Ασφάλεια προσωπικών δεδομένων

Ο όρος ασφάλεια επεξεργασίας

Παραδοσιακά, ο όρος ασφάλεια πληροφορίας/δεδομένων (information/data security) χρησιμοποιείται για να περιγράψει τη μεθοδολογία, καθώς και τις μεθόδους και τεχνικές που ακολουθούνται προκειμένου να επιτευχθούν οι εξής στόχοι:

  • Εμπιστευτικότητα (confidentiality):  Οι πληροφορίες/δεδομένα δεν πρέπει να αποκαλύπτονται σε μη εξουσιοδοτημένα άτομα.
  • Ακεραιότητα (integrity): Οι πληροφορίες/δεδομένα πρέπει να είναι ακριβή, ακέραια και γνήσια – όχι εσφαλμένα, αλλοιωμένα ή μη ενημερωμένα.
  • Διαθεσιμότητα (availability): Οι πληροφορίες/δεδομένα πρέπει να είναι στη διάθεση των χρηστών όποτε απαιτείται η χρήση τους.

Όταν η πληροφορία αφορά προσωπικά δεδομένα, οι ανωτέρω ορισμοί ισχύουν αντιστοίχως.

Η ασφάλεια κατά την επεξεργασία προσωπικών δεδομένων αποτελούσε υποχρέωση του υπευθύνου επεξεργασίας ήδη υπό το πλαίσιο της οδηγίας 95/46/ΕΚ. Ο ΓΚΠΔ ενισχύει τις σχετικές υποχρεώσεις ενώ τις επεκτείνει άμεσα στους εκτελούντες επεξεργασία (άρθρο 32 ΓΚΠΔ). Περαιτέρω, η ασφάλεια, με έμφαση στην ακεραιότητα και την εμπιστευτικότητα, ανάγεται σε μία από τις βασικές αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα (άρθρο 5(1)(στ) ΓΚΠΔ). Η προσθήκη αυτή συνδέεται στενά με τις νέες υποχρεώσεις λογοδοσίας και τη γενικότερη ευθύνη του υπευθύνου επεξεργασίας (άρθρο 24 ΓΚΠΔ), καθώς οι υπεύθυνοι επεξεργασίας και οι εκτελούντες  επεξεργασία δεν αρκεί να λαμβάνουν μέτρα για την ασφάλεια της επεξεργασίας αλλά  έχουν υποχρέωση να τα τεκμηριώνουν, π.χ. μέσω εγγράφων πολιτικών.

Στους 3 ανωτέρω βασικούς στόχους της ασφάλειας, ο ΓΚΠΔ προσθέτει και την αξιοπιστία των συστημάτων (resilience). Στη σημερινή εποχή, κατά την οποία κρίσιμες λειτουργίες της κοινωνίας βασίζονται σε πληροφοριακά συστήματα, ένας φορέας οφείλει να εξασφαλίζει ότι τα συστήματα και οι εφαρμογές του θα συνεχίζουν να λειτουργούν υπό δυσμενείς συνθήκες, όπως μετά από ένα φυσικό ή τεχνικό περιστατικό, και ότι θα είναι σε θέση να τα επαναφέρει σε λειτουργία.

Τέλος, τμήμα των αυξημένων νέων υποχρεώσεων των υπευθύνων επεξεργασίας σχετικά με την ασφάλεια της επεξεργασίας αποτελεί η εισαγωγή της υποχρέωσης κατάλληλης διαχείρισης των περιστατικών παραβίασης, που προϋποθέτει την ύπαρξη διαδικασιών αναγνώρισης, καταγραφής, αμελλητί γνωστοποίησης στην Αρχή και ανακοίνωσης στα επηρεαζόμενα φυσικά πρόσωπα των εν λόγω περιστατικών. Δείτε περισσότερα.