Γνωστοποίηση παραβίασης δεδομένων: Κοινό πρότυπο δημιούργησε το ΕΣΠΔ

Ένα νέο κοινό πρότυπο γνωστοποίησης περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα προς τις εποπτικές αρχές εκπόνησε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, στο πλαίσιο της πρωτοβουλίας που είχε ανακοινωθεί με τη Διακήρυξη του Ελσίνκι για την απλούστευση της συμμόρφωσης με τον ΓΚΠΔ και την ενίσχυση της συνέπειας στην εφαρμογή του σε ολόκληρη την Ευρωπαϊκή Ένωση. Το πρότυπο τέθηκε σε δημόσια διαβούλευση έως τις 5 Αυγούστου 2026, μετά την ολοκλήρωση της οποίας, το ΕΣΠΔ θα αποφασίσει το χρονοδιάγραμμα εφαρμογής του από όλες τις εθνικές αρχές προστασίας δεδομένων.

Σύμφωνα με το ΕΣΠΔ, το νέο εργαλείο αποσκοπεί στην εναρμόνιση των διαδικασιών γνωστοποίησης περιστατικών παραβίασης δεδομένων, παρέχοντας κοινή δομή και ενιαία κατηγοριοποίηση των πληροφοριών που οφείλουν να υποβάλλουν οι υπεύθυνοι επεξεργασίας κατά την εκπλήρωση της υποχρέωσης του άρθρου 33 ΓΚΠΔ. Η χρήση προκαθορισμένων επιλογών και αναλυτικών οδηγιών συμπλήρωσης αναμένεται να διευκολύνει τόσο τους οργανισμούς που υποβάλλουν τις γνωστοποιήσεις όσο και τις εποπτικές αρχές που καλούνται να αξιολογήσουν τα περιστατικά.

Δομημένη καταγραφή όλων των κρίσιμων στοιχείων

Το πρότυπο οργανώνεται σε επτά βασικές ενότητες και καλύπτει το σύνολο των πληροφοριών που απαιτούνται για την αξιολόγηση μιας παραβίασης δεδομένων. Περιλαμβάνει στοιχεία ταυτοποίησης του υπευθύνου επεξεργασίας και του προσώπου που υποβάλλει τη γνωστοποίηση, πληροφορίες για τον υπεύθυνο προστασίας δεδομένων, καθώς και για τυχόν εκτελούντες την επεξεργασία ή κοινούς υπευθύνους που εμπλέκονται στο περιστατικό.

Ιδιαίτερη έμφαση δίνεται στην περιγραφή του ίδιου του συμβάντος. Το πρότυπο ζητεί αναλυτικά στοιχεία για τον χρόνο επέλευσης και εντοπισμού της παραβίασης, τον τρόπο με τον οποίο αυτή διαπιστώθηκε, τη φύση της προσβολής της εμπιστευτικότητας, ακεραιότητας ή διαθεσιμότητας των δεδομένων, καθώς και την αιτία του περιστατικού. Παρέχεται επίσης εκτενής κατάλογος πιθανών σεναρίων, όπως επιθέσεις ransomware, phishing, μη εξουσιοδοτημένη πρόσβαση, εσφαλμένη αποστολή δεδομένων, απώλεια συσκευών, εσφαλμένες ρυθμίσεις συστημάτων και ακούσια δημοσιοποίηση πληροφοριών.

Εκτίμηση κινδύνου και ενημέρωση των υποκειμένων

Το πρότυπο απαιτεί από τον υπεύθυνο επεξεργασίας να καταγράψει τις κατηγορίες και τον αριθμό των υποκειμένων που επηρεάζονται, τις κατηγορίες δεδομένων που παραβιάστηκαν, τα τεχνικά και οργανωτικά μέτρα που βρίσκονταν σε ισχύ κατά τον χρόνο του περιστατικού, καθώς και τις πιθανές συνέπειες για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

Περιλαμβάνεται επίσης ειδική ενότητα για την εκτίμηση κινδύνου, στην οποία ο υπεύθυνος επεξεργασίας καλείται να αξιολογήσει αν η παραβίαση ενδέχεται να προκαλέσει υψηλό κίνδυνο, απλό κίνδυνο ή να μην δημιουργεί ουσιαστικό κίνδυνο για τα υποκείμενα των δεδομένων. Παράλληλα, πρέπει να περιγραφούν τα μέτρα που έχουν ληφθεί ή προτείνονται τόσο για την αντιμετώπιση του συγκεκριμένου περιστατικού όσο και για την αποτροπή παρόμοιων συμβάντων στο μέλλον.

Ιδιαίτερο βάρος δίνεται και στην υποχρέωση ενημέρωσης των υποκειμένων των δεδομένων σύμφωνα με το άρθρο 34 ΓΚΠΔ. Το πρότυπο ζητεί πληροφορίες για το εάν πραγματοποιήθηκε ενημέρωση, τον χρόνο και τον τρόπο επικοινωνίας, το περιεχόμενο της ενημέρωσης, καθώς και τους λόγους τυχόν μη ενημέρωσης όταν συντρέχουν οι προϋποθέσεις εξαίρεσης που προβλέπει ο Κανονισμός.

Στόχος η ενιαία εφαρμογή του ΓΚΠΔ στην Ευρώπη

Το ΕΣΠΔ εκτιμά ότι η υιοθέτηση ενός κοινού ευρωπαϊκού προτύπου θα μειώσει τον διοικητικό φόρτο και το κόστος συμμόρφωσης, ιδίως για μικρότερες επιχειρήσεις που δεν διαθέτουν εξειδικευμένους νομικούς ή υπευθύνους προστασίας δεδομένων. Παράλληλα, αναμένεται να συμβάλει στην ομοιόμορφη αξιολόγηση των περιστατικών από τις εθνικές εποπτικές αρχές και στη συνεκτικότερη εφαρμογή των υποχρεώσεων γνωστοποίησης παραβιάσεων προσωπικών δεδομένων σε ολόκληρο τον Ευρωπαϊκό Οικονομικό Χώρο.Το σχέδιο του προτύπου που έχει τεθεί σε δημόσια διαβούλευση είναι διαθέσιμο στον ιστότοπο του ΕΣΠΔ.