Προστασία δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού

Σχετικά έγγραφα
Privacy and data protection by

Αποκρυπτογραφώντας την προστασία δεδομένων ήδη από το σχεδιασμό και εξ ορισμού ΒΑΣΙΛΗΣ ΚΑΡΚΑΤΖΟΥΝΗΣ ΔΙΚΗΓΟΡΟΣ LLM ΣΥΝΙΔΡΥΤΗΣ LAWSPOT.

Εκτίμηση κινδύνου και μέτρα ασφαλείας για την προστασία προσωπικών δεδομένων

Το Ηλεκτρονικό Εμπόριο στο νέο πλαίσιο προστασίας προσωπικών δεδομένων

Προστασία Δεδομένων (Data Protection)

Ηλεκτρονικό εισιτήριο: Κινδυνεύει η Ιδιωτικότητα των Επιβατών ;

EU Cyber Security Policy Ευρωπαϊκό δίκαιο προστασίας και ασφάλειας δεδομένων στα επόμενα χρόνια Θοδωρής Κωνσταντακόπουλος

Προστασία προσωπικών δεδομένων ανηλίκων Τι (δεν) άλλαξε 6 μήνες μετά την εφαρμογή του Γενικού Κανονισμού

Πολιτική Ασφαλείας Προσωπικών Δεδομένων GDPR General Data Protection Regulation

Προετοιμασία για μια νέα σχέση με την Αρχή Προστασίας Δεδομένων. Κωνσταντίνος Λιμνιώτης. Γεώργιος Ρουσόπουλος

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

GDPR σε Φορείς και Επιχειρήσεις

Συστήματα Διαχείρισης Κινδύνου στα Ασύρματα Δίκτυα. Επιμέλεια: Βασίλης Παλιούρας MSc Information Security, MCSA, CCDA, CCA

Bring Your Own Device (BYOD) Legal Challenges of the new Business Trend MINA ZOULOVITS LAWYER, PARNTER FILOTHEIDIS & PARTNERS LAW FIRM

Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΙΩΑΝΝΗΣ Δ. ΙΓΓΛΕΖΑΚΗΣ ΑΝ. ΚΑΘΗΓΗΤΗΣ ΝΟΜΙΚΗΣ ΣΧΟΛΗΣ ΑΠΘ

Legal use of personal data to fight telecom fraud

Γενικός Κανονισμός Προστασίας Δεδομένων (Γ.Κ.Π.Δ.) Πως οι επιχειρήσεις προστατεύουν τα προσωπικα δεδομένα των Ευρωπαίων πολιτών.

GDPR Από τη Θεωρία στην Πράξη Μύθοι και Πραγματικότητα Κώστας Παπαχριστοφής (MSc, MBA)

Τεχνολογίες και Διαδικασίες ως μέσα συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων

Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

economy Δρ. Πάνος Φιτσιλής, Καθηγητής ΤΕΙ Θεσσαλίας Πρόγραμμα Μεταπτυχιακών Σπουδών Διοίκηση και Διαχείριση Έργων

Διαχείριση προσωπικών δεδομένων (data governance) υπό το νέο Κανονισμό. Ανδριανή Φέρτη, Senior Associate Καρατζά και Συνεργάτες

Οι XΡΥΣΟΙ ΚΑΝΟΝΕΣ για τις ΕΤΑΙΡΕΙΕΣ ΣΥΜΜΟΡΦΩΣΗΣ ΑΣΘΕΝΩΝ υπό την σκέπη του GDPR

Υπηρεσίες Πληροφόρησης στην Ψηφιακή Εποχή: Ζητήματα Ασφάλειας και Προστασίας Ιδιωτικότητας

The Greek Data Protection Act: The IT Professional s Perspective

«ΕΝ ΤΑΧΕΙ» ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance

Θέμα: Γενική Ενημέρωση σχετικά με την Επεξεργασία των Προσωπικών Δεδομένων (Data Privacy Notice)

Εθνικό και Ευρωπαϊκό Νομικό Πλαίσιο για την Προστασία Δεδομένων

Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (GDPR)

