Εκτίμηση κινδύνου και μέτρα ασφαλείας για την προστασία προσωπικών δεδομένων

Σχετικά έγγραφα
Προετοιμασία για μια νέα σχέση με την Αρχή Προστασίας Δεδομένων. Κωνσταντίνος Λιμνιώτης. Γεώργιος Ρουσόπουλος

EU Cyber Security Policy Ευρωπαϊκό δίκαιο προστασίας και ασφάλειας δεδομένων στα επόμενα χρόνια Θοδωρής Κωνσταντακόπουλος

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer)

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων

Bring Your Own Device (BYOD) Legal Challenges of the new Business Trend MINA ZOULOVITS LAWYER, PARNTER FILOTHEIDIS & PARTNERS LAW FIRM

DPO ΓΕΝΙΚΑ. Μια από τις αρχές του GDPR είναι Α. Η λογοδοσία Β. Η ακεραιότητα των δεδομένων Γ. Όλα τα παραπάνω

Προστασία Δεδομένων (Data Protection)

Privacy and data protection by

Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (GDPR)

GDPR (General Data Protection Regulation) Παναγιώτης Οικονόμου

Τεχνολογίες και Διαδικασίες ως μέσα συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων

Η Γνωστοποίηση Περιστατικών Παραβίασης ως εργαλείο συμμόρφωσης με το ΓΚΠΔ

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance

Το νομικό πλαίσιο του ΓΚΠΔ ΚΑΝΟΝΙΣΜΟΥ (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27 ης Απριλίου Δέσπω Ανδρέου Δικηγόρος

Παραβίαση της ασφάλειας των προσωπικών δεδομένων

ΣΥΓΧΡΟΝΕΣ ΤΑΣΕΙΣ ΣΤΗΝ ΕΚΤΙΜΗΣΗ ΚΑΙ ΧΑΡΤΟΓΡΑΦΗΣΗ ΤΩΝ ΚΙΝΔΥΝΩΝ

ISMS κατά ISO Δεκέμβριος 2016

Οι XΡΥΣΟΙ ΚΑΝΟΝΕΣ για τις ΕΤΑΙΡΕΙΕΣ ΣΥΜΜΟΡΦΩΣΗΣ ΑΣΘΕΝΩΝ υπό την σκέπη του GDPR

η PRIORITY από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο διεθνή πρότυπα και βέλτιστες πρακτικές

ΠΟΛΥΤΕΧΝΕΙΟ ΚΡΗΤΗΣ ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΕΡΙΒΑΛΛΟΝΤΟΣ

ΓΚΠΔ GDPR H σημασία του Data Protection Impact Assessment «Πρακτικά και εφαρμοστικά ζητήματα του Κανονισμού GDPR: Η επόμενη μέρα» ΣΕΒ 7/2/2018

Connected Threat Defense

Πρακτικός Οδηγός Ενσωμάτωσης του Κανονισμού σε επιχειρήσεις και οργανισμούς

Προστασία δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού

ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 GDPR

Security in the Cloud Era

Προκλήσεις από τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων. Dr. Θεμιστοκλής Κ. Γιαννακόπουλος

EU General Data Protection Regulation

ΠΑΝΔΠΙΣΗΜΙΟ ΜΑΚΔΓΟΝΙΑ ΠΡΟΓΡΑΜΜΑ ΜΔΣΑΠΣΤΥΙΑΚΧΝ ΠΟΤΓΧΝ ΣΜΗΜΑΣΟ ΔΦΑΡΜΟΜΔΝΗ ΠΛΗΡΟΦΟΡΙΚΗ

Connected Threat Defense

ΝΕΟΣ ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (ΚΑΝΟΝΙΣΜΟΣ 679/2016)

Διαχείριση προσωπικών δεδομένων (data governance) υπό το νέο Κανονισμό. Ανδριανή Φέρτη, Senior Associate Καρατζά και Συνεργάτες

Test Data Management in Practice

Σεμινάριο: Οι Απαιτήσεις του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR) και οι Ευθύνες των Επιχειρήσεων.

Γκορόγιας Άρης Χημικός Μηχανικός

GDPR για επιχειρήσεις με λόγια απλά

GDPR σε Φορείς και Επιχειρήσεις

Υπηρεσίες Πληροφόρησης στην Ψηφιακή Εποχή: Ζητήματα Ασφάλειας και Προστασίας Ιδιωτικότητας

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (General Data Protection Regulation)

Εργαστήριο Ανάπτυξης Εφαρμογών Βάσεων Δεδομένων. Εξάμηνο 7 ο

ICTR 2017 Congress evaluation A. General assessment

Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Ενημερωτική εκδήλωση για τις ερευνητικές υποδομές Δημήτρης Δενιόζος Γενική Γραμματεία Δημοσίων Επενδύσεων και ΕΣΠΑ

ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ ΙΓ' ΕΚΠΑΙΔΕΥΤΙΚΗ ΣΕΙΡΑ

ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΕΙΡΑΙΑ ΤΜΗΜΑ ΝΑΥΤΙΛΙΑΚΩΝ ΣΠΟΥΔΩΝ ΠΡΟΓΡΑΜΜΑ ΜΕΤΑΠΤΥΧΙΑΚΩΝ ΣΠΟΥΔΩΝ ΣΤΗΝ ΝΑΥΤΙΛΙΑ

έργα GDPR Alpha Υποστηρικτικών Εργασιών

GDPR : Περιστατικά Παραβίασης Προσωπικών Δεδομένων 8 μήνες μετά

ΕΘΝΙΚΟ ΚΑΙ ΚΑΠΟΔΙΣΤΡΙΑΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΣΧΟΛΗ ΘΕΤΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ

Ανάλυση κινδύνου και Εκτίμηση Αντικτύπου

Πρόγραμμα εκπαιδευτικού σεμιναρίου (40ώρο 28/04/2018) Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer - DPO)

Εργαστήριο Ανάπτυξης Εφαρμογών Βάσεων Δεδομένων. Εξάμηνο 7 ο

Legal use of personal data to fight telecom fraud

ΚΕΦΑΛΑΙΟ I. Γενικές διατάξεις. Άρθρο 1. Αντικείμενο και στόχοι

Πρόγραμμα εκπαιδευτικού σεμιναρίου (40ώρο 09/06/2018) Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer - DPO)

GDPR/ISO GDPR & SECURITY CONSULTING SERVICES By Cosmos Business Systems

Ένας χρόνος GDPR: Οι προκλήσεις για τις επιχειρήσεις, ο ρόλος των εποπτικών αρχών & η αυριανή ημέρα

9η Παρ. Ι. ΘΕΟΤΟΚΗ 1, ΤΗΛ.: , FAX: 44110, Τ.Κ ΚΕΡΚΥΡΑ

Προσωπικά Δεδομένα. στο νέο ρυθμιστικό πλαίσιο. Σπύρος Τάσσης.

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

Εθνικό και Ευρωπαϊκό Νομικό Πλαίσιο για την Προστασία Δεδομένων

Προσωπική Aνάπτυξη. Ενότητα 2: Διαπραγμάτευση. Juan Carlos Martínez Director of Projects Development Department

ΜΑΡΙΟΛΑΚΟΣ Η., ΦΟΥΝΤΟΥΛΗΣ Ι., ΣΠΥΡΙΔΩΝΟΣ Ε., ΑΝΔΡΕΑΔΑΚΗΣ Ε., ΚΑΠΟΥΡΑΝΗ, Ε.

