Στις μέρες μας, δυστυχώς, ανακαλύπτονται συνεχώς καινούριοι τρόποι παραβίασης των προσωπικών δεδομένων, με αποτέλεσμα να αυξάνονται όλο και περισσότερο τα περιστατικά παραβίασης των προσωπικών δεδομένων.

Γι’ αυτό, είναι αναγκαίο η εταιρία/οργανισμός σας να οργανώσει ένα σχέδιο με μέτρα – τα λεγόμενα μέτρα ασφαλείας – που θα στοχεύουν στην καλύτερη δυνατή προστασία των προσωπικών δεδομένων που σας εμπιστεύονται οι χρήστες.

Τι θα δούμε σε αυτό το post;

Τι είναι τα μέτρα ασφαλείας και ποια η χρησιμότητά τους;
Τι περιλαμβάνει η πολιτική ασφαλείας;
Πώς διαμορφώνονται τα μέτρα ασφαλείας;
Ποια είναι τα μέτρα ασφαλείας;
Τι θα πρέπει να εξασφαλίζεται μέσω των μέτρων ασφαλείας;
Τι μπορεί να προσέξει η εταιρία σας προκειμένου να αποφύγει συχνά περιστατικά παραβίασης προσωπικών δεδομένων;
Τι είναι η διενέργεια εκτίμησης αντικτύπου;
Τι περιλαμβάνει η διενέργεια εκτίμησης αντικτύπου;
Τήρηση αρχείων

Τι είναι τα μέτρα ασφαλείας και ποια η χρησιμότητά τους;

Τα μέτρα ασφαλείας είναι ενέργειες, στις οποίες προβαίνει ο Υπεύθυνος Επεξεργασίας, προκειμένου να εξασφαλίσει ότι τα προσωπικά δεδομένα που χρησιμοποιούνται για την επεξεργασία είναι τα πλήρως απαραίτητα για την υλοποίηση του σκοπού της επεξεργασίας και να τα προστατέψει από τυχόν παραβιάσεις.

Τα μέτρα ασφαλείας χρησιμεύουν:

Στην ακρίβεια των δικαιωμάτων και των ελευθεριών του χρήστη που έχει εμπιστευτεί στον υπεύθυνο επεξεργασίας.
Στην εξασφάλιση και στην προστασία των προσωπικών δεδομένων του επισκέπτη/χρήστη της εταιρίας σας, καθώς τα δεδομένα δεν καθίστανται προσβάσιμα σε αόριστο αριθμό προσώπων χωρίς την συναίνεση του.
Στην εξασφάλιση ότι τα υποκείμενα των δεδομένων έχουν την δυνατότητα πρόσβασης στα δεδομένα τους οποτεδήποτε το θελήσουν.

Τα μέτρα ασφάλειας πρέπει να τεκμηριώνονται με κατάλληλα έγγραφα πολιτικής, όπως επιβάλλει η αρχή της λογοδοσίας, σύμφωνα με την οποία ο υπεύθυνος της επεξεργασίας φέρει την ευθύνη για την εφαρμογή όλων των αρχών της επεξεργασίας. Διαβάστε περισσότερα για αυτές τις αρχές στο εισαγωγικό άρθρο μας για τα προσωπικά δεδομένα.

Γι’ αυτόν τον λόγο, η διαμόρφωση ενός εγγράφου από τον Υπεύθυνο Επεξεργασίας, στο οποίο θα περιγράφονται οι στόχοι της ασφάλειας και οι αντίστοιχες διαδικασίες που πρέπει να ακολουθούνται ώστε να επιτευχθούν αυτοί οι στόχοι, αποτελεί ορθή πρακτική, ενώ σε ορισμένες περιπτώσεις μπορεί να θεωρηθεί και απαιτούμενο (π.χ. μεγάλες επιχειρήσεις, επιχειρήσεις με κύριο αντικείμενο την επεξεργασία δεδομένων προσωπικού χαρακτήρα ανεξαρτήτως μεγέθους, επιχειρήσεις των οποίων οι πράξεις επεξεργασίας υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων κ.λπ).

Το έγγραφο αυτό ονομάζεται πολιτική ασφαλείας.

Υπεύθυνος επεξεργασίας είναι εκείνο το φυσικό ή νομικό πρόσωπο που ορίζεται από την κάθε εταιρία και καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που λαμβάνει η εταιρία/οργανισμός από τους χρήστες της.

Τι περιλαμβάνει η πολιτική ασφαλείας;

Η πολιτική ασφαλείας προκειμένου να είναι αποτελεσματική και σωστά οργανωμένη θα πρέπει να περιλαμβάνει κατ’ ελάχιστο:

Τις σημαντικότερες αρχές ασφαλείας που πρέπει να τηρούνται όπως η εμπιστευτικότητα, η ακεραιότητα, η διαθεσιμότητα των δεδομένων, η ανάληψη της ευθύνης σε περίπτωση σφαλμάτων και παραβιάσεων κτλ,
Τα δεδομένα και τα αρχεία που θα προστατεύονται μέσω αυτής,
Το πεδίο εφαρμογής και τους σκοπούς της πολιτικής ασφαλείας σχετικά με τα δεδομένα που προστατεύει,
Την οργάνωση της εταιρίας σχετικά με τους ρόλους, τα καθήκοντα, τις αρμοδιότητες των προσώπων που εργάζονται στην εταιρία (και φυσικά και αυτών που σχετίζονται με την πολιτική ασφαλείας), την εκπαίδευση και ενημέρωση των εργαζομένων σχετικά με τα μέτρα που λαμβάνονται σε περίπτωση παραβίασης,
Τους διάφορους τομείς στους οποίους εφαρμόζεται η πολιτική και συγκεκριμένα τις διαδικασίες για την προστασία των τομέων αυτών,
Τους τρόπους αξιολόγησης και ελέγχου της κατάλληλης εφαρμογής των μέτρων της πολιτικής ασφαλείας.

Η πολιτική αυτή θα πρέπει να είναι σαφής και πλήρης και να μην περιλαμβάνει εξειδικευμένους δυσνόητους τεχνικούς όρους που θα καθιστούν δύσκολη την εφαρμογή της στην πράξη, γιατί μπορεί π.χ. να είναι εξαρτημένη από τεχνολογικά μέσα που δεν βρίσκονται στην διάθεση της εταιρίας. Επιπλέον, σημαντικό είναι η πολιτική να αναφέρει την διαδικασία αναθεώρησής της.

Όλα όσα αναφέρονται στην πολιτική ασφαλείας δεσμεύουν όλο το προσωπικό της εταιρίας και ειδικότερα τον τομέα των εργαζομένων που σχετίζεται με οποιονδήποτε τρόπο με τα προσωπικά δεδομένα των χρηστών, ενώ ταυτόχρονα θα πρέπει να είναι σύμφωνα με την ενωσιακή νομοθεσία (Κανονισμός 2016/679).

Παράδειγμα Πολιτικής ασφάλειας στο Twitter:

Ρυθμίσεις ασφαλείας του Twitter — Πολιτική ασφαλείας Twitter

Πώς διαμορφώνονται τα μέτρα ασφαλείας;

Σύμφωνα με το άρθρο 32 του Κανονισμού 2016/679 , ο Υπεύθυνος Επεξεργασίας, μαζί με όσους μετέχουν στην διαδικασία της επεξεργασίας, θα πρέπει να ορίσουν κάποιες συγκεκριμένες διαδικασίες, καθώς και κάποια τεχνικά – οργανωτικά μέτρα, ώστε να περιορίζονται οι περιπτώσεις παραβίασης των δεδομένων. Αυτό θα πρέπει να γίνεται λαμβάνοντας υπόψη:

τη διαθέσιμη τεχνολογία
το κόστος υλοποίησης
τη φύση
το πεδίο εφαρμογής
τις περιστάσεις και τους σκοπούς της επεξεργασίας
την πιθανότητα σοβαρών κινδύνων για την επεξεργασία (όπως η τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση δεδομένων που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία). Οι κίνδυνοι λαμβάνονται υπόψη αντικειμενικά, αξιολογώντας την σύνδεση ανάμεσα στον τρόπο της επεξεργασίας με την επέλευση του συγκεκριμένου κινδύνου.

Ποια είναι τα μέτρα ασφαλείας;

Τα μέτρα ασφαλείας χωρίζονται σε δύο μεγάλες κατηγορίες:

Οργανωτικά μέτρα ασφαλείας
1. Καθορισμός των ρόλων και των καθηκόντων-αρμοδιοτήτων του προσωπικού που σχετίζεται με την επεξεργασία των δεδομένων
2. Καθορισμός των αρμοδιοτήτων του υπεύθυνου ασφαλείας
3. Εκπαίδευση προσωπικού
4. Διαχείριση περιστατικών ασφάλειας και ενέργειες σε περίπτωση παραβίασης
Τεχνικά μέτρα ασφαλείας
1. Διαχείριση των χρηστών του πληροφοριακού συστήματος
2. Δημιουργία αντιγράφων ασφαλείας
3. Ασφάλεια των επικοινωνιών
4. Σύστημα αναγνώρισης και αυθεντικοποίησης των χρηστών

Τα παραπάνω παραδείγματα των οργανωτικών και τεχνικών μέτρων ασφαλείας είναι ενδεικτικά, δηλαδή μπορούν να εμπλουτιστούν από τον Υπεύθυνο Επεξεργασίας. Τα μέτρα αυτά αποτελούν τον τρόπο υλοποίησης των οδηγιών που αναφέρονται εντός της πολιτικής ασφάλειας και αποτελούν το σχέδιο ασφάλειας του οργανισμού.

Δείτε στο σύνδεσμο περαιτέρω πληροφορίες σχετικά με τα μέτρα ασφαλείας.

Τι θα πρέπει να εξασφαλίζεται μέσω των μέτρων ασφαλείας;

Με βάση το άρθρο 32 του Κανονισμού 2016/679, με την χρήση μέτρων ασφαλείας θα πρέπει να διασφαλίζονται:

Ψευδωνυμοποίηση και κρυπτογράφηση των προσωπικών δεδομένων.
Συνεχής δυνατότητα διασφάλισης
- του απορρήτου,
- της ακεραιότητας, δηλαδή να είναι να δεδομένα ακριβή, σαφή, αληθινά και όχι αλλοιωμένα
- της διαθεσιμότητας, δηλαδή της ικανότητας των χρηστών να έχουν πρόσβαση στα προσωπικά τους δεδομένα οποτεδήποτε το θελήσουν,
- της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση
Δυνατότητα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα σε περίπτωση που προκύψει κάποιο τεχνικό ή φυσικό περιστατικό. Συγκεκριμένα, για παράδειγμα, πρόσβαση των χρηστών στο λογισμικό του συστήματος επιτήρησης με βίντεο μόνο μέσω λογαριασμού που είναι εξατομικευμένος για κάθε χρήστη.
Αξιολόγηση και εκτίμηση των συστημάτων, των διαδικασιών των μέτρων ασφαλείας για την προστασία της επεξεργασίας σε τακτά χρονικά διαστήματα.

Βέβαια, κατευθυντήριες γραμμές και συγκεκριμένες οδηγίες με λεπτομέρειες για την εφαρμογή των μέτρων ασφαλείας και την απόδειξη συμμόρφωσης με τον Κανονισμό 2016/679, μπορούν να παρέχονται από τον Υπεύθυνο επεξεργασίας της εταιρίας και το Συμβούλιο προστασίας δεδομένων μέσω εγκεκριμένων κωδίκων συμπεριφοράς και πιστοποιήσεων.

Τι μπορεί να προσέξει η εταιρία σας προκειμένου να αποφύγει συχνά περιστατικά παραβίασης προσωπικών δεδομένων;

Ασφάλεια ή ρίσκο — Πώς να αποφύγει η εταιρία σας περιστατικά παραβίασης προσωπικών δεδομένων

Στην σύγχρονη εποχή, παρατηρείται ότι μικρές και μεσαίες εταιρίες διεξάγουν πολλές από τις δραστηριότητές τους ηλεκτρονικά. Ακριβώς γι’ αυτόν τον λόγο εκτιμάται ότι πολλά από τα περιστατικά παραβίασης θα είχαν αποφευχθεί εάν οι εταιρίες ακολουθούσαν ορισμένες από τις κατωτέρω καλές πρακτικές:

Λανθασμένες ενέργειες-Τρόποι παραβίασης δεδομένων	Ασφαλείς ενέργειες
Αποστολή μηνυμάτων μέσω email, τα οποία περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα και απευθύνονται σε εσφαλμένο αριθμό παραληπτών.	Ενημέρωση των χρηστών και δημιουργία διαδικασιών επιβεβαίωσης και ελέγχου των email των παραληπτών. Επίσης, χρήση κρυπτογράφησης για την αποστολή αυτών των αρχείων και ύπαρξη “”κλειδιού” για την αποκρυπτογράφηση (το οποίο θα δώσετε στον παραλήπτη στην πρώτη σας επαφή).
Φορητοί ηλεκτρονικοί υπολογιστές και αποθηκευτικά μέσα αποτελούν συχνά αντικείμενο κλοπής.	Μεταφορά με φορητά μέσα των προσωπικών δεδομένων, τα οποία είναι αποκρυπτογραφημένα.
Υπάρχουν άτομα που μπορούν εύκολα να βρουν του κωδικούς των χρηστών, σε περίπτωση όπου αυτοί είναι πολύ απλοί.	Οι κωδικοί θα πρέπει να ακολουθούν συγκεκριμένη πολιτική, δηλαδή να αποτελούνται από 8 τουλάχιστον χαρακτήρες και πολυπλοκότητα ως προς το περιεχόμενό τους.
Καθίστανται δημόσιες, πληροφορίες σε Ιστοσελίδες που δεν ήταν προορισμένες για δημόσια προβολή.	Έλεγχος των διακομιστών (server) του διαδικτύου σας και ρύθμισή τους έτσι ώστε να μην καθίστανται δημόσιες οι απόρρητες πληροφορίες των χρηστών σας. Συγκεκριμένα μπορείτε να εφαρμόσετε τεχνικές όπως το “robots.txt” αρχείο ή το “noindex” mega tag, ώστε οι μηχανές αναζήτησης να μην έχουν πρόσβαση στα απόρρητα τμήματα της Ιστοσελίδας σας ή μπορείτε να προστατέψετε τμήματα της Ιστοσελίδας σας κλειδώνοντάς τα με κωδικό.
Χειριστές ηλεκτρονικών υπολογιστών που εξαπατούν μέσω ηλεκτρονικών μηνυμάτων με τα οποία εγκαθιστούν κακόβουλα λογισμικά τύπου ransomware ή malware.	Ενημέρωση των χρηστών και ευαισθητοποίηση ως προς τους κινδύνους, προκειμένου να είναι πιο προσεκτικοί στο ‘’άνοιγμα’’ αυτών των μηνυμάτων.

Μάθετε περισσότερα για αυτό το θέμα στο άρθρο μας για την παραβίαση προσωπικών δεδομένων.

Διενέργεια εκτίμησης αντικτύπου

Τι είναι η διενέργεια εκτίμησης αντικτύπου;

Υπάρχουν περιπτώσεις κατά τις οποίες ορισμένες πράξεις επεξεργασίας είναι πιθανό να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων π.χ. με την χρήση των νέων τεχνολογιών.

Γι’ αυτό το λόγο σύμφωνα με τον Κανονισμό GDPR ο υπεύθυνος επεξεργασίας οφείλει να ακολουθεί μία διαδικασία, συγκεκριμένα τη διενέργεια εκτίμησης αντικτύπου, η οποία αποτελεί μία μορφή αυτοελέγχου και με την οποία αξιολογούνται οι κίνδυνοι που πρόκειται να προκύψουν από την επεξεργασία των δεδομένων, ώστε να αντιμετωπιστούν πιο αποτελεσματικά.

Γιατί είναι χρήσιμη για την εταιρία/οργανισμό σας;

Η διενέργεια εκτίμησης αντικτύπου ευνοεί και αυτόν για τον οποίο γίνεται, δηλαδή την ίδια την εταιρία/οργανισμό σας. Συγκεκριμένα, συνήθως μέσω της διαδικασίας ελέγχου εντοπίζονται κενά ασφαλείας και προβλήματα, τα οποία σε περίπτωση ελέγχου από μία αρμόδια αρχή θα μπορούσαν να οδηγήσουν όχι μόνο στην επιβολή κυρώσεων αλλά και σε μία σειρά από αρνητικές συνέπειες για την εταιρία/οργανισμό σας.

Πρακτικά, το σημαντικότερο είναι ότι εάν εκ των υστέρων μετά από ενδεχόμενο έλεγχο από την αρχή προστασίας προσωπικών δεδομένων κριθεί ότι ήταν απαραίτητη η διενέργεια εκτίμησης αντικτύπου αλλά δεν έχει διενεργηθεί τέτοια, τα πρόστιμα, που μπορεί να επιβληθούν είναι υψηλά.

Πότε πρέπει να γίνεται;

Η διενέργεια εκτίμησης αντικτύπου γίνεται όταν υπάρχει υψηλός κίνδυνος **για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Eιδικότερα:

Όταν γίνεται συστηματική και εκτενής αξιολόγηση προσωπικών πτυχών που αφορούν φυσικά πρόσωπα και βασίζονται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και έτσι η επεξεργασία οδηγεί σε αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο.
Όταν παρακολουθείται συστηματικώς δημόσιος χώρος που περιλαμβάνει μεγάλη έκταση, όπως κάμερες CCTV. Στην προκειμένη περίπτωση, είναι πιθανό η επεξεργασία να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, κυρίως επειδή εμποδίζει τα υποκείμενα των δεδομένων να ασκήσουν κάποιο δικαίωμα ή να χρησιμοποιήσουν μια υπηρεσία ή σύμβαση ή επειδή πραγματοποιούνται συστηματικά σε μεγάλη κλίμακα.
Όταν η επεξεργασία που γίνεται αφορά ειδικές κατηγορίες δεδομένων, όπως δεδομένα σχετικά με την υγεία, τον σεξουαλικό προσανατολισμό κτλ (για περισσότερες πληροφορίες στο άρθρο με τα ευαίσθητα προσωπικά δεδομένα) ή προσωπικά δεδομένα για αδικήματα και ποινικές καταδίκες.

Σημαντικό! Η Αρχή Προστασίας Δεδομένων μπορεί να ορίσει και άλλες κατηγορίες επεξεργασίας δεδομένων ως υψηλού κινδύνου!

Τι περιλαμβάνει η διενέργεια εκτίμησης αντικτύπου;

Η διενέργεια εκτίμησης αντικτύπου διεξάγεται από τον Υπεύθυνο της Επεξεργασίας και σύμφωνα με το άρθρο 35 παράγραφος 7 του GDPR περιλαμβάνει τουλάχιστον τα ακόλουθα τυπικά στοιχεία:

Ανάλυση των πράξεων, των διαδικασιών και των σκοπών της επεξεργασίας ανά τακτά χρονικά διαστήματα. Για παράδειγμα, όταν η εταιρία σας αποφασίζει να εγκαταστήσει σύστημα CCTV στις εγκαταστάσεις της με σκοπό την αποτροπή βανδαλισμών και εγκληματικών πράξεων.
Αξιολόγηση και έλεγχος της αναλογικότητας και της αναγκαιότητας της επεξεργασίας σε συνδυασμό με τους σκοπούς. Με άλλα λόγια, εκτιμάται και κατά πόσο η συγκεκριμένη μορφή επεξεργασίας είναι τόσο κατάλληλη να εξυπηρετήσει τους σκοπούς για τους οποίους γίνεται, όσο και η λιγότερο παρεμβατική για τα δικαιώματα και τις ελευθερίες των υποκειμένων σε σχέση με άλλες.
Εκτίμηση των κινδύνων τόσο των δικαιωμάτων όσο και των ελευθεριών των υποκειμένων των προσωπικών δεδομένων.
Καταγραφή των μέσων και διαδικασιών αντιμετώπισης περιπτώσεων παραβίασης και κινδύνων, μεταξύ των οποίων είναι τα μέτρα και οι εγγυήσεις που λαμβάνει η εταιρία για να αναδεικνύει την εφαρμογή του.

Τήρηση αρχείων

Αν η εταιρία/οργανισμός σας απασχολεί περισσότερα από 250 άτομα, θα πρέπει να είναι σε θέση να μπορεί να αποδείξει ότι ακολουθεί και τηρεί τον GDPR και εκπληρώνει όλα τα καθήκοντά της ως προς τα προσωπικά δεδομένα των χρηστών. Αυτό είναι εφικτό με την τήρηση αρχείων από τον Υπεύθυνο επεξεργασίας, τα οποία, σύμφωνα με το άρθρο 30 GDPR, θα πρέπει να περιλαμβάνουν:

Το όνομα και τα στοιχεία επικοινωνίας των προσώπων που σχετίζονται με την επεξεργασία, δηλαδή του υπευθύνου επεξεργασίας και, κατά περίπτωση, του από κοινού υπευθύνου επεξεργασίας, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων,
Τους σκοπούς της επεξεργασίας των προσωπικών δεδομένων
Την περιγραφή των κατηγοριών, στις οποίες εντάσσονται τα προσωπικά δεδομένα και τα υποκείμενα των δεδομένων,
Τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς,
Τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων
Την γενική περιγραφή των μέτρων ασφαλείας-οργανωτικών και τεχνικών μέτρων- που εφαρμόζονται.

Βέβαια, υπάρχει περίπτωση να αφορά και επιχειρήσεις/οργανισμούς με λιγότερα από 250 άτομα εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων-ευαίσθητα προσωπικά δεδομένα ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.

Συγγραφέας

Ελένη Κωστάκογλου

Νομικός