7o INFOCOM SECURITY CONFERENCE 2017
On The IT Roadmap Expect The Unexpected
29 - 30 Μαρτίου 2017 – Αθήνα, Divani Caravel
GDPR - Ευρωπαϊκός Κανονισμός Προστασίας Προσωπικών Δεδομένων 2016/679 και οι Επιπτώσεις του στους Οργανισμούς
Ο Νέος κανονισμός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (General Data Protection Regulation (GDPR) – Κανονισμός (ΕΕ) 2016/679) θα ισχύσει σε όλα τα Κράτη – Μέλη από την 25η Μαΐου 2018 και θα πρέπει να εφαρμοσθεί από όλες τις Εταιρείες και Οργανισμούς, χωρίς να απαιτείται η αντίστοιχη Εθνική Νομοθεσία.
Η μη συμμόρφωση με τις απαιτήσεις του κανονισμού επιφέρει πρόστιμα που αγγίζουν ακόμα και το 4% του Κύκλου Εργασιών του Ομίλου Επιχειρήσεων, ανεξαρτήτως του ποια επιχείρηση αφορά η παράβαση.
Στο workshop αυτό γίνεται αναφορά στις αλλαγές που φέρνει ο νέος Κανονισμός, καθώς και σε μέτρα (σχέδια, πολιτικές, πρακτικές, κλπ.), που διασφαλίζουν την Εμπιστευτικότητα, την Ακεραιότητα και τη Διαθεσιμότητα των Προσωπικών Δεδομένων, τα οποία συλλέγονται, επεξεργάζονται, μεταδίδονται και χρησιμοποιούνται από κάθε Οργανισμό.
Ομιλητές: Ιωάννης Κυριαζόγλου & Γεώργιος Βάβουλας
1. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
(GDPR)
Ένα Workshop για το Infocom Security
από την ADVANCED QUALITY SERVICES LTD
29 Μαρτίου 2017
2. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Όµιλος AQS
AbpmAdvanced Business Process Management
A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
3. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
ΣΥΝΤΟΜΗ ΠΑΡΟΥΣΙΑΣΗ AQS
• Η εταιρεία Advanced Quality Services Ltd. ιδρύθηκε το
Νοέµβριο του 1993.
• Είναι στελεχωµένη µε δυναµικό συµβούλων υψηλής
τεχνογνωσίας, που διαθέτει µακρόχρονη εµπειρία σε
διευθυντικές θέσεις διεθνών και ελληνικών επιχειρήσεων.
• Έχει αποκτήσει σηµαντική συµβουλευτική εµπειρία
πραγµατοποιώντας περισσότερα από 800 οργανωτικά
Έργα σε επιχειρήσεις και οργανισµούς του Ιδιωτικού και
του ευρύτερου Δηµοσίου Τοµέα.
• Έχει επίσης πολύχρονη εκπαιδευτική εµπειρία παρέχοντας
υψηλού επιπέδου εκπαίδευση σε πάνω από 20.000 µεσαία
και υψηλόβαθµα στελέχη επιχειρήσεων.
4. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
ΠΙΣΤΟΠΟΙΗΣΕΙΣ
• Η AQS είναι πιστοποιηµένη σύµφωνα µε το πρότυπο
ISO 9001:2015 από το διεθνή οργανισµό Πιστοποιήσεων
TUV AUSTRIA.
• Η εταιρεία είναι µέλος του Σ.Ε.Σ.Μ.Α. (Σύνδεσµος
Εταιρειών Συµβούλων Management Ελλάδος), ο οποίος
είναι µέλος της FEACO (European Federation of
Management Consulting Associations) και του ICMCI
(International Council of Management Consulting
Institutes).
5. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
ΔΡΑΣΤΗΡΙΟΤΗΤΕΣ
Η AQS δραστηριοποιείται σε δύο περιοχές:
v Συµβουλευτικές Υπηρεσίες Οργάνωσης
v Υπηρεσίες Εκπαίδευσης & Ανάπτυξης
6. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
ΣΥΜΒΟΥΛΕΥΤΙΚΕΣ ΥΠΗΡΕΣΙΕΣ
• Επιχειρησιακός Σχεδιασµός (Business Planning – Balanced Scorecard)
• Ανασχεδιασµός (Reengineering)
• Σχεδιασµός και Ανάπτυξη Συστηµάτων Διαχείρισης Πληροφοριών (ISO
27001, GDPR, κ.ά.)
• Σχεδιασµός και Ανάπτυξη Συστηµάτων Διαχείρισης σύµφωνα µε τα
Πρότυπα ISO 9001, ISO 14001, ISO 22000 (HACCP), OHSAS 18001,
ISO 13485, ISO 20000, ISO 39001, ISO 17025, ISO 15189, ISO 50001
κ.α.
• Σχεδιασµός και Υλοποίηση Συστηµάτων Διαχείρισης - Βελτίωσης της
εφοδιαστικής αλυσίδας
• Υποβολή και διαχείριση προτάσεων για Επιδοτούµενα Προγράµµατα
(ΕΣΠΑ, Ευρωπαϊκής Ένωσης, κ.ά.)
• Ανάπτυξη πωλήσεων µε εφαρµογή διεργασιών CRM
• Σχεδιασµός και Υλοποίηση Συστηµάτων GMP
• Σχεδιασµός και Υλοποίηση Συστηµάτων
Προγραµµατισµού & Ελέγχου Παραγωγής (MRP II)
7. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
ΥΠΗΡΕΣΙΕΣ ΕΚΠΑΙΔΕΥΣΗΣ
ΠΡΟΣΤΙΘΕΜΕΝΗΣ ΑΞΙΑΣ
• E-CONSULTING (Υποστήριξη 12 µηνών)
• CASE STUDIES
• ROLE PLAYING – VIDEO κλπ
8. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
ThyssenKrupp
Marine Systems
ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ
ΥΠΟΥΡΓΕΙΟ
ΕΣΩΤΕΡΙΚΩΝ
9. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Σεµινάρια Οµίλου AQS
Στους συμμετέχοντες του Workshop παρέχεται
έκπτωση 30% στο επόμενο σεμινάριο του
Ομίλου AQS, στο οποίο θα δηλώσουν
συμμετοχή.
10. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Σεµινάρια Οµίλου AQS
ENTERPRISE RISK MANAGEMENT
13 Ιουνίου, Αθήνα
7 Ιουνίου, Θεσσαλονίκη
A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
BUSINESS CONTINUITY
18 Μαΐου, Αθήνα
25 Μαΐου, Θεσσαλονίκη
11. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Σεµινάρια Οµίλου AQS
ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ -
ΚΑΝΟΝΙΣΜΟΣ 2016/679 (GDPR)
5 Απριλίου, Αθήνα
7 Απριλίου, Θεσσαλονίκη
16 Μαΐου, Αθήνα
18 Μαΐου, Θεσσαλονίκη
22 Μαΐου, Λευκωσία
IT SECURITY
30 Μαΐου, Θεσσαλονίκη
9 Ιουνίου, Αθήνα
12. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Σεµινάρια Οµίλου AQS
ISO 27001:2013
10 Μαΐου, Θεσσαλονίκη
28 Απριλίου, Αθήνα
13. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
14. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
‘Δεδοµένα προσωπικού χαρακτήρα’:
Κάθε πληροφορία που ταυτοποιεί ή δύναται να
ταυτοποιήσει φυσικό πρόσωπο
(‘υποκείµενο των δεδοµένων’).
Παραδείγµατα:
> Το ονοµατεπώνυµο, τηλέφωνο, διεύθυνση, κλπ.
> Η διεύθυνση ηλεκτρονικού ταχυδροµείου (email)
> Η διεύθυνση πρωτοκόλλου διαδικτύου (IP address)
> Τα στοιχεία που αφορούν λήψεις/ παραγγελίες πελατών
> Η συµµετοχή σε συνδικαλιστική οργάνωση, κλπ.
Τι είναι προσωπικά δεδοµένα
15. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Γίνεται συλλογή, χρήση, µετάδοση και αποθήκευση
των προσωπικών σας δεδοµένων---χωρίς την ρητή
έγκριση σας όταν προβαίνετε σε:
• Αγορές προϊόντων και υπηρεσιών
• Χρήση online (internet)
• Εγγραφή σε ένα e-newsletter,
• Πληρωµές φόρων, λογαριασµών, κλπ.
• Λογαριασµούς e-mail, κλπ.
