logo-print

Άρθρο 11 - Προεδρικό Διάταγμα 75/2020 - Οργανωτικά και τεχνικά μέτρα ασφάλειας

ΗΜΕΡΟΜΗΝΙΑ ΙΣΧΥΟΣ:

10/09/2020

Κωδικοποιημένο

1. Ο υπεύθυνος επεξεργασίας, καθώς και όσοι μετέχουν στη διαδικασία της επεξεργασίας, τόσο κατά τη σχεδίαση και τον καθορισμό των τεχνικών προδιαγραφών του συστήματος όσο και κατά τη λειτουργία του, προβλέπουν διαδικασίες και λαμβάνουν τεχνικά και οργανωτικά μέτρα, ώστε να ελαχιστοποιούνται οι επιπτώσεις στο δικαίωμα προστασίας των προσωπικών δεδομένων. Προς το σκοπό αυτό, λαμβάνουν υπόψη τους τη διαθέσιμη τεχνολογία, το κόστος υλοποίησης, τη φύση, το πεδίο εφαρμογής, τις περιστάσεις και τους σκοπούς της επεξεργασίας, καθώς και την πιθανότητα και σοβαρότητα των κινδύνων επεξεργασίας για τα υποκείμενα των δεδομένων.

2. Ο υπεύθυνος επεξεργασίας καταρτίζει και θέτει σε λειτουργία ολοκληρωμένο σύστημα διαχείρισης ασφάλειας των δεδομένων του συστήματος, λαμβάνοντας υπόψη τα αποδεκτά διεθνή πρότυπα, ώστε να εξασφαλίζονται τα δεδομένα από τυχαία ή παράνομη καταστροφή και απώλεια, καθώς και από κάθε άλλη παράνομη επεξεργασία, όπως είναι ιδίως η μη εξουσιοδοτημένη κοινοποίηση, διάδοση, πρόσβαση ή αλλοίωση, ενώ σε περίπτωση που καταστεί αναγκαίο, να διασφαλίζεται η αποκατάστασή τους. Προς τούτο, καταρτίζει πολιτική ασφάλειας, η οποία περιέχει κατάλληλη διαδικασία για την αναθεώρησή της και, εφόσον συντρέχει περίπτωση, αναφορές σε ειδικότερες διαδικασίες του συστήματος διαχείρισης ασφάλειας. Επιπλέον εξειδικεύει τα μέτρα ασφάλειας και μεριμνά για την αδιάλειπτη τήρηση και περιοδική αξιολόγησή τους.

3. Στα μέτρα ασφάλειας προβλέπονται κατ’ ελάχιστο τα ακόλουθα:

α. Διακριτοί ρόλοι χρηστών του συστήματος και αντίστοιχα δικαιώματα πρόσβασης, τουλάχιστον για αα) τη θέαση, ββ) την εξαγωγή δεδομένων, γγ) τη διαγραφή δεδομένων, δδ) την παροχή εξουσιοδότησης για την εξαγωγή δεδομένων, εε) την ανάθεση ρόλων σε κάθε χρήστη, στστ) την τεχνική συντήρηση του συστήματος και ζζ) τον έλεγχο των ενεργειών των χρηστών.

β. Παροχή κατάλληλης εκπαίδευσης στους χρήστες του συστήματος, ανάλογα με τα καθήκοντά τους.

γ. Πρόσβαση στα δεδομένα του συστήματος και στις εγκαταστάσεις επεξεργασίας, στις οποίες συμπεριλαμβάνονται οι αίθουσες ελέγχου του συστήματος, των βάσεων δεδομένων και των καμερών, μόνον σε εξουσιοδοτημένους, κατάλληλα εκπαιδευμένους χρήστες και σύμφωνα με το ρόλο που τους έχει ανατεθεί. Ο υπεύθυνος επεξεργασίας τηρεί επικαιροποιημένο κατάλογο χρηστών με το ρόλο που τους ανατίθεται κάθε φορά.

δ. Πρόσβαση των χρηστών στο λογισμικό του συστήματος βιντεοεπιτήρησης, μόνο με χρήση αντίστοιχου λογαριασμού, ήτοι, τουλάχιστον ζεύγους ονόματος χρήστη και κωδικού πρόσβασης, ο οποίος δημιουργείται αποκλειστικά για κάθε χρήστη. Η δημιουργία των λογαριασμών των χρηστών, η μέθοδος αυθεντικοποίησης των χρηστών, η ιστορικότητα και η χρονική ισχύς τους προβλέπεται σε ειδικότερη διαδικασία του συστήματος διαχείρισης ασφάλειας, σύμφωνα με την παρ. 3. Ο λογαριασμός κάθε χρήστη χρησιμοποιείται αποκλειστικά από αυτόν.

ε. Τήρηση επικαιροποιημένων αρχείων καταγραφής των ενεργειών που εκτελούνται στα δεδομένα του συστήματος βιντεοεπιτήρησης, σύμφωνα με το άρθρο 74 του ν. 4624/2019. Στα αρχεία αυτά καταγράφεται πάντοτε το όνομα χρήστη και ο χρόνος συμβάντος, καθώς και οι ακόλουθες τουλάχιστον ενέργειες: αα) πρόσβαση στα αποθηκευμένα δεδομένα και αιτιολόγηση αυτής, ββ) εξαγωγή δεδομένων, γγ) παράταση χρόνου τήρησης δεδομένων και αιτιολόγηση αυτής, δδ) διαβίβαση δεδομένων με μνεία των αποδεκτών και αιτιολόγηση αυτής, εε) ενεργοποίηση της λειτουργίας της εστίασης και επαναφοράς της εικόνας στην προκαθορισμένη θέση, σύμφωνα με τα οριζόμενα στην παρ. 4 του άρθρου 5.

στ. Δικτυακή πρόσβαση των χρηστών στο σύστημα, η οποία επιτρέπεται μόνον από καταγεγραμμένο αριθμό τερματικών, με τη χρήση έμπιστου δικτύου και ασφαλούς μεθόδου κρυπτογράφησης. Οποιαδήποτε αποστολή δεδομένων με ηλεκτρονικά μέσα πραγματοποιείται, είτε μέσω του ως άνω έμπιστου δικτύου, είτε με κρυπτογράφηση των προς αποστολή δεδομένων. Για την κρυπτογράφηση χρησιμοποιούνται αποδεκτά διεθνή πρότυπα, με ασφαλές μήκος κλειδιού.

ζ. Λήψη ειδικών μέτρων ασφαλείας ως προς τη χρήση φορητών συστημάτων από τον υπεύθυνο επεξεργασίας, τα οποία προσδιορίζονται από τη διενέργεια εκτίμησης αντικτύπου των επιπτώσεων της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα.