Οι προτάσεις της ΕΕ για την παραβίαση δεδομένων πρέπει να λαμβάνουν υπόψη τη φύση του GDPR, υποστηρίζουν οι ασφαλιστές

Η Insurance Europe δημοσίευσε την απάντησή της σε διαβούλευση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB) σχετικά με τις ειδοποιήσεις παραβίασης δεδομένων.

Όπως τονίζει , οι κατευθυντήριες γραμμές του EDPB θα πρέπει να αναθεωρηθούν ώστε να λαμβάνουν πλήρως υπόψη την προσέγγιση βάσει κινδύνου για παραβιάσεις δεδομένων που καθορίζονται στον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR).

Εάν όχι, θα μπορούσε να δημιουργήσει μια ανεπιθύμητη διοικητική επιβάρυνση τόσο για τους υπευθύνους επεξεργασίας δεδομένων όσο και για τις εποπτικές αρχές που θα μπορούσαν ενδεχομένως να μετατοπίσουν την εστίαση και των δύο μερών μακριά από σοβαρότερες παραβιάσεις και άλλα σημαντικά θέματα που σχετίζονται με την προστασία των δεδομένων.

Για παράδειγμα, σε μία από τις περιπτώσεις που αναφέρονται ρητά στον ασφαλιστικό κλάδο, το EDPB κατέληξε σε λανθασμένα συμπεράσματα σχετικά με τους κινδύνους που γενικά συνδέονται με τυχαία αποκάλυψη ασφαλιστικών εγγράφων.

Σε αυτήν την περίπτωση, όταν μια επιστολή αποστέλλεται σε λάθος αντισυμβαλλόμενο, το EDPB προτείνει ότι, εάν δεν μπορεί να αποκλειστεί πλήρως μια κατάχρηση, ο υπεύθυνος επεξεργασίας πρέπει πάντα να επικοινωνεί με το υποκείμενο των δεδομένων, ακόμη και αν τα δεδομένα δεν είναι ευαίσθητα και ο κίνδυνος κατάχρησης είναι εξαιρετικά χαμηλός. Αυτό δεν θα ήταν σύμφωνο με την προσέγγιση βάσει κινδύνου που καθιερώθηκε από τον GDPR.

Σε γενικές γραμμές, όταν μια παραβίαση προσωπικών δεδομένων επηρεάζει έναν πολύ μικρό αριθμό υποκειμένων δεδομένων, περιλαμβάνει έναν περιορισμένο αριθμό μη ευαίσθητων κατηγοριών προσωπικών δεδομένων και όταν δεν υπάρχουν φαινομενικά επιβαρυντικές περιστάσεις που υποδηλώνουν ότι η παραβίαση θα οδηγήσει σε αξιοσημείωτο κίνδυνο για τα επηρεαζόμενα άτομα, τέτοια παραβίαση θα πρέπει να θεωρείται και να αντιμετωπίζεται ως χαμηλού κινδύνου από τις επιχειρήσεις.