Άρθρο 64 Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων (Άρθρο 31 της Οδηγίας)

1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να προκαλέσει σημαντικό κίνδυνο για τα προστατευόμενα έννομα συμφέροντα φυσικού προσώπου, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμέσως στο υποκείμενο των δεδομένων το περιστατικό.
2. Κατά τη γνωστοποίηση στο υποκείμενο των δεδομένων, σύμφωνα με την παράγραφο 1 περιγράφεται κατά τρόπο εύληπτο και σαφή η φύση της παραβίασης και αναφέρεται τουλάχιστον το περιεχόμενο των περιπτώσεων β΄, γ΄ και δ΄ της παραγράφου 3 του προηγούμενου άρθρου.
3. Γνωστοποίηση στο υποκείμενο των δεδομένων δεν απαιτείται, εφόσον πληρούται οποιοσδήποτε από τους παρακάτω όρους:
α) ο υπεύθυνος επεξεργασίας έχει λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας και έχει εφαρμόσει τα μέτρα αυτά στα δεδομένα προσωπικού χαρακτήρα που θίγονται από την παραβίαση• αυτό ισχύει ιδιαίτερα για τα μέτρα, όπως η κρυπτογράφηση, μέσω της οποίας τα δεδομένα καθίσταται απρόσιτα σε μη εξουσιοδοτημένα πρόσωπα•
β) ο υπεύθυνος επεξεργασίας έλαβε εκ των υστέρων μέτρα που διασφαλίζουν την προστασία έναντι της παραβίασης των δεδομένων προσωπικού χαρακτήρα• ή
γ) απαιτούνται δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, πρέπει να γίνεται δημόσια γνωστοποίηση ή να λαμβάνονται παρόμοια μέτρα, ώστε το υποκείμενο των δεδομένων να ενημερώνεται με εξίσου αποτελεσματικό τρόπο.
4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ενημερώσει το υποκείμενο των δεδομένων για τυχόν παραβίαση δεδομένων προσωπικού χαρακτήρα, η Αρχή μπορεί να δηλώσει επισήμως ότι θεωρεί ότι δεν πληρούνται οι προϋποθέσεις της παραγράφου 3. Με τον τρόπο αυτό, πρέπει να λάβει υπόψη την πιθανότητα ότι η ζημία θα οδηγήσει σε σημαντικό κίνδυνο κατά την έννοια της παραγράφου 1.
5. Η κοινοποίηση στο υποκείμενο των δεδομένων σύμφωνα με την παράγραφο 1 μπορεί να αναβληθεί, να περιοριστεί ή να παραλειφθεί υπό τους όρους που ορίζονται στο άρθρο 54 παράγραφος 2, εκτός εάν τα συμφέροντα του υποκειμένου των δεδομένων υπερτερούν του σημαντικού κινδύνου της παραβίασης κατά την έννοια της παραγράφου 1.

  • 20 Αυγούστου 2019, 16:28 | Δημήτριος Ευ. Τζέλλης
    Το βλέπω Θετικά/Αρνητικά:  

    Κατά την αιτιολογική σκέψη 62 της Οδηγίας (EE) 2016/680, η ενημέρωση από τον υπεύθυνο επεξεργασίας πρέπει να περιέχει και συστάσεις προς το υποκείμενο των δεδομένων, που αυτό μπορεί να λάβει, για τον μετριασμό δυνητικών δυσμενών συνεπειών.
    Η ενημέρωση για την παραβίαση των προσωπικών δεδομένων είναι απαραίτητη όταν εξαιτίας της απειλείται υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, προκειμένου τα πρόσωπα να λάβουν τις αναγκαίες προφυλάξεις για να αποφύγουν ή να περιορίσουν τις δυσμενείς συνέπειες, που περιλαμβάνουν τη σωματική, υλική ή ηθική βλάβη, όπως απώλεια του ελέγχου επί των προσωπικών τους δεδομένων, περιορισμό των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο.
    Κρίσιμη για τον ενωσιακό νομοθέτη δεν είναι απλώς η υποχρέωση ενημέρωσης από τον υπεύθυνο επεξεργασίας, αλλά και η προαπαιτούμενη βαθιά γνώση των συνεπειών μιας παραβίασης και αίσθημα ευθύνης που αποδεικνύεται με πρόβλεψη, από τον υπεύθυνο επεξεργασίας, μέτρων που δύναται να λάβει το ίδιο το υποκείμενο των δεδομένων για μετριασμό των συνεπειών της παραβίασης, τα οποία ο υπεύθυνος επεξεργασίας οφείλει να επικοινωνήσει προς το υποκείμενο των δεδομένων.
    Ο υπεύθυνος επεξεργασίας οφείλει να συστήσει στο υποκείμενο των δεδομένων μέτρα που αυτό μπορεί να λάβει για να μετριαστούν οι συνέπειες της παραβίασης των προσωπικών του δεδομένων, κάτι που δεν προβλέπεται ούτε στην κατά παραπομπή αναφερόμενη περίπτωση δ΄ της παρ. 3 του άρ. 63, και πρέπει να συμπληρωθεί με προσθήκη εδαφίου στο τέλος της παραγράφου 2 του άρ. 64, του οποίου η διατύπωση θα έχει ως εξής:
    2. Κατά τη γνωστοποίηση … παραγράφου 3 του προηγούμενου άρθρου. Ο υπεύθυνος επεξεργασίας περιλαμβάνει στην ενημέρωση συστάσεις προς το υποκείμενο των δεδομένων για τον μετριασμό δυνητικών δυσμενών συνεπειών.

    Ταυτόχρονα, να αντικατασταθεί στην παρ. 1 του άρ. 64 ο όρος “το περιστατικό” με τον όρο “την παραβίαση”.