logo-print

Άρθρο 3 - Απόφαση 165/2011 Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών - Πολιτική Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών

ΗΜΕΡΟΜΗΝΙΑ ΙΣΧΥΟΣ:

18/05/2012

Υπό κωδικοποίηση
Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων και Ευθύνη για Αποζημίωση
Το δίκαιο της ψηφιακής οικονομίας

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ

3.1. Σκοπός - Εύρος Πολιτικής

3.1.1. Η Πολιτική Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών, έχει ως στόχο την προστασία των δεδομένων επικοινωνίας και των ΠΕΣ από πιθανούς κινδύνους, ούτως ώστε να διασφαλίζεται το απόρρητο των επικοινωνιών.

3.1.2. Η Πολιτική Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών αφορά τους χρήστες, συνδρομητές, εργαζόμενους και συνεργάτες του υπόχρεου προσώπου.

3.2. Γενικές Απαιτήσεις

3.2.1. Η Πολιτική Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών, έχει αρθρωτή δομή και αποτελείται από επιμέρους πολιτικές, οι οποίες ορίζουν τις απαιτήσεις ασφάλειας που πρέπει να ικανοποιούνται για κάθε επιμέρους κατηγορία ειδικών θεμάτων. Η Πολιτική Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών περιλαμβάνει κατ’ ελάχιστον τις επιμέρους πολιτικές που αναφέρονται αναλυτικά στα άρθρα 3 έως και 13 του παρόντος Κανονισμού.

3.2.2. Σε περίπτωση που η Πολιτική Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών είναι ενταγμένη και συμπεριλαμβάνεται σε ευρύτερη πολιτική ασφάλειας πληροφοριών και επικοινωνιών του υπόχρεου προσώπου, αυτό οφείλει να διαθέτει αρχείο με αναλυτική αντιστοίχιση της δομής της ευρύτερης πολιτικής ασφάλειας πληροφοριών και επικοινωνιών με τις απαιτήσεις του παρόντος Κανονισμού. Τα υπόχρεα πρόσωπα που αναφέρονται στο άρθρο 1 παρ.2 του παρόντος Κανονισμού οφείλουν να υποβάλλουν στην Α.Δ.Α.Ε. το εν λόγω αρχείο με την ευρύτερη πολιτική ασφάλειας πληροφοριών και επικοινωνιών.

3.2.3. Κάθε αδυναμία συμμόρφωσης με τις απαιτήσεις που ορίζονται στον παρόντα Κανονισμό της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών, συμπεριλαμβανομένων των επιμέρους πολιτικών και των διαδικασιών που την υλοποιούν, η οποία, ενδεικτικά, μπορεί να οφείλεται σε μη εφαρμοσιμότητα ή σε τεχνική αδυναμία κάλυψης συγκεκριμένων απαιτήσεων, καταγράφεται και τεκμηριώνεται επαρκώς. Στην περίπτωση των υπόχρεων προσώπων του άρθρου 1 παρ.2 του παρόντος Κανονισμού, προβλέπεται και εφαρμόζεται εσωτερική διαδικασία καταγραφής και τεκμηρίωσης των αδυναμιών της παρούσας παραγράφου.

3.2.4. Για την υλοποίηση των επιμέρους πολιτικών, ορίζονται, τεκμηριώνονται, εφαρμόζονται και αναθεωρούνται συγκεκριμένες διαδικασίες ασφάλειας και οργανωτικές δομές. Οι διαδικασίες ασφάλειας ορίζουν συγκεκριμένες ενέργειες των εργαζομένων, συνεργατών, χρηστών και συνδρομητών, του υπόχρεου προσώπου, την αλληλουχία των ενεργειών, τους υπεύθυνους για την εκτέλεσή τους και τον τρόπο και τα μέσα τεκμηρίωσής τους.

3.2.5. Η Πολιτική Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών με τις επιμέρους πολιτικές που την απαρτίζουν, ορίζει τις διοικητικές οντότητες ή τα φυσικά πρόσωπα με συγκεκριμένες αρμοδιότητες σχετικά με την εφαρμογή της πολιτικής. Tα υπόχρεα πρόσωπα ορίζουν τους αρμόδιους να καθορίζουν και να πραγματοποιούν τις ενέργειες σχεδίασης, ανάπτυξης, προμήθειας, εγκατάστασης, λειτουργίας, διαχείρισης, υποστήριξης, αναβάθμισης, επικαιροποίησης, διαγραφής, απόσυρσης και πρόσβασης σε κάθε ΠΕΣ.

3.2.6. Το υπόχρεο πρόσωπο οφείλει να ορίσει συγκεκριμένο εργαζόμενό του, ως Υπεύθυνο Διασφάλισης του Απορρήτου των Επικοινωνιών, επιφορτισμένο με την ευθύνη ελέγχου της υλοποίησης των μέτρων και των απαιτήσεων που ορίζονται στην Πολιτική Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών. Τα υπόχρεα πρόσωπα που αναφέρονται στο άρθρο 1 παρ.2 του παρόντος Κανονισμού οφείλουν να κοινοποιούν στην Α.Δ.Α.Ε. τα στοιχεία επικοινωνίας του εκάστοτε Υπεύθυνου Διασφάλισης του Απορρήτου των Επικοινωνιών.

3.2.7. Η Πολιτική Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών ορίζει συγκεκριμένα στάδια, τα οποία χρησιμοποιούνται και εφαρμόζονται για τη διαχείριση της Πολιτικής. Τα στάδια της παρούσας παραγράφου περιλαμβάνουν τον προσδιορισμό και την αποτίμηση των κινδύνων, το σχεδιασμό και την υλοποίηση των μέτρων ασφάλειας και τον έλεγχο εφαρμογής τους.

3.2.8. Με τα άρθρα 3 έως και 13 του παρόντος Κανονισμού ορίζεται υποχρέωση διατήρησης αρχείων για το σκοπό του ελέγχου της Πολιτικής Διασφάλισης του Απορρήτου των Επικοινωνιών. Mε την επιφύλαξη των διατάξεων των ν.3471/2006 (ΦΕΚ Α’133), ν.3783/2009 (ΦΕΚ Α’136) και ν.3917/2011 (ΦΕΚ Α’22), όπως ισχύουν, το υπόχρεο πρόσωπο υποχρεούται να διατηρεί τα εν λόγω αρχεία για χρονικό διάστημα δύο (2) ετών, λαμβάνοντας τα κατάλληλα μέτρα για τη διασφάλιση της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητάς τους. Σε περίπτωση που βρίσκεται σε εξέλιξη έλεγχος της Α.Δ.Α.Ε., το υπόχρεο πρόσωπο, υποχρεούται να διατηρεί τα εν λόγω αρχεία, ακόμα και μετά το πέρας των δύο ετών, και να προβαίνει στη διαγραφή τους μόνο κατόπιν σχετικής απόφασης της Α.Δ.Α.Ε.

3.2.9. Αναφορικά με τα αρχεία καταγραφής των άρθρων 6.2.5 και 8.3.3.2 του παρόντος Κανονισμού, το υπόχρεο πρόσωπο υποχρεούται να εξασφαλίζει ότι οι καταγραφές που προβλέπονται στα εν λόγω άρθρα είναι πλήρεις και συνεχείς. Το υπόχρεο πρόσωπο οφείλει να διατηρεί Ειδικό Σχέδιο Αρχείων Καταγραφής, το οποίο, κατ’ ελάχιστον, περιλαμβάνει την αρχιτεκτονική και τις επιμέρους μεθόδους δημιουργίας, συλλογής, αποθήκευσης και διαχείρισης των αρχείων καταγραφής, πλήρη περιγραφή του περιεχομένου αυτών, καθώς και τα μέτρα για τη διασφάλιση της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητάς αυτών. Το υπόχρεο πρόσωπο οφείλει να ενεργοποιεί την Πολιτική Διαχείρισης Περιστατικών Ασφάλειας, σύμφωνα με το άρθρο 9 του παρόντος Κανονισμού, σε περίπτωση διακοπής των καταγραφών που προβλέπονται στα ως άνω άρθρα και σε περίπτωση περιστατικού παραβίασης της ακεραιότητας, εμπιστευτικότητας και διαθεσιμότητας αυτών.

3.3. Διαδικασία Αποτίμησης Πληροφοριακού Κινδύνου

3.3.1. Το υπόχρεο πρόσωπο οφείλει να διατηρεί και να εφαρμόζει διαδικασία αποτίμησης πληροφοριακού κινδύνου σχετικά με το απόρρητο της επικοινωνίας βασισμένη σε μεθοδολογία αποτίμησης κινδύνου που λαμβάνει υπόψη διεθνείς πρακτικές. Η αποτίμηση πληροφοριακού κινδύνου πραγματοποιείται κατ’ ελάχιστον κάθε δύο (2) έτη και περιλαμβάνει τουλάχιστον τα παρακάτω:

3.3.1.1. Διατήρηση καταλόγου των ΠΕΣ με συνοπτική περιγραφή της λειτουργίας τους.

3.3.1.2. Αποτίμηση των απειλών που σχετίζονται με ενδεχόμενη παραβίαση του απορρήτου από εξωτερικές απειλές, εργαζόμενους ή συνεργάτες του υπόχρεου προσώπου, αποτίμηση των σχετικών ευπαθειών των ΠΕΣ και αποτίμηση των πιθανών επιπτώσεων των περιστατικών παραβίασης του απορρήτου.

3.3.1.3. Τα αποτελέσματα της αποτίμησης κινδύνου λαμβάνονται υπόψη για τη σύνταξη και την αναθεώρηση της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών και την υλοποίηση των κατάλληλων μέτρων για την εφαρμογή της. Τα αποτελέσματα της αποτίμησης κινδύνου διατηρούνται από το υπόχρεο πρόσωπο και είναι διαθέσιμα κατά τον τακτικό ή έκτακτο έλεγχο της εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών από την Α.Δ.Α.Ε.

Κώδικας Πολιτικής Δικονομίας - Κατ΄ άρθρο Νομολογία -Δ έκδοση - XII & 1889

ΑΣΤΙΚΟ ΔΙΚΟΝΟΜΙΚΟ ΔΙΚΑΙΟ

Το εφαρμοστέο δίκαιο ως προς τις έννομες συνέπειες των δικαστικών αποφάσεων - Μελέτες ΕΡΜΕΚ Νο 11