* Απαιτούμενα πεδία
Ι. ΒΑΣΙΚΕΣ ΚΑΤΑΣΤΑΣΕΙΣ
Η TESY Ltd. (Η Εταιρεία, TESY), με Ενιαίο Κωδικό Αναγνώρισης 040029337, εδρεύουσα και με διεύθυνση της διαχείρισης στην πόλη Σούμεν, λεωφ. Μάνταρα αρ. 48, με εκπρόσωπο τον διαχειριστή Ζέτσκο Κιουρκτσίεβ.
Η παρούσα πολιτική είναι μέρος των μέτρων που έχουν ως στόχο την εξασφάλιση πληροφοριακής ασφάλειας και αποτελεσματικού συστήματος προστασίας των δεδομένων προσωπικού χαρακτήρα στην TESY που να αντιστοιχούν με την ισχύουσα νομοθεσία και τις εφαρμοστέες καλές πρακτικές.
Ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ που αρχίζει να εφαρμόζεται από την 25η Μαΐου 2018 καθώς και ο παρόν Νόμος για την προστασία των δεδομένων προσωπικού χαρακτήρα, εστιάζουν την ασφάλεια των δεδομένων προσωπικού χαρακτήρα. Με τη βοήθεια κατάλληλων τεχνικών και οργανωτικών μέτρων τα δεδομένα πρέπει να επεξεργάζονται με τρόπο που εγγυάται κατάλληλη ασφάλεια, καθώς και προστασία κατά άνευ άδειας ή παράνομης επεξεργασίας και κατά τυχαίας απώλειας, καταστροφής ή ζημιών. Οι ζημιές μπορεί να είναι τόσο σωματικές, όσο και υλικές ή μη υλικές βλάβες για τα φυσικά πρόσωπα, π.χ. απώλεια ελέγχου πάνω στα δεδομένα τους προσωπικού χαρακτήρα ή περιορισμός των δικαιωμάτων τους, διάκριση, κλοπή ταυτότητας ή απάτη με πλαστή ταυτότητα, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη φήμης, απώλεια της εμπιστευτικότητας δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο ή οποιαδήποτε άλλη σημαντική οικονομική ή κοινωνική δυσμενή συνέπεια για τα πρόσωπα που έχουν υποστεί ζημιά.
Η παρούσα πολιτική έχει ως στόχο να δημιουργήσει τις ακόλουθες οργανωτικές προϋποθέσεις:
Που δίνουν επίπεδο ασφάλειας που αντιστοιχεί στον κίνδυνο που προκύπτει κατά την συγκεκριμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Που λογοδοτεί τις επιτεύξεις της τεχνικής προόδου, τα έξοδα εφαρμογής, τη φύση, την έκταση, τα συμφραζόμενα και τους σκοπούς της επεξεργασίας, καθώς και τους κίνδυνους με διαφορετική πιθανότητα και βαρύτητα για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
Που εξασφαλίζουν έγκαιρη διαπίστωση παραβιάσεων στην ασφάλεια, αναγκαιότητα από ενημέρωση και αντίστοιχη ενημέρωση της εποπτικής αρχής/των υποκείμενων δεδομένων που έχουν υποστεί ζημιά.
Κατά την παραγωγή αποτελεσματικού προγράμματος δράσης (playbook) για κάθε συγκεκριμένη περίπτωση θα αφιερώνεται η αναγκαία προσοχή σε όλες τις περιστάσεις που έχουν σχέση με την παραβίαση.
ΙΙ. ΟΡΟΙ -ΚΛΕΙΔΙ
«Политика» - «Πολιτική» - η παρούσα πολιτική περί διαπίστωσης, κλιμάκωσης και ενημέρωσης παραβάσεων της ασφάλειας των δεδομένων προσωπικού χαρακτήρα που έχει εγκριθεί από την TESY Ltd.
«ОРЗЛД» - «ΓΚΠΔ» (Γενικός Κανόνας για την Προστασία Δεδομένων» - Ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ.
- «ΝΠΔΠΧ» - Νόμος για την προστασία δεδομένων προσωπικού χαρακτήρα.
- «ΕΠΔΠΧ» - Επιτροπή προστασίας δεδομένων προσωπικού χαρακτήρα
«ΥΠΠΔΠΧ» - Υπηρεσιακό πρόσωπο για την προστασία δεδομένων προσωπικού χαρακτήρα στο οποίο έχουν αναθέτει τα καθήκοντα σύμφωνα με το άρθρο 39 του ΓΚΠΔ. Το ΥΠΠΔΠΧ ορίζεται μέσω Διαταγής του Διαχειριστή της TESY Ltd.
«Δεδομένα προσωπικού χαρακτήρα» - κάθε πληροφορία που αφορά ταυτοποιημένο φυσικό πρόσωπο/ταυτοποιήσημο φυσικό πρόσωπο, η εξακρίβωση της ταυτότητας φυσικό πρόσωπο μπορεί είναι άμεσα ή έμμεσα ειδικότερα μέσω χαρακτηριστικού ως ονόματος, αριθμού ταυτότητας, διεύθυνσης, online χαρακτηριστικού ή με ένα ή περισσότερα χαρακτηριστικά, ειδικά στην σωματική, φυσιολογική, γενετική, ψυχική, διανοητική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
«Υποκείμενο» - φυσικό πρόσωπο για το οποίο επεξεργάζονται δεδομένα προσωπικού χαρακτήρα ανεξάρτητα εάν είναι συμβαλλόμενος της Εταιρείας, Υπάλληλος ή άλλο πρόσωπο, τα δεδομένα του οποίου επεξεργάζονται από την Εταιρεία.
«Επεξεργασία» - κάθε πράξη/σειρά πράξεων που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα/ σύνολα δεδομένων προσωπικού χαρακτήρα μέσω αυτοματοποιημένων/άλλων μέσων ως συλλογής, καταχώρισης, οργάνωσης, διάρθρωσης, αποθήκευσης, προσαρμογής ή μεταβολής, εξαγωγής, παροχής συμβουλών, χρήσης, κοινολόγησης με διαβίβαση, διάδοση ή με άλλο τρόπο με τον οποίο τα δεδομένα γίνονται προσβάσιμα, τακτοποίηση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή.
«Υπεύθυνος επεξεργασίας» - πρόσωπο, το οποίο μόνο του ή από κοινού με άλλους καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Ο Υπεύθυνος επεξεργασίας στην περίπτωση είναι η Εταιρεία.
«Εκτελών την επεξεργασία» - φυσικό (εκτός των υπαλλήλων της Εταιρείας) ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα ύστερα από ανάθεση της Εταιρείας, ενώ η TESY με ακρίβεια καθορίζει τον σκοπό και τα μέσα της επεξεργασίας, καθώς έχει ελεγχθεί εάν το πρόσωπο ανταποκρίνεται στους όρους του ΓΚΠΔ.
«Υποεκτελών την επεξεργασία» - Υπεργολάβος του Εκτελούντος την επεξεργασία που έχει εκλεχθεί.
«Υπάλληλος» - κάθε πρόσωπο που έχει προσληφθεί από την Εταιρεία με βάση σύμβαση εργασίας ή/και σύμβαση ανάθεσης έργου που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα.
«Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα» - δεδομένα σύμφωνα με το άρθρο 9 του ΓΚΠΔ και ακριβώς τέτοια που ανακαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικαλιστικές οργανώσεις, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων για τους σκοπούς μοναδικά του συνταυτισμού φυσικού προσώπου, δεδομένων για την κατάσταση υγείας ή δεδομένων για την σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό του φυσικού προσώπου.
Δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα - δεδομένα σύμφωνα με το άρθρο 10 του ΓΚΠΔ, η επεξεργασία των οποίων διενεργείται μόνο υπό τον έλεγχο της Επιτροπής προστασίας δεδομένων προσωπικού χαρακτήρα
«Παραβίαση της ασφάλειας» - γεγονός που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ άδειας κοινολόγηση ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, που μεταδίδονται, ανακαλύπτονται, αποθηκεύονται ή επεξεργάζονται με άλλον τρόπο, ως
«καταστροφή» συντρέχει όταν τα δεδομένα δεν υπάρχουν πια/δεν υπάρχουν πια στη μορφή στην οποία μπορούν να χρησιμοποιηθούν από τον Υπεύθυνο επεξεργασίας.
«απώλεια» συντρέχει όταν τα δεδομένα προσωπικού χαρακτήρα υπάρχουν όμως ο Υπεύθυνος επεξεργασίας έχει χάσει τον έλεγχο/την πρόσβαση/ την πραγματική εξουσία πάνω τους.
«άνευ άδειας ή παράνομη επεξεργασία» συντρέχει όταν υπάρχει ανακάλυψη των δεδομένων προσωπικού χαρακτήρα/πρόσβαση σε αυτά από αναρμόδιους παραλήπτες, καθώς και κάθε άλλη μορφή επεξεργασίας που παραβιάζει τον ΓΚΠΔ, π.χ. τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, παράνομη ανακάλυψη ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που έχουν μεταδοθεί, αποθηκευτεί ή επεξεργαστεί με άλλον μη ρυθμισμένο τρόπο.
«ζημιές» - είναι όλες οι σωματικές, υλικές και μη υλικές βλάβες που προέρχονται από άνευ άδειας, παράνομη επεξεργασία ή απώλεια.
Οι παραβάσεις της ασφάλειας μπορούν να μοιραστούν σε τρεις βασικές ομάδες.
Παραβάσεις της εμπιστευτικότητας - σε σχέση με αναρμόδια ή τυχαία ανακάλυψη δεδομένων προσωπικού χαρακτήρα ή πρόσβαση σε αυτά.
Παραβάσεις του προσιτού - όταν προκύψει τυχαία ή αναρμόδια απώλεια ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα/καταστροφή δεδομένων προσωπικού χαρακτήρα.
Παραβάσεις της αξιοπιστίας - σε τυχαία ή αναρμόδια αλλοίωση των δεδομένων προσωπικού χαρακτήρα.
Κάποιες παραβάσεις μπορούν να εκπληρώνουν ταυτόχρονα δύο ή τρεις εκ των όρων που περιγράφονται πιο πάνω στο 1 έως και 3.
«Η Ομάδα αντίδρασης» είναι η ομάδα η οποία συγκροτείται σε περίπτωση παραβίασης της ασφάλειας και η οποία συντονίζει τις δραστηριότητες επί της έρευνας περιστάσεων επί ενδεχόμενης Παραβίασης της ασφάλειας, βοηθάει το ΥΠΠΔΠΧ κατά την εκτέλεση ενεργειών επί ανάλυσης, προτάσεων και περιορισμού των ζημιών, αναλαμβάνει πρόγραμμα δράσης και μέτρα περιορισμού των ζημιών και αποκατάστασης της ασφάλειας των πληροφοριών. Η ομάδα αποτελείται από μέλη με γνώσεις και εμπειρία στην πληροφοριακή ασφάλεια, στους ανθρώπινους πόρους κτλ. και σε περίπτωση ανάγκης υποστηρίζεται από επιπλέον υπαλλήλους εκ των άλλων τμημάτων, π.χ. νομικού τμήματος ή τμήματος πληροφοριακής ασφάλειας.
ΙΙΙ. ΣΤΟΧΟΣ ΤΗΣ ΠΟΛΙΤΙΚΗΣ
Η παρούσα πολιτική έχει ως στόχο να είναι αποτελεσματικό εργαλείο για τη διατήρηση της ασφάλειας και για την αποτροπή επεξεργασίας που είναι σε παράβαση των εσωτερικών κανόνων της TESY, του ΓΚΠΔ και της εφαρμοστέας νομοθεσίας στον τομέα των δεδομένων προσωπικού χαρακτήρα, καθώς και να επικυρώσει αποτελεσματικά μέτρα προστασίας σε περίπτωση παραβίασης της ασφάλειας δεδομένων προσωπικού χαρακτήρα με σκοπό την αντιμετώπιση επεισοδίων με κατάλληλο και έγκαιρο τρόπο.
IV. ΕΝΕΡΓΕΙΕΣ ΣΕ ΠΕΡΙΠΤΩΣΗ ΠΑΡΑΒΙΑΣΕΩΝ
Η Εταιρεία αναλαμβάνει όλα τα δυνατά βήματα για να εκπαιδεύσει τους Υπαλλήλους να διακρίνουν την παρουσίαση Παραβιάσεων της ασφάλειας συμπεριλαμβανομένου του κινδύνου από την επέλευση τέτοιων. Οι Υπάλληλοι πρέπει να λάβουν σαφείς οδηγίες για τον χαρακτήρα προτεραιότητας της άμεσης ανακοίνωσης ενδεχόμενης Παραβίασης της ασφάλειας καθώς και της απαραίτητης επόμενης βοήθειας για την παραχώρηση γραπτών λεπτομερειών για το επεισόδιο με τη πρώτη ευκαιρία.
Από την στιγμή που ο κάθε Υπάλληλος έχει λάβει γνώση της παρούσας Πολιτικής αυτός πρέπει να την εφαρμόζεται με προτεραιότητα στις δραστηριότητες επί της Επεξεργασίας δεδομένων προσωπικού χαρακτήρα από την Εταιρεία. Σε περίπτωση αμφιβολίας για την Παραβίαση της ασφάλειας ο Υπάλληλος που πρώτος διαπιστώσει την πιθανότητα τέτοιου συμβάντος ενημερώνει αμέσως το ΥΠΠΔΠΧ, το οποίο μετά από εκτίμηση της συγκεκριμένης κατάστασης συγκροτεί την Ομάδα επίδρασης.
Η Ομάδα επίδρασης αναλαμβάνει αμέσως έρευνα για την αγγελία για την ενδεχόμενη Παραβίαση της ασφάλειας, χρησιμοποιώντας όλους τους οργανωτικούς και τεχνικούς πόρους της Εταιρείας, ενημερώνει το ΥΠΠΔΠΧ και το βοηθάει κατά την εκτέλεση των ενεργειών που ακολουθούν για ανάλυση, προτάσεις και περιορισμό των ζημιών.
Το ΥΠΠΔΠΧ καταρτίζει έγγραφο για την εκτίμηση του δυνατού κινδύνου για την παραβίαση και των συνεπειών από αυτόν, καθώς και των μέτρων προστασίας, που μπορούν να μετριάζουν το αποτέλεσμα από αυτόν και το παραπέμπει στον Διαχειριστή της Εταιρείας. Με βάση το έγγραφο της προηγούμενης πρότασης ο Διαχειριστής λαμβάνει αιτιολογημένη απόφαση εάν υπάρχει υποχρέωση
Να ενημερώσει την Επιτροπή προστασίας δεδομένων προσωπικού χαρακτήρα ως προς την παραβίαση που έχει επέλθει, ή
Να ενημερώσει τα υποκείμενα δεδομένων πού έχουν υποστεί ζημιά όταν υπάρχει υψηλός κίνδυνος σύμφωνα με το προηγούμενο θέμα.
Κάθε Παραβίαση της ασφάλειας υπόκειται σε έγγραφη απόδειξη από την Εταιρεία.
V. ΠΡΟΓΡΑΜΜΑ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΤΩΝ ΠΑΡΑΒΑΣΕΩΝ
Το σχεδιάγραμμα παρακάτω απεικονίζει παραστατικά τι ενέργειες πρέπει να αναληφθούν σε περίπτωση παραβίασης που έχει διαπιστωθεί:
VΙ. ΔΙΑΠΙΣΤΩΣΗ ΠΑΡΑΒΙΑΣΗΣ ΤΗΣ ΑΣΦΑΛΕΙΑΣ
Με βάση τις συγκεντρωμένες πληροφορίες η Ομάδα αντίδρασης και το ΥΠΠΔΠΧ εκτιμούν τον κίνδυνο για τα υποκείμενα ως αποτέλεσμα της Παραβίασης της ασφάλειας. Εάν διαπιστωθεί τέτοιος το ΥΠΠΔΠΧ δίνει γνώμη επί της Παραβίασης της ασφάλειας που έχει διαπιστωθεί και προτείνει μέτρα για την μείωση/ αποκατάσταση των ζημιών.
Όταν υπάρχει πιθανότητα η Παραβίαση της ασφάλειας των δεδομένων προσωπικού χαρακτήρα να προκαλέσει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων η Εταιρεία σε κατάλληλη προθεσμία εφόσον έλαβε γνώση και ύστερα από την εκτίμηση του κινδύνου, που μπορεί να προκαλέσει η συγκεκριμένη Παραβίαση της ασφαλείας, ανακοινώνει στο υποκείμενο των δεδομένων για την Παραβίαση της ασφάλειας των δεδομένων προσωπικού χαρακτήρα.
Η ενημέρωση προς τα πρόσωπα που έχουν υποστεί ζημιά είναι σύμφωνα με εγκεκριμένο υπόδειγμα (Παράρτημα αρ. 1). Τα πρόσωπα που έχουν υποστεί ζημιά πρέπει να ενημερωθούν προσωπικά με κατάλληλο τρόπο κατά εκτίμηση της Εταιρείας - μέσω ηλεκτρονικού ταχυδρομείου, SMS, επιστολής, τηλεφωνικώς, μέσω δημόσιας ανακοίνωσης, έτσι ώστε τα Υποκείμενα να είναι αποτελεσματικά ενήμερα.
Περιστάσεις κατά τις οποίες δεν χρειάζεται ενημέρωση
Όταν η Παραβίαση της ασφάλειας δεν θα προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων.
Όταν τα δεδομένα προσωπικού χαρακτήρα είναι δημοσίως προσβάσιμα και η γνωστοποίησή τους δεν θα προκαλέσει κίνδυνο για τα υποκείμενα.
Όταν η Παραβίαση της ασφάλειας αφορά μόνο την εμπιστευτικότητα, τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ζημιά δε είναι ασφαλώς κρυπτογραφημένα με αλγόριθμο που ανταποκρίνεται στο σύγχρονο τεχνολογικό επίπεδο, το κλειδί αποκρυπτογράφησης δεν έχει ανακαλυφθεί και είναι έτσι αναπαραγμένο, έτσι ώστε να μην μπορεί να ανακαλυφθεί με τα υπάρχοντα τεχνικά μέσα από πρόσωπο που δεν έχει πρόσβαση στο κλειδί.
Θεωρείται ότι η Εταιρεία απόκτησε γνώση της παρουσίασης Παραβίασης της ασφάλειας όταν η Ομάδα αντίδρασης και το ΥΠΠΔΠΧ δώσουν γνώμη ότι συντρέχουν οι προϋποθέσεις για να προκύψει τέτοια.
ΕΝΗΜΕΡΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Εντός εβδομήντα δύο (72) ωρών αφού η Εταιρεία αποκτά γνώση της Παραβίαση, αυτή είναι υποχρεωμένη να ενημερώσει την Επιτροπή προστασίας δεδομένων προσωπικού χαρακτήρα. Η Ενημέρωση προς την εποπτική αρχή είναι σύμφωνα με εγκεκριμένο υπόδειγμα (Παράρτημα αρ. 2).
Εάν η Εταιρεία κατά τη στιγμή της υποβολής της ενημέρωσης προς την Επιτροπή προστασίας δεδομένων προσωπικού χαρακτήρα δεν έχει ενημερώσει ακόμη το υποκείμενο δεδομένων ως προς την παραβίαση της ασφάλειας των δικών του δεδομένων προσωπικού χαρακτήρα, η Επιτροπή προστασίας δεδομένων προσωπικού χαρακτήρα μπορεί εφόσον εκτιμήσει ποια είναι η πιθανότητα η παραβίαση της ασφάλειας των δεδομένων προσωπικού χαρακτήρα να προκαλέσει υψηλό κίνδυνο, να ζητήσει από την Εταιρία να ανακοινώσει την παραβίαση. Στην περίπτωση αυτή η Εταιρεία ακολουθώντας τις οδηγίες της Επιτροπής προστασίας δεδομένων προσωπικού χαρακτήρα πρέπει να αναλάβει ενέργειες ως προς την ενημέρωση των υποκειμένων δεδομένων με κατάλληλο σύμφωνα με την συγκεκριμένη περίπτωση τρόπο.
Τα διάφορα είδη παραβιάσεων μπορεί να ζητήσουν συμπληρωματικές πληροφορίες που να παρασχεθούν για να εξηγήσουν πλήρως τις περιστάσεις επί κάθε συγκεκριμένης περίπτωσης.
Η έλλειψη ακριβών πληροφοριών (π.χ. ακριβός αριθμός προσώπων που έχουν υποστεί ζημιά) δεν είναι εμπόδιο για την έγκαιρη ενημέρωση της Επιτροπής προστασίας δεδομένων προσωπικού χαρακτήρα. Σε τέτοιες περιπτώσεις πρέπει να περιγραφτεί ο κατά προσέγγιση αριθμός των προσώπων που έχουν υποστεί ζημιά.
Εάν δεν είναι δυνατόν οι απαραίτητες πληροφορίες να υποβληθούν ταυτόχρονα με την ενημέρωση προς την Επιτροπή προστασίας δεδομένων προσωπικού χαρακτήρα, οι ίδιες είναι δυνατόν να υποβληθούν σταδιακά χωρίς αχρείαστη καθυστέρηση. Προϋποθέσεις τέτοιας σταδιακής ενημέρωσης είναι:
Δεν συντρέχουν όλα τα σχετικά γεγονότα
Η παραβίαση της ασφάλειας είναι με μεγαλύτερη πραγματική επιπλοκή (π.χ. κάποια είδη επεισόδια στον τομέα της ασφάλειας κυβερνητικής)
Να αναφερθούν οι αιτίες της καθυστέρησης και η Επιτροπή προστασίας δεδομένων προσωπικού χαρακτήρα να ενημερωθεί εγκαίρως ότι δεν είναι δυνατόν να παρασχεθούν πλήρεις πληροφορίες.
Να ληφθεί η έγκριση της Επιτροπής προστασίας δεδομένων προσωπικού χαρακτήρα για τέτοια σταδιακή ενημέρωση.
Να ληφθούν οδηγίες από την Επιτροπή προστασίας δεδομένων προσωπικού χαρακτήρα ως προς την ενημέρωση των υποκειμένων που έχουν υποστεί ζημιά αν, πότε ή πώς να ενημερωθούν.
Με εξαίρεση και σε ειδικές περιστάσεις είναι δυνατόν η αναβλημένη ενημέρωση π.χ. εάν στην πορεία της ανάκρισης διαπιστωθεί ότι υπάρχουν επανειλημμένες και παρόμοιες Παραβάσεις της ασφάλειας για ορισμένες κατηγορίες δεδομένων για σύντομο χρονικό διάστημα που αφορούν μεγάλο αριθμό Υποκειμένων. Η Εταιρεία μπορεί να ενημερώσει την Επιτροπή προστασίας δεδομένων προσωπικού χαρακτήρα για όλες αυτές ταυτόχρονα, υπερβαίνοντας την προθεσμία των 72 ωρών. Η δυνατότητα αυτή πρέπει να εφαρμόζεται περιοριστικά και κατά λογοδοσία με ακρίβεια των χαρακτηριστικών της συγκεκριμένης περίπτωσης.
Η ενημέρωση προς την εποπτική αρχή στις περιπτώσεις αυτές πρέπει να εμπεριέχει τους λόγους της καθυστέρησης.
ΕΚΤΙΜΗΣΗ ΤΟΥ ΚΙΝΔΥΝΟΥ
Αμέσως μόλις λάβει αγγελία για ενδεχόμενη Παραβίαση της ασφάλειας ή υπάρχουν αμφιβολίες για τέτοια η Ομάδα επίδρασης ενημερώνει το ΥΠΠΔΠΧ και το τελευταίο προβαίνει στο ακόλουθο σχέδιο δράσης (εφόσον η Εταιρεία προσκομίσει τους απαραίτητους πόρους/συμπληρωματικές ειδικές γνώσεις, εάν χρειαστεί):
· Εκτίμηση κινδύνου με την κλίμακα από 1 έως 5 (από υποτιμητικό έως υψηλό, τόσο κατά δυνατότητα επέλευσης, όσο και κατά εντατικότατα) για τα δικαιώματα των υποκειμένων ενόψει της έκτασης της προσβολής.
· Καθορισμός των κατηγοριών δεδομένων προσωπικού χαρακτήρα που έχουν υποστεί ζημιά
· Διαπίστωση της έλλειψης/της ύπαρξης κρυπτογράφησης/ άλλων σχετικών περιστάσεων που να ελαχιστοποιήσουν τον κίνδυνο από την Παραβίαση της ασφάλειας και αντίστοιχα να παραμερίσουν την αναγκαιότητα από ενημέρωση των Υποκειμένων.
· Παροχή συμβουλής με βάση τον βαθμό του διαπιστωμένου κινδύνου ως προς αυτό το εάν να ενημερωθεί η Επιτροπή προστασίας δεδομένων προσωπικού χαρακτήρα.
· Πρόταση συγκεκριμένων μέτρων που να ακολουθήσουν, που να περιορίσουν τον κίνδυνο από την Παραβίαση της ασφάλειας που έχει επέλθει.
Κατά την εκτίμηση του κινδύνου η Ομάδα επίδρασης μπορεί να χρησιμοποιεί ως οδηγίες τις παραδειγματικές παραβιάσεις του κινδύνου και την αναγκαιότητα από ενημέρωση (Παράρτημα αρ. 4). Οι οδηγίες διατηρούνται επίκαιρες από το ΥΠΠΔΠΧ το οποίο μπορεί να τις συμπληρώνει και με άλλες καλές πρακτικές.
Υψηλός κίνδυνος για τους σκοπούς της εκτίμησης υπάρχει όταν η Παραβίαση της ασφάλειας έχει πιθανότητα να οδηγήσει έως σωματική, υλική ή μη υλική βλάβη για τα υποκείμενα, η ασφάλεια των οποίων δεδομένων έχει παραβιάσει. Παραδείγματα για τέτοια ζημιά είναι η διάκριση, η κλοπή ταυτότητας, η απάτη, η οικονομική απώλεια ή βλάβη φήμης. Όταν η Παραβίαση της ασφάλειας εμπεριέχει δεδομένα προσωπικού χαρακτήρα που έχουν σχέση με την φυλή ή την εθνικότητα, την κατάσταση υγείας, τον γενετήσιο προσανατολισμό, ποινικές καταδίκες ή ποινική δίωξη, επιβαλλόμενα αναγκαστικά μέτρα με αυτή την σχέση, η επέλευση σωματικής, υλικής ή μη υλικής βλάβης υποτίθεται.
Κατά την εκτίμηση του κινδύνου από την Παραβίαση της ασφάλειας πρέπει να ληφθούν υπόψη οι ειδικές περιστάσεις καθώς και η επιπλοκή της δυνατής επίδρασης και η πιθανότητα από την επέλευση ως:
§ Το είδος της Παραβίασης της ασφάλειας
§ Ο χαρακτήρας, η ευαισθησία και το μέγεθος των δεδομένων προσωπικού χαρακτήρα που έχουν υποστεί ζημιά - τόσο πιο ευαίσθητα είναι τα δεδομένα, όσο πιο μεγάλος είναι ο κίνδυνος από βλάβη των Υποκειμένων.
Ευαίσθητα μπορούν να είναι τα δεδομένα προσωπικού χαρακτήρα που ανακαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικαλιστικές οργανώσεις, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων για τους σκοπούς μοναδικά της ταυτοποίησης φυσικού προσώπου, δεδομένων για την κατάσταση υγείας ή δεδομένων για την σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό του φυσικού προσώπου.
Ξεχωριστά, ένα μικρό μέρος των ευαίσθητων δεδομένων προσωπικού χαρακτήρα μπορούν να έχουν μεγάλη επίδραση πάνω σε συγκεκριμένο Υποκείμενο, ενώ ευρύ φάσμα λεπτομερειών ως προς τα δεδομένα αυτά μπορεί να ανακαλύψει περισσότερες πληροφορίες για αυτό. Παραβίαση που προσβάλει μεγάλη ποσότητα δεδομένων προσωπικού χαρακτήρα για ευρύ κύκλο Υποκειμένων μπορεί να έχει επίσης ουσιαστικό αρνητικό αποτέλεσμα.
§ Η παράνομη ταυτοποίηση των Υποκειμένων που έχουν υποστεί ζημιά από τρίτους - όταν έχει γίνει αναρμόδια πρόσβαση στα προσβεβλημένα δεδομένα προσωπικού χαρακτήρα από τρίτο πρόσωπο, πρέπει να ληφθεί υπόψη πόσο εύκολα το πρόσωπο αυτό μπορεί να ταυτοποιήσει τα Υποκείμενα. Αναλόγως των περιστάσεων η ταυτοποίηση μπορεί να γίνει μέσω της χρήσης των δεδομένων χωρίς συμπληρωματικές έρευνες για την ανακάλυψη της ταυτότητας του ατόμου, αλλά μπορεί να είναι και εξαιρετικά δύσκολο να συνδέονται τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ζημιά με συγκεκριμένο Υποκείμενο, παρόλο αυτά όμως η ταυτοποίηση να είναι δυνατή υπό ορισμένες συνθήκες.
§ Η σοβαρότητα των συνεπειών που έχουν επέλθει για τα Υποκείμενα.
§ Τα ειδικά χαρακτηριστικά των Υποκειμένων.
§ Τα ειδικά χαρακτηριστικά της δραστηριότητας της Εταιρείας ως Υπεύθυνος επεξεργασίας.
§ Ο αριθμός των Υποκειμένων που έχουν υποστεί ζημιά
ΜΗΤΡΩΟ ΤΩΝ ΠΑΡΑΒΑΣΕΩΝ
Ανεξάρτητα εάν η Παραβίαση της ασφαλείας επιβάλλει ή όχι την ενημέρωση, η Εταιρεία αποδεικνύει με ντοκουμέντα όλα τα γεγονότα, που έχουν σχέση με την Παραβίαση, τις συνέπιες αυτής, τις αναληφθείσες ενέργειες, τα επιχειρήματα των αποφάσεων που έχουν ληφθεί. Κατά συμβουλή του ΥΠΠΔΠΧ και απόφαση του Διαχειριστή η Εταιρεία δημιουργεί ειδικό μητρώο για τον σκοπό (Παράρτημα αρ. 3).
Στο Μητρώο υποχρεωτικά καταχωρίζονται ο πιθανός χρόνος ή το χρονικό διάστημα όποτε έχει προκύψει, ο χρόνος διαπίστωσης, ο χρόνος αναφοράς και το όνομα του υπαλλήλου, που έκανε την αναφορά. Ύστερα από την ανάλυση της Ομάδας επίδρασης στο μητρώο σημειώνονται οι συνέπειες από το επεισόδιο και τα μέτρα που έχουν αναληφθεί για την εξάλειψή τους.
ΠΡΟΛΗΠΤΙΚΕΣ ΔΙΑΔΙΚΑΣΙΕΣ ΚΑΙ ΜΗΧΑΝΙΣΜΟΙ
Το ΥΠΠΔΠΧ καταρτίζει πρόγραμμα εκπαίδευσης των νέο προσληφθέντων ή/και επαναπροσληφθεντων υπαλλήλων καθώς και περιοδικές εκπαιδεύσεις και διευκρινήσεις σε όλους τους υπαλλήλους. Κατά την πραγματοποίηση της δικής τους δραστηριότητας οι υπάλληλοι καθοδηγούνται από τις εσωτερικές πολιτικές, κανόνες και διαδικασίες της Εταιρείας κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Κατά παραίτηση υπαλλήλων αναλαμβάνονται όλα τα απαραίτητα τεχνικά και οργανωτικά μέτρα που έχουν σχέση με την προστασία του κάθε μητρώου/κατηγορίας δεδομένων προσωπικού χαρακτήρα, τηρουμένων από την TESY Ltd., όπως π.χ.:
1) Αλλαγή συνθηματικού κώδικα πρόσβασης
2) Περιορισμός πρόσβασης (συμπεριλαμβανομένων ΒΠΝ, υπηρεσιών σύννεφου, σέρβερ κτλ.)
3) Επιστροφή όλων των υπηρεσιακών συσκευών όπως π.χ. τηλέφωνο, φορητό υπολογιστή, USB flash μνήμη και άλλα αναλόγως της συγκεκριμένης περίπτωσης, η επιστροφή συσκευών ακολουθείται υποχρεωτικά από τη διαγραφή των εξατομικευμένων πληροφοριών του υπαλλήλου που χρησιμοποιούσε τελευταίος την συσκευή, καθώς και στις περιπτώσεις όταν η συσκευή που έχει επιστραφεί υπόκειται σε άμεσο/η/ σκαρτσάρισμα/καταστροφή.
4) Περιορισμός σωματικής πρόσβασης μέσω επιστροφής κλειδιών, αλλαγή κωδικών πρόσβασης κτλ.
Κρυπτογράφηση των δεδομένων - σε περίπτωση που υπάρχει αυξημένο κίνδυνο από μη ρυθμισμένη σωματική πρόσβαση σε φορείς ευαίσθητων δεδομένων ή σε περίπτωση κλοπής υπηρεσιακών συσκευών που είναι φορείς δεδομένων προσωπικού χαρακτήρα.
Στις περιπτώσεις ανάγκης από αποκατάσταση δεδομένων η διαδικασία εκτελείται ύστερα από έγγραφη άδεια του αντίστοιχου προσώπου που είναι υπεύθυνο για την πληροφοριακή ασφάλεια και αυτό σημειώνεται στο μητρώο αρχειοθέτησης και αποκατάστασης δεδομένων.
Στις περιπτώσεις της έκθεσης του συνθηματικού κώδικα πρόσβασης αυτός πρέπει να αλλαχθεί αμέσως με νέο ενώ το πιστοποιητικό πρόσβασης του αντίστοιχου υπαλλήλου ακυρώνεται και το γεγονός σημειώνεται στο μητρώο επεισοδίων.
Η Ομάδα επίδρασης μαζί με το ΥΠΠΔΠΧ μπορούν να αναλάβουν και άλλα προληπτικά μέτρα, μηχανισμούς και εσωτερικές οδηγίες.
Οι κανόνες αυτοί και τα παραρτήματά τους έχουν καταρτιστεί στις 21/05/2018, εν ισχύ από τις 25/05/2018.
Ζέτσκο Κιουρκτσίεβ, Διαχειριστής της TESY Ltd.