1. Υπεύθυνος ασφαλείας

 

Ορισμός Υπευθύνου Ασφαλείας

Πρέπει να οριστεί διακριτή θέση υπευθύνου ασφαλείας (ή, ενδεχομένως, αντίστοιχης ομάδας ατόμων) εντός του οργανισμού ή της επιχείρησης με σαφώς ορισμένες αρμοδιότητες. Πρέπει ο υπεύθυνος ασφαλείας να έχει, τουλάχιστον, την επίβλεψη και τον έλεγχο της εφαρμογής της πολιτικής ασφαλείας και των μέτρων ασφαλείας. Επισημαίνεται ότι ο ρόλος αυτός δεν πρέπει να σχετίζεται με τον Υπεύθυνο Προστασίας Δεδομένων του φορέα και, μάλιστα, νομολογιακά θεωρείται ότι οι δύο αυτοί ρόλοι είναι ασυμβίβαστοι.

 

2. Οργάνωση/Διαχείριση προσωπικού

 

Ρόλοι/εξουσιοδοτήσεις

Πρέπει να δημιουργηθούν οργανωτικοί ρόλοι για συγκεκριμένες εργασίες εντός του οργανισμού/εταιρείας και να γίνει σύνδεση του προσωπικού με τους αντίστοιχους ρόλους. Πρέπει να υπάρχει σαφής διαχωρισμός και ανάθεση καθηκόντων/αρμοδιοτήτων σε κάθε υπάλληλο, με βάση τον ρόλο του. Οι ρόλοι πρέπει να ανατίθενται επισήμως (εγγράφως). Οι υπάλληλοι πρέπει να έχουν δικαίωμα πρόσβασης μόνο στα απολύτως απαραίτητα δεδομένα προσωπικού χαρακτήρα, βάσει των αρμοδιοτήτων και καθηκόντων που τους έχουν ανατεθεί και υπαγορεύονται από τον ρόλο τους (με άλλα λόγια, σε κάθε μέλος του οργανισμού ανατίθενται συγκεκριμένα δικαιώματα πρόσβασης σύμφωνα με τους ρόλους τους οποίους λαμβάνει).

 

Αναθεώρηση ρόλων

Πρέπει να υπάρχει διαδικασία για την περιοδική επανεξέταση και αναθεώρηση των εξουσιοδοτήσεων και δικαιωμάτων πρόσβασης για όλα τα στάδια της εργασιακής πορείας των υπαλλήλων (πρόσληψη, μετακίνηση, αλλαγή καθηκόντων, αποχώρηση, κ.λπ).

 

Δέσμευση εμπιστευτικότητας

Ο φορέας οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου. Για τον σκοπό αυτό, είναι απαραίτητη η λήψη ειδικών μέτρων για τη δέσμευση του προσωπικού που επεξεργάζεται προσωπικά δεδομένα ως προς την εμπιστευτικότητα, ιδίως όταν το εν λόγω προσωπικό δεν δεσμεύεται ήδη από απόρρητο. Η σύνταξη επαγγελματικών κανονιστικών κειμένων μπορεί επίσης να βοηθήσει προς την κατεύθυνση αυτή.

 

Αποχώρηση υπαλλήλου

Πρέπει να υπάρχει σαφής διαδικασία προσανατολισμένη στην ασφάλεια, η οποία να τηρείται κατά την αποχώρηση μέλους του προσωπικού. Μέτρα προστασίας σε αυτή την κατεύθυνση μπορούν να είναι τα ακόλουθα:

  1. Κατάργηση όλων των λογαριασμών πρόσβασης, των εξουσιοδοτήσεων και των κωδικών-συνθηματικών πρόσβασης.
  2. Κατάργηση των λογαριασμών ηλεκτρονικού ταχυδρομείου και μη ανάθεσή τους σε άλλον ή άλλους υπαλλήλους (μη επαναχρησιμοποίησή τους).
  3. Επιστροφή οποιουδήποτε εξοπλισμού έχει παρασχεθεί στον υπάλληλο και ανήκει στον φορέα, (συμπεριλαμβανομένων υπολογιστών, κλειδιών, ηλεκτρονικών καρτών εισόδου/εξόδου, κ.λπ).

 

3. Διαχείριση πληροφοριακών αγαθών

 

Καταγραφή

Πρέπει να υπάρχουν σαφείς διαδικασίες διαχείρισης υλικού και λογισμικού που περιλαμβάνουν την τήρηση επικαιροποιημένου καταλόγου των πληροφοριακών και επικοινωνιακών υποδομών και συστημάτων, του λογισμικού καθώς και των κατηγοριών αρχείων και δεδομένων που χρησιμοποιούνται ή τηρούνται από τον φορέα, όπως επίσης και τον καθορισμό ενός ή περισσοτέρων ατόμων ή ρόλων που είναι κάτοχοι ή/και υπεύθυνοι των αντίστοιχων αγαθών.

 

Διαχείριση φυσικού αρχείου

Πρέπει να υπάρχουν συγκεκριμένες διαδικασίες για την ορθή οργάνωση/αρχειοθέτηση/ταξινόμηση του φυσικού αρχείου (δηλ. του αρχείου με τους φυσικούς φακέλους).

 

Διαβάθμιση πληροφοριών

Τα δεδομένα πρέπει να διαβαθμίζονται βάσει του είδους και της κρισιμότητάς τους, καθώς επίσης και να υπάρχουν συγκεκριμένες διαδικασίες διαχείρισής τους με βάση τη διαβάθμιση αυτή.

 

Διακίνηση πληροφοριακών αγαθών

Σε περίπτωση που εξοπλισμός (π.χ. υπολογιστής ή USB) με προσωπικά δεδομένα μεταφέρεται εκτός των εγκαταστάσεων του υπευθύνου επεξεργασίας, η ενέργεια αυτή πρέπει να καταγράφεται (ημερομηνία και ώρα εξόδου, πρόσωπο που χρησιμοποιεί τον εξοπλισμό, επιστροφή του εξοπλισμού) και να τελεί υπό την έγκριση αρμόδιου προσώπου του φορέα, π.χ. του υπευθύνου ασφαλείας.

 

4. Εκτελούντες την επεξεργασία

 

Καταγραφή

Ο υπεύθυνος επεξεργασίας πρέπει να τηρεί κατάλογο όλων των εκτελούντων την επεξεργασία που χειρίζονται προσωπικά δεδομένα για λογαριασμό του εντός ή εκτός των εγκαταστάσεων του.

 

Έγγραφη ανάθεση

Στην περίπτωση που ο υπεύθυνος επεξεργασίας αναθέτει την επεξεργασία δεδομένων σε εκτελούντα την επεξεργασία, η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως, εκτός κι αν η ανάθεση προβλέπεται σε νόμο. Με την ανάθεση πρέπει να διασφαλίζεται ότι πληρούνται οι προϋποθέσεις του άρθρου 28 του Κανονισμού (ΕΕ) 2016/679. Οι έγγραφες αναθέσεις-συμβάσεις πρέπει επίσης να περιέχουν και τα επίπεδα των υπηρεσιών που πρέπει να επιτυγχάνει ο εκτελών την επεξεργασία (σε επίπεδο ασφαλείας και ποιότητας δεδομένων).

 

Μέτρα ασφαλείας που αφορούν τους εκτελούντες

Ο εκτελών την επεξεργασία οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφαλή τήρηση και επεξεργασία των προσωπικών δεδομένων του υπευθύνου επεξεργασίας. Ο υπεύθυνος επεξεργασίας οφείλει να διασφαλίσει ότι ο εκτελών την επεξεργασία τηρεί τους όρους της πολιτικής ασφαλείας του (του υπευθύνου) στο μέτρο που αυτή τον αφορά (τον εκτελούντα) αναφορικά με κανόνες πρόσβασης στα συστήματα, διαχείριση περιστατικών ασφαλείας, μέτρα φυσικής ασφαλείας, κ.λπ. Δικαιώματα πρόσβασης σε μέλη του προσωπικού του εκτελούντος στα συστήματα του υπευθύνου επεξεργασίας εκχωρούνται μόνο όταν αυτό είναι απαραίτητο για την υλοποίηση των συμβατικών τους υποχρεώσεων. Πρέπει να ανατίθενται οι ελάχιστες απαιτούμενες εξουσιοδοτήσεις, οι οποίες με τη σειρά τους θα πρέπει να καταργούνται με τη λήξη της συμβατικής υποχρέωσης.

 

Τόπος επεξεργασίας

Για τη συντήρηση/αναβάθμιση του εξοπλισμού που φέρει προσωπικά δεδομένα θα πρέπει πάντοτε να εξετάζεται το ενδεχόμενο, εφόσον είναι εφικτό και πρόσφορο, αυτή να πραγματοποιείται στον χώρο του υπευθύνου επεξεργασίας. Όταν η επεξεργασία γίνεται εκτός των εγκαταστάσεων του υπευθύνου επεξεργασίας, ο υπεύθυνος θα πρέπει να εξασφαλίζει ότι ο εκτελών παρέχει επίπεδο ασφαλείας τουλάχιστον ανάλογο με αυτό που ορίζεται στην πολιτική ασφαλείας του υπευθύνου.

 

Δέσμευση εμπιστευτικότητας προσωπικού του εκτελούντος

Οι υπάλληλοι του εκτελούντος που επεξεργάζονται, κατά το χρονικό διάστημα της σύμβασης, προσωπικά δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας πρέπει να δεσμεύονται εγγράφως με κατάλληλη δήλωση εμπιστευτικότητας.

 

5. Καταστροφή δεδομένων και αποθηκευτικών μέσων

 

Διαδικασίες καταστροφής δεδομένων

Πριν από την καταστροφή έντυπων ή ηλεκτρονικών αρχείων που περιέχουν προσωπικά δεδομένα θα πρέπει να λαμβάνονται τα κατάλληλα μέτρα ώστε να διασφαλίζεται η πλήρης και μόνιμη διαγραφή των δεδομένων αυτών. Ειδικότερα, θα πρέπει να ακολουθούνται κατ’ ελάχιστον όσα προβλέπονται στην οδηγία 1/2005 της Αρχής για την ασφαλή καταστροφή των προσωπικών δεδομένων μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας. Ο φορέας οφείλει να διαθέτει συγκεκριμένη γραπτή διαδικασία για την καταστροφή των δεδομένων, τόσο όταν πρόκειται για προγραμματισμένη μαζική καταστροφή δεδομένων, όσο και όταν πρόκειται για καταστροφή δεδομένων σε καθημερινή βάση (π.χ. με χρήση καταστροφέων εγγράφων) και να ενημερώνει σχετικά τους υπαλλήλους του.

 

6. Διαχείριση περιστατικών παραβίασης προσωπικών δεδομένων

 

Καθορισμός διαδικασιών

Ο φορέας οφείλει να διαθέτει διαδικασίες για την αναγνώριση, αναφορά, γνωστοποίηση (σύμφωνα με τα οριζόμενα στα άρ. 33 και 34 του ΓΚΠΔ) και άμεση αντιμετώπιση των περιστατικών παραβίασης της ασφάλειας των προσωπικών δεδομένων στο πλαίσιο του χρησιμοποιούμενου συστήματος επεξεργασίας. Στις διαδικασίες αυτές πρέπει να περιλαμβάνονται κατ’ αρχάς οι ενέργειες που είναι αναγκαίες για τη διερεύνηση του εκάστοτε περιστατικού – τρόπος αναφοράς περιστατικού, προσωπικό που θα ενεργοποιηθεί, αρχεία-συστήματα που θα πρέπει να διερευνηθούν, τι θα περιλαμβάνει το αρχείο διαχείρισης περιστατικού, κ.λπ. Θα πρέπει να υπάρχει καταγραφή του κάθε συμβάντος σε σχετικό αρχείο, που θα περιλαμβάνει τη χρονική στιγμή που έλαβε χώρα, το πρόσωπο που το ανέφερε και σε ποιον το ανέφερε, εκτίμηση των συνεπειών και της κρισιμότητας του περιστατικού, διαδικασίες ανάκαμψης/διόρθωσης που ακολουθήθηκαν, διαδικασία γνωστοποίησης στην Αρχή καθώς και ενδεχόμενη διαδικασία ενημέρωσης των θιγομένων προσώπων (υποκείμενα των δεδομένων) ανάλογα με την έκταση του περιστατικού και τις συνέπειες αυτού για τα επηρεαζόμενα φυσικά πρόσωπα.

 

7. Ανάκαμψη από καταστροφές

 

Περιλαμβάνονται τα μέτρα προστασίας, ανάκαμψης και αποκατάστασης πληροφοριακών συστημάτων και τεχνολογικών υποδομών σε περιπτώσεις έκτακτης ανάγκης, όπως φυσικές καταστροφές, εξωτερικές επιθέσεις/εισβολές, κ.λπ. Βλέπε αναλυτικά στο Σχέδιο Ανάκαμψης από Καταστροφές.

