Greece: Increase in Personal Data Breaches & Appropriate Practices on Breach Prevention-Response

Date: July 28, 2021

By Simeon Kretsis  & Nicholas Zelios

The article refers to the increase in personal data breaches reported to the Hellenic Data Protection Authority and discusses the appropriate and recognized practices on data breach prevention and response.  

Below you may find the full article in Greek

 

ΕλλάδαΑύξηση Περιστατικών Παραβίασης Προσωπικών Δεδομένων & Ενδεδειγμένες Πρακτικές Πρόληψης και Αντιμετώπισης 

Των Συμεών Κρέτση & Νίκου Ζέλιου

Εισαγωγή 

Η διαχείριση περιστατικών παραβίασης συνιστά αναμφισβήτητα μια από τις πιο απαιτητικές διαδικασίες που μπορεί να κληθεί να αντιμετωπίσει ένας οργανισμός.  

Η πολυπλοκότητα της διαχείρισης έγκειται: 

  1. στη διαδικασία στάθμισης για το εάν ένα περιστατικό ασφαλείας πληροί τις τυπικές προϋποθέσεις για να θεωρηθεί περιστατικό παραβίασης προσωπικών δεδομένων σύμφωνα με το GDPR, 
  2. στον εντοπισμό των κινδύνων που συνεπάγεται η παραβίαση για τα δικαιώματα και τις ελευθερίες των επηρεαζόμενων φυσικών προσώπων, 
  3. στη διαδικασία αξιολόγησης για το κατά πόσο απαιτείται μόνο απλή καταγραφή του περιστατικού εσωτερικά του οργανισμού ή περαιτέρω γνωστοποίησή του ενώπιον της εποπτικής αρχής -αλλά και ενδεχομένως ανακοίνωσή του στα επηρεαζόμενα φυσικά πρόσωπα.  
Σημαντική επιρροή ως προς την αύξηση του βαθμού της δυσκολίας διαχείρισης διαδραματίζουν αφενός μεν το εξαιρετικά περιορισμένο χρονικό πλαίσιο –72 ώρες από τη γνώση του περιστατικού παραβίασης– που θέτει ο Γενικός Κανονισμός για την λήψη των ως άνω κρίσιμων αποφάσεων, αφετέρου δε τα υψηλά πρόστιμα που απειλούνται σε περίπτωση μη συμμόρφωσης με τις σχετικές διατάξεις. 

Στατιστικά στοιχεία – Αύξηση Περιστατικών Παραβίασης 

Σύμφωνα με τα στατιστικά στοιχεία που δημοσίευσε η ελληνική εποπτική αρχή σχετικά με τον αριθμό των περιστατικών παραβίασης που τέθηκαν ενώπιον της, για το διάστημα από 9 Φεβρουαρίου 2021 έως και 21 Απριλίου 2021, γνωστοποιήθηκαν 37 περιστατικά παραβίασης GDPR. Επιπλέον, από 22 Απριλίου 2021 έως και 12 Ιουλίου 2021 η Αρχή ενημερώθηκε για 47 ακόμη περιστατικά. Αθροιστικά, για το διάστημα Φεβρουάριος 2021 έως Ιούλιος 2021 τέθηκαν υπόψη της ελληνικής Αρχής, 84 περιστατικά παραβίασης προστασίας δεδομένων. Ο αριθμός αυτός εμφανίζεται ιδιαίτερα αυξημένος (περίπου 83%), σε σχέση με το αντίστοιχο διάστημα Φεβρουάριος 2021 έως Ιούλιος 2021, κατά το οποίο είχαν γνωστοποιηθεί συνολικά 46 περιστατικά παραβίασης.  

Τα ανωτέρω στοιχεία υπογραμμίζουν εμφατικά την αναγκαιότητα συνεχούς επαγρύπνησης των εταιρειών τόσο για την πρόληψη όσο και για την αντιμετώπιση περιστατικών παραβίασης προσωπικών δεδομένων.  

Ενδεδειγμένες Πρακτικές Πρόληψης και Αντιμετώπισης 

  1. Το ανθρώπινο λάθος και η εξωτερική απειλή (hackers) είναι οι συνηθέστεροι λόγοι πρόκλησης περιστατικών παραβίασης προσωπικών δεδομένων. Και στις δύο περιπτώσεις, η πρώτη γραμμή άμυνας μιας επιχείρησης είναι η εκπαίδευση και ευαισθητοποίηση των εργαζομένων σε ορθές και ασφαλείς πρακτικές επεξεργασίας προσωπικών δεδομένων και περαιτέρω στην αναγνώριση και κατάλληλη ανταπόκρισή τους στα περιστατικά παραβίασης.  
  2. Η ύπαρξη και εφαρμογή στοχευμένων εταιρικών πολιτικών και διαδικασιών για την πρόληψη και αντιμετώπιση περιστατικών παραβίασης. Η Πολιτική Ορθής Χρήσης Πληροφοριακών Συστημάτων και η Διαδικασία Διαχείρισης Περιστατικών Παραβίασης Προσωπικών Δεδομένων αποτελούν τα πλέον κατάλληλα και ενδεδειγμένα οργανωτικά μέτρα για τη διασφάλιση της επιχείρησης. Ειδικότερα: 
    •  H Πολιτική Ορθής Χρήσης πρέπει να περιλαμβάνει συγκεκριμένες προβλέψεις σχετικά με την ασφαλή λειτουργία των πληροφοριακών συστημάτων της επιχείρησης καθώς και βέλτιστες πρακτικές αναφορικά με την καθημερινή χρήση τους από τους εργαζόμενους.  
    • H Διαδικασία Διαχείρισης Περιστατικών πρέπει να περιλαμβάνει κατ’ ελάχιστον προβλέψεις για: α) τη συγκρότηση ομάδας αντιμετώπισης περιστατικών παραβίασης, β) την κατανομή ρόλων και αρμοδιοτήτων στα μέλη της ομάδας (π.χ. ποιος αναλαμβάνει τη συγκέντρωση των αποδεικτικών στοιχείων της παραβίασης), γ) τη συγκέντρωση στοιχείων αναφορικά με το περιστατικό παραβίασης και καταγραφή του συμβάντος στο Μητρώο Περιστατικών, δ) τα στάδια αξιολόγησης του περιστατικού και τον προσδιορισμό αντίστοιχων ενεργειών.