Προσδιορισμός μέτρων ασφάλειας

Ο ΓΚΠΔ δεν περιέχει συγκεκριμένα μέτρα ασφάλειας τα οποία οφείλουν να εφαρμόζουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες  επεξεργασία. Για τον προσδιορισμό των κατάλληλων μέτρων ασφάλειας ακολουθείται προσέγγιση με βάση τον κίνδυνο (risk-based approach). Οι φορείς καλούνται να ακολουθούν μια διαδικασία διαχείρισης κινδύνων ασφάλειας με σωστή αξιολόγηση των κινδύνων και των πιθανών συνεπειών τους για τα υποκείμενα των δεδομένων (άρθρα 25 και 32), λαμβάνοντας υπόψη:

  1. Τις τελευταίες εξελίξεις της τεχνολογίας,
  2. Το κόστος εφαρμογής των μέτρων ασφάλειας,
  3. Τα χαρακτηριστικά της επεξεργασίας (φύση, πεδίο εφαρμογής, πλαίσιο και σκοποί επεξεργασίας),
  4. Τους κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, συνυπολογίζοντας για κάθε κίνδυνο τη διαφορετική πιθανότητα υλοποίησής του και τη σοβαρότητα των συνεπειών, αν αυτός επέλθει.

Στο άρθρο 32 του ΓΚΠΔ προτείνονται «ενδεδειγμένα» τεχνικά και οργανωτικά μέτρα ασφάλειας:

  1. Ψευδωνυμοποίηση και Κρυπτογράφηση.
  2. Διασφάλιση Απορρήτου, Ακεραιότητας, Διαθεσιμότητας και Αξιοπιστίας.
  3. Αποκατάσταση Διαθεσιμότητας και της πρόσβασης σε περίπτωση συμβάντος.
  4. Διαδικασία για τη δοκιμή, εκτίμηση και διαρκή αξιολόγηση της αποτελεσματικότητας των μέτρων.

Οι υπεύθυνοι και εκτελούντες  επεξεργασία οφείλουν να λαμβάνουν υπόψη ιδιαίτερα τα παραπάνω μέτρα και να τα εφαρμόζουν όταν ενδείκνυται. Από τα παραπάνω «προτεινόμενα» μέτρα γίνεται σαφές ότι η ασφάλεια στον ΓΚΠΔ περιλαμβάνει και τεχνικές προστασίας της ιδιωτικότητας, όπως με τη χρήση ψευδωνύμων, κρυπτογράφησης ή την ασφαλή διαγραφή δεδομένων, μετά το τέλος της περιόδου τήρησης. Τα εν λόγω μέτρα συνδέονται στενά και με την υποχρέωση των υπευθύνων επεξεργασίας για λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Τέλος, σε κάθε περίπτωση, τα υλοποιημένα μέτρα πρέπει να υποβάλλονται σε περιοδική, τουλάχιστον, αναθεώρηση.

Με τον ΓΚΠΔ διατηρείται η υποχρέωση λήψης μέτρων ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος  επεξεργασία και έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται προσωπικά δεδομένα μόνο κατ' εντολή του υπευθύνου επεξεργασίας.

Τονίζεται ότι στην τομεακή νομοθεσία για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, αν και κατά κανόνα ακολουθείται η λογική του προσδιορισμού των μέτρων ασφάλειας με βάση τον κίνδυνο, ορίζονται και συγκεκριμένα ελάχιστα μέτρα ασφάλειας. Συγκεκριμένα, οι υπεύθυνοι επεξεργασίας που εμπίπτουν στο πεδίο εφαρμογής του ν. 3471/2006 (πάροχοι διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα) οφείλουν να εφαρμόζουν τις προβλέψεις του άρθρου 12 του ν. 3471/2006 (όπως έχει τροποποιηθεί με τον ν. 4070/2012) κατ’ εφαρμογή της οδηγίας 2002/58/EK (όπως έχει τροποποιηθεί με την οδηγία 2009/136/ΕΚ), ενώ οι αρχές που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου Δ του ν. 4624/2019 (οδηγία (ΕΕ) 2016/680) οφείλουν να εφαρμόζουν τα μέτρα ασφάλειας που ορίζονται στο άρθρο 62 του εν λόγω νόμου.