Εκτίμηση αντικτύπου ως προς την προστασία δεδομένων - Μελέτη περίπτωσης στο Δημόσιο Τομέα

Abstract

Η παρούσα διπλωματική διατριβή διερευνά τους τρόπους διαχείρισης κινδύνων ασφαλείας στους φορείς της δημόσιας διοίκησης και προσανατολίζεται σε δύο κύριες κατευθύνσεις. Η πρώτη εστιάζει στην ανάδειξη όλων εκείνων του συνιστωσών που επηρεάζουν την ασφάλεια κατά την επεξεργασία προσωπικών δεδομένων σε ένα δημόσιο φορέα και στον τρόπο που διασφαλίζεται ότι η επεξεργασία είναι σύννομη ως προς το Γενικό Κανονισμό Προστασίας Δεδομένων. Η δεύτερη εστιάζει στον τρόπο υλοποίησης μιας ολοκληρωμένης εκτίμησης αντικτύπου των κινδύνων μιας επεξεργασίας προσωπικών δεδομένων και στις απαιτήσεις που πρέπει να έχει ο φορέας στην περίπτωση που επιλέγει ως εκτελών την επεξεργασία κάποιον εξωτερικό συνεργάτη. Μέσα από τη μελέτη εκτίμησης αντικτύπου προκύπτουν ερωτήματα που σχετίζονται με την ετοιμότητα ενός δημόσιου φορέα στην εκτέλεση επεξεργασίας προσωπικών δεδομένων μεγάλης κλίμακας, στα εχέγγυα που θα πρέπει να αναζητά σε περίπτωση συνεργασίας με εξωτερικό συνεργάτη και στον τρόπο που θα μπορεί να διασφαλίζει ανά πάσα στιγμή ότι η επεξεργασία των δεδομένων πραγματοποιείται με το μικρότερο δυνατό ρίσκο ως προς την πιθανότητα εμφάνισης κινδύνων. Τα αποτελέσματα της μελέτης οδηγούν σε κάποια ενδιαφέροντα συμπεράσματα ως προς τις απαιτήσεις σε θέματα ασφάλειας προσωπικών δεδομένων που επιβάλει ο ΓΚΠΔ και τις εγγυήσεις ως προς τη διαχείριση ασφάλειας των πληροφοριών που παρέχει το πρότυπο ασφάλειας δεδομένων ISO27001.

Για την ολοκλήρωση της διατριβής χρησιμοποιήθηκε ως οδηγός η μεθοδολογία διαχείρισης κινδύνων του Ευρωπαϊκού Οργανισμού Κυβερνοασφάλειας ENISA, ενώ η μελέτη της εκτίμησης αντικτύπου πραγματοποιήθηκε με τη βοήθεια του λογισμικού PIA της Γαλλικής Αρχής Προστασίας Δεδομένων CNIL.