1
General Data Protection Regulation (GDPR) 2
Τι είναι το GDPR Κανονισμός (ΕΕ) 2016/679 (27 Απριλίου 2016) Αντικαθιστά την Οδηγία 95/46/ΕΚ Άμεση Εφαρμογή σε όλα τα κράτη-μέλη της Ε.Ε. από τις 25 Μαΐου 2018 173 αιτιολογικές σκέψεις 99 άρθρα 3
Τι είναι το GDPR Ελεύθερη κυκλοφορία των δεδομένων Ουσιαστικό Πεδίο Εφαρμογής: Ολική ή μερική αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και η μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης Εδαφικό Πεδίο Εφαρμογής: σε όλες τις εταιρείες που επεξεργάζονται προσωπικά δεδομένα φυσικών προσώπων που βρίσκονται στην Ε.Ε. (ανεξάρτητα από τον αν η επεξεργασία πραγματοποιείται εντός της Ε.Ε.) 4
Ορισμοί Προσωπικά Δεδομένα Κάθε πληροφορία που αφορά ένα φυσικό πρόσωπο και η οποία μπορεί να οδηγήσει (μόνη της ή σε συνδυασμό με άλλες) στην άμεση ή έμμεση ταυτοποίησή του 5
Προσωπικά Δεδομένα Αναγνωριστικά Δεδομένα Όνομα, Φύλο, Ημερομηνία Γέννησης, Ηλικία, Σωματικά/Φυσικά Χαρακτηριστικά Στοιχεία Επικοινωνίας Διεύθυνση, Τηλεφωνικός Αριθμός, Τ.Κ., Email Address κλπ Κρατικά Αναγνωριστικά Αρ. Ταυτότητας, Αρ. Διαβατηρίου, ΑΜΚΑ, ΑΦΜ, Άδεια/Δίπλωμα Οδήγησης κλπ 6
Προσωπικά Δεδομένα Οικονομικά Δεδομένα Τραπεζικοί Λογαριασμοί, PIN, IBAN, Αρ. Πιστωτικών/Χρεωστικών Καρτών, Έσοδα, Περιουσιακά Στοιχεία κλπ Social Media Accounts Facebook, Twitter, LinkedIn, Instagram, Pinterest, YouTube κλπ Ψηφιακά Αναγνωριστικά IP Address, Barcodes, Cookies, GPS συντεταγμένες κλπ 7
Ευαίσθητα Προσωπικά Δεδομένα Φυλετική / Εθνοτική Καταγωγή Πολιτικά Φρονήματα Θρησκευτικές Πεποιθήσεις Φιλοσοφικές Πεποιθήσεις Συμμετοχή σε Συνδικαλιστική Οργάνωση Υγεία (σωματική ή ψυχική, παροχή υπηρεσιών υγειονομικής φροντίδας) Κοινωνική Πρόνοια Γενετικά Δεδομένα Βιομετρικά Δεδομένα Σεξουαλικές Προτιμήσεις Γενετήσιος Προσανατολισμός Ποινικές καταδίκες & Αδικήματα 8
Ορισμοί Επεξεργασία Κάθε πράξη που πραγματοποιείται σε προσωπικά δεδομένα με ή χωρίς τη χρήση αυτοματοποιημένων μέσων 9
Ορισμοί Επεξεργασία Συλλογή Καταχώρηση Οργάνωση 10
Ορισμοί Επεξεργασία Διάρθρωση Αποθήκευση Μεταβολή 11
Ορισμοί Επεξεργασία Ανάκτηση Χρήση Διάθεση / Διάδοση 12
Ορισμοί Επεξεργασία Συνδυασμός / Συσχετισμός Περιορισμός Διαγραφή / Καταστροφή 13
Ορισμοί Υπεύθυνος Επεξεργασίας Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδομένων 14
Ορισμοί Εκτελών την Επεξεργασία Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Υπεύθυνου Επεξεργασίας 15
