ΝΕΑ & ΕΝΗΜΕΡΩΣΗ

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (άρθρο 35 του ΓΚΠΔ)

Η υποχρέωση για τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) προβλέπεται στο άρθρο 35 παρ. 1 του ΓΚΠΔ.

Η ΕΑΠΔ διενεργείται από τον υπεύθυνο επεξεργασίας όταν οι πράξεις επεξεργασίας ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων ιδίως με τη χρήση νέων τεχνολογιών και συνεκτιμώντας το φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Ενδεικτικά είδη πράξεων επεξεργασίας οι οποίες ενέχουν υψηλό κίνδυνο παρατίθενται στο άρθρο 35 παρ. 3 του ΓΚΠΔ (βλ. αιτ. 91 του ΓΚΠΔ).

Η Αρχή κατήρτισε, βάσει του άρθρου 35 παρ. 4 του ΓΚΠΔ, σχέδιο καταλόγου με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια ΕΑΠΔ. Πριν την έκδοση του εν λόγω καταλόγου ΕΑΠΔ, η Αρχή εφάρμοσε, κατά τα προβλεπόμενα στο άρθρο 35 παρ. 6, το μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63 ανακοινώνοντας το σχέδιο καταλόγου στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ).

Το ΕΣΠΔ, κατά τη συνεδρίαση της ολομέλειας της 25ης Σεπτεμβρίου 2018, εξέδωσε, βάσει του άρθρου 64 παρ. 1 του ΓΚΠΔ, τη γνώμη 7/20181 σχετικά με το σχέδιο καταλόγου ΕΑΠΔ της Αρχής.

Η Αρχή, με την με αριθμό 65/2018 Απόφασή της, αποφάσισε, σύμφωνα με το άρθρο 64 παρ. 7 του ΓΚΠΔ, την τροποποίηση του καταλόγου ΕΑΠΔ βάσει των συστάσεων της γνώμης 7/2018 του ΕΣΠΔ και την ανακοίνωσή του στο ΕΣΠΔ.

Ο κατάλογος ΕΑΠΔ της Αρχής βασίζεται στο άρθρο 35 του ΓΚΠΔ και ιδίως στις παρ. 1 και 3 αυτού καθώς και στις κατευθυντήριες γραμμές για την ΕΑΠΔ (WP2482), τις οποίες συμπληρώνει και εξειδικεύει περαιτέρω. Επισημαίνεται ότι ο εν λόγω κατάλογος της Αρχής δεν είναι εξαντλητικός και, συνεπώς, δεν αίρεται ούτε μεταβάλλεται η υποχρέωση να διενεργείται ΕΑΠΔ σε κάθε περίπτωση συνδρομής των προϋποθέσεων του άρθρου 35 παρ. 1 του ΓΚΠΔ ούτε η γενικότερη υποχρέωση του υπευθύνου επεξεργασίας να συμμορφώνεται με το σύνολο των υποχρεώσεων που απορρέουν από το ΓΚΠΔ.

Η μελέτη ΕΑΠΔ περιέχει τουλάχιστον τα ακόλουθα (άρθρο 35 παρ. 7 του ΓΚΠΔ):

  • συστηματική περιγραφή των πράξεων επεξεργασίας και των σκοπών της επεξεργασίας,

  • εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς,

  • εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων,

  • τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφαλείας, ώστε να διασφαλίζεται η προστασία των δεδομένων και να αποδεικνύεται η συμμόρφωση προς τον ΓΚΠΔ.

Επισημαίνεται ότι με τα παραπάνω κριτήρια δεν αξιολογείται η ορθότητα ή η αποτελεσματικότητα της μελέτης ΕΑΠΔ αλλά αποτελούν τα απαραίτητα τυπικά στοιχεία που πρέπει να περιλαμβάνονται σε αυτή.

Δεν απαιτείται η διενέργεια ΕΑΠΔ σε πράξεις επεξεργασίας για τις οποίες έχει χορηγηθεί άδεια ίδρυσης και λειτουργίας αρχείου με ευαίσθητα δεδομένα βάσει του άρθρου 7 του ν.2472/1997 εφόσον η άδεια βρίσκεται σε ισχύ και δεν έχει επέλθει μεταβολή, η οποία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων λαμβανομένης υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας (WP248).

Δεν απαιτείται η διενέργεια ΕΑΠΔ όταν η πράξη επεξεργασίας, δυνάμει του άρθρου 6 παρ. 1 στ. γ) ή ε), έχει νομική βάση στο δίκαιο της χώρας ή της Ένωσης όταν το εν λόγω δίκαιο ρυθμίζει τη συγκεκριμένη πράξη επεξεργασίας και έχει διενεργηθεί ήδη ΕΑΠΔ στο πλαίσιο της θέσπισης της εν λόγω νομικής βάσης, εκτός εάν κριθεί απαραίτητη η διενέργεια της εν λόγω ΕΑΠΔ πριν από τις δραστηριότητες επεξεργασίας (άρθρο 35 παρ. 10, αιτ. 93 του ΓΚΠΔ).

 

 

ICO fines Uber £385,000 over data protection failings.

Πρόστιμο ύψους 385.000 λιρών (~433.000 ευρώ) επέβαλε στην Uber το Γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα του Ηνωμένου Βασιλείου (ICO) για την ανεπαρκή προστασία των προσωπικών δεδομένων πελατών της κατά τη διάρκεια κυβερνοεπίθεσης.

Σύμφωνα με την βρετανική αρχή, μια σειρά κενών ασφαλείας που μπορούσαν να έχουν αποφευχθεί, επέτρεψε την πρόσβαση και τη λήψη προσωπικών δεδομένων περίπου 2.7 εκατομμυρίων πελατών από ένα σύστημα που λειτουργούσε σε cloud και διαχειριζόταν η αμερικανική μητρική εταιρεία της Uber.

Τα αρχεία περιλαμβάνουν πλήρη ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου.

Τα αρχεία των περίπου 82.000 οδηγών που εδρεύουν στο Ηνωμένο Βασίλειο, τα οποία περιελάμβαναν λεπτομέρειες για τις διαδρομές που πραγματοποίησαν και το ύψος των πληρωμών τους, εκλάπησαν επίσης κατά το περιστατικό του Οκτωβρίου – Νοεμβρίου του 2016.

Μεταξύ άλλων, η βρετανική αρχή σημείωσε ότι οι πελάτες και οι οδηγοί που επηρεάστηκαν από την παραβίαση δεδομένων δεν ενημερώθηκαν για το περιστατικό για διάστημα μεγαλύτερου του ενός έτους.

Αντ’ αυτού, ο Uber πλήρωσε τους εισβολείς που ήταν υπεύθυνοι για την επίθεση 100.000 δολάρια για να καταστρέψουν τα δεδομένα που είχαν κατεβάσει.

Το περιστατικό αποτελεί μια σοβαρή παραβίαση της νομοθεσία περί προστασίας δεδομένων, η οποία μπορούσε να εκθέσει τους πελάτες και τους οδηγούς σε αυξημένο κίνδυνο απάτης.

«Η πληρωμή των επιτιθέμενων και η αποσιώπηση του περιστατικού δεν ήταν, κατά την άποψή μας, η κατάλληλη απάντηση στην κυβερνοεπίθεση. Αν και δεν υπήρχε υποχρέωση να αναφερθούν παραβιάσεις δεδομένων βάσει της παλαιάς νομοθεσίας (προ GDPR), οι κακές πρακτικές προστασίας δεδομένων της Uber και οι επακόλουθες αποφάσεις ήταν πιθανό να έχουν επιδεινώσει τη θέση των εμπλκόμενων προσώπων», σημείωσε ο Διευθυντής Ερευνών του ICO, Steve Eckersley.

 

 

 

Υπουργείο Υγείας logoΕλληνική Δημοκρατία logoΤο Υπουργείο υγείας, στο πλαίσιο της προσπάθειας για τη συντονισμένη οργάνωση και προετοιμασία του συνόλου των εποπτευόμενων φορέων καθώς επίσης και των ιδιωτικών φορέων παροχής υπηρεσιών υγείας, σχετικά με την ανάγκη συμμόρφωσης σε σχέση με τα οριζόμενα στον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) / General Data Protection Regulation GDPR), ο οποίος τέθηκε σε εφαρμογή στις 25 Μαΐου 2018, προέβη, ως πρώτο βήμα, στον ορισμό Υπευθύνου Προστασίας Δεδομένων (DPO), σύμφωνα με τα οριζόμενα στις διατάξεις των άρθρων 37-39 του ΓΚΠΔ.

Μπορείτε να διαβάσετε ολόκληρη την ανακοίνωση ΕΔΩ