Παραβίαση της ασφάλειας των προσωπικών δεδομένων

Σχετικά έγγραφα
Διαχείριση Παραβίασης Προσωπικών Δεδομένων

DATA BREACH. Η ΑΝΤΙΜΕΤΩΠΙΣΗ ΑΠΟ ΤΗΝ ΑΠΔΠΧ ΠΡΟΤΑΣΕΙΣ ΣΩΣΤΗΣ ΠΡΟΕΤΟΙΜΑΣΙΑΣ ΑΛΚΙΒΙΑΔΗΣ ΠΟΥΛΙΑΣ

Α Π Ο Φ Α Σ Η 14/2019 (Τμήμα)

Προσωπικά Δεδομένα. 2. Χρήσιμοι ορισμοί και επεξηγήσεις

Δεδομένα Ειδικών κατηγοριών. Πεδίο Εφαρμογής. Επεξεργασία. Δεδομένα Προσωπικού Χαρακτήρα. Εισαγωγικές έννοιες και ορισμοί..

Η Γνωστοποίηση Περιστατικών Παραβίασης ως εργαλείο συμμόρφωσης με το ΓΚΠΔ

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/7022-2/ Α Π Ο Φ Α Σ Η ΑΡ. 67/ 2018

GDPR (General Data Protection Regulation) Παναγιώτης Οικονόμου

Προετοιμασία για μια νέα σχέση με την Αρχή Προστασίας Δεδομένων. Κωνσταντίνος Λιμνιώτης. Γεώργιος Ρουσόπουλος

Αντικείμενο της Πολιτικής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Ενημέρωση για τον Γενικό Κανονισμό για την Προστασία των Δεδομένων της ΕΕ (679/2016)

Εισαγωγή. Υπεύθυνος Επεξεργασίας. Περιεχόμενα

Στην Αθήνα σήμερα την. μεταξύ των κάτωθι συμβαλλόμενων:

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΔΕΔΟΜΕΝΑ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ (ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ 679/2016) Α.

ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 GDPR

GDPR για επιχειρήσεις με λόγια απλά

ΠΟΛΙΤΙΚΗ ΚΑΙ ΔΙΑΔΙΚΑΣΙΑ ΔΙΑΡΡΟΗΣ ΔΕΔΟΜΕΝΩΝ

ΠΟΛΙΤΙΚΗ ΤΗΡΗΣΗΣ ΚΑΙ ΚΑΤΑΣΤΡΟΦΗΣ ΔΕΔΟΜΕΝΩΝ ΤΗΣ ΕΔΟΕ

Μαργαρίτα Γκαϊτατζή, Δικηγόρος Παρ Εφέταις ΔΣ Θεσσαλονίκης Σύμβουλος σε θέματα εναρμόνισης με τον GDPR και πιστοποιημένη Υπεύθυνη Προστασίας

Ενημέρωση για τον Γενικό Κανονισμό για την Προστασία των Δεδομένων της ΕΕ (679/2016) που αφορά τα φαρμακεία

1. Γενικές Πληροφορίες

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΚΑΙ ΔΕΣΜΕΥΣΕΙΣ

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

General Data Protection Regulation (GDPR)

ΚΕΦΑΛΑΙΟ I. Γενικές διατάξεις. Άρθρο 1. Αντικείμενο και στόχοι

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Γενικός Κανονισμός Προστασίας Δεδομένων 1 χρόνος από την εφαρμογή του

ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΟ ΝΕΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (GDPR) ΥΠΟΧΡΕΩΣΕΙΣ ΟΔΟΝΤΙΑΤΡΩΝ

Ο ΠΕΡΙ ΡΥΘΜΙΣΕΩΣ ΗΛΕΚΤΡΟΝΙΚΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΙ ΤΑΧΥΔΡΟΜΙΚΩΝ ΥΠΗΡΕΣΙΩΝ ΝΟΜΟΣ ΤΟΥ 2004

Η ενίσχυση των δικαιωμάτων στην πράξη & τα εργαλεία συμμόρφωσης για τη μετάβαση από το ν.2472/1997 στον ΓΚΠΔ

Προκλήσεις από τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων. Dr. Θεμιστοκλής Κ. Γιαννακόπουλος

ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ 2016/679 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΦΑΝΗ ΛΙΑΚΑΤΗ

ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

ΔΗΜΟΣΙΑ ΔΙΑΒΟΥΛΕΥΣΗ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΤΡΟΠΟΠΟΙΗΣΗ ΤΟΥ ΚΑΝΟΝΙΣΜΟΥ ΔΙΑΧΕΙΡΙΣΗΣ ΚΑΙ ΕΚΧΩΡΗΣΗΣ ΟΝΟΜΑΤΩΝ ΧΩΡΟΥ (DOMAIN NAMES) ΜΕ ΚΑΤΑΛΗΞΗ.GR ή.

Στοιχεία Υπεύθυνου Επεξεργασίας: Αρμόδια Υπηρεσία Επεξεργασίας: Στοιχεία Επικοινωνίας υπεύθυνου επεξεργασίας:

Πολιτική Προστασίας Προσωπικών Δεδομένων

ΑΠΟΦΑΣΗ. Τροποποίηση του Κανονισμού Διαχείρισης και Εκχώρησης Ονομάτων Χώρου (Domain Names) με κατάληξη.gr ή.ελ» (ΦΕΚ 973/Α/2018).

Η Πολιτική και η βασιζομένη σ αυτήν επεξεργασία,στην οποία η Εταιρεία προβαίνει, στηρίζεται στις κατωτέρω αρχές:

Απαντήσεις σε συχνές ερωτήσεις για την εφαρμογή του Γενικού Κανονισμού 2016/679 για την προστασία προσωπικών δεδομένων

Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (DPO) στον τομέα της υγείας

DPO ΓΕΝΙΚΑ. Μια από τις αρχές του GDPR είναι Α. Η λογοδοσία Β. Η ακεραιότητα των δεδομένων Γ. Όλα τα παραπάνω

Παραβιάσεων Γενικού Κανονισμού. Dr. Θεμιστοκλής Κ. Γιαννακόπουλος

Δεδομένων Προσωπικού Χαρακτήρα (General Data Protection Regulation - GDPR)

Celestyal Cruises Limited, συμπεριλαμβανομένων των θυγατρικών της. ( Εταιρεία ) ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ

ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ-ΝΟΜΙΜΟΤΗΤΑΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

Κανονιστικές Απαιτήσεις & Νομικές Συνέπειες Παραβιάσεων Γενικού Κανονισμού. Dr. Θεμιστοκλής Κ. Γιαννακόπουλος

ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ ΚΑΙ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΠΟΛΙΤΙΚΗ ΔΙΑΧΕΙΡΙΣΗΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΚΑΝΟΝΙΣΜΟΙ. L 173/2 Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

ΕΙΔΟΠΟΙΗΣΗ ΑΠΟΡΡΗΤΟΥ SEACRETE HOTELS

Παράρτημα Προστασίας Προσωπικών Δεδομένων

Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Πελατών

2. Τι είναι τα ευαίσθητα προσωπικά δεδομένα;

ΠΟΛΙΤΙΚΗ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΑΝΑΦΟΡΩΝ

1. Ποια δεδομένα προσωπικού χαρακτήρα συλλέγουμε και επεξεργαζόμαστε

ΟΔΗΓΙΑ (EE) 2016/680 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ ΔΕΔΟΜEΝΩΝ ΤΗΣ SGS BE DATA SAFE

ΤΠΔΤΘΤΝΟ ΠΡΟΣΑΗΑ ΓΔΓΟΜΔΝΩΝ (Τ.Π.Γ / D.P.O) ΑΠΟΣΟΛΟ ΕΗΩΕΗΑ ΓΗΚΖΓΟΡΟ - ΓΗΑΜΔΟΛΑΒΖΣΖ

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

GDPR General Data Protection Regulation

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΚΑΙ ΔΕΣΜΕΥΣΕΙΣ

Φάκελος Συμμόρφωσης της Διαθερμικής με τον Γενικό Κανονισμό Προστασίας Δεδομένων

Πρόσθετη Πράξη για την Επεξεργασία Δεδομένων

ΟΔΗΓΙΑ: Όροι Συμμόρφωσης των Αεροπορικών Εταιρειών με το κανονιστικό πλαίσιο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΕΛΑΤΩΝ

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (ΓΚΠΔ) GENERAL DATA PROTECTION REGULATION 2016/679

ΚΩΔΙΚΑΣ ΔΕΟΝΤΟΛΟΓΙΑΣ

GDPR General Data Protection Regulation

Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΙΩΑΝΝΗΣ Δ. ΙΓΓΛΕΖΑΚΗΣ ΑΝ. ΚΑΘΗΓΗΤΗΣ ΝΟΜΙΚΗΣ ΣΧΟΛΗΣ ΑΠΘ

Ο νέος κανονισμός προστασίας δεδομένων. Σταμπουλής Γεώργιος. Χημικός Μηχανικός, Οργανοτεχνική Α.Ε.

Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων στον Δήμο Καλαμαριάς. 2 Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων

B ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

Πολιτική Προστασίας Δεδομένων

Οδηγός προστασίας προσωπικών δεδομένων. SaaS ΕΚΤ Οδηγός προστασίας προσωπικών δεδομένων

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Εκτίµηση Αντικτύπου σχετικά µε την Προστασία εδοµένων: Απαιτήσεις και Εφαρµογή

ΝΕΟΣ ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (ΚΑΝΟΝΙΣΜΟΣ 679/2016)

Δήλωση Απορρήτου και Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Κατευθυντήρια Οδηγία προς την Αεροδρομιακή Κοινότητα

ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

Ενημέρωση για τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679 ΓΚΠΔ (GDPR)

ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

Θέμα: Γενική Ενημέρωση σχετικά με την Επεξεργασία των Προσωπικών Δεδομένων (Data Privacy Notice)

Ολοκληρωμένες Υπηρεσίες Συμμόρφωσης στις Απαιτήσεις του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα (GDPR)

Άρθρο 2: Νομική φύση του Κώδικα Δεοντολογίας- Σχέση Κώδικα με εθνική και κοινοτική νομοθεσία

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΚΑΝΟΝΙΣΜΟ (ΕΕ) 2016/679 ΚΑΙ ΤΗ ΣΧΕΤΙΚΗ ΕΛΛΗΝΙΚΗ ΝΟΜΟΘΕΣΙΑ

ΕΙΔΟΠΟΙΗΣΗ ΕΚΤΕΛΟΥΝΤΟΣ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές

«ΕΝ ΤΑΧΕΙ» ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ

ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ. 1. Γενικές πληροφορίες

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Η εφαρμογή και ο καθορισμός των διοικητικών προστίμων σύμφωνα με τον Γενικό Κανονισμό για την Προστασία των Προσωπικών Δεδομένων

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ. Ο χρόνος και ο τρόπος τήρησης των αρχείων περιγράφεται στη διδικασία Δ.550, Έλεγχος και τήρηση αρχείων και μητρώων.

GDPR σε Φορείς και Επιχειρήσεις

ΟΡΓΑΝΙΣΜΟΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ ΤΗΣ ΕΛΛΑΔΟΣ Α.Ε.

Δεδομένα ταυτοποίησης: Ονοματεπώνυμο, πατρώνυμο, Α.Δ.Τ., Α.Φ.Μ., ημερομηνία και τόπο γέννησης, ΑΜΚΑ.

ΚΕΦΑΛΑΙΟ III. Δικαιώματά του υποκειμένου των δεδομένων. Τμήμα 1. Διαφάνεια και ρυθμίσεις. Άρθρο 12

Transcript:

Παραβίαση της ασφάλειας των προσωπικών δεδομένων Ενέργειες των επιχειρήσεων πριν από την επιβολή κυρώσεων Δήμητρα Γαμπά ΜΔΕ, ΚΔΕΟΔ

Δύο είναι οι βασικές εκφάνσεις μίας πολιτικής ασφάλειας των προσωπικών δεδομένων: Α. Να είσαι ικανός να αποτρέψεις παραβίαση Β. Να είσαι ικανός να αντιδράσεις άμεσα όταν αυτή προκύψει

Άρθρο 4 ΓΚΠΔ: Παραβίαση δεδομένων προσωπικού χαρακτήρα «παραβίαση δεδομένων προσωπικού χαρακτήρα είναι η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία»

Ως παραβίαση της ασφάλειας των προσωπικών δεδομένων θεωρείται: Π.χ η κλοπή ενός laptop με βάσεις δεδομένων πελατών Π.χ Η μόλυνση των ηλεκτρονικών συστημάτων από κακόβουλο λογισμικό που επιτίθεται σε προσωπικά δεδομένα και τα κοινοποιεί ή τα καταστρέφει Π.χ Η απώλεια κωδικών πρόσβασης σε κλειδωμένα συστήματα προσωπικών δεδομένων Επομένως, η ασφάλεια των προσωπικών δεδομένων δεν είναι πάντα αποκλειστικά στο χέρι της ίδιας της επιχείρησης.

