μάδα Εργασίας ΣΕΒ «Προστασία Προσωπικών Δεδομένων» DPR: Ευρωπαϊκές εξελίξεις Αθηνά Βουνάτσου & Αυγή Οικονομίδου Τομέας Επιχειρηματικού Περιβάλλοντος και Ρυθμιστικών Πολιτικών ΣΕΒ
Τα GDPR νέα της Ευρώπης 2
Σημαντικές ημερομηνίες (1) 25.05.2018 α) Διαδοχή ομάδας άρ. 29 από το Ευρωπαϊκό Συμβούλιο για την προστασία των προσωπικών δεδομένων (EDPB) και 1 η συνεδρίαση του Συμβουλίου (μεταφορά δεδομένων εκτός ΕΕ, μηχανισμοί πιστοποίησης, σφραγίδες & σήματα, e- privacy) β) Δύο νέες αγωγές του ακτιβιστή Max Schrems: i) κατά του Facebook και δύο θυγατρικών (WhatsApp και Instagram) ενώπιον των 9 εθνικών αρχών της Αυστρίας, του Βελγίου και του Αμβούργου ii) T κατά του Google αναφορικά με το σύστημα Android για τα smartphones, ενώπιον της Γαλλικής Αρχής γ) «αυτο-μπλοκάρισμα» US ειδησεογραφικών ιστοσελίδων (Los Angeles Times, the New York Daily News κ.ά.). 3
Σημαντικές ημερομηνίες (2) 9 T 29.05 & 31.05.2018 Εκπαιδευτικές συναντήσεις του Συμβουλίου με DPOs ευρωπαϊκών θεσμών 13.06.2018 H Dixons Carphone ανακοινώνει περιστατικό παραβίασης 5,9 εκ. καρτών και 1,2 εκ. αρχείων προσωπικών δεδομένων των πελατών της 1.07.2018 Τήρηση ανωνυμίας φυσικών προσώπων σε προδικαστικές υποθέσεις του Δικαστηρίου Ευρωπαϊκής Ένωσης 4 & 5.07.2018 2 η συνεδρίαση του Ευρωπαϊκού Συμβουλίου (OSS, PSD2, US Ombudsperson) 05.07.2018 Claudette : 14 τεχνολογικοί κολοσσοί στο μικροσκόπιο 4
Εξελίξεις στην εθνική νομοθεσία Πορεία ενσωμάτωσης Κανονισμού στην εθνική νομοθεσία των κρατών-μελών της ΕΕ (στοιχεία Μάιος 2018) 19; 70% 1; 4% Σημ.: Εξαιρείται η Κύπρος 7; 26% Έχει ψηφισθεί εθνική νομοθεσία Δημοσιευμένο Σχέδιο Νόμου ή επεξεργασία στη Βουλή Περιορισμένη ή καθόλου πληροφόρηση Έχει ψηφισθεί εθνική νομοθεσία: Αυστρία, Γερμανία, Ην. Βασίλειο, Κροατία, Πολωνία, Σλοβακία, Σουηδία Δημοσιευμένο Σχέδιο Νόμου ή επεξεργασία στη Βουλή: Βέλγιο, Βουλγαρία, Γαλλία, Δανία, Ελλάδα, Εσθονία, Ιρλανδία, Ισπανία, Ιταλία, Λετονία, Λιθουανία, Λουξεμβούργο, Ολλανδία, Ουγγαρία, Πορτογαλία, Ρουμανία, Σλοβενία, Τσεχία, Φινλανδία Περιορισμένη ή καθόλου πληροφόρηση: Μάλτα*! *Νεότερη πληροφορία: Εκδόθηκε ο Κώδικας Δεοντολογίας για την προστασία προσωπικών δεδομένων στον Τραπεζικό Τομέα 5
Σημαντικές υποθέσεις Υπόθεση Facebook, δύο παραβιάσεις: α. Διαρροή προσωπικών δεδομένων 8,7εκ. χρηστών στην Cambridge Analytica χωρίς συναίνεσή τους β. Παράλειψη ενημέρωσης σχετικά με τρόπο χρήσης δεδομένων από τρίτα μέρη Συνέπειες: - Πρόστιμο $664,000 βάσει του προ GDPR πλαισίου - Στοχοποίηση πολιτικών κομμάτων για αγορά προσωπικών δεδομένων σχετικά με τον τρόπο ζωής των πολιτών χωρίς την απαιτούμενη συγκατάθεσή τους από data brokers. Επιστολή προς τα 11 βασικά πολιτικά κόμματα του Ην. Βασιλείου για έλεγχο των πρακτικών τους. - Αναμένεται η ποινική προσαγωγή της SCL elections (μητρική της Cambridge Analytica) στη βάση της έλλειψης απόκρισης σε υποκείμενο ως προς τη διατήρηση προσωπικών του δεδομένων. 6
Σημαντική καθοδήγηση (1) Αγγλία - Information Commissioner Office (ICO) «Οδηγός GDPR» Λίστες αυτοαξιολόγησης (Data protection self assessment toolkit) για: o Υπεύθυνους Επεξεργασίας o Εκτελούντες την Επεξεργασία o Πολιτική τήρησης πληροφοριών και κυβερνοασφάλειας o Πρακτικές άμεσης εμπορικής προώθησης o Διαδικασίες διαχείρισης αρχείων και κίνδυνοι o Πολιτικές διαμοιρασμού δεδομένων και συμβάσεις o Συμμόρφωσης συστημάτων CCTV (εγκατάσταση, διαχείριση, λειτουργία κ.λπ.) Πρακτικές οδηγίες σχετικά με τους Κώδικες Δεοντολογίας Αναλυτική ενημέρωση της Αρχής στην έρευνα σχετικά με τη χρήση εφαρμογών data analytics σε προεκλογικές καμπάνιες Δείτε εδώ περισσότερα 7
Σημαντική καθοδήγηση (2) Γαλλία - Commission Nationale Informatique & Libertes (CNIL) Επικαιροποίηση εργαλείου εκπόνησης PIA Τώρα και στα ελληνικά! (+ άλλες 13 γλώσσες) Πρακτικός οδηγός για Υπεύθυνους Επεξεργασίας Σύσταση αναφορικά με κωδικούς για την κατοχύρωση της minimum ασφάλειας - Συμβουλές για την επιλογή ενός ασφαλούς κωδικού Οδηγός για την προστασία των προσωπικών δεδομένων Έκθεση για τα ηθικά ζητήματα που απορρέουν από την εφαρμογή αλγορίθμων τεχνητής νοημοσύνης Δείτε εδώ περισσότερα 8
Σημαντική καθοδήγηση (3) Ιρλανδία - Data Protection Commission (DPC) Ενημέρωση προς υποκείμενα: o Βασικά δικαιώματα και τρόπος άσκησης, γλωσσάρι Κανονισμού Ενημέρωση προς επιχειρήσεις: o o o 12 βήματα ελέγχου ετοιμότητας Αναλυτικός Οδηγός και οδηγίες σχετικά με την DPIA και το One Stop Shop για διασυνοριακή επεξεργασία δεδομένων Καθοδήγηση σχετικά με τα απαιτούμενα προσόντα του Υπεύθυνου Προστασίας Δεδομένων Δείτε εδώ περισσότερα 9
Λοιπές εξελίξεις Ελβετία - Federal Data Protection and Information Commissioner (FDPIC) & περιφερειακοί επίτροποι (Privatim) Οδηγός Guide to the General Data Protection Regulation - αποδελτίωση βασικών ζητημάτων, παραδείγματα εδαφικού πεδίου εφαρμογής, ευρωπαϊκή νομολογία και παραπομπές σε αγγλικό, γαλλικό και ιρλανδικό οδηγό) Ετήσια έκθεση Freedom before Security - αιχμές για καθυστέρηση έκδοσης εθνικής νομοθεσίας και αποδυνάμωσης της ανεξάρτητης αρχής σε σχέση με τις υπόλοιπες ευρωπαϊκές Κεντρικό μήνυμα: Ανησυχία για την αυξανόμενη επέκταση πράξεων επεξεργασίας προσωπικών δεδομένων από υπηρεσίες ασφαλείας στο πλαίσιο πάταξης φαινομένων τρομοκρατίας/ δέσμευση για ενημέρωση πολιτών ενόψει εθνικών και περιφερειακών εκλογών (απόηχος Cambridge Analytica, Brexit) Δείτε εδώ περισσότερα 10
Προσεχώς Διεθνές Συνέδριο Data Protection & Privacy Commissioners (ICDPPC) - Θέματα ψηφιακής ηθικής (Digital ethics) Βρυξέλλες, 22-26.10.2018 Ανάπτυξη εφαρμογών Τεχνητής Νοημοσύνης: ένα ακόμα εργαλείο αυτοσυμμόρφωσης και διασφάλισης των δικαιωμάτων των φυσικών προσώπων; Επόμενη ενημέρωση 12/2018 11
Ευχαριστούμε πολύ. 12