Η σημασία της εκτίμησης επιπτώσεων στην προστασία προσωπικών δεδομένων Κωνσταντίνος Λιμνιώτης, Πληροφορικός, PhD., Ειδικός Επιστήμων ΑΠΔΠΧ, Λεωνίδας Ρούσσος, Πληροφορικός, MSc., Ειδικός Επιστήμων ΑΠΔΠΧ
Επισκόπηση παρουσίασης Οι έννοιες της ιδιωτικότητας και της προστασίας προσωπικών δεδομένων «Ενίσχυση» της προστασίας προσωπικών δεδομένων – Εκτίμηση επιπτώσεων (Data Protection Impact Assessment) Η σημασία της εκτίμησης επιπτώσεων – Ανάλυση διαδικασίας Έγκαιρη αναγνώριση ζητημάτων/κινδύνων ως προς την ιδιωτικότητα Υιοθέτηση της βέλτιστης δυνατής λύσης
Ιδιωτικότητα & προσωπικά δεδομένα Ιδιωτικότητα – The right to privacy is the right to be left alone (Brandeis, 1928) – The ability of the individual to control the terms under which personal information is acquired and used. (Westin A..F., 1967) Προστασία της ιδιωτικότητας – Θέσπιση κατάλληλου νομικού πλαισίου και εφαρμογή ειδικών τεχνικών και τεχνολογιών για την προάσπισή της Νομικό πλαίσιο προστασίας προσωπικών δεδομένων – Προϋποθέσεις νόμιμης επεξεργασίας – Δικαιώματα ατόμου / Υποχρεώσεις υπευθύνων – Ασφάλεια επεξεργασίας – Παροχή ενημέρωσης – … Ν. 2472/1997 – Ενσωμάτωση της 95/46/ΕΚ
Ιδιωτικότητα στις νέες τεχνολογίες Η προστασία προσωπικών δεδομένων είναι αναπόσπαστα συνδεδεμένη με την τεχνολογική εξέλιξη – Νέες τεχνολογίες αναδεικνύουν νέους κινδύνους για την ιδιωτικότητα Πιθανοί κίνδυνοι – Αποκάλυψη δεδομένων λόγω μη καλής σχεδίασης του συστήματος (π.χ. ανεπαρκής ανωνυμοποίηση / ψευδωνυμοποίηση) – Μη εξουσιοδοτημένη πρόσβαση στα δεδομένα λόγω μη κατάλληλων μέτρων ασφάλειας – Παρακολούθηση («tracking») ή δημιουργία προφίλ (profiling) του ατόμου – Συλλογή πολύ περισσότερων δεδομένων από ό,τι αναμένουν τα άτομα (π.χ. λόγω συσχέτισης διαφορετικών βάσεων δεδομένων)
Σχέδιο νέου Κανονισμού της ΕΕ Προς αντικατάσταση της Οδηγίας 95/46/ΕΚ – Στόχος η περαιτέρω ενίσχυση της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα Άρθρο 33 του νέου Κανονισμού: – Εάν οι πράξεις επεξεργασίας ενέχουν συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα λόγω της φύσης, της έκτασης ή των σκοπών τους, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, διενεργούν εκτίμηση των επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα. – Πότε η επεξεργασία ενέχει ειδικούς κινδύνους; Συστηματική αξιολόγηση προσωπικών πτυχών ενός προσώπου, με στόχο π.χ. την ανάλυση οικονομικής κατάστασης, των προσωπικών προτιμήσεων, της αξιοπιστίας ή της συμπεριφοράς του, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία και βάσει της οποίας λαμβάνονται μέτρα τα οποία παράγουν σημαντικές έννομες συνέπειες Επεξεργασία ευαίσθητων δεδομένων, εάν τα δεδομένα υποβάλλονται σε επεξεργασία για τη λήψη μέτρων ή αποφάσεων σε μεγάλη κλίμακα Συστήματα αρχειοθέτησης μεγάλης κλίμακας, τα οποία περιέχουν δεδομένα για παιδιά, γενετικά δεδομένα ή βιομετρικά δεδομένα
Η έννοια της εκτίμησης επιπτώσεων Εκτίμηση επιπτώσεων στην προστασία προσωπικών δεδομένων ( Data Protection Impact Assessment - DPIA): – Συστηματική διαδικασία εκτίμησης δυνητικών επιπτώσεων των κινδύνων – Στενά συνυφασμένη με την αρχή της «ιδιωτικότητας-ήδη-κατά-το-σχεδιασμό» (privacy-by-design principle) – Βοηθάει τους υπεύθυνους επεξεργασίας / εκτελούντες την επεξεργασία (π.χ. οργανισμοί / επιχειρήσεις) να αναγνωρίσουν και να αντιμετωπίσουν τους κινδύνους παραβίασης της προστασίας των προσωπικών δεδομένων κατά την ανάπτυξη νέων προϊόντων/υπηρεσιών/τεχνολογιών – Συντελεί στο να αναγνωρίζονται έγκαιρα, σε αρχικό στάδιο, τυχόν ζητήματα ιδιωτικότητας, έτσι ώστε η επίλυσή τους είναι αποτελεσματικότερη, πιο εύκολη, αλλά και με λιγότερο κόστος Πλέον, στο σχέδιο Κανονισμού γίνεται ειδική και ρητή αναφορά στην υποχρέωση εκτίμησης επιπτώσεων
Παράδειγμα: Τεχνολογίες RFID 2009: Σύσταση της ΕΕ για την εφαρμογή αρχών προστασίας της ιδιωτικής ζωής και των δεδομένων στις RFID εφαρμογές (τεχνολογία αναγνώρισης μέσω ραδιοσυχνοτήτων). 2011: Εκπρόσωποι του κλάδου υπέβαλαν, προς έγκριση, τελικό αναθεωρημένο Πλαίσιο για την εκτίμηση των επιπτώσεων στην ιδιωτικότητα από τις RFID εφαρμογές – Το πλαίσιο εγκρίθηκε από την Ομάδα Εργασίας του Άρθρου 29 για την προστασία των δεδομένων (Γνώμη 9/2011 – Ο.Ε. 29) – Υποχρέωση εκπόνησης DPIA οποτεδήποτε η RFID εφαρμογή επεξεργάζεται καθ’ οιονδήποτε τρόπο προσωπικά δεδομένα ή τα δεδομένα της μπορούν να διασυνδεθούν με προσωπικά δεδομένα Το Πλαίσιο αποτελεί βασικό οδηγό: – Αποτυπώνονται κίνδυνοι που ανακύπτουν ως προς την παραβίαση της ιδιωτικότητας, οι οποίοι πρέπει να λαμβάνονται υπόψη κατά την κατάρτιση μίας DPIA – Καταγράφονται μέτρα για την αντιμετώπιση των ανωτέρω κινδύνων
Παράδειγμα: «Ευφυή» δίκτυα Αναβαθμισμένα ενεργειακά δίκτυα, στα οποία έχει προστεθεί αμφίδρομη ψηφιακή επικοινωνία μεταξύ προμηθευτή και καταναλωτή, καθώς και έξυπνα συστήματα μέτρησης, παρακολούθησης και ελέγχου Παρέχουν δυνατότητα επεξεργασίας ολοένα μεγαλύτερου όγκου δεδομένων και διευκολύνουν την πρόσβαση σε προσωπικά δεδομένα από ευρύτερο πλήθος αποδεκτών από ό,τι σήμερα, με αποτέλεσμα πρωτόγνωρους κινδύνους (Γνώμη 12/2011 της Ο.Ε. 29) Οι κίνδυνοι είναι δυνατό να ενταθούν μελλοντικά, εάν συνδυαστούν με στοιχεία από άλλες πηγές, όπως συστήματα γεωγραφικού εντοπισμού και συστήματα ανίχνευσης ραδιοσυχνοτήτων – RFID (Γνώμη 04/2013 της Ο.Ε. 29) Σύσταση 2012/48/ΕΕ: προαναγγέλλεται η εκπόνηση από την Επιτροπή υποδείγματος για την εκτίμηση των επιπτώσεων στην προστασία δεδομένων, το οποίο θα υποβληθεί στην Ο.Ε. 29 – Για το αναθεωρημένο υπόδειγμα εκδόθηκε η Γνώμη 07/2013 της Ο.Ε. 29 Σύσταση 2014/724/ΕΕ: Τα κράτη μέλη θα πρέπει να υποστηρίξουν τη διοργάνωση φάσης δοκιμών με εφαρμογές σε πραγματικές συνθήκες – αξιολόγησή τους με την πάροδο δύο ετών
Κατηγοριοποίηση Μελέτη επιπτώσεων ευρείας κλίμακας (full-scale DPIA) – Χρήση τεχνολογιών «επεμβατικών» ως προς την ιδιωτικότητα (RFID εφαρμογές, συστήματα GPS, βιομετρικά συστήματα, «έξυπνες» κάρτες κ.α.) – Διασύνδεση/συσχέτιση διαφορετικών βάσεων δεδομένων, διαφορετικών οργανισμών – Επεξεργασία «κρίσιμων» δεδομένων (π.χ. ευαίσθητων δεδομένων) – Επεξεργασία που αφορά μεγάλο πλήθος ατόμων – … Μελέτη επιπτώσεων χαμηλής κλίμακας (small-scale DPIA) – Λιγότερο ενδελεχής – αφορά υπο-τμήμα της συνολικής επεξεργασίας (συστήματος) Π.χ. χρειάζεται πριν την τροποποίηση υπάρχουσας τεχνολογίας, για την οποία έχει προηγηθεί μελέτη επιπτώσεων ευρείας κλίμακας
Σε ποιο στάδιο διενεργείται η DPIA; Πριν τη σχεδίαση/ανάπτυξη της νέας υπηρεσίας ή τεχνολογίας Σε κάθε μελλοντική τροποποίηση της υπηρεσίας / τεχνολογίας, πρέπει να εξετάζεται αν χρήζει εκ νέου να πραγματοποιηθεί Μπορεί να εντάσσεται σε μία γενικότερη συστηματική διαδικασία ανάλυσης επικινδυνότητας (risk analysis), η οποία είναι συνεχής Οι έλεγχοι συμμόρφωσης με τη νομοθεσία προστασίας προσωπικών δεδομένων (data protection compliance checks) αποτελούν ξεχωριστή διακριτή διαδικασία Αρχική αποτίμηση Full-scale DPIA? ΝΑΙ Full-scale DPIA & Έλεγχος συμμόρφωσης ΟΧΙ Small-scale DPIA? Small-scale DPIA & Έλεγχος συμμόρφωσης ΝΑΙ ΟΧΙ Έλεγχος συμμόρφωσης
Βήματα Ανάλυση της απαίτησης Περιγραφή της ροής της πληροφορίας Προσδιορισμός των κίνδυνων Αξιολόγηση των μέτρων προστασίας Απόφαση και επικύρωση Ενσωμάτωση των αποτελεσμάτων στον κύκλο ζωής του πληροφοριακού συστήματος
Χρειάζεται; Ν. 2472/97, Αρ.10 –Τα μέτρα προστασίας πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους Ενδεικτικά, σχ. Καν. Αρ. 33 –Τεχνολογία που θεωρείται παρεμβατική (π.χ. βιομετρικά, αναγνώριση προσώπου/πινακίδας) –Επεξεργασία ευαίσθητων προσωπικών δεδομένων Επίσης, ανάλογα με –Είδος δεδομένων Αριθμός ταυτότητας/ ΑΜΚΑ/ ΑΦΜ/ κτλ. Οικονομικά … –Αριθμός υποκειμένων –Αριθμός τελικών χρηστών των πληροφοριακών συστημάτων /Τηλεπικοινωνίες που εμπλέκονται –Συχνότητα μεταβολών της λειτουργικότητας του πληροφοριακού συστήματος –Μέγιστη ανεκτή μη διαθεσιμότητα των βασικών πληροφοριακών πόρων –Διασυνοριακή ροή δεδομένων Πότε; –Νέο πληροφοριακό σύστημα –Διαμοιρασμός προσωπικών δεδομένων ανάμεσα σε οργανισμούς –Νέο σύστημα παρακολούθησης / νέα δυνατότητα (π.χ. αναγνώριση πινακίδας) –Υπάρχουσα ή νέα νομοθεσία /πολιτική που έχει επίπτωση στην προστασία δεδομένων μέσω της συλλογής /επεξεργασίας τους (π.χ. παρακολούθηση, κτλ.)
Αποτύπωση της ροής της πληροφορίας Περιγραφή –Πώς η πληροφορία συλλέγεται, επεξεργάζεται, αποθηκεύεται και διαγράφεται –Ποιός έχει πρόσβαση Με χρήση διαγράμματος ροής δεδομένων ή άλλη σχετική απεικόνιση Βοηθητική τεκμηρίωση: –Αποτελέσματα ελέγχων πληροφοριακών συστημάτων –Μητρώα πληροφοριακών αγαθών
Αγαθά και Προστασία Αγαθό –Βάσεις δεδομένων/ Εφαρμογές/ Υλικό/ Λογισμικό Προστασία έναντι –τυχαίας ή αθέμιτης καταστροφής –τυχαίας απώλειας –αλλοίωσης –απαγορευμένης διάδοσης ή πρόσβασης –Επίσης, αν τα δεδομένα Δεν είναι ακριβή /επαρκή /ενημερωμένα Είναι υπερβολικά ή όχι σχετικά Διατηρούνται για περισσότερο χρόνο από όσο χρειάζεται Χρησιμοποιούνται με τρόπους απαράδεκτους ή απρόσμενους για το υποκείμενο των δεδομένων Απειλή –Οτιδήποτε μπορεί να αποκτήσει, φθείρει ή καταστρέψει ένα αγαθό Εκούσια ή ακούσια, εσωτερική ή εξωτερική –Εξαρτάται από τα μέσα, την δυνατότητα και το κίνητρο που διαθέτει
Πιθανότητα και Ευπάθεια Πιθανότητα παραβίασης της προστασίας ενός αγαθού Ευπάθεια –Αναποτελεσματικότητα ή ανεπάρκεια μέτρων προστασίας ΠιθανότηταΕυπάθεια Αξιολόγηση ΑπειλήςΥψηλήΜεσαίαΧαμηλή Υψηλή Μεσαία Χαμηλή
Κίνδυνοι και επιπτώσεις Κίνδυνος επίπτωσης στην ιδιωτικότητα Επίπτωση –Προκύπτει βλάβη στα υποκείμενα οικονομική υγείας υποκλοπή ταυτότητας … –Ο οργανισμός δεν μπορεί να ικανοποιήσει τα δικαιώματα των υποκειμένων –Επιβολή ρυθμιστικών κυρώσεων, μηνύσεις –Απώλεια αξιοπιστίας οργανισμού ΚίνδυνοςΕπίπτωση ΠιθανότηταΥψηλήΜεσαίαΧαμηλή ΥψηλήΥψηλόςΜεσαίοςΧαμηλός ΜεσαίαΜεσαίος Χαμηλός ΧαμηλήΧαμηλός
Παραδείγματα επιπτώσεων Ανεπαρκή μέτρα ασφάλειας Παραβίαση της ασφάλειας στα δεδομένα Απώλεια ή διαρροή προσωπικών δεδομένων Μηνύσεις Παρεμβατικά μέτρα παρακολούθησης (π.χ. Βιομετρικά) Αυξημένος προβληματισμός /αποστροφή του κόσμου Δυσπιστία του κόσμου για τον τρόπο χρήσης της προσωπικής πληροφορίας Βλάβη φήμης και απώλεια εσόδων Διαμοιρασμός και συνένωση βάσεων δεδομένων Επεξεργασία μεγαλύτερη της αναμενόμενης Μη προσδιορισμένος/ κατάλληλος χρόνος διατήρησης Διατήρηση δεδομένων πέραν του αναμενομένου Έλλειψη συμμόρφωσης με την νομοθεσία Κυρώσεις, πρόστιμα και μείωση δημοτικότητας Προβλήματα που αναγνωρίζονται αφού έχει υλοποιηθεί το έργο Δαπανηρή επιδιόρθωση
Μέτρα προστασίας Μη συλλογή / χρήση συγκεκριμένων δεδομένων Ανάπτυξη συστημάτων ενημέρωσης & πρόσβασης των υποκειμένων στα δεδομένα τους –Έγγραφη / Ηλεκτρονική διαδικασία Κατάλληλες περίοδοι διατήρησης δεδομένων και ασφαλής καταστροφή μετά την παρέλευσή τους –Οδηγία 1/2005 Μέτρα ασφάλειας Επαρκή τεχνικά μέτρα ασφάλειας –Προληπτικά ή κατασταλτικά, αυτόματα ή χειροκίνητα Π.χ. αυθεντικοποίηση χρήστη ή καταγραφή ενεργειών, λήψη αντιγράφων ασφαλείας –Πρότυπα/ Πολιτικές ασφάλειας ISO Πολιτική και Σχέδιο Ασφάλειας Εκπαίδευση προσωπικού Χρήση μεθόδων ανωνυμοποίησης Επιλογή εκτελούντων την επεξεργασία που παρέχουν υψηλότερο βαθμό ασφάλειας –Σύναψη κατάλληλων συμβάσεων με σχετικές ρήτρες εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας Διαμοιρασμός δεδομένων μέσω συμβάσεων –Ποια δεδομένα διαμοιράζονται, με ποιους και με ποιον τρόπο –Πρότυπες συμβατικές ρήτρες, Σύστημα ασφαλούς λιμένα
Αξιολόγηση Εκτίμηση κινδύνων και κόστους - ωφέλειας –95/46/ΕΚ:«Τα μέτρα αυτά πρέπει να εξασφαλίζουν, λαμβανομένης υπόψη της τεχνολογικής εξέλιξης και του κόστους εφαρμογής τους, επίπεδο ασφαλείας ανάλογο προς τους κινδύνους» –Π.χ. νέο λογισμικό ασφαλείας Κόστος –χρήσης, αδειών, εκπαίδευσης, υλικού Ωφέλεια –μεγαλύτερη διασφάλιση έναντι παραβίασης –μικρότερος κίνδυνος ρυθμιστικών κυρώσεων /ζημιάς στην δημοτικότητα Καταγραφή του υπεύθυνου που αξιολογεί τα μέτρα ασφάλειας και επικυρώνει κάθε υπολειπόμενο κίνδυνο ΚίνδυνοςΜέτρο προστασίαςΑποτέλεσμα: α) Μείωση, β) Εξάλειψη ή γ) Αποδοχή κινδύνου Αξιολόγηση
Ευχαριστούμε!