Εισαγωγή

Μια παραβίαση προσωπικών δεδομένων, εάν δεν αντιμετωπιστεί κατάλληλα και εγκαίρως, θα μπορούσε να οδηγήσει σε
σωματική, υλική ή μη υλική ζημία για άτομα, καθώς και οικονομική ζημιά για τον οργανισμό ή ζημιά στη φήμη του.
Όταν συλλέγουμε, χρησιμοποιούμε και διατηρούμε προσωπικά δεδομένα, πρέπει να λάβουμε τα απαραίτητα μέτρα
τόσο για να προστατεύσουμε αυτά τα προσωπικά δεδομένα, όσο και για να τα χρησιμοποιήσουμε με νόμιμο τρόπο.

Σκοπός και πεδίο εφαρμογής

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR), απαιτεί από τον οργανισμό μας να διαθέτει ένα κατάλληλο
πλαίσιο ασφάλειας δεδομένων. Αυτή η πολιτική αποτελεί ουσιαστικό μέρος αυτού του πλαισίου και καθορίζει τη
διαδικασία που πρέπει να ακολουθηθεί που εξασφαλίζει μια συνεπή και αποτελεσματική απάντηση σε ένα συμβάν
παραβίασης. Η πολιτική ισχύει για όλους τους υπαλλήλους, τους εξωτερικούς συνεργάτες και όλους τους
ενδιαφερόμενους που ενδέχεται να έχουν πρόσβαση, ή να είναι υπεύθυνοι για τη συλλογή και επεξεργασία
προσωπικών δεδομένων.

Ορισμός

Ως παραβίαση προσωπικών δεδομένων νοείται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη
καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που
διαβιβάζονται, αποθηκεύονται ή υποβάλλονται σε επεξεργασία με άλλο τρόπο.

Αναφορά περιστατικού

Αναφέρετε άμεσα οποιαδήποτε ανακάλυψη ενός συμβάντος παραβίασης στον προϊστάμενό σας. Τα ανώτερα
διευθυντικά στελέχη θα μεριμνήσουν ώστε να παραμένουν προσβάσιμα Για καταστάσεις έκτακτης ανάγκης και εκτός
κανονικού ωραρίου λειτουργίας του οργανισμού. Όποιος αναφέρει ένα συμβάν, ενθαρρύνεται να καταγράφει όσο το
δυνατόν περισσότερες λεπτομέρειες. Λάβετε υπόψη ότι η αποτυχία αναφοράς περιστατικού θα μπορούσε ενδεχομένως
να οδηγήσει σε πειθαρχικές ενέργειες, ή ακόμα και κυρώσεις και πρόστιμα για τον οργανισμό.

Περιορισμός και ανάκαμψη

Το στέλεχος που θα ανταποκριθεί πρώτο στο περιστατικό θα καθορίσει εάν αυτό εξακολουθεί να συμβαίνει και, εάν ναι,
τα μέτρα που θα ληφθούν για την ελαχιστοποίηση των επιπτώσεών του. Στη συνέχεια, θα γίνει μια αρχική αξιολόγηση
για να προσδιοριστεί - η σοβαρότητα. Τι μπορεί να γίνει για τον περιορισμό των ζημιών ή την ανάκτηση απωλειών;
ποιος μπορεί να χρειαστεί να ειδοποιηθεί σχετικά με τον αρχικό περιορισμό των συνεπειών του συμβάντος ·
οποιαδήποτε συμμετοχή των Αρχών · και την πορεία δράσης που πρέπει να ακολουθηθεί.

Έρευνα και εκτίμηση κινδύνου

Η διαδικασία παραβίασης θα καθορίσει, τουλάχιστον - τον επικεφαλής ερευνητή. πότε πρέπει να ξεκινήσει η έρευνα ·
πώς θα αξιολογηθούν και θα αντιμετωπιστούν οι κίνδυνοι; τα άτομα που επηρεάζονται, την επίδραση του συμβάντος
σε αυτά και τι μπορούν να κάνουν για να ελαχιστοποιήσουν αυτόν τον αντίκτυπο.

Γνωστοποίηση

ενδέχεται να μην είναι απαραίτητο να ενημερώσετε την εποπτική αρχή για ένα περιστατικό παραβίασης. Εάν πρέπει να
ενημερώσουμε την εποπτική αρχή, πρέπει να το κάνουμε εντός 72 ωρών από την ανακάλυψη της παραβίασης - εκτός
εάν μπορούμε να εξηγήσουμε γιατί ενδέχεται να μην είναι δυνατόν να γίνει αυτό εντός 72 ωρών.
Λάβετε υπόψη ότι οι Αρχές μπορεί να μας εμποδίσουν να ενημερώσουμε τα άτομα των οποίων τα προσωπικά δεδομένα
ενδέχεται να επηρεαστούν από την παραβίαση. Όταν χρειαστεί να ενημερώσουμε τα άτομα, θα το πράξουμε εγκαίρως
και σε απλή και σαφή γλώσσα. Θα εξετάσουμε επίσης εάν είναι απαραίτητο να ενημερώσουμε άλλους ενδιαφερόμενους
- ασφαλιστές, τράπεζες, πράκτορες πιστωτικών καρτών, συνδικάτα κλπ. Θα διατηρήσουμε ένα αρχείο για κάθε συμβάν /
παραβίαση ανεξάρτητα από το εάν απαιτείται ειδοποίηση.

Αξιολόγηση και ανταπόκριση

Κάθε περιστατικό απαιτεί πλήρη αναθεώρηση των αιτίων, της αποτελεσματικότητας της απόκρισης και του αντίκτυπου
στα υπάρχοντα συστήματα ή / και στις διαδικασίες. Τα υπάρχοντα σημεία ελέγχου θα επανεξεταστούν για να
προσδιοριστεί εάν απαιτούνται διορθωτικές ενέργειες. Θα προσδιορίσουμε εάν ενδέχεται να απαιτηθεί εκπαίδευση και
ευαισθητοποίηση σχετικά με τον εντοπισμό συμβάντων και την ανταπόκριση σε αυτά. Ως εκ τούτου, οι τακτικές
ασκήσεις εκπαίδευσης στο πληροφοριακό περιβάλλον πρέπει να ενθαρρύνονται.