Προστασία προσωπικών δεδομένων - GDPR (γενικές αρχές και όροι) - Υποχρεώσεις

[Παπλωματούχος Μηχανικός]

Βασικές υποχρεώσεις για τους υπευθύνους επεξεργασίας

Παράθεση

Ο ΓΚΠΔ επιβάλλει μια σειρά υποχρεώσεων στους υπεύθυνους επεξεργασίας, οι οποίες απορρέουν από τις βασικές αρχές και ιδίως την ενισχυμένη αρχή της διαφάνειας στον τρόπο συλλογής, επεξεργασίας και τήρησης δεδομένων και την αρχή της λογοδοσίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωσή του με όλες τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων:

• Ευθύνη: Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη να αποδεικνύει ότι λαμβάνει όλα τα κατάλληλα οργανωτικά και τεχνικά μέτρα προστασίας των προσωπικών δεδομένων και ότι συμμορφώνεται με τον ΓΚΠΔ.
• Προστασία δεδομένων κατά τον σχεδιασμό («Data protection by design»): Ο ΓΚΠΔ επιβάλλει την εφαρμογή προϊόντων και υπηρεσιών (ηλεκτρονικών και μη) που κατά τον αρχικό σχεδιασμό τους δημιουργούν φιλικές συνθήκες για την προστασία των δεδομένων σας. Για παράδειγμα, στις υπηρεσίες ηλεκτρονικής κοινωνικής δικτύωσης πρέπει να σας δίνεται η δυνατότητα να επιλέγετε ρυθμίσεις που θα προστατεύουν περισσότερο τα προσωπικά σας δεδομένα.
• Προστασία δεδομένων εξ ορισμού («Data protection by default»): Ο ΓΚΠΔ επιβάλλει την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων που να διασφαλίζουν ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα που είναι απαραίτητα για τον σκοπό της επεξεργασίας.
• Ασφάλεια επεξεργασίας: O υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία πρέπει να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το ενδεδειγμένο επίπεδο ασφάλειας.
• Γνωστοποίηση παραβιάσεων δεδομένων: Ο υπεύθυνος επεξεργασίας έχει υποχρέωση, μόλις αντιληφθεί παραβίαση, να ενημερώσει τις αρμόδιες εποπτικές Αρχές και εσάς, εφόσον η παραβίαση σας θέτει σε σοβαρό κίνδυνο.
• Εκτίμηση αντικτύπου και προηγούμενη διαβούλευση: Όταν η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα των ατόμων, ιδίως επειδή είναι συστηματική, μεγάλης κλίμακας, αφορά ειδικές κατηγορίες δεδομένων και βασίζεται στη χρήση νέων τεχνολογιών, ο υπεύθυνος επεξεργασίας πρέπει να διενεργήσει εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων (Data protection impact assessment). Όταν βάσει της διενεργηθείσας εκτίμησης αντικτύπου και παρά την πρόβλεψη μέτρων προστασίας παραμένει υψηλή επικινδυνότητα της επεξεργασίας, ο υπεύθυνος επεξεργασίας υποχρεούται να προβεί σε προηγούμενη διαβούλευση με την εποπτική Αρχή.
• Υπεύθυνος προστασίας δεδομένων: Προβλέπεται, υπό προϋποθέσεις, ο ορισμός «υπευθύνου προστασίας δεδομένων» ο οποίος έχει εχέγγυα ανεξαρτησίας και παρακολουθεί τη συμμόρφωση με τον νόμο αποτελώντας, συγχρόνως, το σημείο επαφής με την εποπτική Αρχή.
• Κώδικες δεοντολογίας: Ενθαρρύνεται η εκπόνηση κωδίκων δεοντολογίας από τους υπευθύνους επεξεργασίας, οι οποίοι υποβάλλονται προς έγκριση στην εποπτική Αρχή. Σε περίπτωση διευρωπαϊκής δραστηριότητας ζητείται και η γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Οι κώδικες δεοντολογίας είναι προαιρετικοί.
• Πιστοποίηση: Ενθαρρύνεται η θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων για την απόδειξη της συμμόρφωσης προς τον ΓΚΠΔ ή για την απόδειξη παροχής κατάλληλων εγγυήσεων κατά την επεξεργασία. Η πιστοποίηση είναι εθελοντική.

Ο όρος ασφάλεια επεξεργασίας

Παραδοσιακά, ο όρος ασφάλεια πληροφορίας/δεδομένων (information/data security) χρησιμοποιείται για να περιγράψει τη μεθοδολογία, καθώς και τις μεθόδους και τεχνικές που ακολουθούνται προκειμένου να επιτευχθούν οι εξής στόχοι:

• Εμπιστευτικότητα (confidentiality):  Οι πληροφορίες/δεδομένα δεν πρέπει να αποκαλύπτονται σε μη εξουσιοδοτημένα άτομα.
• Ακεραιότητα (integrity): Οι πληροφορίες/δεδομένα πρέπει να είναι ακριβή, ακέραια και γνήσια – όχι εσφαλμένα, αλλοιωμένα ή μη ενημερωμένα.
• Διαθεσιμότητα (availability): Οι πληροφορίες/δεδομένα πρέπει να είναι στη διάθεση των χρηστών όποτε απαιτείται η χρήση τους.

 

Αρχές νομιμότητας της επεξεργασίας

Παράθεση

Σύμφωνα με το άρθρο 5 ΓΚΠΔ, για να είναι νόμιμη η επεξεργασία προσωπικών δεδομένων (απλών και ειδικών κατηγοριών), πρέπει η επεξεργασία να διέπεται από συγκεκριμένες αρχές. Αυτές είναι:

1.  Η αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας. Σύμφωνα με τη συγκεκριμένη αυτή αρχή, τα δεδομένα πρέπει να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία, με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων. Η διαφάνεια απαιτεί η ενημέρωση του υποκειμένου να είναι συνοπτική, εύκολα προσβάσιμη, κατανοητή, με σαφή και απλή διατύπωση.
2. Η αρχή του περιορισμού του σκοπού, σύμφωνα με την οποία, τα δεδομένα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με τους σκοπούς αυτούς.
3. Η αρχή της αναλογικότητας («ελαχιστοποίηση των δεδομένων»), σύμφωνα με την οποία τα δεδομένα θα πρέπει να είναι πρόσφορα, συναφή και αναγκαία για τους επιδιωκόμενους σκοπούς επεξεργασίας.
4.  Η αρχή της ακρίβειας των δεδομένων, σύμφωνα με την οποία τα δεδομένα θα πρέπει να είναι ακριβή, να επικαιροποιούνται και να λαμβάνονται τα κατάλληλα μέτρα για την άμεση διόρθωση ή διαγραφή ανακριβών σε σχέση με τους επιδιωκόμενους σκοπούς επεξεργασίας δεδομένων.
5. Η αρχή του καθορισμού της χρονικής διάρκειας της επεξεργασίας («περιορισμός της περιόδου αποθήκευσης»), σύμφωνα με την οποία τα δεδομένα πρέπει να τηρούνται σε μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για την επίτευξη των σκοπών της επεξεργασίας.
6. Η αρχή της «ακεραιότητας και εμπιστευτικότητας», σύμφωνα με την οποία τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ασφάλεια και προστασία τους από παράνομη επεξεργασία, απώλεια, καταστροφή ή φθορά τους.
7. Η αρχή της λογοδοσίας του υπευθύνου επεξεργασίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τον ΓΚΠΔ ενώπιον των εποπτικών αρχών και των δικαστηρίων.

Ορισμός DPO (Υπεύθυνου επεξεργασίας)

Για να ανακοινώσουν στην Αρχή τον ορισμό του ΥΠΔ, σε συμμόρφωση με την προαναφερθείσα υποχρέωσή τους, οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία πρέπει να συμπληρώσουν ειδική φόρμα και να την υποβάλουν στη Αρχή ηλεκτρονικά, μέσω της διαδικτυακής πύλης της.

Η ως άνω ηλεκτρονική υποβολή συνίσταται, συνοπτικά, στα εξής βήματα:

1. Σύνδεση του υπευθύνου επεξεργασίας ή του εκτελούντα την επεξεργασία στη διαδικτυακή πύλη της Αρχής ως «φορέα», με χρήση των διαπιστευτηρίων taxisnet (στον ίδιο σύνδεσμο είναι διαθέσιμες οδηγίες για τη σύνδεση και τη χρήση των ηλεκτρονικών υπηρεσιών της Αρχής).
2. Συμπλήρωση των πεδίων της ηλεκτρονικής φόρμας που παρέχεται με την επιλογή «Στοιχεία DPO/Ορισμός» (οδηγίες συμπλήρωσης).
3. Υποβολή της εν λόγω ηλεκτρονικής φόρμας.

 

 

Πολιτική ασφάλειας (Σχέδιο Ασφάλειας)

Παράθεση

Στην πολιτική ασφάλειας πρέπει, κατ’ ελάχιστο, να αναφέρονται τα εξής:

1. Οι βασικές αρχές ασφάλειας που οφείλει να τηρεί ο φορέας, όπως η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των δεδομένων, η απόδοση ευθυνών σε περιπτώσεις λαθών και παραβάσεων, κ.λπ.
2. Τα αγαθά (αρχεία/δεδομένα σε οποιαδήποτε μορφή ή εξοπλισμός) τα οποία πρέπει να προστατευτούν.
3. Ο σκοπός και το πεδίο εφαρμογής της πολιτικής ασφάλειας ως προς τη διαφύλαξη των αγαθών και των βασικών αρχών ασφάλειας.
4. Το οργανωτικό πλαίσιο ρόλων, αρμοδιοτήτων, καθηκόντων που αφορούν την ασφάλεια (συμπεριλαμβανομένων αυτών που άπτονται της υλοποίησης, εφαρμογής και επισκόπησης της πολιτικής ασφάλειας), την ενημέρωση του προσωπικού σχετικά με τη συμμόρφωση με αυτή και τις δέουσες ενέργειες σε περίπτωση παραβίασής της.
5. Οι επιμέρους τομείς ασφάλειας τους οποίους αφορά η πολιτική και οι βασικοί κανόνες/διαδικασίες που πρέπει να ακολουθούνται σε καθέναν από τους τομείς αυτούς για την επίτευξη των στόχων που θέτει η πολιτική ασφάλειας.
6. Η διαδικασία εσωτερικών ελέγχων, η οποία πρέπει να λαμβάνει χώρα για την επισκόπηση της ορθής εφαρμογής της πολιτικής ασφάλειας και την αποτίμηση της αποτελεσματικότητας των μέτρων ασφάλειας.

Συχνότερα προβλήματα Ασφάλειας Μικρομεσαίων Επιχειρήσεων

Παράθεση

 

Συχνά προβλήματα	Ενέργειες αποφυγής
Αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν δεδομένα προσωπικού χαρακτήρα σε λανθασμένο σύνολο αποδεκτών.	Ενημερώστε κατάλληλα τους χρήστες σας. Εισάγετε διαδικασίες ελέγχου και επιβεβαίωσης των email των παραληπτών.
Αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν δεδομένα προσωπικού χαρακτήρα σε λανθασμένο σύνολο αποδεκτών.	Χρησιμοποιήστε κρυπτογράφηση για την αποστολή αρχείων που περιέχουν προσωπικά δεδομένα ειδικών κατηγοριών ή με υψηλές συνέπειες για τα υποκείμενα των δεδομένων. Δώστε το «κλειδί» της κρυπτογράφησης σε αυτά κατά την πρώτη επαφή μαζί σας ή με άλλο μέσο επικοινωνίας.
Εξαπάτηση χειριστών ηλεκτρονικών υπολογιστών από κακόβουλα μηνύματα που μπορεί να οδηγήσει σε εγκατάσταση κακόβουλου λογισμικού τύπου ransomware ή malware.	Υλοποιήστε δράσεις ευαισθητοποίησης των χρηστών για την κατανόηση και αντιμετώπιση των εν λόγω κινδύνων.
Φορητοί ηλεκτρονικοί υπολογιστές ή/και αποθηκευτικά μέσα χάνονται ή κλέβονται.	Φροντίστε ώστε τα προσωπικά δεδομένα που μεταφέρονται με φορητά μέσα να είναι πάντα κρυπτογραφημένα.
Εξωτερικός κακόβουλος χρήστης «μαντεύει» τους κωδικούς των χρηστών.	Οι κωδικοί χρηστών πρέπει να ακολουθούν συγκεκριμένη πολιτική. Μήκος 8 χαρακτήρων και επαρκής πολυπλοκότητα θα πρέπει να θεωρούνται τα ελάχιστα για έναν τυπικό κωδικό. Εξετάστε τεχνικές αυθεντικοποίησης δύο παραγόντων για κρίσιμες εφαρμογές.
Κακόβουλος εξωτερικός χρήστης εκμεταλλεύεται ότι το λογισμικό που χρησιμοποιείται δεν έχει ενημερωθεί στην τελευταία έκδοση.	Όλες οι εφαρμογές λογισμικού (π.χ. λειτουργικά συστήματα ή εφαρμογές διαδικτύου) εκδίδουν συχνά ενημερώσεις ασφάλειας. Φροντίστε για την όσο το δυνατόν ταχύτερη εφαρμογή τους. Αν η διαδικτυακή σας παρουσία στηρίζεται σε πλατφόρμα λογισμικού θα πρέπει να διαθέτετε διαδικασία για την άμεση εφαρμογή των ενημερώσεων ασφάλειας, καθώς κατά πάσα πιθανότητα είστε εκτεθειμένοι σε «hackers» που ψάχνουν για ευάλωτους ιστοτόπους.
Πληροφορίες που αναγράφονται σε ιστοσελίδες, ενώ δεν προορίζονται για δημόσια προβολή, καθίστανται προσβάσιμες δημόσια.	Ελέγχετε τις ρυθμίσεις των διακομιστών (server) διαδικτύου που χρησιμοποιείτε ώστε να μην καθίστανται δημόσιες πληροφορίες που δεν προορίζονται για δημοσίευση. Χρησιμοποιείστε τεχνικές όπως το «robots.txt» αρχείο, ή το «noindex» meta tag για να απαγορεύσετε την πρόσβαση των μηχανών αναζήτησης σε μη δημόσια τμήματα των ιστοσελίδων σας. Προστατεύστε με κωδικό τμήματα των ιστοσελίδων σας.

 

| Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (dpa.gr)

Edited Μάρτιος 12 by TEE