Διαχείριση προσωπικών δεδομένων (data governance) υπό το νέο Κανονισμό. Ανδριανή Φέρτη, Senior Associate Καρατζά και Συνεργάτες

Σχετικά έγγραφα
Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (DPO)

Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (DPO) στον τομέα της υγείας

(EE) 679/ "Υπεύθυνος Προστασίας Δεδομένων: Απαιτήσεις, Ρόλος & Εφαρμογή"

ΓΚΠΔ GDPR H σημασία του Data Protection Impact Assessment «Πρακτικά και εφαρμοστικά ζητήματα του Κανονισμού GDPR: Η επόμενη μέρα» ΣΕΒ 7/2/2018

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (DPO) GENERAL DATA PROTECTION REGULATION (ΓΚΠΔ/GDPR)

Οι διαδικτυακές πλατφόρμες

ΤΠΔΤΘΤΝΟ ΠΡΟΣΑΗΑ ΓΔΓΟΜΔΝΩΝ (Τ.Π.Γ / D.P.O) ΑΠΟΣΟΛΟ ΕΗΩΕΗΑ ΓΗΚΖΓΟΡΟ - ΓΗΑΜΔΟΛΑΒΖΣΖ

Ενημερωτική Ημερίδα: «Γενικός Κανονισμός Προστασίας Δεδομένων: Χρήσιμες επισημάνσεις οκτώ μήνες μετά»

Ανάλυση κινδύνου και Εκτίμηση Αντικτύπου

Εκτίµηση Αντικτύπου σχετικά µε την Προστασία εδοµένων: Απαιτήσεις και Εφαρµογή

ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 GDPR

Προετοιμασία για μια νέα σχέση με την Αρχή Προστασίας Δεδομένων. Κωνσταντίνος Λιμνιώτης. Γεώργιος Ρουσόπουλος

ΝΕΟΣ ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (ΚΑΝΟΝΙΣΜΟΣ 679/2016)

GDPR τι; Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων. Γιώργος Χατζηγιαννάκης, LLM

Δεδομένα Ειδικών κατηγοριών. Πεδίο Εφαρμογής. Επεξεργασία. Δεδομένα Προσωπικού Χαρακτήρα. Εισαγωγικές έννοιες και ορισμοί..

έργα GDPR Alpha Υποστηρικτικών Εργασιών

25/5/2018 αυξημένα πρόστιμα υπεύθυνος προστασίας δεδομένων (DPO) Ποιούς αφορά φορείς του δημοσίου τομέα υπηρεσίες Υγείας ΝΠΔΔ ιδιωτικές εταιρίες

Μαργαρίτα Γκαϊτατζή, Δικηγόρος Παρ Εφέταις ΔΣ Θεσσαλονίκης Σύμβουλος σε θέματα εναρμόνισης με τον GDPR και πιστοποιημένη Υπεύθυνη Προστασίας

«ΕΝ ΤΑΧΕΙ» ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ

Ολοκληρωμένες Υπηρεσίες Συμμόρφωσης στις Απαιτήσεις του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα (GDPR)

Τεχνολογίες και Διαδικασίες ως μέσα συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων

DPO ΓΕΝΙΚΑ. Μια από τις αρχές του GDPR είναι Α. Η λογοδοσία Β. Η ακεραιότητα των δεδομένων Γ. Όλα τα παραπάνω

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ

Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων

Are you ready for GDPR compliance?

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Εθνικό και Ευρωπαϊκό Νομικό Πλαίσιο για την Προστασία Δεδομένων

Οι XΡΥΣΟΙ ΚΑΝΟΝΕΣ για τις ΕΤΑΙΡΕΙΕΣ ΣΥΜΜΟΡΦΩΣΗΣ ΑΣΘΕΝΩΝ υπό την σκέπη του GDPR

GDPR σε Φορείς και Επιχειρήσεις

ΔΗΛΩΣΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΙΩΑΝΝΗΣ Δ. ΙΓΓΛΕΖΑΚΗΣ ΑΝ. ΚΑΘΗΓΗΤΗΣ ΝΟΜΙΚΗΣ ΣΧΟΛΗΣ ΑΠΘ

ΑΠΟΦΑΣΗ. Η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ),

Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR)

Πολιτική Ιδιωτικότητας και Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Η πολιτική αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από την εταιρία.

Πρόγραμμα εκπαιδευτικού σεμιναρίου (40ώρο 28/04/2018) Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer - DPO)

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ ΥΠΟΥΡΓΕΙΟ ΥΓΕΙΑΣ Θεσσαλονίκη 6/9/2018 4η Υγειονομική Περιφέρεια Μακεδονίας & θράκης Αρ. Πρωτ.: Η ΥΠΕ Μακεδονίας & Θράκης

Πρόγραμμα εκπαιδευτικού σεμιναρίου (40ώρο 09/06/2018) Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer - DPO)

Πρακτικός Οδηγός Ενσωμάτωσης του Κανονισμού σε επιχειρήσεις και οργανισμούς

Θέμα: «Ενημέρωση για την ημερίδα του Π.Φ.Σ. και Οδηγίες για την συμμόρφωση των Φαρμακευτικών Συλλόγων με το GDPR»

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (ΓΚΠΔ) GENERAL DATA PROTECTION REGULATION 2016/679

Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων στον Δήμο Καλαμαριάς. 2 Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Προσωπικά Δεδομένα. στο νέο ρυθμιστικό πλαίσιο. Σπύρος Τάσσης.

«Ο ΡΟΛΟΣ ΚΑΙ ΤΑ ΚΑΘΗΚΟΝΤΑ ΤΟΥ ΛΕΙΤΟΥΡΓΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (DPO) ΜΕ ΒΑΣΗ ΤΟ ΝΕΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΕΡΙ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (GDPR)»

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Ενημέρωση για τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679 ΓΚΠΔ (GDPR)

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance

Νέος Ευρωπαϊκός Κανονισμός για την προστασία δεδομένων προσωπικού χαρακτήρα - GDPR

Εκτίμηση Αντικτύπου σχετικά με την προστασία δεδομένων αρθρ. 35 ΓΚΠΔ. Ιωάννης Ιγγλεζάκης Αν. καθηγητής Νομ. Σχολής ΑΠΘ

Συχνές Ερωτήσεις [FAQs]

«Νέας γενιάς» κατηγορίες δεδομένων και τι σημαίνει αυτό πρακτικά για το ρόλο του DPO στην Ιατρική Κοινότητα Τετάρτη 18 Απριλίου 2018

ΘΕΜΑΤΟΛΟΓΙΑ ΣΕΜΙΝΑΡΙΟΥ Data Protection Officer (DPO)

Στην Αθήνα σήμερα την. μεταξύ των κάτωθι συμβαλλόμενων:

Προσωπικά Δεδομένα. 2. Χρήσιμοι ορισμοί και επεξηγήσεις

Αντικείμενο της Πολιτικής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer)

GDPR για επιχειρήσεις με λόγια απλά

Το Ηλεκτρονικό Εμπόριο στο νέο πλαίσιο προστασίας προσωπικών δεδομένων

GDPR TÜV AUSTRIA GROUP

ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ-ΝΟΜΙΜΟΤΗΤΑΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

Η ΑΡΧΗ ΤΗΣ ΛΟΓΟΔΟΣΙΑΣ ΣΤΟ ΠΛΑΙΣΙΟ ΤΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (GDPR)

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/8187/

ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ 2016/679 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΦΑΝΗ ΛΙΑΚΑΤΗ

Γενικός Κανονισμός Προστασίας Δεδομένων Υποχρεώσεις των επιχειρήσεων και κυρώσεις

Cloud Computing και Νομικά Ζητήματα Προστασίας Προσωπικών Δεδομένων Τάκης Κακούρης, Partner, Ζέπος & Γιαννόπουλος

LEGAL INSIGHT Η ΣΥΜΜΟΡΦΩΣΗ ΤΩΝ ΕΠΙΧΕΙΡΗΣΕΩΝ ΠΡΟΣ ΤΟΝ ΝΕΟ ΕΥΡΩΠΑΪΚΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ- Η ΑΝΤΙΣΤΡΟΦΗ ΜΕΤΡΗΣΗ ΓΙΑ ΤΟΝ GDPR

EU Cyber Security Policy Ευρωπαϊκό δίκαιο προστασίας και ασφάλειας δεδομένων στα επόμενα χρόνια Θοδωρής Κωνσταντακόπουλος

Πανελλήνιο Δίκτυο Επαγγελματιών Υπευθύνων Προστασίας Δεδομένων Infocom Security Cyprus, 14 Μαίου 2019

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

«ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ GDPR

Ιδιωτικό ιατρείο στα χρόνια του GDPR. Φελεκίδης Αναστάσιος. Ιατρός Οφθαλμίατρος, Ιατρικός Σύλλογος Ξάνθης

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

Χρήση συστημάτων βιντεοεπιτήρησης για σκοπούς «ασφάλειας»

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

DPO Βέλτιστες Πρακτικές

ΕΝΗΜΕΡΩΣΗ. Για περισσότερες πληροφορίες επικοινωνήστε μαζί μας στο

ΔΗΛΩΣΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Τεχνικά και οργανωτικά θέματα οι υποχρεώσεις των επιχειρήσεων και η τοποθέτηση Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer DPO)

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (General Data Protection Regulation)

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Γενικός Κανονισμός Προστασίας Δεδομένων 1 χρόνος από την εφαρμογή του

Εξειδικευμένο λογισμικό για GRC

Ο νέος κανονισμός προστασίας δεδομένων. Σταμπουλής Γεώργιος. Χημικός Μηχανικός, Οργανοτεχνική Α.Ε.

Τμήμα 5. Κώδικες δεοντολογίας και πιστοποίηση. Άρθρο 40. Κώδικες δεοντολογίας

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΓΕΝΙΚΟΣ ΚΑΝΟΝΑΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (GDPR)

Ο Ευρωπαϊκός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) Υποχρεώσεις - Κατευθυντήριες Οδηγίες - Τεχνικά & Οργανωτικά Μέτρα

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Θέμα: Γενική Ενημέρωση σχετικά με την Επεξεργασία των Προσωπικών Δεδομένων (Data Privacy Notice)

ΠΡΟΣΚΛΗΣΗ ΕΚΔΗΛΩΣΗΣ ΕΝΔΙΑΦΕΡΟΝΤΟΣ ΥΠΟΒΟΛΗΣ ΠΡΟΤΑΣΗΣ ΣΥΝΕΡΓΑΣΙΑΣ «GDPR Compliance Services»

GDPR Kανονισμός για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα ΕΕ/679/2016

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ- ΥΠΔ ΣΤΗ Π.Φ.Υ

Βασικοί προβληματισμοί στην επιλογή του DPO

ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

ΕΝΗΜΕΡΩΤΙΚΗ ΔΗΛΩΣΗ ΕΙΔΟΠΟΙΗΣΗ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

9η Παρ. Ι. ΘΕΟΤΟΚΗ 1, ΤΗΛ.: , FAX: 44110, Τ.Κ ΚΕΡΚΥΡΑ

Τα προσωπικά σας δεδομένα ενδέχεται να συλλέγονται από εσάς προσωπικά ή από τρίτους εκ μέρους σας.

Δήλωση περί Απορρήτου Προσωπικών Δεδομένων της επιχείρησης PRAGMASSI Μ.Ι.Κ.Ε. (Privacy Notice)

Transcript:

1

2 Διαχείριση προσωπικών δεδομένων (data governance) υπό το νέο Κανονισμό Ανδριανή Φέρτη, Senior Associate Καρατζά και Συνεργάτες

Εν περιλήψει Ο Γενικός Κανονισμός περί Προστασίας Προσωπικών Δεδομένων (ΓΚΠΠΔ) επιβάλλει την H υποχρέωση εφαρμογής κατάλληλων μέτρων για τεχνικών να μειωθεί και οργανωτικών το ρίσκο παραβίασης μέτρων εκ του ΓΚΠΠΔ και ΓΚΠΠΔ ως μέσο αποσκοπεί απόδειξης στα εξής ότι η διαχείριση προσωπικών δεδομένων αντιμετωπίζεται - Μείωση του ρίσκου παραβίασης του ΓΚΠΠΔ με σοβαρότητα - Αποδεικτικό μέσο ότι η διαχείριση προσωπικών δεδομένων αντιμετωπίζεται με σοβαρότητα Αυτά τα μέτρα περιλαμβάνουν και μέτρα λογοδοσίας στην Αρχή όπως: measures) Εκτίμηση όπως: αντικτύπου ιδιωτικότητας (privacy impact assessment) - Εκτίμηση Ελέγχους αντικτύπου (audits) ιδιωτικότητας (privacy impact assessment) - Ελέγχοι (audits) - Αναθεώρηση Αναθεώρηση πολιτικών πολιτικών (Πιθανό) διορισμό του Υπεύθυνου Προστασίας Δεδομένων (DPO) Τα προαναφερθέντα μέτρα δύνανται να είναι και «μέτρα λογοδοσίας» (accountability - (Πιθανός) διορισμός του Υπεύθυνου Προστασίας Δεδομένων (DPO) Για πολλούς οργανισμούς οι οποίοι δεν είχαν προβεί σε κάτι ανάλογο με βάση το προηγούμενο που δεν είχε προβεί καθεστώς σε κάτι η ανάλογο συμμόρφωση είναι ιδιαιτέρως με αυτά δαπανηρή τα μέτρα και είναι πολύπλοκη ιδιαιτέρως - Είναι όμως και μια χρήσιμη άσκηση δαπανηρή Η διαμόρφωση ενός προγράμματος συμμόρφωσης με τον ΓΚΠΠΔ για έναν οργανισμό 3

Διαχείριση προσωπικών δεδομένων Ο ΓΚΠΠΔ προέβη στη θεσμοθέτηση πολλών εννοιών που αφορούν στη διαχείριση προσωπικών δεδομένων Η πρακτική εφαρμογή αυτών των εννοιών συνεπάγεται πολλαπλές λειτουργικές υποχρεώσεις (και αντίστοιχα κόστη) Οι αρχές χρησιμοποιούσαν πολλές από αυτές τις έννοιες / διαδικασίες (π.χ. εκτίμηση αντικτύπου ιδιωτικότητας) στα πλαίσια εφαρμογής της προηγούμενης νομοθεσίας Τόσο για ιδιωτικούς όσο και για τους δημόσιους οργανισμούς Ο ΓΚΠΠΔ προβλέπει μια γενικότερη υποχρέωση των υπεύθυνων επεξεργασίας Λήψη τεχνικών και οργανωτικών μέτρων προς συμμόρφωση με τον Κανονισμό (αλλά και για να μπορούν να αποδείξουν ότι έχουν συμμορφωθεί) 4

Υποχρεώσεις σχετικά με τη διαχείριση προσωπικών δεδομένων 5 Προστασία των δεδομένων κατά το σχεδιασμό (privacy by design) Εκτίμηση αντικτύπου ιδιωτικότητας (privacy impact assessment PIA) Τήρηση αρχείου δραστηριοτήτων επεξεργασίας Υποχρέωση επιμέλειας σε ό,τι αφορά τους παρόχους υπηρεσιών που χρησιμοποιεί ο υπεύθυνος επεξεργασίας Ορισμός DPO

Privacy by design 6 Εφαρμογή κατάλληλων οργανωτικών και τεχνικών μέτρων (π.χ. ψευδωνυμοποίηση) ήδη από το σχεδιασμό Κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας Κατά τη στιγμή της επεξεργασίας Εφαρμογή κατάλληλων οργανωτικών και τεχνικών μέτρων ούτως ώστε εξ ορισμού να υφίστανται επεξεργασία μόνο τα προσωπικά δεδομένα τα οποία είναι απαραίτητα για το σκοπό της επεξεργασίας Ένδειξη συμμόρφωσης με την υποχρέωση αυτή είναι η συμμόρφωση με εγκεκριμένους μηχανισμούς πιστοποίησης Π.χ. ISO 27001 Θεωρείται όμως ένδειξη και όχι απόδειξη συμμόρφωσης

