ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ GDPR σε Φορείς και Επιχειρήσεις 9 Μαίου 2018 Γιώργος Αντωνιάδης, Information Security Services Manager,
Intrasoft International
Μία ισχυρή ομάδα Τεχνικών & νομικών μπορεί να εξασφαλίσει την πλήρη συμμόρφωση με τον κανονισμό
Εργα GDPR Ferry Boats Banks Power Companies Sea Carriers Medical Center Highways Technology Companies Factories Construction Companies
Επαγγελματικά πιστοποιητικά
Ισχυροί Νομικοί συνεργάτες ανεξάρτητες δικηγορικές εταιρείες που κατέχουν ηγετική θέση στην αγορά. Διακρίσεις επί σειρά ετών από διεθνείς οίκους (Top Tier Law Firm από το εγκυρότερο legal directory, Legal500 ) Υψηλή εξειδίκευση στην προστασία δεδομένων Έχουν εκπροσωπήσει μερικές από τις μεγαλύτερες και πιο καταξιωμένες εταιρείες στην Ελλάδα, ενώπιον των εθνικών δικαστηρίων και των εθνικών ρυθμιστικών αρχών.
Πίσω στο 1995 οδηγία EU 95/46 Εισαγωγή όρων : «προσωπικά δεδομένα», «ευαίσθητα προσωπικά δεδομένα» Υποχρέωση κάθε χώρας να ενσωματώσει την οδηγία στο εθνικό της δίκαιο. (Στην Ελλάδα ν. 2472/ 1997 ) Επιβλέπουσα Ανεξάρτητη Αρχή ΑΠΔΠΧ Μικρά πρόστιμα
ΤΟΤΕ ΚΑΙ ΣΗΜΕΡΑ 1995 2016 modem Voice & SMS SW & data locally Small storage capacity internet hundreds of apps Processing in the cloud unlimited storage Όλα στο Cloud Διαμοιρασμός αρχείων από υπεργολάβο σε υπεργολάβο Απίστευτες δυνατότητες συσχετισμού Big Data Analytics Τίποτα δεν διαγράφεται
ΥΠΗΡΕΣΙΕΣ ΑΠΟ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ Διεθνείς Πάροχοι πχgoogle Εμπορικά διαθέσιμες εφαρμογές Κίνηση στους δρόμους wifi presence Κίνηση σε καταστήματα
ΥΠΗΡΕΣΙΕΣ vs ΙΔΙΩΤΙΚΟΤΗΤΑ / ΧΡΕΙΑΖΕΤΑΙ ΡΥΘΜΙΣΗ Κανονισμός EU 2016 / 679 ή GDPR - GENERAL DATA PROTECTION REGULATION Έκδοση : 27 / 4 / 2016 Ισχύς από : 25 / 5 / 2018 Χαρακτηριστικά Κοινός για όλα τα κράτη μέλη της EU Ευρεία εφαρμογή. Σε κάθε εταιρεία που έχει εγκαταστάσεις στην EU ή προσφέρει υπηρεσίες σε άτομα στην EU. Νέα διάσταση στον όρο Προσωπικά Δεδομένα Σαφή και ισχυρά δικαιώματα στα υποκείμενα Σαφείς περιορισμοί στην επεξεργασία προσωπικών στοιχείων από εταιρείες. Privacy Impact Assessment Μεγάλα πρόστιμα
ΕΝΝΟΙΕΣ ΚΑΙ ΟΡΙΣΜΟΙ Δεδομένα προσωπικού χαρακτήρα : κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο «Ειδικές κατηγορίες προσωπικών δεδομένων»: τα δεδομένα προσωπικού χαρακτήρα που δηλώνουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις, ή δεδομένα που αφορούν την υγεία και τη σεξουαλική ζωή. «Αναγνωριστικό στοιχείο ταυτότητας» : κάθε στοιχείο ή κάθε συνδυασμός στοιχείων που μπορεί να αποκαλύψει την ταυτότητα ενός φυσικού προσώπου. «Υπεύθυνος επεξεργασίας» (YE) : Η εταιρεία που καθορίζει τα προσωπικά στοιχεία τα οποία θα υποβληθούν σε επεξεργασία, και τον σκοπό της επεξεργασίας. «Εκτελών την επεξεργασία» (EE) : H εταιρεία που εκτελεί την επεξεργασία των στοιχείων για λογαριασμό του «υπεύθυνου επεξεργασίας». «Υπεύθυνος Προστασίας Δεδομένων» (DPO): Φυσικό πρόσωπο με κατάλληλη επαγγελματική εμπειρία. Ενημερώνει συμβουλεύει τους ΥΕ,ΕΕ. Παρακολουθεί την συμμόρφωση. Επικοινωνεί με την εποπτική αρχή.
ΑΡΧΕΣ, ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΠΧ Νομιμότητα, αντικειμενικότητα, και διαφάνεια της επεξεργασίας Τα ΔΠΧ υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπου Συγκατάθεση του υποκειμένου opt in, κατανοητή, χωριστά για κάθε είδος επεξεργασίας, εύκολη ανάκληση Περιορισμός του σκοπού Τα ΔΠΧ συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς Ελαχιστοποίηση των δεδομένων Τα ΔΠΧ είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία Περιορισμός της περιόδου αποθήκευσης Τα ΔΠΧ διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας Λογοδοσία Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη να αποδείξει τη συμμόρφωση
ΔΙΚΑΙΩΜΑΤΑ ΥΠΟΚΕΙΜΕΝΩΝ Δικαίωμα Πρόσβασης Δικαίωμα Διόρθωσης Δικαίωμα στη λήθη Φορητότητα
ΕΥΘΥΝΗ ΤΟΥ ΥΠΕΥΘΥΝΟΥ ΕΠΕΞΕΡΓΑΣΙΑΣ Εφαρμογή πολιτικών για την προστασία των δεδομένων. Εφαρμογή τεχνικών και οργανωτικών μέτρων Διενεργεί την επεξεργασία σύμφωνα με τον κανονισμό. Μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον κανονισμό Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού (Data protection by design & by default). Τηρεί αρχείο δραστηριοτήτων επεξεργασίας : το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας τους σκοπούς της επεξεργασίας, περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς, τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας
ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ Απαιτείται όταν : η επεξεργασία διενεργείται από δημόσια αρχή, εκτός από δικαστήρια συστηματική παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα, μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα ή ποινικές καταδίκες και αδικήματα...εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων μέλος του προσωπικού ή εξωτερικός σύμβουλος. λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του ΥΕ ή του ΕΕ
ΑΣΦΑΛΕΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ τεχνικά και οργανωτικά μέτρα για την εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα Network Security User s Manageme nt ψευδωνυμοποίηση και κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα Security governance Security Intelligence Data Security Διαδικασίες επιχειρηματικής συνέχειας Assurance Services System Hardening τακτική δοκιμή, και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων
DATA PROTECTION IMPACT ASSESSMENT (PIA) Διενεργείται όταν η επεξεργασία ενδέχεται να επιφέρει μεγάλο κίνδυνο για την ιδιωτικότητα των υποκειμένων Διενεργείται πριν από την επεξεργασία Απαιτείται ιδίως στις περιπτώσεις : συστηματικής και εκτενούς αυτοματοποιημένης επεξεργασίας, περιλαμβανομένης της κατάρτισης προφίλ μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων ή δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.
ΥΠΟΧΡΕΩΣΗ ΓΝΩΣΤΟΠΟΙΗΣΗΣ Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα : Γνωστοποίηση στην εποπτική Αρχή εντός 72 ωρών. Περιγράφεται κατ' ελάχιστο : Η φύση της παραβίασης, τις κατηγορίες ΔΠΧ κατά προσέγγιση αριθμού των επηρεαζόμενων το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ενδεχόμενες συνέπειες τα ληφθέντα μέτρα για την αντιμετώπιση της παραβίασης μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. Ανακοίνωση στα υποκείμενα των δεδομένων
Υλοποίηση ΧΡΟΝΟΔΙΑΓΡΑΜΜΑ Προετοιμασία Mar 2018 May 2018 Jul 2016 Jan 2018 Sep 2016 Nov 2017 Nov 2016 Sep 2017 Jan 2017 Jul 2017 May 2017 Mar 2017
ΜΑΙΟΣ 2018 Κάθε εταιρεία πρέπει να έχει έτοιμα Αρχείο Επεξεργασίας ΔΠΧ DPO Data Protection Officer PIA Privacy Impact Assessment Μέτρα για την Ασφάλεια ΔΠΧ BCP - Business Continuity Plan Incident Response Plans Data protection by design & by default NDA με το προσωπικό Επικαιροποιημένα Εντυπα πελατών - Συγκατάθεση για κάθε υπηρεσία Επικαιροποιημένες συμβάσεις με συνεργάτες Κάθε εταιρεία πρέπει να μπορεί να ανταποκριθεί χωρίς καθυστέρηση Στο «Δικαίωμα πρόσβασης» Στο «Δικαίωμα Διόρθωσης Στο «Δικαίωμα στη λήθη Στο «Δικαίωμα για Φορητότητα»
ΠΟΙΝΕΣ διοικητικά πρόστιμα έως 20 000 000 EUR ή,, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. Το ύψος της ποινής εξαρτάται από : Τον βαθμό συμμόρφωσης με τον κανονισμό Την επάρκεια των προληπτικών μέτρων Τον αριθμό των υποκειμένων που επηρεάστηκαν σε περίπτωση περιστατικού ασφάλειας Την αποτελεσματικότητα των μέτρων αντιμετώπισης περιστατικού ασφάλειας