DPO ΓΕΝΙΚΑ. Μια από τις αρχές του GDPR είναι Α. Η λογοδοσία Β. Η ακεραιότητα των δεδομένων Γ. Όλα τα παραπάνω

Transcript

1 DPO 1. Ποιες περιπτώσεις υποχρεούνται στον ορισμό DPO με βάση το GDPR; 2. Οι όμιλοι επιχειρήσεων με πόσους DPO είναι καλυμμένοι απέναντι στο GDPR; 3. Μπορεί ο DPO να ανήκει στο προσωπικό της εταιρίας? 4. Τι πρέπει να διαθέτει βασικά ο DPO για να μπορεί να διοριστεί? 5. Τι πρέπει κυρίως η εταιρίας μας να διαθέτει προκειμένου να είναι συνεπής απέναντι στο GDPR? 6. Στην οικειοθελή πρόσληψη DPO ισχύουν οι ίδιες απαιτήσεις καθηκόντων? 7. Ποια είναι τα καθήκοντα του DPO τουλάχιστον; 8. Ποιες γνώσεις - δεξιότητες- ικανότητες πρέπει να έχει ένας DPO; 9. Υπάρχουν εθνικοί φορείς πιστοποίησης και εκπαίδευσης? 10. Ο DPO πως αποδεικνύει τις γνώσεις του? 11. O DPO είναι σε κάποιο μητρώο εγγεγραμμένος 12. O DPO έχει κάποια ειδική άδεια? ΓΕΝΙΚΑ Μια από τις αρχές του GDPR είναι Α. Η λογοδοσία Β. Η ακεραιότητα των δεδομένων Γ. Όλα τα παραπάνω Βάσει των αρχών διαχείρισης περιστατικών / κινδύνου (incident / risk management) μια χάρτινη κατασκευή δίπλα σε ένα αναμμένο τζάκι είναι Α. Συμβάν (incident) Β. Απειλή (threat) Γ. Ευπάθεια (vulnerability) Η εφαρμογή του κανονισμού Α. Θα εξαλείψει όλους τους κινδύνους που σχετίζονται με την προστασία προσωπικών δεδομένων σε πανευρωπαϊκό επίπεδο Β. Θα δημιουργήσει ένα εναρμονισμένο νομικό πλαίσιο στην Ε.Ε. σχετικά με την προστασία προσωπικών δεδομένων Γ. Όλα τα παραπάνω Τι είναι το ΣΔΑΠ Α. Σύστημα διαχείρισης ασφάλειας πληροφοριών Β. Σύστημα διαχείρισης ακεραιότητας πληροφοριών Γ. Σύστημα διαχείρισης ασφάλειας προσωπικού Βιομετρικό δεδομένο είναι Α. Τα δακτυλικά αποτυπώματα

2 Β. Η ίριδα των ματιών Ένα περιστατικό-συμβάν ασφάλειας (security incident) ΔΕΝ είναι Α. Η απώλεια ενός σκληρού δίσκου Β. Η ύπαρξη ενός ιού στο εταιρικό δίκτυο Η αναθεώρηση των δικαιωμάτων πρόσβασης Ένα malware μπορεί σε ένα πληροφοριακό σύστημα Α. Να προκαλέσει διαρροή δεδομένων Β. Να προκαλέσει διαγραφή δεδομένων Η ομάδα εργασίας WP29 δημιουργήθηκε Α. Όχι πριν το 2002 και πριν την έγκριση του GDPR Β. Μεταξύ Γ. Μετά την έγκριση του GDPR Η ελληνική νομοθεσία για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα ενσωματώνει Α. Την οδηγία 2472/1997/ΕΚ Β. Την οδηγία 95/46/ΕΚ Γ. Την οδηγία 95/2472/ΕΚ Η ύπαρξη πολιτικής ασφάλειας πληροφοριών (information security policy) σε έναν υπεύθυνο επεξεργασίας (επιλέξτε την πληρέστερη απάντηση): Α. Αποτελεί μια διασφάλιση μεταξύ και άλλων διασφαλίσεων από πλευράς του υπευθύνου επεξεργασίας για τον περιορισμό των κινδύνων ως προς τα δικαιώματα και τα συμφέροντα των υποκειμένων των δεδομένων Β. Το (α) δεδομένου ότι προβλέπεται ρητά από τις επιμέρους διατάξεις του κανονισμού GDPR Γ. Τα (α) και (β) και δεδομένου ότι προβλέπεται ρητά από τις διευκρινιστικές οδηγίες της Ομάδας Εργασίας WP29 Σύμφωνα με τον κανονισμό GDPR, Αρθ. 15, το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσο ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει αυτό, το δικαίωμα στα δεδομένα προσωπικού χαρακτήρα, σύμφωνα με το δικαίωμα, του υποκειμένου των δεδομένων: Α. Διόρθωσης Β. Πρόσβασης Γ. Περιορισμού της επεξεργασιάς

3 Σύμφωνα με τον κανονισμό GDPR ο φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση ( αρχή της λογοδοσίας ): Α. Υπεύθυνος επεξεργασίας Β. υπεύθυνος προστασίας δεδομένων Ένας όμιλος επιχειρήσεων μπορεί να διορίζει έναν μόνο υπεύθυνο προστασίας δεδομένων υπό την προϋπόθεση ότι Α. Κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδομένων Β. Ο υπεύθυνος προστασίας δεδομένων έχει με βάση τις ικανότητές του τη δυνατότητα να ανταποκριθεί στο αυξημένο έργο των απαιτήσεων του ομίλου, ιδιαίτερα όταν πρόκειται για πολυεθνικό όμιλο και απαιτείται η επικοινωνίας σε περισσότερες γλώσσες Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να εκπονούν κώδικες δεοντολογίας, προκειμένου να προσδιορίσουν την εφαρμογή του κανονισμού όπως όσον αφορά: Α. Την ψευδονυμοποίηση δεδομένων προσωπικού χαρακτήρα Β. Τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς H επεξεργασία προσωπικών δεδομένων με νόμιμο τρόπο σύμφωνα με τον κανονισμό GDPR είναι ευθύνη του Α. Υποκειμένου των δεδομένων Β, του υπευθύνου επεξεργασίας Γ. Του υπευθύνου προστασίας δεδομένων Μετά την ανακάλυψη διαρροής δεδομένων ο εκτελών την επεξεργασίας Α ενημερώνει άμεσα εντός 72 ωρών την Αρχή Προστασίας Β ενημερώνει άμεσα όταν τα υποκείμενα των οποίων διαθέτει ΔΠΧ Γ. Τίποτα από τα ανωτέρω Σύμφωνα με τον κανονισμό το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς αποτελεί προϋπόθεση για Α. Το δικαίωμα στη λήθη Β. Την ελαχιστοποίηση των δεδομένων Γ. Τη νομιμότητα της επεξεργασίας Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασίας ορίζουν υπεύθυνο προστασίας δεδομένον σε κάθε περίπτωση στην οποία

4 Α. Η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, συμπεριλαμβανομένων και των δικαστηρίων που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας Β. Οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και / ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον έχει αποφασίσει ότι διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα, από έδαφος ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω χώρα (ή από τον εν λόγω διεθνή οργανισμό) Α. Το ευρωκοινοβούλιο Β. Η επιτροπή Γ. Το συμβούλιο της Ε.Ε. Κατά την πρώτη (αρχική) φάση εκπόνησης μιας PIO δίνεται έμφαση: Α. Στην επίδραση που έχουν τα προσωπικά δεδομένα στη λειτουργία του οργανισμού Β. Στις απειλές των πληροφοριακών συστημάτων Γ. Στα προσωπικά δεδομένα και στον τρόπο επεξεργασίας τους Η ασφάλεια πληροφοριών βασίζεται στην επίτευξη και διατήρηση Α. Της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών Β. Της εμπιστευτικότητας, της αυθεντικότητας και της διαθεσιμότητας των πληροφοριών Γ. Της εμπιστευτικότητας, της ακεραιότητας και της πληρότητας των πληφοροριών Οι διατάξεις του Νόμου 2472/97 ΔΕΝ εφαρμόζονται στην επεξεργασία δεδομένων η οποία πραγματοποιείται Α. Από φυσικό πρόσωπο για την άσκηση δραστηριοτήτων αποκλειστικά προσωπικών ή οικιακών Β. Από τις δικαστικές - εισαγγελικές αρχές και τις υπηρεσίας που ενεργούν υπό την άμεση εποπτεία τους στο πλαίσιο απονομής δικαιοσύνης ή για την επεξεργασίας των αναγκών της λειτουργίας τους με σκοπό τη βεβαίωση εγκλημάτων, που τιμωρούνται ως κακουργήματα, πλημμελήματα με δόλο και ιδίως εγκλημάτων κατά της ζωής. Κατά την άσκηση του δικαιώματος στη των δεδομένων, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά την απευθείας διαβίβαση των δεδομών προσωπικού χαρακτήρα από ένα υπεύθυνο επεξεργασίας σε έναν άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό. Α. Φορητότητα Β. Λήθη Γ. Διαφάνεια

5 Ποια τεχνικά και ποια οργανωτικά μέτρα εφαρμόζονται για τη διασφάλιση της ασφάλειας επεξεργασίας των δεδομένων από τον: Α. υπεύθυνο επεξεργασίας Β. εκτελών την επεξεργασία Εντός πόσο ωρών γίνεται η γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή; Ποιόν ενημερώνει άμεσα ο εκτελών την επεξεργασία μόλις αντιληφθεί δεδομένων. παραβίαση Τι περιλαμβάνει η γνωστοποίηση? Πότε δεν απαιτείται ανακοίνωση στο υποκείμενο των δεδομένων από τον υπεύθυνο επεξεργασίας? Μπορούν να διαβιβαστούν τα δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό? Οι δεσμευτικοί εταιρικοί κανόνες υπό ποιούς όρους εγκρίνονται από την εποπτική αρχή; Η διαβίβαση προσωπικών δεδομένων υπό ποιές προϋποθέσεις πραγματοποιείται, σε περίπτωση απουσίας απόφασης επάρκειας; Ποιά μέτρα λαμβάνουν η Επιτροπή και οι εποπτικές αρχές για τη διεθνή συνεργασία για τη προστασία δεδομένων προσωπικού χαρακτήρα; Ποιές είναι οι θεμελιώδεις υποχρεώσεις του υπευθύνου επεξεργασίας;