Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Προστασία Προσωπικών Δεδομένων -
Ηλεκτρονική Ταυτοποίηση
Δρ. Χρυσούλα Μιχαηλίδου
Νομικό Τμήμα
ΕΕΤΤ
14/03/2018
Αντικείμενο του Κανονισμού eIDAS
Κανονισμός (ΕΕ) 910/2014 σχετικά με την ηλεκτρονική ταυτοποίηση και τις
υπηρεσίες εμπιστο...
Κατηγορίες Υπηρεσιών Εμπιστοσύνης
 Υπηρεσίες Εμπιστοσύνης
Ηλεκτρονική υπογραφή: δημιουργία, επικύρωση, διαφύλαξη
Ηλεκτρ...
Ισχύς & διακρίσεις ηλεκτρονικών υπογραφών
 Νομική ισχύς Ηλεκτρονικών υπογραφών
 Διάκριση Ηλεκτρονικών υπογραφών
Απλή (λ...
Πλεονεκτήματα Υπηρεσιών Εμπιστοσύνης
Πάροχοι υπηρεσιών εμπιστοσύνης (TSPs)
 Κανονισμός Παροχής Υπηρεσιών Εμπιστοσύνης (ΕΕΤΤ)
 Ηλεκτρονικό Αρχείο εγκατεστημέν...
Τι αλλάζει με τον Καν. eIDAS για QTSPs
 Qualified Trust Service Providers (Adacom, XAA, ΑΠΕΔ, Byte,
GuNET)
 Δυνατότητα ε...
ΠΥΕ ως υπεύθυνος επεξεργασίας ή/και εκτελών
την επεξεργασία δεδομένων ?
 Υποχρεώσεις για ΠΥΕ (εγκεκριμένους & μη) βάσει ά...
Δικαιώματα τελικού χρήστη ως υποκειμένου
δεδομένων
 Δικαιώματα τελικού χρήστη υπηρεσιών εμπιστοσύνης ως
υποκειμένου δεδομ...
Συμβάντα παραβίασης προσωπικών δεδομενων
 ΠΥΕ (εγκεκριμένοι & μη) βάσει άρθρ. 19 παρ. 2 Καν. eIDAS &
άρθρ. 5-6 Καν. ΕΕΤΤ
...
Συνεργασία ΕΕΤΤ & ΑΠΔΠΧ
 Αιτιολογική σκέψη αρ. 31 & άρθρ. 19 παρ. 2 Καν. eIDAS:
 Συνεργασία εποπτικού φορέα (ΕΕΤΤ) με αρ...
14.3.2018, Παρουσίαση Χρυσούλας Μιχαηλίδου στην εκδήλωση «Προστασία Προσωπικών Δεδομένων - Ηλεκτρονική Ταυτοποίηση»
Upcoming SlideShare
Loading in …5
×

14.3.2018, Παρουσίαση Χρυσούλας Μιχαηλίδου στην εκδήλωση «Προστασία Προσωπικών Δεδομένων - Ηλεκτρονική Ταυτοποίηση»

98 views

Published on

Παρουσίαση της κα. Χρυσούλας Μιχαηλίδου στην εκδήλωση που πραγματοποίησε ο Κύκλος Ιδεών για την Εθνική Ανασυγκρότηση σε συνεργασία με το Ίδρυμα Διεθνών Νομικών Μελετών- Καθηγητού Ηλία Κρίσπη και με την υποστήριξη της Ελληνοαμερικανικής Ένωσης, με θέμα:

«Προστασία Προσωπικών Δεδομένων - Ηλεκτρονική Ταυτοποίηση»

Διαχείριση Προσωπικών Δεδομένων μετά την υιοθέτηση του νέου Γενικού Κανονισμού (GDPR) και Ηλεκτρονική Ταυτοποίηση με τη χρήση του δικτύου eIDAS (eID_EU): Επιχειρησιακές, τεχνικές και θεσμικές συνέπειες

την Τετάρτη 14 Μαρτίου 2018, στο Θέατρο της Ελληνοαμερικανικής Ένωσης


Στη συζήτηση συμμετείχαν:

Λίλιαν Μήτρου, Πανεπιστήμιο Αιγαίου - Πολυτεχνική Σχολή

Κωνσταντίνος Χριστοδούλου, Πανεπιστήμιο Αθηνών - Νομική Σχολή

Αντώνης Στασής, Υπουργείο Διοικητικής Ανασυγκρότησης - Διεύθυνση Ηλεκτρονικής Διακυβέρνησης

Χρυσούλα Μιχαηλίδου, ΕΕΤΤ, Νομική Υπηρεσία

Γιώργος Παπασταματίου, FORTH-CRS

Κώστας Γκρίτσης, MICROSOFT

Φερενίκη Παναγοπούλου-Κουτνατζή, Πάντειο Πανεπιστήμιο – Σχολή Δημόσια Διοίκησης

Συντόνισε ο Πέτρος Καβάσαλης, Πανεπιστήμιο Αιγαίου - Πολυτεχνική Σχολή & Κύκλος Ιδεών για την Εθνική Ανασυγκρότηση

https://ekyklos.gr/ev/581-14-3-2018-prostasia-dedomenon-ilektroniki-taftopoiisi.html

Published in: Data & Analytics
  • Be the first to comment

  • Be the first to like this

14.3.2018, Παρουσίαση Χρυσούλας Μιχαηλίδου στην εκδήλωση «Προστασία Προσωπικών Δεδομένων - Ηλεκτρονική Ταυτοποίηση»

  1. 1. Προστασία Προσωπικών Δεδομένων - Ηλεκτρονική Ταυτοποίηση Δρ. Χρυσούλα Μιχαηλίδου Νομικό Τμήμα ΕΕΤΤ 14/03/2018
  2. 2. Αντικείμενο του Κανονισμού eIDAS Κανονισμός (ΕΕ) 910/2014 σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (εφεξής: Καν. eIDAS)  Ηλεκτρονική ταυτοποίηση (Κεφ. ΙΙ Καν. eIDAS)  Ν. 3979/2011 περί Ηλεκτρονικής Διακυβέρνησης  Συστήματα ταυτοποίησης  Something you Know (SYK)  Something you Have (SYH)  Something you Are (SYA)  Σύστημα ταυτοποίησης (όχι σύστημα εντοπισμού θέσης ή βιομετρικά στοιχεία, άρθρ. 32 ν. 3979/2011)  Εξ αποστάσεως ταυτοποίηση (Remote identification)?  Υπηρεσίες εμπιστοσύνης-Trust Services (Κεφ. ΙΙΙ Καν. eIDAS)  Ηλεκτρονικές υπηρεσίες για ενίσχυση εμπιστοσύνης ΜΜΕ & καταναλωτών
  3. 3. Κατηγορίες Υπηρεσιών Εμπιστοσύνης  Υπηρεσίες Εμπιστοσύνης Ηλεκτρονική υπογραφή: δημιουργία, επικύρωση, διαφύλαξη Ηλεκτρονική σφραγίδα: δημιουργία, επικύρωση, διαφύλαξη Ηλεκτρονική χρονοσφραγίδα Ηλεκτρονικές υπηρεσίες συστημένης παράδοσης Πιστοποίηση για επαλήθευση γνησιότητας ιστοτόπων
  4. 4. Ισχύς & διακρίσεις ηλεκτρονικών υπογραφών  Νομική ισχύς Ηλεκτρονικών υπογραφών  Διάκριση Ηλεκτρονικών υπογραφών Απλή (λ.χ. αποδοχή με κλικ ή σκαναρισμένη υπογραφή) Προηγμένη  βασίζεται σε τεχνολογία ασσύμετρης κρυπτογραφίας  ιδιωτική κλείδα (δεδομένα δημιουργίας υπογραφής)  δημόσια κλείδα (δεδομένα επαλήθευσης υπογραφής)  συνδέεται κατά τρόπο μοναδικό με υπογράφοντα  είναι ικανή να ταυτοποιεί τον υπογράφοντα Εγκεκριμένη  προηγμένη ηλεκτρονική υπογραφή  δημιουργείται από εγκεκριμένη διάταξη δημιουργίας Η.Υ.  βασίζεται σε εγκεκριμένο πιστοποιητικό  Αντίστοιχη διάκριση για Ηλεκτρονικές σφραγίδες & χρονοσφραγίδες
  5. 5. Πλεονεκτήματα Υπηρεσιών Εμπιστοσύνης
  6. 6. Πάροχοι υπηρεσιών εμπιστοσύνης (TSPs)  Κανονισμός Παροχής Υπηρεσιών Εμπιστοσύνης (ΕΕΤΤ)  Ηλεκτρονικό Αρχείο εγκατεστημένων στην Ελλάδα ΠΥΕ  Μη εγκεκριμένοι ΠΥΕ (TSPs)  Εγκεκριμένοι ΠΥΕ (QTSPs)  Εθνικός Κατάλογος Εμπιστοσύνης (National Trust List) για τους QTSPs  Προαιρετική χρήση του ενωσιακού σήματος εμπιστοσύνης  Γενικές υποχρεώσεις ΠΥΕ (εγκεκριμένων και μη)  Απαιτήσεις ασφαλείας / αναφορά συμβάντων (Incident Reporting)  Ειδικές υποχρεώσεις των εγκεκριμένων ΠΥΕ  Συμμόρφωση με απαιτήσεις Καν.eIDAS για εγκεκριμένα πιστοποιητικά  Σχέδιο Τερματισμού εργασιών (Termination Plan) λ.χ. πτώχευση  Ανάκληση εγκεκριμένων πιστοποιητικών  Τήρηση αρχείου εγκεκριμένων πιστοποιητικών
  7. 7. Τι αλλάζει με τον Καν. eIDAS για QTSPs  Qualified Trust Service Providers (Adacom, XAA, ΑΠΕΔ, Byte, GuNET)  Δυνατότητα εξ αποστάσεως υπογραφής (remote signing) με τη χρήση μέσων ηλεκτρονικής ταυτοποίησης συμπεριλαμβανομένης της εξ αποστάσεως (remote identification)  Έλεγχος των QTSPs κάθε 24 μήνες, με ίδιες δαπάνες, από διαπιστευμένο οργανισμό αξιολόγησης συμμόρφωσης (accredited Conformity Assessment Body: ACAB)  Υποβολή από QTSPs στην ΕΕΤΤ έκθεσης αξιολόγησης συμμόρφωσης (Conformity Assessment Report: CAR) με eIDAS εντός 3 ημερών από την παραλαβή της από ACAB
  8. 8. ΠΥΕ ως υπεύθυνος επεξεργασίας ή/και εκτελών την επεξεργασία δεδομένων ?  Υποχρεώσεις για ΠΥΕ (εγκεκριμένους & μη) βάσει άρθρ. 19 Καν. eIDAS & άρθρ. 4 Καν. ΕΕΤΤ  Να λαμβάνουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα διαχείρισης των κινδύνων για την ασφάλεια των υπηρεσιών εμπιστοσύνης  Διαθέσιμη αναφορά εκτίμησης κινδύνων & αντιμετώπισης περιστατικών ασφάλειας (λ.χ. παραβίαση προσωπικών δεδομένων)  Πρόσθετες υποχρεώσεις για εγκεκριμένους ΠΥΕ βάσει άρθρ. 24 παρ. 2 Καν. eIDAS & άρθρ. 6-12 Καν. ΕΕΤΤ  Να λαμβάνουν κατάλληλα μέτρα κατά κλοπής δεδομένων  Να εξασφαλίζουν τη νόμιμη επεξεργασία των δεδομένων προσωπικού χαρακτήρα βάσει πλέον του ΓΚΠΔ (GDPR)
  9. 9. Δικαιώματα τελικού χρήστη ως υποκειμένου δεδομένων  Δικαιώματα τελικού χρήστη υπηρεσιών εμπιστοσύνης ως υποκειμένου δεδομένων  δικαίωμα πρόσβασης στα δεδομένα του που τηρεί ο ΠΥΕ (άρθρ. 12.3. Καν. ΕΕΤΤ)  δικαίωμα διόρθωσης των δεδομένων του (άρθρ. 12.3. Καν. ΕΕΤΤ)  δικαίωμα στη λήθη (διαγραφή)?: κάθε καταχώρηση εγκεκριμένου πιστοποιητικού διατηρείται στο αρχείο για τουλάχιστον επτά έτη από τη λήξη ισχύος του (άρθρ. 12.6. Καν. ΕΕΤΤ)  Υποχρέωση QTSPs για φορητότητα (μεταφορά των δεδομένων) σε περίπτωση τερματισμού των εργασιών του (άρθρ. 8 &12 Καν. ΕΕΤΤ)  δικαίωμα ψευδωνυμοποίησης (άρθρ. 12.5 Καν. ΕΕΤΤ)
  10. 10. Συμβάντα παραβίασης προσωπικών δεδομενων  ΠΥΕ (εγκεκριμένοι & μη) βάσει άρθρ. 19 παρ. 2 Καν. eIDAS & άρθρ. 5-6 Καν. ΕΕΤΤ  Υποχρέωση να ενημερώνουν την ΕΕΤΤ χωρίς αδικαιολόγητη καθυστέρηση & σε κάθε περίπτωση εντός 24 ωρών αφότου έλαβαν γνώση  για παραβίαση της ασφάλειας ή απώλεια της ακεραιότητας που έχει αντίκτυπο στα δεδομένα προσωπικού χαρακτήρα  τα προσωπικά δεδομένα που επηρεάστηκαν και περιγραφή αυτών  αριθμός και ποσοστό πελατών που επηρεάστηκαν  Ειδοποίηση του τελικού χρήστη σε περίπτωση αθέτησης της επαρκούς προστασίας της ασφάλειας και των προσωπικών δεδομένων  Lex specialis σε σύγκριση με άρθρ. 33-34 ΓΚΠΔ (GDPR) για γνωστοποίηση παραβίασης δεδομένων στην εποπτική αρχή (ΑΠΔΠΧ) και ανακοίνωση παραβίασης στο υποκείμενο των δεδομένων
  11. 11. Συνεργασία ΕΕΤΤ & ΑΠΔΠΧ  Αιτιολογική σκέψη αρ. 31 & άρθρ. 19 παρ. 2 Καν. eIDAS:  Συνεργασία εποπτικού φορέα (ΕΕΤΤ) με αρχή προστασίας δεδομένων (ΑΠΔΠΧ) όταν υπάρχουν ενδείξεις για παραβίαση κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα  Παροχή πληροφοριών για παραβιάσεις δεδομένων προσωπικού χαρακτήρα  Ν. 4070/2012 άρθρ. 12 αρ. ζ (αρμοδιότητες ΕΕΤΤ)  Συνεργασία ΕΕΤΤ & ΑΠΔΠΧ  Ανταλλαγή πληροφοριών  Άρθρ. 60 ΓΚΠΔ (GDPR)  Συνεργασία μεταξύ της επικεφαλής εποπτικής αρχή ΑΠΔΠΧ με άλλες ενδιαφερόμενες εποπτικές αρχές  Αμοιβαία συνδρομή

×