Η σημασία της εκτίμησης επιπτώσεων στην προστασία προσωπικών δεδομένων Κωνσταντίνος Λιμνιώτης, Πληροφορικός, PhD., Ειδικός Επιστήμων ΑΠΔΠΧ, Λεωνίδας Ρούσσος,

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
1 Χ Ο υπό έκδοση νόμος για τις υπηρεσίες πληρωμών στην εσωτερική αγορά Χρήστος Βλ. Γκόρτσος Αναπληρωτής Kαθηγητής Διεθνούς Οικονομικού Δικαίου, Πάντειο.
Advertisements

ΤΡΟΠΟΣ ΑΞΙΟΛΟΓΗΣΗΣ ΤΩΝ ΟΡΓΑΝΩΤΙΚΩΝ ΚΑΙ ΔΙΟΙΚΗΤΙΚΩΝ ΔΕΞΙΟΤΗΤΩΝ ΤΟΥ ΟΡΓΑΝΙΣΜΟΥ  Εκπαιδευτικό Κεφάλαιο 1.1 Τεχνικές δεξιότητες και προσόντα.
Εκπαίδευση Leonardo da Vinci. Παράμετροι που λαμβάνονται υπ’ όψη (1) • Η Παραγωγή ασφαλών τροφίμων είναι το αποτέλεσμα ομαδικών προσπαθειών αλλά και κοινωνικής.
Ηλεκτρονικός Φάκελος Υγείας
ΕΙΔΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΔΙΟΙΚΗΤΙΚΗΣ ΜΕΤΑΡΡΥΘΜΙΣΗΣ ΥΠΟΥΡΓΕΙΟ ΕΣΩΤΕΡΙΚΩΝ, ΑΠΟΚΕΝΤΡΩΣΗΣ ΚΑΙ ΗΛΕΚΤΡΟΝΙΚΗΣ ΔΙΑΚΥΒΕΡΝΗΣΗΣ 14 Δεκεμβρίου 2010, Αθήνα 2η Σύνοδος Διευθυντών.
Ελληνική Ένωση Διαπιστευμένων Φορέων Επιθεώρησης- Πιστοποίησης ΕΠΟΠΤΕΙΑ ΤΗΣ ΑΓΟΡΑΣ ΔΟΜΙΚΩΝ ΥΛΙΚΩΝ ΜΟΧΛΟΣ ΓΙΑ ΤΗΝ ΟΙΚΟΝΟΜΙΚΗ ΑΝΑΠΤΥΞΗ 02 Μαΐου 2011 ΣΑΒΒΑΣ.
Περιβαλλοντική Πιστοποίηση Λιμένων
ΨΗΦΙΟΠΟΙΗΣΗ ΚΑΙ ΠΟΛΙΤΙΣΤΙΚΑ ΜΕΣΑ
ΠΜΣ ΠΡΟΗΓΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΚΗΣ Κατεύθυνση ΤΕΔΑ Τεχνολογίες Διαχείρισης Ασφάλειας Security Management Engineering Τμήμα Πληροφορικής ΠΑΝΕΠΙΣΤΗΜΙΟ.
Κατηγορίες κινδύνων Μικροβιολογικοί, Χημικοί, Φυσικοί
Ορθές Πρακτικές Διανομής Φαρμάκων
ΚΕΝΤΡΟ ΠΟΛΙΤΙΣΜΙΚΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΙΝΣΤΙΤΟΥΤΟ ΠΛΗΡΟΦΟΡΙΚΗΣ ΙΤΕ 21,23/2/2005Πληροφοριακή σχεδίαση για πολιτισμική τεκμηρίωση και διαλειτουργικότητα1 Τεκμηρίωση.
ΚΑΤΑΣΤΑΤΙΚΟΣ ΧΑΡΤΗΣ ΥΠΟΧΡΕΩΣΕΩΝ ΤΩΝ ΔΗΜΟΤΙΚΩΝ ΑΡΧΩΝ ΕΝΑΝΤΙ ΤΩΝ ΠΟΛΙΤΩΝ ΣΤΗΝ «ΚΟΙΝΩΝΙΑ ΤΗΣ ΓΝΩΣΗΣ» ΕΙΣΗΓΗΤΗΣ:ΜΟΧΙΑΝΑΚΗΣ ΚΩΣΤΗΣ ΠΡΟΪΣΤΑΜΕΝΟΣ ΠΛΗΡΟΦΟΡΙΚΗΣ.
Μοντέλο Διδασκαλίας Φυσικών Επιστήμων, για την Υποχρεωτική Εκπαίδευση, στην Κατεύθυνση της Ανάπτυξης Γνώσεων και Ικανοτήτων. Π. Κουμαράς.
Σύμφωνα με τον ΣΕΒ, αναμένεται να παρουσιάσουν ζήτηση μέχρι το 2020 Πηγή:
Χρησιμότητα & Τρόποι Αξιοποίησης από τους Διαπραγματευτές των μερών
ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ
Ε.Ψ.Ε.Π.Α. (ΕΠΙΤΡΟΠΗ ΓΙΑ ΤΗΝ ΨΗΦΙΟΠΟΙΗΣΗ ΤΟΥ ΕΛΛΗΝΙΚΟΥ ΠΟΛΙΤΙΣΤΙΚΟΥ ΑΠΟΘΕΜΑΤΟΣ) ΤΙ ΕΙΝΑΙ; ΜΕ ΤΙ ΑΣΧΟΛΕΙΤΑΙ; ΤΑ ΜΕΛΗ ΤΗΣ Η ΔΟΜΗ ΤΗΣ.
ΟΔΗΓΟΣ ΨΗΦΙΟΠΟΙΗΣΗΣ ΔΙΣΔΙΑΣΤΑΤΩΝ ΕΙΚΟΝΩΝ ΚΑΙ ΤΡΙΣΔΙΑΣΤΑΤΩΝ ΚΙΝΗΤΩΝ ΚΑΙ ΑΚΙΝΗΤΩΝ ΑΝΤΙΚΕΙΜΕΝΩΝ ΕΡΓΑΣΙΑ ΣΤΟ ΜΑΘΗΜΑ: ΨΗΦΙΑΚΕΣ ΒΙΒΛΙΟΘΗΚΕΣ ΡΟΚΙΔΗ ΧΡΥΣΟΥΛΑ-ΔΙΟΝΥΣΙΑ.
Εισαγωγή στην Αξιολόγηση Έργων Πληροφορικής Στρατηγική και Οικονομική των Π.Σ. Βέμου Κωνσταντίνα Τσάμα Ριγκέρς.
ΕΙΣΑΓΩΓΗ ΣΤΑ ΓΕΩΓΡΑΦΙΚΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΩΝ
ΑΘΗΝΑ 5 ΟΚΤΩΒΡΙΟΥ 2006 ΔΙΑΧΕΙΡΙΣΤΙΚΗ ΑΡΧΗ ΚΠΣ ΚΡΙΤΗΡΙΑ ΔΙΑΧΕΙΡΙΣΤΙΚΗΣ ΕΠΑΡΚΕΙΑΣ ΔΙΚΑΙΟΥΧΩΝ ΠΡΟΓΡΑΜΜΑΤΙΚΗΣ ΠΕΡΙΟΔΟΥ
Διαχείριση Έργων Πληροφορικής
Open Archive Information System (OAIS) Ηλεκτρονική δημοσίευση Διδάσκων : Σαράντος Καπιδάκης Χρυσάνθη Κλωνή.
Powerpoint Templates Heal-Legal: Ανάπτυξη Υπηρεσιών Νομικής Συμβουλευτικής για Θέματα Πνευματικής Ιδιοκτησίας που αφορούν στα Ελληνικά Ακαδημαϊκά Ιδρύματα.
Ασφάλεια Δικτύων. “Αγαθά” πληροφοριακού συστήματος Δεδομένα Πληροφορίες Υπολογιστικοί πόροι.
ΕΙΣΑΓΩΓΗ ΣΤΟ ΔΙΚΑΙΟ ΤΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ
Τεχνολογία ΛογισμικούSlide 1 Τεχνολογία Απαιτήσεων u Καθορίζει τι θέλει ο πελάτης από ένα σύστημα λογισμικού.
Ορισμός Έργου Δρ. Α. Ραφαηλίδης Τμ. Διοίκησης Επιχειρήσεων (Πάτρα) ΤΕΙ Δυτ. Ελλάδας.
Φιλολογία και Ψηφιακές Ερευνητικές Υποδομές: Από τη Θεωρία στην Πράξη Λεωνίδας Παπαχριστόπουλος Νεφέλη Χατζηδιάκου
ΣΧΕΔΙΑ ΑΣΦΑΛΕΙΑΣ ΝΕΡΟΥ
Δεσμευτικοί Εταιρικοί Κανόνες (Binding Corporate Rules): Από τη θεωρία στην πράξη Φαίη Καρβέλα, Δικηγόρος, LL.M., Ειδική Επιστήμων ΑΠΔΠΧ Θεοδώρα Τουτζιαράκη,
Μέρος 1 Εισαγωγή στα Πληροφοριακά Συστήματα. 22/9/20162 Περιεχόμενα  Βασικές έννοιες Πληροφοριακών Συστημάτων  Απαιτήσεις των σύγχρονων επιχειρήσεων.
Επιχειρησιακές Επικοινωνίες και Δημόσιες Σχέσεις Αθανάσιος Σ. Δερμετζόπουλος, MSc. Τμήμα Διοίκησης Επιχειρήσεων Κατ. Διοίκησης Τουριστικών.
ΟΡΙΣΜΟΣ Λογιστική είναι ο κλάδος της εφαρμοσμένης Οικονομικής επιστήμης που ασχολείται με την ανάλυση, κατάταξη, καταγραφή και συσχέτιση των οικονομικών.
Επισκόπηση της πρόσφατης νομολογίας της Αρχής σε θέματα επεξεργασίας ευαίσθητων δεδομένων υγείας Χαρίκλεια Ζ. Λάτσιου Δ.Ν. Δικηγόρος Ειδική Επιστήμων ΑΠΔΠΧ.
Επιχειρησιακό Πρόγραμμα Μακεδονίας - Θράκης ΕΠΙΒΕΒΑΙΩΣΗ ΔΙΑΧΕΙΡΙΣΤΙΚΗΣ ΕΠΑΡΚΕΙΑΣ ΔΙΚΑΙΟΥΧΩΝ.
ΟΟΣΑ Αξιολόγηση Συνθηκών Ανταγωνισμού στην Ελληνική νομοθεσία Τομέας ηλεκτρονικού εμπορίου Συστάσεις ΟΟΣΑ.
Κανόνες για τις συμφωνίες οριζόντιας συνεργασίας Δημήτρης Λουκάς Αντιπρόεδρος Επιτροπής Ανταγωνισμού Πρόγραμμα Επιμόρφωσης Εθνικών Δικαστών – Ε. Ε. Αθήνα,
ΒΑΜΕ: Σχέδια Αντιμετώπισης και Περιορισμός Επιπτώσεων μέσω Χωροταξικού Σχεδιασμού Αθηνά Πρόγιου Φυσικός D.E.A. Δρ. Μηχανολόγος Μηχανικός.
Ε.Ε.ΚΟΥΣΚΟΥΝΑ.
ΣΥΜΒΑΣΕΙΣ ΔΙΑΣΦΑΛΙΣΗΣ ΕΠΙΠΕΔΟΥ ΠΟΙΟΤΗΤΑΣ ΥΠΗΡΕΣΙΩΝ (ΣΔΕΠΥ - SLA)
Ηλεκτρονική Διαχείριση & Αρχειοθέτηση Εγγράφων
Νομικά Θέματα Πληροφορικής
ΘΕΩΡΙΕΣ ΛΗΨΗΣ ΑΠΟΦΑΣΗΣ
Υπουργείο Οικονομίας & Ανάπτυξης
Επιχειρηματικός Σχεδιασμός
Έννοια και τρόπος διαχείρισης του Επιχειρηματικού κινδύνου (ΕΚ)
ΑΣΦΑΛΕΙΑ ΙΑΤΡΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Διαχείριση Διακινδύνευσης
Συνέδριο Κοπενχάγης 7 – 18 Δεκεμβρίου 2009.
ΕΦΑΡΜΟΓΗ ΤΗΣ ΝΟΣΗΛΕΥΤΙΚΗΣ ΦΡΟΝΤΙΔΑΣ - ΑΞΙΟΛΟΓΗΣΗ ΤΩΝ ΑΠΟΤΕΛΕΣΜΑΤΩΝ
ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ
ΣΥΣΤΗΜΑ ΠΟΙΟΤΗΤΑΣ ΛΟΓΙΣΜΙΚΟΥ (QUALITY SYSTEM)
Διαχείριση Κινδύνου Ενότητα 3: Σχέδιο Διαχείρισης Κινδύνου.
ΔΕΔΟΜΕΝΑ – ΠΛΗΡΟΦΟΡΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗ
Πρόταση υιοθέτησης προγραμματικής συμφωνίας για την υλοποίηση έργων
Το κόστος Ποιότητας    
ΔΙΟΙΚΗΣΗ ΟΛΙΚΗΣ ΠΟΙΟΤΗΤΑΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΠΕΡΙΒΑΛΛΟΝΤΟΣ
ΕΛΠΕ - Πρόκληση και Άσκηση Αυτογνωσίας
Cyber Risk Insurance Front Line S.A. Insurance Brokers.
Επαγγελματικό Επιμελητήριο Αθηνών, 28 Μαρτίου 2018
Παντείου Πανεπιστημίου
Απαραίτητες ενέργειες των επιχειρήσεων για τη συμμόρφωση με τον GDPR
7. ΚτΠ και προστασία των θεμελιωδών δικαιωμάτων
Αξιολόγηση της επίδοσης ενός οργανισμού σε θέματα ασφάλειας
ΕΠΙΧΕΙΡΗΣΙΑΚΟΣ ΚΙΝΔΥΝΟΣ
Συμμόρφωση με τον GDPR από την Νόπη Τιντζογλίδου
GDPR (General Data Protection Regulation)
ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Μεταγράφημα παρουσίασης:

Η σημασία της εκτίμησης επιπτώσεων στην προστασία προσωπικών δεδομένων Κωνσταντίνος Λιμνιώτης, Πληροφορικός, PhD., Ειδικός Επιστήμων ΑΠΔΠΧ, Λεωνίδας Ρούσσος, Πληροφορικός, MSc., Ειδικός Επιστήμων ΑΠΔΠΧ

Επισκόπηση παρουσίασης Οι έννοιες της ιδιωτικότητας και της προστασίας προσωπικών δεδομένων «Ενίσχυση» της προστασίας προσωπικών δεδομένων – Εκτίμηση επιπτώσεων (Data Protection Impact Assessment) Η σημασία της εκτίμησης επιπτώσεων – Ανάλυση διαδικασίας Έγκαιρη αναγνώριση ζητημάτων/κινδύνων ως προς την ιδιωτικότητα Υιοθέτηση της βέλτιστης δυνατής λύσης

Ιδιωτικότητα & προσωπικά δεδομένα Ιδιωτικότητα – The right to privacy is the right to be left alone (Brandeis, 1928) – The ability of the individual to control the terms under which personal information is acquired and used. (Westin A..F., 1967) Προστασία της ιδιωτικότητας – Θέσπιση κατάλληλου νομικού πλαισίου και εφαρμογή ειδικών τεχνικών και τεχνολογιών για την προάσπισή της Νομικό πλαίσιο προστασίας προσωπικών δεδομένων – Προϋποθέσεις νόμιμης επεξεργασίας – Δικαιώματα ατόμου / Υποχρεώσεις υπευθύνων – Ασφάλεια επεξεργασίας – Παροχή ενημέρωσης – … Ν. 2472/1997 – Ενσωμάτωση της 95/46/ΕΚ

Ιδιωτικότητα στις νέες τεχνολογίες Η προστασία προσωπικών δεδομένων είναι αναπόσπαστα συνδεδεμένη με την τεχνολογική εξέλιξη – Νέες τεχνολογίες αναδεικνύουν νέους κινδύνους για την ιδιωτικότητα Πιθανοί κίνδυνοι – Αποκάλυψη δεδομένων λόγω μη καλής σχεδίασης του συστήματος (π.χ. ανεπαρκής ανωνυμοποίηση / ψευδωνυμοποίηση) – Μη εξουσιοδοτημένη πρόσβαση στα δεδομένα λόγω μη κατάλληλων μέτρων ασφάλειας – Παρακολούθηση («tracking») ή δημιουργία προφίλ (profiling) του ατόμου – Συλλογή πολύ περισσότερων δεδομένων από ό,τι αναμένουν τα άτομα (π.χ. λόγω συσχέτισης διαφορετικών βάσεων δεδομένων)

Σχέδιο νέου Κανονισμού της ΕΕ Προς αντικατάσταση της Οδηγίας 95/46/ΕΚ – Στόχος η περαιτέρω ενίσχυση της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα Άρθρο 33 του νέου Κανονισμού: – Εάν οι πράξεις επεξεργασίας ενέχουν συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα λόγω της φύσης, της έκτασης ή των σκοπών τους, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, διενεργούν εκτίμηση των επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα. – Πότε η επεξεργασία ενέχει ειδικούς κινδύνους; Συστηματική αξιολόγηση προσωπικών πτυχών ενός προσώπου, με στόχο π.χ. την ανάλυση οικονομικής κατάστασης, των προσωπικών προτιμήσεων, της αξιοπιστίας ή της συμπεριφοράς του, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία και βάσει της οποίας λαμβάνονται μέτρα τα οποία παράγουν σημαντικές έννομες συνέπειες Επεξεργασία ευαίσθητων δεδομένων, εάν τα δεδομένα υποβάλλονται σε επεξεργασία για τη λήψη μέτρων ή αποφάσεων σε μεγάλη κλίμακα Συστήματα αρχειοθέτησης μεγάλης κλίμακας, τα οποία περιέχουν δεδομένα για παιδιά, γενετικά δεδομένα ή βιομετρικά δεδομένα

Η έννοια της εκτίμησης επιπτώσεων Εκτίμηση επιπτώσεων στην προστασία προσωπικών δεδομένων ( Data Protection Impact Assessment - DPIA): – Συστηματική διαδικασία εκτίμησης δυνητικών επιπτώσεων των κινδύνων – Στενά συνυφασμένη με την αρχή της «ιδιωτικότητας-ήδη-κατά-το-σχεδιασμό» (privacy-by-design principle) – Βοηθάει τους υπεύθυνους επεξεργασίας / εκτελούντες την επεξεργασία (π.χ. οργανισμοί / επιχειρήσεις) να αναγνωρίσουν και να αντιμετωπίσουν τους κινδύνους παραβίασης της προστασίας των προσωπικών δεδομένων κατά την ανάπτυξη νέων προϊόντων/υπηρεσιών/τεχνολογιών – Συντελεί στο να αναγνωρίζονται έγκαιρα, σε αρχικό στάδιο, τυχόν ζητήματα ιδιωτικότητας, έτσι ώστε η επίλυσή τους είναι αποτελεσματικότερη, πιο εύκολη, αλλά και με λιγότερο κόστος Πλέον, στο σχέδιο Κανονισμού γίνεται ειδική και ρητή αναφορά στην υποχρέωση εκτίμησης επιπτώσεων

Παράδειγμα: Τεχνολογίες RFID 2009: Σύσταση της ΕΕ για την εφαρμογή αρχών προστασίας της ιδιωτικής ζωής και των δεδομένων στις RFID εφαρμογές (τεχνολογία αναγνώρισης μέσω ραδιοσυχνοτήτων). 2011: Εκπρόσωποι του κλάδου υπέβαλαν, προς έγκριση, τελικό αναθεωρημένο Πλαίσιο για την εκτίμηση των επιπτώσεων στην ιδιωτικότητα από τις RFID εφαρμογές – Το πλαίσιο εγκρίθηκε από την Ομάδα Εργασίας του Άρθρου 29 για την προστασία των δεδομένων (Γνώμη 9/2011 – Ο.Ε. 29) – Υποχρέωση εκπόνησης DPIA οποτεδήποτε η RFID εφαρμογή επεξεργάζεται καθ’ οιονδήποτε τρόπο προσωπικά δεδομένα ή τα δεδομένα της μπορούν να διασυνδεθούν με προσωπικά δεδομένα Το Πλαίσιο αποτελεί βασικό οδηγό: – Αποτυπώνονται κίνδυνοι που ανακύπτουν ως προς την παραβίαση της ιδιωτικότητας, οι οποίοι πρέπει να λαμβάνονται υπόψη κατά την κατάρτιση μίας DPIA – Καταγράφονται μέτρα για την αντιμετώπιση των ανωτέρω κινδύνων

Παράδειγμα: «Ευφυή» δίκτυα Αναβαθμισμένα ενεργειακά δίκτυα, στα οποία έχει προστεθεί αμφίδρομη ψηφιακή επικοινωνία μεταξύ προμηθευτή και καταναλωτή, καθώς και έξυπνα συστήματα μέτρησης, παρακολούθησης και ελέγχου Παρέχουν δυνατότητα επεξεργασίας ολοένα μεγαλύτερου όγκου δεδομένων και διευκολύνουν την πρόσβαση σε προσωπικά δεδομένα από ευρύτερο πλήθος αποδεκτών από ό,τι σήμερα, με αποτέλεσμα πρωτόγνωρους κινδύνους (Γνώμη 12/2011 της Ο.Ε. 29) Οι κίνδυνοι είναι δυνατό να ενταθούν μελλοντικά, εάν συνδυαστούν με στοιχεία από άλλες πηγές, όπως συστήματα γεωγραφικού εντοπισμού και συστήματα ανίχνευσης ραδιοσυχνοτήτων – RFID (Γνώμη 04/2013 της Ο.Ε. 29) Σύσταση 2012/48/ΕΕ: προαναγγέλλεται η εκπόνηση από την Επιτροπή υποδείγματος για την εκτίμηση των επιπτώσεων στην προστασία δεδομένων, το οποίο θα υποβληθεί στην Ο.Ε. 29 – Για το αναθεωρημένο υπόδειγμα εκδόθηκε η Γνώμη 07/2013 της Ο.Ε. 29 Σύσταση 2014/724/ΕΕ: Τα κράτη μέλη θα πρέπει να υποστηρίξουν τη διοργάνωση φάσης δοκιμών με εφαρμογές σε πραγματικές συνθήκες – αξιολόγησή τους με την πάροδο δύο ετών

Κατηγοριοποίηση Μελέτη επιπτώσεων ευρείας κλίμακας (full-scale DPIA) – Χρήση τεχνολογιών «επεμβατικών» ως προς την ιδιωτικότητα (RFID εφαρμογές, συστήματα GPS, βιομετρικά συστήματα, «έξυπνες» κάρτες κ.α.) – Διασύνδεση/συσχέτιση διαφορετικών βάσεων δεδομένων, διαφορετικών οργανισμών – Επεξεργασία «κρίσιμων» δεδομένων (π.χ. ευαίσθητων δεδομένων) – Επεξεργασία που αφορά μεγάλο πλήθος ατόμων – … Μελέτη επιπτώσεων χαμηλής κλίμακας (small-scale DPIA) – Λιγότερο ενδελεχής – αφορά υπο-τμήμα της συνολικής επεξεργασίας (συστήματος) Π.χ. χρειάζεται πριν την τροποποίηση υπάρχουσας τεχνολογίας, για την οποία έχει προηγηθεί μελέτη επιπτώσεων ευρείας κλίμακας

Σε ποιο στάδιο διενεργείται η DPIA; Πριν τη σχεδίαση/ανάπτυξη της νέας υπηρεσίας ή τεχνολογίας Σε κάθε μελλοντική τροποποίηση της υπηρεσίας / τεχνολογίας, πρέπει να εξετάζεται αν χρήζει εκ νέου να πραγματοποιηθεί Μπορεί να εντάσσεται σε μία γενικότερη συστηματική διαδικασία ανάλυσης επικινδυνότητας (risk analysis), η οποία είναι συνεχής Οι έλεγχοι συμμόρφωσης με τη νομοθεσία προστασίας προσωπικών δεδομένων (data protection compliance checks) αποτελούν ξεχωριστή διακριτή διαδικασία Αρχική αποτίμηση Full-scale DPIA? ΝΑΙ Full-scale DPIA & Έλεγχος συμμόρφωσης ΟΧΙ Small-scale DPIA? Small-scale DPIA & Έλεγχος συμμόρφωσης ΝΑΙ ΟΧΙ Έλεγχος συμμόρφωσης

Βήματα Ανάλυση της απαίτησης Περιγραφή της ροής της πληροφορίας Προσδιορισμός των κίνδυνων Αξιολόγηση των μέτρων προστασίας Απόφαση και επικύρωση Ενσωμάτωση των αποτελεσμάτων στον κύκλο ζωής του πληροφοριακού συστήματος

Χρειάζεται; Ν. 2472/97, Αρ.10 –Τα μέτρα προστασίας πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους Ενδεικτικά, σχ. Καν. Αρ. 33 –Τεχνολογία που θεωρείται παρεμβατική (π.χ. βιομετρικά, αναγνώριση προσώπου/πινακίδας) –Επεξεργασία ευαίσθητων προσωπικών δεδομένων Επίσης, ανάλογα με –Είδος δεδομένων Αριθμός ταυτότητας/ ΑΜΚΑ/ ΑΦΜ/ κτλ. Οικονομικά … –Αριθμός υποκειμένων –Αριθμός τελικών χρηστών των πληροφοριακών συστημάτων /Τηλεπικοινωνίες που εμπλέκονται –Συχνότητα μεταβολών της λειτουργικότητας του πληροφοριακού συστήματος –Μέγιστη ανεκτή μη διαθεσιμότητα των βασικών πληροφοριακών πόρων –Διασυνοριακή ροή δεδομένων Πότε; –Νέο πληροφοριακό σύστημα –Διαμοιρασμός προσωπικών δεδομένων ανάμεσα σε οργανισμούς –Νέο σύστημα παρακολούθησης / νέα δυνατότητα (π.χ. αναγνώριση πινακίδας) –Υπάρχουσα ή νέα νομοθεσία /πολιτική που έχει επίπτωση στην προστασία δεδομένων μέσω της συλλογής /επεξεργασίας τους (π.χ. παρακολούθηση, κτλ.)

Αποτύπωση της ροής της πληροφορίας Περιγραφή –Πώς η πληροφορία συλλέγεται, επεξεργάζεται, αποθηκεύεται και διαγράφεται –Ποιός έχει πρόσβαση Με χρήση διαγράμματος ροής δεδομένων ή άλλη σχετική απεικόνιση Βοηθητική τεκμηρίωση: –Αποτελέσματα ελέγχων πληροφοριακών συστημάτων –Μητρώα πληροφοριακών αγαθών

Αγαθά και Προστασία Αγαθό –Βάσεις δεδομένων/ Εφαρμογές/ Υλικό/ Λογισμικό Προστασία έναντι –τυχαίας ή αθέμιτης καταστροφής –τυχαίας απώλειας –αλλοίωσης –απαγορευμένης διάδοσης ή πρόσβασης –Επίσης, αν τα δεδομένα Δεν είναι ακριβή /επαρκή /ενημερωμένα Είναι υπερβολικά ή όχι σχετικά Διατηρούνται για περισσότερο χρόνο από όσο χρειάζεται Χρησιμοποιούνται με τρόπους απαράδεκτους ή απρόσμενους για το υποκείμενο των δεδομένων Απειλή –Οτιδήποτε μπορεί να αποκτήσει, φθείρει ή καταστρέψει ένα αγαθό Εκούσια ή ακούσια, εσωτερική ή εξωτερική –Εξαρτάται από τα μέσα, την δυνατότητα και το κίνητρο που διαθέτει

Πιθανότητα και Ευπάθεια Πιθανότητα παραβίασης της προστασίας ενός αγαθού Ευπάθεια –Αναποτελεσματικότητα ή ανεπάρκεια μέτρων προστασίας ΠιθανότηταΕυπάθεια Αξιολόγηση ΑπειλήςΥψηλήΜεσαίαΧαμηλή Υψηλή Μεσαία Χαμηλή

Κίνδυνοι και επιπτώσεις Κίνδυνος επίπτωσης στην ιδιωτικότητα Επίπτωση –Προκύπτει βλάβη στα υποκείμενα οικονομική υγείας υποκλοπή ταυτότητας … –Ο οργανισμός δεν μπορεί να ικανοποιήσει τα δικαιώματα των υποκειμένων –Επιβολή ρυθμιστικών κυρώσεων, μηνύσεις –Απώλεια αξιοπιστίας οργανισμού ΚίνδυνοςΕπίπτωση ΠιθανότηταΥψηλήΜεσαίαΧαμηλή ΥψηλήΥψηλόςΜεσαίοςΧαμηλός ΜεσαίαΜεσαίος Χαμηλός ΧαμηλήΧαμηλός

Παραδείγματα επιπτώσεων Ανεπαρκή μέτρα ασφάλειας  Παραβίαση της ασφάλειας στα δεδομένα Απώλεια ή διαρροή προσωπικών δεδομένων  Μηνύσεις Παρεμβατικά μέτρα παρακολούθησης (π.χ. Βιομετρικά)  Αυξημένος προβληματισμός /αποστροφή του κόσμου Δυσπιστία του κόσμου για τον τρόπο χρήσης της προσωπικής πληροφορίας  Βλάβη φήμης και απώλεια εσόδων Διαμοιρασμός και συνένωση βάσεων δεδομένων  Επεξεργασία μεγαλύτερη της αναμενόμενης Μη προσδιορισμένος/ κατάλληλος χρόνος διατήρησης  Διατήρηση δεδομένων πέραν του αναμενομένου Έλλειψη συμμόρφωσης με την νομοθεσία  Κυρώσεις, πρόστιμα και μείωση δημοτικότητας Προβλήματα που αναγνωρίζονται αφού έχει υλοποιηθεί το έργο  Δαπανηρή επιδιόρθωση

Μέτρα προστασίας Μη συλλογή / χρήση συγκεκριμένων δεδομένων Ανάπτυξη συστημάτων ενημέρωσης & πρόσβασης των υποκειμένων στα δεδομένα τους –Έγγραφη / Ηλεκτρονική διαδικασία Κατάλληλες περίοδοι διατήρησης δεδομένων και ασφαλής καταστροφή μετά την παρέλευσή τους –Οδηγία 1/2005 Μέτρα ασφάλειας Επαρκή τεχνικά μέτρα ασφάλειας –Προληπτικά ή κατασταλτικά, αυτόματα ή χειροκίνητα Π.χ. αυθεντικοποίηση χρήστη ή καταγραφή ενεργειών, λήψη αντιγράφων ασφαλείας –Πρότυπα/ Πολιτικές ασφάλειας ISO Πολιτική και Σχέδιο Ασφάλειας Εκπαίδευση προσωπικού Χρήση μεθόδων ανωνυμοποίησης Επιλογή εκτελούντων την επεξεργασία που παρέχουν υψηλότερο βαθμό ασφάλειας –Σύναψη κατάλληλων συμβάσεων με σχετικές ρήτρες εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας Διαμοιρασμός δεδομένων μέσω συμβάσεων –Ποια δεδομένα διαμοιράζονται, με ποιους και με ποιον τρόπο –Πρότυπες συμβατικές ρήτρες, Σύστημα ασφαλούς λιμένα

Αξιολόγηση Εκτίμηση κινδύνων και κόστους - ωφέλειας –95/46/ΕΚ:«Τα μέτρα αυτά πρέπει να εξασφαλίζουν, λαμβανομένης υπόψη της τεχνολογικής εξέλιξης και του κόστους εφαρμογής τους, επίπεδο ασφαλείας ανάλογο προς τους κινδύνους» –Π.χ. νέο λογισμικό ασφαλείας Κόστος –χρήσης, αδειών, εκπαίδευσης, υλικού Ωφέλεια –μεγαλύτερη διασφάλιση έναντι παραβίασης –μικρότερος κίνδυνος ρυθμιστικών κυρώσεων /ζημιάς στην δημοτικότητα Καταγραφή του υπεύθυνου που αξιολογεί τα μέτρα ασφάλειας και επικυρώνει κάθε υπολειπόμενο κίνδυνο ΚίνδυνοςΜέτρο προστασίαςΑποτέλεσμα: α) Μείωση, β) Εξάλειψη ή γ) Αποδοχή κινδύνου Αξιολόγηση

Ευχαριστούμε!