(από Federica De Stefani, δικηγόρο και διαχειριστή της Aidr της Περιφέρειας της Λομβαρδίας) Ακούμε (ολοένα και περισσότερο) συχνά να μιλάμε για παραβίαση δεδομένων και το αίτημα που προκύπτει από αυτήν, σχεδόν φυσικά, αφορά τη δυνατότητα αποφυγής ή, τουλάχιστον, περιορισμού της .
Η απάντηση, δυστυχώς, είναι αρνητική, δεν είναι δυνατόν να αποφευχθεί η παραβίαση δεδομένων αφού «μηδενικός κίνδυνος» δεν υπάρχει.
Σίγουρα είναι δυνατό να περιοριστούν οι ευκαιρίες για πτώση στην «παγίδα» του ατυχήματος με υπολογιστή και εξίσου δυνατό να περιοριστούν οι συνέπειες που απορρέουν από αυτό, αλλά αυτό είναι άλλο θέμα.
Για να κατανοήσουμε το φαινόμενο της παραβίασης δεδομένων, που πολύ συχνά ταυτίζεται αποκλειστικά με μια επίθεση χάκερ, είναι απαραίτητο να κατανοήσουμε τι είναι.
Τι είναι η παραβίαση δεδομένων
Ο όρος "παραβίαση δεδομένων" υποδηλώνει μια παραβίαση ασφάλειας που περιλαμβάνει - τυχαία ή παράνομα - την καταστροφή, απώλεια, τροποποίηση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που μεταδίδονται, αποθηκεύονται ή υποβάλλονται σε επεξεργασία με άλλο τρόπο.
Όπως φαίνεται, μια παραβίαση δεδομένων μπορεί να οδηγήσει σε απώλεια δεδομένων που δεν προέρχονται από επίθεση χάκερ, αλλά μπορεί επίσης να προκύψει από την απώλεια της διαθεσιμότητας των ίδιων, όπως συμβαίνει στην υπόθεση στην οποία υπάρχει, για παράδειγμα, κλοπή συσκευής.
Όταν συμβεί η παραβίαση δεδομένων
Οι τύποι παραβιάσεων δεδομένων είναι αρκετά διαφορετικοί και επομένως, ως παράδειγμα, μπορούμε να αναφέρουμε ότι εμπίπτουν στην περίπτωση η πρόσβαση ή η απόκτηση δεδομένων από μη εξουσιοδοτημένα τρίτα μέρη, η κλοπή ή η απώλεια συσκευών πληροφορικής που περιέχουν προσωπικά δεδομένα, η αδυναμία πρόσβασης δεδομένα που οφείλονται σε τυχαία αίτια ή λόγω εξωτερικών επιθέσεων, ιών, κακόβουλου λογισμικού κ.λπ., της σκόπιμης αλλοίωσης προσωπικών δεδομένων, της απώλειας ή καταστροφής προσωπικών δεδομένων λόγω ατυχημάτων, δυσμενών συμβάντων, πυρκαγιών ή άλλων καταστροφών, της μη εξουσιοδοτημένης αποκάλυψης προσωπικών δεδομένων .
Όπου μπορεί να συμβεί παραβίαση δεδομένων
Μια παραβίαση δεδομένων, η οποία νοείται, όπως αναφέρθηκε, ως παραβίαση που επηρεάζει τη διαθεσιμότητα, την ακεραιότητα και το απόρρητο των δεδομένων, μπορεί να αφορά οποιονδήποτε τομέα, φυσικό και ψηφιακό.
Σκεφτείτε, για παράδειγμα, την καταστροφή ενός χάρτινου αρχείου ή την κλοπή εγγράφων ή, πάλι, την παραποίηση και την αλλοίωση του ίδιου.
Τα υποκείμενα που επηρεάζονται από παραβίαση δεδομένων
Η παραβίαση δεδομένων αντιπροσωπεύει ένα γεγονός το οποίο, ανάλογα με τα ειδικά χαρακτηριστικά της κάθε περίπτωσης, μπορεί να περιλαμβάνει διαφορετικά θέματα.
