Του Ιωάννη Ν. Γουσγούνη, ιδρυτή και ιδιοκτήτη της SUCCESSKeys.GR
Στο Α’ Μέρος του άρθρου μας αναφερθήκαμε συνοπτικά στα εξής θέματα:
Ποιες επιχειρήσεις υποχρεούνται σε υποβολή Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών στην Α.Δ.Α.Ε.
Ποιους αφορά η Πολιτική Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών.
Ποιο είναι το περιεχόμενο της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών.
Εφαρμογή της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών
Στο Β’ Μέρος του άρθρου θα ασχοληθούμε με τις υποχρεώσεις των παρόχων δικτύων ή/και ηλεκτρονικών υπηρεσιών, από τη στιγμή που θα εγκριθεί η Πολιτική Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών από την Α.Δ.Α.Ε.
Μετά την έγκριση της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών από την Α.Δ.Α.Ε., το υπόχρεο πρόσωπο οφείλει (εντός καθορισμένου, από την Α.Δ.Α.Ε., χρονικού διαστήματος) να εφαρμόσει την Πολιτική σύμφωνα με τα όσα αναφέρονται στην απόφαση έγκρισης της Πολιτικής από την Α.Δ.Α.Ε.
Στην πράξη αυτό σημαίνει, μεταξύ άλλων:
α) Ενημέρωση των εργαζομένων και συνεργατών για το περιεχόμενο της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών και εκπαίδευση αυτών στην εφαρμογή της Πολιτικής. Η εκπαίδευση των εργαζομένων και συνεργατών γίνεται πριν την ανάληψη των καθηκόντων τους και τουλάχιστον μια φορά το χρόνο.
β) Δημιουργία και εφαρμογή των διαδικασιών, που αναφέρονται στα Άρθρα 3-13 του Κανονισμού για τη Διασφάλιση του Απορρήτου των Επικοινωνιών.
γ) Δημιουργία και διατήρηση των αρχείων (π.χ. logs κ.λπ.), που αναφέρονται στα Άρθρα 3-13 του Κανονισμού για τη Διασφάλιση του Απορρήτου των Επικοινωνιών.
δ) Τα εδάφια α) και β) αναφέρονται σε διαδικασίες και αρχεία που έχουν εφαρμογή στις δραστηριότητες του υπόχρεου προσώπου, που σχετίζονται με την παροχή δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών.
ε) Διαφύλαξη της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των διαδικασιών και αρχείων.
στ) Ενημέρωση, με κάθε πρόσφορο τρόπο, των συνδρομητών ή χρηστών των παρεχόμενων δικτύων ή υπηρεσιών σχετικά με μέτρα που πρέπει να λαμβάνουν για την προστασία του απορρήτου των επικοινωνιών τους.
ζ) Αποτίμηση του πληροφοριακού κινδύνου τουλάχιστον κάθε δύο (2) χρόνια ή συχνότερα ανάλογα με τις ανάγκες του υπόχρεου προσώπου (π.χ. σε περίπτωση απόκτησης νέων ΠΕΣ, σε περίπτωση εμφάνισης νέων κινδύνων κ.λπ.).
η) Διενέργεια ελέγχου εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών, τουλάχιστον κάθε δύο (2) χρόνια.
Τα υπόχρεα πρόσωπα πρέπει να διατηρούν τα δεδομένα επικοινωνίας των χρηστών και συνδρομητών τους, στα οποία έχουν πρόσβαση, για χρονικό διάστημα, που καθορίζεται κατά περίπτωση στη σχετική νομοθεσία.
Σημείωση: Κάθε αδυναμία συμμόρφωσης του υπόχρεου προσώπου με τις απαιτήσεις του Κανονισμού για τη Διασφάλιση του Απορρήτου των Επικοινωνιών, είτε αυτή (η αδυναμία) οφείλεται σε μη εφαρμοσιμότητα είτε οφείλεται σε τεχνική αδυναμία κάλυψης συγκεκριμένων απαιτήσεων, πρέπει να καταγράφεται και να τεκμηριώνεται επαρκώς.
Υπόχρεα πρόσωπα που παρέχουν δίκτυα ή/και υπηρεσίες ηλεκτρονικών επικοινωνιών υπό καθεστώς Γενικής Άδειας (όπως αυτό καθορίζεται από την εκάστοτε ισχύουσα νομοθεσία), πρέπει να δημιουργήσουν και να εφαρμόζουν εσωτερική διαδικασία καταγραφής και τεκμηρίωσης των σχετικών αδυναμιών.
Τέλος, κάθε αναθεώρηση της εγκεκριμένης Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών πρέπει να υποβάλλεται εκ νέου για έγκριση στην Αρχή Διασφάλισης του Απορρήτου των Ηλεκτρονικών Επικοινωνιών.
Στην SUCCESSKeys.GR υποστηρίζουμε παρόχους δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών στη συμμόρφωση τους με τον Κανονισμό για τη Διασφάλιση του Απορρήτου των Επικοινωνιών (ΦΕΚ 2715/Β’/17.11.2011) και με την τροποποίηση αυτού (ΦΕΚ 939/Β’/2.03.2022).