Ο κύριος σκοπός της εταιρικής συμμόρφωσης (corporatecompliance) είναι να επιβεβαιώσει ότι η εταιρεία αποφεύγει τις παραβιάσεις της νομοθεσίας (αστικής, ποινικής), των κανονιστικών διατάξεων ρυθμιστικών αρχών, των συμβατικών υποχρεώσεων, καθώς και των απαιτήσεων

Είναι γεγονός ότι στην πληροφορική, και με δεδομένη την τεχνολογική πολυπλοκότητα και τους διάφορους νόμους και διατάξεις, απαιτούνται συγκεκριμένα μέτρα συμμόρφωσης. Αυτά τα μέτρα εταιρικής συμμόρφωσης θα προστατεύσουν την εταιρεία σας από τα πρόστιμα που θα επιβληθούν από τις παραβιάσεις νόμων και διατάξεων πληροφορικής (όπως του νόμου περί προστασίας προσωπικών δεδομένων, κλπ.), και από τα προβλήματα δυσφήμησης, πτώσης εργασιών, δυσκολίας πρόσληψης στελεχών, κλπ.

Τι είναι εταιρική συμμόρφωση και που χρειάζεται

Σε γενικές γραμμές, ‘συμμόρφωση’ σημαίνει συμφωνία με κανόνες, όπως προδιαγραφές, πολιτικές, διαδικασίες, ηθική, πρότυπα ή νομικές διατάξεις. Στο πλαίσιο επιχειρήσεων και οργανισμών, ‘εταιρική συμμόρφωση’ περιλαμβάνει την τήρηση των νομικών και επιχειρησιακών διατάξεων σχετικά με τη νόμιμη, ηθική και υπεύθυνη συμπεριφορά από την ηγεσία, την διοίκηση, τα εποπτικά όργανα, και του εργαζόμενους της εταιρείας.

Τα μέτρα εταιρικής συμμόρφωσης προστατεύουν την εταιρία σας από τις νομικές και κανονιστικές παραβάσεις με τον πιο δυνατό τρόπο.

Ο κύριος σκοπός της εταιρικής συμμόρφωσης (corporate compliance) είναι να επιβεβαιώσει ότι η εταιρεία αποφεύγει τις παραβιάσεις της νομοθεσίας (αστικής, ποινικής), των κανονιστικών διατάξεων ρυθμιστικών αρχών, των συμβατικών υποχρεώσεων, καθώς και των απαιτήσεων ποιότητας, υγιεινής της εργασίας, ασφάλειας, κλπ.

Συμμόρφωση πληροφορικής (ITCompliance)

Ειδικά στην πληροφορική, και με δεδομένη την τεχνολογική πολυπλοκότητα και τους διάφορους νόμους και διατάξεις (εταιρική διακυβέρνηση, εμπορικό δίκαιο, νόμος προστασίας προσωπικών δεδομένων (ν. 2472/97 και ν. 2774/99, 3471/2006), οδηγίες της Τράπεζας της Ελλάδος, Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών, άρθρ. 66 Ν.2121/93, άρθρο 370 του Ποινικού Κώδικα, κλπ., απαιτούνται συγκεκριμένα μέτρα συμμόρφωσης. Αυτά τα μέτρα εταιρικής συμμόρφωσης θα προστατεύσουν την εταιρεία σας από τα πρόστιμα που θα επιβληθούν από τις παραβιάσεις νόμων και διατάξεων πληροφορικής (όπως του νόμου περί προστασίας προσωπικών δεδομένων, κλπ.), και από τα προβλήματα δυσφήμησης, πτώσης εργασιών, δυσκολίας πρόσληψης στελεχών, κλπ.

Αυτά τα μέτρα εταιρικής συμμόρφωσης που αναφέρονται στα θέματα πληροφορικής περιγράφονται σε 3 φάσεις στην συνέχεια:

Φάση Α: Ανάλυση και Σχεδιασμός Δραστηριοτήτων Συμμόρφωσης

Δράση 1: Ανάλυση εταιρικής συμμόρφωσης

1. Πραγματοποιείστε μια ανάλυση του τοπίου κανονιστικής συμμόρφωσης της εταιρείας σας και κατανοήστε τους νόμους και κανονισμούς που αφορούν την πλήρη λειτουργία της επιχείρησής σας σε όλες τις χώρες που αυτή δραστηριοποιείται.

2. Δώστε ιδιαίτερη προσοχή στους νόμους και τους κανονισμούς που σχετίζονται με την επιχειρηματική δραστηριότητα σας στις ΗΠΑ και την Ευρώπη:

2.1. Νόμοι των ΗΠΑ: GLBA, FCRA, HIPAA, SarbanesOxley, κανόνας ασφαλείας 17-α 4 του χρηματιστηρίου της Νέας Υόρκης

2.2. Κανόνες Διεθνούς Τράπεζας (BIS / ΒΑΣΙΛΕΙΑ 2/3)

2.3. Πρότυπο ασφαλείας δεδομένων πιστωτικών καρτών (PCIDSS Πρότυπο)

2.4. Διεθνείς κανονισμοί για τα πνευματικά δικαιώματα και τα διπλώματα ευρεσιτεχνίας

2.5. Νομοθεσία της Ευρωπαϊκής Ένωσης (Οδηγία 2006/46/EC5 της Ευρωπαϊκής Ένωσης)

2.6. Οδηγίες και κανόνες συμμόρφωσης του Ελληνικού κράτους σε θέματα εταιρικής διακυβέρνησης (Νόμος 3016/20023, Νόμος 3693/20084, Νόμος 3884/2010, Νόμος 3873/2010, Νόμος 2190/19206), φορολογικά, ασφαλιστικά, λογιστικής απεικόνισης και αναφορών, τελωνειακά, εργασιακά, αστικού και ποινικού κώδικα, κλπ.

2.7. Κανονισμοί της Τράπεζα της Ελλάδας, κλπ.

3. Συλλέξτε όλα τα στοιχεία που σας αφορούν.

Δράση 2: Ανάλυση συμμόρφωσης της πληροφορικής

1.Εκτός από τα παραπάνω, θα πρέπει επίσης να κάνετε το ίδιο (διεξαγωγή της ανάλυσης) για τις οδηγίες, τους νόμους και τους κανονισμούς που διέπουν και επηρεάζουν το περιβάλλον πληροφορικής και επικοινωνιών (ITC) στις τοπικές και διεθνείς αγορές που δραστηριοποιείται η εταιρεία σας.

2. Δώστε ιδιαίτερη έμφαση, για παράδειγμα, στο τι διέπει τις υπηρεσίες ηλεκτρονικού εμπορίου (e-commerce), τις ψηφιακές συσκευές, τις υπηρεσίες κοινωνικής δικτύωσης, τα συστήματα και υπηρεσίες πληροφορικής σας, και ότι γενικά έχει σχέση με το τι προσφέρετε που έχει σχέση με την πληροφορική και τις επικοινωνίες (όπως πληροφορίες, δεδομένα, προϊόντα και υπηρεσίες) στην τοπική και διεθνή αγορά. Πρέπει να προσέξετε για παράδειγμα:

2.1. Το νόμο περί προστασίας προσωπικών δεδομένων (ν. 2472/97 και ν. 2774/99, 3471/2006) 2.2. Τις οδηγίες της Τράπεζας της Ελλάδος (ΠΡΑΞΗ ΔΙΟΙΚΗΤΗ ΑΡΙΘ. 2563/19.7.2005, 1. Ενημερωτικά στοιχεία για τον έλεγχο των συστημάτων πληροφορικής και 2. Ενημερωτικά στοιχεία για τη λειτουργία των συστημάτων πληροφορικής)

2.3. Τις οδηγίες της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών

2.4. Το άρθρο 66 του νόμου 2121/93

2.5. Το άρθρο 370 του Ποινικού Κώδικα, κλπ.

2.6. Τις οδηγίες του Ευρωπαίου Επόπτης Προστασίας Δεδομένων

2.7. Την Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών

(Κανονισμός (ΕΚ) αριθ. 1882/2003), κλπ.