Δεδομένων Προσωπικού Χαρακτήρα (General Data Protection Regulation - GDPR)

The Greek Data Protection Act: The IT Professional s Perspective

ΕταιρικήΠαρουσίαση ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΑΪΟΣ 2018

EE512: Error Control Coding

ΑΝΩΤΑΤΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΠΕΙΡΑΙΑ ΤΕΧΝΟΛΟΓΙΚΟΥ ΤΟΜΕΑ ΣΧΟΛΗ ΤΕΧΝΟΛΟΓΙΚΩΝ ΕΦΑΡΜΟΓΩΝ ΤΜΗΜΑ ΠΟΛΙΤΙΚΩΝ ΜΗΧΑΝΙΚΩΝ Τ.Ε.

Προσωπική Aνάπτυξη. Ενότητα 4: Συνεργασία. Juan Carlos Martínez Director of Projects Development Department

Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) & Aσφάλιση Cyber Privacy Insurance. Νίκος Γεωργόπουλος- Cyber Privacy Risks Advisor

ΜΕΛΕΤΗ ΤΗΣ ΗΛΕΚΤΡΟΝΙΚΗΣ ΣΥΝΤΑΓΟΓΡΑΦΗΣΗΣ ΚΑΙ Η ΔΙΕΡΕΥΝΗΣΗ ΤΗΣ ΕΦΑΡΜΟΓΗΣ ΤΗΣ ΣΤΗΝ ΕΛΛΑΔΑ: Ο.Α.Ε.Ε. ΠΕΡΙΦΕΡΕΙΑ ΠΕΛΟΠΟΝΝΗΣΟΥ ΚΑΣΚΑΦΕΤΟΥ ΣΩΤΗΡΙΑ

Πανεπιστήμιο Πειραιώς Τμήμα Πληροφορικής Πρόγραμμα Μεταπτυχιακών Σπουδών «Πληροφορική»

Α Π Ο Φ Α Σ Η 14/2019 (Τμήμα)

ΕΙΔΟΠΟΙΗΣΗ ΕΚΤΕΛΟΥΝΤΟΣ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΤΕΧΝΟΛΟΓΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΚΥΠΡΟΥ ΣΧΟΛΗ ΜΗΧΑΝΙΚΗΣ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ. Πτυχιακή εργασία ΟΛΙΣΘΗΡΟΤΗΤΑ ΚΑΙ ΜΑΚΡΟΥΦΗ ΤΩΝ ΟΔΟΔΤΡΩΜΑΤΩΝ ΚΥΚΛΟΦΟΡΙΑΣ

TAMIL NADU PUBLIC SERVICE COMMISSION REVISED SCHEMES

Μέτρηση αντικτύπου του έργου Αποτελέσματα Ερευνών. Deloitte 26 Οκτωβρίου 2016 Λευκωσία

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (ΓΚΠΔ) GENERAL DATA PROTECTION REGULATION 2016/679

ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

Η Σημασία της Οικολογικής Σήμανσης ως πρακτική καινοτομίας και διαφοροποίησης. Δρ. Παναγιώτης Παναγιωτακόπουλος Διευθύνων Σύμβουλος,Close the Loop

ΠΡΟΣΤΑΣΙΑ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΕΕ 2016/679. Ευαγγελία Παλαιολόγου ικηγόρος

ΟΔΗΓΙΑ: Όροι Συμμόρφωσης των Αεροπορικών Εταιρειών με το κανονιστικό πλαίσιο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα

Risk Management & Business Continuity Τα εργαλεία στις νέες εκδόσεις

Συνεργασία PRIORITY & INTERAMERICAN:

Γενικός Κανονισμός Προστασίας Δεδομένων (Γ.Κ.Π.Δ.) Πως οι επιχειρήσεις προστατεύουν τα προσωπικα δεδομένα των Ευρωπαίων πολιτών.

Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων. Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

και τα οφέλη για τον τομέα ανάπτυξης γης και οικοδομών

Κατευθυντήρια Οδηγία προς την Αεροδρομιακή Κοινότητα

GDPR Από τη Θεωρία στην Πράξη Μύθοι και Πραγματικότητα Κώστας Παπαχριστοφής (MSc, MBA)

Abstract Storage Devices

Προετοιμασία για μια νέα σχέση με την Αρχή Προστασίας Δεδομένων

(Εννοιολογική θεμελίωση)

LEGAL INSIGHT Η ΣΥΜΜΟΡΦΩΣΗ ΤΩΝ ΕΠΙΧΕΙΡΗΣΕΩΝ ΠΡΟΣ ΤΟΝ ΝΕΟ ΕΥΡΩΠΑΪΚΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ- Η ΑΝΤΙΣΤΡΟΦΗ ΜΕΤΡΗΣΗ ΓΙΑ ΤΟΝ GDPR

Τ.Ε.Ι. ΔΥΤΙΚΗΣ ΜΑΚΕΔΟΝΙΑΣ ΠΑΡΑΡΤΗΜΑ ΚΑΣΤΟΡΙΑΣ ΤΜΗΜΑ ΔΗΜΟΣΙΩΝ ΣΧΕΣΕΩΝ & ΕΠΙΚΟΙΝΩΝΙΑΣ

Θέμα: Γενική Ενημέρωση σχετικά με την Επεξεργασία των Προσωπικών Δεδομένων (Data Privacy Notice)

ΠΟΛΥΤΕΧΝΕΙΟ ΚΡΗΤΗΣ ΣΧΟΛΗ ΜΗΧΑΝΙΚΩΝ ΠΕΡΙΒΑΛΛΟΝΤΟΣ

Κάθε γνήσιο αντίγραφο φέρει υπογραφή του συγγραφέα. / Each genuine copy is signed by the author.

General description of the measure including its intervention logic and contribution to focus areas and cross-cutting objectives

Διαχείριση Παραβίασης Προσωπικών Δεδομένων

Προς όλα τα μέλη του Συνδέσμου Τεχνική Εγκύκλιος Αρ. 32 (Αναθεωρημένη)

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

Transcript:

Εκτίμηση κινδύνου και μέτρα ασφαλείας για την προστασία προσωπικών δεδομένων Δρ. Προκόπιος Δρογκάρης NIS Officer edemocracy 2017 Αθήνα 15.12.2017 European Union Agency for Network and Information Security

H έννοια του «κινδύνου» Κίνδυνος (risk) Απειλή (threat) Αντίκτυπος (impact) Η πιθανότητα πραγματοποίησης μιας απειλής σε συνδυασμό με τον αντίκτυπο που αυτή η απειλή θα έχει εφόσον συμβεί. Οτιδήποτε ενδέχεται να βλάψει τα αγαθά που θέλουμε να προστατεύσουμε. Το μέγεθος των αρνητικών επιπτώσεων που μπορεί να επιφέρει μια απειλή. 2

Διαχείριση κινδύνου (risk management) Εκτίμηση κινδύνου Αντιμετώπιση κινδύνου Μείωση Αποδοχή Αποφυγή Λήψη μέτρων Επικοινωνία 3

Άρθρο 32 Ασφάλεια επεξεργασίας 4

Η εκτίμηση κινδύνων στον Γ. Κ. Προστασίας Προσωπικών Δεδομένων Ασφάλεια της επεξεργασίας (άρθρο 32). Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή και στο υποκείμενο των δεδομένων (άρθρα 33 & 34). Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (άρθρο 35). Προηγούμενη διαβούλευση (άρθρο 36). Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού (άρθρο 25). Κατάρτιση κωδίκων δεοντολογίας και πιστοποίηση (άρθρα 40 & 42). Αρχή της υπευθυνότητας ή λογοδοσίας (accountability) άρθρο 5 παρ. 2 Γ.Κ. 5

Η έννοια του κινδύνου για τα προσωπικά δεδομένα Κίνδυνος (risk) Αποκλειστικά ως προς τις ελευθερίες και τα δικαιώματα των υποκειμένων των δεδομένων Δεν αφορά οικονομικό ή επιχειρησιακό κίνδυνο Ανεξαρτήτου κλίμακας (ακόμα κι αν αφορά ένα μόνο υποκείμενο είναι αρκετό!) Απειλή (threat) Κάθε εξωγενής ή ενδογενής παράγοντας που θα μπορούσε να οδηγήσει σε παραβίαση προσωπικών δεδομένων Κάθε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ άλλο τρόπο σε επεξεργασία (αρ. 4 (12) Γ.Κ.) Αντίκτυπος (impact) Αρνητικές επιπτώσεις στα υποκείμενα των δεδομένων Εξέταση και δευτερογενών επιπτώσεων! Κατάχρηση ή υποκλοπή ταυτότητας. Οικονομική απώλεια. Φυσική ή ψυχολογική βλάβη. Προσβολή, Ταπείνωση. Ενόχληση. Διακρίσεις. Βλάβη της φήμης. Απειλή κατά της ζωής. 6

Διαχείριση κινδύνoυ στην προστασία προσωπικών δεδομένων Τύπος δεδομένων Σκοπός Εκτίμηση κινδύνου Πλαίσιο και φύση της επεξεργασίας Υποκείμενα & παραλήπτες δεδομένων Μέσα και περιβάλλον επεξεργασίας Αντιμετώπιση κινδύνου Λήψη μέτρων Αναθεώρηση επεξεργασίας Διαβούλευση με εποπτική αρχή Η αποδοχή του κινδύνου μπορεί να μην είναι δυνατή Επικοινωνία κινδύνου Υποκείμενα των δεδομένων 7

Κατευθυντήριες γραμμές για τον υπολογισμό του κινδύνου Βήμα 1 Ορισμός πλαισίου και φύση της επεξεργασίας Τύποι προσωπικών δεδομένων Κατηγορίες υποκειμένων επεξεργασίας Μέσα επεξεργασίας Αποδέκτες Βήμα 2 Κατανόηση και αξιολόγηση αντικτύπου Βήμα 3 Αναγνώριση απειλών και πιθανότητα πραγματοποίησής τους Εμπιστευτικότητα Ακεραιότητα Διαθεσιμότητα Δίκτυα και τεχνικές υποδομές Διαδικασίες Πρόσωπα που εμπλέκονται στην επεξεργασία Επιχειρησιακός τομέας και εύρος της επεξεργασίας Βήμα 4 Υπολογισμός κινδύνου 8

Υιοθέτηση μέτρων ανάλογα με το επίπεδο κινδύνου SM.A.1 Security policy The organization should develop and document a security policy with regard to the processing of personal data. The policy should be approved by management and communicated to all employees and relevant external parties. SM.M.1 SM.M.2 Database security Database and applications servers should be configured to run using a separate account, with minimum OS privileges to function correctly. Database and applications servers should only process the personal data that are actually neededs to process in order to achieve its processing purposes. SM.A.2 SM.A.3 The security policy should be reviewed and revised, if necessary, on an annual basis. The security policy should at least refer to: the roles and responsibilities of personnel, the baseline technical and organisation measures adopted for the security of personal data, the data processors or other third parties involved in the processing of personal data. SM.M.3 SM.M.4 Encryption solutions should be considered on specific files or records through software or hardware implementation. Encrypting storage drives should be considered SM.A.4 An inventory of specific policies/procedures related to the security of personal data should be created and maintained, based on the general security policy. SM.M.5 Pseudonymization techniques should be applied through separation of data from direct identifiers to avoid linking to data subject without additional information SM.A.5 The security policy should be reviewed and revised, if necessary, on a semester basis. Related to ISO 27001:2013 - A.5 Security policy control SM.M.6 Techniques supporting privacy at the database level, such as authorized queries, privacy preserving data base querying, searchable encryption, etc., should be considered. Related to ISO 27001:2013 - A. 12 Operations security 9

Ευχαριστώ πολύ PO Box 1309, 710 01 Heraklion, Greece Tel: +30 28 14 40 9710 info@enisa.europa.eu www.enisa.europa.eu

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια