GDPR - Πρακτικές για την προστασία προσωπικών δεδομένων.


i) Εμπιστευτικότητα.

Δεν συζητάμε ενώπιον τρίτων για περιστατικό πελάτη / εργαζομένου χρησιμοποιόντας το όνομα ή τα στοιχεία που επιτρέπουν την ταυτοποίηση του.

Αποφεύγουμε τις επώνυμες ανακοινώσεις στους χώρους συγκέντρωσης / πώλησης / παραγωγής κλπ

Χρησιμοποιούμε πολύ προσεκτικά τα μέσα κοινωνικής δικτύωσης σχετικά με στοιχεία τρίτων / πελατών / εργαζομένων κλπ

Δεν παρέχουμε πληροφορίες πελάτη μέσω τηλεφώνου, εφόσον αδυνατούμε να ταυτοποιήσουμε τον συνομιλητή μας. Σε περίπτωση που καλεί συγγενικό του πρόσωπο για να ενημερωθεί για εξέλιξη αιτήματος ασφάλισης, τροποποίσης, αποζημίωσης κλπ, κλείνουμε ευγενικά το τηλέφωνο και καλούμε στον αριθμό τηλεφώνου που είναι καταχωρημένος στο σύστημα για να ταυτοποιήσουμε τον καλούντα.

Δεν δίνουμε στοιχεία συμβολαίων, αποζημιώσεων, και λοιπά προσωπικά δεδομένα σε τρίτους. Ζητάμε ευγενικά την επίδηξη ταυτότητας ή έγγραφη εξουσιοδότηση

Αν ζητούνται στοιχεία χωρίς πιστοποίηση ταυτότητας, του ζητάμε να μιλήσει με τον υπεύθυνο προστασίας δεδομένων.

ii) Ασφάλεια.


Ο κύκλος ζωής των πληροφοριών αποτελείται από τα εξής στάδια: δημιουργία, χρήση, τροποποίηση, αποθήκευση, μεταφορά, διανομή, αντιγραφή, αρχειοθέτηση και καταστροφή.

Οι πληροφορίες είναι πολύ πιο σημαντικές από τα μέσα που χρησιμοποιούνται για την επεξεργασία τους, γι’ αυτό και η προστασία τους σε όλα τα στάδια της επεξεργασίας τους είναι απαραίτητη.

iii) Γενικές οδηγίες

· Οι επεξεργαστές των δεδομένων έχουν καθήκον και υποχρέωση να ενημερώνουν τον υπεύθυνο επεξεργασίας δεδομένων του τμήματός τους όταν εντοπίζουν κάποια αδυναμία στην ασφάλεια ενός συστήματος. Αδυναμίες στην ασφάλεια των συστημάτων συμπεριλαμβάνουν την ασυνήθιστη συμπεριφορά τους π.χ. εργάζεται αργά, εμφανίζει περίεργα μηνύματα, η οποία μπορεί να προκαλέσει διαρροή πληροφοριών ή να είναι ευάλωτα σε απειλές.
Στη συνέχεια, ο υπεύθυνος επεξεργασίας δεδομένων οφείλει να ενημερώσει σχετικά τον ΙΤ support ο οποίος και θα του αναφέρει τις διορθωτικές ενέργειες που θα κάνει για εξάλειψη της ασφαλιστικής ανεπάρκειας/αδυναμίας του συγκεκριμένου πληροφοριακού συστήματος. Τόσο ο υπεύθυνος επεξεργασίας δεδομένων, όσο και ο ΙΤ support, οφείλουν να παρακολουθούν στενά το ζήτημα μέχρι την τελική επίλυσή του.

Οι επεξεργαστές των δεδομένων πρέπει να αναφέρουν στον υπεύθυνο επεξεργασίας δεδομένων του Τμήματος τους τυχόν παραβιάσεις ή μη εξουσιοδοτημένη χρήση του Η/Υ, των πληροφοριακών συστημάτων και του ηλεκτρονικού ταχυδρομείου.

· Απαγορεύεται η παράνομη αναπαραγωγή εγγράφων που ανήκουν στην ΕΤΑΙΡΕΙΑ. Οι πληροφορίες που βρίσκονται στα συστήματα της εταιρείας δεν πρέπει να χρησιμοποιούνται για προσωπικούς σκοπούς ή σκοπούς που θεωρούνται παράνομοι σύμφωνα με την Νομοθεσία.

· Οι επεξεργαστές δεδομένων δεν πρέπει να μεταφορτώνουν (download), να εγκαθιστούν ή να εκτελούν προγράμματα στους Η/Υ τους, τα οποία δεν είναι εγκεκριμένα από το ΤΥΠ.

· Η χρήση φορητού Η/Υ δεν πρέπει να γίνεται από άλλα μη εξουσιοδοτημένα άτομα (π.χ. φίλοι, μέλη της οικογένειας, κ.α.).


iv) Επεξεργασία Δεδομένων


· Οι πληροφορίες ταξινομούνται και χαρακτηρίζονται ανάλογα με το βαθμό εμπιστευτικότητας τους από τον εκάστοτε υπεύθυνο επεξεργασίας δεδομένων και να τίθενται οι σχετικοί περιορισμοί χρήσης, κοινοποίησης και επεξεργασίας.

· Οι πληροφορίες αντιμετωπίζονται με εμπιστευτικότητα, διατηρούνται και χρησιμοποιούνται αποκλειστικά για τις εργασίες που προορ3ίζονται.

· Τα προσωπικά δεδομένα είναι εγκατερτημένα στον υπολογιστή του εκάστοτε επεξεργαστή δεδομένων ο οποίος είναι υπεύθυνος , καθημερινά ν’ αποθηκεύει (back up) τα δεδομένα αυτά στο cloud (one drive της Microsoft. Σε αντίθετη περίπτωση, είναι ευθύνη του κάθε υπαλλήλου να δημιουργεί εφεδρικά αντίγραφα (σε κρυπτογραφημένο server backup),

v) Εκπαίδευση προσωπικού


· Οι επεξεργαστές δεδομένων έχουν εντολή να συνεργάζονται και ν’ αναφέρονται για οποιοδήποτε προκύψει στον υπεύθυνο επεξεργασίας δεδομένων.

· να τηρούν πιστά και να πράττουν όπως προβλέπεται από τις οδηγίες ασφάλειας πληροφοριών, τις οδηγίες χρήσης του εξοπλισμού και τις διαδικασίες της ΕΤΑΙΡΕΙΑΣ.

· να είναι κατάλληλα ενημερωμένος για θέματα ασφάλειας, μέσω εκπαίδευσης/ενημέρωσης και να γνωρίζει τις αρμοδιότητες του και τις ευθύνες του.

· Δεν εκθέτουν έγγραφα που περιέχουν προσωπικά δεδομένα, σε δημόσια θέα ή σε χώρους προσβάσιμους σε τρίτους.

· Να φυλάσσουν τα δεδομένα σε ειδικά προστατευόμενα σημεία, π.χ. σε κλειδωμένα ντουλάπια.

· Μπορούν ν’ αποστέλλουν προσωπικά δεδομένα πελατών μέσω e-mail MONO εφόσον αυτά αποστέλλονται ως κλειδωμένο αρχείο στο e-mail του πελάτη και ο κωδικός αποστέλλεται με μήνυμα στο κινητό τηλέφωνο του

· Να κλειδώνουν και να προστατεύουν τις ηλεκτρονικές μας συσκευές (ηλεκτρονικό υπολογιστή, laptop, tablet, smart phone κλπ ). Ενημερώνουμε άμεσα σε περίπτωση απώλειας ή κλοπής, σύμφωνα με την διαδικασία Data Breach Management.

· Να αλλάζουν κωδικούς πρόσβασης στις ηλεκτρονικές μας συσκευές ανα τακτά χρονικά διαστήματα ( το αργότερο ανα 6 μήνες).

· Δεν καταγράφουν τους κωδικούς σε εμφανή σημεία (π.χ. πάνω στην συσκευή) και δεν τους κοινοποιούμε σε τρίτους.

· Χρησιμοποιούν κωδικούς που δεν είναι προβλέψιμοι (π.χ. η ημερομηνία γέννησης ή το όνομα του παιδιού μας δεν είναι ασφαλείς)

· Έχουν ενεργοποιήσει την επιλογή κλειδώματος οθόνης (lock screen) σε περίπτωση αδράνειας του συστήματος περισσότερο από 10 λεπτά.

· Δεν διατηρούν αρχεία που περιέχουν ευαίσθητα προσωπικά δεδομένα στην επιφάνεια εργασίας (desktop).

· Δεν μεταφέρουν αρχεία εκτός του χώρου εργασίας.

· Τα CDs/USBs πρέπει πάντοτε να ελέγχονται για ιούς προτού τοποθετηθούν στους υπολογιστές, αν και καλό είναι ν' απαγορεύονται.

· Η επεξεργασία εμπιστευτικών πληροφοριών ή η δακτυλογράφηση κωδικών πρόσβασης πρέπει να γίνεται χωρίς την παρουσία άλλων ατόμων.

· Να αποφεύγεται η αχρείαστη εκτύπωση και αντιγραφή των πληροφοριών, μειώνοντας έτσι τον κίνδυνο να καταλήξουν σε μη εξουσιοδοτημένα άτομα.

· Ο χρήστης πρέπει να βεβαιώνεται σε ποιον εκτυπωτή θα εκτυπώσει και που βρίσκεται ο συγκεκριμένος εκτυπωτής.

· Σε περίπτωση χρήσης εκτυπωτή δικτύου να παραλαμβάνονται άμεσα οι εκτυπώσεις.

· Η αποστολή των εμπιστευτικών πληροφοριών να γίνεται μόνο σε εξουσιοδοτημένα άτομα.

· Χρησιμοποιούνται συσκευές κατατεμαχισμού για την καταστροφή εμπιστευτικών πληροφοριών/εγγράφων.

vi) Χρήση προσωπικού ηλεκτρονικού υπολογιστή.

Για να εξασφαλιστεί η εύρυθμη λειτουργία του Η/Υ και να διασφαλιστούν οι πληροφορίες που τηρούνται σε αυτόν, ο κάθε εργαζόμενος της επιχείρησης πρέπει:
Να χρησιμοποιεί μόνο τους δικούς του κωδικούς πρόσβασης για να συνδεθεί, είτε με τον Η/Υ είτε με κάποιο πληροφοριακό σύστημα.

Να αποσυνδέεται (log off) από τον Η/Υ του ή από το πληροφοριακό σύστημα, όταν δεν χρησιμοποιείται.
 

Να ενημερώνει / επικαιροποιεί το λειτουργικό σύστημα του Η/Υ του με τις εκάστοτε εκδόσεις που δημοσιοποιούν οι κατασκευάστριες εταιρείες. Οι ενημερώσεις αυτές κατά ένα πολύ μεγάλο ποσοστό καλύπτουν κενά ασφάλειας. Σχετικό είναι το ΠΑΡΑΡΤΗΜΑ ΙI.
 

Να βεβαιώνεται ότι το πρόγραμμα ανίχνευσης ιών (Antivirus), που είναι εγκατεστημένο στον Η/Υ του, λειτουργεί κανονικά και ενημερώνεται με τις νέες εκδόσεις καθημερινά. Περισσότερες πληροφορίες για τους ιούς παρατίθενται στο ΠΑΡΑΡΤΗΜΑ ΙΙΙ.
 

Οι έλεγχοι για ιούς που ξεκινούν, είτε από τον ίδιο το χρήστη είτε αυτόματα από τον Η/Υ, πρέπει να αφήνονται να ολοκληρωθούν και να μην τερματίζονται από το χρήστη.
 

Όταν ένας σκληρός δίσκος ή οποιοσδήποτε άλλος αποθηκευτικός εξοπλισμός είναι εκτός λειτουργίας θα πρέπει να παραδίνεται στον Υπεύθυνο Επεξεργασίας Δεδομένων για καταστροφή, για να αποφευχθεί ο κίνδυνος ανάκτησης των πληροφοριών που τηρούνται σε αυτόν.
 

Η εγκατάσταση των λογισμικών γίνεται μόνο από τον Υπεύθυνο Επεξεργασίας Δεδομένων ή τον ΙΤ ή από άτομα/εταιρείες εξουσιοδοτημένες από τον Υπεύθυνο Επεξεργασίας Δεδομένων.

vii) Ακεραιότητα.


Λαμβάνουμε τα κατάλληλα μέτρα για να μην αποστείλουμε ποτέ λανθασμένες πληροφορίες στον πελάτη. Καλύτερα να επιβεβαιώσουμε την απάντηση και μετά να την ανακοινώσουμε.

Προστατεύουμε τους φυσικούς φακέλους από φωτιά, πλημμύρα, καταστροφή κλπ.

Προστατεύουμε τους φυσικούς φακέλους από φθορά, πέραν της φυσιολογικής.

Αρχειοθετούμε σωστά τους φακέλους για να είναι διαθέσιμοι όταν ζητηθούν.

Χρησιμοποιούμε εξουσιοδοτημένα προγράμματα στους Ηλεκτρονικούς υπολαγιστές 


viii) Διαθεσιμότητα.


Η διαθεσιμότητα των δεδομένων και των υπολογιστικών πόρων είναι ότι οι υπολογιστές, η δικτυακή υποδομή και τα δεδομένα θα είναι στη διάθεση των Χρηστών όποτε απαιτείται η χρήση τους.

Μια συνηθισμένη απειλή που αντιμετωπίζουν τα σύγχρονα πληροφοριακά συστήματα, είναι η επίθεση άρνησης υπηρεσιών, που έχει ως σκοπό να τεθούν εκτός λειτουργίας οι στοχευόμενοι πόροι, είτε προσωρινά, είτε μόνιμα. Συνεπώς, αυτό προϋποθέτει ότι, θα πρέπει να τεθούν σε εφαρμογή όλα τα απαραίτητα μέτρα ασφάλειας των συστημάτων και να διασφαλιστεί η σωστή λειτουργία των μεθόδων πρόσβασης σε αυτά.

ix) Επικύρωση.


Ο κάθε επεξεργαστής δεδομένων τηρεί τους κανόνες ασφαλείας, ανταλλαγής πληροφοριών. Για τον λόγο αυτό το προσωπικό έχει υπογράψει σχετική σύμβαση, όσον αφορά την εχεμύθεια και την μη μεταβίβαση πληροφοριών σε τρίτους, ως εγγύηση για την γνησιότητα και την αυθεντικότητα των πληροφοριών.

x) Μη αποποίηση ευθύνης.


Μη αποποίηση Ευθύνης σημαίνει ότι, κανένας από τους συναλλασσόμενους δεν έχει τη δυνατότητα να αρνηθεί τη συμμετοχή του εκ των υστέρων σε μια ψηφιακή συναλλαγή. Αντιθέτως, η πράξη που έγινε είναι νομικά δεσμευτική και μπορεί να αποδειχθεί στο δικαστήριο. Οι υπηρεσίες μη αποποίησης ευθύνης πρέπει, αν χρειαστεί, να μπορούν ν’ αποδείξουν την προέλευση, τη μεταφορά/μετάδοση και την παράδοση των δεδομένων.

Για τον λόγο αυτό όλες οι εργασίες επεξεργασίας προσωπικών δεδομένων έχουν ορισθεί γραπτώς και τους ανήκει η ευθύνη.

Σε περίπτωση ανταλλαγής ηλεκτρονικών μηνυμάτων μεταξύ συναλλασσόμενων, αυτό μπορεί να αποδειχθεί με τους ακόλουθους τρόπους:

Η ηλεκτρονική υπογραφή – συνδέεται μονοσήμαντα με τον υπογράφοντα και είναι ικανή να τον ταυτοποιήσει. Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο και συνδέεται με τα δεδομένα κατά τρόπο ώστε να μπορεί να εντοπιστεί οποιαδήποτε αλλοίωση των εν λόγω δεδομένων.

Χρονοσφραγίδες – επιβεβαιώνουν την ημερομηνία και την ώρα που δημιουργήθηκε ένα ηλεκτρονικό έγγραφο/ψηφιακή πληροφορία/μήνυμα.





Σχόλια

Δημοφιλείς αναρτήσεις από αυτό το ιστολόγιο

Ο ρόλος του νέου επιχειρηματία ασφαλιστή, πέρα από την ψηφιοποίηση

Τι είναι τα Ασφαλιστικά cluster

Οι Αλλαγές στις επιχειρήσεις ασφαλιστικής διαμεσολάβησης μέχρι το 2030