Ασφαλεια Προσωπικων Δεδομενων - Οδηγιες προς Υπευθυνους Επεξεργασιας

Ως υπεύθυνοι επεξεργασίας οφείλετε να λαμβάνετε τα κατάλληλα οργανωτικά και τεχνικά μέτρα προκειμένου να εξασφαλίζετε ότι το επίπεδο ασφαλείας των προσωπικών δεδομένων που επεξεργάζεστε είναι ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας. Η Αρχή πρέπει να λαμβάνει γνώση των μέτρων αυτών και ακολούθως δύναται να σας κάνει συστάσεις προς βελτίωσή τους. Πιο συγκεκριμένα, είστε υποχρεωμένοι (άρθρο 6 του ν. 2472/1997) να γνωστοποιείτε εγγράφως στην Αρχή τη σύσταση και λειτουργία αρχείου ή την έναρξη της επεξεργασίας. Στο πλαίσιο της γνωστοποίησης είστε, επίσης, υποχρεωμένοι να ενημερώσετε την Αρχή για τα βασικά χαρακτηριστικά του συστήματος και τα μέτρα ασφαλείας του αρχείου ή της επεξεργασίας. Στις περιπτώσεις που πραγματοποιείται επεξεργασία ευαίσθητων προσωπικών δεδομένων, η Αρχή πρέπει να χορηγήσει άδεια προτού ξεκινήσει η επεξεργασία των δεδομένων αυτών. Με την έκδοση της άδειας η Αρχή επιβάλλει όρους και προϋποθέσεις για την ίδρυση και λειτουργία του σχετικού αρχείου. Ανάλογα με τη φύση της επεξεργασίας, αλλά και τα ήδη υπάρχοντα μέτρα ασφάλειας, η Αρχή συνιστά την κατάθεση (ή σύνταξη) κώδικα δεοντολογίας, πολιτικής ασφαλείας, σχεδίου ασφαλείας ή/και σχεδίου ανάκαμψης από καταστροφές.

Αν έχετε αναθέσει την επεξεργασία ή μέρος αυτής σε πρόσωπο μη εξαρτώμενο από σας (εκτελούντα την επεξεργασία), η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως. Η ανάθεση προβλέπει ότι ο ενεργών την επεξεργασία την διεξάγει μόνο κατ’ εντολή σας ως υπεύθυνο επεξεργασίας και ότι οι λοιπές υποχρεώσεις του άρθρου 10 του ν.2472/1997 βαρύνουν αναλόγως και αυτόν.

Δείτε τις οδηγίες προς υπεύθυνους επεξεργασίας.

 

Ο Κώδικας Δεοντολογίας περιέχει κανόνες αυτοδέσμευσης επαγγελματικών ομάδων, που περιλαμβάνουν τον τρόπο χειρισμού προσωπικών δεδομένων. Ο κώδικας αυτός πρέπει να είναι δεσμευτικός ως προς την τήρησή του από τους υπαλλήλους σας ή τα μέλη της επαγγελματικής ομάδας στην οποία ανήκετε.

Η Πολιτική Ασφαλείας (Security Policy) είναι έγγραφο στο οποίο περιγράφονται οι στόχοι της ασφάλειας και οι αντίστοιχοι κανόνες/διαδικασίες που πρέπει να ακολουθούνται για την επίτευξη των στόχων αυτών. Καθορίζει τη δέσμευση της Διοίκησης και την προσέγγιση ενός οργανισμού ή μιας επιχείρησης αναφορικά με την ασφάλεια και την προστασία προσωπικών δεδομένων. Στην πολιτική ασφαλείας θα πρέπει, κατ’ ελάχιστο, να περιγράφονται οι βασικές αρχές προστασίας προσωπικών δεδομένων και ασφαλείας που εφαρμόζονται. 

Ειδικότερα η πολιτική ασφαλείας πρέπει να θέτει τις βασικές αρχές για 

α) οργανωτικά μέτρα ασφαλείας αναφορικά με τους ρόλους και τις αρμοδιότητες του προσωπικού και των εξωτερικών συνεργατώνεκτελούντων την επεξεργασία, τον καθορισμό και τις αρμοδιότητες του υπευθύνου ασφαλείας, την εκπαίδευση του προσωπικού, τη διαχείριση περιστατικών ασφαλείας, καθώς και την καταστροφή των προσωπικών δεδομένων,

β) τα τεχνικά μέτρα ασφαλείας αναφορικά με τη διαχείριση των χρηστών του πληροφοριακού συστήματος, την αναγνώριση και αυθεντικοποίηση των χρηστών, την ασφάλεια των επικοινωνιών, τη λειτουργία των αρχείων καταγραφής του πληροφοριακού συστήματος, την εξαγωγή αντιγράφων ασφαλείας,

γ) τα μέτρα φυσικής ασφαλείας.

 

Το Σχέδιο Ασφαλείας (Security Plan) είναι το έγγραφο στο οποίο περιγράφονται τα οργανωτικά και τεχνικά μέτρα, καθώς και τα μέτρα φυσικής ασφάλειας που εφαρμόζονται ή πρόκειται να εφαρμοστούν για την κάλυψη των βασικών αρχών και κανόνων που αναφέρονται στην πολιτική ασφαλείας, όπως επίσης και οι απαραίτητες ενέργειες για την υλοποίησή τους.

 

Το Σχέδιο Ανάκαμψης από καταστροφές (Disaster Recovery and Contingency Plan) είναι το έγγραφο που αναφέρεται στα μέτρα προστασίας, ανάκαμψης και αποκατάστασης πληροφοριακών συστημάτων και τεχνολογικών υποδομών σε περιπτώσεις έκτακτης ανάγκης, όπως φυσικές καταστροφές, εξωτερικές επιθέσεις/εισβολές, κ.λπ. Το Σχέδιο αυτό συμπληρώνει το Σχέδιο Ασφαλείας.

Τα παραπάνω σχέδια αφορούν τόσο αυτοματοποιημένα όσο και μη αυτοματοποιημένα συστήματα διαχείρισης και επεξεργασίας δεδομένων και πρέπει να εφαρμόζεται με ακρίβεια για την προστασία των προσωπικών δεδομένων, ευαίσθητων και μη. Τα σχέδια αυτά υπόκεινται σε τακτικές επισκοπήσεις και αναθεωρήσεις, δεδομένης της ραγδαίας ανάπτυξης τεχνολογικών λύσεων και της εφαρμογής τους στα πληροφοριακά συστήματα και στις τεχνολογικές υποδομές.

Η πολιτική ασφαλείας, το σχέδιο ασφαλείας και το σχέδιο ανάκαμψης από καταστροφές πρέπει να φέρουν την επίσημη έγκριση της Διοίκησης, να κοινοποιούνται σε όλο το προσωπικό και να είναι δεσμευτικά. Η κατάρτισή τους συνιστάται να βασίζεται στα αποτελέσματα της ανάλυσης επικινδυνότητας της υπολογιστικής και επικοινωνιακής υποδομής.

Επίσης, οφείλετε, ως υπεύθυνος επεξεργασίας, να μεριμνάτε για την ασφαλή καταστροφή των προσωπικών δεδομένων μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας. 

Η Αρχή έχει εκδώσει την Οδηγία 1/2005 με ενδεικτικά μέτρα για την ασφάλεια κατά την καταστροφή των προσωπικών δεδομένων.

Δείτε περισσότερα

 

Πηγή:https://www.dpa.gr/portal/page?_pageid=33,132277&_dad=portal&_schema=PORTAL