Στις καθημερινές επιχειρησιακές δραστηριότητές του, η ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ χρησιμοποιεί μια ποικιλία δεδομένων σχετικά με ταυτοποιήσιμα άτομα, συμπεριλαμβανομένων των δεδομένων σχετικά με:
Κατά τη συλλογή και τη χρήση αυτών των δεδομένων, η εταιρεία υπόκειται σε ποικίλες νομοθετικές ρυθμίσεις που ελέγχουν τον τρόπο διεξαγωγής των δραστηριοτήτων αυτών και στις διασφαλίσεις που πρέπει να εφαρμοστούν για την προστασία του.
Σκοπός αυτής της πολιτικής είναι να καθορίσει τη σχετική νομοθεσία και να περιγράψει τα βήματα της ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ για να διασφαλίσει ότι συμμορφώνεται με αυτήν.
Αυτός ο έλεγχος ισχύει για όλα τα συστήματα, τους ανθρώπους και τις διαδικασίες που αποτελούν τα πληροφοριακά συστήματα της εταιρείας, συμπεριλαμβανομένων των μελών του διοικητικού συμβουλίου, των διευθυντών, των υπαλλήλων, των προμηθευτών και άλλων τρίτων που έχουν πρόσβαση στα συστήματα της ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων 2016 (GDPR) είναι ένα από τα σημαντικότερα νομοθετήματα που επηρεάζουν τον τρόπο με τον οποίο η ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ εκτελεί τις δραστηριότητες επεξεργασίας πληροφοριών. Σημαντικά πρόστιμα ισχύουν σε περίπτωση που μια παράβαση θεωρείται ότι έχει συμβεί στο πλαίσιο του GDPR, το οποίο αποσκοπεί στην προστασία των προσωπικών δεδομένων των πολιτών της Ευρωπαϊκής Ένωσης. Είναι πολιτική της ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ να διασφαλίσει ότι η συμμόρφωσή μας με το GDPR και με άλλες σχετικές νομοθετικές πράξεις είναι σαφής και αποδεδειγμένη ανά πάσα στιγμή.
Υπάρχουν συνολικά 26 ορισμοί που περιλαμβάνονται στο GDPR και δεν είναι κατάλληλο να τους αναπαραγάγουμε όλες εδώ. Ωστόσο, οι πιο θεμελιώδεις ορισμοί όσον αφορά αυτήν την πολιτική είναι οι εξής:
«Δεδομένα Προσωπικού Χαρακτήρα» ορίζονται:
κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου
«επεξεργασία»:
κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή
«υπεύθυνος επεξεργασίας»:
το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους
Υπάρχει μια σειρά θεμελιωδών αρχών στις οποίες βασίζεται το GDPR..
Αυτές είναι:
1. Τα δεδομένα προσωπικού χαρακτήρα:
I. υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
II. συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»),
III. είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
IV. είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται. Πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»), 4.5.2016 L 119/35 Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης EL (1)Οδηγία (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Σεπτεμβρίου 2015, για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών (ΕΕ L 241 της 17.9.2015, σ. 1),
V. διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),
VI. υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία τροποποίηση, απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («προστασία εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας»).
2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).
Η ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ πρέπει να διασφαλίζει ότι συμμορφώνεται με όλες αυτές τις αρχές τόσο στην επεξεργασία που αυτή τη στιγμή εκτελεί όσο και στο πλαίσιο της εισαγωγής νέων μεθόδων επεξεργασίας όπως τα νέα συστήματα Τεχνολογίας Πληροφοριών.
Η ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ υποστηρίζει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων βάσει του GDPR, που είναι:
Κάθε ένα από αυτά τα δικαιώματα πρέπει να υποστηρίζεται από τις κατάλληλες διαδικασίες στην ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ (GDPR-DOC-21 Διαδικασία Αιτήματος του Υποκειμένου των Δεδομένων) που επιτρέπουν την ανάληψη των απαιτούμενων ενεργειών εντός των χρονικών ορίων που ορίζονται στο GDPR.
Εάν δεν είναι απαραίτητο για κάποιο λόγο που επιτρέπεται στο GDPR, πρέπει να ζητηθεί ρητή συγκατάθεση από ένα υποκείμενο δεδομένων για τη συλλογή και επεξεργασία των δεδομένων του. Σε περίπτωση παιδιών ηλικίας κάτω των 16 ετών, πρέπει να αποκτηθεί η συγκατάθεση των γονέων. Διαφανείς πληροφορίες σχετικά με τη χρήση των προσωπικών δεδομένων μας πρέπει να παρέχονται στα υποκείμενα των δεδομένων τη στιγμή που λαμβάνεται η συγκατάθεση και να εξηγούνται τα δικαιώματά τους όσον αφορά τα δεδομένα τους, όπως το δικαίωμα ανάκλησης της συγκατάθεσης. Οι πληροφορίες αυτές πρέπει να παρέχονται σε προσιτή μορφή, γραμμένη σε σαφή γλώσσα και δωρεάν.
Εάν τα προσωπικά δεδομένα δεν αποκτώνται απευθείας από το υποκείμενο των δεδομένων, τότε αυτές οι πληροφορίες πρέπει να παρέχονται μέσα σε εύλογο χρονικό διάστημα μετά τη λήψη των δεδομένων και οπωσδήποτε εντός ενός μηνός.
Η ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ έχει υιοθετήσει την αρχή της προστασίας απορρήτου από το σχεδιασμό και εξ’ ορισμού (σύμφωνα με το άρθρο 25 του GDPR) και θα διασφαλίσει ότι ο σχεδιασμός όλων των νέων ή σημαντικά αλλαγμένων συστημάτων που συλλέγουν ή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, θα υπόκεινται στην κατάλληλη εξέταση των θεμάτων προστασίας απορρήτου, συμπεριλαμβανομένης της ολοκλήρωσης ενός ή περισσοτέρων εκτιμήσεων αντικτύπου σχετικά με την προστασία δεδομένων (GDPR-DOC-07 Διαδικασία Εκτίμησης Αντικτύπου σχετικά με την Προστασία Δεδομένων).
Οι εφαρμογές πρέπει να ακολουθούν την αρχή της ελαχιστοποίησης των δεδομένων (dataminimization), καθώς και της ποιότητας των δεδομένων και να περιλαμβάνουν τη δυνατότητα της διαγραφής δεδομένων μετά το χρονικό διάστημα που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας. Επίσης, πρέπει να επιτρέπουν την υλοποίηση όλων των απαιτούμενων τεχνικών μηχανισμών ασφαλείας για την προστασία των δεδομένων από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας σύμφωνα με την πολιτική GDPR-DOC-16 Πολιτική Διατήρησης και προστασίας Δεδομένων. Η χρήση τεχνικών όπως η ελαχιστοποίηση των δεδομένων, η κρυπτογράφηση και η ψευδωνυμοποίηση θα πρέπει να λαμβάνονται υπόψη όπου είναι εφαρμόσιμο και κατάλληλο.
Οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα εκτός της Ευρωπαϊκής Ένωσης πρέπει να επανεξεταστούν προσεκτικά πριν από τη πραγματοποίηση της διαβίβασης, ώστε να διασφαλιστεί ότι εμπίπτουν στα όρια που επιβάλλει ο GDPR. Αυτό εξαρτάται εν μέρει από την κρίση της Ευρωπαϊκής Επιτροπής σχετικά με την επάρκεια των διασφαλίσεων για τα προσωπικά δεδομένα που ισχύουν στη χώρα υποδοχής και αυτό μπορεί να αλλάξει με την πάροδο του χρόνου.
Ο καθορισμένος ρόλος του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ - DPO) απαιτείται στο πλαίσιο του GDPR, επειδή η ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ επεξεργάζεται ιδιαίτερα ευαίσθητους τύπους δεδομένων σε μεγάλη κλίμακα. Ο ΥΠΔ απαιτείται να διαθέτει το κατάλληλο επίπεδο γνώσεων και μπορεί είτε να είναι ένας εσωτερικός πόρος είτε να ανατεθεί σε έναν κατάλληλο πάροχο υπηρεσιών (GDPR-DOC-05 Ρόλοι Ευθύνες και Εξουσίες GDPR και GDPR-DOC-09 Διαδικασία Ανάπτυξης Ικανοτήτων GDPR).
Η ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ προβαίνει σε μεγάλη κλίμακα επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα όπως αυτά της υγείας και με βάση το άρθρο 37.1.γ τουGDPR συνιστάται να διοριστεί ένας υπεύθυνος προστασίας δεδομένων.
Η ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ πρέπει να τηρεί κατάλογο όλων των εκτελούντων την επεξεργασία που χειρίζονται προσωπικά δεδομένα για λογαριασμό του εντός ή εκτός των εγκαταστάσεων του.
Η σχετική ανάθεση εργασιών στους εκτελούντες την επεξεργασία γίνεται υποχρεωτικά εγγράφως και θα πρέπει να περιέχει μεταξύ των άλλων και το παρακάτω κείμενο:
Η ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ διαθέτει στα πληροφοριακά της συστήματα δεδομένα προσωπικού χαρακτήρα, εφεξής δεδομένα, και ο Προμηθευτής κατά την παροχή των υπηρεσιών ……………………….. επεξεργάζεται τα εν λόγω δεδομένα όπου σύμφωνα τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΕΕ) 2016/679, εφεξής ΓΚΠΔ, άρθρο 4 στοιχ. 8 , θεωρείται εκτελών την επεξεργασία και κατά συνέπεια να υπόκειται στις διατάξεις του άρθρου 28 και 29 του ΓΚΠΔ.
Ο σκοπός της επεξεργασίας των δεδομένων από τον Προμηθευτή είναι η παροχή υπηρεσιών ……………… προς την ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ και η επεξεργασία αφορά τις εξής κατηγορίες δεδομένων ……………..
Η διάρκεια της επεξεργασίας είναι ……………
Αναλυτικά και σύμφωνα με το άρθρο 28 και 29 του ΓΚΠΔ, ο Προμηθευτής:
1. Διαβεβαιώνει ότι εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων των υποκειμένων των δεδομένων.
2. Δεν δικαιούται να μεταβιβάσει καθ΄ οιονδήποτε τρόπο την παρούσα σύμβαση ή τα σχετικά δικαιώματα και υποχρεώσεις της χωρίς την προηγούμενη ρητή και έγγραφη συγκατάθεση την ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ. Στην περίπτωση που ο Προμηθευτής με γραπτή συγκατάθεση την ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ εκχωρήσει ή μεταβιβάσει την παρούσα σύμβαση, ο Προμηθευτής παραμένει πλήρως υπεύθυνη έναντι την ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ ως αυτοφειλέτης για αποζημίωση από κάθε συμβατική παράβαση
3. Κατά την εκτέλεση της παρούσας σύμβασης ο Προμηθευτής:
3.1. επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών της ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ,
3.2. διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,
3.3. λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32 του ΓΚΠΔ κατά την επεξεργασία των δεδομένων τα οποία κατ’ ελάχιστο πρέπει να περιλαμβάνουν:
i. την χρήση ασφαλών και κρυπτογραφημένων καναλιών απομακρυσμένης πρόσβασης
ii. κρυπτογράφηση των δεδομένων που αποθηκεύει προσωρινά σε δικό του εξοπλισμό
iii. Δικαιώματα πρόσβασης στο προσωπικό του Προμηθευτή στα συστήματα της ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ εκχωρούνται μόνο όταν αυτό είναι απαραίτητο για την υλοποίηση των συμβατικών τους υποχρεώσεων.
iv. Ανατίθενται οι ελάχιστες απαιτούμενες εξουσιοδοτήσεις πρόσβασης, οι οποίες καταργούνται με τη λήξη της συμβατικής υποχρέωσης
3.4. συνδράμει η ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ στη διασφάλιση της συμμόρφωσης του προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36 του ΓΚΠΔ,
3.5. διαγράφει όλα τα δεδομένα προσωπικού χαρακτήρα που έχει στην κατοχή του μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα
3.6. θέτει στη διάθεση της ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο άρθρο 28 του ΓΚΠΔ και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από την ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ ή από άλλον ελεγκτή εντεταλμένο από την ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ. Ειδικά ο Προμηθευτής ενημερώνει αμέσως την ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ, εάν, κατά την άποψή της, κάποια εντολή που λαμβάνει παραβιάζει τον ΓΚΠΔ ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων
4. Με την επιφύλαξη των άρθρων 82, 83 και 84 του ΓΚΠΔ, εάν ο Προμηθευτής καθορίσει κατά παράβαση του ΓΚΠΔ τους σκοπούς και τα μέσα της επεξεργασίας, ο Προμηθευτής θεωρείται υπεύθυνη επεξεργασίας για τη συγκεκριμένη επεξεργασία
5. Ο Προμηθευτής, κατά την εκπλήρωση των συμβατικών υποχρεώσεών του απασχολεί υπαλλήλους, οι οποίοι γνωρίζουν με ευθύνη του Προμηθευτή τις υποχρεώσεις της από το άρθρο αυτό έναντι της ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ και να συμμορφώνονται προς αυτές για τη διαφύλαξη της ασφάλειας των ανωτέρω πληροφοριών
6. Ο Προμηθευτής και κάθε πρόσωπο που ενεργεί υπό την εποπτεία της Εταιρείας, το οποίο έχει πρόσβαση στα δεδομένα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ' εντολή της ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ.
Η πολιτική της ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ είναι αυτή που πρέπει να είναι δίκαιη και αναλογική όταν εξετάζονται τα μέτρα που πρέπει να ληφθούν για την ενημέρωση των επηρεαζόμενων μερών σχετικά με τις παραβιάσεις δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με το GDPR, όταν γνωστοποιηθεί ότι σημειώθηκε παραβίαση, η οποία ενδέχεται να έχει ως αποτέλεσμα τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων, η σχετική Αρχή Προστασίας Δεδομένων (ΑΠΔ) θα ενημερωθεί εντός 72 ωρών. Αυτό θα γίνεται σύμφωνα με τη GDPR-DOC-15 Διαδικασία Αντιμετώπισης Περιστατικών της Ασφάλειας Πληροφοριών που καθορίζει τη συνολική διαδικασία αντιμετώπισης περιστατικών ασφάλειας πληροφοριών.
Οι ακόλουθες ενέργειες αναλαμβάνονται για να διασφαλιστεί ότι η ΕΞΥΠΠ ΕΡΓΟΑΣΦΑΛΕΙΑ συμμορφώνεται ανά πάσα στιγμή με την αρχή της λογοδοσίας του GDPR:
Η πολιτική προστασίας απορρήτου και προσωπικών δεδομένων καθώς και οι ενέργειες αυτές θα επανεξετάζονται σε ετήσια βάση στο πλαίσιο της διαδικασίας ανασκόπησης της διοίκησης του συστήματος διαχείρισης της ασφάλειας των πληροφοριών.