Θεμελιώδεις Αρχές του Κανονισμού 6+1 Αρχή της Νομιμότητας, Αντικειμενικότητας & Διαφάνειας Αρχή του Περιορισμού του Σκοπού Αρχή της Ελαχιστοποίησης των Δεδομένων Αρχή της Ακρίβειας των Δεδομένων Αρχή του Περιορισμού της Περιόδου Τήρησης των Δεδομένων Αρχή της Ακεραιότητας & της Εμπιστευτικότητας των Δεδομένων Λογοδοσία του Υπεύθυνου Επεξεργασίας 16
Θεμελιώδεις Αρχές του Κανονισμού στην πράξη Αρχή της Νομιμότητας της Επεξεργασίας Προϋπόθεση Η ρητή συγκατάθεση του υποκειμένου των δεδομένων για την επεξεργασία τους Πράξη Ζητάμε έγγραφη και ενυπόγραφη συγκατάθεση των πελατών μας για τη συλλογή και περαιτέρω επεξεργασία των δεδομένων τους 17
Θεμελιώδεις Αρχές του Κανονισμού στην πράξη Αρχή της Νομιμότητας της Επεξεργασίας - Εκτέλεση σύμβασης - Έννομη υποχρέωση του Υπεύθυνου Επεξεργασίας - Ζωτικό συμφέρον του υποκειμένου - Δημόσιο συμφέρον - Έννομο συμφέρον 18
Θεμελιώδεις Αρχές του Κανονισμού στην πράξη Αρχή του Περιορισμού του Σκοπού Προϋπόθεση Τα δεδομένα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με τους σκοπούς αυτούς Πράξη Ζητάμε και συλλέγουμε μόνο αυτά τα δεδομένα που είναι απαραίτητα για το σκοπό για τον οποίο τα χρειαζόμαστε 19
Θεμελιώδεις Αρχές του Κανονισμού στην πράξη Αρχή της Ελαχιστοποίησης των Δεδομένων Προϋπόθεση Τα δεδομένα που συλλέγονται πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία Πράξη Ζητάμε και συλλέγουμε μόνο όσα δεδομένα είναι απαραίτητα για το σκοπό για τον οποίο τα χρειαζόμαστε 20
Θεμελιώδεις Αρχές του Κανονισμού στην πράξη Αρχή της Ακρίβειας των Δεδομένων Προϋπόθεση Τα δεδομένα που συλλέγονται πρέπει να είναι ακριβή και, όταν είναι αναγκαίο, να επικαιροποιούνται Πράξη Πρέπει να λαμβάνουμε όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων που είναι ανακριβή σε σχέση με το σκοπό επεξεργασίας τους 21
Θεμελιώδεις Αρχές του Κανονισμού στην πράξη Αρχή του Περιορισμού της Περιόδου Τήρησης των Δεδομένων Προϋπόθεση Τα δεδομένα που συλλέγονται πρέπει να είναι ή/και να διατηρούνται μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας Πράξη Δεν συνεχίζουμε να τηρούμε δεδομένα όταν έχει παρέλθει το απαιτούμενο διάστημα για το σκοπό της επεξεργασίας τους ΕΞΑΙΡΕΣΗ: - Αρχειοθέτηση για δημόσιο συμφέρον - Επιστημονική ή Ιστορική Έρευνα - Στατιστικοί σκοποί ΕΦΟΣΟΝ διασφαλίζονται τα δικαιώματα και οι ελευθερίες του υποκειμένου 22
Θεμελιώδεις Αρχές του Κανονισμού στην πράξη Αρχή της Ακεραιότητας & Εμπιστευτικότητας των Δεδομένων Προϋπόθεση Τα δεδομένα υποβάλλονται σε επεξεργασία με τρόπο που εγγυάται την ασφάλειά τους Πράξη Λαμβάνουμε όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων από μη εξουσιοδοτημένο χρήστη, από παράνομη επεξεργασία, τυχαία απώλεια, καταστροφή ή φθορά κλπ 23
Θεμελιώδεις Αρχές του Κανονισμού στην πράξη Λογοδοσία του Υπεύθυνου Επεξεργασίας Προϋπόθεση Ο Υπεύθυνος Επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με τις επιταγές του Κανονισμού Πράξη Δεν αρκεί να είμαστε σύννομοι, πρέπει να μπορούμε και να το αποδείξουμε! 24
Τα Θεμελιώδη Δικαιώματα του Υποκειμένου των Δικαιωμάτων Δικαίωμα στην ενημέρωση Δικαίωμα στην πρόσβαση Δικαίωμα στη διόρθωση 25
Τα Θεμελιώδη Δικαιώματα του Υποκειμένου των Δικαιωμάτων Δικαίωμα στη διαγραφή (δικαίωμα στη λήθη) Δικαίωμα στον περιορισμό της επεξεργασίας Δικαίωμα στη φορητότητα 26
Τα Θεμελιώδη Δικαιώματα του Υποκειμένου των Δικαιωμάτων Δικαίωμα εναντίωσης (αντίρρησης) Δικαίωμα εναντίωσης στις περιπτώσεις εμπορικής προώθησης και profilling 27
5 Βασικά Βήματα Στρατηγικός Σχεδιασμός / Σχηματισμός Ομάδας Καταγραφή Υπάρχουσας Κατάστασης Κάλυψη των αποκλίσεων από τον Κανονισμό Διενέργεια Λειτουργικών Ελέγχων Διαρκής Συμμόρφωση με το GDPR 28
Βήμα 1 Στρατηγικός Σχεδιασμός / Σχηματισμός Ομάδας Προσδιορισμός Ομάδας Κατανομή Χρόνου, Πόρων Ορισμός Υπεύθυνου Προστασίας Προσωπικών Δεδομένων (DPO) Προσδιορισμός Στόχων 29
Βήμα 2 Καταγραφή Υπάρχουσας Κατάστασης Χαρτογράφηση (data mapping) Απογραφή & Ροή Δεδομένων Προσδιορισμός των Ελλείψεων 30
Βήμα 3 Κάλυψη των Αποκλίσεων Ανάπτυξη Πολιτικών και Διαδικασιών Βελτίωση / Αναβάθμιση / Αντικατάσταση Λογισμικού & Υλικού (Software & Hardware) Φυσικές, Τεχνικές, Διοικητικές Διασφαλίσεις Διαχείριση 3 ων Μερών Εκπαίδευση 31
Βήμα 4 Διενέργεια Λειτουργικών Ελέγχων Διενέργεια Private Impact Assessment (DPIA) Διατήρηση αναγκαίων Δεδομένων & Διάθεση Ακεραιότητα Δεδομένων Σχέδιο Απόκρισης σε Περίπτωση Παραβίασης Δεδομένων 32
Βήμα 5 Διαρκής Συμμόρφωση Συνεχείς Έλεγχοι και Αξιολόγηση των Αποτελεσμάτων Εσωτερικές / Εξωτερικές Αναφορές Μηχανισμοί Ειδοποίησης Πιστοποίηση GDPR 33
αλλά 34
Το κόστος της Μη Συμμόρφωσης Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) παρακολουθεί και επιβάλλει την Εφαρμογή του Κανονισμού Πλήρης Ανεξαρτησία Έλεγχοι Αυτεπάγγελτα ή μετά από Ειδοποίηση Έλεγχος και Επανεξέταση των Πιστοποιήσεων Πολύ μεγάλα πρόστιμα (μέχρι το 4% του συνολικού παγκόσμιου ετήσιου τζίρου ή 20.000.000, ανάλογα με το ποιο είναι υψηλότερο) 35
οπότε 36
Κάλλιον το προλαμβάνειν ή το θεραπεύειν (Ιπποκράτης) 37