(EE) 679/ "Υπεύθυνος Προστασίας Δεδομένων: Απαιτήσεις, Ρόλος & Εφαρμογή"

Transcript

1 1 (EE) 679/ "Υπεύθυνος Προστασίας Δεδομένων: Απαιτήσεις, Ρόλος & Εφαρμογή" Ιωάννης Β. Ψαρράς Διαπιστευμένος Υπεύθυνος Προστασίας Δεδομένων 22 Φεβρουαρίου 2018

2 2 Επισκόπηση Καν. (EE) 679/2016 & Ορισμοί. Σε ποιες περιπτώσεις είναι υποχρεωτικός ο διορισμός του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ); Ο Ρόλος του ΥΠΔ. Καθήκοντα ενός ΥΠΔ. Απαιτούμενη Εμπειρία & Δεξιότητες.

3 3 Καν. (EE) 679/ Απριλίου 2016: Ψηφίστηκε από το Ευρωπαϊκό Κοινοβούλιο ο ΓΚΠΔ. 25 Μαΐου 2018: Τίθεται σε ισχύ, μετά την παρέλευση της μεταβατικής περιόδου για την προσαρμογή των κρατών μελών της ΕΕ. Νομοθέτημα άμεσης εφαρμογής, επιβάλλοντας πρόσθετες υποχρεώσεις σε Υπεύθυνους Επεξεργασίας και Εκτελούντες την επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα (ΔΠΧ), ανάμεσα στις οποίες είναι, ο υποχρεωτικός διορισμός ΥΠΔ. Στόχοι: Ενίσχυση της αποτελεσματικής αυτο-παρακολούθησης. Περιττή την κρατική εποπτεία, στο μέτρο του δυνατού. Σημείωση: Ο Κανονισμός αφορά και τους Υπεύθυνους Επεξεργασίας & Εκτελούντες που επεξεργάζονται ΔΠΧ εκτός της ΕΕ, αλλά προσφέρουν τα προϊόντα ή τις υπηρεσίες τους σε ιδιώτες εντός της ΕΕ.

4 4 Ορισμοί Υποκείμενο: Το φυσικό πρόσωπο το οποίο ταυτοποιείται έμμεσα ή άμεσα από τα Προσωπικά Δεδομένα. Υπεύθυνος Επεξεργασίας: Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα, που τηρεί και επεξεργάζεται Προσωπικά Δεδομένα. Εκτελών την Επεξεργασία: Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα, που επεξεργάζεται Δεδομένα, για λογαριασμό κάποιου Υπεύθυνου Επεξεργασίας. Επεξεργασία: Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε ΔΠΧ ή σε σύνολα ΔΠΧ, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Προσωπικά Δεδομένα: Στοιχεία Αναγνώρισης, Φυσικά Χαρακτηριστικά, Εκπαίδευση, Εργασία, Οικονομική Κατάσταση, Ενδιαφέροντα, Δραστηριότητες, Συνήθειες. Ευαίσθητα Προσωπικά Δεδομένα: Φυλετική ή Εθνική προέλευση, Πολιτικά φρονήματα, Θρησκευτικές ή Φιλοσοφικές πεποιθήσεις, Συμμετοχή σε συνδικαλιστική οργάνωση, Υγεία, Κοινωνική πρόνοια, Σεξουαλικό προσανατολισμό, Ποινικές διώξεις και καταδίκες, Συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων. Με τον 679/2016, αλλάζει η ονομασία τους και μετονομάζονται σε «Προσωπικά Δεδομένα Ειδικής Κατηγορίας». Διευρύνεται ο ορισμός τους, καθώς συμπεριλαμβάνονται τα Γενετικά και Βιομετρικά δεδομένα.

5 5 Υποχρεωτικός διορισμός ΥΠΔ O Κανονισμός προδιαγράφει τρεις βασικές κατηγορίες περιπτώσεων: I. Η επεξεργασία των δεδομένων διενεργείται από Δημόσια Αρχή ή Φορέα (εκτός από δικαστήρια). II. III. Οι «Βασικές Δραστηριότητες» του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την επεξεργασία, απαιτούν "Τακτική και Συστηματική παρακολούθηση" των Υποκειμένων των δεδομένων σε "μεγάλη κλίμακα". Οι Βασικές Δραστηριότητες του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την επεξεργασία, συνιστούν μεγάλης κλίμακας επεξεργασία "ευαίσθητων" δεδομένων προσωπικού χαρακτήρα, καθώς και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα.

6 6 Τι σημαίνει «Βασικές Δραστηριότητες»; Όλες οι Εταιρικές λειτουργίες, όπου η επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα, αποτελούν αναπόσπαστο τμήμα για την επίτευξη των Εταιρικών σκοπών. Παραδείγματα: Οι δραστηριότητες παρακολούθησης μιας Εταιρείας παροχής υπηρεσιών ασφαλείας, με τις οποίες ελέγχει/παρακολουθεί έναν δημόσιο ή ιδιωτικό χώρο. Οι δραστηριότητες επεξεργασίας ιατρικών φακέλων ασθενών, που νοσηλεύονται σε ένα Νοσοκομείο.

7 7 Τι σημαίνει «Τακτική & Συστηματική Παρακολούθηση»; Τακτική Παρακολούθηση: Επαναλαμβανόμενη, συνεχής ή περιοδική. Συστηματική Παρακολούθηση: Βασιζόμενη σε ένα σύστημα, οργανωμένα & μεθοδικά. Παραδείγματα: Όλες οι μορφές on line παρακολούθησης λ.χ. των μετακινήσεων του Υποκειμένου (location tracking). Ο καθορισμός του προφίλ του Υποκειμένου με βάση συγκεκριμένα Προσωπικά Δεδομένα, που αφορούν την καταναλωτική του ταυτότητα, τις προτιμήσεις του, την επισκεψιμότητα του (Profiling). Η επεξεργασία που στοχεύει στον καθορισμό της καταναλωτικής συμπεριφοράς & συνηθειών του Υποκειμένου για διαφημιστικούς σκοπούς (behavioral advertising).

8 8 Τι σημαίνει «Μεγάλη Κλίμακα»; Ο Κανονισμός δεν παραθέτει αριθμητικά όρια για τον ορισμό της μεγάλης κλίμακας, αλλά γενικά παραδείγματα, όπως: Ασφαλιστική Εταιρία ή Τράπεζα που επεξεργάζονται Προσωπικά Δεδομένα Πελατών τους. Επεξεργασία δεδομένων ασθενών από Νοσοκομεία. Επεξεργασία σε πραγματικό χρόνο των γεωτοπογραφικών δεδομένων. Συνεπώς, εξαρτάται από: Τον αριθμό των Υποκειμένων στα οποία αναφέρονται τα δεδομένα. Τον όγκο δεδομένων και / ή το εύρος των διαφόρων στοιχείων δεδομένων. Τη διάρκεια ή τη μονιμότητα της επεξεργασίας. Τη γεωγραφική έκταση.

9 9!! "Πρακτικές Συμβουλές" Η μη τήρηση της υποχρέωσης διορισμού Υπεύθυνου Προστασίας Δεδομένων συνιστά σοβαρή παράβαση και υπόκειται σε πρόστιμο μέχρι 10 εκατ. ή μέχρι 2% του ετήσιου παγκόσμιου κύκλου εργασιών. Εξετάστε τις διευκρινιστικές οδηγίες της Επιτροπής του Άρθρου 29 (Article 29 Working Party) σχετικά με τον Υπεύθυνο Προστασίας Δεδομένων. Τεκμηριώστε σε μια εσωτερική ανάλυση την υποχρέωση ή μη διορισμού Υπεύθυνου Προστασίας Δεδομένων.

10 10 Ο Ρόλος του ΥΠΔ Εισηγείται απευθείας στην Ανώτερη Διοίκηση (αναφέρεται στον Διευθύνοντα Σύμβουλο, Γενικό Διευθυντή ή μέλος του Δ.Σ. της Εταιρείας). Εκτελεί τα καθήκοντά του με ανεξάρτητο & αυτόνομο τρόπο. Έχει πλήρη πρόσβαση στα Προσωπικά Δεδομένα που τηρεί και επεξεργάζεται η Εταιρεία, καθώς και γνώση των μεθόδων επεξεργασίας. Δεσμεύεται από το απόρρητο ή την εμπιστευτικότητα σχετικά με την εκτέλεση των καθηκόντων του. Δεν υπάρχει σύγκρουση συμφερόντων λόγω επιπρόσθετων επαγγελματικών του αρμοδιοτήτων. Αντιφατικές θέσεις: Chief Information Security Officer, HR Director, Marketing Director, IT Director, Εσωτερικός Νομικός Σύμβουλος, ΔΕΝ ΜΠΟΡΟΥΝ να ασκούν ταυτόχρονα με το ρόλο τους και του ΥΠΔ, καθόσον εμπλέκονται & παρεμβαίνουν στην επεξεργασία των Προσωπικών Δεδομένων. Δεν απολύεται και δεν υφίσταται κυρώσεις, στο πλαίσιο της άσκησης των καθηκόντων του.

11 11!! "Πρακτικές Συμβουλές" Προδιαγράψτε με σαφήνεια την θέση εργασίας και τους όρους σύμβασης του ΥΠΔ, κατά τρόπο ώστε να δεσμεύεται από το απόρρητο ή την εμπιστευτικότητα. Εφαρμόστε διασφαλίσεις για την εξασφάλιση της λειτουργικής ανεξαρτησίας του ΥΠΔ και την αποφυγή της σύγκρουσης συμφερόντων.

12 12 Καθήκοντα ενός ΥΠΔ Εκπροσωπεί την Εταιρεία έναντι των Αρχών, Εθνικών και Ευρωπαϊκών για θέματα συμμόρφωσης με την νομοθεσία προστασίας ΔΠΧ. Διασφαλίζει την εναρμόνιση της λειτουργίας της Εταιρείας σε ό,τι αφορά τις Πολιτικές, Πρακτικές και τη Μεθοδολογία επεξεργασίας, Αποθήκευσης και Μεταφοράς ΔΠΧ, με τον νέο αυστηρό νομοθετικό πλαίσιο. Προστατεύει την Εταιρεία από τους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμων που προβλέπει ο Κανονισμός. Συμβουλεύει για την κατά περίπτωση αναγκαιότητα κατάρτισης Εκτίμησης Αντικτύπου (PIA) σε περίπτωση εισαγωγής νέων υπηρεσιών ή προϊόντων, που συνεπάγονται την επεξεργασία σε μεγάλη κλίμακα Προσωπικών Δεδομένων ή διαχειρίζονται Ευαίσθητα Προσωπικά Δεδομένα. Συντονίζει τη διατμηματική εσωτερική συνεργασία, για τη δημιουργία μιας διαρκούς Εταιρικής Κουλτούρας Προστασίας των Δεδομένων. Σχεδιάζει και πραγματοποιεί εσωτερικά Εκπαιδευτικά Προγράμματα για την προστασία των ΔΠΧ. Δέχεται επικοινωνία με τα Υποκείμενα (αν το ζητήσουν).

13 13!! "Πρακτικές Συμβουλές" Εξετάστε την ανάθεση των καθηκόντων του ΥΠΔ, είτε εκπαιδεύοντας εσωτερικά Στελέχη, ώστε να λειτουργήσουν αποκλειστικά ως ΥΠΔ, είτε προσλαμβάνοντας ανεξάρτητους επαγγελματίες (με σύμβαση παροχής ανεξάρτητων υπηρεσιών ή με σύμβαση εξαρτημένης εργασίας). Ενημερώστε όλο το προσωπικό για τον ρόλο και τα καθήκοντα του ΥΠΔ και αναπτύξτε καθοριστικές οδηγίες, των ζητημάτων που άπτεται η εμπλοκή του. Παρέχετε ενεργή Διοικητική υποστήριξη στην επιτέλεση των καθηκόντων του ΥΠΔ.

14 14 Απαιτούμενη Εμπειρία και Δεξιότητες Ο ΥΠΔ πρέπει να έχει ειδικευμένη & αποδεδειγμένη γνώση του νομικού πλαισίου και πρακτικών περί Προστασίας Δεδομένων. Γνώσεις στοιχείων Ασφάλειας Πληροφοριών (Information Security) και Πληροφοριακών Συστημάτων (IT), ώστε να μπορεί να κατανοήσει και σχεδιάσει την εφαρμογή ενός προγράμματος Προστασίας Δεδομένων. Επικοινωνιακές ικανότητες και την απαιτούμενη εμπειρία διαχείρισης, ούτως ώστε να συντονίσει & εποπτεύσει το πρόγραμμα Συμμόρφωσης και Προστασίας Δεδομένων.

15 15!! "Πρακτικές Συμβουλές" Εταιρείες ή Όμιλοι εταιρειών που δραστηριοποιούνται σε διάφορα εδαφικά όρια μπορούν να διορίσουν έναν κοινό ΥΠΔ, υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον ΥΠΔ. Εξετάστε την δημιουργία «Ομάδας Ειδικών» (με επικεφαλή τον ΥΠΔ) που θα περιλαμβάνει ως μέλη του: IT, Legal, Information Security και PR, δημιουργώντας έτσι μια ευέλικτη ομάδα που θα αντιμετωπίσει επιτυχώς όλες τις προκλήσεις που θα ανακύψουν κατά την εφαρμογή του Κανονισμού.

16 16 Σας Ευχαριστώ πολύ για την προσοχή σας! Ιωάννης Β. Ψαρράς Διαπιστευμένος Υπεύθυνος Προστασίας Δεδομένων p: e: