Εταιρικοί κανόνες για την προστασία των προσωπικών δεδομένων

On By pikramenoslawIn Κανονισμός 2016/679 (GDPR)

Σύμφωνα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την ασφαλή επεξεργασία και προστασία των προσωπικών δεδομένων είναι απαραίτητη η κατάρτιση Πολιτικής Ασφαλείας, Σχεδίου Ασφαλείας και Σχεδίου Ανάκαμψης από Καταστροφές. Επωφελής, επίσης, είναι κατά την γνώμη μας και η κατάρτιση Πολιτικής ικανοποίησης δικαιωμάτων των υποκειμένων της επεξεργασίας.

Οι παραπάνω υποχρεώσεις πηγάζουν ευθέως από τον Κανονισμό 2016/679 (GDPR), και στην πλειοψηφία τους ήδη προβλέπονταν από την Οδηγία 95/46/ΕΚ κατ’ εφαρμογή της οποίας ψηφίστηκε και ο νόμος 2472/1997.

Με απλά λόγια και έχοντας κατά νου μια επιχείρηση, η οποία περιορίζεται στην εσωτερική επεξεργασία προσωπικών δεδομένων και δεν αποστέλλει τέτοιου είδους δεδομένα στην αλλοδαπή θα επιχειρήσουμε να προσεγγίσουμε τις παραπάνω έννοιες.

Η Πολιτική Ασφαλείας

Η Πολιτική Ασφαλείας αποτελεί ένα έγγραφο, στο οποίο περιγράφονται συνοπτικά οι στόχοι ασφαλείας του υπευθύνου επεξεργασίας και τα μέτρα, που απαιτούνται να ληφθούν για την επίτευξή τους σύμφωνα με την ισχύουσα εθνική και ευρωπαϊκή νομοθεσία και τις εγκυκλίους της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Ο υπεύθυνος επεξεργασίας καταγράφει, δηλαδή, τις βασικές αρχές ασφαλείας των προσωπικών δεδομένων, που τηρεί και με αυτόν τον τρόπο αυτοδεσμεύεται.

Στην Πολιτική Ασφαλείας προσδιορίζονται τα προστατευόμενα αγαθά και δίνονται γενικές κατευθύνσεις για τα οργανωτικά, τεχνικά και μέτρα φυσικής ασφάλειας, τα οποία θα εξειδικευτούν στο πλαίσιο του Σχεδίου Ασφαλείας. Προσδιορίζονται, ακόμα, οι επιμέρους τομείς ασφαλείας και οι βασικοί κανόνες, που πρέπει να ακολουθούνται σε αυτούς για την επίτευξη των στόχων, που θέτει η πολιτική ασφαλείας.

Η γλώσσα στην οποία είναι γραμμένη η Πολιτική Ασφαλείας πρέπει να είναι απλή και κατανοητή απ’ όλους τους εργαζόμενους της επιχείρησης, που χειρίζονται προσωπικά δεδομένα και για τους οποίους είναι δεσμευτική.

Πρέπει, τέλος, να μην υπόκειται συχνά σε τροποποιήσεις, παρά μόνο όταν λαμβάνουν χώρα ποιοτικά σημαντικές αλλαγές στην υποδομή της επιχείρησης. Είναι, με λίγα λόγια, απαραίτητο η Πολιτική Ασφαλείας να έχει μια φιλοσοφία δεκτική γενικεύσεως, ώστε να μην χρειάζεται προσθήκες σε περίπτωση ήσσονος σημασίας μεταβολών της επιχειρησιακής λειτουργίας σε τεχνικό ή οργανωτικό επίπεδο.

Το Σχέδιο Ασφαλείας

Το Σχέδιο Ασφαλείας είναι ένα έγγραφο, στο οποίο περιγράφονται λεπτομερώς τα οργανωτικά, τεχνικά και μέτρα φυσικής ασφαλείας , που λαμβάνονται προκειμένου να γίνουν πράξη οι θεμελιώδεις αρχές ασφαλείας. Αποτελεί ουσιαστικά ένα πλάνο υλοποίησης των όσων περιγράφονται σε θεωρητικό επίπεδο στην Πολιτική Ασφαλείας και πρέπει να καλύπτει όλη την τεχνολογική υποδομή και τα συστήματα επεξεργασίας προσωπικών δεδομένων της επιχείρησης. (υλικού και λογισμικού)

Εξαιτίας της φύσης του πρέπει να υπόκειται σε τακτικές επισκοπήσεις ώστε να ανταποκρίνεται πλήρως στις ενδεχόμενες τροποποιήσεις των πληροφοριακών συστημάτων και υποδομών. Πρέπει, επιπλέον, να περιλαμβάνει διαδικασίες για την εκπόνηση ετησίων ελέγχων, εσωτερικών και εξωτερικών, μέσω των οποίων θα ελέγχεται η αποτελεσματικότητα των μέτρων ασφαλείας και θα εξετάζεται η ανάγκη αναθεώρησης και συμπλήρωσης αυτών.

Οργανωτικά μέτρα ασφαλείας.

 

  1. Ορισμός Υπευθύνου Προστασίας

Ο υπεύθυνος επεξεργασίας ορίζει «υπεύθυνο προστασίας» δεδομένων, όταν , γίνεται επεξεργασία ιδιαίτερα ευαίσθητων προσωπικών δεδομένων, όπως μεταξύ άλλων βιομετρικών δεδομένων και δεδομένων που σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου.

Ο υπεύθυνος προστασίας:

  • ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους του για τις υποχρεώσεις τους που απορρέουν από τον Κανονισμό και από άλλες διατάξεις του ευρωπαϊκού ή εθνικού δικαίου σχετικά με την προστασία δεδομένων.

  • παρακολουθεί τη συμμόρφωση με τον Κανονισμό και με άλλες διατάξεις του ευρωπαϊκού ή εθνικού δικαίου σχετικά με την προστασία δεδομένων.

  • παρέχει συμβουλές, όταν του ζητείται, όσον αφορά στην εκπόνηση μελετών εκτίμησης του κινδύνου σχετικά με ορισμένες ιδιαίτερες μορφές επεξεργασίας προσωπικών δεδομένων.

  • συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και ενεργεί ως σημείο επικοινωνίας μεταξύ αυτής και του υπευθύνου επεξεργασίας για ζητήματα που σχετίζονται με την επεξεργασία.

Όταν δεν είναι υποχρεωτικός ο ορισμός υπευθύνου προστασίας είναι δυνατόν να ορίζεται υπεύθυνος ασφαλείας. Πρόκειται για διακριτή θέση εντός της επιχείρησης με την αρμοδιότητα επίβλεψης της εφαρμογής της Πολιτικής και των επιμέρους μέτρων ασφαλείας

  1. Διάκριση και διαβάθμιση ρόλων: Οι υπάλληλοι πρέπει να έχουν πρόσβαση μόνο στα απολύτως απαραίτητα προσωπικά δεδομένα για την εκτέλεση των ρόλων τους, οι οποίοι πρέπει να σαφώς καθορισμένοι. Επίσης, τα δεδομένα πρέπει να διαβαθμίζονται βάση του είδους τους και της ιδιαίτερης ανάγκης για την προστασία τους και να υπάρχουν οι ανάλογοι περιορισμοί στην πρόσβαση σε αυτά.

Η ανάθεση καθηκόντων εκτέλεσης επεξεργασίας προσωπικών δεδομένων σε υπαλλήλους της επιχείρησης θα πρέπει να αποτυπώνεται γραπτά, όπως και η δέσμευση των εν λόγω υπαλλήλων για την τήρηση των κανόνων εμπιστευτικότητας και απορρήτου.

  1. Τοποθέτηση καταλλήλων υπαλλήλων σε σημαντικούς ρόλους: Η επεξεργασία προσωπικών δεδομένων πρέπει να γίνεται από υπαλλήλους, που διαθέτουν επαρκή προσόντα και γνώσεις για την τήρηση του απορρήτου και των εκάστοτε μέτρων ασφαλείας.

  2. Πρόβλεψη διαδικασίας, η οποία θα τηρείται, όταν ένας υπάλληλος αποχωρεί και θα στοχεύει στην προστασία των προσωπικών δεδομένων, στα οποία είχε πρόσβαση. Για παράδειγμα ενδείκνυται η κατάργηση όλων των λογαριασμών και κωδικών πρόσβασης, των εξουσιοδοτήσεων και των λογαριασμών ηλεκτρονικού ταχυδρομείου και η απαίτηση επιστροφής οποιουδήποτε εξοπλισμού έχει παρασχεθεί στον εν λόγω υπάλληλο.

  3. Τακτική τήρηση των αρχείων, που περιέχουν προσωπικά δεδομένα.

  4. Καταγραφή της μεταφοράς εξοπλισμού, που περιέχει αποθηκευμένα προσωπικά δεδομένα (λχ. ηλεκτρονικού υπολογιστή) και εξάρτηση αυτής από ιεραρχικό έλεγχο.

  5. Λήψη κατάλληλων μέτρων για την πλήρη και μόνιμη διαγραφή των προς καταστροφή εντύπων και ηλεκτρονικών αρχείων σύμφωνα και με την υπ’ αρίθμ. 1/2005 Οδηγία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Τα μέτρα αυτά θα πρέπει να εφαρμόζονται και στην περίπτωση προγραμματισμένης μαζικής καταστροφής και στην περίπτωση καθημερινής καταστροφής.

Τα προσωπικά δεδομένα πρέπει να καταστρέφονται με ευθύνη του υπεύθυνου επεξεργασίας αμέσως μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας. Όλως ενδεικτικά εντοπίζεται στην Οδηγία ο εξής πίνακας σχετικά με τις ενδεδειγμένες μεθόδους καταστροφής:

Μέσο επεξεργασίας

Ενδεικνυόμενοι τρόποι καταστροφής
Δεδομένα σε έντυπη μορφή
  1. Τεμαχισμός
  2. Πολτοποίηση-Ανακύκλωση
  3. Αποτέφρωση
Δεδομένα σε ηλεκτρονική ή άλλη μορφή
  1. Αλλοίωση δεδομένων (overwrite)
  2. Μορφοποίηση (format)
  3. Φυσική καταστροφή

  1. Αναγνώριση, αναφορά και άμεση αντιμετώπιση περιστατικών παραβίασης ασφαλείας.

Ως «παραβίαση δεδομένων προσωπικού χαρακτήρα» ορίζεται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

Σε μια τέτοια περίπτωση υπάρχει υποχρέωση αφενός γνωστοποίησης στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αμελλητί και, ει δυνατόν, εντός 72 ωρών και αφετέρου ανακοίνωσης στο υποκείμενο των δεδομένων, όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του.

Θα πρέπει να υπάρχει πρόβλεψη του προσωπικού, που στην συγκεκριμένη περίπτωση θα αναλάβει δράση, και διαδικασίας ταχείας εκτίμηση των συνεπειών της παραβίασης.

  1. Εκπαίδευση του προσωπικού της επιχείρησης σχετικά με την προστασία προσωπικών δεδομένων, ώστε να γίνει κατανοητός ο ρόλος, που καλούνται να επιτελέσουν, με βάση την Πολιτική Ασφαλείας και το ισχύον νομικό πλαίσιο. Επιπλέον, είναι απαραίτητη η υιοθέτηση ορθών πρακτικών για την διασφάλιση της ακεραιότητας του πληροφοριακού συστήματος (χρήση μη προβλέψιμων κωδικών πρόσβασης και συνθηματικών, πρόβλεψη διαδικασιών για τον εντοπισμό και την αναφορά των περιστατικών παραβίασης της ασφαλείας, σωστή χρήση των λογαριασμών email και των αποσπώμενων μέσων αποθήκευσης κ.ο.κ.).

Η εκπαίδευση του προσωπικού θα πρέπει να συνεχίζεται και μετά την πρόσληψή του, έτσι ώστε να ανταποκρίνεται στις τεχνολογικές εξελίξεις, αλλά και στις εξελισσόμενες ανάγκες της επιχείρησης.

  1. Εκπόνηση μελετών εκτίμησης του κινδύνου σε ορισμένες περιπτώσεις επεξεργασίας με υψηλό ρίσκο, σύμφωνα με τις ισχύουσες νομοθετικές προβλέψεις.

Η συγκεκριμένη υποχρέωση των υπευθύνων επεξεργασίας έχει ως στόχο την ενίσχυση της λογικής του προσεκτικού σχεδιασμού, της πρόληψης και της αυτοδέσμευσης.

Τεχνικά Μέτρα ασφαλείας

 

  1. Πρόβλεψη διαδικασιών για την ασφαλή διαχείριση (προσθήκη, μεταβολή και διαγραφή) των λογαριασμών των χρηστών του πληροφοριακού συστήματος, όταν αυτό απαιτείται.

  2. Διασφάλιση του ότι δεν επιτρέπεται η πρόσβαση σε ηλεκτρονικά αρχεία από μη εξουσιοδοτημένους χρήστες. Εγγύηση της ορθής ταυτοποίησης και αυθεντικοποίησης των χρηστών

  3. Διαχείριση των κωδικών ασφαλείας- συνθηματικών των χρηστών ώστε να υπάρχουν ορισμένες ελάχιστες εγγυήσεις για το μήκος, την πολυπλοκότητα και την παλαιότητα των συνθηματικών.

  4. Πρόβλεψη διαδικασιών αυτόματης αποσύνδεσης των χρηστών Η/Υ μετά από ένα εύλογο χρονικό διάστημα αδράνειας ή ενεργοποίηση της προφύλαξης οθόνης για την απενεργοποίηση της οποίας θα απαιτείται η χρήση του συνθηματικού πρόσβασης.

  5. Πρόβλεψη διαδικασίας για την τήρηση αντιγράφων ασφαλείας όλων των κρίσιμων αρχείων ανά τακτά χρονικά διαστήματα.

  6. Προστασία του πληροφοριακού συστήματος (τόσο των προσωπικών υπολογιστών όσο και των διακομιστών) από κακόβουλο λογισμικό με την χρήση καταλλήλων προγραμμάτων και τείχους ασφαλείας. Απαραίτητη κρίνεται εκ τούτου και η χρήση των πλέον πρόσφατων ενημερώσεων ασφαλείας.

  7. Πρόβλεψη δικλείδων ασφαλείας, που θα απαγορεύουν στους απλούς χρήστες ενέργειες, οι οποίες θα μπορούσαν να βλάψουν την ασφάλεια των υπολογιστών τους, όπως η απενεργοποίηση προγραμμάτων ασφαλείας.

  8. Τήρηση αρχείων καταγραφής όλων των ενεργειών στα κρίσιμα συστήματα της επιχείρησης. Στα εν λόγω αρχείο καταγράφονται κατ’ ελάχιστον το αναγνωριστικό του χρήστη που αιτήθηκε την προσπέλαση δεδομένων προσωπικού χαρακτήρα, η ημερομηνία και ώρα του σχετικού αιτήματος, το σύστημα μέσω του οποίου αιτήθηκε την πρόσβαση καθώς και αν τελικά προσπέλασε τα αρχεία που αιτήθηκε.

Προκειμένου να εξασφαλίζεται η ασφάλεια των αρχείων καταγραφής θα πρέπει να επιτρέπεται η πρόσβαση μόνο εξουσιοδοτημένων χρηστών σε αυτά.

  1. Αποφυγή ευπαθών ως προς την ασφάλειά τους πρωτοκόλλων δικτύου.

  2. Πρόβλεψη διαδικασιών για την αποτελεσματική κρυπτογράφηση αρχείων με προσωπικά δεδομένα, που τηρούνται σε φορητά αποθηκευτικά μέσα. Επιλογή σύγχρονων και ισχυρών αλγορίθμων κρυπτογράφησης.

  3. Εφαρμογή των ενημερώσεων λογισμικού, τόσο σε επίπεδο επιμέρους εφαρμογών όσο και σε επίπεδο λειτουργικού συστήματος, σε δοκιμαστικό περιβάλλον. Συνίσταται, μάλιστα, η κεντρική διαχείριση των σχετικών ενημερώσεων λογισμικού.

Μέτρα φυσικής ασφαλείας

  1. Περιορισμός και έλεγχος της φυσικής πρόσβασης σε χώρους, όπου βρίσκεται κρίσιμος εξοπλισμός της επιχείρησης. Παραχώρηση δικαιωμάτων πρόσβασης σε ορισμένους ευαίσθητους χώρους μονάχα σε εξουσιοδοτημένο προσωπικό.

  2. Τήρηση καταλόγου για τα δικαιώματα πρόσβασης και για την κατοχή κωδικών, καρτών εισόδου και κλειδιών από μέλη του προσωπικού.

  3. Μέτρα προστασίας από φυσικές καταστροφές και εγκληματικές ενέργειες (συναγερμός, πόρτες και παράθυρα ασφαλείας, πυροπροστασία, απομάκρυνση εξοπλισμού από υδροσωληνώσεις και πηγές σκόνης, ανιχνευτές υγρασίας και πλημμύρας, αδιάλειπτη παροχή ρεύματος μέσω σταθεροποιητών και γεννητριών, κ.ο.κ.)

  4. Προφύλαξη των φυσικών αρχείων, που περιέχουν προσωπικά δεδομένα. Τα σχετικά έγγραφα πρέπει να είναι τοποθετημένα σε φωριαμούς και οργανωμένα σε συγκεκριμένα γραφεία, ώστε να μην αφήνονται χωρίς επίβλεψη.

Το Σχέδιο Ανάκαμψης από Καταστροφές

Το Σχέδιο Ανάκαμψης από Καταστροφές είναι ένα έγγραφο, στο οποίο αποτυπώνονται οι διαδικασίες και τα τεχνικά μέτρα που πρέπει να εφαρμόσει ο υπεύθυνος επεξεργασίας για την προστασία των προσωπικών δεδομένων σε περίπτωση κάποιου εκτάκτου περιστατικού, όπως φυσικής καταστροφής (π.χ. σεισμός, πυρκαγιά, πλημμύρα) ή μεγάλης εμβέλειας περιστατικού ασφαλείας (π.χ. προσβολή από κακόβουλο λογισμικό). Ως εκ τούτου, συμπληρώνει το Σχέδιο Ασφαλείας ή αποτελεί μέρος του.

Το Σχέδιο Ανάκαμψης από Καταστροφές πρέπει να προσδιορίζει τις σημαντικές λειτουργίες και τα αντίστοιχα συστήματα της επιχείρησης, τη στρατηγική προστασίας τους και την προτεραιότητα με την οποία θα τεθούν σε εφαρμογή οι δραστηριότητες αποκατάστασης ή εναλλακτικής λειτουργίας τους.

Στο Σχέδιο Ανάκαμψης από Καταστροφές, πρέπει να προβλέπονται μέτρα που στοχεύουν στα ακόλουθα:

  • Ελαχιστοποίηση διακοπών της κανονικής λειτουργίας.

  • Περιορισμός της έκτασης των ζημιών και καταστροφών και αποφυγή πιθανής κλιμάκωσης αυτών.

  • Εγκατάσταση εναλλακτικών μέσων λειτουργίας εκ των προτέρων,

  • Εκπαίδευση, εξάσκηση και εξοικείωση του ανθρώπινου δυναμικού της επιχείρησης με τις διαδικασίες έκτακτης ανάγκης.

  • Δυνατότητα ταχείας και ομαλής αποκατάστασης της λειτουργίας της επιχείρησης.

Εκ της φύσεώς του το Σχέδιο αυτό πρέπει να ελέγχεται περιοδικά προκειμένου να διαπιστώνεται η αποτελεσματικότητα των μεθόδων ανάκαμψης.

Πολιτική ικανοποίησης δικαιωμάτων των υποκειμένων της επεξεργασίας

Βασική αρχή του Κανονισμού 2016/679 είναι πως τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο, συλλέγονται για καθορισμένους σκοπούς, είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς της επεξεργασίας μέτρο, είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται, διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων τους μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας και υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια τους.

Με βάση τις παραπάνω αρχές προκύπτουν και τα διάφορα δικαιώματα των υποκειμένων της επεξεργασίας (λ.χ. δικαίωμα πρόσβασης, λήψης, διόρθωσης, διαγραφής κ.ο.κ.). Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε τα υποκείμενα των δεδομένων να μπορούν να ασκούν αποτελεσματικά τα δικαιώματα αυτά φροντίζοντας, ιδίως, για την κατάλληλη εκπαίδευση του προσωπικού του και για την πρόβλεψη διαδικασιών ικανοποίησης των αιτημάτων τους.

Επιπλέον, εάν η νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στηρίζεται στην συναίνεση του υποκειμένου και όχι σε κάποιον άλλο, εξαιρετικό λόγο τότε ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.

Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή μορφή και χρησιμοποιώντας απλή διατύπωση. Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια, η οποία να συνιστά ελεύθερη, συγκεκριμένη και ρητή συμφωνία του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων, που το αφορούν.

Αυτό θα μπορούσε να εξασφαλιστεί με τη συμπλήρωση ενός τετραγωνιδίου κατά την επίσκεψη σε διαδικτυακή ιστοσελίδα, με την επιλογή των επιθυμητών τεχνικών ρυθμίσεων για υπηρεσίες της κοινωνίας των πληροφοριών ή με μια δήλωση ή συμπεριφορά που δηλώνει σαφώς, στο συγκεκριμένο πλαίσιο, ότι το υποκείμενο των δεδομένων αποδέχεται την πρόταση επεξεργασίας των οικείων δεδομένων προσωπικού χαρακτήρα.

Επομένως η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση. Σε περίπτωση που το υποκείμενο αποσύρει την συγκατάθεσή του, έχει το δικαίωμα να ζητεί την διαγραφή των δεδομένων προσωπικού χαρακτήρα, που το αφορούν («δικαίωμα στην λήθη»).

Σχολιάστε