 

8. Εκπαίδευση προσωπικού

 

Βασική εκπαίδευση

Η εκπαίδευση του προσωπικού σε θέματα προστασίας προσωπικών δεδομένων, καθώς και σε ειδικές σχετικές με ασφάλεια λειτουργίες του πληροφοριακού συστήματος (π.χ. χρήση μη προβλέψιμων κωδικών πρόσβασης και συνθηματικών, τρόπο εντοπισμού και αναφοράς των περιστατικών παραβίασης της ασφαλείας, σωστή χρήση των e-mail και των αποσπώμενων μέσων αποθήκευσης) είναι ιδιαιτέρως σημαντική για την ορθή εφαρμογή των οργανωτικών και τεχνικών μέτρων ασφαλείας. Η εκπαίδευση κατά την πρόσληψη πρέπει να περιλαμβάνει κατ’ ελάχιστο την κοινοποίηση στους εργαζόμενους της πολιτικής ασφαλείας, για την οποία πρέπει κατά το δυνατόν να διαπιστωθεί ότι είναι πλήρως κατανοητή από όλους, καθώς επίσης και των διαδικασιών διαχείρισης περιστατικών παραβίασης δεδομένων και ανάκαμψης από καταστροφές, εφόσον άπτονται των αρμοδιοτήτων τους. Σκόπιμο θα ήταν να υπάρχει εταιρικός δικτυακός τόπος (intranet) στον οποίο θα είναι αναρτημένη η περιγραφή των βασικών διαδικασιών ασφαλείας που πρέπει να γνωρίζουν τα μέλη του προσωπικού. Θα πρέπει επίσης η εκπαίδευση να συνεχίζεται και μετά την πρόσληψη, είτε σε σημαντικές αλλαγές των διαδικασιών ασφαλείας είτε κατά την εμφάνιση σημαντικών θεμάτων ασφαλείας. Επίσης, ως προς τον σκοπό της εκπαίδευσης κρίνεται σκόπιμη η κατάρτιση ειδικότερων ενημερωτικών εντύπων.

 

Εξειδικευμένη εκπαίδευση

Πρέπει να παρέχεται στο προσωπικό που έχει αναλάβει τη διαχείριση της ασφάλειας διαρκής εξειδικευμένη εκπαίδευση σχετικά με τις τεχνολογικές εξελίξεις στον χώρο της ασφάλειας πληροφοριών.

 

9. Έλεγχος

 

Διαδικασία ελέγχων

Πρέπει να υπάρχουν διαδικασίες για την εκπόνηση προγραμματισμένων ελέγχων (είτε εσωτερικών είτε εξωτερικών, σε ετήσια βάση), στις οποίες να αποτυπώνεται και να ελέγχεται η τήρηση των μέτρων ασφαλείας και η αποτελεσματικότητά τους. Αποτέλεσμα των ελέγχων μπορεί να είναι η τροποποίηση κάποιων μέτρων ασφαλείας ή η προσθήκη νέων. Τα πορίσματα των ελέγχων συνοδευόμενα από τις αναγκαίες τροποποιήσεις των μέτρων ασφαλείας πρέπει να υποβάλλονται στον υπεύθυνο ασφαλείας, ενώ επίσης να ενημερώνεται και ο φορέας. Ο υπεύθυνος ασφαλείας θα πρέπει να αξιοποιεί το εν λόγω πόρισμα προβαίνοντας στις αναγκαίες τροποποιήσεις των μέτρων ασφαλείας καθώς και της πολιτικής ασφαλείας.

 

10. Έλεγχος φυσικής πρόσβασης

 

Φυσική πρόσβαση σε εγκαταστάσεις και computer room

Πρέπει να υπάρχουν τα κατάλληλα μέτρα ελέγχου φυσικής πρόσβασης στους κρίσιμους χώρους όπου βρίσκεται ο φυσικός εξοπλισμός (συμπεριλαμβανομένης τηλεπικοινωνιακής και δικτυακής καλωδίωσης) που υποστηρίζει τα πληροφοριακά συστήματα και την επεξεργασία προσωπικών δεδομένων, έτσι ώστε να επιτρέπεται η πρόσβαση μόνο σε εξουσιοδοτημένο προσωπικό (για παράδειγμα, κάποιοι χώροι −όπως αυτοί που βρίσκεται δικτυακός εξοπλισμός− πρέπει να είναι μόνιμα κλειδωμένοι). Σε ορισμένες δε περιπτώσεις (αναλόγως της φύσης των δεδομένων και των υφιστάμενων κινδύνων) ενδέχεται να είναι πρόσφορο να καταγράφεται κάθε πρόσβαση σε συγκεκριμένο φυσικό χώρο.

 

Τήρηση καταλόγου

Ο φορέας πρέπει να διατηρεί επικαιροποιημένο κατάλογο με τα δικαιώματα φυσικής πρόσβασης του προσωπικού, καθώς και με το προσωπικό που διαθέτει κωδικούς, κάρτες εισόδου και κλειδιά για πρόσβαση σε κρίσιμους, ως προς την ασφάλεια, χώρους. Οι κατάλογοι αυτοί θα πρέπει να υπόκεινται σε τακτική αναθεώρηση.

 

11. Περιβαλλοντική ασφάλεια

 

Προστασία από φυσικές καταστροφές

Πρέπει να λαμβάνονται τα κατάλληλα μέτρα για την προστασία των κτιρίων, των κρίσιμων χώρων, του computer room, των γραφείων του προσωπικού, του εξοπλισμού πληροφορικής και του χώρου τήρησης φυσικού αρχείου από ζημιές που μπορούν να προκληθούν από φυσικές καταστροφές ή κακόβουλες ενέργειες, όπως πλημμύρα, υπερθέρμανση, πυρκαγιά, σεισμός, έκρηξη, διαρροή νερού, διακοπή ρεύματος, διάρρηξη/κλοπή, βανδαλισμός, κ.λπ. Ενδεικτικά μέτρα προς αυτή την κατεύθυνση είναι τα εξής: συναγερμός, πόρτες και παράθυρα ασφαλείας, πυροπροστασία, απομάκρυνση εξοπλισμού από υδροσωληνώσεις και πηγές σκόνης, ανιχνευτές υγρασίας και πλημμύρας, αδιάλειπτη παροχή ρεύματος μέσω σταθεροποιητών/γεννητριών, κ.λπ.

 

12. Έκθεση εγγράφων

 

Τοποθέτηση φακέλων

Οι φάκελοι που περιέχουν προσωπικά δεδομένα (φυσικό αρχείο) πρέπει να είναι τοποθετημένοι σε φωριαμούς και να μην εκτίθενται σε κοινή θέα.

 

Μεταφορά φακέλων

Θα πρέπει να καταγράφεται η μεταφορά των φυσικών φακέλων σε διαφορετικά γραφεία ή οργανωτικές μονάδες.

 

Clean desk policy

Δεν θα πρέπει να αφήνονται εκτεθειμένα, χωρίς επίβλεψη, έγγραφα και φορητά μέσα αποθήκευσης πάνω σε γραφεία.

 

Συσκευές αναπαραγωγής εγγράφων

Λοιπές συσκευές που δύναται να χρησιμοποιηθούν για υποκλοπή ή για την έκθεση προσωπικών δεδομένων σε κοινή θέα, όπως φωτοαντιγραφικά, συσκευές fax, εκτυπωτές, κ.λπ. θα πρέπει να προστατεύονται κατάλληλα.

 

13. Προστασία φορητών μέσων αποθήκευσης

 

Ασφάλεια φορητών μέσων

Πρέπει να λαμβάνονται τα κατάλληλα μέτρα για τη φυσική ασφάλεια και προστασία των φορητών αποθηκευτικών μέσων − όπως να φυλάσσονται σε ασφαλή σημεία όταν δεν είναι σε χρήση και να είναι πάντα υπό επίβλεψη κατά τη διάρκεια της χρήσης τους.

 

14. Εναλλακτικές εγκαταστάσεις

 

Προστασία εναλλακτικών εγκαταστάσεων

Τα μέτρα ελέγχου φυσικής πρόσβασης και περιβαλλοντικής ασφαλείας θα πρέπει να εφαρμόζονται και στις εναλλακτικές εγκαταστάσεις και εξοπλισμό που χρησιμοποιεί ο φορέας στο πλαίσιο του σχεδίου ανάκαμψης από καταστροφές.