Υπεύθυνος επεξεργασίας δεδομένων είναι αυτός που, σύμφωνα με το άρθ. 33 GDPR, πρέπει να ενεργοποιηθεί χωρίς αδικαιολόγητη καθυστέρηση και, όπου είναι δυνατόν, εντός 72 ωρών από τη στιγμή που το αντιλήφθηκε, να ειδοποιήσει την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την παραβίαση, εκτός από τις περιπτώσεις που είναι απίθανο η παραβίαση προσωπικών δεδομένων να ενέχει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Αντίθετα, εάν η παραβίαση εγκυμονεί υψηλούς κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο ιδιοκτήτης, πάλι χωρίς καθυστέρηση, οφείλει να ενημερώσει και τους ενδιαφερόμενους. Σε περίπτωση που έχει οριστεί Υπεύθυνος Επεξεργασίας Δεδομένων, όταν αντιληφθεί παραβίαση, καλείται να ενημερώσει εγκαίρως τον ιδιοκτήτη ώστε να προβεί σε ενέργειες.
Τα αίτια της παραβίασης δεδομένων
Όπως αναφέρθηκε, η παραβίαση δεδομένων είναι παραβίαση ασφάλειας που περιλαμβάνει – τυχαία ή παράνομα – την καταστροφή, απώλεια, τροποποίηση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση στα δεδομένα που υποβάλλονται σε επεξεργασία και αυτό σημαίνει, στην πράξη, ότι τα μέτρα ασφαλείας που υιοθετήθηκαν δεν λειτούργησαν. Ωστόσο, δεν πρέπει να πέσουμε στο λάθος να συσχετίσουμε αυτόματα την παραβίαση δεδομένων με την επάρκεια των μέτρων που υιοθετήθηκαν ώστε να απορρέει ως και απλούστερη μια (αντικειμενική) ευθύνη του υπεύθυνου επεξεργασίας δεδομένων. Το θέμα είναι πολύ πιο περίπλοκο, δεδομένου ότι ο ΓΚΠΔ δεν προβλέπει τέτοιου είδους ευθύνη εκ μέρους του ιδιοκτήτη, αλλά παρέχει τη δυνατότητα στον ίδιο να αποδείξει ότι έχει κάνει ό,τι περνά από το χέρι του για να προστατεύσει τα δεδομένα που υποβάλλονται σε επεξεργασία. .
Ο ανθρώπινος παράγοντας και η σημασία της εκπαίδευσης
Εάν αφενός το γεγονός παραβίασης δεδομένων δεν μπορεί να εξαλειφθεί πλήρως, καθώς, όπως αναμενόταν, δεν υπάρχει μηδενικός κίνδυνος, αφετέρου είναι απαραίτητο να αναρωτηθεί κανείς για τις στρατηγικές και τα μέτρα που πρέπει να υιοθετήσει για να περιοριστεί όσο το δυνατόν περισσότερο ο κίνδυνος.
Πέρα από τα «επαρκή» τεχνικά και οργανωτικά μέτρα, όπως στην ορολογία του Ευρωπαϊκού Κανονισμού, σημαντικό μέρος της πρόληψης αντιπροσωπεύει η εκπαίδευση του προσωπικού.
Μέχρι σήμερα, ο ανθρώπινος παράγοντας εξακολουθεί να αντιπροσωπεύει μια αρκετά διαδεδομένη αχίλλειο πτέρνα σε πολλές πραγματικότητες, ακόμη και δομημένες και μεγάλες.
Η έλλειψη επαρκούς και ειδικής κατάρτισης, η απουσία επαρκών πολιτικών για τη χρήση εργαλείων και διαδικασιών πληροφορικής, εξακολουθούν να είναι σήμερα αρκετά διαδεδομένες αιτίες παραβιάσεων δεδομένων.
Η ουσία του θέματος αντιπροσωπεύεται όχι μόνο από το είδος της προστασίας που υιοθετείται, αλλά και από τις μεθόδους εφαρμογής της, από την ενημέρωση και από την ειδική εκπαίδευση που παρέχεται στα υποκείμενα που επεξεργάζονται τα δεδομένα.
Πράγματι, δεν πρέπει να λησμονείται ότι η συμμόρφωση πρέπει να πραγματοποιείται σε πολλά επίπεδα, πρέπει να είναι εγκάρσια και δεν μπορεί να αφορά μόνο την τεχνική πλευρά και την ασφάλεια στον κυβερνοχώρο, αλλά και την οργανωτική και διαδικαστική πτυχή όσον αφορά τον λεγόμενο ανθρώπινο παράγοντα.