Νομικό Πλαίσιο & GDPR

Νομικό Πλαίσιο & GDPR (Άρθρο 32) για την Ασφάλεια Δεδομένων

Η προστασία της ασφάλειας των δεδομένων δεν είναι μόνο τεχνικό ή οργανωτικό ζήτημα, είναι πρωτίστως νομική υποχρέωση που θεμελιώνεται σε εθνικό, ευρωπαϊκό και διεθνές δίκαιο. Ο Γενικός Κανονισμός Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679, γνωστός ως GDPR) καθιερώνει το βασικό πλαίσιο, ενώ ο ελληνικός Ν. 4624/2019 προσαρμόζει τις διατάξεις του GDPR στην ελληνική έννομη τάξη. Το κεντρικό σημείο αναφοράς για την ασφάλεια είναι το Άρθρο 32 GDPR, το οποίο περιγράφει λεπτομερώς τις υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία.

1. Το περιεχόμενο του Άρθρου 32 GDPR

Το Άρθρο 32 ορίζει ότι ο υπεύθυνος επεξεργασίας και ο εκτελών επεξεργασία οφείλουν να εφαρμόζουν «κατάλληλα τεχνικά και οργανωτικά μέτρα» ώστε να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο με τον κίνδυνο. Ενδεικτικά μέτρα είναι:

  • Ψευδωνυμοποίηση και κρυπτογράφηση προσωπικών δεδομένων.

  • Εξασφάλιση εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας και ανθεκτικότητας συστημάτων και υπηρεσιών.

  • Δυνατότητα ταχείας αποκατάστασης της διαθεσιμότητας και πρόσβασης σε δεδομένα μετά από φυσικό ή τεχνικό συμβάν.

  • Διαδικασίες τακτικής δοκιμής και αξιολόγησης της αποτελεσματικότητας των μέτρων.

Η καινοτομία του άρθρου είναι ότι δεν επιβάλλει συγκεκριμένα μέτρα «μία λύση για όλους». Αντίθετα, εισάγει την αρχή της αναλογικότητας και της ευθύνης βάσει κινδύνου. Δηλαδή, ο φορέας πρέπει να σταθμίσει:

  • τη φύση των δεδομένων (ευαίσθητα, απλά προσωπικά, εμπορικά),

  • τον σκοπό και το πλαίσιο της επεξεργασίας,

  • τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων,

  • το κόστος και την τεχνολογική πρόοδο.

Έτσι, διαφορετικό επίπεδο ασφάλειας απαιτείται σε ένα dataset που περιέχει στατιστικά για τον αριθμό επισκέψεων σε μια δημόσια υπηρεσία και διαφορετικό σε ένα dataset με πληροφορίες υγείας ή δεδομένα γεωεντοπισμού.

2. Σχέση με άλλες διατάξεις του GDPR

Το άρθρο 32 δεν λειτουργεί μεμονωμένα. Αλληλεπιδρά με:

  • Άρθρο 5 GDPR – Αρχές επεξεργασίας: ιδίως την αρχή της «ακεραιότητας και εμπιστευτικότητας». Δηλαδή, τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων

  • Άρθρο 25 – Privacy by design & by default: η ασφάλεια πρέπει να ενσωματώνεται εξαρχής στον σχεδιασμό συστημάτων και διαδικασιών. Δηλαδή, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.

  • Άρθρο 33 – Γνωστοποίηση παραβίασης: εάν υπάρξει περιστατικό ασφάλειας, ο υπεύθυνος επεξεργασίας έχει υποχρέωση ενημέρωσης της εποπτικής αρχής εντός 72 ωρών.

  • Άρθρο 35 – Εκτίμηση Αντικτύπου (DPIA): όταν μια επεξεργασία είναι υψηλού κινδύνου, ο φορέας πρέπει να τεκμηριώσει ειδικά τα μέτρα ασφάλειας που θα λάβει.

3. Ενσωμάτωση στην ελληνική έννομη τάξη

Ο Ν. 4624/2019 εξειδικεύει το πλαίσιο στην Ελλάδα. Προβλέπει ότι οι δημόσιοι φορείς οφείλουν να εφαρμόζουν τα μέτρα ασφάλειας του άρθρου 32 και ενδυναμώνει τον ρόλο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Η Αρχή έχει αρμοδιότητα να ελέγχει την αποτελεσματικότητα των μέτρων και να επιβάλλει πρόστιμα ή άλλες κυρώσεις.

Παράλληλα, το άρθρο 38 του Ν. 4624/2019 προβλέπει ποινικές κυρώσεις για παράνομη διάδοση ή διάθεση προσωπικών δεδομένων, που μπορεί να περιλαμβάνουν φυλάκιση και χρηματικά πρόστιμα. Έτσι, η ευθύνη δεν είναι μόνο διοικητική αλλά και ποινική.

4. Η έννοια του «state of the art» και της αναλογικότητας

Τα μέτρα πρέπει να λαμβάνουν υπόψη την «τεχνολογική πρόοδο» (state of the art). Αυτό σημαίνει ότι οι φορείς πρέπει να παρακολουθούν τις εξελίξεις και να ενημερώνουν τα μέτρα τους. Ένα παλιό μέτρο που ήταν επαρκές το 2010 (π.χ. κωδικοί 6 χαρακτήρων) σήμερα δεν θεωρείται πλέον ασφαλές.

Η αναλογικότητα εισάγει την ιδέα ότι τα μέτρα πρέπει να είναι ανάλογα με τον κίνδυνο. Δεν απαιτείται από έναν μικρό δήμο να εφαρμόσει τεράστιες υποδομές κυβερνοασφάλειας, αλλά απαιτείται να λάβει βασικά και εύλογα μέτρα (π.χ. ισχυρούς κωδικούς, κρυπτογράφηση, έλεγχο πρόσβασης). Αντίθετα, ένα υπουργείο που διαθέτει δεδομένα υγείας πρέπει να εφαρμόζει προηγμένα μέτρα, ακόμη και αν είναι δαπανηρά.

5. Πρακτικές εφαρμογής για φορείς ανοικτών δεδομένων

Για να θεωρηθεί συμμόρφωση με το άρθρο 32, ένας δημόσιος φορέας πρέπει να έχει:

  • Πολιτική ασφάλειας εγκεκριμένη και σε ισχύ.

  • Επίσημο μηχανισμό ελέγχου πρόσβασης (RBAC/ABAC).

  • Εφαρμογή κρυπτογράφησης σε όλα τα αποθηκευμένα και μεταφερόμενα δεδομένα.

  • Ενεργό σχέδιο αντιμετώπισης περιστατικών (incident response plan).

  • Περιοδικές αξιολογήσεις ασφάλειας (audits, penetration testing).

  • Τεκμηρίωση των μέτρων σε DPIA ή σε risk register.

6. Ο ρόλος των εποπτικών αρχών

Η ΑΠΔΠΧ στην Ελλάδα και το EDPB σε επίπεδο ΕΕ δίνουν οδηγίες για το πώς εφαρμόζεται το άρθρο 32. Η νομολογία δείχνει ότι οι αρχές δεν δέχονται δικαιολογίες περί κόστους ή τεχνικής δυσκολίας, όταν τα μέτρα είναι γνωστά και ευρέως διαθέσιμα. Εξετάζεται πάντοτε η αναλογικότητα και το αν ο φορέας μπορεί να αποδείξει (accountability) ότι αξιολόγησε τον κίνδυνο και έλαβε εύλογα μέτρα.

Συμπέρασμα

Το άρθρο 32 GDPR είναι ο ακρογωνιαίος λίθος της ασφάλειας δεδομένων. Δεν περιορίζεται σε γενικές αρχές, αλλά επιβάλλει ενεργές, τεκμηριωμένες και προσαρμοσμένες στον κίνδυνο ενέργειες. Στην πράξη, για τα ανοικτά δεδομένα αυτό σημαίνει:

  • Δεν αρκεί να «καθαρίσουμε» ένα dataset και να το ανεβάσουμε.

  • Απαιτείται πλήρης αξιολόγηση κινδύνου, εφαρμογή τεχνικών μέτρων και τεκμηρίωση της διαδικασίας.

  • Αν κάτι πάει στραβά, ο φορέας πρέπει να μπορεί να αποδείξει ότι είχε εφαρμόσει μέτρα σύμφωνα με το άρθρο 32.

Η συμμόρφωση με το άρθρο 32 δεν είναι απλώς νομική άσκηση, είναι προϋπόθεση για την αξιοπιστία και τη βιωσιμότητα της στρατηγικής ανοικτών δεδομένων

PreviousΕισαγωγή & Σημασία της Ασφάλειας ΔεδομένωνNextΝομικό Πλαίσιο & GDPR (Άρθρο 32) για την Ασφάλεια Δεδομένων – Σύνδεση με Ανοικτά Δεδομένα

Last updated