Η πιστοποίηση στο GDPR (άρθρα 42-43) και η σχέση του με το ISO 27001

Ζαβογιάννης, Παναγιώτης, Σωτήριος

Μήτρου, Ευαγγελία (Λίλιαν)

Στοχεύοντας στη βελτίωση της διαφάνειας και της συμμόρφωσης προς τον Γενικό Κανονισμό για την Προστασία Δεδομένων - ΓΚΠΔ, παροτρύνεται (άρθρο 42 του ΓΚΠΔ) η θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας των δεδομένων καθώς επίσης και η διαπίστευση φορέων πιστοποίησης (άρθρο 43 του ΓΚΠΔ). Σκοπός αυτής τη διπλωματικής εργασίας είναι να εξεταστεί το ζήτημα της πιστοποίησης στο GDPR όπως αναφέρεται στα άρθρα 42 και 43 του ΓΚΠΔ καθώς επίσης και στο άρθρο 37 του Νόμου 4624/2019. Στη συνέχεια, διερευνάται η όποια σχέση του ΓΚΠΔ ή δυνατότητα συνδυασμού του με το διεθνές πρότυπο για την ασφάλεια πληροφοριών ISO 27001. Η πιστοποίηση έχει σαν σκοπό την απόδειξη της συμμόρφωσης, προς τον ΓΚΠΔ, των πράξεων επεξεργασίας από τους Υπεύθυνους Επεξεργασίας και τους Εκτελούντες την επεξεργασία, χωρίς να περιορίζεται η ευθύνη τους για τη συμμόρφωσή τους προς τον ΓΚΠΔ και τον εθνικό νόμο 4624/2019 και χωρίς να θίγονται τα καθήκοντα και οι αρμοδιότητες της εποπτικής αρχής. Η πιστοποίηση αυτή δύναται να χορηγηθεί είτε από διαπιστευμένο φορέα πιστοποίησης, είτε από αρμόδια εποπτική αρχή, είτε από το Συμβούλιο Προστασίας Δεδομένων. Τα βήματα σχετικά με τη διαδικασία θέσπισης μηχανισμού πιστοποίησης προστασίας δεδομένων είναι: Καθορισμός κριτηρίων από τον φορέα πιστοποίησης – Έγκριση των κριτηρίων από την αρμόδια εποπτική αρχή – Διαπίστευση φορέα πιστοποίησης – Πιστοποίηση – Συγκέντρωση και δημοσιοποίηση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων από Συμβούλιο Προστασίας Δεδομένων. Tα στάδια πιστοποίησης συνοπτικά είναι: Αίτηση για πιστοποίηση – Ανασκόπηση της αίτησης και αρχείο διαδικασίας πιστοποίησης – Προ αξιολόγηση – Αξιολόγηση – Επικύρωση αποτελεσμάτων – Ενημέρωση αρμόδιας εποπτικής Αρχής - Έκδοση και χορήγηση πιστοποίησης – Περιοδική ανασκόπηση πιστοποίησης (επιτήρηση) – Ανανέωση / Απόρριψη πιστοποίησης. Οι υπάρχουσες πιστοποιήσεις έχουν ήδη θεσπίσει μηχανισμούς, μεθοδολογίες αξιολόγησης, συμβατικές ρυθμίσεις και επιθεωρητές που μπορούν και πρέπει να χρησιμοποιηθούν για τη δημιουργία των μηχανισμών προστασίας δεδομένων ΓΚΠΔ. Από την έρευνα προέκυψε ότι ακολουθούν τρία μοντέλα: το ρυθμιστικό μοντέλο, το μοντέλο προτύπων και το συνδυασμένο μοντέλο. Μέχρι σήμερα, κανένα δημοσιευμένο πρότυπο δεν περιγράφει τον τρόπο διεξαγωγής της διαδικασίας σχετικά με την εκτίμηση των κινδύνων και του αντικτύπου για την ζωή των υποκειμένων των δεδομένων ώστε να αντιμετωπιστούν με ανάλογο τρόπο. Επομένως, η ανάπτυξη ενός συνεκτικού και επαρκούς συνόλου ευρωπαϊκών προτύπων πλήρως εναρμονισμένων με τις αρχές και τους μηχανισμούς του ΓΚΠΔ χρειάζεται ακόμη σημαντικές προσπάθειες. Η διατήρηση ενός πιστοποιημένου Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών με βάση το ISO 27001 πλέον απαιτείται όλο και περισσότερο από οργανισμούς, ανεξάρτητα από τον τύπο τους, το μέγεθός τους ή τη φύση τους, και έχει σαν σκοπό τη διατήρηση της εμπιστευτικότητας, της ακεραιότητας και διαθεσιμότητας των πληροφοριακών αγαθών τους. Η εφαρμογή του ISO 27001 καλύπτει τις περισσότερες από τις απαιτήσεις του ΓΚΠΔ. Ωστόσο, ορισμένα στοιχεία ελέγχου πρέπει να προσαρμοστούν ώστε να περιλαμβάνουν και προσωπικά δεδομένα. Εάν ο οργανισμός έχει ήδη εφαρμόσει το πρότυπο, είναι τουλάχιστον στη μέση της διασφάλισης της προστασίας των προσωπικών δεδομένων και της ελαχιστοποίησης του κινδύνου διαρροής.

2020-08-07

Ελληνικά

Ηλεκτρονικοί υπολογιστές. Επιστήμη των υπολογιστών

Προσωπικά δεδομένα - προστασία

ΓΚΠΔ, πιστοποίηση, ασφάλεια, διαπίστευση,27001

126 σ.:εικ.,πίν.

Αναφορά Δημιουργού – Μη Εμπορική Χρήση – Όχι Παράγωγα Έργα 4.0