Privacy Impact Assessment PIA Αφορά την αναγνώριση και την ελαχιστοποίηση των κινδύνων από μη συμμόρφωση Πρέπει να διενεργηθεί πριν από κάθε υψηλού κινδύνου επεξεργασία ιδίως σε περιπτώσεις όπως: Η έννοια προϋπήρχε και πρακτικά εφαρμοζόταν από πολλές εταιρίες, αλλά ο ΓΚΠΠΔ την εισήγαγε και επίσημα ως υποχρέωση Συστηματική και εκτενή αυτοματοποιημένη επεξεργασία όπως profiling και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα Μεγάλης κλίμακας επεξεργασία ευαίσθητων προσωπικών δεδομένων ή δεδομένων από ποινικές καταδίκες και αδικήματα Συστηματική παρακολούθηση δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα Συνύπαρξη άλλων παραγόντων όπως η παρουσία ευάλωτων υποκειμένων (π.χ. ανήλικοι ή εργαζόμενοι), καθημερινές διαβιβάσεις προσωπικών δεδομένων εκτός ΕΕ, επεξεργασία σχεδιασμένη με τέτοιο τρόπο ώστε να αρνείται στο φυσικό πρόσωπο την πρόσβασή του σε κάποια σύμβαση ή υπηρεσία 7

PIA Το PIA περιλαμβάνει κατ ελάχιστον: Αν έχει ορισθεί DPO, είναι απαραίτητο να ζητηθεί η συμβολή του κατά την διενέργεια της εκτίμησης αντικτύπου Δεν υπάρχει προκαθορισμένη μορφή / πρότυπο για PIA Περιγραφή των προβλεπόμενων λειτουργιών επεξεργασίας και των σκοπών της επεξεργασίας Εκτίμηση (α) της ανάγκης και της αναλογικότητας της επεξεργασίας και (β) των κινδύνων που ανακύπτουν για τα υποκείμενα των δεδομένων Έναν κατάλογο με τα μέτρα τα οποία προβλέπονται για να (α) περιοριστούν οι κίνδυνοι αυτοί και (β) προς συμμόρφωση με τον ΓΚΠΠΔ To WP29 έχει ήδη συντάξει διάφορα πρότυπα που είναι διαθέσιμα Επίσης υπάρχουν τα ISO 27001 (Information Security Management Systems), ISO 27005 (Information technology Security techniques Information security risk management) και ISO 31000 (Risk Management) Η σχετική υποχρέωση για PIA γεννάται αφού ο ΓΚΠΠΔ τεθεί σε ισχύ. Είναι όμως απαραίτητη η διενέργεια PIA προκειμένου να ελεγχθεί κατά πόσον πρόκειται για επεξεργασία που ενέχει κινδύνους 8

Αρχείο δραστηριοτήτων επεξεργασίας 9 Υποχρέωση από μέρους του υπεύθυνου επεξεργασίας να τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος Υποχρέωση παρεμφερής με την ισχύουσα υποχρέωση γνωστοποίησης στις αρχές συγκεκριμένων πληροφοριών σχετικά με την εκάστοτε επεξεργασία Το αρχείο περιλαμβάνει μεταξύ άλλων: Περιγραφή των κατηγοριών των δεδομένων που επεξεργάζεται και των υποκειμένων των δεδομένων Περιγραφή των σκοπών της επεξεργασίας Περιγραφή των κατηγοριών των αποδεκτών των δεδομένων Γενική περιγραφή των τεχνικών και οργανωτικών μέτρων που έχει λάβει όπου είναι δυνατόν Οι εκτελούντες την επεξεργασία ενέχουν την ίδια υποχρέωση τήρησης αρχείου Η υποχρέωση δεν ισχύει για επιχειρήσεις / οργανισμούς που απασχολούν λιγότερο από 250 άτομα (εκτός από ειδικές περιπτώσεις)

Επιλογή παρόχων υπηρεσιών σύμφωνη με ΓΚΠΠΔ 10 Ο ΓΚΠΠΔ επιβάλλει στον υπεύθυνο επεξεργασίας υποχρέωση επιμέλειας για την επιλογή εκτελούντων την επεξεργασία Οι τελευταίοι οφείλουν να παρέχουν επαρκείς διαβεβαιώσεις ως προς την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων Θα πρέπει να υπάρχει σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της ΕΕ ή κράτους μέλους η οποία να δεσμεύει τον εκτελούντα και να περιλαμβάνει κατ ελάχιστο: Συγκεκριμένες εντολές όσον αφορά την επεξεργασία και ειδικότερα τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα εκτός ΕΕ Διάρκεια της επεξεργασίας (και ενδεχομένως υποχρέωση διαγραφής των δεδομένων μετά την παρέλευση συγκεκριμένου διαστήματος) Τα πρόσωπα που θα έχουν πρόσβαση στα δεδομένα και τα οποία πρέπει να δεσμεύονται από την τήρηση εμπιστευτικότητας Καθοδήγηση σχετικά με το τι γίνεται σε περίπτωση παραβίασης των δεδομένων και τα τεχνικά και οργανωτικά μέτρα που πρέπει να εφαρμόσει ο εκτελών Η Ευρωπαϊκή Επιτροπή εξετάζει την προώθηση εγκεκριμένων προτύπων όρων για τις συμβάσεις με παρόχους υπηρεσιών αν και πιθανότατα αυτοί οι όροι να είναι επαχθείς για τους τελευταίους

Ορισμός DPO Ο ορισμός DPO είναι υποχρεωτικός μόνο σε συγκεκριμένες περιπτώσεις: Κατά τ άλλα ο ορισμός DPO είναι προαιρετικός και μπορεί ένας οργανισμός / επιχείρηση εθελοντικά να αποφασίσει να διορίσει DPO Δημόσια αρχή ή φορέας Οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας συνιστούν επεξεργασία που απαιτεί την τακτική και συστηματική παρακολούθηση των δεδομένων σε μεγάλη κλίμακα Οι βασικές δραστηριότητες του υπευθύνου συνιστούν μεγάλης κλίμακας επεξεργασία ευαίσθητων προσωπικών δεδομένων ή δεδομένων σχετικών με ποινικές καταδίκες και αδικήματα Περιπτώσεις που προβλέπεται από το δίκαιο κράτους μέλους Τo WP29 προβλέπει ότι αν υπάρχει αμφιβολία σχετικά με τον ορισμό DPO καλύτερα είναι να οριστεί DPO Σε περίπτωση που τελικά δεν ορισθεί DPO, το WP29 προτείνει να υπάρχει εγγράφως το σκεπτικό βάσει του οποίου ο οργανισμός / επιχείρηση κατέληξε στο συμπέρασμα αυτό Αν τελικά δεν ορισθεί DPO ούτε εθελοντικά, προσωπικό ή σύμβουλοι μπορούν να έχουν ανάλογα καθήκοντα, αλλά για αποφυγή οποιασδήποτε σύγχυσης δε θα πρέπει να αποκαλούνται DPO 11

«Βασικές δραστηριότητες» Δραστηριότητες που αποτελούν αναπόσπαστο κομμάτι για την επίτευξη των στόχων του υπευθύνου επεξεργασίας / εκτελούντων την επεξεργασία Παραδείγματα: Εταιρία security που έχει αναλάβει τη φύλαξη και την παρακολούθηση δημοσίου χώρου Νοσοκομείο που επεξεργάζεται τα δεδομένα των ασθενών Εξωτερικός πάροχος υπηρεσιών υγείας που χρησιμοποιεί κάποιος εργοδότης και ο οποίος επεξεργάζεται τα δεδομένα υγείας των εργαζομένων Η επεξεργασία των προσωπικών δεδομένων του προσωπικού είναι επικουρική και δε θεωρείται βασική δραστηριότητα 12

«Τακτική και συστηματική παρακολούθηση» Online tracking / profiling Παραδείγματα: Behavioural advertising και στοχευμένη επικοινωνία με email Profiling και scoring (π.χ. credit scoring, ορισμός premium για ασφάλειες) Location tracking CCTV Επεξεργασία από συνδεδεμένες συσκευές (π.χ. έξυπνα αυτοκίνητα) Δραστηριότητες data-driven marketing 13

«Μεγάλη κλίμακα» 14 Παράγοντες που συνυπολογίζονται είναι π.χ. ο αριθμός των υποκειμένων που μπορεί να επηρεάσει η επεξεργασία και το γεωγραφικό της εύρος Στο μέλλον μπορούν να τεθούν συγκεκριμένα κατώτατα όρια Παραδείγματα: Τράπεζες ή ασφαλιστικές που επεξεργάζονται δεδομένα πελατών τους\ Η επεξεργασία δεδομένων από έναν εξειδικευμένο πάροχο σχετικών με τα δεδομένα χώρου πελατών μεγάλης αλυσίδας fast-food 14

Προσόντα και προϋποθέσεις του DPO 15 Tα προσόντα και οι προϋποθέσεις για τον ορισμό DPO είναι ίδια ανεξαρτήτως αν ο DPO ορισθεί ελέω υποχρέωσης ή εθελοντικά Ο DPO ανεξαρτήτως υπό ποιες προϋποθέσεις έχει ορισθεί είναι υποχρεωμένος (και έχει το δικαίωμα) να εξετάσει όλες τις δραστηριότητες του οργανισμού που περιλαμβάνουν επεξεργασία προσωπικών δεδομένων Μπορεί επίσης ο DPO να είναι και ο υπεύθυνος τήρησης του αρχείου δραστηριοτήτων επεξεργασίας Ο DPO πρέπει να επιλέγεται βάσει επαγγελματικών προσόντων, της εμπειρίας και των γνώσεών του στο σχετικό τομέα και ανάλογα με το αντικείμενο και το σκοπό της επεξεργασίας Κατά κανόνα υπάρχει ένας DPO για κάθε οργανισμό, ο οποίος όμως μπορεί να υποστηρίζεται από μια ομάδα προσώπων, και ο οποίος θα ήταν προτιμότερο να βρίσκεται στην ΕΕ 15

O ρόλος του DPO 16 Ο πρωταρχικός του ρόλος είναι η συμμόρφωση με τον ΓΚΠΠΔ Κατ ελάχιστον τα καθήκοντά του συμπεριλαμβάνουν: Παροχή συμβουλών στους συναδέλφους και παρακολούθηση των δραστηριοτήτων του οργανισμού ούτως ώστε να εξασφαλίζεται η συμμόρφωση με τον ΓΚΠΠΔ Επιμορφωτικά και εκπαιδευτικά σεμινάρια Διενέργεια ελέγχων (audits) Παροχή συμβουλών σχετικά με το PIA Συνεργασία με τις υπεύθυνες αρχές Οι DPO δεν είναι προσωπικά υπεύθυνοι για τη μη συμμόρφωση του οργανισμού με τον ΓΚΠΠΔ H ευθύνη επαφίεται στον οργανισμό τον ίδιο Ο DPO πρέπει να έχει στη διάθεσή του τους απαραίτητους πόρους και να αναφέρεται απευθείας στην ανώτατη διοίκηση

Checklist όσον αφορά τις υποχρεώσεις σχετικές με τη διαχείριση προσωπικών δεδομένων Προβλέψτε στον προϋπολογισμό σας το κόστος συμμόρφωσης με τον ΓΚΠΠΔ και αναθέστε τη συμμόρφωση σε κάποιον / ους υπεύθυνους o Ορίστε ξεκάθαρα αν αυτός στον οποίο έχετε αναθέσει την υποχρέωση συμμόρφωσης θεωρείται DPO ή όχι o Ανεξαρτήτως του ορισμού DPO Με τον ορισμό DPO ανακύπτει θέμα συγκρούσεως συμφερόντων και επίσης η θέση τους προστατεύεται εργασιακά Ορίστε γραμμές αναφοράς στον οργανισμό και την περιγραφή του ρόλου αυτών που ασχολούνται με τη συμμόρφωση με τις υποχρεώσεις του ΓΚΠΠΔ Θέστε σε ισχύ ένα πλήρες πρόγραμμα συμμόρφωσης που να περιλαμβάνει PIA, τακτικούς ελέγχους, αναθεωρήσεις των πολιτικών ανθρώπινου δυναμικού, ενημερώσεις και επιμορφωτικά σεμινάρια Ελέγξτε τις συμφωνίες με τους ήδη υπάρχοντες παρόχους υπηρεσιών και ενημερώστε τα συμβόλαια που έχετε και τα πρότυπα RFP Ελέγξτε την έκδοση Κωδίκων Πρακτικής σχετικά με τους προμηθευτές ή προτύπων όρων για τα συμβόλαια με προμηθευτές που μπορεί να προτείνουν οι Αρχές Εφαρμόστε μέτρα που να επιτρέπουν την τήρηση αρχείου επεξεργασίας προσωπικών δεδομένων 17

www.karatza-partners.gr Καρατζά & Συνεργάτες Δικηγορική Εταιρεία, Κουμπάρη 8, 106 74 Αθήνα Τηλ.: +30 210 3713600, Fax: +30 210 3234363, e-mail: mail@karatza-partners.gr 18

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια