Σε διευκρινίσεις σχετικά με τα προβλεπόμενα σε περιπτώσεις παραβίασης προσωπικών στοιχείων πολιτών, με αφορμή κακόβουλη επίθεση στα ηλεκτρονικά συστήματα του Ελληνικού Ανοικτού Πανεπιστημίου, προχώρησε η Αρχή Προστασίας Δεδομένων.
Την Παρασκευή 28 Μαρτίου, το ΕΑΠ εξέδωσε ανακοίνωση σχετικά με την κυβερνοεπίθεση που δέχθηκε τον περασμένο Οκτώβριο, σημειώνοντας πως με βάση τα διαθέσιμα στοιχεία, ο όγκος των δεδομένων που διέρρευσε ανέρχεται σε 813 GB.
Από την πλευρά της, η ανεξάρτητη Αρχή επισημαίνει ότι σε περιπτώσεις που «από περιστατικό παραβίασης μπορεί να βρεθούν σε υψηλό κίνδυνο τα δικαιώματα ενός πολίτη, ο υπεύθυνος επεξεργασίας δεδομένων οφείλει, βάσει της νομοθεσίας για την προστασία των προσωπικών δεδομένων, να ενημερώσει και τον πολίτη που επηρεάζεται δυσμενώς».
«Η γνωστοποίηση πρέπει να περιέχει συγκεκριμένες πληροφορίες (φύση/έκταση του περιστατικού, κατηγορίες προσώπων που επλήγησαν, αιτία και συνέπειες, ενέργειες προς αντιμετώπισή του). Στον βαθμό που είναι εφικτό, η ανακοίνωση στα φυσικά πρόσωπα πρέπει να γίνει με τον πλέον πρόσφορο και αποτελεσματικό τρόπο, με τη μορφή προσωποποιημένης πληροφόρησης και μόνο κατ’ εξαίρεση μέσω κάποιας γενικού χαρακτήρα ανακοίνωσης», προστίθεται.
Η ανακοίνωση της Αρχής Προστασίας Δεδομένων
«Mε αφορμή σειρά ερωτημάτων πολιτών που έχουν τεθεί στην Αρχή σχετικά με την ανακοίνωση του Ελληνικού Ανοικτού Πανεπιστημίου (28/3) για εντοπισμένο περιστατικό κακόβουλης επίθεσης, υπενθυμίζεται ότι στις περιπτώσεις που από περιστατικό παραβίασης μπορεί να βρεθούν σε υψηλό κίνδυνο τα δικαιώματα ενός πολίτη, ο υπεύθυνος επεξεργασίας δεδομένων οφείλει, βάσει της νομοθεσίας για την προστασία των προσωπικών δεδομένων, να ενημερώσει και τον πολίτη που επηρεάζεται δυσμενώς.
Η γνωστοποίηση πρέπει να περιέχει συγκεκριμένες πληροφορίες (π.χ. φύση/έκταση του περιστατικού, κατηγορίες προσώπων που επλήγησαν, αιτία και συνέπειες αυτού, ενέργειες που έγιναν προς αντιμετώπισή του, κ.ά.). Στον βαθμό που αυτό είναι εφικτό, η ανακοίνωση στα φυσικά πρόσωπα θα πρέπει να γίνει με τον πλέον πρόσφορο και αποτελεσματικό τρόπο, με τη μορφή προσωποποιημένης πληροφόρησης και μόνο κατ’ εξαίρεση μέσω κάποιας γενικού χαρακτήρα ανακοίνωσης. Η Αρχή επιβλέπει τις ενέργειες του εκάστοτε υπεύθυνου επεξεργασίας και την παροχή κατάλληλης ενημέρωσης με σκοπό την αποτελεσματική προστασία των δικαιωμάτων των πολιτών.
Επισημαίνεται ότι τα υποκείμενα δεδομένων, εφόσον το κρίνουν απαραίτητο, μπορούν για περισσότερες πληροφορίες σχετικά με περιστατικό παραβίασης να επικοινωνούν με τον εκάστοτε υπεύθυνο επεξεργασίας δεδομένων και όχι με την Αρχή. Πληροφορίες σχετικά με τη γνωστοποίηση περιστατικού παραβίασης είναι διαθέσιμες εδώ».
