Εγγραφή - Είσοδος μελών
Username:
Password
Υπεύθυνοι και Εκτελούντες>> Ασφάλεια επεξεργασίας
 
Αποφάσεις
 
Συχνές ερωτήσεις
 
Θεματικές ενότητες
 
Σημαντικά αρχεία
 
 
Μικροί Πολίτες
 
Ασφάλεια
 
 

Ασφάλεια επεξεργασίας



Οι υποχρεώσεις του υπευθύνου επεξεργασίας σχετικά με την ασφάλεια της επεξεργασίας προσδιορίζονται ρητά στο άρθρο 32 ΓΚΠΔ, ενώ η γενικότερη ευθύνη του για τον προσδιορισμό των κατάλληλων τεχνικών και οργανωτικών μέτρων προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει τη νομιμότητα μιας επεξεργασίας πηγάζει και από το άρθρο 24 ΓΚΠΔ. Επίσης, στον ΓΚΠΔ για πρώτη φορά προσδιορίζεται ρητά αυτοτελής υποχρέωση και των εκτελούντων την επεξεργασία για λήψη μέτρων ασφάλειας.

Παραδοσιακά, ο όρος ασφάλεια πληροφορίας/δεδομένων (information/data security), χρησιμοποιείται για να περιγράψει τη μεθοδολογία, καθώς και τις μεθόδους και τεχνικές που ακολουθούνται προκειμένου να επιτευχθούν οι εξής στόχοι:

  • Εμπιστευτικότητα (confidentiality): Τα δεδομένα δεν πρέπει να αποκαλύπτονται σε μη εξουσιοδοτημένα άτομα.

  • Ακεραιότητα (integrity): Τα δεδομένα πρέπει να είναι ακριβή, ακέραια και γνήσια – όχι εσφαλμένα, αλλοιωμένα ή μη ενημερωμένα.

  • Διαθεσιμότητα (availability): Τα δεδομένα πρέπει να είναι στη διάθεση των χρηστών όποτε απαιτείται η χρήση τους.

Πλήγμα σε οποιοδήποτε από τα ανωτέρω −από τυχαία ή εσκεμμένη ενέργεια− συνιστά, γενικά, περιστατικό ασφάλειας.


Στον ΓΚΠΔ προτείνονται τα ακόλουθα «ενδεδειγμένα» τεχνικά και οργανωτικά μέτρα ασφάλειας:

  1. Ψευδωνυμοποίηση και Κρυπτογράφηση.

  2. Διασφάλιση Απορρήτου, Ακεραιότητας, Διαθεσιμότητας και Αξιοπιστίας.

  3. Αποκατάσταση Διαθεσιμότητας και της πρόσβασης σε περίπτωση συμβάντος.

  4. Δοκιμή, εκτίμηση και διαρκής αξιολόγηση της αποτελεσματικότητας των μέτρων.

  5. Χρήση εγκεκριμένου κώδικα δεοντολογίας ή μηχανισμού πιστοποίησης για την απόδειξη της συμμόρφωσης.

  6. Διαδικασίες χειρισμού περιστατικών παραβίασης.


Τα μέτρα ασφάλειας μπορεί να τεκμηριώνονται σε επιμέρους διαδικασίες ή σε γενικότερες πολιτικές ασφάλειας. Η επιλογή των κατάλληλων μέτρων ασφάλειας γίνεται λαμβάνοντας υπόψη (πρβλ. άρθρα 25 και 32 ΓΚΠΔ) τις τελευταίες εξελίξεις, το κόστος εφαρμογής, καθώς και τα χαρακτηριστικά της επεξεργασίας (φύση - πεδίο εφαρμογής - πλαίσιο – σκοποί). Σε κάθε περίπτωση, πριν τον καθορισμό των μέτρων ασφάλειας που θα υιοθετηθούν, προέχει η σωστή αξιολόγηση των κινδύνων και των πιθανών συνεπειών τους για τα υποκείμενα των δεδομένων. Τέλος, σε κάθε περίπτωση, τα υλοποιημένα μέτρα πρέπει να υποβάλλονται σε περιοδική, τουλάχιστον, αναθεώρηση, αλλά και να είναι αποδεδειγμένα επικυρωμένα από την διοίκηση του υπευθύνου ή του εκτελούντος την επεξεργασία.

Κατά το χρονικό διάστημα που ο Γενικός Κανονισμός τίθεται σε εφαρμογή, είναι διαθέσιμες διάφορες πιστοποιήσεις ασφάλειας. Ενώ μια τέτοια πιστοποίηση υποδηλώνει, κατ’ αρχάς, εύλογες προσπάθειες του υπευθύνου επεξεργασίας (ή εκτελούντος) ως προς την ασφάλεια, δεν απαιτείται (ούτε προβλέπεται) η λήψη τέτοιας πιστοποίησης για την απόδειξη συμμόρφωσης υπευθύνων/εκτελούντων με τις απαιτήσεις ασφάλειας του ΓΚΠΔ. Οι πιστοποιήσεις αυτές δεν σχετίζονται με τις πιστοποιήσεις του άρθρου 42 ΓΚΠΔ.


Πρότυπα και οδηγοί υλοποίησης πλαισίου ασφάλειας επεξεργασίας

Τα υφιστάμενα διεθνή πρότυπα είναι εξαιρετικά χρήσιμα, προκειμένου να βοηθήσουν έναν υπεύθυνο ή εκτελούντα στην επιλογή των κατάλληλων μέτρων μείωσης των κινδύνων μιας δραστηριότητας επεξεργασίας. Για τον σκοπό αυτό μπορεί να ανατρέχει σε πρότυπα όπως τα: ISO/IEC 27002, ISO/IEC 29151, Control Objectives for Information Technology (CobIT), Common Criteria, κ.λπ., σε εθνικά πρότυπα (π.χ. NIST/SP 800-53) και σε λίστες εποπτικών αρχών ή άλλων οργανισμών (π.χ. ENISA).

Σχετικά με τα επιμέρους μέτρα ασφάλειας, αλλά και τις πολιτικές και τις διαδικασίες ασφάλειας που πρέπει να ακολουθεί ένας οργανισμός, χρήσιμο οδηγό αποτελεί το παλαιότερο ενημερωτικό κείμενο που έχει εκδώσει η Αρχή, το οποίο θα πρέπει πλέον να χρησιμοποιείται υπό το πρίσμα του ΓΚΠΔ.

Υπεύθυνοι και Εκτελούντες