General Data Protection Regulation - AQS

A Q SAdvanced Quality Services Ltd.
ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ
ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
(GDPR)
Ένα Workshop για το Infocom Security
από την ADVANCED QUALITY SERVICES LTD
29 Μαρτίου 2017

Όµιλος AQS
AbpmAdvanced Business Process Management

ΣΥΝΤΟΜΗ ΠΑΡΟΥΣΙΑΣΗ AQS
•  Η εταιρεία Advanced Quality Services Ltd. ιδρύθηκε το
Νοέµβριο του 1993.
•  Είναι στελεχωµένη µε δυναµικό συµβούλων υψηλής
τεχνογνωσίας, που διαθέτει µακρόχρονη εµπειρία σε
διευθυντικές θέσεις διεθνών και ελληνικών επιχειρήσεων.
•  Έχει αποκτήσει σηµαντική συµβουλευτική εµπειρία
πραγµατοποιώντας περισσότερα από 800 οργανωτικά
Έργα σε επιχειρήσεις και οργανισµούς του Ιδιωτικού και
του ευρύτερου Δηµοσίου Τοµέα.
•  Έχει επίσης πολύχρονη εκπαιδευτική εµπειρία παρέχοντας
υψηλού επιπέδου εκπαίδευση σε πάνω από 20.000 µεσαία
και υψηλόβαθµα στελέχη επιχειρήσεων.

ΠΙΣΤΟΠΟΙΗΣΕΙΣ
•  Η AQS είναι πιστοποιηµένη σύµφωνα µε το πρότυπο
ISO 9001:2015 από το διεθνή οργανισµό Πιστοποιήσεων
TUV AUSTRIA.
•  Η εταιρεία είναι µέλος του Σ.Ε.Σ.Μ.Α. (Σύνδεσµος
Εταιρειών Συµβούλων Management Ελλάδος), ο οποίος
είναι µέλος της FEACO (European Federation of
Management Consulting Associations) και του ICMCI
(International Council of Management Consulting
Institutes).

ΔΡΑΣΤΗΡΙΟΤΗΤΕΣ
Η AQS δραστηριοποιείται σε δύο περιοχές:
v Συµβουλευτικές Υπηρεσίες Οργάνωσης
v Υπηρεσίες Εκπαίδευσης & Ανάπτυξης

ΣΥΜΒΟΥΛΕΥΤΙΚΕΣ ΥΠΗΡΕΣΙΕΣ
•  Επιχειρησιακός Σχεδιασµός (Business Planning – Balanced Scorecard)
•  Ανασχεδιασµός (Reengineering)
•  Σχεδιασµός και Ανάπτυξη Συστηµάτων Διαχείρισης Πληροφοριών (ISO
27001, GDPR, κ.ά.)
•  Σχεδιασµός και Ανάπτυξη Συστηµάτων Διαχείρισης σύµφωνα µε τα
Πρότυπα ISO 9001, ISO 14001, ISO 22000 (HACCP), OHSAS 18001,
ISO 13485, ISO 20000, ISO 39001, ISO 17025, ISO 15189, ISO 50001
κ.α.
•  Σχεδιασµός και Υλοποίηση Συστηµάτων Διαχείρισης - Βελτίωσης της
εφοδιαστικής αλυσίδας
•  Υποβολή και διαχείριση προτάσεων για Επιδοτούµενα Προγράµµατα
(ΕΣΠΑ, Ευρωπαϊκής Ένωσης, κ.ά.)
•  Ανάπτυξη πωλήσεων µε εφαρµογή διεργασιών CRM
•  Σχεδιασµός και Υλοποίηση Συστηµάτων GMP
•  Σχεδιασµός και Υλοποίηση Συστηµάτων
Προγραµµατισµού & Ελέγχου Παραγωγής (MRP II)

ΥΠΗΡΕΣΙΕΣ ΕΚΠΑΙΔΕΥΣΗΣ
ΠΡΟΣΤΙΘΕΜΕΝΗΣ ΑΞΙΑΣ
•  E-CONSULTING (Υποστήριξη 12 µηνών)
•  CASE STUDIES
•  ROLE PLAYING – VIDEO κλπ

ThyssenKrupp
Marine Systems
ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ
ΥΠΟΥΡΓΕΙΟ
ΕΣΩΤΕΡΙΚΩΝ

Σεµινάρια Οµίλου AQS

Στους συμμετέχοντες του Workshop παρέχεται
έκπτωση 30% στο επόμενο σεμινάριο του
Ομίλου AQS, στο οποίο θα δηλώσουν
συμμετοχή.

ENTERPRISE RISK MANAGEMENT
13 Ιουνίου, Αθήνα
7 Ιουνίου, Θεσσαλονίκη
BUSINESS CONTINUITY
18 Μαΐου, Αθήνα
25 Μαΐου, Θεσσαλονίκη

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ -
ΚΑΝΟΝΙΣΜΟΣ 2016/679 (GDPR)
5 Απριλίου, Αθήνα
7 Απριλίου, Θεσσαλονίκη
16 Μαΐου, Αθήνα
22 Μαΐου, Λευκωσία
IT SECURITY
9 Ιουνίου, Αθήνα

ISO 27001:2013

28 Απριλίου, Αθήνα

‘Δεδοµένα προσωπικού χαρακτήρα’:
Κάθε πληροφορία που ταυτοποιεί ή δύναται να
ταυτοποιήσει φυσικό πρόσωπο
(‘υποκείµενο των δεδοµένων’).
Παραδείγµατα:
> Το ονοµατεπώνυµο, τηλέφωνο, διεύθυνση, κλπ.
> Η διεύθυνση ηλεκτρονικού ταχυδροµείου (email)
> Η διεύθυνση πρωτοκόλλου διαδικτύου (IP address)
> Τα στοιχεία που αφορούν λήψεις/ παραγγελίες πελατών
> Η συµµετοχή σε συνδικαλιστική οργάνωση, κλπ.
Τι είναι προσωπικά δεδοµένα

Γίνεται συλλογή, χρήση, µετάδοση και αποθήκευση
των προσωπικών σας δεδοµένων---χωρίς την ρητή
έγκριση σας όταν προβαίνετε σε:
•  Αγορές προϊόντων και υπηρεσιών
•  Χρήση online (internet)
•  Εγγραφή σε ένα e-newsletter,
•  Πληρωµές φόρων, λογαριασµών, κλπ.
•  Λογαριασµούς e-mail, κλπ.
Γιατί χρειάζεται η προστασία δεδοµένων σας

Αυτά τα προσωπικά σας δεδοµένα τηρούνται και
επεξεργάζονται από:
1. Συστήµατα πληροφορικής
2. Χειρωνακτικά αρχεία
3. Μέσα
4. Servers
5. Data bases
6. E-mail messages, digital documents,
7. Videos, κλπ.
ΕΑΝ Η ΕΤΑΙΡΕΙΑ ΔΕΝ ΕΧΕΙ ΠΑΡΕΙ ΜΕΤΡΑ ΠΡΟΣΤΑΣΙΑΣ
ΜΠΟΡΕΙ ΝΑ ΥΠΟΣΤΕΙ ΜΕΓΑΛΕΣ ΖΗΜΙΕΣ
Γιατί χρειάζεται η προστασία δεδοµένων σας

•  Ερώτηση 1: Ποιός έχει δικαίωµα πρόσβασης στα
προσωπικά δεδοµένα;
•  Ερώτηση 2: Τηρούνται τα προσωπικά δεδοµένα µε
ασφάλεια και ακρίβεια;
•  Ερώτηση 3: Συλλέγονται τα προσωπικά δεδοµένα µε
τη συγκατάθεση των ενδιαφεροµένων προσώπων;
•  Ερώτηση 4: Πως πρέπει να προστατευθούν τα
άτοµα και οι εταιρείες/οργανισµοί;
–  Ποιο είναι το Νοµικό Πλαίσιο
–  Ποια τα Μέτρα Προστασίας (ατοµικά, εταιρικά)
ΕΡΩΤΗΜΑΤΑ

•  Το άρθρο 8 παράγραφος 1 του Χάρτη των
Θεµελιωδών Δικαιωµάτων της Ευρωπαϊκής Ένωσης
•  Το άρθρο 16 παράγραφος 1 της Συνθήκης για τη
λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν
ότι κάθε πρόσωπο έχει δικαίωµα στην προστασία των
δεδοµένων προσωπικού χαρακτήρα που το αφορούν.
•  Οδηγία 95/46/ΕΚ για την προστασία του ατόµου
έναντι της επεξεργασίας δεδοµένων προσωπικού
Οδηγία 2002/58/ΕΚ
•  Γενικός Κανονισµός για την Προστασία Δεδοµένων
της Ευρωπαϊκής Ένωσης (Νέος)
Πλαίσιο προστασίας δεδοµένων

Ο νέος κανονισµός Γενικής Προστασίας Δεδοµένων
(General Data Protection Regulation (GDPR)
Κανονισµός (ΕΕ) 2016/679)
>>> θα αντικαταστήσει την επίσηµη οδηγία 95/46 / ΕΚ από
το 1995 και θα τεθεί σε
>>>ισχύ την 25η του Μάη του 2018 µετά από µια
µεταβατική περίοδο δύο ετών (4/2016-4/2018). Σε
αντίθεση µε µια οδηγία ο νέος κανονισµός Γενικής
Προστασίας Δεδοµένων
>>>δεν απαιτεί καµία έγκριση µέσω κοινοβουλίων από
τα κράτη-µέλη της Ευρωπαϊκής Ένωσης (ΕΕ).
Περίληψη
19

•  Θα πρέπει να υπάρχουν όρια στο τι στοιχεία
συλλέγονται και νοούνται ως προσωπικά δεδοµένα.
•  Οι προσωπικές πληροφορίες θα πρέπει να
λαµβάνονται µε νόµιµα και θεµιτά µέσα, µε τη
συγκατάθεση του ατόµου (υποκείµενο των
δεδοµένων).
•  Οι προσωπικές πληροφορίες πρέπει να είναι
σωστές, σχετικές µε τους σκοπούς για τους οποίους
χρησιµοποιούνται, ακριβή, πλήρη και ενηµερωµένες,
κ.λπ.
Πώς πρέπει να λειτουργεί η
προστασία δεδοµένων

•  Κανονιστική συµµόρφωση
•  Οικονοµικές και άλλες απώλειες
•  Συνεχής ( 24 ώρες/7 ηµέρες) επιχειρησιακή
λειτουργία
•  Παραγωγικότητα εργαζοµένων
•  Λήψη διοικητικών αποφάσεων
Λόγοι προστασίας δεδοµένων σε
εταιρείες

•  1. Συγκατάθεση (του ατόµου)
•  2. Λογοδοσία (υπεύθυνος επεξεργασίας, ειδοποίηση
παραβίασης)
•  3. Τεχνολογικά ουδέτερη
•  4. Όλα τα προσωπικά δεδοµένα (αυτοµατοποιηµένα
µέσα (IT) και χειροκίνητη επεξεργασία (Manual))
•  5. Αξιολόγηση Επιπτώσεων (Impact Assessment)
•  6. Κυρώσεις
•  7. Ένα Κανόνας για όλες τις χώρες της ΕΕ
Πυλώνες Προστασίας
22

Δικαιώµατα ατόµων
•  Δικαίωµα στην λήθη: Όταν εκλείπει ο λόγος της
επεξεργασίας των δεδοµένων ή το υποκείµενο αίρει την
συγκατάθεσή του (σε περίπτωση που αυτή είναι
αναγκαία), ή όταν τα δεδοµένα υποβλήθηκαν σε
παράνοµη επεξεργασία κ.τ.λ. το υποκείµενο έχει
δικαίωµα να ζητήσει την διαγραφή των δεδοµένων
και ο υπεύθυνος επεξεργασίας έχει υποχρέωση άµεσα
να τα διαγράψει και, αν τα έχει δηµοσιοποιήσει, να
ενηµερώσει και όλους τους άλλους που τα έχουν
αναδηµοσιεύσει ότι το υποκείµενο ζήτησε την διαγραφή
τους.
New EU GDPR: Άρθρο 15 & Άρθρο 17

Δικαιώµατα ατόµων
•  Σαφής συγκατάθεση: Το κάθε άτοµο πρέπει να δώσει
την συγκατάθεσή του για την επεξεργασία των
προσωπικών του δεδοµένων.
•  New EU GDPR: Άρθρο 7
•  Δικαίωµα φορητότητας των δεδοµένων: Το κάθε
άτοµο έχει δικαίωµα να ζητά από τον υπεύθυνο
επεξεργασίας να λαµβάνει τα δεδοµένα σε κοινώς
αναγνωρίσιµο µορφότυπο, καθώς και την απευθείας
διαβίβαση των σε άλλον υπεύθυνο επεξεργασίας.
New EU GDPR: Άρθρο 20

•  Όταν ο υπεύθυνος λάβει γνώση την παραβίαση της
ασφάλειας του συστήµατος οφείλει να ειδοποιήσει
την ανεξάρτητη αρχή που είναι υπεύθυνη για την
προστασία προσωπικών δεδοµένων.
•  Η γνωστοποίηση πρέπει να γίνεται και στο ίδιο το
υποκείµενο των δεδοµένων
New EU GDPR:
Άρθρο 33 & Άρθρο 34
Γνωστοποίηση παραβιάσεων
ασφάλειας

•  Η οδηγία περιλαµβάνει ξεκάθαρους κανόνες για τη
διαβίβαση των προσωπικών δεδοµένων από τις
αρχές επιβολής του νόµου σε αρχές εκτός της ΕΕ,
έτσι ώστε να µην υπονοµεύεται το επίπεδο
προστασίας των φυσικών προσώπων που είναι
κατοχυρωµένο στην ΕΕ.
New EU GDPR:
Άρθρο 44, Άρθρο 45, Άρθρο 46, Άρθρο 47, Άρθρο 48
Άρθρο 49 & Άρθρο 50
Διασυνοριακή διαβίβαση
δεδοµένων

•  Ο υπεύθυνος επεξεργασίας πρέπει να παρέχει όλες
τις εξηγήσεις για τις πολιτικές απορρήτου σε σαφή
και κατανοητή γλώσσα.
New EU GDPR:
1. Άρθρο 13- Πληροφορίες που παρέχονται εάν τα
δεδοµένα προσωπικού χαρακτήρα συλλέγονται από το
υποκείµενο των δεδοµένων
2. Άρθρο 14- Πληροφορίες που παρέχονται εάν τα
δεδοµένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από
το υποκείµενο των δεδοµένων
Ενηµέρωση για Προσωπικά
Δεδοµένα

•  Η µη συµµόρφωση µε τους κανόνες προστασίας
προσωπικών δεδοµένων επιφέρει και πρόστιµα στις
επιχειρήσεις που τον παραβιάζουν έως και 4% του
συνολικού παγκόσµιου ετήσιου κύκλου εργασιών
("τζίρος") του προηγούµενου οικονοµικού έτους
New EU GDPR:
1. Άρθρο 83- Γενικοί όροι επιβολής διοικητικών προστίµων
2. Άρθρο 84- Κυρώσεις
Πρόστιµα από µη συµµόρφωση

Πρώτη Αρχή: Νόµιµη Επεξεργασία (Lawful Processing)
•  Τα προσωπικά δεδοµένα θα πρέπει να επεξεργάζονται
µε θεµιτό και νόµιµο τρόπο.
Δεύτερη Αρχή: Προσδιορισµός του Σκοπού (Purpose
Specification)
•  Τα προσωπικά δεδοµένα θα πρέπει να λαµβάνονται
µόνο για έναν ή περισσότερους συγκεκριµένους και
νόµιµους σκοπούς, και δεν πρέπει να υποβάλλονται σε
περαιτέρω επεξεργασία µε οποιονδήποτε τρόπο
ασυµβίβαστο µε το σκοπό ή τους σκοπούς αυτούς.
Αρχές ποιότητας των δεδοµένων

Τρίτη Αρχή: Σχετικότητα Δεδοµένων (Data Relevancy)
•  Τα δεδοµένα προσωπικού χαρακτήρα πρέπει να είναι
κατάλληλα, συναφή και όχι υπερβολικά σε σχέση µε το
σκοπό ή τους σκοπούς για τους οποίους υφίστανται
επεξεργασία.
Τετάρτη Αρχή: Ακρίβεια Δεδοµένων (Data Accuracy)
•  Τα προσωπικά δεδοµένα πρέπει να είναι ακριβή και,
εφόσον χρειάζεται, να ενηµερώνονται.

Πέµπτη Αρχή: Περιορισµένη Διατήρηση Δεδοµένων
(Limited Data Retention)
•  Τα προσωπικά δεδοµένα που έχουν επεξεργασθεί για
οποιονδήποτε σκοπό ή σκοπούς δεν θα πρέπει να
διατηρούνται για µεγαλύτερο χρονικό διάστηµα από ό, τι
είναι απαραίτητο για το σκοπό αυτό ή τους σκοπούς
αυτούς (ΑΠΑΙΤΕΙΤΑΙ ΠΟΛΙΤΙΚΗ ΔΙΑΤΗΡΗΣΗΣ).
Έκτη Αρχή: Θεµιτή Επεξεργασία (Fair Processing)
•  Τα προσωπικά δεδοµένα θα πρέπει να υποβάλλονται σε
επεξεργασία σύµφωνα µε τα δικαιώµατα των
υποκειµένων των δεδοµένων δυνάµει του νόµου.

Έβδοµη Αρχή: Λογοδοσία (Accountability)
•  Θα πρέπει να ληφθούν τα κατάλληλα διοικητικά,
τεχνικά και οργανωτικά µέτρα έναντι µη
εξουσιοδοτηµένης ή παράνοµης επεξεργασίας
δεδοµένων προσωπικού χαρακτήρα και έναντι τυχαίας
απώλειας ή καταστροφής, ή βλάβης, ή άλλης ζηµιάς στα
προσωπικά δεδοµένα που τηρούνται από την
επιχείρηση.

Όγδοη Αρχή: Μεταφορά Προσωπικών Δεδοµένων στο
Εξωτερικό (Transferring personal data overseas)
•  Τα δεδοµένα προσωπικού χαρακτήρα δεν πρέπει να
µεταφέρονται σε χώρα ή επικράτεια εκτός του
Ευρωπαϊκού Οικονοµικού Χώρου, εκτός εάν η εν λόγω
χώρα, βεβαιώνει ένα επαρκές επίπεδο προστασίας για
τα δικαιώµατα και τις ελευθερίες των υποκειµένων των
δεδοµένων σε σχέση µε την επεξεργασία δεδοµένων
προσωπικού χαρακτήρα.

Πώς υλοποιούνται;
•  Με σχέδια,
•  πολιτικές,
•  οργάνωση,
•  ανθρώπους,
•  τεχνολογία και εργαλεία, κλπ.
Δηλαδή Ένα Σύστηµα Προστασίας Δεδοµένων

Βασικές Διαφοροποιήσεις

•  Νέοι/Ανανεωµένοι Ορισµοί (άρθρο 4)
–  περιορισµός επεξεργασίας,
–  κατάρτιση προφίλ,
–  ψευδωνυµοποίηση,
–  γενετικά δεδοµένα,
–  βιοµετρικά δεδοµένα,
–  δεδοµένα που αφορούν στην υγεία,
–  κύρια εγκατάσταση
–  επιχείριση
–  όµιλος επιχειρήσεων
–  δεσµευτικοί εταιρικοί κανόνες
Βασικές Διαφοροποιήσεις 1/6

•  Νέα ερµηνεία ευαίσθητων δεδοµένων (άρθρο 9)
–  Υπαγωγή γενετικών δεδοµένων µε σκοπό την
αδιαµφισβήτητη ταυτοποίηση ατόµων
–  Υπαγωγή βιοµετρικών δεδοµένων µε σκοπό την
αδιαµφησβήτητη ταυτοποίηση ατόµων

•  Επαναδιατυπώνονται οι θεµελιώδεις αρχές
επεξεργασίας δεδοµένων προσωπικού χαρακτήρα
(άρθρο 5)
–  Αρχές νοµιµότητας, αντικειµενικότητας, και διαφάνειας
της επεξεργασίας (lawfulness, fairness and
transparency)
–  Αρχή περιορισµού του σκοπού (purpose limitation)
–  Ελαχιστοποίησης των δεδοµένων (data minimization)
–  Ακρίβειας δεδοµένων (data accuracy)
–  Περιορισµού περιόδου τήρησης δεδοµένων (storage
limitation)
–  Ακεραιότητας/Εµπιστευτικότητας(integrity/confidentiality)
–  Λογοδοσίας Υπευθύνου Επεξεργασίας (accountability)

•  Κατοχυρώνονται ενισχυµένα δικαιώµατα
–  Δικαίωµα διαγραφής/ «δικαίωµα στη λήθη» (άρθρο
17)
–  Δικαίωµα περιορισµού επεξεργασίας (άρθρο 18)
–  Δικαίωµα στη φορητότητα των δεδοµένων (άρθρο 20)
–  Δικαίωµα εναντίωσης στην κατάρτιση προφίλ
(άρθρα 21,22)
–  Δικαίωµα πληροφόρησης παραβίασης δεδοµένων
(άρθρο 34)

•  Προστασία από το σχεδιασµό (Privacy by Design)
(άρθρο 25)
–  Προγραµµατισµός των µηχανών µε προσανατολισµό
την προστασία της ιδιωτικότητας
•  Προστασία εξ’ορισµού (Privacy by Default) (άρθρο
25)
–  Ανάπτυξη συστηµάτων µε ρύθµιση την υποχρεωτική
διαγραφή, ψευδωνυµοποίηση ή ανωνυµοποίηση
δεδοµένων

•  Τήρηση λεπτοµερούς αρχείου δραστηριοτήτων
επεξεργασίας (άρθρο 30)
•  Γνωστοποίηση γεγονότος παραβίασης αµελλητί από τη
στιγµή που θα λάβει ο ίδιος γνώση (εντός 72) ωρών στην
αρµόδια εποπτική αρχή ή/και (υπό προϋποθέσεις στο
υποκείµενο
•  Θεσµός Υπευθύνου Προστασίας Δεδοµένων (άρθρα
37-39)

•  Σε κάθε δηµόσιο φορέα (εκτός από τα δικαστήρια στο
πλαίσιο των δικαιοδοτικών τους αρµοδιοτήτων, εάν τα
κράτη επιλέξουν να τα εξαιρέσουν) και σε κάθε ιδιωτικό
φορέα που λόγω της φύσης των δραστηριοτήτων τους
παρακολουθούν υποκείµενα δεδοµένων σε µεγάλη
κλίµακα ή επεξεργάζονται ευαίσθητα δεδοµένα, ορίζεται
ένα πρόσωπο ως ΥΠΔ. Αυτή/αυτός είναι µια εσωτερική
Αρχή Προστασίας Δεδοµένων που διασφαλίζει ότι η
δηµόσια υπηρεσία ή ο ιδιωτικός φορέας τηρεί τις
διατάξεις του Κανονισµού και συνεργάζεται µε την Εθνική
Αρχή Προστασίας για την τήρηση των διατάξεων.
Υπεύθυνος Προστασίας
Δεδοµένων

•  Καταγράφει τις διαδικασίες συλλογής, επεξεργασίας,
αποθήκευσης, µεταβίβασης κτλ.
•  Οργανώνει, συντάσσει εκθέσεις αποτίµησης κινδύνου
(Privacy Impact Assessments).
•  Σχεδιάζει εσωτερικές διαδικασίες & εργαλεία
συµµόρφωσης.
•  Σχεδιάζει διαδικασίες αντιµετώπισης κινδύνων /
παραβιάσεων / λοιπών περιστατικών και ενηµέρωσης.
•  Λογοδοτεί απέναντι στα υποκείµενα επεξεργασίας εάν
χρειαστεί.
•  Διαµορφώνει την αρχιτεκτονική του οικοδοµήµατος
προστασίας (by design & by default).
Ο Ρόλος του Υπευθύνου Προστασίας
Δεδοµένων

Ενδεικτικά βήµατα προς τη Συµµόρφωση

•  Ενηµέρωση Προσωπικού
–  Δηµιουργία κουλτούρας
•  Καταγραφή κινήσεων
–  Είδος δεδοµένων, ροές δεδοµένων, έλεγχοι
•  Επικοινωνία σχετικής πληροφορίας
–  Επαναπροσδιορισµός πολιτικών απορρήτου
•  Δικαιώµατα υποκειµένων
–  Διαδικασίες τήρησης δικαιωµάτων (διαγραφή,
ηλεκτρονική παροχή, σε κοινώς αποδεκτά
πρωτόκολλα)
Βήµατα προς τη Συµµόρφωση 1/4

•  Διαδικασίες αντιµετώπισης αιτηµάτων
–  Εντός νέων προθεσµιών
–  Νέα πρωτόκολλα (µορφότυποι, περιεχόµενο)
•  Νοµική βάση επεξεργασίας
–  Ροές (όροι & προϋποθέσεις)
–  Δέντρο αδειοδοτήσεων
–  Καταγραφή
•  Συναίνεση
–  Τρόπος αίτησης, λήψης καταγραφής

•  Προστασία Ανηλίκων
–  Συστήµατα προσδιορισµού ανηλίκων
–  Συστήµατα λήψης γονικής συγκατάθεσης
•  Παραβιάσεις
–  Διαδικασίες εντοπισµού, γνωστοποίησης, έρευνας
παραβιάσεων
•  PbD & PbD

•  Υπεύθυνος Προστασίας Δεδοµένων
–  Έλεγχος Συµµόρφωσης µε ΓΚΠΔ
•  Προσδιορισµός κατά τόπο αρµόδιας Αρχής

ΑΝΑΛΥΣΗ ΡΙΣΚΟΥ ΚΑΙ ΚΙΝΔΥΝΟΥ

Ο υπεύθυνος επεξεργασίας πρέπει να επιβεβαιώνει ότι
εφαρµόζεται µια διαδικασία για τη διεξαγωγή µιας
αξιολόγησης του κινδύνων προστασίας των δεδοµένων
(Data Protection Impact Assessment) σε όλες τις
επιχειρηµατικές µονάδες:
•  Πληροφορική,
•  Ανθρώπινο Δυναµικό,
•  Πωλήσεις,
•  Μάρκετινγκ,
•  Παραγωγή και Ανάπτυξη Προϊόντων, κλπ
New EU GDPR: Άρθρο 35 & Άρθρο 36
Εκτίµηση Επιπτώσεων
Προστασίας Δεδοµένων

Risk Assessment Process
Εντοπισμός Απειλών
Εντοπισμός Επιπτώσεων
Αξιολόγηση – Εκτίμηση
Επικινδυνότητας
Σχεδιασμός Ενεργειών
Διαχείρισης
Ανασκόπηση Ενεργειών

ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ
Ακεραιότητα

Διαθεσιμότητα
Εμπιστευ-
τικότητα

Δοµή – Απαιτήσεις ISO 27001
1. Αντικείµενο
2. Παραποµπές
3. Όροι και Ορισµοί
4. Πλαίσιο λειτουργίας οργανισµού
4.1 Κατανόηση οργανισµού και του πλαισίου
λειτουργίας του
4.2 Κατανόηση αναγκών και προσδοκιών
ενδιαφεροµένων µερών
4.3 Προσδιορισµός αντικειµένου του συστήµατος
διαχείρισης
4.4 Σύστηµα Διαχείρισης Ασφάλειας Πληροφοριών
5. Ηγεσία
5.1 Ηγεσία και δέσµευση
5.2 Πολιτική
5.3 Οργανωτικοί ρόλοι, υπευθυνότητες και
αρµοδιότητες
6. Σχεδιασµός
6.1 Ενέργειες αντιµετώπισης ρίσκων και ευκαιριών
6.2 Στόχοι Ασφάλειας Πληροφορίας και σχεδιασµός
επίτευξης τους
7. Υποστήριξη
7.1 Πόροι
7.2 Ικανότητα
7.3 Ενηµέρωση
7.4 Επικοινωνία
7.5 Τεκµηριωµένη πληροφορία
8. Λειτουργία
8.1 Σχεδιασµός και έλεγχος λειτουργίας
8.2 Αξιολόγηση Κινδύνων Πληροφορίας
8.3 Διαχείριση Κινδύνων Πληροφορίας
9. Αξιολόγηση απόδοσης
9.1 Παρακολούθηση, µέτρηση, ανάλυση και
αξιολόγηση
9.2 Εσωτερική επιθεώρηση
9.3 Ανασκόπηση από τη διοίκηση
10. Βελτίωση
10.1 Μη συµµόρφωση και διορθωτική ενέργεια
10.2 Συνεχής βελτίωση

ΑΝΤΑΣΦΑΛΙΣΤΙΚΗ
ΕΤΑΙΡΕΙΑ

•  Η αντασφαλιστική (reinsurer) εταιρεία ΑΑΑ παρέχει
υπηρεσίες για τις ασφαλιστικές εταιρείες.
•  Με τα χρόνια έχει συγκεντρώσει µεγάλες ποσότητες
προσωπικών δεδοµένων που αφορούν ένα µεγάλο
σύνολο ασφαλισµένων και των προσωπικών τους
δεδοµένων.
•  Θέλει τώρα να συνδυάζει δεδοµένα από διάφορους
πελάτες της σε µια ενιαία βάση δεδοµένων, ώστε να
µπορεί να τιµολογήσει τα προϊόντα της µε µεγαλύτερη
ακρίβεια.
Ερώτηµα: Μπορεί να το κάνει αυτό και πώς;
CASE STUDY: Αντασφαλιστική
Εταιρεία

Η αντασφαλιστική (reinsurer) εταιρεία ΑΑΑ πρέπει:
•  Να χρησιµοποιήσει διάφορες τεχνικές και να κάνει τα
δεδοµένα ανώνυµα
•  Να πάρει την έγκριση των ασφαλισµένων ατόµων πριν
από τη δηµιουργία της βάσης δεδοµένων
•  Να ενισχύσει τα δικά της µέτρα προστασίας και
ασφάλειας
•  Να έχει θέσει κανόνες προστασίας και ασφάλειας σε
συµφωνίες µε τρίτες ασφαλιστικές εταιρείες για αυτά τα
δεδοµένα
CASE STUDY: Αντασφαλιστική
Εταιρεία

Σχεδιο Δρασης IT

•  Η εταιρεία ‘ΑΖΧ’ (Τράπεζα) έχει 1000+ άτοµα
προσωπικό, χιλιάδες πελάτες και είναι καλά
οργανωµένη. Τα συστήµατα πληροφορικής είτε
αναπτύσσονται εντός της εταιρείας είτε αγοράζονται
έτοιµα.
•  Η ανώτατη διοίκηση και το Δ.Σ. ζήτησε από τον
Διευθυντή Πληροφορικής να προετοιµασθεί για την
προσαρµογή των συστηµάτων πληροφορικής της
εταιρείας στις απαιτήσεις του EU GDPR.
Τι πρέπει να κάνει (τι βήµατα/ενέργειες να σχεδιάσει και
να εκτελέσει αργότερα):
CASE STUDY: Σχέδιο Δράσης IT

1. Ενηµέρωση για τον Γενικό Κανονισµό Προστασίας
Δεδοµένων της Ευρωπαϊκής Ένωσης.
2. Εκπαίδευση προσωπικού πληροφορικής σε θέµατα
προστασίας δεδοµένων
3. Καταγραφή Συστηµάτων που περιέχουν Προσωπικά
Δεδοµένα
4. Συγκατάθεση Ατόµων
4.1. Ανάπτυξη, Δοκιµασία και Εφαρµογή Διαδικασίας
Συγκατάθεσης (Consent Procedure)
4.2. Ανάπτυξη, Δοκιµασία και Εφαρµογή Τεχνικού
Μηχανισµού Συγκατάθεσης (Platform for consent)

5. Δικαίωµα ‘Λήθης’ Ατόµων
‘Λήθης’ (Erase Procedure) Προσωπικών Δεδοµένων
Μηχανισµού ‘Λήθης’ Προσωπικών Δεδοµένων
(Platform for erasing personal data)
6. Παραβίαση Προσωπικών Δεδοµένων
παρακολούθησης παραβίασης Προσωπικών
Δεδοµένων
6.2. Ανάπτυξη, Δοκιµασία και Εφαρµογή
Μηχανισµού Αναφοράς (Reporting of Personal Data
Breaches)

7. Πρόσβαση Προσωπικών Δεδοµένων
Ικανοποίησης αιτηµάτων των ατόµων που τα
Προσωπικά τους Δεδοµένα τηρούνται από την
εταιρεία (Personal Data Access and Personal Data
Portability)

8. Μητρώα.
8.1. Μητρώο Προσωπικών Δεδοµένων Ατόµων
8.2. Μητρώο Παραβίασης Προσωπικών
Δεδοµένων
8.3. Εγχειρίδιο Επεξεργασίας Προσωπικών
Δεδοµένων
8.4. Εγχειρίδιο Ροών Προσωπικών Δεδοµένων
(Personal Data Flow Diagrams)
8.5. Μητρώο Συστηµάτων και Μέσων που
περιέχουν Προσωπικά Δεδοµένα (Systems, Servers,
Files, Data Bases, Media containing Personal Data)

9. Ταξινόµηση Δεδοµένων
9.1. Ανάπτυξη Πολιτικής Ταξινόµησης Δεδοµένων
(Data Classification Policy)
9.2. Ανάπτυξη, Δοκιµασία και Εφαρµογή
Διαδικασίας Ταξινόµησης Δεδοµένων (Data
Classification System)
(Software) Μηχανισµού Ταξινόµησης Δεδοµένων

10. Αναβάθµιση Εφαρµογών
10.1. Ανάλυση απαιτήσεων για προσθήκη ένδειξης
(privacy masks on data, file indicators, data
sensitivity flags, κλπ.) Προσωπικών Δεδοµένων σε
κάθε αρχείο (screen, report, file, data base) και
εφαρµογή που περιέχει Προσωπικά Δεδοµένα
10.2. Ανάπτυξη και Δοκιµασία Προγραµµάτων για
κάθε Εφαρµογή
10.3. Εφαρµογή των αλλαγών και ενηµέρωση των
αρχείων κάθε Εφαρµογής

11. Αναβάθµιση Πολιτικών/Διαδικασιών IT
11.1. Ένταξη εννοιών προστασίας δεδοµένων σε
όλες τις πολιτικές και την διαδικασίες
πληροφορικής (χρήσης τεχνολογίας encryption,
DLP, anonymity, masking, κλπ., ανάπτυξης
προγραµµάτων, ελέγχου δεδοµένων, οθονών,
δοκιµής εφαρµογών, αναφοράς, κλπ.)
11.2. Επισκόπηση και ενηµέρωση διαδικασιών
αντιγραφής, logging, network administration,
disaster recovery, κλπ.
11.3. Το προσωπικό IT να συµµορφώνεται, µέσω
γραπτής δέσµευσης για την προστασία
δεδοµένων.

12. Αναβάθµιση Περιβάλλοντος Δοκιµών
Πληροφορικής
12.1. Ένταξη εννοιών προστασίας δεδοµένων
(anonymity of data, privacy by design, κλπ.) στην
διαδικασία δοκιµής εφαρµογών
12.2. Δοκιµή Περιβάλλοντος για κάθε Εφαρµογή
13. Επισκόπηση Δραστηριοτήτων από Τρίτες Εταιρείες
13.1. Αναθεώρηση των υπηρεσιών τρίτων εταιρειών
για ένταξη εννοιών προστασίας δεδοµένων στην
διαδικασία επεξεργασίας προσωπικών δεδοµένων
της εταιρείας

ΠΡΟΤΕΙΝΟΜΕΝΗ ΜΕΘΟΔΟΛΟΓΙΑ (1/2)
1. ΚΑΤΑΓΡΑΦΗ ΔΕΔΟΜΕΝΩΝ
2. ΚΑΤΗΓΟΡΙΟΠΟΙΗΣΗ
ΔΕΔΟΜΕΝΩΝ
3. AUDIT ΥΠΟΔΟΜΩΝ
4. AUDIT ΔΙΑΔΙΚΑΣΙΩΝ

ΠΡΟΤΕΙΝΟΜΕΝΗ ΜΕΘΟΔΟΛΟΓΙΑ (2/2)
5. GAP ANALYSIS
6. RISK ASSESSMENT
7. ΣΧΕΔΙΑΣΜΟΣ ΠΟΛΙΤΙΚΩΝ,
ΔΙΑΔΙΚΑΣΙΩΝ & ΜΕΤΡΩΝ ΕΛΕΓΧΟΥ
ΚΑΙ ΑΠΟΤΡΟΠΗΣ
8. AUDIT ΕΦΑΡΜΟΓΗΣ

Crossreferencing of articles within the GDPR, created by Institute of Management for
Information Systems, 2016

ΕΡΩΤΗΣΕΙΣ

General Data Protection Regulation - AQS

Recommended

Recommended

More Related Content

Similar to General Data Protection Regulation - AQS

Similar to General Data Protection Regulation - AQS (20)

General Data Protection Regulation - AQS