Έναν χρόνο μετά την ερευνητική συνεισφορά μου στην πλατφόρμα compliance της OneTrust την DataGuidance σε σχέση με τις ειδοποιήσεις παραβίασης δεδομένων (Data Βreach Νotification) στην Κύπρο, ενημέρωσα και φέτος το white paper με τις σημαντικές εξελίξεις.
Η Σύγκλιση GDPR, NIS2 και DORA
Η πιο σημαντική αλλαγή αφορά τη διασύνδεση του GDPR με τις νέες Ευρωπαϊκές νομοθεσίες. Στην Κύπρο, η Οδηγία NIS2 μεταφέρθηκε μέσω του Νόμου 89(I)/2020, ενώ ο Κανονισμός DORA εφαρμόζεται άμεσα για τις χρηματοπιστωτικές οντότητες μέσω της Εγκυκλίου C700 της CySEC (Απριλίου 2025).
Αυτό σημαίνει ότι σε περιπτώσεις παραβιάσεων δεδομένων που αφορούν περιστατικά κυβερνοασφάλειας, οι οργανισμοί πρέπει να εξετάζουν όχι μόνο το GDPR αλλά και εάν εφαρμόζονται πιο ειδικά πλαίσια όπως το NIS2 (για κρίσιμους τομείς) ή το DORA (για χρηματοοικονομικές υπηρεσίες), τα οποία μπορεί να επιβάλλουν πρόσθετες ή πιο αυστηρές υποχρεώσεις ειδοποίησης.
Ειδική Κυπριακή Εξαίρεση: Το Άρθρο 12
Ωστόσο, στην Κυπριακή πρακτική εφαρμογή οι υπεύθυνοι επεξεργασίας στην πλειοψηφία των περιπτώσεων διαβουλεύονται με το Γραφείο της Επιτρόπου προτού αποφασίσουν να μην ενημερώσουν τα υποκείμενα, λαμβάνοντας καθοδήγηση για κάθε περίπτωση ξεχωριστά.
Επιπλέον, το Άρθρο 12 παρέχει στους υπεύθυνους επεξεργασίας τη δυνατότητα να ζητήσουν επίσημη απαλλαγή από την Επίτροπο σε ευαίσθητες περιπτώσεις που αφορούν εθνική ασφάλεια, δημόσια ασφάλεια ή δικαστική ανεξαρτησία (βάσει Άρθρου 23 GDPR), μέσω τυπικής διαδικασίας που περιλαμβάνει εκτίμηση αντικτύπου και προηγούμενη διαβούλευση.
Φετινές Αποφάσεις της Επιτρόπου
Το ενημερωμένο άρθρο περιλαμβάνει πέντε πρόσφατες αποφάσεις που διαμορφώνουν την πρακτική εφαρμογή:
- Υπόθεση Ιατρού (77/21): Παράνομη πρόσβαση σε ιατρικά δεδομένα μέσω του Συστήματος ΓΕΣΥ με πρόστιμο €1.500.
- Υπόθεση Κτηματολογίου (21/12/2023): Κυβερνοεπίθεση χωρίς διαρροή δεδομένων αλλά με ανεπαρκή μέτρα ασφαλείας – επιβολή επίπληξης και εντολή ενίσχυσης ασφάλειας.
- Υποθέσεις Google Analytics (28/2/2024):: Παράνομες διεθνείς μεταφορές δεδομένων στις ΗΠΑ χωρίς πρόστιμα αλλά με εντολή συμμόρφωσης εντός μηνός.
- Υπόθεση Οργανισμού Ασφάλισης Υγείας (18/12/2024): Διπλό πρόστιμο (€1.500 για ελλιπή απάντηση σε αίτημα πρόσβασης + €3.000 για μη συνεργασία με την Αρχή).
- Υπόθεση Ιατρού ΓΕΣΥ (3/9/2024): Επεξεργασία πέραν του σκοπού με επίπληξη χωρίς πρόστιμο.
Κατάληξη
Η ενημέρωση αντανακλά μια πιο πολύπλοκη πραγματικότητα: οι οργανισμοί στην Κύπρο δεν μπορούν πλέον να εξετάζουν απλώς το GDPR μεμονωμένα. Χρειάζεται ολοκληρωμένη προσέγγιση που λαμβάνει υπόψη τομεακές νομοθεσίες, ιδίως όταν μια παραβίαση δεδομένων συνδέεται με περιστατικό κυβερνοασφάλειας.
Το πλήρες ενημερωμένο άρθρο είναι διαθέσιμο στην πλατφόρμα OneTrust DataGuidance .
Εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με τις ειδοποιήσεις παραβίασης δεδομένων ή το δίκαιο προστασίας δεδομένων στην Κύπρο, μη διστάσετε να επικοινωνήσετε μαζί μου.
Περαιτέρω αρθρογραφία μου
Για όσους ενδιαφέρονται να εμβαθύνουν περισσότερο στα θέματα προστασίας προσωπικών δεδομένων και GDPR, σας προσκαλώ να ρίξετε μια ματιά στην υπόλοιπη αρθρογραφία μου. Αυτά τα άρθρα καλύπτουν ένα ευρύ φάσμα θεμάτων, από κοινωνικές συζητήσεις μέχρι πρακτικές εφαρμογές και κριτικές αναλύσεις:
- When the GDPR goes wrong…: Μια κριτική ματιά στις αδυναμίες και τις πιθανές αρνητικές συνέπειες του GDPR, συμπεριλαμβανομένων ζητημάτων καινοτομίας και ανταγωνιστικότητας.
- The Consent Paradox: How EU Regulations Enabled Corporate Data Harvesting: Μια νομική ανάλυση που εξετάζει πώς οι ευρωπαϊκοί κανονισμοί για τα cookies δημιούργησαν ένα σύστημα επιτήρησης ελεγχόμενο από 8-10 εταιρείες, με ακαδημαϊκές μελέτες να δείχνουν ότι το 85% των συστημάτων συναίνεσης παραβιάζουν τις βασικές απαιτήσεις GDPR, μετατρέποντας την προστασία απορρήτου σε «θέατρο συναίνεσης».
- Το Facebook μας καλωσορίζει στην post-data εποχή & γιατί το GDPR είναι μια επικίνδυνη ανοησία: Μια προκλητική άποψη για την εξέλιξη της τεχνολογίας και των δεδομένων, αμφισβητώντας την αποτελεσματικότητα του GDPR.
- Ανοιχτή Επιστολή: Επικείμενη παραβίαση του απορρήτου των επικοινωνιών από το Ευρωπαϊκό Κοινοβούλιο: Μια ανάλυση των κινδύνων που ενέχει η χρήση αλγορίθμων για την παρακολούθηση επικοινωνιών, τονίζοντας τη σημασία της ιδιωτικότητας και της αναλογικότητας στη νομοθεσία.
