργανισμός προσβάλλονται από συμβάν ασφαλείας που έχει ως αποτέλεσμα παραβίαση της εμπιστευτικότητας, της διαθεσιμότητας ή της ακεραιότητας. Αν συμβεί αυτό και είναι πιθανό η παραβίαση να θέσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες ενός ατόμου, η εταιρεία/οργανισμός πρέπει να ειδοποιήσει την εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 72 ωρών από τη στιγμή που έχει λάβει γνώση της παραβίασης. Εάν η εταιρεία ή ο οργανισμός σας είναι επεξεργαστής δεδομένων, πρέπει να ειδοποιήσει τον υπεύθυνο επεξεργασίας δεδομένων για την παραβίαση δεδομένων.

Εάν η παραβίαση των δεδομένων δημιουργεί υψηλό κίνδυνο για τα άτομα που πλήττονται τότε πρέπει όλοι να ενημερωθούν, εκτός εάν υπάρχουν αποτελεσματικά μέτρα τεχνικής και οργανωτικής προστασίας που έχουν τεθεί σε εφαρμογή ή άλλα μέτρα που εξασφαλίζουν ότι ο κίνδυνος δεν είναι πλέον πιθανό να υλοποιηθεί .

Ως οργανισμός είναι ζωτικής σημασίας η εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων για την αποφυγή πιθανών παραβιάσεων δεδομένων.

Παραδείγματα

Ο οργανισμός πρέπει να ενημερώνει την Αρχή Προστασίας Δεδομένων και τα άτομα:

• Τα στοιχεία των υπαλλήλων μίας εταιρείας κλωστοϋφαντουργίας έχουν αποκαλυφθεί. Τα δεδομένα περιλάμβαναν τις προσωπικές διευθύνσεις, την οικογενειακή κατάσταση, το μηνιαίο εισόδημα και τις ιατρικές απαιτήσεις κάθε εργαζομένου. Στην περίπτωση αυτή, η εταιρεία κλωστοϋφαντουργίας πρέπει να ενημερώσει την εποπτική αρχή για την παραβίαση. Δεδομένου ότι περιλαμβάνει ευαίσθητα δεδομένα, όπως τα δεδομένα για την υγεία, η εταιρεία πρέπει να ενημερώνει και τους υπαλλήλους.
• Ένας υπάλληλος νοσοκομείου αποφασίζει να αντιγράψει τα στοιχεία των ασθενών σε ένα CD και να τα δημοσιεύσει στο διαδίκτυο. Το νοσοκομείο ανακαλύπτει το συμβάν λίγες μέρες αργότερα. Μόλις το νοσοκομείο διαπιστώσει τι έχει συμβεί, έχει 72 ώρες για να ενημερώσει την εποπτική αρχή και, δεδομένου ότι τα προσωπικά στοιχεία περιέχουν ευαίσθητες πληροφορίες, όπως εάν ένας ασθενής έχει καρκίνο, είναι έγκυος κλπ., πρέπει επίσης να ενημερώσει τους ασθενείς. Στην περίπτωση αυτή, μπορεί να υπάρξουν αμφιβολίες σχετικά με το εάν το νοσοκομείο έχει εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας. Αν είχαν πράγματι εφαρμόσει κατάλληλα μέτρα προστασίας (για παράδειγμα κρυπτογράφηση των δεδομένων), θα ήταν απίθανος ένας σημαντικός κίνδυνος και θα μπορούσε να εξαιρεθεί από την κοινοποίηση στους ασθενείς.

Η εταιρεία οφείλει να ενημερώνει τους πελάτες και μπορεί στη συνέχεια να ενημερώνει την ΑΠΔ και τα άτομα:

• Μια υπηρεσία cloud χάνει αρκετούς σκληρούς δίσκους που περιέχουν προσωπικά δεδομένα που ανήκουν σε πολλούς από τους πελάτες της. Πρέπει να ειδοποιήσει τους πελάτες αυτούς αμέσως μόλις λάβει γνώση της παραβίασης. Οι πελάτες της πρέπει να ειδοποιήσουν την ΑΠΔ και τα άτομα ανάλογα με τα δεδομένα που επεξεργάστηκε ο επεξεργαστής δεδομένων.

Πηγή: European Commission