ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Ισχύει από 10/03/2019
Εισαγωγή
Η ΑΦΟΙ ΠΑΠΑΔΟΚΩΣΤΑΚΗ ΟΕ ως υπεύθυνος επεξεργασίας συνέταξε και ενέκρινε την κάτωθι Πολιτική Ασφάλειας Δεδομένων Προσωπικού Χαρακτήρα.
Η Πολιτική Ασφάλειας καθορίζει τη δέσμευση της Διοίκησης της ΑΦΟΙ ΠΑΠΑΔΟΚΩΣΤΑΚΗ ΟΕ αναφορικά με την φυσική ασφάλεια, την ασφάλεια των πληροφοριακών συστημάτων και δικτύων και την προστασία των ΠΔ που τηρεί.
Στην παρούσα Πολιτική περιγράφονται οι στόχοι ασφάλειας των προσωπικών δεδομένων (ΠΔ) και τα κατάλληλα οργανωτικά και τεχνικά μέτρα και οι αντίστοιχες διαδικασίες που πρέπει να ακολουθούνται ώστε να επιτευχθούν αυτοί οι στόχοι.
Πεδίο εφαρμογής
Η παρούσα πολιτική ασφάλειας εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα που συλλέγει ή/και επεξεργάζεται η ΑΦΟΙ ΠΑΠΑΔΟΚΩΣΤΑΚΗ ΟΕ και τα διατηρεί είτε σε φυσικό είτε σε ηλεκτρονικό αρχείο.
Στόχοι
Η ΑΦΟΙ ΠΑΠΑΔΟΚΩΣΤΑΚΗ ΟΕ έχει ως βασικούς στόχους για την ασφάλεια των Π.Δ.:
• Την τήρηση των αρχών που πρέπει να διέπουν την επεξεργασία ΠΔ (νομιμότητα, αντικειμενικότητα, διαφάνεια, περιορισμός του σκοπού, ελαχιστοποίηση δεδομένων, ακρίβεια, περιορισμός του χρόνου αποθήκευσης, ακεραιότητα και εμπιστευτικότητα).
• Τη διασφάλιση της εμπιστοσύνης των συνεργατών, πελατών, προμηθευτών του
• Τη διασφάλιση της συμμόρφωσης του με το ισχύον νομοθετικό πλαίσιο
Μέτρα ασφαλείας
Για την επίτευξη των παραπάνω στόχων, η ΑΦΟΙ ΠΑΠΑΔΟΚΩΣΤΑΚΗ ΟΕ καταρτίζει διαδικασίες που
διέπουν τη λειτουργία του και λαμβάνει τα απαραίτητα οργανωτικά και τεχνικά μέτρα ασφάλειας.
Τα μέτρα ασφάλειας παρουσιάζονται συνοπτικά στη συνέχεια και αναλυτικά στο Σχέδιο Ασφάλειας
Δεδομένων Προσωπικού Χαρακτήρα της ΑΦΟΙ ΠΑΠΑΔΟΚΩΣΤΑΚΗ ΟΕ .
Οργανωτικά μέτρα ασφάλειας
1. Ορισμός Υπευθύνου Ασφαλείας Προσωπικών Δεδομένων
2. Ορισμός Υπευθύνου Προστασίας Προσωπικών Δεδομένων
3. Οργάνωση / Διαχείριση προσωπικού - καθορισμός ρόλων και ευθυνών στα άτομα που εμπλέκονται στην επεξεργασία των ΠΔ
4. Διαχείριση πληροφοριακών αγαθών
5. Εκπαίδευση προσωπικού στην ασφάλεια προσωπικών δεδομένων – ενημέρωση για τις επιμέρους πολιτικές/διαδικασίες της ΑΦΟΙ ΠΑΠΑΔΟΚΩΣΤΑΚΗ ΟΕ
6. Διαχείριση των εκτελούντων την επεξεργασία
7. Καθορισμός διαδικασίας καταστροφής δεδομένων και αποθηκευτικών μέσων
8. Διαχείριση συμβάντων διαρροής προσωπικών δεδομένων
9. Έλεγχος των μέτρων ασφάλειας
Τεχνικά μέτρα ασφάλειας
1. Έλεγχος πρόσβασης
2. Αντίγραφα ασφαλείας
3. Διαμόρφωση υπολογιστών
4. Αρχεία καταγραφής ενεργειών χρηστών και συμβάντων ασφαλείας
5. Ασφάλεια επικοινωνιών
6. Διαχείριση και προστασία εξωτερικών – αποσπώμενων μέσων αποθήκευσης
7. Ασφάλεια λογισμικού και εφαρμογών
8. Διαχείριση αλλαγών
Μέτρα φυσικής ασφάλειας
1. Έλεγχος φυσικής πρόσβασης
2. Περιβαλλοντική ασφάλεια – προστασία από φυσικές καταστροφές
3. Έκθεση εγγράφων
4. Προστασία φορητών μέσων αποθήκευσης
5. Εναλλακτικές εγκαταστάσεις
Ρόλοι - αρμοδιότητες
Οι ρόλοι, οι αρμοδιότητες, τα καθήκοντα και οι ευθύνες που αφορούν την ασφάλεια των ΠΔ, όλων των εμπλεκόμενων στην επεξεργασία των ΠΔ είναι σαφώς καθορισμένα και περιγράφονται αναλυτικά στο Σχέδιο Ασφάλειας Προσωπικών Δεδομένων.
Διαδικασίες – επιμέρους πολίτικες
Προκειμένου να επιτυγχάνονται οι στόχοι ασφάλειας των προσωπικών δεδομένων καθορίζονται οι κάτωθι διαδικασίες – πολιτικές που πρέπει να ακολουθούνται από όλους τους εμπλεκόμενους στην επεξεργασία ΠΔ:
Διαδικασίες Λειτουργίας
• Διαδικασία συλλογής των ΠΔ – ενημέρωση υποκειμένου
• Διαδικασία διαχείρισης αιτήματος υποκειμένου για άσκηση των δικαιωμάτων του
• Διαδικασία αντιγράφων ασφαλείας
• Διαδικασία δοκιμής, εκτίμησης και αξιολόγησης των οργανωτικών και τεχνικών μέτρων ασφάλειας
• Διαδικασία διαχείρισης υλικού και λογισμικού πληροφοριακών συστημάτων
• Διαδικασία διαχείρισης συμβάντων παραβίασης – διαρροής προσωπικών δεδομένων
• Διαδικασία διαχείρισης social media
Πολιτικές (επιμέρους)
• Πολιτική προστασίας προσωπικών δεδομένων της ιστοσελίδας του ΑΦΟΙ ΠΑΠΑΔΟΚΩΣΤΑΚΗ ΟΕ
• Πολιτική προστασίας προσωπικών δεδομένων εργαζομένων
• Πολιτική ελέγχου πρόσβασης στα ΠΔ
• Πολιτική password
• Πολιτική εμπιστευτικότητας εργαζομένων
• Πολιτική «καθαρού γραφείου» (clean desk)
• Πολιτική οργάνωσης/αρχειοθέτησης/ταξινόμησης των ΠΔ
• Πολιτική αποθήκευσης και καταστροφής των ΠΔ
• Πολιτική διαχείρισης εταιρικών email
• Πολιτική προστασίας δικτύου wifi
• Πολιτική προστασίας συστήματος CCTV
• Πολιτική χρήσης cloud εφαρμογών για την επεξεργασία ΠΔ
• Πολιτική διαχείρισης αλλαγών στα πληροφοριακά συστήματα
• Πολιτική bring your own devise (BYOD)
• Πολιτική χρήσης internet
• Πολιτική πρόσληψης και εκπαίδευσης υπαλλήλων
• Πολιτική διατήρησης προσωπικών δεδομένων
Συνεργαζόμενοι εκτελούντες την επεξεργασία
Η ΑΦΟΙ ΠΑΠΑΔΟΚΩΣΤΑΚΗ ΟΕ έχει αναθέσει την διενέργεια διαδικασιών εξέτασης και πιστοποίησης ωφελούμενων στην UNIVERSAL CERTIFICATION SOLUTIONS - UNICERT. Η ανάθεση γίνεται με σύμβαση που υπογράφεται μεταξύ της εταιρείας και της UNIVERSAL CERTIFICATION SOLUTIONS - UNICERT και προσαρμόζεται στα πλαίσια της κάθε πρόσκλησης. Η χρονική διάρκεια της σύμβασης ορίζεται από το εκάστοτε πρόγραμμα.
Το παρόν τμήμα της Πολιτικής Ασφάλειας κοινοποιείται και στον κάθε εκτελούντα την επεξεργασία. Ο εκτελών την επεξεργασία έχει υποχρέωση πλήρους υιοθέτησης και εφαρμογής της Πολιτικής Ασφάλειας της εταιρείας ΒΕΝΕΤΙΑ ΣΙΑΣΤΑΘΗ & ΣΙΑ Ο.Ε.
Αναθεώρηση πολιτικής ασφαλείας
Η Πολιτική Ασφάλειας Δεδομένων Προσωπικού Χαρακτήρα ελέγχεται σε τακτική βάση (τουλάχιστον ετήσια) με τη διενέργεια εσωτερικών ελέγχων για την ορθή εφαρμογή της και την αποτίμηση της αποτελεσματικότητας των μέτρων ασφαλείας. Όταν από τον έλεγχο προκύπτει η ανάγκη αναθεώρησής της, πρέπει να ενημερώνονται όλοι οι εμπλεκόμενοι (διοίκηση, προσωπικό, συνεργάτες κ.α.) για την αναθεωρημένη Πολιτική.
Σε περιπτώσεις μη τήρησης της πολιτικής ασφάλειας από τους εμπλεκόμενους, ενημερώνεται η διοίκηση.
Πέραν των τακτικών αναθεωρήσεών της, η Πολιτική Ασφάλειας Δεδομένων Προσωπικού Χαρακτήρα δύναται να τροποποιείται στις περιπτώσεις που συμβαίνουν σημαντικές αλλαγές σε κάποιο τουλάχιστον από τα εξής:
1. στην οργανωτική δομή του υπευθύνου επεξεργασίας,
2. στα πληροφοριακά συστήματα,
3. στις απαιτήσεις ασφαλείας,
4. στις τεχνολογικές εξελίξεις,
5. στο είδος ή/και στην επεξεργασία των προσωπικών δεδομένων.