Πώς να συμπεριφερθείτε σε περίπτωση παραβίασης δεδομένων;

Πρώτα από όλα, μην πανικοβάλλεστε και φροντίστε πάντα να έχετε μαζί σας την πετσέτα σας.

Τελικά έγινε. Υπήρχε ένα ελάττωμα στο σύστημά σας και κάποιος το εκμεταλλεύτηκε για να πραγματοποιήσει αυτό που, στην ορολογία, ονομάζεται α παραβιάσεων δεδομένων. Παραβίαση προσωπικών δεδομένων. Μην ανησυχείτε, δεν είναι ένα ασυνήθιστο φαινόμενο. Οι πιο τυχεροί αντιμετωπίζουν αυτό το ενδεχόμενο λιγότερο από μία φορά το χρόνο, αλλά σε έναν κόσμο που εξελίσσεται τόσο γρήγορα όσο το διαδίκτυο, μπορεί να συμβεί αυτό το ενδεχόμενο να γίνει πολύ πιο συχνό. Ενώ προσπαθείτε να μην πανικοβληθείτε, σας ενθαρρύνουμε να τηρείτε τον εμπειρικό κανόνα: για να χειριστείτε μια παραβίαση, πρέπει να ακολουθήστε τις υποδείξεις του Ευρωπαϊκού Κανονισμού 16/679 (GDPR) που προσφέρει καθοδήγηση σχετικά με το τι πρέπει να κάνετε σε περίπτωση παραβίασης δεδομένων.

Τι είναι η παραβίαση δεδομένων;

Οι παραβιάσεις προσωπικών δεδομένων είναι από 6 τύποι, και καθένας από αυτούς μπορεί να είναι εθελοντικός ή τυχαίος με βάση το γιατί συνέβη:

• Μη εξουσιοδοτημένη πρόσβαση. Κάποιος δεν μπορούσε να έχει πρόσβαση σε συγκεκριμένες πληροφορίες, ωστόσο είχε. Σε περίπτωση που αυτό ήταν λάθος, μπορεί να έχετε στείλει ένα σημαντικό έγγραφο σε ένα άτομο αντί σε άλλο. Ήταν ένα ατύχημα, αλλά εξακολουθεί να είναι παραβίαση δεδομένων. Ωστόσο, σε περίπτωση που έχετε κάνει μη εξουσιοδοτημένη πρόσβαση στα δεδομένα κάποιου, αυτό το συμβάν μπορεί να γίνει κατασκοπεία.
• Μη εξουσιοδοτημένο αντίγραφο. Κάποιος πήρε κάποια δεδομένα που δεν του ανήκαν και τα αντέγραψε μόνος του. Αυτό θα μπορούσε να είναι ατύχημα εάν ένας συνάδελφος αποφασίσει να εκτυπώσει ένα έγγραφο που δεν θα έπρεπε να έχει για να συντάξει καλύτερα ένα έγγραφο εργασίας. Σε περίπτωση εθελοντικής αντιγραφής για λιγότερο σαφείς στόχους, θα μπορούσε να είναι κλοπή.
• Απροσδόκητη αποκάλυψη. Κάποιος κατά λάθος διαρρέει δεδομένα που δεν θα έπρεπε να είναι συνδεδεμένα στο διαδίκτυο για κανένα λόγο. Για παράδειγμα, μια φωτογραφία ενός σημαντικού πελάτη δημοσιεύεται στο προφίλ της εταιρείας στο Facebook. Σε περίπτωση απάτης, η πράξη αυτή ονομάζεται εξάπλωση.
• Μη εξουσιοδοτημένη τροποποίηση. Κάποιος άλλαξε κάποια δεδομένα, παρόλο που δεν μπορούσε να το κάνει. Αν έγινε κατά λάθος, αυτό είναι. Αλλιώς θα μπορούσε να είναι παραποίηση από έναν χάκερ ή έναν εισβολέα.
• Απώλεια πρόσβασης. Κάποιος χάνει πληροφορίες και δεν είναι πλέον διαθέσιμες. Το να ξεχάσετε τον κωδικό πρόσβασης του υπολογιστή σας αποτελεί παράβαση, το ξέρατε; Και σε περίπτωση που έγινε επίτηδες, γίνεται κρυπτογράφηση.
• Διαγραφή δεδομένων. Κάποιος διαγράφει ευαίσθητα δεδομένα. Αν αυτό έγινε κατά λάθος, είναι παράβαση. Σε περίπτωση όμως που η ακύρωση είναι οικειοθελής, επιβαρύνεται καταστροφή δεδομένων.

Παραβίαση προσωπικών δεδομένων: πώς να συμπεριφερόμαστε;

Ανατρέξτε στα άρθρα 33 και 34 του GDPR. Αυτά τα δύο άρθρα αναφέρονται στον ευρωπαϊκό κανονισμό που επιδιώκει να υποδείξει τις διαδικασίες που πρέπει να ακολουθούνται σε περίπτωση παραβίασης δεδομένων. Το άρθρο 33 αφορά την εσωτερική διαχείριση της εταιρείας και τις σχέσεις με τον Εγγυητή, ενώ το άρθρο 34 αφορά τη διαχείριση με τους ενδιαφερόμενους, ή τα άτομα των οποίων τα προσωπικά δεδομένα έχουμε.

Είναι απαραίτητο να διευκρινιστεί αυτό η παραβίαση δεδομένων πρέπει πάντα να καταγράφεται e, σε περίπτωση που γνωστοποιείται στον Εγγυητή όπως αναφέρεται στο άρθρο 33. Αυτό λέει επίσης ότι σε περίπτωση παραβίασης, ο υπεύθυνος επεξεργασίας δεδομένων πρέπει να ειδοποιήσει τις εποπτικές αρχές εντός 72 ωρών από τη στιγμή που το αντιλήφθηκε, ειδικά εάν αυτό ενέχει κίνδυνο για τα δικαιώματα και την ελευθερία των φυσικών προσώπων. Οι υπεύθυνοι επεξεργασίας δεδομένων (εταιρεία μισθοδοσίας, λογιστής, αναλυτές συστημάτων…) πρέπει να ενημερώσουν τον υπεύθυνο επεξεργασίας δεδομένων.

Εάν αποφασίσετε να ενημερώσετε τον Εγγυητή, χρειάζεται πληροφορίες: φύση της παραβίασης, αριθμός ατόμων που εμπλέκονται, δεδομένα σύμβασης του υπεύθυνου προστασίας δεδομένων, πιθανές συνέπειες της παραβίασης και τυχόν μέτρα που ελήφθησαν ή πρόκειται να ληφθούν.

Ωστόσο, η εταιρεία έχει υποχρέωση να επικοινωνήστε όλα όσα συμβαίνουν, ανεξάρτητα από το αν οι παραβάσεις είναι ακούσιες ή εκούσιες και αναλαμβάνουν την ευθύνη (λογοδοσία).

Η ευθύνη;

Η εταιρεία πρέπει να είναι υπεύθυνος, ικανός και ενήμερος για το τι συμβαίνει στα περιβάλλοντα και τα συστήματά του. Η εταιρεία πρέπει να επιδείξει την ικανότητά της να επιλύει το πρόβλημα προληπτικά και να αποδείξει ότι διαθέτει τα εργαλεία για να περιορίσει τις συνέπειες της παραβίασης δεδομένων. Αυτό γίνεται παρέχοντας στοιχεία και δεδομένα – και προσφέροντάς σας να προσφέρετε στον Εγγυητή τη βεβαιότητα ότι αυτό που συνέβη δεν θα ξανασυμβεί ποτέ. Σε περίπτωση έλλειψης «λογοδοσίας» επιβάλλεται πρόστιμο.

Ποιες είναι οι παραβάσεις που πρέπει να κοινοποιούνται στον Εγγυητή;

Στον Εγγυητή κοινοποιούνται μόνο εκούσιες παραβάσεις και όχι τυχαίες. Ο υπεύθυνος επεξεργασίας δεδομένων πρέπει να αποφασίσει εάν θα ειδοποιήσει ή όχι, στη λογική της λογοδοσίας, εάν η παραβίαση δεδομένων μπορεί να προκαλέσει βλάβη στα δικαιώματα και τις ελευθερίες των ατόμων. ΜΕΓΑΛΟ'ENISA (Ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια) δημιούργησε ένα μεθοδολογία για τον υπολογισμό του κινδύνου σχετικά με την ελευθερία των προσώπων σε περίπτωση παραβίασης. Αυτή η μεθοδολογία μπορεί να εφαρμοστεί και στην εταιρεία.

Πώς ξέρετε εάν υπήρξε παράβαση;

Η παραβίαση πρέπει να γίνει κατανοητή για να εντοπιστεί πραγματικά. Αυτό είναι εφικτό εάν υπάρχει επαρκής εκπαίδευση στην εταιρεία για την εκτίμηση του κινδύνου και την κατανόηση τυχόν ζημιών. Με λίγα λόγια, δεν χρειάζεστε έναν μηχανικό που μπαίνει στη σκηνή για δύο μήνες σε μια προσπάθεια να εκτιμήσει τις πιθανές ζημιές μιας χαμένης μονάδας flash: χρειάζεστε ένα εκπαιδευτικό σεμινάριο που βοηθά το διαθέσιμο προσωπικό να κατανοήσει την έκταση της ζημιάς χωρίς να προσθέσει στο ήδη σημαντικό κόστος διαχείρισης. Με απλά λόγια, το προσωπικό πρέπει να εκπαιδεύεται για το τι συνεπάγεται η παραβίαση και για την έγκαιρη κοινοποίηση της διαδικασίας στα υποκείμενα των δεδομένων.

Το άρθρο 34 μας λέει ότι ο υπεύθυνος επεξεργασίας δεδομένων δεν μπορεί να κοινοποιήσει την παραβίαση στο υποκείμενο των δεδομένων πότε:

• Λαμβάνονται επαρκή τεχνικά και οργανωτικά μέτρα, αλλά με κοινοποίηση στον Εγγυητή και απόδειξη λογοδοσίας.
• Έχει υιοθετήσει μέτρα για την αποφυγή υψηλού κινδύνου παραβίασης δεδομένων.
• Η αποκάλυψη μπορεί να παραλειφθεί εάν απαιτεί δυσανάλογη προσπάθεια – σε αυτήν την περίπτωση, πρέπει να δηλωθεί δημόσια!

Συμβαίνουν παραβιάσεις δεδομένων. Πώς πιστεύεις όμως ότι μπορείς να το διαχειριστείς;