ΕΙΣΑΓΩΓΗ ΣΤΟΝ GDPR ΕΙΣΗΓΗΤΗΣ: Α/Α ΑΠΟΣΤΟΛΙΔΗΣ ΓΕΩΡΓΙΟΣ

ΕΙΣΑΓΩΓΗ ΣΤΟΝ GDPR ΕΙΣΗΓΗΤΗΣ: Α/Α ΑΠΟΣΤΟΛΙΔΗΣ ΓΕΩΡΓΙΟΣ

ΑΣ ΓΝΩΡΙΣΤΟΥΜΕ ΛΙΓΑ ΠΡΑΓΜΑΤΑ ΓΙΑ ΤΟΝ ΕΙΣΗΓΗΤΗ ΣΑΣ.. Απόφοιτος της σχολής Αξιωματικών της Ελληνικής Αστυνομίας με 23 έτη υπηρεσίας σε μάχιμες υπηρεσίες. Απόφοιτος της Σχολής Μετεκπαίδευσης επιτελών στελεχών της Αστυνομικής Ακαδημίας με γενικό χαρακτηρισμό άριστα Πιστοποιημένος εκπαιδευτής του Εθνικού οργανισμού πιστοποίησης προσόντων σε αντικείμενα με θέματα Ασφάλειας μεταξύ άλλων για α) Ασφάλεια τεχνολογίας πληροφορίας και επικοινωνιών, β) Ασφάλεια συστημάτων και δικτύων πληροφορικής, γ) Προστασία ασφάλειας δομών ζωτικής σημασίας δ) Φυσική ασφάλεια εγκαταστάσεων κ.τ.λ. Πιστοποιημένος DPO κατά ISO 17024 Πιστοποίηση από το Εθνικό Κέντρο Δημόσιας Διοίκησης στον Ευρωπαϊκό Κανονισμό 2016/679 και τις ευθύνες της δημόσιας διοίκησης

Εκπαιδευτής μετά από εκπαίδευση Κέντρου Μελετών Ασφαλείας σε θέματα ριζοσπαστικοποίησης τρομοκρατίας και εξτρεμισμού. Επιστημονικός συνεργάτης του τεχνοβλαστου του Αριστοτέλειου πανεπιστήμιου της εταιρείας ACTA για λογαριασμό της οποίας έχει συγγράψει τμήματα των πιστοποιημένων σεμιναρίων της σε θέματα ασφάλειας. Εκπαιδεύσεις σε πλήθος σεμιναρίων σε εργαζομένους και συλλόγους εργαζομένων με αντικείμενο την ασφάλεια εγκαταστάσεων και χωρών μεταξύ άλλων στους υπαλλήλους της Αμερικάνικης Γεωργικής σχολής, στους υπάλληλους της κλινικής αποκατάστασης Αρωγής κ.τ.λ. Συμμέτοχη σε προγράμματα χρηματοδοτούμενα από την Ε.Ε. Erasmus plus KA 2 κ.τ.λ.

ΠΡΟΓΡΑΜΜΑ ΗΜΕΡΑΣ Εκπαιδευτική εισαγωγή. Επισκόπηση των βασικών σημείων του Ευρωπαϊκού Κανονισμού 2016/679 GDPR. Συμμόρφωση στην διάσταση της Φυσικής Ασφάλειας σύμφωνα με τον Κανονισμό. Φυσική Ασφάλεια εγκαταστάσεων και πληροφοριών.

Πολιτική Φυσικής Ασφάλειας. Μελέτη Τρωτότητας Σχέδιο Ασφάλειας και Σχέδιο Έκτακτης Ανάγκης Διαχείριση Φυσικού Αρχείου Δεδομένων Προσωπικού Χαρακτήρα. Τεχνικά και Οργανωτικά Μέτρα Φυσικής Ασφάλειας.

ΕΙΣΑΓΩΓΗ GDPR Πρόκειται για σημαντική μεταρρύθμιση που άφορα την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των προσωπικών τους δεδομένων αποτελεί νομοθετική δέσμη με σκοπό την επικαιροποίηση και τον εκσυγχρονισμό των υφιστάμενων κανόνων προστασίας των δεδομένων.

Περιλαμβάνει δυο νομοθετικές πράξεις : Α) τον Γενικό κανονισμό προστασίας δεδομένων 2016/679 ο οποίος αντικαθιστά την οδηγία 95/46/ΕΚ. Β) Την οδηγία προστασίας των δεδομένων στον τομέα επιβολής του νόμου 2016/680 η οποία αντικαθιστά την απόφαση πλαίσιο του 2008 για την προστασία των δεδομένων.

Αφορά: Οδηγία 2016/680 Την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης, η δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης πλαίσιο 2008/977/ΔΕΥ του Συμβούλιου Εφαρμογή από δικαστικές, εισαγγελικές και εν γένει διωκτικές αρχές- ΜΗ εφαρμογή Γ.Κ.Π.Δ. σε αυτές τις περιπτώσεις ( αρθ 2 &2 δ ΓΚΠΔ ) Εγείρονται ζητήματα οριοθέτησης εφαρμογής Οδηγίας- Κανονισμού

Όταν τα δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία από τις αρμόδιες αρχές για σκοπούς διαφορετικούς, όπως η αρχειοθέτηση προς το δημόσιο συμφέρον ή σκοπούς επιστημονικούς ή ιστορικούς ή έρευνας ή στατιστικούς σκοπούς, εφαρμόζεται ο Κανονισμός.

ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ( 2016/679 ) Είναι ο Γενικός Κανονισμός για την προστασία των δεδομένων (GDPR) είναι ένας κανονισμός με τον οποίο το Ευρωπαϊκό Κοινοβούλιο το Ευρωπαϊκό Συμβούλιο και η Ευρωπαϊκή Επιτροπή προτίθενται να ενισχύσουν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών εντός της Ευρωπαϊκής Ένωσης. Ρυθμίζει την επεξεργασία των προσωπικών δεδομένων κατά ενιαίο τρόπο εντός της Ε.Ε. και καταργεί προηγούμενους νομούς που υπήρχαν ως τώρα.

Κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)» αντικαθιστά την οδηγία, η οποία δεν ήταν προσαρμοσμένη στην τεχνολογική πραγματικότητα του Διαδικτύου Κατάργηση του ( ν.2472/1997) Ο Κανονισμός στηρίζεται στο οικοδόμημα της Οδηγίας, αλλά εισάγει νέες καινοτομίες, νέα δικαιώματα, όπως το δικαίωμα στη λήθη και στη φορητότητα δεδομένων. Καταργείται ο προληπτικός έλεγχος με τις γνωστοποιήσεις και άδειες από τις εποπτικές αρχές. Αντικαθίσταται από την υποχρέωση εκπόνησης μελέτης αντικτύπου

Εισάγεται η υποχρέωση διορισμού υπευθύνου για την προστασία δεδομένων. ( DPO ) όχι πάντοτε Ανάγκη προσαρμογής στον νέο Κανονισμό και για τις δημόσιες αρχές, στις βασικές δραστηριότητες των οποίων ανήκει η επεξεργασία ευαίσθητων δεδομένων (π.χ. δεδομένων υγείας) και επεξεργασία σε μεγάλη κλίμακα. Η ΜΗ συμμόρφωση του θα μπορούσε να οδηγήσει σε πρόστιμα έως και 20.000.000 ευρώ η το 4% του παγκοσμίου κύκλου εργασιών. Δεν απαιτείται έγκριση μέσω κοινοβουλίων. Η άμεση εναρμόνιση του σε ολόκληρη την Ε.Ε. διευκολύνει τις μη ευρωπαϊκές εταιρείες να συμμορφωθούν με αυτούς τους κανονισμούς.

ΠΡΩΤΟ ΒΗΜΑ awareness

ΠΡΟΣΕΓΓΙΣΗ ΣΕ 3 ΔΙΑΣΤΑΣΕΙΣ GDPR ΝΟΜΙΚΗ ΔΙΑΣΤΑΣΗ ΨΗΦΙΑΚΗ ΔΙΑΣΤΑΣΗ ΟΡΓΑΝΩΤΙΚΗ ΔΙΑΣΤΑΣΗ-ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ

ΝΟΜΙΚΗ ΔΙΑΣΤΑΣΗ GDPR Σε κάθε ενέργεια: Εφαρμογή των αρχών του κανονισμού Συμμόρφωση με τα νέα δικαιώματα των φυσικών προσώπων για την προστασία των προσωπικών τους δεδομένων Αλλαγή- τροποποίηση συμβάσεων με προμηθευτές, πελάτες, εργαζόμενους, υπευθύνους επεξεργασίας και εκτελούντων την επεξεργασία. Καταγραφή των προσωπικών δεδομένων της επιχείρησης σε κάθε δραστηριότητα Καταγραφή κενών της υπάρχουσας κατάστασης της επιχείρησης σε σχέση με τον ΓΚΠΔ ( GAP analysis ) Εκτίμηση αντιτύπου

ΨΗΦΙΑΚΗ ΔΙΑΣΤΑΣΗ GDPR Καταγραφή πολιτικών Σχέδιο ασφάλειας πληροφοριών Σχέδιο ανάκαμψης Τεχνικά και οργανωτικά μέτρα για απόδειξη της προστασίας των προσωπικών δεδομένων της επιχείρησης Κρυπτογράφηση Ψευδωνυμοποιηση Κ.τ.λ.

ΦΥΣΙΚΗ ΔΙΑΣΤΑΣΗ GDPR Ασφαλείς μέθοδοι αποθήκευσης προσωπικών δεδομένων στο φυσικό αρχείο Πολιτική φυσικής ασφάλειας προσωπικών δεδομένων ( Ως παράρτημα της γενικότερης πολίτικης της επιχείρησης) Σχέδιο φυσικής ασφάλειας προσωπικών δεδομένων ( Ως παράρτημα του σχεδίου ασφάλειας πληροφοριών) Εκτίμηση επικινδυνότητας αξιολόγηση Μελέτη τρωτότητας Σχέδιο έκτακτης ανάγκης ένεκα φυσικού συμβάντος. Τεχνικά και οργανωτικά μέτρα φυσικής ασφάλειας

ΕΠΕΞΕΡΓΑΣΙΑ; ΤΙ ΣΗΜΑΙΝΕΙ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ GDPR

Επεξεργασία σημαίνει κάθε εργασία, τόσο με αυτοματοποιημένα ή ψηφιακά μέσα, όσο και με χειροκίνητα ή φυσικά μέσα (π.χ. φυσική αρχειοθήκη), που αφορά σε προσωπικά δεδομένα, όπως: συλλογή, καταγραφή, οργάνωση, διατήρηση, αποθήκευση, ολική ή μερική διόρθωση, ενημέρωση, τροποποίηση, εξαγωγή, χρήση, μεταβίβαση, διάδοση, συσχετισμός, διασύνδεση, δέσμευση, διαγραφή, καταστροφή.

ΕΦΑΡΜΟΖΕΤΑΙ ΣΤΗΝ 1 ΑΥΤΟΠΟΙΗΜΕΝΗ Εν όλω η εν μέρει επεξεργασία προσωπικών δεδομένων 2 ΜΗ ΑΥΤΟΠΟΙΗΜΕΝΗ Επεξεργασία προσωπικών δεδομένων που περιλαμβάνονται η πρόκειται να συμπεριληφθούν σε σύστημα ΑΡΧΕΙΟΘΕΤΗΣΗΣ

ΔΕΝ ΕΦΑΡΜΟΖΕΤΑΙ Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα: α) Στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, β)από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας. γ) Από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.

ΔΕΔΟΜΕΝΑ ΠΡΟΣΩΠΙΚΟΥ ΔΕΔΟΜΕΝΑ ΠΟΙΑ ΕΊΝΑΙ; ΣΕ ΤΙ ΧΩΡΙΖΟΝΤΑΙ;

«Δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων») το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα

ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Τραπεζικοί Λογαριασμοί (π.χ. IBAN) Δημογραφικά Δεδομένα ( Όνομα, επίθετο φύλο, ηλικία.κ.τ.λ.) Αριθμός Πιστωτικής Κάρτας Κρατικά χαρακτηριστικά ( αριθ. ταυτότητας, ΑΜΚΑ, αριθ. Διαβατηρίου, δίπλωμα, ΑΦΜ κ.τ.λ.) Επικοινωνία ( τηλ. Αριθμός, Τ.Κ. Mail, κ.τ.λ.) Ψηφιακά αναγνωριστικά ( IP κ.τ.λ.) Μέσα Κοινωνικής Δικτύωσης (facebook κ.τ.λ.)

ΕΥΑΙΣΘΗΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Υγεία Πολιτικές πεποιθήσεις Θρησκευτικές πεποιθήσεις Φιλοσοφικές πεποιθήσεις Μέλος συνδικαλιστικής οργάνωσης Γενετικά χαρακτηριστικά Φυλή Σεξουαλικές προτιμήσεις Ποινικές διώξεις και καταδίκες κ.τ.λ.

ΠΑΡΟΛΟ ΑΥΤΑ Έρευνες στην Ε.Ε. δείχνουν πως το 77% των επιχειρήσεων δεν κατανοούν τον νέο ευρωπαϊκό κανονισμό προσωπικών δεδομένων GDPR. ΔΗΜΙΟΥΡΓΟΥΝΤΑΙ ΕΡΩΤΗΜΑΤΑ ΣΧΕΤΙΚΑ: Που απευθύνεται; Ποια η αναγκαιότητα; Ποια είναι τελικά τα προσωπικά δεδομένα; Που βρίσκονται αυτά στην επιχείρηση μας; Τι δικαιώματα και τι υποχρεώσεις απορρέουν στα υποκείμενα δικαιωμάτων έναντι GDPR

Χρειάζεται πάντα να οριστεί D.P.O.; Μπορεί ο D.P.O. να ασκεί τα καθήκοντα του παράλληλα με αλλά κύρια καθήκοντα; Αρμοδιότητες; Δικαίωμα εναντίωσης φυσικού προσώπου. Τι είναι; Αρχές λογοδοσίας και όλες οι υπόλοιπες αρχές που βρίσκονται κάτω από αυτήν. Τι είναι: Awareness νέα νοοτροπία για όλους έναντι προστασίας προσωπικών δεδομένων. Τελικά των χρειαζόμαστε πραγματικά τον νέο Ευρωπαϊκό Κανονισμό για την προστασία προσωπικών δεδομένων; Κ.τ.λ.

ΠΟΙΟΥΣ ΑΦΟΡΑ; Καταρχήν Μας άφορα όλους ακόμα και ως φυσικά πρόσωπα υποκείμενα δικαιωμάτων τα οποία παρέχουμε τα προσωπικά μας δεδομένα σε διάφορες υπηρεσίες στην καθημερινότητα μας. Πρέπει να αλλάξουμε νοοτροπία σχετικά με τα προσωπικά μας δεδομένα, χρειάζεται ευαισθητοποίηση από όλους.

Επίσης άφορα: Δημόσιες και ιδιωτικές δομές οι οποίες επεξεργάζονται προσωπικά δεδομένα η εκτελούν επεξεργασία δεδομένων προσωπικού χαρακτήρα. Π.χ. ΔΕΗ, ΟΤΕ, Αστυνομία, Ν.Π.Δ.Δ. Νοσοκομεία,Λιμάνια,ξενοδοχεία, εταιρείες ΙΕΠΥΑ και γενικά όλες τις επιχειρήσεις που καταγράφουν σε φάκελους η ηλεκτρονικά προσωπικά δεδομένα πελατών προμηθευτών κ.τ.λ.

ΓΙΑ ΙΔΙΩΤΙΚΕΣ ΚΑΙ ΔΗΜΟΣΙΕΣ ΔΟΜΕΣ ΕΥΘΥΝΗ για τον Υ.Ε. η και του Ε.Ε. ο οποίος πλέον πρέπει να αποδεικνύει ότι λαμβάνει τα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων και ότι συμμορφώνεται με τις απαιτήσεις του Ευρωπαϊκού κανονισμού. Προστασία δεδομένων κατά τον σχεδιασμό( data protection by design) ΔΗΛΑΔΗ ο νέος Ευρωπαϊκός Κανονισμός επιβάλει την εφαρμογή προϊόντων και υπηρεσιών ( ηλεκτρονικών και μη) που κατά τον αρχικό σχεδιασμό δημιουργούν φιλικές συνθήκες για την προστασία των προσωπικών δεδομένων. Π.χ. Να δίνεται η δυνατότητα στα φυσικά πρόσωπα να επιλέγουν ρυθμίσεις που θα προστατεύουν έτσι καλύτερα τα δεδομένα τους.

ΑΠΛΗ ΣΧΗΜΑΤΙΚΗ ΑΠΕΙΚΟΝΙΣΗ GDPR ΔΙΚΑΙΩΜΑΤΑ Υ.Δ. ΕΘΝΙΚΑ,ΕΥΡΩΠΑΙΚΑ ΔΙΚΑΣΤΗΡΙΑ European data protection board ΥΠΟΧΡΕΩΣΕΙΣ ΑΞΙΟΛΟΓΗΣΗ ΕΠΙΧΕΙΡ. Υ.Ε. DPO ΑΞΙΟΛΟΓΗΣΗ ΑΣΦΑΛΕΙΑ ΑΝΕΞΑΡ. ΕΠΟΠΤ. ΑΡΧΗ DPA DATA PROTECTION ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΗΜΟΣΙΟΠΟΙΗΣΗ ΤΡΙΤΑ ΜΕΡΗ ΤΡΙΤΕΣ ΧΩΡΕΣ

ΠΡΟΕΤΟΙΜΑΣΙΑ ΓΙΑ ΣΥΜΜΟΡΦΩΣΗ Πριν ξεκινήσει διαδικασία συμμόρφωσης με τις απαιτήσεις του ΓΚΠΔ κάθε επιχείρηση οφείλει να πραγματοποιήσει πρόδρομες ενέργειες ( προετοιμασία της επιχείρησης ) οι οποίες θα αποτυπώσουν την υπάρχουσα κατάσταση της σε σχέση με τα προσωπικά δεδομένα που επεξεργάζεται. Προετοιμασία σε 3 διαστάσεις

Βήματα προετοιμασίας Δέσμευση της διοίκησης Συνεντεύξεις μέσω ερωτηματολόγιων Data mapping Φυσική ασφάλεια Νομικά θέματα Ψηφιακή ασφάλεια Αρχείο δραστηριοτήτων Gap Analysis DPIA- εκτίμηση αντίκτυπου Εκτίμηση επικινδυνότητας- μελέτη τρωτότητας

ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΚΑΙ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Φυσική Ασφάλεια σε εγκαταστάσεις Τι νοείται φυσική ασφάλεια; Πως εμπλέκεται η φυσική ασφάλεια στην προστασία των προσωπικών δεδομένων έναντι GDPR

ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ Φυσική ασφάλεια SECURITY SAFETY Επιτακτικότερη η ανάγκη στις υποδομές ζωτικής σημασίας! Λιμάνια, Αεροδρόμια, ΔΕΗ, οτε κ.τ.λ.

Φυσική Ασφάλεια και προσωπικά δεδομένα Που αποσκοπεί ;

Φυσική ασφάλεια και προσωπικά Αποσκοπεί: δεδομένα Πρόληψη για την προστασία όλων των φυσικών αρχείων όπου φυλάσσονται προσωπικά δεδομένα σε έντυπη και όχι μόνο μορφή. Στην μείωση των κινδύνων από απειλές κατά των έγχαρτων φυσικών αρχείων όπου τηρούνται προσωπικά δεδομένα. Αποτροπή κίνδυνων όλων των παραπάνω από άτομα που έχουν ως σκοπό την καταστροφή η απώλεια των αρχείων των προσωπικών δεδομένων μια επιχείρησης που τηρούνται σε φυσικό η μη αρχείο.

Διαχείριση του παρόντα κινδύνου που αποσκοπεί σε καταστροφή, απώλεια φακέλων εντός των οποίων τηρούνται προσωπικά δεδομένα καθώς και σε ηλεκτρονικά συστήματα και μηχανήματα στα οποία αποθηκεύονται σε ηλεκτρονική μορφή και τα οποία κινδυνεύουν από ανθρωπογενείς η μη ανθρωπογενείς κινδύνους. Επαναφορά στους συνήθης ρυθμούς της εγκατάστασης και την συνεχή προστασία των προσωπικών δεδομένων εντός αυτής.

SECURITY SAFETY Τι νοείται τρωτότητα μιας εγκατάστασης; Τι νοείται εκτίμηση επικινδυνότητας;

Τρωτότητα: Ορίζεται η φυσική ή τεχνολογική ή άλλη αδυναμία- ευπάθεια που σχετίζεται με τον τομέα της ασφάλειας ή την ιδία την εγκατάσταση (εν μέρη η εν όλω) ή την ευρύτερη περιοχή και δίνει την δυνατότητα στον αντίπαλο να δράση προκαλώντας ανεπιθύμητα γεγονότα και αποτελέσματα. Εκτίμηση Επικινδυνότητας: Περιλαμβάνει την αξιολόγηση και την κατάταξη των κινδύνων σε επίπεδα, με βάση ποιοτικά και ποσοτικά κριτήρια που αφορούν τις πιθανότητες (ενδεχόμενο εκδήλωσης), τη συχνότητα και τις επιπτώσεις από την εκδήλωσή τους.- Προσοχή : έχει να κάνει με φυσικό συμβάν περισσότερο.

ΤΡΩΤΟΤΗΤΑ ΕΓΚΑΤΑΣΤΑΣΗΣ ΚΑΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Πρόκειται για τα σημεία από όπου μπορεί να προέλθει απειλή και συνακόλουθα κίνδυνος για τα φυσικά αρχεία που περιέχουν τα προσωπικά δεδομένα ή τα ηλεκτρονικά μηχανήματα εντός των οποίων αποθηκεύονται, καθώς και κενά στις διαδικασίες αντιμετώπισης εκτάκτων αναγκών.

ΤΡΩΤΑ ΣΗΜΕΙΑ Σημεία πρόσβασης κοινού απευθείας σε φάκελους και φυσικά αρχεία της επιχείρησης. Αφύλακτα σημεία όπου υπάρχουν αρχεία που περιέχουν προσωπικά δεδομένα. Κτίρια πολλών επιπέδων στα οποία φυλάσσονται σε διαφορετικούς χώρους ένχαρτα αρχεία. Χώροι που δεν ασφαλίζονται και τηρούνται τα αρχεία που περιέχουν προσωπικά δεδομένα.

Ανοιχτά παράθυρα, πόρτες οι οποίες διευκολύνουν την πρόσβαση σε άτομα τα οποία δεν θα έπρεπε να έχουν πρόσβαση στα αρχεία που περιέχουν προσωπικά δεδομένα. Μη αναγνώριση ευπαθειών σε σχέση με τα προσωπικά δεδομένα. Εγκαταστάσεις με εύκολη διαφυγή. Σημεία που δεν ελέγχονται κ.τ.λ.

ΕΚΤΙΜΗΣΗ ΕΠΙΚΙΝΔΥΝΟΤΗΤΑΣ Είναι η διαδικασία με την οποία όλοι οι κίνδυνοι που μπορεί να απειλούν και πρόκειται να διαχειριστούν (πρόληψηαντιμετώπιση) από έναν φορέα (δημόσιο, ιδιωτικό) κατηγοριοποιούνται (π.χ. φυσικός κίνδυνος κ.α.) και ταυτοποιούνται. Επιπλέον αναλύονται, εκτιμούνται και κατατάσσονται σε σειρά προτεραιότητας. Ως τέτοιοι μπορεί να είναι οι ακόλουθοι:

Δομικός εντοπισμός φωτιάς σε συγκεκριμένα κρίσιμα σημεία και δωμάτια λόγω έλλειψης αποτελεσματικού εξοπλισμού και κατάλληλης παρακολούθησης εντός του κτιρίου. Επιχειρησιακή ασφάλεια και υγεία, πιθανότητα τραυματισμών του προσωπικού και η καταστροφή του τεχνικού εξοπλισμού λόγω ατυχημάτων και υπερβολικά υψηλών θερμοκρασιών. Πρόκληση ατυχημάτων και πιθανή καταστροφή ένχαρτου αρχείου με προσωπικά δεδομένα από μη σωστή χρήση τοποθέτηση καλωδίων Πρόκληση απώλειας προσωπικών δεδομένων από λανθασμένη τοποθέτηση ένχαρτου υλικού ( δίπλα σε υδροσωληνώσεις)

ΜΕΛΕΤΗ ΤΡΩΤΟΤΗΤΑΣ- ΕΠΙΚΙΝΔΥΝΟΤΗΤΑΣ Εντοπισμός κινδύνων Εκτίμηση κινδύνων αξιολόγηση Κατανομή καθηκόντων Υλοποίηση- εφαρμογή έλεγχος Επαναφορά στην κανονικότητα

ΑΞΙΟΛΟΓΗΣΗ ΑΣΦΑΛΕΙΑΣ Πως γίνεται στην πράξη η Αξιολόγηση και καταγραφή : Της υφιστάμενης κατάστασης των προσωπικών δεδομένων data mapping Ταξινόμηση των αδυναμιών Την αξιολόγηση κινδύνων και απειλών μέσω της μελέτης τρωτότητας- εκτίμησης επικινδυνότητας assessment risk Της ανεπάρκειας ασφάλειας Προτάσεων-βελτιώσεων

Ταξινόμηση αδυναμιών Άκρως κρίσιμη Κρίσιμη Οι αδυναμίες κατηγοριοποιούνται ως «άκρως κρίσιμες» εάν μπορεί κανείς να τις εκμεταλλευτεί χωρίς ιδιαίτερη προσπάθεια και αν μπορούν να προκαλέσουν σημαντική ζημιά σε περίπτωση επίθεσης. Οι αδυναμίες ταξινομούνται ως «κρίσιμες» Εάν μπορεί κανείς να τις εκμεταλλευτεί μόνο με σημαντική προσπάθεια αλλά μπορούν να προκαλέσουν μεγάλη ζημιά. Εάν μπορεί κανείς να τις εκμεταλλευτεί χωρίς σημαντική προσπάθεια αλλά μπορούν να προκαλέσουν μόνο μικρές ζημιές.

Προειδοποίηση Αναφορές σε αδυναμίες ταξινομούνται ως «προειδοποίηση» εάν μπορεί κανείς να τις εκμεταλλευτεί μόνο με μεγάλη προσπάθεια αλλά θα οδηγούσαν σε μικρές ζημιές σε περίπτωση επίθεσης. Πληροφορία Αναφορές σε αδυναμίες ή ελαττώματα κατηγοριοποιούνται ως «πληροφορία» εάν δεν προκαλούν άμεση ζημιά ή δε σχετίζονται με την ασφάλεια της επίλυσης.

Αξιολόγηση της απαιτούμενης προσπάθειας Η ταξινόμηση της προσπάθειας που απαιτείται για την εφαρμογή ενός προτεινόμενου μέτρου βασίζεται στον χρόνο που απαιτείται και στις επιπρόσθετες απαιτήσεις σε εξοπλισμό / λογισμικό. Επίσης, γίνεται διάκριση ανάμεσα σε μέτρα που απαιτούν αλλαγές στην αρχιτεκτονική, αλλαγές στην εγκατάσταση ή αλλαγές στις υπάρχουσες ρυθμίσεις.

Δύσκολη Εφικτή Απαιτείται σημαντική προσπάθεια. Τα προτεινόμενα μέτρα χρειάζονται περισσότερο από μια εβδομάδα για να εφαρμοστούν. Χρειάζεται η προμήθεια υλικού ή λογισμικού εξοπλισμού, ο οποίος είναι ειδικά κατασκευασμένος ή πολύ ακριβός. Τα μέτρα απαιτούν αλλαγές στην αρχιτεκτονική του υπό εξέταση αντικειμένου. Απαιτείται μέτρια προσπάθεια. Τα προτεινόμενα μέτρα χρειάζονται λιγότερο από μια εβδομάδα για να εφαρμοστούν. Ίσως χρειαστεί η προμήθεια υλικού ή λογισμικού εξοπλισμού, αλλά αυτός θα είναι άμεσα διαθέσιμος και σε σχετικά μέτριο κόστος. Τα μέτρα απαιτούν αλλαγές στον υλικό ή λογισμικό εξοπλισμό που χρησιμοποιείται. Εύκολη Απαιτείται ελάχιστη προσπάθεια. Τα προτεινόμενα μέτρα μπορούν να εφαρμοστούν μέσα σε μια μέρα ή και λιγότερο. Δεν απαιτείται επιπρόσθετος υλικός ή λογισμικός εξοπλισμός. Τα μέτρα απαιτούν αλλαγές στη ρύθμιση.

ΕΚΤΙΜΗΣΗ ΑΠΕΙΛΗΣ 1- Καταστροφικ ή Επίπτωση 2-Σημαντική 3-Μέτρια 4-Μικρή 5-Ασήμαντη 5- Αμελητέα 4-Σπάνια 3-Απίθανη 2-Δυνατή 1-Πιθανή Πιθανότητα

Παράδειγμα Εκτίμηση κινδύνου Κρίσιμη Τρωτότητα Η πόρτα της Αίθουσας Αρχείου ήταν ανοιχτή και μέσα στην αίθουσα δεν υπήρχε σύστημα πυρόσβεσης. Επιπτώσεις Σε περίπτωση απώλειας αυτών των αρχείων, μπορεί να υπάρξει απώλεια δεδομένων τα οποία δεν θα είναι δυνατό να αναπαραχθούν. Προσπάθεια Ενέργεια αποκατάστασης Εύκολη Άμεσα να παραμένει η πόρτα της Αίθουσας Αρχείων κλειδωμένη, και να περιοριστεί η πρόσβαση μόνο σε αναγκαίες περιπτώσεις και να εγκατασταθεί Σύστημα Πυρανίχνευσης και Σύστημα Πυρόσβεσης, τα οποία να συνδέονται στο Σύστημα Διαχείρισης Κτιρίου (BMS) και στον Πίνακα Πυρανίχνευσης. Σχόλια

Διαφορά Risk Assessment με τηνdata Protection Impact Assessment (DPIA) Το Risk Assessment (Εκτίμηση κίνδυνου) αφορά σε κινδύνους για τον οργανισμό, ενώ η DPIA (διενέργεια εκτίμησης αντικτύπου )αφορά σε κινδύνους για τα φυσικά πρόσωπα από την επεξεργασία των προσωπικών τους δεδομένων.

ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ 1 Βρισκόμαστε στο ΙΕΚ ΑΧΙΛΕΑΣ του οποίου οι εγκαταστάσεις βρίσκονται στην Θεσσαλονίκη.Ο ιδιοκτήτης του ΙΕΚ θέλει να συμμορφώσει την επιχείρηση σύμφωνα με τον νέο ευρωπαϊκό κανονισμό 2016/679. Η επιχείρηση αποτελείται από 4 γραφεία διοίκησης και 8 αίθουσες μαθημάτων σε μια εκ των οποίων υπάρχουν μόνιμα εγκατεστημένοι ηλεκτρονικοί υπολογιστές. Υπάρχουν 2 κύριοι είσοδοι για την εγκατάσταση.δεδομένου ότι εσείς είστε οι σύμβουλοι οι οποίοι θα πραγματοποιήσουν την συμμόρφωση στην διάσταση της φυσικής ασφάλειας, κατά την προετοιμασία της επιχείρησης για τον φάκελο συμμόρφωσης : Α) Τι ερωτήσεις θα συμπεριλαμβάνατε στο ερωτηματολόγιο φυσικής ασφάλειας που θα απευθύνατε στον υπεύθυνο επεξεργασίας προκειμένου να μορφώσετε σαφή εικόνα της υπάρχουσας κατάστασης της επιχείρησης ; Β) Ποια είναι τα κρίσιμα σημεία χώροι τα οποία πρέπει να απασχολήσουν τον υπεύθυνο επεξεργασίας προκειμένου να λάβει τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων στα πλαίσια της φυσικής ασφάλειας;

ΠΙΘΑΝΕΣ ΕΡΩΤΗΣΕΙΣ ΦΥΣΙΚΗΣ ΑΣΦΑΛΕΙΑΣ Υπάρχει υπεύθυνος φυσικής ασφαλείας στην εγκατάσταση; Υπάρχει πολιτική φυσικής ασφάλειας και περιβάλλοντος χώρου (μέτρα ελέγχου φυσικής πρόσβασης στους κρίσιμους χώρους όπου βρίσκεται ο εξοπλισμός, καταγραφή, τήρηση καταλόγου από ΥΕ); Το φυσικό αρχείο της επιχείρησης βρίσκεται συγκεντρωμένο σε έναν η περισσότερους χώρους; Τα γραφεία εντός των οποίων τηρείται το φυσικό αρχείο της επιχείρησης κλειδώνουν; Με την λήξη της εργασίας τους, οι εκτελούντες την επεξεργασία ασφαλίζουν όλα τα γραπτά έγγραφα που περιέχουν προσωπικά δεδομένα εντός των ερμαρίων των γραφείων τους;

Μετά το πέρας του ωραρίου, υπάρχει ελεύθερη πρόσβαση στους χώρους αυτούς από άλλα πρόσωπα, πχ. συνεργεία καθαρισμού; Δίνονται κάρτες εισόδου σε όλους τους επισκέπτες εντός των εγκαταστάσεων της επιχείρησης; Υπάρχουν καταγεγραμμένες διαδικασίες σχετικά με τον χειρισμό εγγράφων (τοποθέτηση, μεταφορά, clean desk policy) στην επιχείρηση γενικά ή ειδικά αυτών που υπόκεινται στην επεξεργασία προσωπικών δεδομένων; Υπάρχει καταστροφέας γραπτών εγγράφων στους χώρους που πραγματοποιείται η επεξεργασία των προσωπικών δεδομένων; Είναι όλο το ένχαρτο αρχείο αποθηκευμένο και σε ψηφιακή μορφή? Στις περιπτώσεις που δεν είναι, πώς επιτυγχάνεται η λογοδοσία σε περίπτωση απώλειας του ένχαρτου? (δηλ να αποδείξετε ότι ήταν στην κατοχή σας)

ΣΥΜΜΟΡΦΩΣΗ Τι νοείται συμμόρφωση συμφώνα με τον GDPR; Πως το αντιλαμβανόμαστε; Τι είναι στην πραγματικότητα;

ΣΥΜΜΟΡΦΩΣΗ Περιλαμβάνει: ΠΟΛΙΤΙΚΕΣ ΑΣΦΑΛΕΙΑΣ ΣΧΕΔΙΟ ΑΣΦΑΛΕΙΑΣ ΣΧΕΔΙΟ ΕΚΤΑΚΤΗΣ ΑΝΑΓΚΗΣ

ΕΠΙΣΗΣ ΣΥΜΜΟΡΦΩΣΗ ΣΕ 3 ΔΙΑΣΤΑΣΕΙΣ

GDPR τεχνική πρόκληση, επηρεάζει επίσης οργανωτικές δομές, διαδικασίες και ανθρώπους Οργανωτική διάρθρωση, ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ Ποιος κατέχει τα προσωπικά δεδομένα; Που βρίσκονται αυτά στον φυσικό χώρο; Υπάρχουν εκπαιδευτικά προγράμματα για την προστασία των δεδομένων στην εταιρεία; Γνωρίζει η εταιρεία πώς να αντιδράσει σε μια παραβίαση των δεδομένων φυσικού η τεχνικού συμβάντος στους χώρους φύλαξης των προσωπικών δεδομένων; Πώς ο ΓΚΠΔ επηρεάζει την ΕΤΑΙΡΕΙΑ Τεχνολογικό υπόβαθρο Έχει Η εταιρεία την τεχνολογία για να υποστηρίξει τις απαιτήσεις του ΓΚΠΔ για τα προσωπικά δεδομένα (δημιουργία, ανάγνωση, ενημέρωση και διαγραφή); Έχουν δημιουργηθεί εργαλεία τα οποία εγκαταστάθηκαν στα ηλεκτρονικά συστήματα και παρέχουν προστασία για ασφαλή επεξεργασία των Π.Δ. Η τεχνολογική υποστήριξη απαιτεί προστασία των προσωπικών δεδομένων; Νομικές Διαδικασίες διαχείρισης δεδομένων Έχει η εταιρεία καταγεγραμμένες διαδικασίες οι οποίες ακολουθούνται; Ποιος καθορίζει τις πολιτικές για την προστασία των δεδομένων; Οι συμβάσεις της εταιρίας είναι συμφώνα με τον νέο ευρωπαϊκό κανονισμό Καταγράφονται σωστά οι παραβιάσεις δεδομένων; Η διαχείριση της συγκατάθεσης έχει ενσωματωθεί σε όλες τις διαδικασίες; Διεξάγεται εκτίμηση των επιπτώσεων προστασίας προσωπικών δεδομένων κάθε φορά που συστήματα ή/ και διαδικασίες αλλάζουν;

Άρθρο 32 Ασφάλεια επεξεργασίας 1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση: α) της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα,

β) της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, γ) της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, δ) διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.

Όσο αφορά την φυσική ασφάλεια Οι επιχειρήσεις θα πρέπει να έχουν λάβει κατάλληλα τεχνικά και οργανωτικά μέτρα: Να έχουν εκπαιδεύσει κατάλληλα το ανθρώπινο δυναμικό τους. Να υπάρχει κατανομή ρόλων, αρμοδιοτήτων και ευθυνών του ανθρώπινου δυναμικού για την επεξεργασία των προσωπικών δεδομένων. Να έχουν:data recovery plan & business continuity plan Πλάνο αντιμετώπισης περιστατικών ασφάλειας & παραβίασης προσωπικών δεδομένων. ( incident response plan)

Σχηματική Εμπλοκή του physical security έναντι GDPR ΣΥΜΒΟΥΛΕΣ AWARENESS DPO AWARENESS ΣΥΜΒΟΥΛΕΣ ΕΠΙΧΕΙΡ. Υ.Ε. ΤΕΧΝΙΚΑ ΚΑΙ ΟΡΓΑΝ. ΜΕΤΡΑ ΓΙΑ ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

ΑΣΦΑΛΕΙΑ ΕΠΙΧΕΙΡΗΣΗ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ Λαμβάνει KAI μέτρα για την ασφάλεια των προσωπικών δεδομένων της επιχείρησης.

ΠΡΩΤΟ ΒΗΜΑ ΣΥΜΜΟΡΦΩΣΗΣ ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ Αποτελεί έγγραφο του υπευθύνου επεξεργασίας στο οποίο περιγράφονται οι στόχοι της ασφάλειας και οι αντίστοιχες διαδικασίες που πρέπει να ακολουθούνται ώστε να επιτευχθούν αυτοί οι στόχοι. Καθορίζει τη δέσμευση της Διοίκησης και την προσέγγιση μιας επιχείρησης ή ενός οργανισμού αναφορικά με την ασφάλεια των πληροφοριακών συστημάτων και δικτύων και την προστασία προσωπικών δεδομένων που τηρεί ο υπεύθυνος επεξεργασίας.

ΤΙ ΠΕΡΙΕΧΕΙ α) Οργανωτικά μέτρα ασφαλείας αναφορικά με τους ρόλους και τις αρμοδιότητες του προσωπικού και των εξωτερικών συνεργατών-εκτελούντων την επεξεργασία. Τον καθορισμό και τις αρμοδιότητες του υπευθύνου ασφαλείας, την εκπαίδευση του προσωπικού, τη διαχείριση περιστατικών ασφαλείας, καθώς και την καταστροφή των προσωπικών δεδομένων β) Τα τεχνικά μέτρα ασφάλειας αναφορικά με τη διαχείριση των χρηστών του πληροφοριακού συστήματος. γ) Τα μέτρα φυσικής ασφάλειας

να είναι γενικεύσιμη, δηλαδή η εφαρμογή της σε μελλοντικά συστήματα που ενδεχομένως ενταχθούν στο πληροφοριακό σύστημα του οργανισμού να είναι δυνατή χωρίς να απαιτούνται μεγάλες τροποποιήσεις σε μικρά χρονικά διαστήματα. ΤΙ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ ΕΧΕΙ Μπορεί να είναι ενιαία ή σε τμήματα τα οποία περιλαμβάνονται σε μια ενιαία πολιτική ασφάλειας. Να είναι σαφής. Να είναι απλή και κατανοητή. Να μην τροποποιείται συχνά.

Τα αναγραφόμενα στην πολιτική ασφαλείας πρέπει να είναι δεσμευτικά για όλο το προσωπικό που χειρίζεται καθ οιονδήποτε τρόπο προσωπικά δεδομένα. Να είναι και σε συμφωνία με τη σχετική κείμενη νομοθεσία.

Η ΜΙΑ ΔΙΑΣΤΑΣΗ ΤΗΣ ΣΥΜΜΟΡΦΩΣΗΣ- ΠΟΛΙΤΙΚΗΣ ΑΣΦΑΛΕΙΑΣ ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΕΓΚΑΤΑΣΤΑΣΕΩΝ ΣΕ ΣΧΕΣΗ ΜΕ ΤΙΣ ΑΠΑΙΤΗΣΕΙΣ ΤΟΥ GDPR

ΠΡΟΣΔΙΟΡΙΣΜΟΣ ΣΗΜΕΙΩΝ ΚΛΕΙΔΙΑ ΡΟΗ ΔΕΔΟΜΕΝΩΝ- ΠΛΗΡΟΦΟΡΙΩΝ Data/Information flow ΣΤΟΙΧΕΙΑ ΔΕΔΟΜΕΝΩΝ Ονόματα, e-mails, Διευθύνσεις Δεδομένα υγείας,ποινικά δεδομένα Βιομετρικά δεδομένα ΜΟΡΦΕΣ Έγχαρτα ( hardcopy ) Ψηφιακά ( usb ) Βάσεις δεδομένων ( Databases )

ΜΕΘΟΔΟΙ ΜΕΤΑΦΟΡΑΣ Ταχυδρομεία, τηλέφωνο, social media Εσωτερικά, ενδοεταιρικά Εξωτερικά (Data sharing) ΤΟΠΟΘΕΣΙΕΣ Γραφεία Σύννεφα ( Clouds ) Τρίτα μέρη

Μέτρα φυσικής ασφάλειας Έλεγχος φυσικής πρόσβασης. Περιβαλλοντική ασφάλεια. Έκθεση εγγράφων. Προστασία φορητών μέσων αποθήκευσης. Μεταφορά φακέλων. Εναλλακτικές εγκαταστάσεις.

Έλεγχος φυσικής πρόσβασης A) Φυσική πρόσβαση σε εγκαταστάσεις και computer room Πρέπει να υπάρχουν τα κατάλληλα μέτρα ελέγχου φυσικής πρόσβασης στους κρίσιμους χώρους όπου βρίσκεται ο φυσικός εξοπλισμός (συμπεριλαμβανομένης τηλεπικοινωνιακής και δικτυακής καλωδίωσης) που υποστηρίζει τα πληροφοριακά συστήματα και την επεξεργασία προσωπικών δεδομένων, έτσι ώστε να επιτρέπεται η πρόσβαση μόνο σε εξουσιοδοτημένο προσωπικό (π.χ. κάποιοι χώροι -όπως αυτοί που βρίσκεται δικτυακός εξοπλισμός- πρέπει να είναι μόνιμα κλειδωμένοι). Σε ορισμένες δε περιπτώσεις (αναλόγως της φύσης των δεδομένων και των υπαρχόντων κινδύνων) ενδέχεται να είναι πρόσφορο να καταγράφεται κάθε πρόσβαση σε συγκεκριμένο φυσικό χώρο.

Έλεγχος φυσικής πρόσβασης Β) Τήρηση καταλόγου Ο υπεύθυνος επεξεργασίας πρέπει να διατηρεί επικαιροποιημένο κατάλογο με τα δικαιώματα φυσικής πρόσβασης του προσωπικού καθώς και με το προσωπικό που διαθέτει κωδικούς, κάρτες εισόδου και κλειδιά για πρόσβαση σε κρίσιμους, ως προς την ασφάλεια, χώρους. Οι κατάλογοι αυτοί θα πρέπει να υπόκεινται σε τακτική αναθεώρηση.

Περιβαλλοντική ασφάλεια Πρέπει να λαμβάνονται τα κατάλληλα μέτρα για την προστασία των κτιρίων, των κρίσιμων χώρων, του computer room, των γραφείων του προσωπικού, του εξοπλισμού πληροφορικής και του χώρου τήρησης φυσικού αρχείου από ζημιές που μπορούν να προκληθούν από φυσικές καταστροφές ή κακόβουλες ενέργειες, όπως πλημμύρα, υπερθέρμανση, πυρκαγιά, σεισμός, έκρηξη, διαρροή νερού, διακοπή ρεύματος, διάρρηξη/κλοπή, βανδαλισμός, κ.λπ. Ενδεικτικά μέτρα προς αυτή την κατεύθυνση είναι τα εξής: συναγερμός, πόρτες και παράθυρα ασφαλείας, πυροπροστασία, απομάκρυνση εξοπλισμού από υδροσωληνώσεις και πηγές σκόνης, ανιχνευτές υγρασίας και πλημμύρας, αδιάλειπτη παροχή ρεύματος μέσω σταθεροποιητών/γεννητριών, κ.λπ.

Έκθεση εγγράφων Α) Τοποθέτηση φακέλων Οι φάκελοι που περιέχουν προσωπικά δεδομένα (φυσικό αρχείο) πρέπει να είναι τοποθετημένοι σε φοριαμούς και να μην εκτίθενται σε κοινή θέα. Β) Μεταφορά φακέλων Θα πρέπει να καταγράφεται η μεταφορά των φυσικών φακέλων σε διαφορετικά γραφεία ή οργανωτικές μονάδες.

Έκθεση εγγράφων Γ) Clean desk policy Δεν θα πρέπει να αφήνονται εκτεθειμένα, χωρίς επίβλεψη, έγγραφα και φορητά μέσα αποθήκευσης πάνω σε γραφεία. Δ) Συσκευές αναπαραγωγής εγγράφων Λοιπές συσκευές που δύναται να χρησιμοποιηθούν για υποκλοπή ή για την έκθεση προσωπικών δεδομένων σε κοινή θέα, όπως φωτοαντιγραφικά, συσκευές fax, εκτυπωτές, κ.λπ. θα πρέπει να προστατεύονται κατάλληλα.

Προστασία φορητών μέσων αποθήκευσης Πρέπει να λαμβάνονται τα κατάλληλα μέτρα για τη φυσική ασφάλεια και προστασία των φορητών αποθηκευτικών μέσων - όπως να φυλάσσονται σε ασφαλή σημεία όταν δεν είναι σε χρήση και να είναι πάντα υπό επίβλεψη κατά τη διάρκεια της χρήσης τους.

Εναλλακτικές εγκαταστάσεις Προστασία εναλλακτικών εγκαταστάσεων Τα ανωτέρω μέτρα ελέγχου φυσικής πρόσβασης και περιβαλλοντικής ασφαλείας θα πρέπει να εφαρμόζονται και στις εναλλακτικές εγκαταστάσεις και εξοπλισμό που χρησιμοποιεί ο υπεύθυνος επεξεργασίας στο πλαίσιο του σχεδίου ανάκαμψης από καταστροφές.

Μελέτη ασφαλείας- Σχέδιο ασφαλείας Το Σχέδιο Ασφαλείας (Security Plan) είναι το έγγραφο στο οποίο περιγράφονται τα οργανωτικά και τεχνικά μέτρα, καθώς και τα μέτρα φυσικής ασφαλείας που εφαρμόζονται ή/και πρόκειται να εφαρμοστούν για την κάλυψη των βασικών αρχών και κανόνων ασφαλείας που αναφέρονται στην πολιτική ασφαλείας, καθώς και οι απαραίτητες ενέργειες για την υλοποίησή τους. Πρέπει να εφαρμόζεται με ακρίβεια για την προστασία των προσωπικών δεδομένων, ευαίσθητων και μη, που τηρούνται από τον υπεύθυνο επεξεργασίας. Το Σχέδιο αυτό υπόκειται σε τακτικές αναθεωρήσεις, δεδομένης της ραγδαίας ανάπτυξης τεχνολογικών λύσεων και της εφαρμογής τους στα πληροφοριακά συστήματα και τεχνολογικές υποδομές.

Τι περιλαμβάνει η μελέτη ασφάλειαςσχέδιο ασφάλειας Περιγραφή του συστήματος επεξεργασίας προσωπικών δεδομένων. Μέτρα Ασφαλείας ( και στις 3 διαστάσεις ) Πλάνο υλοποίησης των μέτρων ασφαλείας Σχέδιο έκτακτης ανάγκης Επισκόπηση αναθεώρηση

ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ 2 Βρισκόμαστε στις εγκαταστάσεις του ΙΕΚ ΑΧΙΛΕΑΣ ως σύμβουλοι οι οποίοι πρόκειται να εφαρμόσουν την συμμόρφωση στην διάσταση της φυσικής ασφάλειας των προσωπικών δεδομένων για τον νέο Ευρωπαϊκό κανονισμό 2016/679. Καθώς περιηγούμαστε από τον υπεύθυνο επεξεργασίας στην εγκατάσταση θεωρητικά περιγράψτε : α) πιθανές ευπάθειες, τρωτότητες εγκατάστασης που θα μπορούσατε να εντοπίσετε και είναι πιθανόν να υπάρχουν σε τέτοιου είδους εγκαταστάσεις και που αφορούν τον 2016/679 β)προτείνετε επίσης σε έκθεση σας (εκτίμηση επικινδυνότητας ) πιθανά πρόδρομα τεχνικά και οργανωτικά μέτρα που πρέπει να ληφθούν για να υπάρξει μια στοιχειώδης συμμόρφωση με τις απαιτήσεις του κανονισμού όπως ορίζει το άρθρο 32 ένεκα φυσικού η τεχνικού συμβάντος.

ΠΡΟΤΕΙΝΟΜΕΝΑ ΜΕΤΡΑ ΜΕΤΡΑ ΦΥΣΙΚΗΣ ΑΣΦΑΛΕΙΑΣ Φυσική παρουσία (στατική φύλαξη, περιπολίες) Ηλεκτρονικά συστήματα (συναγερμός, CCTV, φωτισμός) Κλειδαριές στα σημεία οπού φυλάσσονται τα προσωπικά δεδομένα πελατών της επιχείρησης. Διαχωρισμός σε ζώνες.( Ζώνες ελεύθερης πρόσβασης και ζώνες περιορισμένης πρόσβασης) Ηχητικές προειδοποιήσεις στο χώρο (σειρήνα) Τηλεειδοποίηση Σχέδιο ασφαλείας

ΣΧΕΔΙΟ ΕΚΤΑΚΤΗΣ ΑΝΑΓΚΗΣ Είναι ένα επίσημο κείμενο κατανεμημένων ρόλων και αρμοδιοτήτων στα πλαίσια του οποίου ανατίθεται σε άτομα και Υπηρεσίες η τέλεση συγκεκριμένων ενεργειών σε εκτιμώμενο χώρο και χρόνο κατά την εξέλιξη μιας κατάστασης έκτακτης ανάγκης (καταστροφής), με σκοπό την αντιμετώπισή της με τις λιγότερες απώλειες.

Το σχέδιο έκτακτής ανάγκης πρέπει να προσδιορίζει τους πιθανούς κινδύνους και γενικότερα τα κριτήρια που καθορίζουν την κατάσταση ως έκτακτη και επιβάλλουν την ενεργοποίηση του σχεδίου. Πρέπει να υπάρχουν σαφείς και γραπτές διαδικασίες που να θέτουν τον οργανισμό σε κατάσταση έκτακτης ανάγκης και να επιτρέπουν ανάκληση του σχεδίου. Επίσης περιέχει μια κατάσταση με τα μέλη του προσωπικού που θα κληθούν στην περίπτωση καταστροφής καθώς και τα τηλέφωνα των προμηθευτών υλικού και λογισμικού, των σημαντικών συνεργατών ή πελατών, των ατόμων που βρίσκονται σε διαφορετικές εγκαταστάσεις που θα χρησιμοποιηθούν από την επιχείρηση για τη συνέχιση της λειτουργίας της.

Περιέχει διαδικασίες για τον υπολογισμό της ζημιάς από την καταστροφή που συντελέστηκε. Ακόμα θα πρέπει να περιέχει έναν ρεαλιστικό χρονοπρογραμματισμό με σαφή ανάθεση καθηκόντων για την αποκατάσταση της λειτουργίας του οργανισμού. Συμπερασματικά : Ορίζεται ως η μεθοδολογία εκείνη που περιλαμβάνει συγκεκριμένο σχέδιο, οργάνωση, καθοδήγηση, και έλεγχο κατά την σημαντική περίοδο ακριβώς πριν, κατά τη διάρκεια, και μετά από μία καταστροφή, ώστε να ελαχιστοποιηθούν οι τυχόν απώλειες των πόρων ενός οργανισμού από αυτή την καταστροφή και οι οποίοι (πόροι) θεωρούνται άκρως απαραίτητοι για την πλήρη επανόρθωση του οργανισμού αυτού

Ουσιαστικά είναι ένα Μνημόνιο ενεργειών εγχειρίδιο Αναπτύσσεται κατά την διάρκεια κανονικής περιόδου και περιγράφει τρόπους αντιμετώπισης κρίσης Το χαρακτηρίζει απλότητα Καθορίζει αποφάσεις που θα ληφθούν κατά την διάρκεια της κρίσης Αναλύει τακτικές επικοινωνίας που θα εφαρμοστούν Μεγιστοποιεί την εκτελεστική δυνατότητα των εμπλεκόμενων φορέων και της ομάδας διαχείρισης κρίσεων Ορίζει τον υπεύθυνο- υπεύθυνους τους αναπληρωτές τους τα καθήκοντα τους τις βάρδιες τους την στιγμή ενεργοποίησης του σχεδίου Τα μέσα υλοποίησης

Περιεχόμενο Σχεδίου Αντιμετώπισης Έκτακτης Ανάγκης Τα πεδία που πρέπει να περιλαμβάνει είναι: Ποιος το σχεδίασε και σε ποια στελέχη του Φορέα / Οργανισμού έχει ανατεθεί η υλοποίηση, το πεδίο εφαρμογής του, ποια είναι η ημερομηνία αναθεώρησής του. Αναλυτική κατάσταση με τα ονόματα, στοιχεία επικοινωνίας, τίτλο και καθήκοντα που αναλαμβάνουν σε περίπτωση έκτακτης ανάγκης. Πίνακα περιεχομένων, προκειμένου να δίνεται η δυνατότητα να αντλεί άμεσα τις αναγκαίες πληροφορίες. Πίνακα ενεργειών/ κινήσεων, προκειμένου να καθοδηγείται η ομάδα διαχείρισης ώστε να εκτελέσουν με ακρίβεια τις προβλεπόμενες ενέργειες.

Ομάδα έκτακτης ανάγκης Η ομάδα έκτακτης ανάγκης η οποία θα υλοποιήσει το σχέδιο έκτακτης ανάγκης οπότε αυτό απαιτηθεί απαιτεί εμπλοκή περισσότερων του ενός ατόμου. Προκειμένου να είναι αποτελεσματική η επιλογή των μελών της πρέπει να βασίζεται: Α) Στον ειδικό πεδίου Β) Στην ύπαρξη ατόμων οργανωτικών ικανοτήτων οι οποίοι να έχει την εμπιστοσύνη του ανώτερου διευθυντή, να διαθέτουν επικοινωνιακές ικανότητες και να χαίρουν σεβασμού των εργαζομένων της επιχείρησης. Επίσης πρέπει να βασίζεται στην ικανότητα των μελών της για άμεση συνεργασία. Εάν υπάρχουν προβλήματα σε αυτό είναι πιθανόν να οδηγηθεί η επιχείρηση σε χαοτικές καταστάσεις.

Λήψη αποφάσεων κατά την ενεργοποίηση του σχεδίου έκτακτης ανάγκης Η έγκαιρη και η σωστή διάγνωση περιστατικού που θέτει την επιχείρηση σε κατάσταση έκτακτης ανάγκης είναι καίριας σημασίας για την εξέλιξη της. Η ταχύτητα παρέμβασης είναι καθοριστικής σημασίας. ( αναβολές και καθυστερήσεις στην λήψη απόφασης μπορεί να διογκώσουν τις συνέπειες για την επιχείρηση). Επιβάλλεται η ύπαρξη ευελιξίας και η όχι εμμονή σε ανελαστικά σχέδια. Παντοτε πρέπει η ομάδα έκτακτης ανάγκης να προβαίνει σε ανάλυση της κατάστασης και των πιθανών δράσεων που θα οδηγήσουν στην αποκλιμάκωσή της.

Οι παράγοντες που επηρεάζουν τη λήψη αποφάσεων Ο χρόνος. Κάθε πρόβλημα πρέπει να λύνεται την κατάλληλη στιγμή. Ο κίνδυνος. Η λήψη αποφάσεων εμπεριέχει πάντοτε και κάποι οκίνδυνο (Κάθε απόφαση δεν είναι πάντοτε η καλύτερη με κίνδυνο λήψης λανθασμένης απόφασης). Η πληροφόρηση. Παίζει καθοριστικό ρόλο στη λήψη αποφά - σεων σε περίοδο κρίσης. Σε τέτοιες καταστάσεις, συνήθως η πληροφόρηση δεν είναι επαρκής.

ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ 3 Βρισκόμαστε στις εγκαταστάσεις του ΙΕΚ ΑΧΙΛΕΑΣ ως σύμβουλοι οι οποίοι πρόκειται να εφαρμόσουν την συμμόρφωση στην διάσταση της φυσικής ασφάλειας των προσωπικών δεδομένων για τον νέο Ευρωπαϊκό κανονισμό 2016/679. Κατά την συγγραφή του σχεδίου έκτακτης ανάγκης της επιχείρησης ως κομμάτι του ευρύτερου τμήματος του σχεδίου ασφάλειας πληροφοριών στον τομέα της φυσικής ασφάλειας: Α) Ποια είναι τα σημεία τα όποια θα δίνατε μεγαλύτερη βαρύτητα και θα περιγράφατε με περισσότερη λεπτομέρεια; Β) Τι θα συμβουλεύατε το προσωπικό το οποίο θα εμπλεκόταν στην εφαρμογή του κατά την εκπαίδευση που θα υλοποιούσατε στα πλαίσια της συμμόρφωσης ως dpo της επιχείρησης;

ΔΙΑΧΕΙΡΙΣΗ ΦΥΣΙΚΟΥ ΑΡΧΕΙΟΥ Πως ικανοποιούνται οι απαιτήσεις του GDPR ως προς την διαχείριση του φυσικού αρχείου; Γιατί πρέπει να εφαρμόσουμε νέες διαδικασίες ;

Διαχείριση σε 4 διαστάσεις Ιδιαίτερα λεπτομερείς αυστηρές και διαρκώς επιθεωρούμενες διαδικασίες λειτουργιές σε 4 διαστάσεις: Εγκαταστάσεις Τεχνολογία Διαδικασίες Άνθρωποι

Σε όλο τον κύκλο της ζωής των προσωπικών δεδομένων τηρούμε πάντα τα: Confidentiality - Απόρρητο Integrity - Ακεραιότητα Availability - διαθεσιμότητα

Risk based approach (προσέγγιση κινδύνου) Impact- based data protection approach ( επιπτώσεις προσέγγισης της προστασίας δεδομένων) Μέτρα και διαδικασίες που διασφαλίζουν την πληροφορία. Επιχειρησιακή λειτουργιά δομημένη με πυρήνα το security Εστίαση στον πελάτη και στην διασφάλιση των δεδομένων του. Επαναξιολόγηση και αναθεώρηση διαδικασιών και μέτρων με γνώμονα το Υ.Δ. από την σκοπιά της ιδιωτικότητας του Προστασία της ιδιωτικότητας by design Εστίαση στα προσωπικά δεδομένα των υποκειμένων.

Αξιολόγηση Risk και υπό το πρίσμα του Privacy με κριτήριο το υποκείμενο των δικαιωμάτων. Αναγνώριση Impact σκοπού και επεξεργασίας σε υποκείμενο των δικαιωμάτων. Λήψη πρόσθετων τεχνικών και οργανωτικών μέτρων για την διασφάλιση των προσωπικών δεδομένων των υποκειμένων. Υποστήριξη των πελατών της εταιρίας στην δυνατότητα άμεσης απόκρισης σε αιτήματα

Σ.Δ.Α.Π. Όλα τα παραπάνω πρέπει να περιέχονται στο Σ.Δ.Α.Π. της επιχείρησης. Σ.Δ.Α.Π. = Σύστημα διαχείρισης ασφάλειας πληροφοριών. Πρέπει να περιλαμβάνει: Πολιτικές διαδικασίες οδηγίες έντυπα

Εφαρμογή GDPR στην διάσταση της φυσικής ασφάλειας Εντοπισμός και αναγνώριση προσωπικών δεδομένων. Αναγνώριση τρωτοτήτων, εκτίμηση επικινδυνότητας. Αξιολόγηση φυσικής ασφάλειας εγκατάστασης. Αναθεώρηση και επικαιροποίηση μέτρων. Επανεξέταση συνεργατών και προμηθευτών. Σχέδιο ασφάλειας προσωπικών δεδομένων. Roadmap and treatment plans.

Θέματα προς συζήτηση ΕΡΩΤΗΣΗ 1 Τα προσωπικά δεδομένα που καταχωρούνται με ένχαρτο φυσικό τρόπο σε φακέλους σε μια επιχείρηση υπόκεινται στο δικαίωμα της φορητότητας;

ΕΡΩΤΗΣΗ 2 Συμπληρώστε την φράση που ακολουθεί με μια από τις παρακάτω επιλογές: Η διαγραφή των προσωπικών δεδομένων όταν ολοκληρωθεί ο σκοπός της επεξεργασίας τους και στα δεδομένα εκείνα που βρίσκονται σε φακέλους μέσα στο φυσικό αρχείο της επιχείρησης. ΑΠΑΝΤΗΣΗ 2 Α) Απαιτείται Β) Δύναται να γίνει Γ) Απαγορεύεται

ΕΡΩΤΗΣΗ 3 Ποια είναι η κύρια διαφορά μεταξύ του κλασικού Risk Assessment και του Data Protection Impact Assessment; ΑΠΑΝΤΗΣΗ 3 Α) Το Risk Assessment αφορά σε κινδύνους για τον οργανισμό, ενώ το DPIA αφορά σε κινδύνους για τα φυσικά πρόσωπα από την επεξεργασία των προσωπικών τους. Β) Η DPIA δεν εφαρμόζει τις βασικές αρχικές του Risk Management Γ) Το Risk Assessment ορίζει επίπεδο κινδύνου, ενώ η DPIA όχι

ΕΡΩΤΗΣΗ 4 Αρχεία τα οποία βρίσκονται σε έντυπη μορφή, περιέχουν προσωπικά δεδομένα υποκειμένων και τα οποία βρίσκονται πεταμένα ή ακατάστατα μέσα σε μια επιχείρηση συνιστούν παραβίαση της συμμόρφωσης σύμφωνα με τον Ευρωπαϊκό Κανονισμό 2016/679

ΕΡΩΤΗΣΗ 5 Τι περιλαμβάνει ένα Πλάνο Επιχειρησιακής Συνέχειας (Business Continuity Plan); ΑΠΑΝΤΗΣΗ Α) διευθετήσεις για τη συνέχεια εργασιών σε περίπτωση διακοπής. Β) το (α) συν σχέδιο εκκένωσης/ διαφυγής Γ) τις μελλοντικές επιχειρησιακές επεκτάσεις (business plan)

ΕΡΩΤΗΣΗ 6 Ποιο από τα παρακάτω ΔΕΝ αποτελεί ευπάθεια; ΑΠΑΝΤΗΣΗ 6 Α) εγκατάσταση σε περιοχή με συχνές πλημμύρες. Β) μη κρυπτογραφημένη μετάδοση μέσω δικτύου. Γ) χρήση παράνομου λογισμικού

ΕΡΩΤΗΣΗ 7 Το μέγεθος μιας απειλής σχετίζεται με: ΑΠΑΝΤΗΣΗ 7 Α) το μέγεθος της ευπάθειας. Β) το μέγεθος του κινδύνου. Γ) την πιθανότητα εμφάνισής της

ΕΡΩΤΗΣΗ 8 Βάσει των αρχών διαχείρισης περιστατικών/κινδύνου (incident/risk management) μία χάρτινη κατασκευή δίπλα σε ένα αναμμένο τζάκι είναι: ΑΠΑΝΤΗΣΗ 8 Α) Συμβάν (incident) Β) Απειλή (threat) Γ) Ευπάθεια (vulnerability)

ΕΡΩΤΗΣΗ 9 Στη σύμβαση μεταξύ υπεύθυνου επεξεργασίας (ΥΕ) και εκτελούντα την επεξεργασία (ΕΕ) καθορίζονται, μεταξύ άλλων, Απάντηση Α) η φύση και ο σκοπός επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Β) οι κατηγορίες των υποκειμένων των δεδομένων που υπόκεινται επεξεργασία. Γ) Όλα τα παραπάνω

ΕΡΩΤΗΣΗ 10 Το δικαίωμα διαγραφής μπορεί να αφορά: ΑΠΑΝΤΗΣΗ Α) μόνο τα δεδομένα προσωπικού χαρακτήρα που τηρούνται σε έντυπη μορφή. Β) μόνο τα δεδομένα προσωπικού χαρακτήρα που τηρούνται σε ηλεκτρονική μορφή. Γ) δεδομένα προσωπικού χαρακτήρα που τηρούνται σε όλες τις μορφές και σε όλα τα σημεία τήρησης/αποθήκευσης.

ΕΡΩΤΗΣΗ 11 Κατά την πληροφόρηση του ΦΠ στο συμβόλαιο που υπογράφει με την εταιρία παροχής υπηρεσίας συνδρομητικής τηλεόρασης υπάρχει το εξής σημείο: «Τα δεδομένα προσωπικού χαρακτήρα που συλλέγουμε και επεξεργαζόμαστε, τα διατηρούμε για πάντα και για κάθε νόμιμη χρήση» ΑΠΑΝΤΗΣΗ Α) Δεν είναι καθορισμένο το χρονικό διάστημα και ο σκοπός της επεξεργασίας. Β) Δεν είναι ορθή μορφή πληροφόρησης του ΦΠ. Γ) Ισχύουν όλα τα παραπάνω.

ΕΡΩΤΗΣΗ 12 Το Αρχείο δραστηριοτήτων επεξεργασίας μπορεί να τηρείται σε: ΑΠΑΝΤΗΣΗ Α) έντυπη μορφή Β) ηλεκτρονική μορφή Γ) έντυπη ή ηλεκτρονική μορφή

Ερώτηση 13 Ποιο από τα παρακάτω αποτελεί οργανωτικό μέτρο συμμόρφωσης σύμφωνα με το fysical security σε μια επιχείρηση η οποία διαχειρίζεται προσωπικά δεδομένα ευρείας κλίμακας; Απάντηση 13 Α) Η τοποθέτηση κλειδαριών σε όλους τους χώρους που αποθηκεύονται φάκελοι, έγγραφα, cd κτλ και περιέχουν προσωπικά δεδομένα. Β) Η Εγκατάσταση λογισμικού σε όλους τους ηλεκτρονικούς υπολογιστές της εταιρείας το οποίο αποτρέπει τις κυβερνοεπιθέσεις. Γ) Όλα τα παραπάνω

Ερώτηση 14 Πελάτης μιας επιχείρησης ζητά από υπάλληλο της να της επιστρέψει την ενχαρτη αίτηση την οποία έχει υποβάλει και η οποία έχει ήδη δεχτεί επεξεργασία με σύμφωνη γνώμη του πελάτη στην επιχείρηση λέγοντας της πως αυτό συμφώνα με το GDPR είναι το δικαίωμα της φορήτοτητας και είναι υποχρεωμένη η επιχείρηση να το πράξει. Είναι σωστό αυτό; Απάντηση 14 Α) Ναι είναι σωστό η εταιρεία πρέπει να του δώσει την αίτηση που έχει επεξεργαστεί. Β) Όχι δεν είναι σωστό διότι το δικαίωμα της φορήτοτητας παρέχεται πάντα με ηλεκτρονικό τρόπο και δίνεται με συγκεκριμένο μορφοτυπο. Γ) Εξαρτάται από την βούληση του υπαλλήλου της επιχείρησης.

Ερωτήσεις;