Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων

Σχετικά έγγραφα
Προετοιμασία για μια νέα σχέση με την Αρχή Προστασίας Δεδομένων. Κωνσταντίνος Λιμνιώτης. Γεώργιος Ρουσόπουλος

Τεχνολογίες και Διαδικασίες ως μέσα συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων

ΓΚΠΔ GDPR H σημασία του Data Protection Impact Assessment «Πρακτικά και εφαρμοστικά ζητήματα του Κανονισμού GDPR: Η επόμενη μέρα» ΣΕΒ 7/2/2018

Εκτίμηση Αντικτύπου σχετικά με την προστασία δεδομένων αρθρ. 35 ΓΚΠΔ. Ιωάννης Ιγγλεζάκης Αν. καθηγητής Νομ. Σχολής ΑΠΘ

Εκτίµηση Αντικτύπου σχετικά µε την Προστασία εδοµένων: Απαιτήσεις και Εφαρµογή

ΟΜΑΔΑ ΕΡΓΑΣΙΑΣ ΤΟΥ ΑΡΘΡΟΥ 29 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

25/5/2018 αυξημένα πρόστιμα υπεύθυνος προστασίας δεδομένων (DPO) Ποιούς αφορά φορείς του δημοσίου τομέα υπηρεσίες Υγείας ΝΠΔΔ ιδιωτικές εταιρίες

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

ΕΝΗΜΕΡΩΣΗ. Για περισσότερες πληροφορίες επικοινωνήστε μαζί μας στο

Η ενίσχυση των δικαιωμάτων στην πράξη & τα εργαλεία συμμόρφωσης για τη μετάβαση από το ν.2472/1997 στον ΓΚΠΔ

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (ΓΚΠΔ) GENERAL DATA PROTECTION REGULATION 2016/679

Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Προσωπικά Δεδομένα. στο νέο ρυθμιστικό πλαίσιο. Σπύρος Τάσσης.

Μαργαρίτα Γκαϊτατζή, Δικηγόρος Παρ Εφέταις ΔΣ Θεσσαλονίκης Σύμβουλος σε θέματα εναρμόνισης με τον GDPR και πιστοποιημένη Υπεύθυνη Προστασίας

ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ 2016/679 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΦΑΝΗ ΛΙΑΚΑΤΗ

ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 GDPR

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer)

Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (DPO) στον τομέα της υγείας

GDPR σε Φορείς και Επιχειρήσεις

Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (DPO)

Ενημερωτική Ημερίδα: «Γενικός Κανονισμός Προστασίας Δεδομένων: Χρήσιμες επισημάνσεις οκτώ μήνες μετά»

Διαχείριση προσωπικών δεδομένων (data governance) υπό το νέο Κανονισμό. Ανδριανή Φέρτη, Senior Associate Καρατζά και Συνεργάτες

Η Γνωστοποίηση Περιστατικών Παραβίασης ως εργαλείο συμμόρφωσης με το ΓΚΠΔ

ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

9η Παρ. Ι. ΘΕΟΤΟΚΗ 1, ΤΗΛ.: , FAX: 44110, Τ.Κ ΚΕΡΚΥΡΑ

Δεδομένα Ειδικών κατηγοριών. Πεδίο Εφαρμογής. Επεξεργασία. Δεδομένα Προσωπικού Χαρακτήρα. Εισαγωγικές έννοιες και ορισμοί..

3. Στοιχεία Υπευθύνου Προστασίας Δεδομένων ή αρμόδιου για επικοινωνία προσώπου* 2

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (General Data Protection Regulation)

Εθνικό και Ευρωπαϊκό Νομικό Πλαίσιο για την Προστασία Δεδομένων

Γενικός Κανονισμός Προστασίας Δεδομένων 1 χρόνος από την εφαρμογή του

Χρήση συστημάτων βιντεοεπιτήρησης για σκοπούς «ασφάλειας»

Are you ready for GDPR compliance?

DPO ΓΕΝΙΚΑ. Μια από τις αρχές του GDPR είναι Α. Η λογοδοσία Β. Η ακεραιότητα των δεδομένων Γ. Όλα τα παραπάνω

GDPR (General Data Protection Regulation) Παναγιώτης Οικονόμου

Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΙΩΑΝΝΗΣ Δ. ΙΓΓΛΕΖΑΚΗΣ ΑΝ. ΚΑΘΗΓΗΤΗΣ ΝΟΜΙΚΗΣ ΣΧΟΛΗΣ ΑΠΘ

Προετοιμασία για μια νέα σχέση με την Αρχή Προστασίας Δεδομένων

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/8187/

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Ιδιωτικό ιατρείο στα χρόνια του GDPR. Φελεκίδης Αναστάσιος. Ιατρός Οφθαλμίατρος, Ιατρικός Σύλλογος Ξάνθης

«ΕΝ ΤΑΧΕΙ» ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ

ΔΗΜΟΤΙΚΗ ΕΠΙΧΕΙΡΗΣΗ ΥΔΡΕΥΣΗΣ ΑΠΟΧΕΤΕΥΣΗΣ ΚΕΡΚΥΡΑΣ

Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων στον Δήμο Καλαμαριάς. 2 Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων

General Data Protection Regulation (GDPR)

ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ-ΝΟΜΙΜΟΤΗΤΑΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Προετοιμασία για μια νέα σχέση με την Αρχή Προστασίας Δεδομένων. Κωνσταντίνος Λιμνιώτης. Γεώργιος Ρουσόπουλος

Προσωπικά Δεδομένα. 2. Χρήσιμοι ορισμοί και επεξηγήσεις

Γνώμη 6/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Εσθονίας. για

ΘΕΜΑΤΟΛΟΓΙΑ ΣΕΜΙΝΑΡΙΟΥ Data Protection Officer (DPO)

Cloud Computing και Νομικά Ζητήματα Προστασίας Προσωπικών Δεδομένων Τάκης Κακούρης, Partner, Ζέπος & Γιαννόπουλος

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

ΝΕΟΣ ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (ΚΑΝΟΝΙΣΜΟΣ 679/2016)

Ολοκληρωμένες Υπηρεσίες Συμμόρφωσης στις Απαιτήσεις του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα (GDPR)

«Οι προϋποθέσεις εφαρμογής του νέου ΚΠΠΔ (GDPR) στην Ιατρική πράξη: Υποχρεώσεις κεντρικής Διοίκησης, ΗΔΙΚΑ, ΕΟΠΥΥ και επαγγελματιών Υγείας»

Νέος Ευρωπαϊκός Κανονισμός για την προστασία δεδομένων προσωπικού χαρακτήρα - GDPR

Πολιτική Ιδιωτικότητας και Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (DPO) GENERAL DATA PROTECTION REGULATION (ΓΚΠΔ/GDPR)

Γνώμη 4/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Τσεχικής Δημοκρατίας. για

Δεδομένων Προσωπικού Χαρακτήρα (General Data Protection Regulation - GDPR)

G D P R. General Data Protection Regulation. Άννα Μαστοράκου

ΕΝΗΜΕΡΩΣΗ- ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΜΗΘΕΥΤΩΝ-ΣΥΝΕΡΓΑΤΩΝ-ΠΕΛΑΤΩΝ

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

Πρακτικός Οδηγός Ενσωμάτωσης του Κανονισμού σε επιχειρήσεις και οργανισμούς

Θέμα: «Ενημέρωση για την ημερίδα του Π.Φ.Σ. και Οδηγίες για την συμμόρφωση των Φαρμακευτικών Συλλόγων με το GDPR»

Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR)

Εισαγωγή δεδομένα προσωπικού χαρακτήρα Ειδικές κατηγορίες δεδομένων Υποκείμενο των δεδομένων Υπεύθυνος επεξεργασίας εκτελών την επεξεργασία

GDPR TÜV AUSTRIA GROUP

Γνώμη του Συμβουλίου Προστασίας Δεδομένων (άρθρο 64)

ΑΠΟΦΑΣΗ. Η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ),

Γνώμη 7/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Ελλάδας. για

Γνώμη 16/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής των Κάτω Χωρών. για

ΔΗΜΟΤΙΚΗ ΕΠΙΧΕΙΡΗΣΗ Λάρισα 11/ 05 /2018 ΥΔΡΕΥΣΗΣ & ΑΠΟΧΕΤΕΥΣΗΣ Αρ. πρωτ ΛΑΡΙΣΑΣ (Δ.Ε.Υ.Α.Λ.)

Γνώμη 13/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Λιθουανίας. για

Πολιτική και σχέδιο ασφάλειας αρχείου ασθενών Οδοντιατρικής Σχολής ΕΚΠΑ

ΤΠΔΤΘΤΝΟ ΠΡΟΣΑΗΑ ΓΔΓΟΜΔΝΩΝ (Τ.Π.Γ / D.P.O) ΑΠΟΣΟΛΟ ΕΗΩΕΗΑ ΓΗΚΖΓΟΡΟ - ΓΗΑΜΔΟΛΑΒΖΣΖ

GDPR General Data Protection Regulation

Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (GDPR)

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance

GDPR για επιχειρήσεις με λόγια απλά

13 η Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων «Γενικός Κανονισμός Προστασίας Δεδομένων: Χρήσιμες επισημάνσεις οκτώ μήνες μετά»

Ο νέος κανονισμός προστασίας δεδομένων. Σταμπουλής Γεώργιος. Χημικός Μηχανικός, Οργανοτεχνική Α.Ε.

ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Οι XΡΥΣΟΙ ΚΑΝΟΝΕΣ για τις ΕΤΑΙΡΕΙΕΣ ΣΥΜΜΟΡΦΩΣΗΣ ΑΣΘΕΝΩΝ υπό την σκέπη του GDPR

Γνώμη 17/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Πολωνίας. για

Γνώμη 19/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Ρουμανίας. για

Κατευθυντήρια Οδηγία προς την Αεροδρομιακή Κοινότητα

ΠΡΟΣΤΑΣΙΑ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΕΕ 2016/679. Ευαγγελία Παλαιολόγου ικηγόρος

Πολιτιστική διαχείριση και

Γενικός Κανονισμός Προστασίας Δεδομένων Υποχρεώσεις των επιχειρήσεων και κυρώσεις

«ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ GDPR

Η προστασία των Προσωπικών Δεδομένων στον Εργασιακό Τομέα

Γνώμη του Συμβουλίου Προστασίας Δεδομένων (άρθρο 64) Γνώμη 9/2018. για

Εκδόθηκαν στις 4 Δεκεμβρίου Εγκρίθηκε 1

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/3993/ Α Π Ο Φ Α Σ Η 46/2018

επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές

Εκδόθηκε στις 4 Δεκεμβρίου Εκδόθηκε

Διαχείριση Παραβίασης Προσωπικών Δεδομένων

Ενημέρωση για τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679 ΓΚΠΔ (GDPR)

Transcript:

Εκτίμηση αντικτύπου σχετικά με την προστασία Γεωργία Παναγοπούλου Μηχ. Η/Υ & Πληροφορικής Ε.Ε.Π. - Α.Π.Δ.Π.Χ. gpanagopoulou at dpa.gr

Ποιος; Τι; Πότε; Πώς;

Νομική υποχρέωση μόνο για τον υπεύθυνο επεξεργασίας Ποιος; Ο υπεύθυνος επεξεργασίας οφείλει, «όποτε ενδείκνυται», να «ζητεί τη γνώμη των υποκειμένων των ή των εκπροσώπων τους» Άλλοι ειδικοί ρόλοι και αρμοδιότητες, ανάλογα με την εσωτερική πολιτική, τις διαδικασίες και τους κανόνες Ο εκτελών συνδράμει στην διενέργεια της εκτίμησης Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπευθύνου προστασίας (ΥΠΔ)

Εργαλείο ελέγχου & απόδειξης συμμόρφωσης με ΓΚΠΔ Τι; Εργαλείο εντοπισμού - ανάλυσης κινδύνων για τα υποκείμενα κατά τη χρήση τεχνολογίας ή συστήματος από έναν οργανισμό στους διάφορους ρόλους των υποκειμένων (ως πολίτες, πελάτες, ασθενείς κ.λ.π) Με βάση την ανάλυση των αποτελεσμάτων, επιλογή και εφαρμογή των κατάλληλων μέτρων που αποκαθιστούν (remedy) τους κινδύνους. Η έννοια της εκτίμησης αντικτύπου στην ιδιωτικότητα υπάρχει πριν από τον ΓΚΠΔ (π.χ WP29, UK, CNIL, ISO / IEC 29134, εκτός Ε.Ε, μεθοδολογίες, εργαλεία).

Περιεχόμενο ΕΑΠΔ στον ΓΚΠΔ Συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας (+νομική βάση) Τι; Εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας Εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των Τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων

Τι; Προσέγγιση με βάση τον Κίνδυνο Information Management System - προσωπικά δεδομένα Διαχείριση Κινδύνων Προσωπικών Δεδομένων διαφέρει από κλασική Διαχείριση Κινδύνων Ασφαλείας Κίνδυνοι για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, όχι μόνο για τον υπεύθυνο επεξεργασίας Τυχόν δευτερεύουσες δυσμενείς επιπτώσεις Αποδεκτός κίνδυνος Τα τεχνικά και οργανωτικά μέτρα διαφέρουν από τα κλασικά μέτρα ασφάλειας. Παράδειγμα: Levels of impact Guidelines for SMEs on the security of personal data processing, ENISA, 2016

Στόχοι προστασίας Τι; Εμπιστευτικότητα Ακεραιότητα Διαθεσιμότητα Διαφάνεια Μη συνδεσιμότητα Unlinkability Δυνατότητα επέμβασης Intervenability

Τι; Ορισμός απειλών και της πιθανότητας εμφάνισης Δικτυακοί και τεχνικοί πόροι (λογισμικό και υλικό) Διεργασίες/Διαδικασίες Τρίτα μέρη και ανθρώπινο δυναμικό Είδος επιχείρησης και κλίμακα μεγέθους Εκτίμηση της πιθανότητας εμφάνισης απειλής => Χαμηλή/Μεσαία/Υψηλή Πιθανότητα εμφάνισης απειλής Επίπτωση Επίπεδο κινδύνου

Τι; Αντιμετώπιση κινδύνων Μείωση Διατήρηση Αποφυγή Μετάθεση Επιλογή μέτρων μείωσης κινδύνων ISO/IEC 27002 ISO/IEC 29151 Εθνικά πρότυπα, λίστες εποπτικών αρχών ή άλλων οργανισμών Πλάνο υλοποίησης μέτρων Παρακολούθηση και αναθεώρηση

Κατευθυντήριες γραμμές OE29 - ΕΑΠΔ Τι; Ενθαρρύνεται η δημιουργία πλαισίων για τομεακά εξειδικευμένες ΕΑΠΔ ειδική τομεακή γνώση μπορεί να εξετάσει τα ιδιαίτερα χαρακτηριστικά ενός είδους πράξης επεξεργασίας μπορεί να εξετάσει τα ζητήματα που εγείρονται σε ορισμένο οικονομικό τομέα ή κατά τη χρήση συγκεκριμένων τεχνολογιών ή τη διενέργεια συγκεκριμένων ειδών πράξεων επεξεργασίας.

Κατευθυντήριες γραμμές OE29 - Κριτήρια για μια αποδεκτή ΕΑΠΔ (1/2) Τι; παρέχεται συστηματική περιγραφή των πράξεων επεξεργασίας [άρθρο 35 παράγραφος 7 στοιχείο α)]: o λαμβάνονται υπόψη η φύση, η έκταση, το πλαίσιο και οι σκοποί της επεξεργασίας (αιτιολογική σκέψη 90) o καταγράφονται τα δεδομένα προσωπικού χαρακτήρα, οι αποδέκτες και η περίοδος αποθήκευσης των προσωπικού χαρακτήρα o παρέχεται λειτουργική περιγραφή της πράξης επεξεργασίας o προσδιορίζονται τα στοιχεία του ενεργητικού στα οποία εναποτίθενται τα δεδομένα (υλισμικό, λογισμικό, δίκτυα, πρόσωπα, έντυπα ή δίαυλοι διαβίβασης εντύπων) o λαμβάνεται υπόψη η συμμόρφωση με εγκεκριμένους κώδικες δεοντολογίας (άρθρο 35 παράγραφος 8) εκτιμώνται η αναγκαιότητα και η αναλογικότητα [άρθρο 35 παράγραφος 7 στοιχείο β)] o καθορίζονται τα προβλεπόμενα μέτρα συμμόρφωσης με τον κανονισμό [άρθρο 35 παράγραφος 7 στοιχείο δ) και αιτιολογική σκέψη 90], λαμβάνοντας υπόψη: τα μέτρα που κατατείνουν στην αναλογικότητα και την αναγκαιότητα της επεξεργασίας βάσει: καθορισμένων, ρητών και νόμιμων σκοπών [άρθρο 5 παράγραφος 1 στοιχείο β)] της νομιμότητας της επεξεργασίας (άρθρο 6) κατάλληλων, συναφών και περιορισμένων στα αναγκαία [άρθρο 5 παράγραφος 1 στοιχείο γ)] της περιορισμένης διάρκειας αποθήκευσης [άρθρο 5 παράγραφος 1 στοιχείο ε)] o μέτρα που συμβάλλουν στη διαφύλαξη των δικαιωμάτων των υποκειμένων των : πληροφορίες που παρέχονται στο υποκείμενο των (άρθρα 12, 13 και 14): δικαίωμα πρόσβασης και δικαίωμα στη φορητότητα των (άρθρα 15 και 20) δικαίωμα διόρθωσης και διαγραφής (άρθρα 16, 17 και 19) δικαίωμα εναντίωσης και περιορισμού της επεξεργασίας (άρθρα 18, 19 και 21) σχέσεις με τους εκτελούντες την επεξεργασία (άρθρο 28) διασφαλίζονται οι περιστάσεις που περιβάλλουν τη διεθνή διαβίβαση ή τις διεθνείς διαβιβάσεις (Κεφάλαιο V) προηγούμενη διαβούλευση (άρθρο 36)

Κατευθυντήριες γραμμές OE29 - Κριτήρια για μια αποδεκτή ΕΑΠΔ (2/2) Τι; τελούν υπό διαχείριση οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες των υποκειμένων των [άρθρο 35 παράγραφος 7 στοιχείο γ)]: o έχουν αξιολογηθεί η προέλευση, η φύση, η ιδιαιτερότητα και η σοβαρότητα των κινδύνων (πρβλ. αιτιολογική σκέψη 84) ή ειδικότερα κάθε κίνδυνος (αθέμιτη πρόσβαση, ανεπιθύμητη τροποποίηση, και εξαφάνιση ) από την οπτική των υποκειμένων των έχουν ληφθεί υπόψη οι πηγές των κινδύνων (αιτιολογική σκέψη 90) εξακριβώνονται οι δυνητικές επιπτώσεις στα δικαιώματα και τις ελευθερίες των υποκειμένων των σε περιπτώσεις συμβάντων που περιλαμβάνουν αθέμιτη πρόσβαση, ανεπιθύμητη τροποποίηση και εξαφάνιση εξακριβώνονται απειλές που θα μπορούσαν να επιφέρουν αθέμιτη πρόσβαση, ανεπιθύμητη τροποποίηση και εξαφάνιση εκτιμώνται η πιθανότητα και η σοβαρότητα (αιτιολογική σκέψη 90) o καθορίζονται τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων (άρθρο 35 παράγραφος 7 στοιχείο δ) και αιτιολογική σκέψη 90) συμμετέχουν τα ενδιαφερόμενα μέρη: o ζητείται η γνώμη του ΥΠΔ (άρθρο 35 παράγραφος 2) o ζητείται η γνώμη των υποκειμένων των ή των εκπροσώπων τους, όταν ενδείκνυται (άρθρο 35 παράγραφος 9).

Πότε; Πριν από την έναρξη της επεξεργασίας Σε υφιστάμενες πράξεις επεξεργασίας που ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και στις οποίες έχει επέλθει μεταβολή των κινδύνων, λαμβανομένης υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας. Δεν απαιτείται ΕΑΠΔ σε πράξεις επεξεργασίας που έχουν ελεγχθεί από εποπτική αρχή και υλοποιούνται χωρίς καμία μεταβολή από τον προηγούμενο έλεγχο. Η ΕΑΠΔ αποτελεί διαρκή διαδικασία και όχι πράξη που διενεργείται άπαξ

Πότε; Υποχρεωτικό όταν ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων Συστηματική και εκτενής αξιολόγηση προσωπικών πτυχών αυτοματοποιημένη λήψη αποφάσεων -δημιουργία προφίλ Ειδικές κατηγορίες σε μεγάλη κλίμακα Παρακολούθηση δημοσίως προσβάσιμων χώρων συστηματικά και σε μεγάλη κλίμακα Οι Αρχές θα ορίσουν καταλόγους με επεξεργασίες που απαιτείται ΕΑΠΔ

Πότε; Κριτήρια κατευθυντηρίων γραμμών της ΟΕ29 Αξιολόγηση προφίλ-πρόβλεψη Αυτόματη λήψη αποφάσεων Συστηματική παρακολούθηση Ειδικές κατηγορίες Επεξεργασία ευρείας κλίμακας Αριθμός φυσικών προσώπων Όγκος, Γεωγραφική κάλυψη Χρόνος επεξεργασίας Συγχώνευση βάσεων Δεδομένα ευάλωτων προσώπων Νέες τεχνολογίες ή νέα χρήση Διαβιβάσεις εκτός ΕΕ Επεξεργασία που μπορεί να εμποδίσει την άσκηση δικαιωμάτων ή λήψη υπηρεσιών

Παραδείγματα επεξεργασιών με απαίτηση ΕΑΠΔ Πότε; Γενετικών και υγείας Παρακολούθηση της κυκλοφορίας και με ευφυή συστήματα αυτόματης αναγνώρισης αριθμών κυκλοφορίας Συστηματική παρακολούθηση δραστηριοτήτων εργαζομένων Προφίλ από κοινωνικά Δίκτυα Αξιολόγηση πιστοληπτικής ικανότητας Αρχειοθέτηση ψευδωνυμοποιημένων ευαίσθητων ευάλωτων ατόμων από ερευνητικά έργα ή κλινικές δοκιμές

Παραδείγματα: επεξεργασίες, αρμοδιότητες Αρχές τοπικής αυτοδιοίκησης - συστήματα κλειστού κυκλώματος τηλεόρασης (CCTV) Σιδηροδρομικός φορέας - βιντεοεπιτήρηση σε σιδηροδρομικούς σταθμούς αρμοδιότητάς του Πότε; Κατασκευαστές ευφυών μετρητών και πάροχοι υπηρεσιών κοινής ωφελείας. Κάθε πάροχος προϊόντος ή εκτελών την επεξεργασία θα πρέπει να ανταλλάσσει χρήσιμες πληροφορίες χωρίς να θέτει σε κίνδυνο το απόρρητο ή να επιφέρει κινδύνους ασφάλειας γνωστοποιώντας τρωτά σημεία.

Παραδείγματα επεξεργασιών χωρίς υποχρέωση ΕΑΠΔ Επεξεργασία που πραγματοποιείται από επαγγελματία, όπως ιατρό ή δικηγόρο Πότε; Χρήση συλλογής διευθύνσεων ηλεκτρονικού ταχυδρομείου για την αποστολή από διαδικτυακό περιοδικό ημερήσιας σύνοψης στους συνδρομητές του Από ιστοσελίδα ηλ. εμπορίου στους επισκέπτες πελάτης της διαφημίσεων για ανταλλακτικά αυτοκινήτων αντικών, με τη βοήθεια κατάρτισης προφίλ που βασίζεται σε δεδομένα μόνο από τη συγκεκριμένη ιστοσελίδα

Βήμα 1 Ορισμός ομάδας έργου Εκτίμηση ανάγκης για διενέργεια ΕΑΠΔ - Τεκμηρίωση Βήμα 2 Επιλογή μεθοδολογίας Διεξαγωγή καθορισμός μέτρων Δέσμευση συνεισφορά εμπλεκομένων Πώς; Βήμα 3 Παρακολούθηση υλοποίησης μέτρων Διαβούλευση με Αρχή Βήμα 4 Βήμα 5 Τεκμηρίωση Δημοσίευση Έλεγχος Ανασκόπηση

Πώς; A Process for Data Protection Impact Assessment Under the European GDPR, 4 th Annual Privacy Forum, Springer 2016

Σχέση ΕΑΠΔ με Πιστοποίηση ΓΚΠΔ Κατά την εκπόνηση της ΕΑΠΔ λαμβάνονται υπόψη οι πιστοποιήσεις, οι σφραγίδες και τα σήματα ΠΔ για τον σκοπό της απόδειξης της συμμόρφωσης. Χρήσιμη όσον αφορά τη διαδικασία πιστοποίησης. Περιλαμβάνει ροές, παράγοντες, ρόλους τους στην επεξεργασία, την προστασία από το σχεδιασμό και εξ ορισμού οι οποίοι παρουσιάζουν ενδιαφέρον και για την αξιολόγηση αυτή.

Διαβούλευση με Αρχή μετά το ΕΑΠΔ Εάν δεν έχουν προσδιοριστεί επαρκή μέτρα για τη μείωση των κινδύνων σε αποδεκτό επίπεδο (δηλαδή οι υπολειπόμενοι κίνδυνοι παραμένουν υψηλοί) Η Αρχή παρέχει γραπτώς συμβουλές εντός προθεσμίας μέχρι οκτώ εβδομάδων από την παραλαβή του αιτήματος διαβούλευσης (δυνατότητα παράτασης προθεσμίας κατά έξι εβδομάδες, λόγω της πολυπλοκότητας που χαρακτηρίζει τη σχεδιαζόμενη επεξεργασία με ενημέρωση ενδιαφερομένων. Οι προθεσμίες μπορούν να αναστέλλονται έως η Αρχή λάβει τις πληροφορίες που ζήτησε για τους σκοπούς της διαβούλευσης).

Σχέση ΕΑΠΔ με υποχρέωση Γνωστοποίησης Περιστατικών Παραβίασης Δεδομένων Εκτίμηση αντικτύπου σχετικά με την προστασία παρέχει τεκμηρίωση/καθοδήγηση σε περίπτωση περιστατικού παραβίασης Απόφαση για τη γνωστοποίηση ή μη στην Αρχή Απόφαση για ενημέρωση υποκειμένων Εφαρμογή κατάλληλων μέτρων ασφάλειας

Ανεξαρτήτως υποχρέωσης Χρήσιμη και θετική δραστηριότητα που συνδράμει στη συμμόρφωση με το ΓΚΠΔ Κλιμακώσιμη Διαφορετικές μορφές «Γέφυρα επικοινωνίας», «κοινός κώδικας» με ΑΠΔΠΧ

Ευχαριστούμε για την προσοχή σας

Παράδειγμα μέτρων προστασίας Τι; A Process for Data Protection Impact Assessment Under the European GDPR, 4 th Annual Privacy Forum, Springer 2016 26

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια