Τι θα συμβεί αν ένας οργανισμός αποτύχει να συμμορφωθεί με τους κανόνες του GDPR;

Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) παρέχει στις Αρχές Προστασίας Δεδομένων διαφορετικές επιλογές σε περίπτωση μη συμμόρφωσης με τους κανόνες περί προστασίας δεδομένων:

  • Πιθανή παράβαση – μπορεί να εκδοθεί σχετική προειδοποίηση
  • Παράβαση – οι εν λόγω δυνατότητες περιλαμβάνουν αυστηρή επίπληξη, προσωρινή ή οριστική απαγόρευση επεξεργασίας και πρόστιμο έως €20 εκατ. ή 4% του συνολικού ετήσιου παγκόσμιο τζίρου της επιχείρησης.

Είναι αρκετά σημαντικό να σημειωθεί ότι στην περίπτωση παράβασης, η ΑΠΔΠΧ μπορεί να επιβάλει χρηματικό πρόστιμο (ή και επιπροσθέτως), αντί της επίπληξης ή/και της απαγόρευσης της επεξεργασίας.

Η ΑΠΔΠΧ με την σειρά της, πρέπει να διασφαλίζει ότι τα πρόστιμα που επιβάλλονται σε κάθε συγκεκριμένη περίπτωση είναι αποτελεσματικά, αναλογικά και αποτρεπτικά. Θα πρέπει να ληφθούν υπόψη ορισμένοι παράγοντες όπως η φύση, η σοβαρότητα και η διάρκεια της παράβασης, ο εκ προθέσεως ή εξ αμελείας χαρακτήρας της, οποιαδήποτε ενέργεια ελήφθη για την ελαχιστοποίηση της ζημιάς που υπέστησαν τα υποκείμενα των δεδομένων, ο βαθμός συνεργασίας του οργανισμού με την Αρχή, κτλ.

Παράδειγμα

Έστω μια επιχείρηση, η οποία πουλά διαδικτυακά προϊόντα σε νοικοκυριά. Μέσω της διαδικτυακής της σελίδας, οι καταναλωτές μπορούν να αγοράσουν συσκευές και προϊόντα κουζίνας, τραπέζια και άλλα αγαθά, απλά πληκτρολογώντας τα στοιχεία της τράπεζας τους. Επίσης, έστω ότι προσφάτως η ιστοσελίδα της επιχείρησης επλήγη από κυβερνο-επίθεση, η οποία κατέστησε τις προσωπικές πληροφορίες και επιμέρους λεπτομέρειες διαθέσιμες σε τρίτους. Σε αυτήν την περίπτωση, η έλλειψη κατάλληλων τεχνικών μέτρων από την εταιρεία φαίνεται ότι αποτελεί την βασική αιτία απώλειας δεδομένων.

Σε αυτήν την περίπτωση, θα πρέπει να ληφθούν υπόψη πληθώρα παραγόντων από την εποπτική αρχή πριν αποφασιστεί το εργαλείο διόρθωσης και επαναφοράς που θα χρησιμοποιηθεί. Τέτοιοι παράγοντες είναι όπως:

  • Πόσο κρίσιμο είναι το επίπεδο και η μορφή αναποτελεσματικότητας του Πληροφοριακού Συστήματος (Π.Σ.) της εταιρείας;
  • Για πόσο χρονικό διάστημα οι υποδομές του Π.Σ. της εταιρείας παρέμεναν εκτεθειμένοι στο ρίσκο;
  • Πραγματοποιήθηκαν δομικές αλλαγές και έλεγχοι στο παρελθόν για την αποφυγή τέτοιων επιθέσεων;
  • Πόσοι είναι οι πελάτες των οποίων τα δεδομένα κλάπηκαν/εκτέθηκαν από/σε τρίτους;
  • Ποια κατηγορία προσωπικών δεδομένων επηρεάστηκε κυρίως: μήπως περιλάμβανε ευαίσθητα προσωπικά δεδομένα;

Όλοι αυτοί αλλά και άλλοι ακόμα παράγοντες θα πρέπει να λαμβάνονται σοβαρά υπόψη από την σχετική εποπτική Αρχή.

Αναφορές

  • Articles 58, 60, 83 and 84 and Recitals (129), (148), (150) and (151) of the GDPR
  • Article 29 Working Party Guidelines on the application and setting of administrative fines for the purposes of Regulation 2016/679, 3 October 2017

Share