Γιατί χρειάζεται η προστασία δεδοµένων σας
16. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Αυτά τα προσωπικά σας δεδοµένα τηρούνται και
επεξεργάζονται από:
1. Συστήµατα πληροφορικής
2. Χειρωνακτικά αρχεία
3. Μέσα
4. Servers
5. Data bases
6. E-mail messages, digital documents,
7. Videos, κλπ.
ΕΑΝ Η ΕΤΑΙΡΕΙΑ ΔΕΝ ΕΧΕΙ ΠΑΡΕΙ ΜΕΤΡΑ ΠΡΟΣΤΑΣΙΑΣ
ΜΠΟΡΕΙ ΝΑ ΥΠΟΣΤΕΙ ΜΕΓΑΛΕΣ ΖΗΜΙΕΣ
Γιατί χρειάζεται η προστασία δεδοµένων σας
17. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Ερώτηση 1: Ποιός έχει δικαίωµα πρόσβασης στα
προσωπικά δεδοµένα;
• Ερώτηση 2: Τηρούνται τα προσωπικά δεδοµένα µε
ασφάλεια και ακρίβεια;
• Ερώτηση 3: Συλλέγονται τα προσωπικά δεδοµένα µε
τη συγκατάθεση των ενδιαφεροµένων προσώπων;
• Ερώτηση 4: Πως πρέπει να προστατευθούν τα
άτοµα και οι εταιρείες/οργανισµοί;
– Ποιο είναι το Νοµικό Πλαίσιο
– Ποια τα Μέτρα Προστασίας (ατοµικά, εταιρικά)
ΕΡΩΤΗΜΑΤΑ
18. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Το άρθρο 8 παράγραφος 1 του Χάρτη των
Θεµελιωδών Δικαιωµάτων της Ευρωπαϊκής Ένωσης
• Το άρθρο 16 παράγραφος 1 της Συνθήκης για τη
λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν
ότι κάθε πρόσωπο έχει δικαίωµα στην προστασία των
δεδοµένων προσωπικού χαρακτήρα που το αφορούν.
• Οδηγία 95/46/ΕΚ για την προστασία του ατόµου
έναντι της επεξεργασίας δεδοµένων προσωπικού
Οδηγία 2002/58/ΕΚ
• Γενικός Κανονισµός για την Προστασία Δεδοµένων
της Ευρωπαϊκής Ένωσης (Νέος)
Πλαίσιο προστασίας δεδοµένων
19. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Ο νέος κανονισµός Γενικής Προστασίας Δεδοµένων
(General Data Protection Regulation (GDPR)
Κανονισµός (ΕΕ) 2016/679)
>>> θα αντικαταστήσει την επίσηµη οδηγία 95/46 / ΕΚ από
το 1995 και θα τεθεί σε
>>>ισχύ την 25η του Μάη του 2018 µετά από µια
µεταβατική περίοδο δύο ετών (4/2016-4/2018). Σε
αντίθεση µε µια οδηγία ο νέος κανονισµός Γενικής
Προστασίας Δεδοµένων
>>>δεν απαιτεί καµία έγκριση µέσω κοινοβουλίων από
τα κράτη-µέλη της Ευρωπαϊκής Ένωσης (ΕΕ).
Περίληψη
19
20. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Θα πρέπει να υπάρχουν όρια στο τι στοιχεία
συλλέγονται και νοούνται ως προσωπικά δεδοµένα.
• Οι προσωπικές πληροφορίες θα πρέπει να
λαµβάνονται µε νόµιµα και θεµιτά µέσα, µε τη
συγκατάθεση του ατόµου (υποκείµενο των
δεδοµένων).
• Οι προσωπικές πληροφορίες πρέπει να είναι
σωστές, σχετικές µε τους σκοπούς για τους οποίους
χρησιµοποιούνται, ακριβή, πλήρη και ενηµερωµένες,
κ.λπ.
Πώς πρέπει να λειτουργεί η
προστασία δεδοµένων
21. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Κανονιστική συµµόρφωση
• Οικονοµικές και άλλες απώλειες
• Συνεχής ( 24 ώρες/7 ηµέρες) επιχειρησιακή
λειτουργία
• Παραγωγικότητα εργαζοµένων
• Λήψη διοικητικών αποφάσεων
Λόγοι προστασίας δεδοµένων σε
εταιρείες
22. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• 1. Συγκατάθεση (του ατόµου)
• 2. Λογοδοσία (υπεύθυνος επεξεργασίας, ειδοποίηση
παραβίασης)
• 3. Τεχνολογικά ουδέτερη
• 4. Όλα τα προσωπικά δεδοµένα (αυτοµατοποιηµένα
µέσα (IT) και χειροκίνητη επεξεργασία (Manual))
• 5. Αξιολόγηση Επιπτώσεων (Impact Assessment)
• 6. Κυρώσεις
• 7. Ένα Κανόνας για όλες τις χώρες της ΕΕ
Πυλώνες Προστασίας
22
23. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Δικαιώµατα ατόµων
• Δικαίωµα στην λήθη: Όταν εκλείπει ο λόγος της
επεξεργασίας των δεδοµένων ή το υποκείµενο αίρει την
συγκατάθεσή του (σε περίπτωση που αυτή είναι
αναγκαία), ή όταν τα δεδοµένα υποβλήθηκαν σε
παράνοµη επεξεργασία κ.τ.λ. το υποκείµενο έχει
δικαίωµα να ζητήσει την διαγραφή των δεδοµένων
και ο υπεύθυνος επεξεργασίας έχει υποχρέωση άµεσα
να τα διαγράψει και, αν τα έχει δηµοσιοποιήσει, να
ενηµερώσει και όλους τους άλλους που τα έχουν
αναδηµοσιεύσει ότι το υποκείµενο ζήτησε την διαγραφή
τους.
New EU GDPR: Άρθρο 15 & Άρθρο 17
24. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Δικαιώµατα ατόµων
• Σαφής συγκατάθεση: Το κάθε άτοµο πρέπει να δώσει
την συγκατάθεσή του για την επεξεργασία των
προσωπικών του δεδοµένων.
• New EU GDPR: Άρθρο 7
• Δικαίωµα φορητότητας των δεδοµένων: Το κάθε
άτοµο έχει δικαίωµα να ζητά από τον υπεύθυνο
επεξεργασίας να λαµβάνει τα δεδοµένα σε κοινώς
αναγνωρίσιµο µορφότυπο, καθώς και την απευθείας
διαβίβαση των σε άλλον υπεύθυνο επεξεργασίας.
New EU GDPR: Άρθρο 20
25. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Όταν ο υπεύθυνος λάβει γνώση την παραβίαση της
ασφάλειας του συστήµατος οφείλει να ειδοποιήσει
την ανεξάρτητη αρχή που είναι υπεύθυνη για την
προστασία προσωπικών δεδοµένων.
• Η γνωστοποίηση πρέπει να γίνεται και στο ίδιο το
υποκείµενο των δεδοµένων
New EU GDPR:
Άρθρο 33 & Άρθρο 34
Γνωστοποίηση παραβιάσεων
ασφάλειας
26. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Η οδηγία περιλαµβάνει ξεκάθαρους κανόνες για τη
διαβίβαση των προσωπικών δεδοµένων από τις
αρχές επιβολής του νόµου σε αρχές εκτός της ΕΕ,
έτσι ώστε να µην υπονοµεύεται το επίπεδο
προστασίας των φυσικών προσώπων που είναι
κατοχυρωµένο στην ΕΕ.
New EU GDPR:
Άρθρο 44, Άρθρο 45, Άρθρο 46, Άρθρο 47, Άρθρο 48
Άρθρο 49 & Άρθρο 50
Διασυνοριακή διαβίβαση
δεδοµένων
27. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Ο υπεύθυνος επεξεργασίας πρέπει να παρέχει όλες
τις εξηγήσεις για τις πολιτικές απορρήτου σε σαφή
και κατανοητή γλώσσα.
New EU GDPR:
1. Άρθρο 13- Πληροφορίες που παρέχονται εάν τα
δεδοµένα προσωπικού χαρακτήρα συλλέγονται από το
υποκείµενο των δεδοµένων
2. Άρθρο 14- Πληροφορίες που παρέχονται εάν τα
δεδοµένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από
το υποκείµενο των δεδοµένων
Ενηµέρωση για Προσωπικά
Δεδοµένα
28. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Η µη συµµόρφωση µε τους κανόνες προστασίας
προσωπικών δεδοµένων επιφέρει και πρόστιµα στις
επιχειρήσεις που τον παραβιάζουν έως και 4% του
συνολικού παγκόσµιου ετήσιου κύκλου εργασιών
("τζίρος") του προηγούµενου οικονοµικού έτους
New EU GDPR:
1. Άρθρο 83- Γενικοί όροι επιβολής διοικητικών προστίµων
2. Άρθρο 84- Κυρώσεις
Πρόστιµα από µη συµµόρφωση
29. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Πρώτη Αρχή: Νόµιµη Επεξεργασία (Lawful Processing)
• Τα προσωπικά δεδοµένα θα πρέπει να επεξεργάζονται
µε θεµιτό και νόµιµο τρόπο.
Δεύτερη Αρχή: Προσδιορισµός του Σκοπού (Purpose
Specification)
• Τα προσωπικά δεδοµένα θα πρέπει να λαµβάνονται
µόνο για έναν ή περισσότερους συγκεκριµένους και
νόµιµους σκοπούς, και δεν πρέπει να υποβάλλονται σε
περαιτέρω επεξεργασία µε οποιονδήποτε τρόπο
ασυµβίβαστο µε το σκοπό ή τους σκοπούς αυτούς.
Αρχές ποιότητας των δεδοµένων
30. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Τρίτη Αρχή: Σχετικότητα Δεδοµένων (Data Relevancy)
• Τα δεδοµένα προσωπικού χαρακτήρα πρέπει να είναι
κατάλληλα, συναφή και όχι υπερβολικά σε σχέση µε το
σκοπό ή τους σκοπούς για τους οποίους υφίστανται
επεξεργασία.
Τετάρτη Αρχή: Ακρίβεια Δεδοµένων (Data Accuracy)
• Τα προσωπικά δεδοµένα πρέπει να είναι ακριβή και,
εφόσον χρειάζεται, να ενηµερώνονται.
Αρχές ποιότητας των δεδοµένων
31. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Πέµπτη Αρχή: Περιορισµένη Διατήρηση Δεδοµένων
(Limited Data Retention)
• Τα προσωπικά δεδοµένα που έχουν επεξεργασθεί για
οποιονδήποτε σκοπό ή σκοπούς δεν θα πρέπει να
διατηρούνται για µεγαλύτερο χρονικό διάστηµα από ό, τι
είναι απαραίτητο για το σκοπό αυτό ή τους σκοπούς
αυτούς (ΑΠΑΙΤΕΙΤΑΙ ΠΟΛΙΤΙΚΗ ΔΙΑΤΗΡΗΣΗΣ).
Έκτη Αρχή: Θεµιτή Επεξεργασία (Fair Processing)
• Τα προσωπικά δεδοµένα θα πρέπει να υποβάλλονται σε
επεξεργασία σύµφωνα µε τα δικαιώµατα των
υποκειµένων των δεδοµένων δυνάµει του νόµου.
Αρχές ποιότητας των δεδοµένων
32. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Έβδοµη Αρχή: Λογοδοσία (Accountability)
• Θα πρέπει να ληφθούν τα κατάλληλα διοικητικά,
τεχνικά και οργανωτικά µέτρα έναντι µη
εξουσιοδοτηµένης ή παράνοµης επεξεργασίας
δεδοµένων προσωπικού χαρακτήρα και έναντι τυχαίας
απώλειας ή καταστροφής, ή βλάβης, ή άλλης ζηµιάς στα
προσωπικά δεδοµένα που τηρούνται από την
επιχείρηση.
Αρχές ποιότητας των δεδοµένων
33. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Όγδοη Αρχή: Μεταφορά Προσωπικών Δεδοµένων στο
Εξωτερικό (Transferring personal data overseas)
• Τα δεδοµένα προσωπικού χαρακτήρα δεν πρέπει να
µεταφέρονται σε χώρα ή επικράτεια εκτός του
Ευρωπαϊκού Οικονοµικού Χώρου, εκτός εάν η εν λόγω
χώρα, βεβαιώνει ένα επαρκές επίπεδο προστασίας για
τα δικαιώµατα και τις ελευθερίες των υποκειµένων των
δεδοµένων σε σχέση µε την επεξεργασία δεδοµένων
προσωπικού χαρακτήρα.
Αρχές ποιότητας των δεδοµένων
34. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Πώς υλοποιούνται;
• Με σχέδια,
• πολιτικές,
• οργάνωση,
• ανθρώπους,
• τεχνολογία και εργαλεία, κλπ.
Δηλαδή Ένα Σύστηµα Προστασίας Δεδοµένων
Αρχές ποιότητας των δεδοµένων
40. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Προστασία από το σχεδιασµό (Privacy by Design)
(άρθρο 25)
– Προγραµµατισµός των µηχανών µε προσανατολισµό
την προστασία της ιδιωτικότητας
• Προστασία εξ’ορισµού (Privacy by Default) (άρθρο
25)
– Ανάπτυξη συστηµάτων µε ρύθµιση την υποχρεωτική
διαγραφή, ψευδωνυµοποίηση ή ανωνυµοποίηση
δεδοµένων
Βασικές Διαφοροποιήσεις 5/6
41. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Τήρηση λεπτοµερούς αρχείου δραστηριοτήτων
επεξεργασίας (άρθρο 30)
• Γνωστοποίηση γεγονότος παραβίασης αµελλητί από τη
στιγµή που θα λάβει ο ίδιος γνώση (εντός 72) ωρών στην
αρµόδια εποπτική αρχή ή/και (υπό προϋποθέσεις στο
υποκείµενο
• Θεσµός Υπευθύνου Προστασίας Δεδοµένων (άρθρα
37-39)
Βασικές Διαφοροποιήσεις 6/6
42. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Σε κάθε δηµόσιο φορέα (εκτός από τα δικαστήρια στο
πλαίσιο των δικαιοδοτικών τους αρµοδιοτήτων, εάν τα
κράτη επιλέξουν να τα εξαιρέσουν) και σε κάθε ιδιωτικό
φορέα που λόγω της φύσης των δραστηριοτήτων τους
παρακολουθούν υποκείµενα δεδοµένων σε µεγάλη
κλίµακα ή επεξεργάζονται ευαίσθητα δεδοµένα, ορίζεται
ένα πρόσωπο ως ΥΠΔ. Αυτή/αυτός είναι µια εσωτερική
Αρχή Προστασίας Δεδοµένων που διασφαλίζει ότι η
δηµόσια υπηρεσία ή ο ιδιωτικός φορέας τηρεί τις
διατάξεις του Κανονισµού και συνεργάζεται µε την Εθνική
Αρχή Προστασίας για την τήρηση των διατάξεων.
Υπεύθυνος Προστασίας
Δεδοµένων
43. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Καταγράφει τις διαδικασίες συλλογής, επεξεργασίας,
αποθήκευσης, µεταβίβασης κτλ.
• Οργανώνει, συντάσσει εκθέσεις αποτίµησης κινδύνου
(Privacy Impact Assessments).
• Σχεδιάζει εσωτερικές διαδικασίες & εργαλεία
συµµόρφωσης.
• Σχεδιάζει διαδικασίες αντιµετώπισης κινδύνων /
παραβιάσεων / λοιπών περιστατικών και ενηµέρωσης.
• Λογοδοτεί απέναντι στα υποκείµενα επεξεργασίας εάν
χρειαστεί.
• Διαµορφώνει την αρχιτεκτονική του οικοδοµήµατος
προστασίας (by design & by default).
Ο Ρόλος του Υπευθύνου Προστασίας
Δεδοµένων
44. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Ενδεικτικά βήµατα προς τη Συµµόρφωση
48. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Υπεύθυνος Προστασίας Δεδοµένων
– Έλεγχος Συµµόρφωσης µε ΓΚΠΔ
• Προσδιορισµός κατά τόπο αρµόδιας Αρχής
Βήµατα προς τη Συµµόρφωση 4/4
49. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
ΑΝΑΛΥΣΗ ΡΙΣΚΟΥ ΚΑΙ ΚΙΝΔΥΝΟΥ
50. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Ο υπεύθυνος επεξεργασίας πρέπει να επιβεβαιώνει ότι
εφαρµόζεται µια διαδικασία για τη διεξαγωγή µιας
αξιολόγησης του κινδύνων προστασίας των δεδοµένων
(Data Protection Impact Assessment) σε όλες τις
επιχειρηµατικές µονάδες:
• Πληροφορική,
• Ανθρώπινο Δυναµικό,
• Πωλήσεις,
• Μάρκετινγκ,
• Παραγωγή και Ανάπτυξη Προϊόντων, κλπ
New EU GDPR: Άρθρο 35 & Άρθρο 36
Εκτίµηση Επιπτώσεων
Προστασίας Δεδοµένων
55. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Η αντασφαλιστική (reinsurer) εταιρεία ΑΑΑ παρέχει
υπηρεσίες για τις ασφαλιστικές εταιρείες.
• Με τα χρόνια έχει συγκεντρώσει µεγάλες ποσότητες
προσωπικών δεδοµένων που αφορούν ένα µεγάλο
σύνολο ασφαλισµένων και των προσωπικών τους
δεδοµένων.
• Θέλει τώρα να συνδυάζει δεδοµένα από διάφορους
πελάτες της σε µια ενιαία βάση δεδοµένων, ώστε να
µπορεί να τιµολογήσει τα προϊόντα της µε µεγαλύτερη
ακρίβεια.
Ερώτηµα: Μπορεί να το κάνει αυτό και πώς;
CASE STUDY: Αντασφαλιστική
Εταιρεία
56. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Η αντασφαλιστική (reinsurer) εταιρεία ΑΑΑ πρέπει:
• Να χρησιµοποιήσει διάφορες τεχνικές και να κάνει τα
δεδοµένα ανώνυµα
• Να πάρει την έγκριση των ασφαλισµένων ατόµων πριν
από τη δηµιουργία της βάσης δεδοµένων
• Να ενισχύσει τα δικά της µέτρα προστασίας και
ασφάλειας
• Να έχει θέσει κανόνες προστασίας και ασφάλειας σε
συµφωνίες µε τρίτες ασφαλιστικές εταιρείες για αυτά τα
δεδοµένα
CASE STUDY: Αντασφαλιστική
Εταιρεία
57. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Σχεδιο Δρασης IT
58. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
• Η εταιρεία ‘ΑΖΧ’ (Τράπεζα) έχει 1000+ άτοµα
προσωπικό, χιλιάδες πελάτες και είναι καλά
οργανωµένη. Τα συστήµατα πληροφορικής είτε
αναπτύσσονται εντός της εταιρείας είτε αγοράζονται
έτοιµα.
• Η ανώτατη διοίκηση και το Δ.Σ. ζήτησε από τον
Διευθυντή Πληροφορικής να προετοιµασθεί για την
προσαρµογή των συστηµάτων πληροφορικής της
εταιρείας στις απαιτήσεις του EU GDPR.
Τι πρέπει να κάνει (τι βήµατα/ενέργειες να σχεδιάσει και
να εκτελέσει αργότερα):
CASE STUDY: Σχέδιο Δράσης IT
59. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
1. Ενηµέρωση για τον Γενικό Κανονισµό Προστασίας
Δεδοµένων της Ευρωπαϊκής Ένωσης.
2. Εκπαίδευση προσωπικού πληροφορικής σε θέµατα
προστασίας δεδοµένων
3. Καταγραφή Συστηµάτων που περιέχουν Προσωπικά
Δεδοµένα
4. Συγκατάθεση Ατόµων
4.1. Ανάπτυξη, Δοκιµασία και Εφαρµογή Διαδικασίας
Συγκατάθεσης (Consent Procedure)
4.2. Ανάπτυξη, Δοκιµασία και Εφαρµογή Τεχνικού
Μηχανισµού Συγκατάθεσης (Platform for consent)
CASE STUDY: Σχέδιο Δράσης IT
60. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
5. Δικαίωµα ‘Λήθης’ Ατόµων
5.1. Ανάπτυξη, Δοκιµασία και Εφαρµογή Διαδικασίας
‘Λήθης’ (Erase Procedure) Προσωπικών Δεδοµένων
5.2. Ανάπτυξη, Δοκιµασία και Εφαρµογή Τεχνικού
Μηχανισµού ‘Λήθης’ Προσωπικών Δεδοµένων
(Platform for erasing personal data)
6. Παραβίαση Προσωπικών Δεδοµένων
6.1. Ανάπτυξη, Δοκιµασία και Εφαρµογή Διαδικασίας
παρακολούθησης παραβίασης Προσωπικών
Δεδοµένων
6.2. Ανάπτυξη, Δοκιµασία και Εφαρµογή
Μηχανισµού Αναφοράς (Reporting of Personal Data
Breaches)
CASE STUDY: Σχέδιο Δράσης IT
61. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
7. Πρόσβαση Προσωπικών Δεδοµένων
7.1. Ανάπτυξη, Δοκιµασία και Εφαρµογή Διαδικασίας
Ικανοποίησης αιτηµάτων των ατόµων που τα
Προσωπικά τους Δεδοµένα τηρούνται από την
εταιρεία (Personal Data Access and Personal Data
Portability)
CASE STUDY: Σχέδιο Δράσης IT
62. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
8. Μητρώα.
8.1. Μητρώο Προσωπικών Δεδοµένων Ατόµων
8.2. Μητρώο Παραβίασης Προσωπικών
Δεδοµένων
8.3. Εγχειρίδιο Επεξεργασίας Προσωπικών
Δεδοµένων
8.4. Εγχειρίδιο Ροών Προσωπικών Δεδοµένων
(Personal Data Flow Diagrams)
8.5. Μητρώο Συστηµάτων και Μέσων που
περιέχουν Προσωπικά Δεδοµένα (Systems, Servers,
Files, Data Bases, Media containing Personal Data)
CASE STUDY: Σχέδιο Δράσης IT
63. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
9. Ταξινόµηση Δεδοµένων
9.1. Ανάπτυξη Πολιτικής Ταξινόµησης Δεδοµένων
(Data Classification Policy)
9.2. Ανάπτυξη, Δοκιµασία και Εφαρµογή
Διαδικασίας Ταξινόµησης Δεδοµένων (Data
Classification System)
9.3. Ανάπτυξη, Δοκιµασία και Εφαρµογή Τεχνικού
(Software) Μηχανισµού Ταξινόµησης Δεδοµένων
CASE STUDY: Σχέδιο Δράσης IT
64. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
10. Αναβάθµιση Εφαρµογών
10.1. Ανάλυση απαιτήσεων για προσθήκη ένδειξης
(privacy masks on data, file indicators, data
sensitivity flags, κλπ.) Προσωπικών Δεδοµένων σε
κάθε αρχείο (screen, report, file, data base) και
εφαρµογή που περιέχει Προσωπικά Δεδοµένα
10.2. Ανάπτυξη και Δοκιµασία Προγραµµάτων για
κάθε Εφαρµογή
10.3. Εφαρµογή των αλλαγών και ενηµέρωση των
αρχείων κάθε Εφαρµογής
CASE STUDY: Σχέδιο Δράσης IT
65. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
11. Αναβάθµιση Πολιτικών/Διαδικασιών IT
11.1. Ένταξη εννοιών προστασίας δεδοµένων σε
όλες τις πολιτικές και την διαδικασίες
πληροφορικής (χρήσης τεχνολογίας encryption,
DLP, anonymity, masking, κλπ., ανάπτυξης
προγραµµάτων, ελέγχου δεδοµένων, οθονών,
δοκιµής εφαρµογών, αναφοράς, κλπ.)
11.2. Επισκόπηση και ενηµέρωση διαδικασιών
αντιγραφής, logging, network administration,
disaster recovery, κλπ.
11.3. Το προσωπικό IT να συµµορφώνεται, µέσω
γραπτής δέσµευσης για την προστασία
δεδοµένων.
CASE STUDY: Σχέδιο Δράσης IT
66. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
12. Αναβάθµιση Περιβάλλοντος Δοκιµών
Πληροφορικής
12.1. Ένταξη εννοιών προστασίας δεδοµένων
(anonymity of data, privacy by design, κλπ.) στην
διαδικασία δοκιµής εφαρµογών
12.2. Δοκιµή Περιβάλλοντος για κάθε Εφαρµογή
13. Επισκόπηση Δραστηριοτήτων από Τρίτες Εταιρείες
13.1. Αναθεώρηση των υπηρεσιών τρίτων εταιρειών
για ένταξη εννοιών προστασίας δεδοµένων στην
διαδικασία επεξεργασίας προσωπικών δεδοµένων
της εταιρείας
CASE STUDY: Σχέδιο Δράσης IT
68. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
ΠΡΟΤΕΙΝΟΜΕΝΗ ΜΕΘΟΔΟΛΟΓΙΑ (2/2)
5. GAP ANALYSIS
6. RISK ASSESSMENT
7. ΣΧΕΔΙΑΣΜΟΣ ΠΟΛΙΤΙΚΩΝ,
ΔΙΑΔΙΚΑΣΙΩΝ & ΜΕΤΡΩΝ ΕΛΕΓΧΟΥ
ΚΑΙ ΑΠΟΤΡΟΠΗΣ
8. AUDIT ΕΦΑΡΜΟΓΗΣ
69. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
Crossreferencing of articles within the GDPR, created by Institute of Management for
Information Systems, 2016
70. A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
ΕΡΩΤΗΣΕΙΣ