Για να ξέρουν οι επιχειρήσεις τι πρέπει να κάνουν όταν παραβιάσουν: πότε παραβίασαν; τι συνέπειες έχει αυτή η παραβίαση;

Α. ΜΕΡΟΣ. Τι συνιστά παραβίαση προσωπικών δεδομένων;

Τρεις κατηγορίες παραβιάσεων: Παραβίαση εμπιστευτικότητας/ απορρήτου: Τυχαία ή χωρίς άδεια κοινολόγηση ή πρόσβαση σε προσωπικά δεδομένα Παραβίαση ακεραιότητας: Τυχαία ή χωρίς άδεια τροποποίηση των δεδομένων Παραβίαση διαθεσιμότητας: Τυχαία ή χωρίς άδεια απώλεια πρόσβασης ή καταστροφή *Μία παραβίαση μπορεί να ενταχθεί ταυτόχρονα σε δύο ή και σε τρείς κατηγορίες παραβιάσεων.

Παραδείγματα Ένα διαφημιστικό mail στέλνετε σε μία λίστα αποδεκτών με αποτέλεσμα κάθε αποδέκτης να μπορεί να δει τις ηλεκτρονικές διευθύνσεις και των λοιπών αποδεκτών Μία λίστα με προσωπικά δεδομένα καταναλωτών κοινοποιείται κατά λάθος σε μία λίστα ηλεκτρονικών διευθύνσεων με πάνω από 1000 μέλη Ένα πρόβλημα στην τηλεφωνική σύνδεση που διαρκεί περίπου μισή ώρα καθιστά εκτός λειτουργίας το τηλεφωνικό κέντρο μίας επιχείρησης με αποτέλεσμα οι πελάτες να μην έχουν πρόσβαση για το διάστημα αυτό στα δεδομένα τους. Γίνεται διακοπή ρεύματος και για μία περίπου ώρα είναι αδύνατη η πρόσβαση στα αρχεία προσωπικών δεδομένων Μετά από μία διάρρηξη στο γραφείο της επιχείρησης λείπει ένα CD με προσωπικά δεδομένα πελατών.

Β. ΜΕΡΟΣ. Υποχρεώσεις των επιχειρήσεων μετά την παραβίαση

1. Υποχρέωση γνωστοποίησης στην εποπτική αρχή 33 παρ.1 Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση..

Πότε αποκτά γνώση της παραβίασης; Παράδειγματα Χάνεται ένα CD με κωδικοποιημένα προσωπικά δεδομένα. Γνώση αποκτάς όταν καταλαβαίνεις ότι χάθηκε το CD. Τρίτος ειδοποιεί τον υπεύθυνο επεξεργασίας ότι έφτασαν σε αυτόν προσωπικά δεδομένα κάποιου πελάτη και παρέχει αποδεικτικά στοιχεία για αποκάλυψη των στοιχείων αυτών χωρίς άδεια. Γνώση από το σημείο που έλαβε γνώση των αποδείξεων Τρίτος επικοινωνεί με τον υπεύθυνο, τον ενημερώνει ότι έχει χακάρει το σύστημα και ζητάει χρήματα για να μην καταστρέψει ή δημοσιοποιήσει τα προσωπικά δεδομένα. Σε αυτό το σημείο ο υπεύθυνος έχει λάβει γνώση Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα και αυτός υποχρεούται να ενημερώσει την αρχή

Τι πληροφορίες πρέπει να παρέχονται; Φύση της παραβίασης Όνομα και πληροφορίες επικοινωνίας του dpo ή οποιοδήποτε άλλου Περιγραφή των πιθανών συνεπειών της παραβίασης Περιγραφή των μέτρων που έχουν ήδη ληφθεί ή θα ληφθούν στο μέλλον και σε ορισμένες περιπτώσεις συγκεκριμένες προτάσεις προς το υποκείμενο για να προστατεύσει καλύτερα τα συμφέροντα και τα δικαιώματά του

Συγκεκριμένα είδη παραβιάσεων μπορεί να απαιτούν και την παροχή ειδικότερων πληροφοριών: Για παράδειγμα: Ένας υπεύθυνος επεξεργασίας μπορεί να χρειαστεί να παρέχει ως πληροφορία και το όνομα του εκτελούντος την επεξεργασία αν αυτός ευθύνεται για την παραβίαση των δεδομένων και ακόμη περισσότερο αν παρέχει τις ίδιες υπηρεσίες και σε άλλους υπεύθυνους * Σε κάθε περίπτωση η εποπτική αρχή μπορεί να ζητήσει περισσότερες πληροφορίες

Φάσεις γνωστοποίησης 4. Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση Μετά την αρχική γνωστοποίηση της παραβίασης πρέπει να υπάρχει συνεχής ενημέρωση της αρχής γιατί μπορεί να υπάρξουν μεταβολές: Για παράδειγμα: Χάνεται ένα CD με προσωπικά δεδομένα πελατών και ενημερώνεται εντός 72 ωρών την αρχή. Κάποιες μέρες αργότερα το CD βρίσκεται λανθασμένα τοποθετημένο σε ένα παλιό φάκελο. Αυτή η πληροφορία πρέπει να δοθεί στην αρχή γιατί εν τέλει δεν υπάρχει παραβίαση.

Επιτρεπτή καθυστέρηση στη γνωστοποίηση Όταν η γνωστοποίηση προς την αρμόδια εποπτική αρχή δεν γίνεται εντός 72 ωρών από την γνώση της παραβίασης πρέπει να συνοδεύεται με τους λόγους της καθυστέρησης.

Πότε η γνωστοποίηση δεν χρειάζεται; Όταν οι παραβιάσεις είναι απίθανο να έχουν ως αποτέλεσμα τη διακινδύνευση ελευθεριών και δικαιωμάτων φυσικών προσώπων δεν απαιτείται να γνωστοποιούνται. Προσοχή! Ακόμα και όταν μία παραβίαση δεν χρειάζεται να γνωστοποιηθεί γιατί στην παρούσα χρονική στιγμή δεν συνιστά κίνδυνο σε δικαιώματα και ελευθερίες αυτό δεν σημαίνει ότι στο μέλλον δεν θα μπορούσε να καταστεί επικίνδυνη.

2. Υποχρέωση ενημέρωσης του υποκείμενου 34. 1 Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων. H υποχρέωση αυτή συντρέχει σωρευτικά με την υποχρέωση γνωστοποίησης στην εποπτική αρχή. Η υποχρέωση αυτή υπάρχει όταν είναι πιθανό να επέλθει σοβαρός κίνδυνος στα δικαιώματα και τις ελευθερίες του ατόμου. Σκοπός της ενημέρωσης: Να παρέχουν προς τα υποκείμενα συγκεκριμένη πληροφόρηση ώστε να μπορέσουν αν προστατευτούν.

Τι πληροφορίες πρέπει να παρέχονται; Φύση της παραβίασης Όνομα και πληροφορίες επικοινωνίας του dpo ή οποιοδήποτε άλλου Περιγραφή των πιθανών συνεπειών της παραβίασης Περιγραφή των μέτρων που έχουν ήδη ληφθεί ή θα ληφθούν στο μέλλον και σε ορισμένες περιπτώσεις συγκεκριμένες προτάσεις προς το υποκείμενο για να προστατεύσει καλύτερα τα συμφέροντα και τα δικαιώματά του

Πως πρέπει να γίνεται η επικοινωνία με τα υποκείμενα; Εξατομικευμένη επικοινωνία Η ενημέρωση πρέπει να είναι ευθεία και σαφής. Προσοχή! Η ενημέρωση πρέπει να γίνεται με τέτοιον τρόπο ώστε να καθίσταται κατανοητή σε όλα τα υποκείμενα στα οποία απευθύνεται. Π.Χ ενημέρωση στη γλώσσα τους Προσοχή! στην επιλογή του τρόπου ενημέρωσης. Θα μπορούσε και αυτός να δεχθεί π.χ επίθεση από χάκερς.

Πότε δεν χρειάζεται γνωστοποίηση; Α) ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας β) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει υψηλός κίνδυνος γ) προϋποθέτει δυσανάλογες προσπάθειες.

Αξιολόγηση κινδύνου: 1. Βοηθά να γίνουν τα κατάλληλα βήματα για τη μείωση της βλάβης 2. Γνωρίζει εάν και ποιον πρέπει να ενημερώσει για την παραβίαση

Δύο είναι οι βασικοί παράγοντες αξιολόγησης: ένταση παραβίασης ελευθεριών και δικαιωμάτων πιθανότητα παραβίασης ελευθεριών και δικαιωμάτων

Κριτήρια για να εντοπισθούν η ένταση και η πιθανότητα παραβίασης Το είδος της παραβίασης Φύση και ευαισθησία των προσωπικών δεδομένων Επίπεδο ευκολίας ταυτοποίησης του υποκειμένου Δριμύτητα συνεπειών για το υποκείμενο Ειδικά χαρακτηριστικά υποκειμένου Ο αριθμός των υποκειμένων που επηρεάζονται Ειδικά χαρακτηριστικά του υπευθύνου επεξεργασίας

Πότε είναι πιθανό να υπάρχει υψηλός κίνδυνος; Όταν η διαρροή είναι να δυνατόν να οδηγήσει σε: φυσική, υλική ή ηθική ζημία για τα υποκείμενα, τα δεδομένα των οποίων έχουν παραβιασθεί. Π.χ κλοπή ταυτότητας, απάτη, οικονομική ζημία, βλάβη στη φήμη. Όταν η παραβίαση αφορά δεδομένα που αποκαλύπτουν: φυλή ή εθνοτική καταγωγή, πολιτική άποψη, θρησκεία, συμμετοχή σε συνδικαλιστικές οργανώσεις, πολιτικά φρονήματα, γενετικά δεδομένα, σεξουαλική ζωή ή ποινικές καταδίκες, είναι πιθανό να προκύψουν τέτοιου είδους παραβιάσεις.

Άσχετα με το αν υπάρχει υποχρέωση γνωστοποίησης, η υποχρέωση τεκμηρίωσης ισχύει για κάθε παραβίαση

3. Υποχρέωση καταγραφής της παραβίασης Άρθρο 33 παρ. 5 Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, που συνίστανται στα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.

Τι περιλαμβάνει αυτή η τεκμηρίωση: Αιτίες παραβίασης Πραγματικά γεγονότα Δεδομένα που επηρεάστηκαν Αιτιολογία για τη μη κοινοποίηση στην αρχή Αιτιολογία για μη κοινοποίηση στο υποκείμενο Αιτιολογία καθυστέρησης γνωστοποιήσης προς την αρχή Αποδείξεις της επικοινωνίας με το υποκείμενο ώστε να αποδεικνύεται πως η γνωστοποίηση ήταν ορθή και πλήρης

Πρακτικά βήματα προετοιμασίας Βασικό στοιχείο των τεχνικών και οργανωτικών μέτρων που πρέπει να λάβει ένας υπεύθυνος επεξεργασίας ώστε να κατοχυρώνει ένα κατάλληλο επίπεδο ασφάλειας των προσωπικών δεδομένων είναι η δυνατότητα εντοπισμού και αναφοράς αφενός εντός της επιχείρησης και αφετέρου στην αρχή ή το ίδιο το υποκείμενο μίας παραβίασης.

Όλες πληροφορίες σχετικά με πιθανές παραβιάσεις των δεδομένων πρέπει να κατευθύνεται προς ένα πρόσωπο με αρμοδιότητα να επιβεβαιώνει ότι υπήρξε παραβίαση και να κάνει εκτίμηση κινδύνου ώστε ανάλογα με τον κίνδυνο να γίνονται οι κατάλληλες ειδοποιήσεις των άρθρων 33 και 34

Ο εκτελών και ο υπεύθυνος επεξεργασίας θα πρέπει να διατηρούν σε προσιτό μέρος ένα κατανοητό έγγραφο που θα επεξηγεί τη διαδικασία αντίδρασης σε περίπτωση παραβίασης των προσωπικών δεδομένων, ώστε το σύνολο του προσωπικού να είναι σε θέση να γνωρίζει πως θα αντιδράσει.

Συμπερασματικά: Ο υπεύθυνος εντοπίζει μία παράβαση ασφάλειας προσωπικών δεδομένων Ο Υπεύθυνος αποκτά «γνώση» Κίνδυνος; Αξιολόγηση κινδύνου Ναι: Γνωστοποίηση στην εποπτική αρχή. Αν αφορά υποκείμενα σε περισσότερα κράτη μέλη, γνωστοποίηση σε κάθε αρμόδια εποπτική αρχή Σοβαρός κίνδυνος; ΝΑΙ: Γνωστοποίηση και στο υποκείμενο Σε κάθε περίπτωση Υποχρέωση καταγραφής

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια