Ασφάλεια προσωπικών δεδομένων

Ασφάλεια προσωπικών δεδομένων

Εισαγωγή

Η ραγδαία επέκταση των νέων τεχνολογιών, η ανάπτυξη της οικονομικής δραστηριότητας, η διασυνοριακή διαβίβαση προσωπικών δεδομένων και η τάση ενίσχυσης της δημόσιας ασφαλείας καθιστούν επιτακτική την ασφαλή επεξεργασία και προστασία των προσωπικών δεδομένων. Το θέμα της ασφαλούς επεξεργασίας των προσωπικών δεδομένων ρυθμίζεται στα άρθρα 10 του ν. 2472/1997 και 12 του ν.3471/2006.

Σύμφωνα με το άρθρο 10 του ν.2472/1997, η επεξεργασία των προσωπικών δεδομένων διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνον κατ’ εντολή του. Όσοι επεξεργάζονται προσωπικά δεδομένα (υπεύθυνοι επεξεργασίας), ανεξαρτήτως αν απαλλάσσονται από την υποχρέωση γνωστοποίησης και λήψης άδειας (άρθρο 7Α του ν.2472/1997), οφείλουν να λαμβάνουν μέτρα που να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας. Η εκτίμηση του επιπέδου του κινδύνου των προσωπικών δεδομένων επιτυγχάνεται με την ανάλυση επικινδυνότητας (risk analysis). Η ανάλυση επικινδυνότητας έχει ως στόχο την εκτίμηση των κινδύνων και των απειλών στις οποίες είναι εκτεθειμένο το πληροφοριακό σύστημα στο οποίο λαμβάνει χώρα η επεξεργασία των προσωπικών δεδομένων. Βασιζόμενος στα αποτελέσματα της ανάλυσης επικινδυνότητας, ο υπεύθυνος επεξεργασίας μπορεί να εκτιμήσει τα μέτρα ασφαλείας που πρέπει να λάβει ώστε να μειώσει τον κίνδυνο σε ένα αποδεκτό επίπεδο.

Επιπλέον, οι υπεύθυνοι επεξεργασίας, οφείλουν να:

  • Επιλέγουν πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου,
    Λαμβάνουν τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια και την προστασία των προσωπικών δεδομένων από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας.
  • Αν η επεξεργασία διεξάγεται για λογαριασμό του υπευθύνου από πρόσωπο μη εξαρτώμενο από αυτόν, η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως. Η ανάθεση προβλέπει ότι ο ενεργών την επεξεργασία την διεξάγει μόνο κατ’ εντολή του υπευθύνου και ότι οι λοιπές υποχρεώσεις του άρθρου 10 του ν.2472/1997 βαρύνουν αναλόγως και αυτόν.

Επιπλέον, σύμφωνα με την μέχρι στιγμής κρατούσα άποψη μεταξύ των ευρωπαϊκών Αρχών προστασίας δεδομένων, όπως εκφράζεται π.χ. στις Γνώμες 4/2007, 1/2008 και 2/2008 της Ομάδας του Άρθρου 29, τα δεδομένα θέσης και κίνησης των ηλεκτρονικών επικοινωνιών αποτελούν προσωπικά δεδομένα (βλ. άρθρο 2 στοιχ. α’ και γ’ του ν. 2472/1997 σε συνδυασμό με άρθρο 2 παρ. 3 και 4 του ν. 3471/2006) ανεξαρτήτως αν ο υπεύθυνος επεξεργασίας είναι πάροχος ηλεκτρονικών υπηρεσιών ή όχι. Ο φορέας παροχής διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών οφείλει να λαμβάνει τα ενδεδειγμένα τεχνικά και οργανωτικά μέτρα, προκειμένου να προστατεύεται η ασφάλεια των υπηρεσιών του, καθώς και η ασφάλεια του δημοσίου δικτύου ηλεκτρονικών επικοινωνιών κατά τα οριζόμενα στο άρθρο 12 του ν.3471/2006. Τα μέτρα αυτά, εφόσον είναι αναγκαίο, λαμβάνονται από κοινού με τον φορέα παροχής του δημοσίου δικτύου ηλεκτρονικών επικοινωνιών, πρέπει δε να εγγυώνται επίπεδο ασφαλείας ανάλογο προς τον υπάρχοντα κίνδυνο, λαμβανομένων υπόψη αφενός των πλέον προσφάτων τεχνικών δυνατοτήτων, αφετέρου δε του κόστους εφαρμογής τους.

Η εκτίμηση του επιπέδου του κινδύνου που αντιμετωπίζουν τα προσωπικά δεδομένα και η υιοθέτηση των κατάλληλων μέτρων ασφαλείας διαχείρισης του κινδύνου αυτού αποτελούν κρίσιμο παράγοντα για την εκπλήρωση των υποχρεώσεων που απορρέουν από τις ανωτέρω διατάξεις. Η Αρχή, σύμφωνα με το άρθρο 10 παρ. 3 εδ. 3 του ν.2472/1997, έχει την αρμοδιότητα να παρέχει οδηγίες ή να εκδίδει κανονιστικές πράξεις, σύμφωνα με το άρθρο 19 παρ. 1 στοιχ. ί, για τη ρύθμιση θεμάτων σχετικά με το βαθμό ασφαλείας των δεδομένων και των υπολογιστικών και επικοινωνιακών υποδομών, τα μέτρα ασφαλείας που είναι αναγκαίο να λαμβάνονται για κάθε κατηγορία και επεξεργασία δεδομένων, καθώς και για τη χρήση τεχνολογιών ενίσχυσης της ιδιωτικότητας (άρθρο 10, παρ. 3 εδ. 3).

 

Πληροφορίες για υπεύθυνους επεξεργασίας

Ως υπεύθυνοι επεξεργασίας οφείλετε να λαμβάνετε τα κατάλληλα οργανωτικά και τεχνικά μέτρα προκειμένου να εξασφαλίζετε ότι το επίπεδο ασφαλείας των προσωπικών δεδομένων που επεξεργάζεστε είναι ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας. Η Αρχή πρέπει να λαμβάνει γνώση των μέτρων αυτών και ακολούθως δύναται να σας κάνει συστάσεις προς βελτίωσή τους. Πιο συγκεκριμένα, είστε υποχρεωμένοι (άρθρο 6 του ν. 2472/1997) να γνωστοποιείτε εγγράφως στην Αρχή τη σύσταση και λειτουργία αρχείου ή την έναρξη της επεξεργασίας. Στο πλαίσιο της γνωστοποίησης είστε, επίσης, υποχρεωμένοι να ενημερώσετε την Αρχή για τα βασικά χαρακτηριστικά του συστήματος και τα μέτρα ασφαλείας του αρχείου ή της επεξεργασίας. Στις περιπτώσεις που πραγματοποιείται επεξεργασία ευαίσθητων προσωπικών δεδομένων, η Αρχή πρέπει να χορηγήσει άδεια προτού ξεκινήσει η επεξεργασία των δεδομένων αυτών. Με την έκδοση της άδειας η Αρχή επιβάλλει όρους και προϋποθέσεις για την ίδρυση και λειτουργία του σχετικού αρχείου. Ανάλογα με τη φύση της επεξεργασίας, αλλά και τα ήδη υπάρχοντα μέτρα ασφάλειας, η Αρχή συνιστά την κατάθεση (ή σύνταξη) κώδικα δεοντολογίας, πολιτικής ασφαλείας, σχεδίου ασφαλείας ή/και σχεδίου ανάκαμψης από καταστροφές.

Αν έχετε αναθέσει την επεξεργασία ή μέρος αυτής σε πρόσωπο μη εξαρτώμενο από σας (εκτελούντα την επεξεργασία), η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως. Η ανάθεση προβλέπει ότι ο ενεργών την επεξεργασία την διεξάγει μόνο κατ’ εντολή σας ως υπεύθυνο επεξεργασίας και ότι οι λοιπές υποχρεώσεις του άρθρου 10 του ν.2472/1997 βαρύνουν αναλόγως και αυτόν.

Ο Κώδικας Δεοντολογίας περιέχει κανόνες αυτοδέσμευσης επαγγελματικών ομάδων, που περιλαμβάνουν τον τρόπο χειρισμού προσωπικών δεδομένων. Ο κώδικας αυτός πρέπει να είναι δεσμευτικός ως προς την τήρησή του από τους υπαλλήλους σας ή τα μέλη της επαγγελματικής ομάδας στην οποία ανήκετε.

Η Πολιτική Ασφαλείας (Security Policy) είναι έγγραφο στο οποίο περιγράφονται οι στόχοι της ασφάλειας και οι αντίστοιχοι κανόνες/διαδικασίες που πρέπει να ακολουθούνται για την επίτευξη των στόχων αυτών. Καθορίζει τη δέσμευση της Διοίκησης και την προσέγγιση ενός οργανισμού ή μιας επιχείρησης αναφορικά με την ασφάλεια και την προστασία προσωπικών δεδομένων. Στην πολιτική ασφαλείας θα πρέπει, κατ’ ελάχιστο, να περιγράφονται οι βασικές αρχές προστασίας προσωπικών δεδομένων και ασφαλείας που εφαρμόζονται. Ειδικότερα η πολιτική ασφαλείας πρέπει να θέτει τις βασικές αρχές για α) οργανωτικά μέτρα ασφαλείας αναφορικά με τους ρόλους και τις αρμοδιότητες του προσωπικού και των εξωτερικών συνεργατών, εκτελούντων την επεξεργασία, τον καθορισμό και τις αρμοδιότητες του υπευθύνου ασφαλείας, την εκπαίδευση του προσωπικού, τη διαχείριση περιστατικών ασφαλείας, καθώς και την καταστροφή των προσωπικών δεδομένων, β) τα τεχνικά μέτρα ασφαλείας αναφορικά με τη διαχείριση των χρηστών του πληροφοριακού συστήματος, την αναγνώριση και αυθεντικοποίηση των χρηστών, την ασφάλεια των επικοινωνιών, τη λειτουργία των αρχείων καταγραφής του πληροφοριακού συστήματος, την εξαγωγή αντιγράφων ασφαλείας, γ) τα μέτρα φυσικής ασφαλείας.

Το Σχέδιο Ασφαλείας (Security Plan) είναι το έγγραφο στο οποίο περιγράφονται τα οργανωτικά και τεχνικά μέτρα, καθώς και τα μέτρα φυσικής ασφάλειας που εφαρμόζονται ή πρόκειται να εφαρμοστούν για την κάλυψη των βασικών αρχών και κανόνων που αναφέρονται στην πολιτική ασφαλείας, όπως επίσης και οι απαραίτητες ενέργειες για την υλοποίησή τους.

Το Σχέδιο Ανάκαμψης από καταστροφές (Disaster Recovery and Contingency Plan) είναι το έγγραφο που αναφέρεται στα μέτρα προστασίας, ανάκαμψης και αποκατάστασης πληροφοριακών συστημάτων και τεχνολογικών υποδομών σε περιπτώσεις έκτακτης ανάγκης, όπως φυσικές καταστροφές, εξωτερικές επιθέσεις/εισβολές, κ.λπ. Το Σχέδιο αυτό συμπληρώνει το Σχέδιο Ασφαλείας.

Τα παραπάνω σχέδια αφορούν τόσο αυτοματοποιημένα όσο και μη αυτοματοποιημένα συστήματα διαχείρισης και επεξεργασίας δεδομένων και πρέπει να εφαρμόζεται με ακρίβεια για την προστασία των προσωπικών δεδομένων, ευαίσθητων και μη. Τα σχέδια αυτά υπόκεινται σε τακτικές επισκοπήσεις και αναθεωρήσεις, δεδομένης της ραγδαίας ανάπτυξης τεχνολογικών λύσεων και της εφαρμογής τους στα πληροφοριακά συστήματα και στις τεχνολογικές υποδομές.

Η πολιτική ασφαλείας, το σχέδιο ασφαλείας και το σχέδιο ανάκαμψης από καταστροφές πρέπει να φέρουν την επίσημη έγκριση της Διοίκησης, να κοινοποιούνται σε όλο το προσωπικό και να είναι δεσμευτικά. Η κατάρτισή τους συνιστάται να βασίζεται στα αποτελέσματα της ανάλυσης επικινδυνότητας της υπολογιστικής και επικοινωνιακής υποδομής.

Επίσης, οφείλετε, ως υπεύθυνος επεξεργασίας, να μεριμνάτε για την ασφαλή καταστροφή των προσωπικών δεδομένων μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας. Η Αρχή έχει εκδώσει την Οδηγία 1/2005 με ενδεικτικά μέτρα για την ασφάλεια κατά την καταστροφή των προσωπικών δεδομένων.