ΕΙΣΑΓΩΓΗ ΣΤΟΝ GDPR ΕΙΣΗΓΗΤΗΣ: Α/Α ΑΠΟΣΤΟΛΙΔΗΣ ΓΕΩΡΓΙΟΣ

Transcript

1 ΕΙΣΑΓΩΓΗ ΣΤΟΝ GDPR ΕΙΣΗΓΗΤΗΣ: Α/Α ΑΠΟΣΤΟΛΙΔΗΣ ΓΕΩΡΓΙΟΣ

2 ΑΣ ΓΝΩΡΙΣΤΟΥΜΕ ΛΙΓΑ ΠΡΑΓΜΑΤΑ ΓΙΑ ΤΟΝ ΕΙΣΗΓΗΤΗ ΣΑΣ.. Απόφοιτος της σχολής Αξιωματικών της Ελληνικής Αστυνομίας με 23 έτη υπηρεσίας σε μάχιμες υπηρεσίες. Απόφοιτος της Σχολής Μετεκπαίδευσης επιτελών στελεχών της Αστυνομικής Ακαδημίας με γενικό χαρακτηρισμό άριστα Πιστοποιημένος εκπαιδευτής του Εθνικού οργανισμού πιστοποίησης προσόντων σε αντικείμενα με θέματα Ασφάλειας μεταξύ άλλων για α) Ασφάλεια τεχνολογίας πληροφορίας και επικοινωνιών, β) Ασφάλεια συστημάτων και δικτύων πληροφορικής, γ) Προστασία ασφάλειας δομών ζωτικής σημασίας δ) Φυσική ασφάλεια εγκαταστάσεων κ.τ.λ. Πιστοποιημένος DPO κατά ISO 17024

3 Εκπαιδευτής μετά από εκπαίδευση Κέντρου Μελετών Ασφαλείας σε θέματα ριζοσπαστικοποίησης τρομοκρατίας και εξτρεμισμού. Επιστημονικός συνεργάτης του τεχνοβλαστου του Αριστοτέλειου πανεπιστήμιου της εταιρείας ACTA για λογαριασμό της οποίας έχει συγγράψει τμήματα των πιστοποιημένων σεμιναρίων της σε θέματα ασφάλειας. Εκπαιδεύσεις σε πλήθος σεμιναρίων σε συλλόγους εργαζομένων με αντικείμενο την ασφάλεια εγκαταστάσεων και χωρών μεταξύ άλλων στους υπαλλήλους της Αμερικάνικης Γεωργικής σχολής, στους υπάλληλους της κλινικής αποκατάστασης Αρωγής κ.τ.λ. Συμμέτοχη σε προγράμματα χρηματοδοτούμενα από την Ε.Ε. Erasmus plus KA 2 κ.τ.λ.

4 ΠΡΟΓΡΑΜΜΑ 1 ης ΗΜΕΡΑΣ Ø ΕΚΠΑΙΔΕΥΤΙΚΗ ΕΙΣΑΓΩΓΗ Ø ΕΠΙΣΚΟΠΗΣΗ ΤΩΝ ΒΑΣΙΚΩΝ ΣΗΜΕΙΩΝ ΤΟΥ ΕΥΡΩΠΑΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ 2016/679 GDPR Ø ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΕΓΚΑΤΑΣΤΑΣΕΩΝ ΚΑΙ ΠΛΗΡΟΦΟΡΙΩΝ ΣΕ ΣΧΕΣΗ ΜΕ ΤΙΣ ΥΠΟΧΡΕΩΣΕΙΣ ΤΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ.

5 Ø ΜΕΛΕΤΗ ΤΡΩΤΟΤΗΤΑΣ Ø ΔΙΑΧΕΙΡΙΣΗ ΦΥΣΙΚΟΥ ΑΡΧΕΙΟΥ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ Ø ΤΕΧΝΙΚΑ ΚΑΙ ΟΡΓΑΝΩΤΙΚΑ ΜΕΤΡΑ ΦΥΣΙΚΗΣ ΑΣΦΑΛΕΙΑΣ

6

7

8

9 ΕΙΣΑΓΩΓΗ GDPR Πρόκειται για σημαντική μεταρρύθμιση που άφορα την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των προσωπικών τους δεδομένων αποτελεί νομοθετική δέσμη με σκοπό την επικαιροποίηση και τον εκσυγχρονισμό των υφιστάμενων κανόνων προστασίας των δεδομένων.

10 Περιλαμβάνει δυο νομοθετικές πράξεις : Α) τον Γενικό κανονισμό προστασίας δεδομένων 2016/679 ο οποίος αντικαθιστά την οδηγία 95/46/ΕΚ. Β) Την οδηγία προστασίας των δεδομένων στον τομέα επιβολής του νόμου 2016/680 η οποία αντικαθιστά την απόφαση πλαίσιο του 2008 για την προστασία των δεδομένων.

11 Αφορά: Οδηγία 2016/680 Την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης, η δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης πλαίσιο 2008/977/ΔΕΥ του Συμβούλιου Εφαρμογή από δικαστικές, εισαγγελικές και εν γένει διωκτικές αρχές- ΜΗ εφαρμογή Γ.Κ.Π.Δ. σε αυτές τις περιπτώσεις ( αρθ 2 &2 δ ΓΚΠΔ ) Εγείρονται ζητήματα οριοθέτησης εφαρμογής Οδηγίας- Κανονισμού

12 ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ( 2016/679 ) Είναι ο Γενικός Κανονισμός για την προστασία των δεδομένων (GDPR) είναι ένας κανονισμός με τον οποίο το Ευρωπαϊκό Κοινοβούλιο το Ευρωπαϊκό Συμβούλιο και η Ευρωπαϊκή Επιτροπή προτίθενται να ενισχύσουν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών εντός της Ευρωπαϊκής Ένωσης. Ρυθμίζει την επεξεργασία των προσωπικών δεδομένων κατά ενιαίο τρόπο εντός της Ε.Ε. και καταργεί προηγούμενους νομούς που υπήρχαν ως τώρα.( ν.2472/1997) Η ψήφιση εφαρμοστικού νόμου στην Ελλάδα αναμένεται πριν την έναρξη ισχύος του Κανονισμού

13 ΠΡΩΤΟ ΒΗΜΑ awareness

14 ΠΡΟΣΕΓΓΙΣΗ ΣΕ 3 ΔΙΑΣΤΑΣΕΙΣ GDPR ΝΟΜΙΚΗ ΔΙΑΣΤΑΣΗ ΨΗΦΙΑΚΗ ΔΙΑΣΤΑΣΗ ΟΡΓΑΝΩΤΙΚΗ ΔΙΑΣΤΑΣΗ-ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ

15 ΕΠΕΞΕΡΓΑΣΙΑ; ΤΙ ΣΗΜΑΙΝΕΙ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ GDPR

16 Επεξεργασία σημαίνει κάθε εργασία, τόσο με αυτοματοποιημένα ή ψηφιακά μέσα, όσο και με χειροκίνητα ή φυσικά μέσα (π.χ. φυσική αρχειοθήκη), που αφορά σε προσωπικά δεδομένα, όπως: συλλογή, καταγραφή, οργάνωση, διατήρηση, αποθήκευση, ολική ή μερική διόρθωση, ενημέρωση, τροποποίηση, εξαγωγή, χρήση, μεταβίβαση, διάδοση, συσχετισμός, διασύνδεση, δέσμευση, διαγραφή, καταστροφή.

17

18 ΠΑΡΟΛΟ ΑΥΤΑ Έρευνες στην Ε.Ε. δείχνουν πως το 78% των επιχειρήσεων δεν κατανοούν τον νέο ευρωπαϊκό κανονισμό προσωπικών δεδομένων GDPR. ΔΗΜΙΟΥΡΓΟΥΝΤΑΙ ΕΡΩΤΗΜΑΤΑ ΣΧΕΤΙΚΑ: Που απευθύνεται; Ποια η αναγκαιότητα; Ποια είναι τελικά τα προσωπικά δεδομένα; Που βρίσκονται αυτά στην επιχείρηση μας; Τι δικαιώματα και τι υποχρεώσεις απορρέουν στα υποκείμενα δικαιωμάτων έναντι GDPR

19 Χρειάζεται πάντα να οριστεί D.P.O.; Μπορεί ο D.P.O. να ασκεί τα καθήκοντα του παράλληλα με αλλά κύρια καθήκοντα; Αρμοδιότητες; Δικαίωμα εναντίωσης φυσικού προσώπου. Τι είναι; Αρχές λογοδοσίας και όλες οι υπόλοιπες αρχές που βρίσκονται κάτω από αυτήν. Τι είναι: Awareness νέα νοοτροπία για όλους έναντι προστασίας προσωπικών δεδομένων. Τελικά των χρειαζόμαστε πραγματικά τον νέο Ευρωπαϊκό Κανονισμό για την προστασία προσωπικών δεδομένων; Κ.τ.λ.

20 ΟΛΟΙ ΠΡΕΠΕΙ ΝΑ ΓΝΩΡΙΖΟΥΜΕ Ø Υιοθετήθηκε στης 27 Απριλίου 2016 και τίθεται σε εφαρμογή στης 25 Μάιου Ø Η ΜΗ συμμόρφωση του θα μπορούσε να οδηγήσει σε πρόστιμα έως και ευρώ η το 4% του παγκοσμίου κύκλου εργασιών. Ø Εφαρμόζεται σε όλες τις εταιρείες που επεξεργάζονται δεδομένα πολιτών ευρείας κλίμακας της Ε.Ε. Ø Η άμεση εναρμόνιση του σε ολόκληρη την Ε.Ε. διευκολύνει τις μη ευρωπαϊκές εταιρείες να συμμορφωθούν με αυτούς τους κανονισμούς.

21 Ø Έως τότε οι εταιρείες θα πρέπει να εξασφαλίσουν ότι ανταποκρίνονται στις επιβαλλόμενες νέες υποχρεώσεις. Ø Θα βοηθηθούν από οδηγίες, γνωμοδοτήσεις, κατευθυντήριες γραμμές αρμόδιων αρχών. Ø Δεν απαιτείται έγκριση μέσω κοινοβουλίων. [173 εισαγωγικά σημεία προοιμίου, 99 άρθρα]

22 ΣΥΝΟΠΤΙΚΑ Ο ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΤΟ ΥΦΙΣΤΑΜΕΝΟ ΠΛΑΙΣΙΟ ΑΝΤΙΚΑΘΙΣΤΑΤΑΙ ΑΠΌ ΤΟΝ GDPR ΣΤΗΣ 25/5/2018 Η ΣΥΜΜΟΡΦΩΣΗ ΑΠΑΙΤΕΙ ΔΡΑΣΕΙΣ ΠΟΥ ΠΡΕΠΕΙ ΝΑ ΞΕΚΙΝΗΣΟΥΝ ΑΜΕΣΑ ΘΕΣΠΙΖΕΤΑΙ Η ΥΠΟΧΡΕΩΣΗ ΕΚΘΕΣΕΩΝ ΚΑΤΑΣΤΑΣΗΣ ΠΡΟΣΛΑΜΒΑΝΕΤΑΙ D.P.O. ΧΡΕΙΑΖΕΤΑΙ ΥΨΗΛΟ ΕΠΙΠΕΔΟ ΣΥΝΕΡΓΑΣΙΑΣ ΤΩΝ ΟΡΓΑΝΙΣΜΩΝ ΚΑΙ ΤΩΝ ΕΠΙΧΕΙΡΗΣΕΩΝ. ΟΙ ΠΟΛΙΤΕΣ ΑΠΟΚΤΟΥΝ ΙΣΧΥΡΟΤΕΡΑ ΔΙΚΑΙΩΜΑΤΑ ΕΝΑΝΤΙ ΤΩΝ ΘΕΜΑΤΩΝ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΤΟΥΣ. ΣΕ ΚΆΘΕ ΒΗΜΑ ΑΠΑΙΤΕΙΤΑΙ Η ΣΥΝΑΙΝΕΣΗ ΤΟΥ ΑΤΟΜΟΥ. ΤΟ ΑΤΟΜΟ ΕΧΕΙ ΔΙΚΑΙΩΜΑ ΝΑ ΛΑΒΕΙ ΤΑ DATA ΚΑΙ ΝΑ ΖΗΤΗΣΕΙ ΝΑ ΤΟΝ << ΞΕΧΑΣΟΥΝ>>.

23 ΤΑ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΑΠΑΙΤΕΙΤΑΙ ΝΑ ΕΠΑΝΑΣΧΕΔΙΑΖΟΝΤΑΙ ΟΡΙΖΟΝΤΑΣ ΔΙΑΒΑΘΜΙΣΜΕΝΕΣ ΓΙΑ ΤΗΝ ΔΙΑΧΕΙΡΙΣΗ ΤΩΝ ΔΕΔΟΜΕΝΩΝ. ΛΑΜΒΑΝΟΝΤΑΙ ΜΕΤΡΑ ΓΙΑ ΤΗΝ ΑΠΟΤΡΟΠΗ ΑΠΟΦΥΣΙΚΟ ΣΥΜΒΑΝ Η ΑΡΧΗ ΤΗΣ ΑΝΑΛΟΓΙΚΟΤΗΤΑΣ ΔΕΝ ΕΠΙΤΡΕΠΕΙ ΣΥΓΚΕΝΤΡΩΣΗ ΕΠΙΠΛΕΟΝ ΔΕΔΟΜΕΝΩΝ ΝΕΕΣ ΥΠΟΧΡΕΩΣΕΙΣ ΓΙΑ ΠΑΙΔΙΑ ΚΑΙ ΓΙΑ ΤΗΝ ΑΝΑΓΝΩΡΙΣΗ ΤΑΥΤΟΤΗΤΑΣ ΑΠΌ ΣΥΣΧΕΤΙΣΜΟ ΒΑΣΕΩΝ

24 ΠΟΙΟΥΣ ΑΦΟΡΑ; Αφορά τους πάντες; Η μη γνώση του κανονισμού έχει επιπτώσεις σε όλους; Awareness τι σημαίνει αυτό στην ζωή μας και στην καθημερινότητα μας ; Ποιες δομές ( δημόσιες και ιδιωτικές ) οφείλουν να συμμορφωθούν;

25 Καταρχήν Μας άφορα όλους ακόμα και ως φυσικά πρόσωπα υποκείμενα δικαιωμάτων τα οποία παρέχουμε τα προσωπικά μας δεδομένα σε διάφορες υπηρεσίες στην καθημερινότητα μας. Πρέπει να αλλάξουμε νοοτροπία σχετικά με τα προσωπικά μας δεδομένα, χρειάζεται ευαισθητοποίηση από όλους.

26 Επίσης άφορα: Δημόσιες και ιδιωτικές δομές οι οποίες επεξεργάζονται προσωπικά δεδομένα η εκτελούν επεξεργασία δεδομένων προσωπικού χαρακτήρα. Π.χ. ΔΕΗ, ΟΤΕ, Αστυνομία, Ν.Π.Δ.Δ. Νοσοκομεία,Λιμάνια,ξενοδοχεία, εταιρείες ΙΕΠΥΑ και γενικά όλες τις επιχειρήσεις που καταγράφουν σε φάκελους η ηλεκτρονικά προσωπικά δεδομένα πελατών προμηθευτών κ.τ.λ.

27 ΕΦΑΡΜΟΖΕΤΑΙ ΣΤΗΝ 1 ΑΥΤΟΠΟΙΗΜΕΝΗ Εν όλω η εν μέρει επεξεργασία προσωπικών δεδομένων 2 ΜΗ ΑΥΤΟΠΟΙΗΜΕΝΗ Επεξεργασία προσωπικών δεδομένων που περιλαμβάνονται η πρόκειται να συμπεριληφθούν σε σύστημα ΑΡΧΕΙΟΘΕΤΗΣΗΣ

28 ΔΕΝ ΕΦΑΡΜΟΖΕΤΑΙ Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα: α) Στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, β)από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας. γ) Από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.

29 ΓΙΑ ΙΔΙΩΤΙΚΕΣ ΚΑΙ ΔΗΜΟΣΙΕΣ ΔΟΜΕΣ ΕΥΘΥΝΗ για τον Υ.Ε. η και του Ε.Ε. ο οποίος πλέον πρέπει να αποδεικνύει ότι λαμβάνει τα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων και ότι συμμορφώνεται με τις απαιτήσεις του Ευρωπαϊκού κανονισμού. Προστασία δεδομένων κατά τον σχεδιασμό( data protection by design) ΔΗΛΑΔΗ ο νέος Ευρωπαϊκός Κανονισμός επιβάλει την εφαρμογή προϊόντων και υπηρεσιών ( ηλεκτρονικών και μη) που κατά τον αρχικό σχεδιασμό δημιουργούν φιλικές συνθήκες για την προστασία των προσωπικών δεδομένων. Π.χ. Να δίνεται η δυνατότητα στα φυσικά πρόσωπα να επιλέγουν ρυθμίσεις που θα προστατεύουν έτσι καλύτερα τα δεδομένα τους.

30 ΣΥΜΜΟΡΦΩΣΗ Τι νοείται συμμόρφωση συμφώνα με τον GDPR; Πως το αντιλαμβανόμαστε; Τι είναι στην πραγματικότητα;

31 ΕΠΙΣΗΣ ΣΥΜΜΟΡΦΩΣΗ ΣΕ 3 ΔΙΑΣΤΑΣΕΙΣ

32 GDPR τεχνική πρόκληση, επηρεάζει επίσης οργανωτικές δομές, διαδικασίες και ανθρώπους Οργανωτική διάρθρωση, ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ Ποιος κατέχει τα προσωπικά δεδομένα; Που βρίσκονται αυτά στον φυσικό χώρο; Υπάρχουν εκπαιδευτικά προγράμματα για την προστασία των δεδομένων στην εταιρεία; Γνωρίζει η εταιρεία πώς να αντιδράσει σε μια παραβίαση των δεδομένων φυσικού η τεχνικού συμβάντος στους χώρους φύλαξης των προσωπικών δεδομένων; Πώς ο ΓΚΠΔ επηρεάζει την ΕΤΑΙΡΕΙΑ Τεχνολογικό υπόβαθρο Έχει Η εταιρεία την τεχνολογία για να υποστηρίξει τις απαιτήσεις του ΓΚΠΔ για τα προσωπικά δεδομένα (δημιουργία, ανάγνωση, ενημέρωση και διαγραφή); Έχουν δημιουργηθεί εργαλεία τα οποία εγκαταστάθηκαν στα ηλεκτρονικά συστήματα και παρέχουν προστασία για ασφαλή επεξεργασία των Π.Δ. Η τεχνολογική υποστήριξη απαιτεί προστασία των προσωπικών δεδομένων; Νομικές Διαδικασίες διαχείρισης δεδομένων Έχει η εταιρεία καταγεγραμμένες διαδικασίες οι οποίες ακολουθούνται; Ποιος καθορίζει τις πολιτικές για την προστασία των δεδομένων; Οι συμβάσεις της εταιρίας είναι συμφώνα με τον νέο ευρωπαϊκό κανονισμό Καταγράφονται σωστά οι παραβιάσεις δεδομένων; Η διαχείριση της συγκατάθεσης έχει ενσωματωθεί σε όλες τις διαδικασίες; Διεξάγεται εκτίμηση των επιπτώσεων προστασίας προσωπικών δεδομένων κάθε φορά που συστήματα ή/ και διαδικασίες αλλάζουν;

33

34 Άρθρο 32 Ασφάλεια επεξεργασίας 1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση: α) της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα,

35 β) της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, γ) της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, δ) διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.

36 Όσο αφορά την φυσική ασφάλεια Οι επιχειρήσεις θα πρέπει να έχουν λάβει κατάλληλα τεχνικά και οργανωτικά μέτρα: Ø Να έχουν εκπαιδεύσει κατάλληλα το ανθρώπινο δυναμικό τους. Ø Να υπάρχει κατανομή ρόλων, αρμοδιοτήτων και ευθυνών του ανθρώπινου δυναμικού για την επεξεργασία των προσωπικών δεδομένων. Ø Να έχουν:data recovery plan & business continuity plan Πλάνο αντιμετώπισης περιστατικών ασφάλειας & παραβίασης προσωπικών δεδομένων. ( incident response plan)

37 Η ΜΙΑ ΔΙΑΣΤΑΣΗ ΤΗΣ ΣΥΜΜΟΡΦΩΣΗΣ ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΕΓΚΑΤΑΣΤΑΣΕΩΝ ΣΕ ΣΧΕΣΗ ΜΕ ΤΙΣ ΑΠΑΙΤΗΣΕΙΣ ΤΟΥ GDPR

38 ΠΡΟΣΔΙΟΡΙΣΜΟΣ ΣΗΜΕΙΩΝ ΚΛΕΙΔΙΑ ΡΟΗ ΔΕΔΟΜΕΝΩΝ- ΠΛΗΡΟΦΟΡΙΩΝ Data/Information flow ΣΤΟΙΧΕΙΑ ΔΕΔΟΜΕΝΩΝ Ονόματα, s, Διευθύνσεις Δεδομένα υγείας,ποινικά δεδομένα Βιομετρικά δεδομένα ΜΟΡΦΕΣ Έγχαρτα ( hardcopy ) Ψηφιακά ( usb ) Βάσεις δεδομένων ( Databases )

39 ΜΕΘΟΔΟΙ ΜΕΤΑΦΟΡΑΣ Ταχυδρομεία, τηλέφωνο, social media Εσωτερικά, ενδοεταιρικά Εξωτερικά (Data sharing) ΤΟΠΟΘΕΣΙΕΣ Γραφεία Σύννεφα ( Clouds ) Τρίτα μέρη

40 ΑΠΛΗ ΣΧΗΜΑΤΙΚΗ ΑΠΕΙΚΟΝΙΣΗ GDPR ΔΙΚΑΙΩΜΑΤΑ Υ.Δ. ΕΘΝΙΚΑ,ΕΥΡΩΠΑΙΚΑ ΔΙΚΑΣΤΗΡΙΑ European data protection board ΥΠΟΧΡΕΩΣΕΙΣ ΑΞΙΟΛΟΓΗΣΗ ΕΠΙΧΕΙΡ. Υ.Ε. DPO ΑΞΙΟΛΟΓΗΣΗ ΑΣΦΑΛΕΙΑ ΑΝΕΞΑΡ. ΕΠΟΠΤ. ΑΡΧΗ DPA DATA PROTECTION ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΗΜΟΣΙΟΠΟΙΗΣΗ ΤΡΙΤΑ ΜΕΡΗ ΤΡΙΤΕΣ ΧΩΡΕΣ

41 Σχηματική Εμπλοκή του physical security έναντι GDPR ΣΥΜΒΟΥΛΕΣ AWARENESS DPO AWARENESS ΣΥΜΒΟΥΛΕΣ ΕΠΙΧΕΙΡ. Υ.Ε. ΤΕΧΝΙΚΑ ΚΑΙ ΟΡΓΑΝ. ΜΕΤΡΑ ΓΙΑ ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

42 ΔΕΔΟΜΕΝΑ ΠΡΟΣΩΠΙΚΟΥ ΔΕΔΟΜΕΝΑ ΠΟΙΑ ΕΊΝΑΙ; ΣΕ ΤΙ ΧΩΡΙΖΟΝΤΑΙ;

43 «Δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων») το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα

44 ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΤΡΑΠΕΖΙΚΟΙ ΛΟΓΑΡΙΑΣΜΟΙ (π.χ. IBAN) ΔΗΜΟΓΡΑΦΙΚΑ ΔΕΔΟΜΕΝΑ ( Όνομα, επίθετο φύλο, ηλικία.κ.τ.λ.) ΑΡΙΘΜΟΣ ΠΙΣΤΩΤΙΚΗΣ ΚΑΡΤΑΣ ΚΡΑΤΙΚΑ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ ( αριθ. ταυτότητας, ΑΜΚΑ, αριθ. Διαβατηρίου, δίπλωμα, ΑΦΜ κ.τ.λ.) ΕΠΙΚΟΙΝΩΝΙΑ ( τηλ. Αριθμός, Τ.Κ. Mail, κ.τ.λ.) ΨΗΦΙΑΚΑ ΑΝΑΓΝΩΡΙΣΤΙΚΑ ( IP κ.τ.λ.) ΜΕΣΑ ΚΟΙΝΩΝΙΚΗΣ ΔΙΚΤΥΩΣΗΣ (facebook κ.τ.λ.)

45 ΕΥΑΙΣΘΗΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΥΓΕΙΑ ΠΟΛΙΤΙΚΕΣ ΠΕΠΟΙΘΗΣΕΙΣ ΘΡΗΣΚΕΥΤΙΚΕΣ ΠΕΠΟΙΘΗΣΕΙΣ ΦΙΛΟΣΟΦΙΚΕΣ ΠΕΠΟΙΘΗΣΕΙΣ ΜΕΛΟΣ ΣΥΝΔΙΚΑΛΙΣΤΙΚΗΣ ΟΡΓΑΝΩΣΗΣ ΓΕΝΕΤΙΚΑ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ ΦΥΛΗ ΣΕΞΟΥΑΛΙΚΕΣ ΠΡΟΤΙΜΗΣΕΙΣ ΠΟΙΝΙΚΕΣ ΔΙΩΞΕΙΣ ΚΑΤΑΔΙΚΕΣ κ.τ.λ.

46 ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΚΑΙ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

47 ΑΣΦΑΛΕΙΑ ΕΠΙΧΕΙΡΗΣΗ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ Λαμβάνει KAI μέτρα για την ασφάλεια των προσωπικών δεδομένων της επιχείρησης.

48 Φυσική Ασφάλεια σε εγκαταστάσεις Τι νοείται φυσική ασφάλεια; Πως εμπλέκεται η φυσική ασφάλεια στην προστασία των προσωπικών δεδομένων έναντι GDPR

49 ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ Φυσική ασφάλεια SECURITY SAFETY Επιτακτικότερη η ανάγκη στις υποδομές ζωτικής σημασίας! Λιμάνια, Αεροδρόμια, ΔΕΗ, οτε κ.τ.λ.

50 Φυσική Ασφάλεια και προσωπικά δεδομένα Που αποσκοπεί ;

51 Φυσική ασφάλεια και προσωπικά Αποσκοπεί: δεδομένα Πρόληψη για την προστασία όλων των φυσικών αρχείων όπου φυλάσσονται προσωπικά δεδομένα σε έντυπη και όχι μόνο μορφή. Στην μείωση των κινδύνων από απειλές κατά των έγχαρτων φυσικών αρχείων όπου τηρούνται προσωπικά δεδομένα. Αποτροπή κίνδυνων όλων των παραπάνω από άτομα που έχουν ως σκοπό την καταστροφή η απώλεια των αρχείων των προσωπικών δεδομένων μια επιχείρησης που τηρούνται σε φυσικό η μη αρχείο.

52 Διαχείριση του παρόντα κινδύνου που αποσκοπεί σε καταστροφή, απώλεια φακέλων εντός των οποίων τηρούνται προσωπικά δεδομένα καθώς και σε ηλεκτρονικά συστήματα και μηχανήματα στα οποία αποθηκεύονται σε ηλεκτρονική μορφή και τα οποία κινδυνεύουν από ανθρωπογενείς η μη ανθρωπογενείς κινδύνους. Επαναφορά στους συνήθης ρυθμούς της εγκατάστασης και την συνεχή προστασία των προσωπικών δεδομένων εντός αυτής.

53

54 ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ 1 Βρισκόμαστε στο λιμάνι της Θεσσαλονίκης για το οποίο ο διευθύνων σύμβουλος της εταιρίας θέλει να συμμορφώσει την επιχειρηση σύμφωνα με τον νέο ευρωπαϊκό κανονισμό 2016/679. Στο λιμάνι υπάρχουν 17 διαφορετικές κτιριακές εγκαταστάσεις όπου η κάθε μια έχει και διαφορετικές αρμοδιότητες( αποθήκες, γραφεία διοίκησης, συνεργεία, παρκινγκ κ.τ.λ.) και εργάζονται σε αυτό περί τα 300 άτομα μόνιμο προσωπικό. Υπάρχουν πύλες εισόδου και περιοχές ελεύθερης και περιορισμένης πρόσβασης. Με βάση όλα όσα έχουμε πει : Α) Ποια είναι τα κρίσιμα σημεία τα οποία πρέπει να απασχολήσουν τον υπεύθυνο επεξεργασίας προκειμένου να λάβει τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων στα πλαίσια της φυσικής ασφάλειας; Β) Τι είδους μετρά για την αποτροπή φυσικού η τεχνικού συμβάντος θα πρέπει να λάβει στα συγκεκριμένα σημεία; Γ) Τι θα πρέπει να καταγράψει μεταξύ άλλων στις συμβάσεις με τους εκτελούντες την επεξεργασία;

55 Τι νοείται τρωτότητα μιας εγκατάστασης; Τι νοείται εκτίμηση επικινδυνότητας;

56 Τρωτότητα: Ορίζεται η φυσική ή τεχνολογική ή άλλη αδυναμία- ευπάθεια που σχετίζεται με τον τομέα της ασφάλειας ή την ιδία την εγκατάσταση (εν μέρη η εν όλω) ή την ευρύτερη περιοχή και δίνει την δυνατότητα στον αντίπαλο να δράση προκαλώντας ανεπιθύμητα γεγονότα και αποτελέσματα. Εκτίμηση Επικινδυνότητας: Περιλαμβάνει την αξιολόγηση και την κατάταξη των κινδύνων σε επίπεδα, με βάση ποιοτικά και ποσοτικά κριτήρια που αφορούν τις πιθανότητες (ενδεχόμενο εκδήλωσης), τη συχνότητα και τις επιπτώσεις από την εκδήλωσή τους.

57 ΤΡΩΤΟΤΗΤΑ ΕΓΚΑΤΑΣΤΑΣΗΣ ΚΑΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Πρόκειται για τα σημεία από όπου μπορεί να προέλθει απειλή και συνακόλουθα κίνδυνος για τα φυσικά αρχεία που περιέχουν τα προσωπικά δεδομένα ή τα ηλεκτρονικά μηχανήματα εντός των οποίων αποθηκεύονται, καθώς και κενά στις διαδικασίες αντιμετώπισης εκτάκτων αναγκών.

58 ΤΡΩΤΑ ΣΗΜΕΙΑ Σημεία πρόσβασης κοινού απευθείας σε φάκελους και φυσικά αρχεία της επιχείρησης. Αφύλακτα σημεία όπου υπάρχουν αρχεία που περιέχουν προσωπικά δεδομένα. Κτίρια πολλών επιπέδων στα οποία φυλάσσονται σε διαφορετικούς χώρους ένχαρτα αρχεία. Χώροι που δεν ασφαλίζονται και τηρούνται τα αρχεία που περιέχουν προσωπικά δεδομένα.

59 Ανοιχτά παράθυρα, πόρτες οι οποίες διευκολύνουν την πρόσβαση σε άτομα τα οποία δεν θα έπρεπε να έχουν πρόσβαση στα αρχεία που περιέχουν προσωπικά δεδομένα. Μη αναγνώριση ευπαθειών σε σχέση με τα προσωπικά δεδομένα. Εγκαταστάσεις με εύκολη διαφυγή. Σημεία που δεν ελέγχονται κ.τ.λ.

60 ΑΞΙΟΛΟΓΗΣΗ ΑΣΦΑΛΕΙΑΣ Πως γίνεται στην πράξη η Αξιολόγηση και καταγραφή : Της υφιστάμενης κατάστασης των προσωπικών δεδομένων data mapping Των κινδύνων και απειλών assessment risk Της τρωτότητας Της ανεπάρκειας ασφάλειας Προτάσεων-βελτιώσεων

61 Διαφορά Risk Assessment με τηνdata Protection Impact Assessment ( DPIA) Το Risk Assessment (Εκτίμηση κίνδυνου) αφορά σε κινδύνους για τον οργανισμό, ενώ η DPIA (διενέργεια εκτίμησης αντικτύπου )αφορά σε κινδύνους για τα φυσικά πρόσωπα από την επεξεργασία των προσωπικών τους δεδομένων.

62 Μελέτη ασφαλείας Αποσκοπεί στην εξάλειψη ή τη μείωση της επικινδυνότητας της εγκατάστασης, με στόχο τη δημιουργία ασφαλούς και υγιούς εργασιακού περιβάλλοντος για τους εργαζόμενους αλλά και για την προστασία του φυσικού αρχείου εντός του οποίου υπάρχουν προσωπικά δεδομένα πελατών καθώς και την προστασία του ηλεκτρονικού εξοπλισμού από έκνομη ενέργεια η φυσικό συμβάν.

63 ΜΕΛΕΤΗ ΕΠΙΚΙΝΔΥΝΟΤΗΤΑΣ Εντοπισμός κινδύνων Εκτίμηση κινδύνων αξιολόγηση Κατανομή καθηκόντων Υλοποίηση- εφαρμογή έλεγχος Επαναφορά στην κανονικότητα

64 Τι περιλαμβάνει η μελέτη ασφάλειας Εκτίμηση, ανάλυση και αξιολόγηση του κινδύνου Προσδιορισμό τρωτοτήτων - ευπαθειών Κατανομή καθηκόντων Μέτρα πρόληψης και αντίδρασης Διαχείριση κρίσεων Εκπόνηση σχεδίου αποκατάστασης Διαχείριση πληροφοριών Λίστα προτεραιοτήτων

65 Επιτυγχάνουμε τους σκοπούς της ασφάλειας φυσικών εγκαταστάσεων για την προστασία των προσωπικών δεδομένων και προσωπικού κατόπιν μελέτης και σύνταξης σχεδίου ασφαλείας

66 ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ ΕΓΚΑΤΑΣΤΑΣΗΣ Φυσική παρουσία (στατική φύλαξη, περιπολίες) Ηλεκτρονικά συστήματα (συναγερμός, CCTV, φωτισμός) Κλειδαριές στα σημεία οπού φυλάσσονται τα προσωπικά δεδομένα πελατών της επιχείρησης. Διαχωρισμός σε ζώνες.( Ζώνες ελεύθερης πρόσβασης και ζώνες περιορισμένης πρόσβασης) Ηχητικές προειδοποιήσεις στο χώρο (σειρήνα) Τηλεειδοποίηση Σχέδιο ασφαλείας

67

68

69 ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ 2 Βρισκόμαστε στις εγκαταστάσεις ενός ΚΕΚ ως σύμβουλοι οι οποίοι πρόκειται να εφαρμόσουν την συμμόρφωση στην διάσταση της φυσικής ασφάλειας των προσωπικών δεδομένων για τον νέο Ευρωπαϊκό κανονισμό 2016/679. Θα χωριστείτε σε δυο ομάδες εργασίας και αφού περιηγηθείτε στους χώρους του ΚΕΚ θα εντοπίσετε και θα καταγράψετε Α) Ποιοι είναι οι κρίσιμοι χώροι που μας ενδιαφέρουν για την συμμόρφωση στην διάσταση της φυσικής ασφάλειας. β) Όλες τις ευπάθειες, τρωτότητες εγκατάστασης που αφορούν τον 2016/679 Γ) Θα προτείνετε επίσης σε έκθεση σας πρόδρομα τεχνικά και οργανωτικά μέτρα που πρέπει να ληφθούν για να υπάρξει μια στοιχειώδης συμμόρφωση με τις απαιτήσεις του κανονισμού όπως ορίζει το άρθρο 32 ένεκα φυσικού η τεχνικού συμβάντος. Μετά το πέρας της άσκησης εκπρόσωπος σας θα ανακοινώσει τα αποτελέσματα των ενεργειών σας.

70 ΔΙΑΧΕΙΡΙΣΗ ΦΥΣΙΚΟΥ ΑΡΧΕΙΟΥ Πως ικανοποιούνται οι απαιτήσεις του GDPR ως προς την διαχείριση του φυσικού αρχείου; Γιατί πρέπει να εφαρμόσουμε νέες διαδικασίες ;

71 Διαχείριση σε 4 διαστάσεις Ιδιαίτερα λεπτομερείς αυστηρές και διαρκώς επιθεωρούμενες διαδικασίες λειτουργιές σε 4 διαστάσεις: Ø Εγκαταστάσεις Ø Τεχνολογία Ø Διαδικασίες Ø Άνθρωποι

72 Σε όλο τον κύκλο της ζωής των προσωπικών δεδομένων τηρούμε πάντα τα: Confidentiality - Απόρρητο Integrity - Ακεραιότητα Availability - διαθεσιμότητα

73 Risk based approach (προσέγγιση κινδύνου) Impact- based data protection approach ( επιπτώσεις προσέγγισης της προστασίας δεδομένων) Ø Μέτρα και διαδικασίες που διασφαλίζουν την πληροφορία. Ø Επιχειρησιακή λειτουργιά δομημένη με πυρήνα το security Ø Εστίαση στον πελάτη και στην διασφάλιση των δεδομένων του. Ø Επαναξιολόγηση και αναθεώρηση διαδικασιών και μέτρων με γνώμονα το Υ.Δ. από την σκοπιά της ιδιωτικότητας του Ø Προστασία της ιδιωτικότητας by design Ø Εστίαση στα προσωπικά δεδομένα των υποκειμένων.

74 Αξιολόγηση Risk και υπό το πρίσμα του Privacy με κριτήριο το υποκείμενο των δικαιωμάτων. Αναγνώριση Impact σκοπού και επεξεργασίας σε υποκείμενο των δικαιωμάτων. Λήψη πρόσθετων τεχνικών και οργανωτικών μέτρων για την διασφάλιση των προσωπικών δεδομένων των υποκειμένων. Υποστήριξη των πελατών της εταιρίας στην δυνατότητα άμεσης απόκρισης σε αιτήματα

75 Σ.Δ.Α.Π. Όλα τα παραπάνω πρέπει να περιέχονται στο Σ.Δ.Α.Π. της επιχείρησης. Σ.Δ.Α.Π. = Σύστημα διαχείρισης ασφάλειας πληροφοριών. Πρέπει να περιλαμβάνει: Ø Πολιτικές Ø διαδικασίες Ø οδηγίες Ø έντυπα

76 Εφαρμογή GDPR στην διάσταση της φυσικής ασφάλειας Ø Εντοπισμός και αναγνώριση προσωπικών δεδομένων. Ø Αναγνώριση τρωτοτήτων. Ø Αναθεώρηση και επικαιροποίηση μέτρων. Ø Επανεξέταση συνεργατών και προμηθευτών. Ø Σχέδιο ασφάλειας προσωπικών δεδομένων. Ø Roadmap and treatment plans. Ø Awareness raising and training

77 Θέματα προς συζήτηση ΕΡΩΤΗΣΗ 1 Τα προσωπικά δεδομένα που καταχωρούνται με ένχαρτο φυσικό τρόπο σε φακέλους σε μια επιχείρηση υπόκεινται στο δικαίωμα της φορητότητας;

78 ΕΡΩΤΗΣΗ 2 Συμπληρώστε την φράση που ακολουθεί με μια από τις παρακάτω επιλογές: Η διαγραφή των προσωπικών δεδομένων όταν ολοκληρωθεί ο σκοπός της επεξεργασίας τους και στα δεδομένα εκείνα που βρίσκονται σε φακέλους μέσα στο φυσικό αρχείο της επιχείρησης. ΑΠΑΝΤΗΣΗ 2 Α) Απαιτείται Β) Δύναται να γίνει Γ) Απαγορεύεται

79 ΕΡΩΤΗΣΗ 3 Ποια είναι η κύρια διαφορά μεταξύ του κλασικού Risk Assessment και του Data Protection Impact Assessment; ΑΠΑΝΤΗΣΗ 3 Α) Το Risk Assessment αφορά σε κινδύνους για τον οργανισμό, ενώ το DPIA αφορά σε κινδύνους για τα φυσικά πρόσωπα από την επεξεργασία των προσωπικών τους. Β) Η DPIA δεν εφαρμόζει τις βασικές αρχικές του Risk Management Γ) Το Risk Assessment ορίζει επίπεδο κινδύνου, ενώ η DPIA όχι

80 ΕΡΩΤΗΣΗ 4 Αρχεία τα οποία βρίσκονται σε έντυπη μορφή, περιέχουν προσωπικά δεδομένα υποκειμένων και τα οποία βρίσκονται πεταμένα ή ακατάστατα μέσα σε μια επιχείρηση συνιστούν παραβίαση της συμμόρφωσης σύμφωνα με τον Ευρωπαϊκό Κανονισμό 2016/679

81 ΕΡΩΤΗΣΗ 5 Τι περιλαμβάνει ένα Πλάνο Επιχειρησιακής Συνέχειας (Business Continuity Plan); ΑΠΑΝΤΗΣΗ Α) διευθετήσεις για τη συνέχεια εργασιών σε περίπτωση διακοπής. Β) το (α) συν σχέδιο εκκένωσης/ διαφυγής Γ) τις μελλοντικές επιχειρησιακές επεκτάσεις (business plan)

82 ΕΡΩΤΗΣΗ 6 Ποιο από τα παρακάτω ΔΕΝ αποτελεί ευπάθεια; ΑΠΑΝΤΗΣΗ 6 Α) εγκατάσταση σε περιοχή με συχνές πλημμύρες. Β) μη κρυπτογραφημένη μετάδοση μέσω δικτύου. Γ) χρήση παράνομου λογισμικού

83 ΕΡΩΤΗΣΗ 7 Το μέγεθος μιας απειλής σχετίζεται με: ΑΠΑΝΤΗΣΗ 7 Α) το μέγεθος της ευπάθειας. Β) το μέγεθος του κινδύνου. Γ) την πιθανότητα εμφάνισής της

84 ΕΡΩΤΗΣΗ 8 Βάσει των αρχών διαχείρισης περιστατικών/κινδύνου (incident/risk management) μία χάρτινη κατασκευή δίπλα σε ένα αναμμένο τζάκι είναι: ΑΠΑΝΤΗΣΗ 8 Α) Συμβάν (incident) Β) Απειλή (threat) Γ) Ευπάθεια (vulnerability)

85 ΕΡΩΤΗΣΗ 9 Στη σύμβαση μεταξύ υπεύθυνου επεξεργασίας (ΥΕ) και εκτελούντα την επεξεργασία (ΕΕ) καθορίζονται, μεταξύ άλλων, Απάντηση Α) η φύση και ο σκοπός επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Β) οι κατηγορίες των υποκειμένων των δεδομένων που υπόκεινται επεξεργασία. Γ) Όλα τα παραπανω

86 ΕΡΩΤΗΣΗ 10 Το δικαίωμα διαγραφής μπορεί να αφορά: ΑΠΑΝΤΗΣΗ Α) μόνο τα δεδομένα προσωπικού χαρακτήρα που τηρούνται σε έντυπη μορφή. Β) μόνο τα δεδομένα προσωπικού χαρακτήρα που τηρούνται σε ηλεκτρονική μορφή. Γ) δεδομένα προσωπικού χαρακτήρα που τηρούνται σε όλες τις μορφές και σε όλα τα σημεία τήρησης/αποθήκευσης.

87 ΕΡΩΤΗΣΗ 11 Κατά την πληροφόρηση του ΦΠ στο συμβόλαιο που υπογράφει με την εταιρία παροχής υπηρεσίας συνδρομητικής τηλεόρασης υπάρχει το εξής σημείο: «Τα δεδομένα προσωπικού χαρακτήρα που συλλέγουμε και επεξεργαζόμαστε, τα διατηρούμε για πάντα και για κάθε νόμιμη χρήση» ΑΠΑΝΤΗΣΗ Α) Δεν είναι καθορισμένο το χρονικό διάστημα και ο σκοπός της επεξεργασίας. Β) Δεν είναι ορθή μορφή πληροφόρησης του ΦΠ. Γ) Ισχύουν όλα τα παραπάνω.

88 ΕΡΩΤΗΣΗ 12 Το Αρχείο δραστηριοτήτων επεξεργασίας μπορεί να τηρείται σε: ΑΠΑΝΤΗΣΗ Α) έντυπη μορφή Β) ηλεκτρονική μορφή Γ) έντυπη ή ηλεκτρονική μορφή

89 Ερωτήσεις;