Ανάπτυξη ηλεκτρονικών μαθημάτων στην πλατφόρμα Open eclass. Γνωριμία με την Open eclass

ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΟ ΝΕΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (GDPR) ΥΠΟΧΡΕΩΣΕΙΣ ΟΔΟΝΤΙΑΤΡΩΝ

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

Ολοκληρωμένες Υπηρεσίες Συμμόρφωσης στις Απαιτήσεις του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα (GDPR)

Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) Αναστασία Λύρα Προϊσταμένη Τμήμα Διεθνών Συνεργασιών & Δημοσίων Σχέσεων

Ασφάλεια προσωπικών δεδομένων

Προσωπικά Δεδομένα. στο νέο ρυθμιστικό πλαίσιο. Σπύρος Τάσσης.

ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΣΤΟ CLOUD

Συμμόρφωση με τον κανονισμό GDPR με χρήση Enterprise Content Management εργαλείων Η πλατφόρμα ΠΑΠΥΡΟΣ της MODUS

η PRIORITY από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο διεθνή πρότυπα και βέλτιστες πρακτικές

Η προστασία των Προσωπικών Δεδομένων στον Εργασιακό Τομέα

Κατασκευάζοντας επιτυχηµένα websites. Γιάννης Κωνσταντακόπουλος

ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ ΣΧΕΔΙΟ

ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΣΤΟ CLOUD

From Secure e-computing to Trusted u-computing. Dimitris Gritzalis

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

1. Το απόρρητο των ηλεκτρονικών επικοινωνιών απαιτεί ειδική προστασία πέραν του ΓΚΠΔ

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer)

GDPR Kανονισμός για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα ΕΕ/679/2016

ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

Ανάλυση κινδύνου και Εκτίμηση Αντικτύπου

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Το νομικό πλαίσιο του ΓΚΠΔ ΚΑΝΟΝΙΣΜΟΥ (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27 ης Απριλίου Δέσπω Ανδρέου Δικηγόρος

Ένας χρόνος GDPR: Οι προκλήσεις για τις επιχειρήσεις, ο ρόλος των εποπτικών αρχών & η αυριανή ημέρα

Τεχνητή Νοημοσύνη και Γενικός Κανονισμός Προστασίας Δεδομένων

Προστατεύοντας τον κύκλο ζωής του εγγράφου στο περιβάλλον του γραφείου

Δημόσια ανοικτή διαδικασία συλλογής προσφορών για τις Συμβουλευτικές Υπηρεσίες συμμόρφωσης με τον κανονισμό προστασίας δεδομένων

Τετάρτη 20 Ιουνίου, Κρυπτογράφηση Ανωνυμοποίηση Ψευδωνυμοποίηση

Συνεργασία PRIORITY & INTERAMERICAN:

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗ ΕΝΔΙΑΦΕΡΟΝΤΟΣ. Υποβολής Πρότασης Συνεργασίας «GDPR Compliance Services» και DΡΟ. για το Επιμελητήριο Καστοριάς

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

«ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ GDPR

ISMS κατά ISO Δεκέμβριος 2016

Περιεχόµενα. Μέρος I Βασικά στοιχεία των Microsoft Windows XP Professional. Ευχαριστίες Εισαγωγή... 19

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ ΥΠΟΒΟΛΗΣ ΠΡΟΤΑΣΗΣ ΣΥΝΕΡΓΑΣΙΑΣ «GDPR Compliance Services»

ΑΠΟΦΑΣΗ. (αριθμ.: 53 /2009)

GDPR (General Data Protection Regulation) Παναγιώτης Οικονόμου

Υπηρεσίες ιστού και ιδιωτικότητα: Μια προσέγγιση βασισμένη στη δημιουργία προφίλ χρήστη για προσαρμοστικούς ιστότοπους

Πολιτική Ιδιωτικότητας και Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

EΠΙΣΗΜΑΝΣΗ ΑΠΟΡΡΗΤΟΥ (PRIVACY NOTICE)

ΑΠΟΦΑΣΗ. (αριθμ.: 52 /2009)

ΚΩΔΙΚΑΣ ΔΕΟΝΤΟΛΟΓΙΑΣ ΓΙΑ ΤΟΝ ΥΠΕΥΘΥΝΟ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΤΟ ΠΡΟΣΩΠΙΚΟ ΠΟΥ ΕΠΕΞΕΡΓΑΖΕΤΑΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΥΓΕΙΑΣ

Symantec: Ανέτοιμες οι επιχειρήσεις ως προς το νέο Ευρωπαϊκό Κανονισμό Γενικής Προστασίας Δεδομένων

Πρότυπα εξασφάλισης του απορρήτου των δεδομένων ( vs Patient Link)

Ο Ανθρώπινος Παράγοντας και η Φυσική Ασφάλεια στην Επεξεργασία Προσωπικών Δεδομένων Χρίστος Κόζιαρης Christos Koziaris

ΕΙΔΟΠΟΙΗΣΗ ΕΚΤΕΛΟΥΝΤΟΣ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Η πολιτική αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από την εταιρία.

Security & Privacy. Overview

GDPR in Greece: Successes & Failures in Compliance

Α Typing System for Privacy

Διαδανεισμός, Πρωτόκολλο z39.50 Στρατηγικές αναζήτησης

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

έργα GDPR Alpha Υποστηρικτικών Εργασιών

GDPR για επιχειρήσεις με λόγια απλά

Εργαστήριο Ανάπτυξης Εφαρμογών Βάσεων Δεδομένων. Εξάμηνο 7 ο

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Connecto. Τμήμα Επιστήμης Υπολογιστών, Πανεπιστήμιο Κρήτης Άγγελος Σφακιανάκης. Επιφάνεια Άμεσης Σύνδεσης

Εξειδικευμένο λογισμικό για GRC

Δήλωση Απορρήτου και Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Information Technology for Business

Η εμπειρία από την εφαρμογή της νομοθεσίας για την προστασία των προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες

ΙΤ Infrastructures. Cyber Security Presentation

Κατασκευή δικτυακής εφαρμογής στην αρχιτεκτονική ios iphone που υλοποιεί ένα παιχνίδι ερωτοαπαντήσεων

Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων στον Δήμο Καλαμαριάς. 2 Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων

To Δικαίωμα στη Λήθη: Πραγματικότητα ή Ουτοπία για την Ελληνική Επιχειρηματικότητα και Διαφήμιση

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Ιδιωτικότητα)

ΑΔΑ: Β4Ω8Ν-1ΓΝ. Αθήνα, 25/04/2012 Αριθµ. Πρωτ.: 2134 ΕΛΛΗΝΙΚΗ ΗΜΟΚΡΑΤΙΑ ΥΠΟΥΡΓΕΙΟ ΕΣΩΤΕΡΙΚΩΝ ΓΕΝΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΙΣΟΤΗΤΑΣ ΤΩΝ ΦΥΛΩΝ

ΕταιρικήΠαρουσίαση ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΑΪΟΣ 2018

Transcript:

Προστασία δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού Αθηνά Μπούρκα ENISA European Union Agency for Network and Information Security

Ιδιωτικότητα ήδη από τον σχεδιασμό (privacy by design) «Η ενσωμάτωση μέτρων ιδιωτικότητας και τεχνολογιών ενίσχυσης της ιδιωτικότητας (privacy enhancing technologies - PETs) ήδη στο σχεδιασμό των συστημάτων επεξεργασίας δεδομένων» Μετάφραση της ιδιωτικότητας σε τεχνικά μέτρα. Όχι μόνο τεχνικά αλλά και διαδικασίες, ανθρώπινο δυναμικό: μια στρατηγική αλλαγή. 2

Ιδιωτικότητα ήδη από τον σχεδιασμό (privacy by design) 3

Άρθρο 25 ΓΚ Προστασία των δεδομένων ήδη από το σχεδιασμό «Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας, όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας δεδομένων, όπως η ελαχιστοποίηση δεδομένων, και η ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων». Τεχνολογία για την ιδιωτικότητα 4

Πως μεταφράζονται οι νομικές απαιτήσεις σε τεχνικά μέτρα; ιδέα αξιολόγηση ανάλυση έλεγχος σχεδιασμός υλοποίηση 5

Στρατηγικές & τεχνολογίες ιδέα αξιολόγηση ανάλυση Απαιτήσεις έλεγχος σχεδιασμός υλοποίηση Στρατηγικές Πρότυπα σχεδιασμού & τακτικές Τεχνολογίες 6

7

Στρατηγικές σχεδιασμού με βάσει την ιδιωτικότητα & προστασία δεδομένων PRIVACY BY DESIGN STRATEGY DESCRIPTION 1 Minimize The amount of personal data should be restricted to the minimal amount possible (data minimization). 2 Hide Personal data and their interrelations should be hidden from plain view. 3 Separate Personal data should be processed in a distributed fashion, in separate compartments whenever possible. 4 Aggregate Personal data should be processed at the highest level of aggregation and with the least possible detail in which it is (still) useful. 5 Inform Data subjects should be adequately informed whenever personal data is processed (transparency). 6 Control Data subjects should be provided agency over the processing of their personal data. 7 Enforce A privacy policy compatible with legal requirements should be in place and should be enforced. 8 Demonstrate Data controller must be able to demonstrate compliance with privacy policy into force and any applicable legal requirements. 8

Minimize Ελαχιστοποίηση δεδομένων Ορισμός: Περιορισμός της επεξεργασίας δεδομένων στον μέγιστο δυνατό βαθμό. Σχετικές τακτικές: Αποκλεισμός (Exclude): αποφυγή της επεξεργασίας δεδομένων. Επιλογή (Select): επεξεργασία συγκεκριμένων μόνο δεδομένων. Αφαίρεση (Strip): διαγραφή δεδομένων που δεν είναι απαραίτητα. Καταστροφή (Destroy): πλήρης διαγραφή των δεδομένων. Παράδειγμα: επεξεργασία δεδομένων θέσης (location data) σε κινητές συσκευές 9

Hide Απόκρυψη των δεδομένων Ορισμός: περιορισμός της δυνατότητας εντοπισμού των δεδομένων ή της πρόσβασης στα δεδομένα ή της κατανόησης των δεδομένων ή της σύνδεσης των δεδομένων με φυσικά πρόσωπα. Σχετικές τακτικές: Περιορισμός (Restrict): παρεμπόδιση πρόσβασης στα δεδομένα. Ανάμειξη (Mix): επεξεργασία με τυχαίο τρόπο σε μεγάλη ομάδα δεδομένων ώστε να μειωθεί η σύνδεση με φυσικά πρόσωπα. Σύγχυση (Obfuscate): παρεμπόδιση κατανόησης των δεδομένων. Αποσύνδεση (Dissociate): αφαίρεση της σύνδεσης μεταξύ διαφορετικών τμημάτων των δεδομένων. Παράδειγμα: κρυπτογράφηση ή ψευδωνυμοποίηση των δεδομένων 10

Separate Διαχωρισμός των δεδομένων Ορισμός: Αποφυγή διασύνδεσης δεδομένων μέσω φυσικού ή λογικού διαχωρισμού. Σχετικές τακτικές: Διανομή (Distribute): διαμερισμός των δεδομένων ώστε να απαιτούνται περαιτέρω στοιχεία για την επεξεργασία τους. Απομόνωση (Isolate): ανεξάρτητη επεξεργασία τμημάτων των δεδομένων, χωρίς πρόσβαση ή διασύνδεση τους. Παράδειγμα: επεξεργασία δεδομένων τοπικά (π.χ. στη συσκευή του χρήστη) και όχι σε κεντρική βάση 11

Aggregate/Abstract Γενίκευση των δεδομένων Ορισμός: Γενίκευση των δεδομένων ώστε να μην είναι δυνατή η αναγνώριση συγκεκριμένων στοιχείων. Σχετικές τακτικές: Σύνοψη (Summarise): επεξεργασία κοινών στοιχείων ή συσχετισμών (αντί των ίδιων των δεδομένων). Συγκέντρωση (Group): επεξεργασία κοινών κατηγοριών (αντί των επιμέρους δεδομένων). Διατάραξη (Perturb): προσθήκη θορύβου ή προσέγγιση/μείωση της ακρίβειας των δεδομένων. Παράδειγμα: αυθεντικοποίηση βάσει γενικών ιδιοτήτων (attributes) και όχι της ταυτότητας του χρήστη. 12

