ΚΙΝΗΤΗ ΤΗΛΕΦΩΝΙΑ & ΤΗΛΕΠΙΚΟΙΝΩΝΙΕΣ - ΤΕΥΧΟΣ 270
ΚΙΝΗΤΗ ΤΗΛΕΦΩΝΙΑ & ΤΗΛΕΠΙΚΟΙΝΩΝΙΕΣ - ΤΕΥΧΟΣ 270
ΚΙΝΗΤΗ ΤΗΛΕΦΩΝΙΑ & ΤΗΛΕΠΙΚΟΙΝΩΝΙΕΣ - ΤΕΥΧΟΣ 270
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Όταν μία επιχείρηση αντιληφθεί την πιθανότητα ύπαρξης<br />
ενός περιστατικού παραβίασης, ανεξάρτητα από την πηγή<br />
της σχετική πληροφορίας (π.χ. εργαζόμενοι, πελάτες της<br />
επιχείρησης, τρίτα μέρη, εκτελούντες την επεξεργασίαυπεργολάβοι),<br />
θα πρέπει να προχωρήσει άμεσα σε δύο<br />
βασικές ενέργειες. 1) Να συγκαλέσει / συστήσει την ομάδα<br />
διερεύνησης και αντιμετώπισης του πιθανού περιστατικού,<br />
η οποία -ανάλογα με τις πολιτικές του εκάστοτε οργανισμού-<br />
συνήθως στελεχώνεται από συγκεκριμένα μέλη με τις<br />
απαραίτητες νομικές, τεχνικές, αλλά και πρακτικές γνώσεις<br />
για τη λειτουργία της επιχείρησης (π.χ. Νομικός Σύμβουλος,<br />
Υπεύθυνος Ασφάλειας Πληροφοριών, Αρμόδιος Διευθυντής<br />
/ Υπάλληλος του τμήματος στο οποίο εντοπίστηκε το<br />
περιστατικό, και φυσικά ο Υπεύθυνος Προστασίας Δεδομένων<br />
του οργανισμού), και 2) να εξετάσει άμεσα, μέσω της<br />
λειτουργίας της ως άνω ομάδας και μία πρώτη διερεύνηση<br />
των διαθέσιμων στοιχείων / πληροφοριών, αν προκύπτει σε<br />
εύλογο βαθμό βεβαιότητας η ύπαρξη περιστατικού ασφαλείας<br />
το οποίο έχει ως αποτέλεσμα να τεθούν σε κίνδυνο<br />
δεδομένα προσωπικού χαρακτήρα.<br />
Η παραπάνω άσκηση έχει ιδιαίτερη πρακτική σημασία για<br />
δύο λόγους. Πρώτον εξασφαλίζει την άμεση αντιμετώπιση<br />
του περιστατικού και την παροχή οδηγιών από τα πλέον<br />
αρμόδια άτομα εντός του οργανισμού, και δεύτερον οδηγεί<br />
σε άμεσα συμπεράσματα για το αν το περιστατικό μπορεί<br />
εύλογα να χαρακτηριστεί ως «περιστατικό παραβίασης προσωπικών<br />
δεδομένων», πληροφορία που έχει ιδιαίτερη αξία<br />
αν αναλογιστούμε πως, σύμφωνα με την ομάδα εργασίας<br />
του άρθρου 29 (WP29 250 / rev1 σελίδα 12), το χρονικό<br />
σημείο κατά το οποίο ο Υπεύθυνος Επεξεργασίας θεωρείται<br />
πως έλαβε «γνώση» μίας παραβίασης, και από το οποίο και<br />
έπειτα ξεκινάει να «τρέχει» η προθεσμία 72 ωρών για την<br />
γνωστοποίηση του περιστατικού στην ΑΠΔΠΧ, ταυτίζεται με<br />
την στιγμή κατά την οποία ο εν λόγω υπεύθυνος επεξεργασίας<br />
έχει εύλογο βαθμό βεβαιότητας ότι έχει προκύψει<br />
περιστατικό ασφάλειας το οποίο έχει ως αποτέλεσμα να<br />
τεθούν σε κίνδυνο τα δεδομένα προσωπικού χαρακτήρα.<br />
Κατόπιν εξακρίβωσης των ανωτέρω, ακολουθεί η ενδελεχής<br />
έρευνα του περιστατικού. Σε αυτό το στάδιο είναι πολύ σημαντικό<br />
να συλλεχθούν όλες οι απαραίτητες πληροφορίες,<br />
που σχετίζονται με το περιστατικό, από τα αρχεία και τα<br />
συστήματα ασφαλείας του Υπεύθυνου Επεξεργασίας και να<br />
αξιολογηθούν οι κίνδυνοι για τα φυσικά πρόσωπα οι οποίοι<br />
απορρέουν από την παραβίαση (πιθανότητα μηδενικού κινδύνου<br />
/ κίνδυνος / υψηλός κίνδυνος).<br />
Η αξιολόγηση των κινδύνων για τα φυσικά πρόσωπα κρίνεται<br />
ιδιαίτερης σημασίας κατά την αντιμετώπιση του περιστατικού<br />
καθώς, ανάλογα με το ύψος του κινδύνου, ο οργανισμός<br />
μπορεί να οφείλει να προχωρήσει σε γνωστοποίηση του<br />
περιστατικού στην ΑΠΔΠΧ (αν η παραβίαση ενδέχεται να<br />
επιφέρει κίνδυνο) ή και ανακοίνωσης του περιστατικού στα<br />
επηρεαζόμενα φυσικά πρόσωπα (αν η παραβίαση ενδέχεται<br />
να επιφέρει υψηλό κίνδυνο). Αντιθέτως, αν η παραβίαση κριθεί<br />
πως έχει μηδενικό κίνδυνο, ο Υπεύθυνος Επεξεργασίας<br />
δεν έχει υποχρέωση γνωστοποίησης ή ανακοίνωσης, και σε<br />
αυτές τις περιπτώσεις αρκεί η λήψη άμεσων ενεργειών για<br />
την κάλυψη της ευπάθειας που εντοπίστηκε, η εσωτερική<br />
γραπτή τεκμηρίωση της αξιολόγησης των κινδύνων και της<br />
συνολικής αντιμετώπισης του περιστατικού, καθώς και επαναξιολόγηση<br />
των κινδύνων σε δεύτερο χρόνο αν εντοπιστούν<br />
μεταγενέστερα στοιχεία που δύνανται να επηρεάσουν το<br />
αποτέλεσμα της αξιολόγησης.<br />
Βασικοί παράγοντες αξιολόγησης<br />
κινδύνων<br />
Βασικοί παράγοντες που θα πρέπει να λαμβάνονται υπόψιν<br />
κατά την αξιολόγηση των κινδύνων είναι:<br />
infocom•03•21 29