Ασφάλεια προσωπικών δεδομένων και gdpr

Διαδικασία Διαχείρισης Περιστατικών Παραβίασης Προσωπικών Δεδομένων gdpr

 

Aσφαλεια προσωπικων δεδομενων και gdpr: Προτού ξεκινήσουμε να κάνουμε λόγο για το πως χειριζόμαστε ένα θέμα ασφάλειας προσωπικών δεδομένων βάσει του νέου κανονισμού gdpr θα πρέπει να παραθέσουμε κάποιες βασικές έννοιες για την έννοια της παραβίασης των προσωπικών δεδομένων και πως αυτή πρέπει να χειρίζεται βάσει των απαιτήσεων του gdpr.

Στις επόμενες παραγράφους αναλύουμε κάποιες βασικές γνώσεις , με ιδιαίτερα σύντομο τρόπο , ώστε ακολούθως να σας παρουσιάσουμε ένα υπόδειγμα διαδικασίας Διαχείρισης Περιστατικών Παραβίασης Προσωπικών Δεδομένων gdpr. Πρέπει να τονίσουμε ότι ενώ το υπόδειγμα αυτό είναι πλήρες θεωρούμε αυτονόητο ότι γνωρίζεται τι είναι το gdpr  ενώ τόσο ο φυσικός σας χώρος όσο και η ιστοσελίδα σας ή το ηλεκτρονικό σας κατάστημα (eshop) θα πρέπει να συμμορφώνονται πλήρως με τις απαιτήσεις του νέου κανονισμού προστασίας προσωπικών δεδομένων .

Μην διστάσετε να διαβάσετε την πλούσια θέλουμε να πιστεύουμε αρθρογραφία μας στο ζήτημα αυτό  στην αντίστοιχη κατηγορία του blog μας εδώ που καλύπτει πολλές πτυχές του ζητήματος.

Για το μεν φυσικό σας χώρο πρέπει να έχει γίνει μια ολοκληρωμένη διαδικασία από εξειδικευμένη εταιρεία (μπορείτε να δείτε την πρόταση μας εδώ )  ενώ όσο αφορά την ιστοσελίδα και το eshop σας θα πρέπει είτε να το αναλάβει η εταιρεία που θα σας κάνει την διαδικασία συμμόρφωσης με το gdpr , κάτι που συνιστούμε έτσι ώστε να μην έχετε δυο συνεργάτες για το ίδιο ουσιαστικά ζήτημα , ή να απευθυνθείτε στον κατασκευαστή του eshop / website σας ο οποίος όμως δεν πρέπει να είναι απλά ένας web designer / web developer που δεν συνδυάζει και γνώσεις αλλά και συνεργάτες για το GDPR γιατί τότε το τελικό αποτέλεσμα είναι σίγουρο ότι δεν θα σας καλύψει.

Ας ξεκινήσουμε με τον ορισμό παραβίασης δεδομένων προσωπικού χαρακτήρα (άρθρο 4 παρ. 12 GDPR):

Σύμφωνα με την Ευρωπαϊκή Επιτροπή, παραβίαση δεδομένων επέρχεται όταν πραγματοποιηθεί ένα συμβάν ασφαλείας σε σχέση με τα δεδομένα για τα οποία ευθύνεται  ένας οργανισμός το αποτέλεσμα του οποίου είναι η παραβίαση του απορρήτου, της διαθεσιμότητας ή της ακεραιότητας προσωπικών δεδομένων .

  •  Η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι ένα είδος  περιστατικού ασφάλειας.Υπάρχουν πολλών ειδών και δεν είναι επί του παρόντος η ανάλυση τους. Να σημειωθεί ότι ΔΕΝ λογίζονται  όλα τα περιστατικά ασφάλειας ως παραβιάσεις προσωπικών δεδομένων.
  •  Συνέπεια αυτής της παραβίασης είναι ότι ο Υπεύθυνος Επεξεργασίας (Data Protection Officer ) δεν είναι σε θέση να εγγυηθεί τη συμμόρφωση με τις αρχές που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα ιδίως αυτές  της ακεραιότητας καθώς και της εμπιστευτικότηταςΓια τον σκοπό αυτό πρέπει να υιοθετήσετε μια διαδικασία Αντιμετώπισης Περιστατικών Ασφάλειας & Γνωστοποίησης τυχόν Παραβιάσεων

    Δυο είναι τα σχετικά άρθρα που αφορούν την διαδικασία αυτή .

  • Το άρθρο  33 που αφορά την γνωστοποίηση τυχόν παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Προσωπικών Δεδομένων
  • Το άρθρο 34 που σχετίζεται με την ανακοίνωση τυχόν παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων

Η εταιρία που είναι ο Υπεύθυνος Επεξεργασίας για να ανταποκριθεί στις υποχρεώσεις των προαναφερθέντων άρθρων  πρέπει να διαθέτει συγκεκριμένη διαδικασία αντιμετώπισης περιστατικών ασφάλειας και γνωστοποίησης παραβιάσεων η οποία να περιλαμβάνει τουλάχιστον  τα ακόλουθα:
Σαφείς ρόλους των οργάνων της εταιρίας. Πρόβλεψη των απαιτούμενων ενεργειών που απαιτούνται για την αντιμετώπιση ενός τέτοιου περιστατικού όπως ενδεικτικά τρόπος αναφοράς του περιστατικού, συγκέντρωση σχετικών  στοιχείων του συμβάντος και αξιολόγηση αυτού καθώς και την ενημέρωση της διοίκησης της εταιρείας από τον Data Protection Officer ( DPO)  , των  εμπλεκομένων και της Αρχής Προστασίας Προσωπικών Δεδομένων καθώς και τον ορισμό τρόπου και μέτρα περιορισμού των επιπτώσεων του περιστατικού παραβίασης.

Ο DPO οφείλει να  ενημερώσει την Αρχή  αμελλητί μέσα σε χρονικό διάστημα 72 ωρών,  από τη στιγμή που αποκτά γνώση του γεγονότος της παραβίασης  , εκτός αν έχει αξιολογήσει και φυσικά μπορεί να αποδείξει ότι το περιστατικό δεν αποτελεί κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων των οποίων τα προσωπικά δεδομένα εμπλέκονται. Έυσι θα αποφύγετε και το σχετικό gdpr πρόστιμο το οποίο πάντα είναι βαρύτατο.

Προσοχή σε αυτό το σημείο. Αν η  γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιηθεί εντός του προαναφερθέντος χρονικού διαστήματος των  72 ωρών, αυτή θα πρέπει να συνοδεύεται από αιτιολόγηση για την καθυστέρηση βάσει του άρθρου άρθρο 33  και της παραγράφου  1.

Ακολουθεί το υπόδειγμα μας για την διαδικασία διαχείρισης περιστατικών παραβίασης προσωπικών δεδομένων το οποίο φυσικά πρέπει να εμπλουτιστεί με τις ενέργειες  και τις προβλέψεις που έχουν γίνει ήδη.

Διαδικασία Διαχείρισης Περιστατικών Παραβίασης Προσωπικών Δεδομένων gdpr

Η Επιχείρηση επενδύει στην προστασία των προσωπικών δεδομένων που επεξεργάζεται – είτε αυτά αφορούν σε εργαζομένους της, είτε σε οποιοδήποτε τρίτο φυσικό πρόσωπο με το οποίο αυτή συναλλάσσεται – στοχεύοντας στην εξάλειψη της πιθανότητας επέλευσης συμβάντος, το οποίο μπορεί να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση, καταστροφή, διαγραφή ή και διαρροή τους.

Σε αυτή την κατεύθυνση και σε συμμόρφωση με τα άρθρα 33 και 34 του Γενικού Κανονισμού Προστασίας Δεδομένων, εφαρμόζεται η παρακάτω διαδικασία:

Βήμα 1ο

Εντοπισμός και αρχική αξιολόγηση του περιστατικού

Εάν οποιοσδήποτε εργαζόμενος (ή εξωτερικός συνεργάτης) αντιληφθεί ότι συνέβη κάποιο περιστατικό παραβίασης ασφάλειας δεδομένων, πρέπει να το αναφέρει άμεσα στον προϊστάμενό του (ή, αν πρόκειται για συνεργάτη, στο αρμόδιο άτομο από την “όνομα επιχείρησης” ).

Ο προϊστάμενος με τη σειρά του το αναφέρει άμεσα στον Υπεύθυνο Προστασίας Προσωπικών Δεδομένων της όνομα επιχείρησης και “ονοματεπώνυμο υπευθύνου”

Αναφέρονται πάσης φύσεως περιστατικά παραβίασης χωρίς ο εκάστοτε εργαζόμενος / συνεργάτης / προϊστάμενος να αξιολογήσει κατά πόσο η παραβίαση αφορά προσωπικά δεδομένα ή όχι.

Βήμα 2ο

Αξιολόγηση του κατά πόσο το συγκεκριμένο περιστατικό παραβίασης αφορά σε δεδομένα προσωπικού χαρακτήρα

Ο Data Protection Officer θα εξετάσει εάν το υπό διερεύνηση περιστατικό αφορά και σε δεδομένα προσωπικού χαρακτήρα (μπορεί να αφορά σε δεδομένα της εταιρείας ή και  στατιστικά δεδομένα).

Βήμα 3ο

Αξιολόγηση των κινδύνων που είναι δυνατόν να δημιουργηθούν από το συγκεκριμένο περιστατικό παραβίασης για τα υποκείμενα των δεδομένων

Σε περίπτωση που κριθεί ότι το υπό διερεύνηση περιστατικό αφορά σε δεδομένα προσωπικού χαρακτήρα, ο Data Protection Officer θα προχωρήσει άμεσα σε ενημέρωση της Διοίκησης, των υπευθύνων των τμημάτων που αφορά η παραβίαση και, εφόσον η παραβίαση αφορά ηλεκτρονικό αρχείο, του προϊσταμένου του τμήματος IT.

Ταυτόχρονα ο Data Protection Officer προβαίνει σε αξιολόγηση των κινδύνων που μπορεί να δημιουργηθούν για τα υποκείμενα των δεδομένων από το συγκεκριμένο περιστατικό παραβίασης.

Στο πλαίσιο αυτό εξετάζεται τι είδους δεδομένα παραβιάστηκαν (απλά / ευαίσθητα / κρυπτογραφημένα / ψευδωνυμοποιημένα), τι συνέβη στα δεδομένα (υποκλοπή / καταστροφή), πόσα άτομα επηρεάζονται από το περιστατικό, τι είδους συνέπειες ενδέχεται να υποστούν τα υποκείμενα (ως προς τη φυσική τους ασφάλεια / τη φήμη / την οικονομική τους κατάσταση).

Στο κομμάτι αυτό, εφόσον απαιτείται, ο Data Protection Officer συνεπικουρείται από την ομάδα των ως άνω υπευθύνων τμημάτων που έχει κληθεί προς υποστήριξη.

Βήμα 4ο

Γνωστοποίηση σε Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα /Υποκείμενα

Εάν ο Data Protection Officer κρίνει ότι η συγκεκριμένη παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, προχωράει αμελλητί σε γνωστοποίηση στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα  και σε κάθε περίπτωση εντός 72 ωρών από τη στιγμή που η εταιρεία θα αποκτήσει γνώση του γεγονότος.

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, η οποία ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, η εταιρεία υποχρεούται να ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στα ίδια τα υποκείμενα των δεδομένων.

Σε κάθε άλλη περίπτωση, όταν δηλαδή δεν ενδέχεται να προκληθούν κίνδυνοι για τα δικαιώματα και τις ελευθερίες των υποκειμένων π.χ. επειδή τα δεδομένα προσωπικού χαρακτήρα που παραβιάστηκαν ήταν ψευδωνυμοποιημένα / κρυπτογραφημένα, ο Data Protection Officer δεν προβαίνει σε καμία γνωστοποίηση.

Καταγράφει όμως το περιστατικό παραβίασης στο βιβλίο καταγραφής περιστατικών παραβίασης ασφάλειας δεδομένων, το οποίο τηρείται στα γραφεία της εταιρείας, έτσι ώστε να μπορεί να τεκμηριωθεί η συμμόρφωση της Εταιρείας με το άρθρο 33 παρ. 5 του Κανονισμού.

Εφαρμογή του Κώδικα

Η συμμόρφωση και εφαρμογή των αρχών του παρόντος Κώδικα, αφορά όλους όσοι εργάζονται στη “όνομα επιχείρησης”, εταιρείες κατά οποιονδήποτε τρόπο συνδεδεμένες με τη “όνομα επιχείρησης” , εταιρείες οι οποίες εξαρτώνται κατά οποιονδήποτε τρόπο από τη “όνομα επιχείρησης” και εταιρείες που ανήκουν ή θα μπορούν να ανήκουν στο μέλλον σε όμιλο επιχειρήσεων “όνομα επιχείρησης” , ανεξάρτητα από την νομική/συμβατική μορφή τους (παροχής εξαρτημένης εργασίας, παροχής ανεξάρτητων υπηρεσιών, έργου, κ.λπ.) ή τη διάρκειά τους, ανάλογα με τα καθήκοντα και τις ευθύνες τους και ανεξαρτήτως της ιεραρχικής θέσης που κατέχουν.

Κάθε εργαζόμενος λαμβάνει γνώση του παρόντος Κώδικα Δεοντολογίας και Επαγγελματικής Συμπεριφοράς και τον τηρεί, αποδεχόμενος ότι αποτελεί μέρος των συμβατικών του υποχρεώσεων έναντι της “όνομα επιχείρησης”

Ημερομηνία Υπεύθυνος (σφραγίδα -υπογραφή)

Το να έχει η διαδικασία αυτή την πιστοποίηση ενός οργανισμού , όπως της  e-data protection officers ltd , που εδρεύει στο Λονδίνο του Ηνωμένου Βασιλείου  με την οποία εμείς σαν dreamweaver.gr συνεργαζόμαστε αποτελεί απαραίτητη προϋπόθεση. Ελπίζουμε να μπορέσαμε να σας βοηθήσουμε ενώ θα χαρούμε να μας καλέσετε στο 210 74 84 84 5 ή να μας στείλετε email στο s at dreamweaver .gr με απορίες και διευκρινήσεις που πιθανότατα έχετε

Για την dreamweaver.gr

Θανάσης Δαβαλάς