2.8. Την οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου περί αποκομιδής προϊόντωνηλεκτρονικού εξοπλισμού (της 27ης Ιανουαρίου 2003) σχετικά με τα απόβλητα ειδών ηλεκτρικού και ηλεκτρονικού εξοπλισμού και τα προϊόντα και επιμέρους εξαρτήματα αυτών μετά τη χρήση ή την απαξίωση τους (δεν πρέπει να πετιούνται στα σκουπίδια με τα άλλα οικιακά απορρίμματα, αλλά να επιστρέφονται στο σημείο πώλησης ή σε κατάλληλο σημείο ανακύκλωσης ηλεκτρικού και ηλεκτρονικού εξοπλισμού). Περισσότερες λεπτομέρειες περιέχονται στα εξής:

2.8.1. ΟΔΗΓΊΑ 2011/65/ΕΕ ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟΒΟΥΛΊΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ της 8ης Ιουνίου 2011 για τον περιορισμό της χρήσης ορισμένων επικίνδυνων ουσιών σε ηλεκτρικό και ηλεκτρονικό εξοπλισμό (http://eur-lex.europa.eu/legal-content/EL/TXT/HTML/?uri=CELEX:32011L0065&from=EN).

2.8.2. ΟΔΗΓΊΑ 2012/19/ΕΕ ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟΒΟΥΛΊΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ της 4ης Ιουλίου 2012

σχετικά με τα απόβλητα ηλεκτρικού και ηλεκτρονικού εξοπλισμού (ΑΗΗΕ) (http://eur-lex.europa.eu/legal-content/EL/TXT/HTML/?uri=CELEX:32012L0019&from=EN).

3. Συλλέξτε όλα τα στοιχεία που σας αφορούν.

Δράση 3: Εσωτερικοί κανόνες.Συλλέξτε όλους τους εσωτερικούς κανόνες, πολιτικές, κανονισμούς και πρότυπα συμμόρφωσης που αφορούν την επιχείρησή σας και για όλες τις λειτουργίες της, συμπεριλαμβανομένης και της πληροφορικής.

Δράση 4: Σχεδιασμός εγχειρίδιου συμμόρφωσης

1. Σχεδιάστε τις διαδικασίες για την δημιουργία και λειτουργία ενός εγχειρίδιου συμμόρφωσης (Compliancemanual) για να διατηρήσετε όλους τους εξωτερικούς και εσωτερικούς κανόνες, οδηγίες, κανονισμούς και πρότυπα συμμόρφωσης που αφορούν την επιχείρησή σας και όλες τις λειτουργίες της, συμπεριλαμβανομένης και της πληροφορικής (από τις προηγούμενες δράσεις).

2. Σχεδιάστε μια βάση δεδομένων ή αποκτήστε ένα μηχανογραφημένο σύστημα για την αποθήκευση και τη διατήρηση όλων αυτών των κανόνων συμμόρφωσης.

Δράση 5: Πόροι.Ορίστε τα συστατικά στοιχεία που απαιτούνται από την εταιρεία σας από την άποψη των οικονομικών πόρων, ανθρώπων, δομών διαχείρισης, πολιτικών, συστημάτων, διαδικασιών, τεκμηρίωσης, εγκαταστάσεων, τεχνικών, μεθόδων και εργαλείων που πρέπει να αξιοποιηθούν αποτελεσματικά για την εκτέλεση και εφαρμογή του συνόλου των επιχειρησιακών και πληροφορικών μέτρων συμμόρφωσης.

Δράση 6: Ευαισθητοποίηση. Αναλύστε τις πτυχές της επικοινωνίας, της κατάρτισης και της ετοιμότητα της εταιρείας σας όσον αφορά τη συμμόρφωση.

Δράση 7: Έγκριση του Διοικητικού Συμβουλίου. Υποβάλλετε την έκθεση σας στο διοικητικό συμβούλιο της εταιρείας σας με την ανάλυση των στοιχείων (προηγούμενες δράσεις) που περιλαμβάνει και έναν προϋπολογισμό για τη διαδικασία συμμόρφωσης, για να λάβετε την έγκριση και τα κονδύλια που απαιτούνται για την περαιτέρω ανάπτυξη και τη λειτουργία ενός προγράμματος συμμόρφωσης για την εταιρεία και την πληροφορική.

Δράση 8: Υπεύθυνος Κανονιστικής Συμμόρφωσης. Σχεδιάστε και θεσπίστε τα καθήκοντα, τις αρμοδιότητες και το ρόλο του Υπευθύνου Κανονιστικής Συμμόρφωσης (Compliance Officer) και διορίστε ένα πρόσωπο για την εκτέλεση όλων των καθηκόντων της συμμόρφωσης. Επιπλέον, αναθέστε σε ένα άτομο να είναι υπεύθυνο, εάν χρειάζεται, για κάθε ρυθμιστική ή νομική απαίτηση συμμόρφωσης.

Δράση 9: ΠολιτικέςΣυμμόρφωσης Πληροφορικής. Καθιερώστε τις πολιτικές που σχετίζονται με τη συμμόρφωση της πληροφορικής (ITcompliance), για την προστασία των δεδομένων, το απόρρητο των δεδομένων, κλπ. Ένα ενδεικτικό σύνολο πολιτικών είναι:

1. Πολιτική Προστασίας Προσωπικών Δεδομένων,

2. Πολιτική Κανονιστικής Συμμόρφωσης,

3. Πολιτική Διαβάθμισης Πληροφοριών,

4. Οδηγίες για την ασφάλεια και διαφύλαξη εμπιστευτικών πληροφοριών,

5. Κανόνες Ασφάλειας Πληροφοριακών Συστημάτων, και

6. Πολιτική Απόσυρσης Πληροφοριακών Αγαθών.

Δράση 10: Σύστημα Συμμόρφωσης

1. Δημιουργήστε και καθιερώστε ένα σύστημα συμμόρφωσης που περιλαμβάνει το εγχειρίδιο συμμόρφωσης (Compliancemanual), που έχετε σχεδιάσει στην Δράση 4, και όλους τους εξωτερικούς και εσωτερικούς κανόνες, οδηγίες, κανονισμούς και πρότυπα συμμόρφωσης που αφορούν την επιχείρησή σας και όλες τις λειτουργίες της, συμπεριλαμβανομένης και της πληροφορικής (από τις προηγούμενες δράσεις).

2. Κρατήστε αυτό το σύστημα ενήμερο ανά πάσα στιγμή.

3. Προσθέστε στοιχεία στην βάση δεδομένων), που έχετε σχεδιάσει στην Δράση 4, ή φορτώστε τα απαραίτητα στοιχεία στο μηχανογραφημένο σύστημα (που έχετε σχεδιάσει στην Δράση 4) για την αποθήκευση και τη διατήρηση όλων αυτών των κανόνων συμμόρφωσης.

4. Το σύστημα αυτό διατηρείται κανονικά και διαχειρίζεται από τον υπεύθυνο συμμόρφωσης, και θα περιλαμβάνει, για παράδειγμα:

(1) Αντίγραφα όλων των εθνικών νόμων, νομικά και βιομηχανικά κανονισμούς και αποφάσεις σχετικά με τη συμμόρφωση,

(2) Αντίγραφα όλων των σχετικών εταιρικών πολιτικών και διαδικασιών συμμόρφωσης, όπως: τον Κώδικα Δεοντολογίας, τις οδηγίες συμμόρφωσης προς τους εργαζομένους, τις δηλώσεις σύγκρουσης ενδιαφέροντος, τις δηλώσεις κανονιστικής συμμόρφωσης, το πρόγραμμα συμμόρφωσης, την τεκμηρίωση της διαδικασίας συμμόρφωσης της οργάνωσης που καταδεικνύει την ακεραιότητα και την αποτελεσματικότητά της, κ.λπ.,

(3) Τις επικοινωνίες, όπως αλληλογραφία, μηνύματα φαξ, μηνύματα ηλεκτρονικού ταχυδρομείου, τα πρακτικά του διοικητικού συμβουλίου σχετικά με θέματα συμμόρφωσης, κλπ,

(4) Τις ενέργειες συμμόρφωσης που σχετίζονται με την εκπαίδευση, την κατάρτιση, τα περιστατικά και τις ενέργειες επίλυσης,

(5) Τα τιμολόγια και αξιώσεις των εργαζομένων από το πρόγραμμα υγειονομικής περίθαλψης, αν δεν συντηρείται από το σύστημα αρχείων των επιχειρήσεων,

(6) Τα δεδομένα ελέγχου για την υποστήριξη και την επεξήγηση των εκθέσεων του κόστους, των λοιπών χρηματοπιστωτικών δραστηριοτήτων, καθώς και την παρακολούθηση της συμμόρφωσης, τόσο της εσωτερικής όσο και της εξωτερικής, και

(7) Τις δράσεις παρακολούθησης των εκθέσεων συμμόρφωσης.

Φάση Β: Δράσεις Εφαρμογής Συμμόρφωσης

Δράση 1: Οργάνωση διεύθυνσης κανονιστικής συμμόρφωσης

1. Οργανώστε και στελεχώστε την διεύθυνση κανονιστικής συμμόρφωσης και περιγράψτε τις εργασίες.

2. Στις κύριες αρμοδιότητες της Διευθύνσεως περιλαμβάνονται:

2.1. Ο προγραμματισμός και η διαχείριση της κανονιστικής συμμορφώσεως και η παρακολούθηση εφαρμογής του κανονιστικού πλαισίου.

2.2. Η εκπροσώπηση της εταιρείας ενώπιον των εποπτικών και λοιπών Αρχών και η επικοινωνία με αυτές.

2.3. Η πρόληψη και καταστολή νομιμοποιήσεως εσόδων από παράνομες δραστηριότητες.

2.4. Η διαφύλαξη του απορρήτου.

2.5. Η πρόληψη και καταστολή της απάτης.

3. Η Διεύθυνση Κανονιστικής Συμμορφώσεως είναι διοικητικά ανεξάρτητη και έχει τη δυνατότητα απρόσκοπτης προσβάσεως σε όλα τα στοιχεία και τις πληροφορίες που είναι απαραίτητα για την εκπλήρωση της αποστολής της.

4. Εκπονεί ετήσιο Πρόγραμμα Κανονιστικής Συμμορφώσεως, σύμφωνα με το ισχύον ρυθμιστικό πλαίσιο, καθώς και το πλαίσιο πολιτικής και διαδικασιών Κανονιστικής Συμμορφώσεως της εταιρείας, ενώ συντάσσει ετήσιο προϋπολογισμό, ο οποίος εγκρίνεται από τη Γενική Διεύθυνση, στο πλαίσιο της οικονομικής ανεξαρτησίας της.

5. Συνεργάζεται, μεταξύ άλλων, με τις Διευθύνσεις Εσωτερικού Ελέγχου, Νομικών Υπηρεσιών, Κινδύνων Αγοράς και Λειτουργικών Κινδύνων, για την από κοινού αντιμετώπιση θεμάτων τηρήσεως του κανονιστικού πλαισίου, καθώς και με τις κατά περίπτωση καθ’ ύλην αρμόδιες Διευθύνσεις της εταιρείας’.

Δράση 2α: Υλοποίηση διαδικασιών εταιρικής συμμόρφωσης

1. Υλοποιήστε τις εταιρικές δράσεις συμμόρφωσης (βλέπε δράση 4 και δράση 10: Σύστημα Συμμόρφωσης, στην προηγούμενη ενότητα).

2. Υλοποιήστε τις δράσεις εταιρικής συμμόρφωσης, όπως: Τον Κώδικα Ηθικής Συμπεριφοράς, που εφαρμόζεται από όλο το προσωπικό και τα στελέχη της επιχείρησης και της πληροφορικής και που στηρίζεται σε κοινά αποδεκτές αρχές και κώδικες δεοντολογίας, όπως είναι ενδεικτικά η επιμέλεια, η αποτελεσματικότητα, η υπευθυνότητα, η ευπρέπεια στις σχέσεις με το κοινό, η μη αίτηση ή αποδοχή ασυνήθους αξίας ωφελημάτων ή δώρων και η τήρηση επαγγελματικού απορρήτου.

3. Εκτελέστε την εκπαίδευση για όλα τα θέματα συμμόρφωσης σε όλο το προσωπικό της εταιρείας σας.

Δράση 2β: Υλοποίηση διαδικασιών συμμόρφωσης πληροφορικής

1. Αναθέστε τα καθήκοντα του υπεύθυνου επεξεργασίας σε ένα εγκεκριμένο στέλεχος της εταιρείας.  Ο υπεύθυνος επεξεργασίας οφείλει να τηρεί τις διατάξεις του Ν. 2472/1997 (και 3471/2006 για τις ηλεκτρονικές επικοινωνίες) και ειδικότερα:

1.1.  Να συλλέγει τα προσωπικά δεδομένα κατά τρόπο θεμιτό και νόμιμο.

1.2.  Να επεξεργάζεται τα απαραίτητα μόνο προσωπικά δεδομένα για τους σκοπούς που έχει γνωστοποιήσει.

1.3.  Να φροντίζει τα δεδομένα να είναι ακριβή και ενημερωμένα.

1.4.  Να διατηρεί τα δεδομένα μόνο για τη χρονική διάρκεια που απαιτείται για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους.

1.5. Να επιλέγει για τη διεξαγωγή της επεξεργασίας πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου.

1.6. Να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας.

1.7. Αν η επεξεργασία διεξάγεται για λογαριασμό του υπεύθυνου από πρόσωπο μη εξαρτώμενο από αυτόν, να πραγματοποιεί τη σχετική ανάθεση εγγράφως.

1.8. Να σέβεται τα δικαιώματα ενημέρωσης, πρόσβασης και αντίρρησης των υποκειμένων.

1.9. Να είναι συνεπής στις υποχρεώσεις του απέναντι στην Αρχή (γνωστοποίηση, λήψη άδειας).

1.10.  Να ενημερώνεται για τις Αποφάσεις, Οδηγίες, Συστάσεις της Αρχής που τον αφορούν.

2. Εφαρμόστε τις πολιτικές και διαδικασίες προστασίας προσωπικών δεδομένων της εταιρείας σας.

3. Διατηρήστε αρχείο με όλα τα απαιτούμενα έγγραφα και ολοκληρώστε την εγγραφή της εταιρείας σας με την εθνική αρχή προστασίας των δεδομένων σας.

4. Επικοινωνήστε τα καθήκοντα του υπεύθυνου επεξεργασίας δεδομένων σε όλο το προσωπικό για να διασφαλίσετε ότι τα συστήματα πληροφορικής σας συμμορφώνεται πλήρως με την εθνική Προστασίας Δεδομένων και άλλους νόμους.

Δράση 3: Προστασία Προσωπικών Δεδομένων

1. Εφαρμόστε μέτρα για την εξασφάλιση ότι τα προσωπικά δεδομένα δεν αφήνουν τα σύνορα της χώρας σας (δείτε τους σχετικούς ευρωπαϊκούς νόμους σε αυτό το τεύχος).

2. Βεβαιωθείτε ότι οι έλεγχοι κρυπτογράφησης εφαρμόζονται σωστά για την προστασία των προσωπικών και άλλων ευαίσθητων δεδομένων σύμφωνα με τις απαιτήσεις.

3. Εφαρμόστε μια διαδικασία για όλους τους χρήστες που θα πρέπει να υπογράψουν μια δήλωση ότι δεσμεύονται να χρησιμοποιήσουν μόνο λογισμικό που παρέχει η εταιρεία και ότι θα συμμορφωθούν πλήρως με όλους τους σχετικούς νόμους και κανονισμούς.

Δράση 4: Συντήρηση Ψηφιακών Δεδομένων

1. Θεσπίστε ελέγχους για την προστασία όλων των εταιρικών αρχείων, συμπεριλαμβανομένων των ψηφιακών μέσων, βίντεο, μικροφίλμ, εκθέσεων από υπολογιστή (computer-generated reports), μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα φαξ, έγγραφα, αρχεία, κ.λπ., σε πλήρη συμμόρφωση με τους σχετικούς νόμους και κανονισμούς (φορολογικών, τελωνειακών, συντάξεων, κλπ).

8. Καταστρέψτε όλα τα οργανωτικά αρχεία, μόνο όταν επίσημα όρια λήγουν και βάσει των γραπτών εγκρίσεων της εταιρείας και με τη χρήση ενός πρωτόκολλου καταστροφής. Ειδικά για την ασφαλή καταστροφή των προσωπικών δεδομένων μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας δώστε προσοχή στην οδηγία της σχετικής αρχής.

Δράση 5: Αναφορά δεδομένων σε αρχές

1. Εφαρμόστε ένα ολοκληρωμένο σύστημα υποβολής εκθέσεων συμμόρφωσης, για τη διαβίβαση των εκθέσεων προς τις αρχές όπως καθορίζονται στο εγχειρίδιο της συμμόρφωσης.

2. Εάν ελέγχεστε από την Τράπεζα της Ελλάδος, πρέπει να υποβάλλετε τις εκθέσεις με όλα τα στοιχεία περιστατικών της ασφάλειας και με το σχέδιο ελέγχου και το χρονοδιάγραμμα ελέγχου, σύμφωνα με τους σχετικούς νόμους και απαιτήσεις (π.χ. Τράπεζα της οδηγίες Ελλάδα).

Δράση 6: Προστασία Πνευματικών Δικαιωμάτων

1. Εφαρμόστε, εάν απαιτείται, το μηχανογραφικό σύστημα για την υποστήριξη της διαδικασίας συμμόρφωσης της εταιρείας.

2. Βεβαιωθείτε ότι όλα τα διπλώματα ευρεσιτεχνίας της επιχείρησής σας και τα πνευματικά δικαιώματα έχει καταγραφεί από τις αρμόδιες αρχές. Αυτό πρέπει επίσης να περιλαμβάνει και διπλώματα ευρεσιτεχνίας που μπορεί να έχετε αναπτύξει στην πληροφορική (υλικού και λογισμικού).

3. Επιβεβαιωθείτε ότι έχετε νόμιμες άδειες για όλο το λογισμικό σας (ακόμη και για ότι προσφέρεται δωρεάν) και κρατείστε όλα τα στοιχεία στο μητρώο των περιουσιακών στοιχείων της πληροφορικής σας. Επίσης, βεβαιωθείτε ότι όλοι οι εργαζόμενοι έχουν υπογράψει μια δήλωση που να πιστοποιεί ότι έχουν δεσμευτεί να χρησιμοποιούν μόνο νόμιμο λογισμικό όπως έχει εγκριθεί από την εταιρεία.

Δράση 7: Επιβολή Συμμόρφωσης

1. Συνδέστε τη συμμόρφωση με την απόδοση της διοίκησης και των εργαζομένων μέσω του συστήματος αμοιβών και παροχών.

2. Ενισχύστε τα πρότυπα συμμόρφωσης μέσω καλής δημοσιότητας των πειθαρχικών μέτρων ή και κατευθυντήριων οδηγιών συμμόρφωσης.

Φάση Γ: Αξιολόγηση Συμμόρφωσης

Δράση 1: Παρακολούθηση της εκτέλεσης Εταιρικής Συμμόρφωσης

1. Παρακολουθείστε την εκτέλεση όλων των πολιτικών και διαδικασιών Εταιρικής Συμμόρφωσης από τα προκαθορισμένα όργανα και επιτροπές της εταιρείας σας.

2. Επιβεβαιώστε ότι η εταιρεία έχει εφαρμόσει και επικοινωνήσει της εφαρμογή της Εταιρικής Διακυβέρνησης με την σχετική ανακοίνωση της Δήλωσης της. 

3. Ιδιαίτερη προσοχή πρέπει να δοθεί στην παρακολούθηση, την αναθεώρηση και την επίλυση όλων των συναφών θεμάτων και προβλημάτων ασφάλειας πληροφορικής.

4. Επίσης, βεβαιωθείτε ότι όλα τα μέλη του διοικητικού συμβουλίου και όλοι οι διευθυντές της εταιρείας, καθώς και οι εργαζόμενοι, έχουν υπογεγραμμένη δήλωση τους φακέλους του προσωπικού σχετικά με τη δέσμευσή τους να τηρούν όλους τους νόμους και τους κανονισμούς (εξωτερικούς και εσωτερικούς) και να χρησιμοποιούν μόνο εγκεκριμένα από την εταιρεία εξοπλισμό και λογισμικό.

Δράση 2: Αξιολόγηση της Εταιρικής Συμμόρφωσης

1. Ζητήστε την διεξαγωγή του ελέγχου εφαρμογής των πολιτικών και διαδικασιών Εταιρικής Συμμόρφωσης από τον εσωτερικό έλεγχο, και για όλες τις εταιρικές λειτουργίες.

2. Ειδικά για την συμμόρφωση της πληροφορικής, προσέξτε τα ακόλουθα.

2.1. Για τα θέματα προστασίας προσωπικών δεδομένων ο εσωτερικός έλεγχος πρέπει να αξιολογήσει εάν η εταιρεία παίρνει τα κατάλληλα μέτρα όπως ορίζονται από τον σχετικό νόμο

(ν. 2472/97 και ν. 2774/99, 3471/2006), όπως για παράδειγμα:

Άρθρο 8. Διασύνδεση αρχείων

Άρθρο 9. Διασυνοριακή ροή δεδομένων προσωπικού χαρακτήρα

Άρθρο 10. Απόρρητο και ασφάλεια της επεξεργασίας

Άρθρο 11. Δικαίωμα ενημέρωσης

Άρθρο 12. Δικαίωμα πρόσβασης

Άρθρο 13. Δικαίωμα αντίρρησης

Άρθρο 14. Δικαίωμα προσωρινής δικαστικής προστασίας.

2.2. Για την Οργάνωση και Διοίκηση Πληροφορικής, ο εσωτερικός έλεγχος πρέπει να αξιολογήσει εάν το πλαίσιο Διακυβέρνησης της Πληροφορικής, περιλαμβάνει την αποτελεσματικότητα της οργάνωσης της μονάδας της Πληροφορικής και τις σχέσεις της με τους Εξωτερικούς της Συνεργάτες.

2.3. Για την Ανάπτυξη και Προμήθεια Συστημάτων, ο εσωτερικός έλεγχος πρέπει να αξιολογήσει εάν οι διαδικασίες ασφαλούς ανάπτυξης και προμήθειας Πληροφοριακών Συστημάτων είναι επαρκείς.

2.4. Για την Λειτουργία και Υποστήριξη Συστημάτων, ο εσωτερικός έλεγχος πρέπει να αξιολογήσει εάν οι διαδικασίες λειτουργίας των συστημάτων πληροφορικής, περιλαμβάνουν τη φυσική και λογική τους ασφάλεια, καθώς και στη διασφάλιση της συνέχειας των εργασιών της πληροφορικής.

2.5. Για τον Έλεγχο Συστημάτων Πληροφορικής, ο εσωτερικός έλεγχος πρέπει να αξιολογήσει εάν οι εργασίες του καλύπτουν την επαρκή και αποτελεσματική λειτουργία της Μονάδας Εσωτερικής Επιθεώρησης αναφορικά με τα Πληροφοριακά Συστήματα.

Δράση 3: Βελτίωση της Εταιρικής Συμμόρφωσης

1. Ελέγξτε όλες τις πολιτικές και τις διαδικασίες Εταιρικής Συμμόρφωσης από τους εξωτερικούς ελεγκτές, χρησιμοποιώντας και εμπειρογνώμονες για συγκεκριμένα θέματα (π.χ. ηλεκτρονικό έγκλημα, προστασία προσωπικών δεδομένων, κλπ.).

2. Αναπτύξτε και εφαρμόστε διορθωτικά μέτρα για τις διαπιστωμένες παραβάσεις με βάση τις αναφορές και των 2 ελεγκτών.

3. Ενισχύστε την εταιρική συμμόρφωση με ένα νέο πρόγραμμα επικοινωνίας και προώθησης της Πολιτικής Κανονιστικής Συμμόρφωσης που καθορίζει τους κανόνες που διασφαλίζουν την  συμμόρφωσης της εταιρείας σας με εθνικές, Ευρωπαϊκές και άλλες διεθνείς κατευθύνσεις (regulations) διατάξεις, συμβάσεις, νομικές υποχρεώσεις και κανονιστικά πλαίσια, και που περιλαμβάνουν και τα σχετικά με θέματα ασφάλειας πληροφορικής.

 

Του Ιωάννη Κυριαζόγλου *

* Ιωάννης Κυριαζόγλου είναι σύμβουλος επιχειρήσεων και συγγραφέας των βιβλίων: ‘Ασφάλεια Πληροφορικής’ http://www.securitymanager.gr/newsite/books_article.php?id=34&cat=12&flag=press