Inform Ενημέρωση Ορισμός: παροχή της απαραίτητης πληροφορίας στα υποκείμενα των δεδομένων. Σχετικές τακτικές: Παροχή (Supply): χρήση πολλαπλών μέσων ενημέρωσης, όπως πολιτικές, διαδικασίες, κλπ. Γνωστοποίηση (Notify): έγκαιρη ειδοποίηση για αλλαγή σχετικά με την επεξεργασία. Επεξήγηση (Explain): παροχή λεπτομερειών με συνοπτικό και κατανοητό τρόπο. Παράδειγμα: χρήση εικονιδίων για ενημέρωση σχετικά με επεξεργασία δεδομένων (π.χ. δεδομένων θέσης). 13

Control - Έλεγχος Ορισμός: παροχή των κατάλληλων μηχανισμών για τον έλεγχο των δεδομένων (από τα υποκείμενα των δεδομένων). Σχετικές τακτικές: Συγκατάθεση (Consent): επεξεργασία βάσει ειδικής, ελεύθερης και ενημερωμένης (informed) συγκατάθεσης. Επιλογή (Choose): δυνατότητα επιλογής ή αποτροπής της επεξεργασίας συγκεκριμένων δεδομένων, μερικώς ή ολικώς. Επικαιροποίηση (Update): παροχή (στα υποκείμενα) των μέσων για την αναθεώρηση και επικαιροποίηση των δεδομένων τους. Ανάκληση (Retract): παροχή δυνατότητας διαγραφής. Παράδειγμα: mobile app permissions 14

Enforce - Επιβολή Ορισμός: δέσμευση προς μία φιλική για την ιδιωτικότητα πολιτική επεξεργασίας δεδομένων και επιβολή αυτής της πολιτικής. Σχετικές τακτικές: Δημιουργία (Create): καθορισμός πολιτικών προστασίας δεδομένων σε όλα τα επίπεδα (γενικό/ειδικό). Διατήρηση (Maintain): εξέταση των απαιτήσεων ιδιωτικότητας σε κάθε επικαιροποίηση πολιτικών/διαδικασιών. Υποστήριξη (Uphold): διασφάλιση της υλοποίησης των υπαρχόντων πολιτικών/διαδικασιών. Παράδειγμα: οι επιλογές των χρηστών ως αναπόσπαστο μέρος των δεδομένων (sticky policies) 15

Demonstrate Επίδειξη Ορισμός: καταγραφή και παροχή αποδείξεων σχετικά με την φιλική προς την ιδιωτικότητα πολιτική επεξεργασίας δεδομένων. Σχετικές τακτικές: Καταγραφή (Log): καταγραφή ενεργειών και διασφάλιση αρχείων καταγραφής. Έλεγχος (Audit): εξέταση της επεξεργασίας δεδομένων και καταγραφή σημείων βελτίωσης. Αναφορά (Report): ανάλυση πληροφορίας για πιθανές αναθεωρήσεις και βελτίωση της προστασίας δεδομένων. Παράδειγμα: επιλογή των κατάλληλων εργαλείων ανάπτυξης (π.χ. third party libraries) 16

Τεχνολογίες ενίσχυσης ιδιωτικότητας 17

PETs στην πράξη? Η ομομορφική (homomorphic) κρυπτογράφηση θα λύσει όλα τα προβλήματα. H κρυπτογράφηση είναι ακριβή ή δύσκολη Ζήτησα συγκατάθεση και τώρα μπορώ να κάνω ό,τι θέλω Διέγραψα τα ονόματα και τα δεδομένα είναι ανώνυμα τώρα. Τα δεδομένα είναι απαραίτητα για XYZ 18

Τεχνολογίες (1) 1. Authentication Client-server, end-to-end 2. Attributed Based Credentials (ABCs) 3. Encryption Client-server, end-to-end Key rotation & forward secrecy 4. Storage privacy Local encrypted storage Encrypted search 5. Anonymous communication Proxies & VPNs Onion routing αξιολόγηση έλεγχος ιδέα υλοποίηση ανάλυση σχεδιασμός 19

Τεχνολογίες (2) 6. Database Privacy Statistical Disclosure Control (SDC) Privacy Preserving Data Mining (PPDM) Privacy Information Retrieval (PIM) 7. Privacy preserving computations Homomorphic encryption Secure multi-party computation 8. Transparency & control mechanisms Privacy policies, privacy icons Privacy preferences & sticky policies Personal Data Clouds (PDC) αξιολόγηση έλεγχος ιδέα υλοποίηση ανάλυση σχεδιασμός 20

By design στην πράξη (1) Οι μεθοδολογίες δεν ακολουθούν πάντα τον τρόπο που λειτουργεί το οικοσύστημα (π.χ. agile development). Οι απαιτήσεις ασφαλείας δεν καλύπτουν όλες τις πτυχές της ιδιωτικότητας. Ιδιωτικότητα και χρηστικότητα. 21

By design στην πράξη (2) Οι υπεύθυνοι επεξεργασίας δεν είναι σε πάντα σε θέση να ελέγχουν το σχεδιασμό προϊόντων (π.χ. λειτουργικά συστήματα, υλικό και λογισμικό). Αιτ. σκέψη (78) ΓΚ: Οι παραγωγοί προϊόντων, υπηρεσιών και εφαρμογών να ενθαρρύνονται στην υιοθέτηση ιδιωτικότητας στο σχεδιασμό. Προστασία δεδομένων στο σχεδιασμό και εξ ορισμού ως κριτήρια στο πλαίσιο δημόσιων διαγωνισμών. Οι εξελίξεις της τεχνολογίας αλλάζουν διαρκώς: Πως μπορεί ο σχεδιασμός να παραμείνει φιλικός προς την ιδιωτικότητα; 22

Ιδιωτικότητα εξ ορισμού (privacy by default) Εξ ορισμού (default): προκαθορισμένη τιμή ή επιλογή σε ένα σύστημα όταν η τιμή/επιλογή δεν έχουν καθοριστεί ειδικότερα από τον χρήστη. Ιδιωτικότητα εξ ορισμού (privacy by default): η τιμή ή επιλογή καθορίζεται έτσι ώστε να εξασφαλίζει εξ ορισμού την ιδιωτικότητα. 23

Άρθρο 25 Γ.Κ. προστασία δεδομένων εξ ορισμού Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέσα για να εξασφαλίσει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων». 24

By default στην πράξη Λειτουργικά συστήματα (π.χ. Google Android, Apple ios, Microsoft Windows). Εφαρμογές (π.χ. smartphone apps, browsers). Υπηρεσίες (π.χ. υπηρεσίες κοινωνικής δικτύωσης). Τι σημαίνει στην πράξη privacy defaults? Όχι πάντα τεχνικό θέμα. 25

Πρόταση Κανονισμού για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες (eprivacy Regulation) Άρθρο 10: Πληροφορίες και επιλογές για τις ρυθμίσεις απορρήτου (σε λογισμικό ηλεκτρονικών επικοινωνιών) Επιλογή που αποτρέπει την αποθήκευση πληροφοριών ή την πρόσβαση σε πληροφορίες αποθηκευμένες στον τερματικό εξοπλισμό του χρήστη Ενημέρωση του χρήστη για επιλογές ρυθμίσεων απορρήτου και λήψη συγκατάθεσης Πρόταση Ε.K. (LIBE Committee): Ρυθμίσεις που προστατεύουν την ιδιωτικότητα εξ ορισμού 26

Design is not just what it looks like and feels like. Design is how it works. Steve Jobs 27

Ευχαριστώ για την προσοχή σας! PO Box 1309, 710 01 Heraklion, Greece Tel: +30 28 14 40 9710 info@enisa.europa.eu www.enisa.europa.eu

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια