Το διεθνές πρότυπο ISO/IEC 27001
Στις 27 Απριλίου 2016 ψηφίστηκε νέος Ευρωπαϊκός
Κανονισμός 2016/679 General Data Protection Regulation (GDPR) και τίθεται σε
υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25 Μαΐου
2018, χωρίς την ανάγκη ψήφισης τοπικής εθνικής νομοθεσίας και καταργώντας
υφιστάμενους κανονισμούς και νομοθεσίες. Ο νέος Γενικός Κανονισμός Προστασίας
Δεδομένων της Ε.Ε. αποτελεί τη μεγαλύτερη αλλαγή στη νομοθεσία περί προστασίας
των δεδομένων τα τελευταία σχεδόν 20 χρόνια.
Ο Κανονισμός GDPR έχει ως στόχο να διευρύνει την
προστασία των δεδομένων στην εποχή των big data και του cloud computing,
εξασφαλίζοντας ότι η προστασία των δεδομένων αποτελεί θεμελιώδες βασικό
δικαίωμα, το οποίο θα ρυθμίζεται με συνέπεια σε όλη την Ευρώπη.
Ο Κανονισμός 2016/679 έχει εφαρμογή σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις, κρατικές Αρχές, συλλόγους, κλπ.) που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα, είτε έχουν έδρα και δραστηριότητα σε χώρα της Ευρωπαϊκής Ένωσης είτε όχι, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς Ευρωπαίους πολίτες.
Ο νέος κανονισμός εξουσιοδοτεί τις εκάστοτε Αρχές Προστασίας Προσωπικών Δεδομένων στην Ευρώπη να επιβάλουν για σοβαρές παραβάσεις πρόστιμα σε ύψος έως και 4% του ετήσιου παγκόσμιου κύκλου εργασιών τους ή 20 εκατομμύρια ευρώ, ανάλογα πάντα με το ποιο είναι το μεγαλύτερο.
Ο κανονισμός περιγράφει τα δικαιώματα του υποκειμένου των δεδομένων, δηλαδή του ατόμου του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία. Αυτά τα ενισχυμένα δικαιώματα παρέχουν στα άτομα μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων, μέσω της ανάγκης ύπαρξης σαφούς συγκατάθεσης του ενδιαφερομένου για την επεξεργασία των προσωπικών του δεδομένων, της ευκολότερης πρόσβασης του ενδιαφερομένου στα προσωπικά του δεδομένα, των δικαιωμάτων διόρθωσης, διαγραφής και «λήθης», του δικαιώματος εναντίωσης, μεταξύ άλλων στη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα για την «κατάρτιση προφίλ», του δικαιώματος φορητότητας των δεδομένων από πάροχο σε πάροχο.
Από την άλλη πλευρά θέτει μία σειρά περιορισμών και νέων υποχρεώσεων στις επιχειρήσεις σχετικά με την επεξεργασία των προσωπικών δεδομένων σε όλον τον κύκλο ζωής τους, από τη συλλογή έως και την καταστροφή τους, τη δυνατότητα μεταφοράς τους σε άλλες χώρες, την προστασία των δικαιωμάτων των φυσικών προσώπων, την ασφάλεια (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα) των προσωπικών δεδομένων και τις ενέργειες γνωστοποίησης που οφείλει να κάνει η επιχείρηση σε περίπτωση παραβίασης.
Επίσης για τις εταιρείες και τις δημόσιες Αρχές που εκτελούν πράξεις επεξεργασίας δεδομένων που ενέχουν κινδύνους θα πρέπει να έχουν ορίσει υπεύθυνο προστασίας δεδομένων (Data Protection officer).
Ο κανονισμός GDPR θεσπίζει επίσης την υποχρέωση των υπευθύνων επεξεργασίας των δεδομένων να παρέχουν διαφανείς και εύκολα προσβάσιμες πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των δεδομένων τους.
Η Symantec Corp, παγκόσμια ηγέτιδα στην ασφάλεια στον κυβερνοχώρο, αποκάλυψε ότι, βάσει έρευνας που διεξήγαγε το 96% των επιχειρήσεων, εξακολουθούν να μην κατανοούν πλήρως το GDPR. Επισημαίνει πως η έλλειψη κατανόησης των καταναλωτών σχετικά με τις κανονιστικές ρυθμίσεις, σε συνάρτηση με το χαμηλό επίπεδο τεχνικής ετοιμότητας αλλά και εταιρικής κουλτούρας, αποτελεί μια σημαντική απειλή για τα έσοδα και την αξία των επιχειρήσεων.
To άρθρο 32 «Ασφάλεια επεξεργασίας», αναφέρει ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση: α) της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα, β) της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, γ) της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, δ) διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.
Ένα σύστημα διαχείρισης ασφάλειας πληροφοριών βάσει του προτύπου ISO/IEC 27001:2013 έχει να κάνει με όλες αυτές τις απαιτήσεις του άρθρου 32. Το ISO/IEC 27001:2013 είναι το διεθνές πρότυπο για την ασφάλεια πληροφοριών που έχει αυστηρές απαιτήσεις σε όλους τους τομείς που επηρεάζουν την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των πληροφοριών και των δεδομένων, από τη φυσική ασφάλεια των εγκαταστάσεων, τη διαχείριση του ανθρωπίνου δυναμικού, τις διαδικασίες λειτουργίας και οργάνωσης, τις σχέσεις με συνεργάτες, πελάτες και τρίτα μέρη, τη συμμόρφωση με νομικές και κανονιστικές απαιτήσεις, μέχρι την ασφάλεια των υποδομών πληροφορικής και επικοινωνιών, τη συνεχή εκπαίδευση και ευαισθητοποίηση του προσωπικού, τον χειρισμό περιστατικών ασφαλείας και τον σχεδιασμό επιχειρησιακής συνέχειας.
Ο Κανονισμός 2016/679 έχει εφαρμογή σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις, κρατικές Αρχές, συλλόγους, κλπ.) που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα, είτε έχουν έδρα και δραστηριότητα σε χώρα της Ευρωπαϊκής Ένωσης είτε όχι, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς Ευρωπαίους πολίτες.
Ο νέος κανονισμός εξουσιοδοτεί τις εκάστοτε Αρχές Προστασίας Προσωπικών Δεδομένων στην Ευρώπη να επιβάλουν για σοβαρές παραβάσεις πρόστιμα σε ύψος έως και 4% του ετήσιου παγκόσμιου κύκλου εργασιών τους ή 20 εκατομμύρια ευρώ, ανάλογα πάντα με το ποιο είναι το μεγαλύτερο.
Ο κανονισμός περιγράφει τα δικαιώματα του υποκειμένου των δεδομένων, δηλαδή του ατόμου του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία. Αυτά τα ενισχυμένα δικαιώματα παρέχουν στα άτομα μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων, μέσω της ανάγκης ύπαρξης σαφούς συγκατάθεσης του ενδιαφερομένου για την επεξεργασία των προσωπικών του δεδομένων, της ευκολότερης πρόσβασης του ενδιαφερομένου στα προσωπικά του δεδομένα, των δικαιωμάτων διόρθωσης, διαγραφής και «λήθης», του δικαιώματος εναντίωσης, μεταξύ άλλων στη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα για την «κατάρτιση προφίλ», του δικαιώματος φορητότητας των δεδομένων από πάροχο σε πάροχο.
Από την άλλη πλευρά θέτει μία σειρά περιορισμών και νέων υποχρεώσεων στις επιχειρήσεις σχετικά με την επεξεργασία των προσωπικών δεδομένων σε όλον τον κύκλο ζωής τους, από τη συλλογή έως και την καταστροφή τους, τη δυνατότητα μεταφοράς τους σε άλλες χώρες, την προστασία των δικαιωμάτων των φυσικών προσώπων, την ασφάλεια (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα) των προσωπικών δεδομένων και τις ενέργειες γνωστοποίησης που οφείλει να κάνει η επιχείρηση σε περίπτωση παραβίασης.
Επίσης για τις εταιρείες και τις δημόσιες Αρχές που εκτελούν πράξεις επεξεργασίας δεδομένων που ενέχουν κινδύνους θα πρέπει να έχουν ορίσει υπεύθυνο προστασίας δεδομένων (Data Protection officer).
Ο κανονισμός GDPR θεσπίζει επίσης την υποχρέωση των υπευθύνων επεξεργασίας των δεδομένων να παρέχουν διαφανείς και εύκολα προσβάσιμες πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των δεδομένων τους.
Η Symantec Corp, παγκόσμια ηγέτιδα στην ασφάλεια στον κυβερνοχώρο, αποκάλυψε ότι, βάσει έρευνας που διεξήγαγε το 96% των επιχειρήσεων, εξακολουθούν να μην κατανοούν πλήρως το GDPR. Επισημαίνει πως η έλλειψη κατανόησης των καταναλωτών σχετικά με τις κανονιστικές ρυθμίσεις, σε συνάρτηση με το χαμηλό επίπεδο τεχνικής ετοιμότητας αλλά και εταιρικής κουλτούρας, αποτελεί μια σημαντική απειλή για τα έσοδα και την αξία των επιχειρήσεων.
To άρθρο 32 «Ασφάλεια επεξεργασίας», αναφέρει ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση: α) της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα, β) της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, γ) της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, δ) διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.
Ένα σύστημα διαχείρισης ασφάλειας πληροφοριών βάσει του προτύπου ISO/IEC 27001:2013 έχει να κάνει με όλες αυτές τις απαιτήσεις του άρθρου 32. Το ISO/IEC 27001:2013 είναι το διεθνές πρότυπο για την ασφάλεια πληροφοριών που έχει αυστηρές απαιτήσεις σε όλους τους τομείς που επηρεάζουν την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των πληροφοριών και των δεδομένων, από τη φυσική ασφάλεια των εγκαταστάσεων, τη διαχείριση του ανθρωπίνου δυναμικού, τις διαδικασίες λειτουργίας και οργάνωσης, τις σχέσεις με συνεργάτες, πελάτες και τρίτα μέρη, τη συμμόρφωση με νομικές και κανονιστικές απαιτήσεις, μέχρι την ασφάλεια των υποδομών πληροφορικής και επικοινωνιών, τη συνεχή εκπαίδευση και ευαισθητοποίηση του προσωπικού, τον χειρισμό περιστατικών ασφαλείας και τον σχεδιασμό επιχειρησιακής συνέχειας.
Όπως έχει αναφερθεί παραπάνω, ο κανονισμός θα εφαρμοστεί
τον Μάιο του 2018, έτσι ώστε οι επιχειρήσεις να έχουν δύο χρόνια για να
προετοιμαστούν και να συμμορφωθούν πλήρως με το νέο πλαίσιο. Η εφαρμογή και
πιστοποίηση ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών βάσει του ISO/IEC
27001 για τους Οργανισμούς και τις Επιχειρήσεις, αποτελεί ένα αποτελεσματικό
εργαλείο συμμόρφωσης με σημαντικές απαιτήσεις του GDPR.
.
.
Σχόλια
Δημοσίευση σχολίου