Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (GDPR)

Transcript

1 Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (GDPR) ΣΑΝΤΥ ΤΣΑΚΙΡΙΔΗ Senior Legal Counsel Data Privacy & Digital Legal, Group Legal

2 ΘΕΜΑΤΙΚΕΣ ΕΝΟΤΗΤΕΣ 1. O ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (GDPR) 2. Η ΕΝΝΟΙΑ ΤΗΣ ΑΡΧΗΣ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ 3. Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΗΝ ΠΡΑΞΗ 4. Ο ΡΟΛΟΣ ΤΟΥ IN-HOUSE ΔΙΚΗΓΟΡΟΥ 5. ΔΙΑΚΥΒΕΡΝΗΣΗ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ HSBC 2

3 1. O ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (GDPR) 3

4 Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ GDPR 1. O ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (GDPR) Κανονισμός 2016/679 o Άμεση εφαρμογή από σε όλα τα κράτη μέλη της ΕΕ o Σκοπός: (i) άρση ασαφειών υπό το προηγούμενο νομικό πλαίσιο, (ii) ενδυνάμωση θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, (iii) ομοιομορφία του νομικού πλαισίου στα κράτη μέλη της ΕΕ o Αυστηρές κυρώσεις για παραβάσεις

5 Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ GDPR 1. O ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (GDPR) Αρχές επεξεργασι ας δεδομένων προσωπικού χαρακτήρα (α ρθρο 5 Νομιμότητα, αντικειμενικότητα και διαφάνεια Περιορισμός του σκοπου Ελαχιστοποίηση των δεδομένων Ακρίβεια Περιορισμός της περιόδου αποθήκευσης Ακεραιότητα και εμπιστευτικότητα Λογοδοσία

6 2. Η ΕΝΝΟΙΑ ΤΗΣ ΑΡΧΗΣ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ 6

7 Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ GDPR 2. Η ΕΝΝΟΙΑ ΤΗΣ ΑΡΧΗΣ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ Υπεύθυνος επεξεργασι ας o Άρθρο 5(2) ΓΚΠΔ: «Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει την συμμόρφωση με την παράγραφο 1 («λογοδοσία»).» o Άρθρο 24(1) ΓΚΠΔ: «Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.»

8 Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ GDPR 2. Η ΕΝΝΟΙΑ ΤΗΣ ΑΡΧΗΣ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ Εκτελών την επεξεργασι α o Άρθρο 28(1) ΓΚΠΔ: «Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων..»

9 3. Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΗΝ ΠΡΑΞΗ 9

10 Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ GDPR 3. Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΗΝ ΠΡΑΞΗ Ενδεικτικα εργαλει α Ορισμός υπευθύνου προστασίας δεδομένων (άρθρα Yιοθέτηση κωδίκων δεοντολογίας και μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων (άρθρο Τήρηση αρχείων συγκατάθεσης του υποκειμένου (άρθρο 7 Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου (άρθρο 12 Εφαρμογή κατάλληλων πολιτικω ν προστασίας δεδομένων (άρθρο 24 Eκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (άρθρο 35 Τήρηση των υποχρεώσεων κοινοποίησης της παραβίασης δεδομένων (άρθρα Εφαρμογή μέτρων ασφαλείας (άρθρο 32 ΛΟΓΟΔΟΣΙΑ Τήρηση αρχείων δραστηριοτήτω v επεξεργασίας (άρθρο 30 Αναμο ρφωση συμβάσεων με τρίτα μέρη (άρθρο 28 Προστασία των δεδομένων ήδη απο το σχεδιασμο και εξ ορισμου (άρθρο 25

11 Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ GDPR 3. Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΗΝ ΠΡΑΞΗ Πιθανές δυσκολι ες κατα την εφαρμογή των απαιτούμενων μέτρων o Δαπανηρή και χρονοβόρα διαδικασία o Έλλειψη εμπειρίας Οφέλη για την επιχει ρηση o o o Κανονιστική συμμόρφωση και αποφυγή προστίμων Βελτίωση της διακυβέρνησης των δεδομένων Ανταγωνιστικό πλεονέκτημα

12 4. Ο ΡΟΛΟΣ ΤΟΥ IN-HOUSE ΔΙΚΗΓΟΡΟΥ 12

13 Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ GDPR 4. Ο ΡΟΛΟΣ ΤΟΥ IN-HOUSE ΔΙΚΗΓΟΡΟΥ ΠΡΟΕΤΟΙΜΑΣΙΑ Ενημέρωση και υποστήριξη απο τη διοίκηση Δημιουργία ομάδας προγράμματος συμμο ρφωσης και καταμερισμο ς αρμοδιοτήτων ανά τμήμα επιχείρησης/μέλος ομάδας Καταγραφή δραστηριοτήτων και ροω ν επεξεργασίας δεδομένων προσωπικου χαρακτήρα Σχεδιασμο ς / βελτίωση πολιτικω ν και διαδικασιω ν ασφάλειας και ιδιωτικο τητας Διορισμο ς Υπευ θυνου Προστασίας Δεδομένων, αν είναι αναγκαίο Ενημέρωση και εκπαίδευση εργαζομένων ΕΦΑΡΜΟΓΗ Δημοσίευση/Προω θηση πολιτικω ν ιδιωτικο τητας Δημιουργία αρχείου δραστηριοτήτων επεξεργασίας Διαχείριση και καταγραφή αιτημάτων υποκειμένων των δεδομένων Διαχείριση και καταγραφή συμβάντων παραβίασης δεδομένων προσωπικου χαρακτήρα Αξιολο γηση επιπτω σεων επεξεργασίας προσωπικω ν δεδομένων Διενέργεια και καταγραφή εκτιμήσεων αντικτυ που σχετικά με την προστασία δεδομένων Καταγραφή και λήψη κατάλληλων μέτρων για διαβιβάσεις δεδομένων προς τρίτες χω ρες Αναμο ρφωση συμβάσεων και διαδικασιω ν διαχείρισης τρίτων μερω ν ΤΑΚΤΙΚΗ ΕΠΑΝΕΞΕΤΑΣΗ Έλεγχος και επικαιροποίηση πολιτικω ν και διαδικασιω ν ασφάλειας και ιδιωτικο τητας Έλεγχος και επικαιροποίηση αρχείου δραστηριοτήτων επεξεργασίας Ελεγχος και επικαιροποίηση διαδικασίας εκτιμήσεων αντικτυ που σχετικά με την προστασία δεδομένων Έλεγχος συμμο ρφωσης εκτελου ντων την επεξεργασία με συμβατικές υποχρεω σεις Έλεγχος εξελίξεων στη νομοθεσία, σε εποπτικές αρχές και πρακτικές της παγκο σμιας αγοράς

14 5. ΔΙΑΚΥΒΕΡΝΗΣΗ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ HSBC 14

15 Strategy, Vision and Definition Risk Reporting Controls Maturity Assessment Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ GDPR 5. ΔΙΑΚΥΒΕΡΝΗΣΗ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ HSBC Group Data Privacy Board (GDPB) Global Data Privacy Working Groups Data Privacy Framework Governance Roles and Responsibilities Measures Global Businesses and Functions RBWM GPB CMB GBM Group Data Privacy Policies Legal Transparency Data Minimisation & Adequacy Training & Awareness Fair & Lawful Usage Data Quality & Accuracy Data Subject Rights Limited Purposes Data Security & Retention Third Parties Regulatory Compliance Data Services HR, Finance, Risk Data Transfers

16 ΕΥΧΑΡΙΣΤΩ ΠΟΛΥ ΓΙΑ ΤΗΝ ΠΡΟΣΟΧΗ ΣΑΣ 16