Συνοπτική παρουσίαση του Γενικού Κανονισμού Προστασίας Δεδομένων Τί είναι o GDPR; Συνοπτική παρουσίαση του Γενικού Κανονισμού Προστασίας Δεδομένων ΕΕ 2016/679 – Μάρτιος 2018

Εισηγητής: Ιόλη Παπαδοπούλου Certified Data Protection Officer

Τί είναι; Είναι ο νέος νόμος προστασίας προσωπικών δεδομένων 99 άρθρα 173 αιτιολογικές σκέψεις 88 σελίδες νομικό κείμενο! 25 Μαΐου 2018 τίθεται σε πλήρη εφαρμογή - λήγει η 2ετία προσαρμογής! 1 νόμος σε όλη την Ευρώπη! ΑΠΔΠΧ = αρμόδια στην Ελλάδα, με δικαίωμα επιβολής προστίμων Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (πρώην WP29) = δίνει οδηγίες Καταργείται η προηγούμενη Οδηγία του 1995 (95/465/ΕΚ) - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Μάρτιος 2018

Κύριες Διαφορές Ισχυρότερα και νέα δικαιώματα για τα άτομα: δικαίωμα διαφανούς ενημέρωσης (Πολιτική απορρήτου, Cookies), δικαίωμα διόρθωσης και δικαίωμα στη λήθη ενισχύονται. Η Φορητότητα δεδομένων δίνει στα άτομα τη δυνατότητα μεταφοράς δεδομένων τους από τη μία εταιρεία στην άλλη. Οι εταιρίες οφείλουν να ανταποκρίνονται εντός 1 μηνός! Αυστηρότερες και νέες υποχρεώσεις για τις εταιρίες: Λογοδοσία του Υπευθύνου Επεξεργασίας με υποχρέωση απόδειξης τήρησης. Privacy by Design. Συγκατάθεση με θετική ενέργεια (όχι πια σιωπηρή αποδοχή). Υποχρέωση γνωστοποίησης παραβίασης εντός 72 ωρών. Διαφάνεια. Υποχρέωση τήρησης αρχείου πράξεων επεξεργασίας για εταιρίες >250 ατόμων. Υποχρέωση διορισμού DPO υπό προϋποθέσεις. Έλεγχος διασυνοριακών ροών & Συμβάσεων. Υψηλά πρόστιμα για τους παραβάτες: Διοικητικά Πρόστιμα έως 20 εκατ. EUR ή, έως το 4% του παγκόσμιου τζίρου - όποιο είναι υψηλότερο. Τα πρόστιμα αθροίζονται! Επιπλέον η Αστική Ευθύνη (αποζημιώσεις στα θιγόμενα φυσικά πρόσωπα!) - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Μάρτιος 2018

Αντικείμενο και στόχοι 1 τα φυσικά πρόσωπα που βρίσκονται στην Ένωση ασχέτως διαμονής/ιθαγένειας έναντι της επεξεργασίας των προσωπικών τους δεδομένων (στο εξής ΠΔ) 2 την ελεύθερη κυκλοφορία δεδομένων εντός ΕΕ Προστατεύει την ελεύθερη κυκλοφορία ΠΔ εντός Ένωσης, παρά μόνο τη ρυθμίζει, ώστε η ΕΕ να γίνει τελικά ένας χώρος ασφαλής, όπου τα φυσικά πρόσωπα θα χρησιμοποιούν άφοβα τις νέες τεχνολογίες! Δεν απαγορεύει - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Μάρτιος 2018

Εφαρμόζεται στην 2 1 Μη αυτοματοποιημένη Αυτοματοποιημένη - εν όλω ή εν μέρει - επεξεργασία ΠΔ 2 Μη αυτοματοποιημένη επεξεργασία ΠΔ, που περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης ΔΕΝ εφαρμόζεται, μεταξύ άλλων, στην επεξεργασία ΠΔ: από φυσικό πρόσωπο αποκλειστικά για προσωπική/οικιακή δραστηριότητα, π.χ. πρόσκληση σε πάρτι από αρμόδιες αρχές για πρόληψη/δίωξη ποινικών αδικημάτων και προστασία της δημόσιας ασφάλειας Θανόντων - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Μάρτιος 2018

Εδαφικό πεδίο εφαρμογής Ίδιοι κανόνες για όλους τους φορείς 2 είτε με έδρα εκτός ΕΕ, εφόσον προσφέρουν αγαθά/υπηρεσίες εντός ΕΕ, με ή χωρίς πληρωμή ή παρακολουθούν συμπεριφορές ατόμων στην ΕΕ 1 είτε με εγκατάσταση εντός ΕΕ ανεξάρτητα αν η επεξεργασία ΠΔ γίνεται εντός ή εκτός Ένωσης Εγκατάσταση εννοεί κάθε νομικής μορφής: θυγατρική, υποκατάστημα κλπ. Υποχρεούνται να διορίσουν Αντιπρόσωπο στην ΕΕ, οπότε υφίστανται τον ίδιο έλεγχο/υποχρεώσεις με τους εντός ΕΕ.

Ακολουθούν οι βασικοί (όχι όλοι) οι ορισμοί του Κανονισμού EE 2016/679 Ορισμοί Ακολουθούν οι βασικοί (όχι όλοι) οι ορισμοί του Κανονισμού EE 2016/679

Ευρύς ορισμός «Προσωπικά Δεδομένα» Ένα ή περισσότερα στοιχεία, τα οποία είτε μεμονωμένα είτε όταν συνδυαστούν, μπορεί να οδηγήσουν σε ταυτοποίηση ενός συγκεκριμένου προσώπου. ταυτοποίηση προσώπου = η ταυτότητά του μπορεί να εξακριβωθεί, άμεσα ή έμμεσα Παράδειγμα: « Υπεύθυνη Λογιστηρίου στην Λαζάρου ΕΠΕ » Φύλο + Τίτλος Τμήμα Εταιρία ΤΑΥΤΟΠΟΙΗΣΗ - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Μάρτιος 2018

Παραδείγματα προσωπικών δεδομένων Όνομα, Επίθετο, Διεύθυνση οικίας Email όπως: nik.andreou@company.com Αριθμός ταυτότητας, ΑΜΚΑ Φύλο, ηλικία, βάρος, ύψος, χρώμα δέρματος Γενετικά δεδομένα, βιομετρικά δεδομένα, όπως φωτογραφία, δακτυλικό αποτύπωμα Θρήσκευμα, Μέλος συλλόγου Δεδομένα υγείας, Πολιτικές πεποιθήσεις Passwords, IP address, Cookie ID Αναγνωριστικό διαφήμισης στο κινητό ΔΕΝ είναι προσωπικά δεδομένα: ΑΦΜ εταιρίας Στοιχεία νομικού προσώπου, ελεύθερου επαγγελματία Ανώνυμο email όπως: info@company.com; Ανωνυμο-ποιημένα δεδομένα Δεδομένα θανόντων Προσωπικές ατζέντες, τηλεφωνικοί κατάλογοι με στοιχεία φίλων, όταν γίνεται αποκλειστικά οικιακή χρήση (π.χ. πρόσκληση σε πάρτι) - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Μάρτιος 2018

«Επεξεργασία» είναι κάθε πράξη ή σειρά πράξεων με ή χωρίς αυτοματοποιημένα μέσα σε μεμονωμένα ή σε σύνολα ΠΔ, όπως: Παραδείγματα «επεξεργασίας»: Συλλογή, λήψη καταχώριση αποθήκευση οργάνωση διάρθρωση προσαρμογή/μεταβολή ανάκτηση αναζήτηση πληροφοριών χρήση κοινολόγηση με διαβίβαση κάθε μορφή διάθεσης συσχέτιση/συνδυασμός περιορισμός διαγραφή/καταστροφή ΑΠΟΣΤΟΛΗ ΔΙΑΦΗΜΙΣΤΙΚΩΝ EMAIL, SMS ΑΠΟΘΗΚΕΥΣΗ ΔΙΕΥΘΥΝΣΕΩΝ IP/MAC ΒΙΝΤΕΟΣΚΟΠΗΣΗ (CCTV) ΑΝΑΡΤΗΣΗ PHOTO ΠΡΟΣΩΠΩΝ ΣΕ WEBSITE ΚΑΤΑΣΤΡΟΦΗ ΕΓΓΡΑΦΩΝ ΠΟΥ ΕΧΟΥΝ ΠΔ ΑΝΑΓΝΩΣΗ ΒΑΣΗΣ ΔΕΔΟΜΕΝΩΝ ΜΕ ΠΔ ΔΙΑΧΕΙΡΗΣΗ ΠΡΟΣΩΠΙΚΟΥ (PAYROLL) - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Μάρτιος 2018

Κατάρτιση προφίλ Παραδείγματα κάθε αυτοματοποιημένη επεξεργασία ΠΔ για αξιολόγηση προσωπικών πτυχών φυσικού προσώπου, ιδίως για ανάλυση ή πρόβλεψη σχετικά με: εργασιακή απόδοση οικονομική κατάσταση υγεία ενδιαφέροντα / προτιμήσεις αξιοπιστία συμπεριφορά μετακινήσεις / θέση Παραδείγματα e-shop καταρτίζει το προφίλ σας ενώ ψωνίζετε online, Smart-app ξενοδοχείου όπου διαμένετε καταρτίζει το προφίλ σας ενώ κινείστε (γυμναστήριο, πισίνα), ή αγοράζετε αγαθά και υπηρεσίες π.χ. στο mini bar δωματίου σας, εστιατόριο, ποιες ώρες, πώς τα συνδυάζετε κλπ. με σκοπό να προτείνει εξατομικευμένες υπηρεσίες της αρεσκείας και του budget σας κλπ. - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Φεβ. 2018

Η WP 29 συστήνει ΚΡΥΠΤΟΓΡΑΦΗΣΗ Ψευδωνυμοποίηση επεξεργασία ΠΔ ώστε να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο φυσικό πρόσωπο, δίχως χρήση «στοιχείων» - εφόσον τα εν λόγω «στοιχεία» διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα που διασφαλίζουν ότι αυτά δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Παράδειγμα: Η WP 29 συστήνει ΚΡΥΠΤΟΓΡΑΦΗΣΗ ως πιο ασφαλή από την ψευδωνυμοποίηση, διότι δεν παραβιάζεται - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Μάρτιος 2018

Σύστημα αρχειοθέτησης Κάθε διαρθρωμένο σύνολο ΠΔ που είναι προσβάσιμα με συγκεκριμένα κριτήρια, - είτε το σύνολο αυτό είναι συγκεντρωμένο, είτε αποκεντρωμένο, - είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση Παραδείγματα: Ψηφιακό αρχείο (τύπου excel) με ονόματα, τηλέφωνα, email Προμηθευτών Λίστα με ονόματα & στοιχεία επικοινωνίας Πελατών που συμμετείχαν σε διαγωνισμό Βάσεις δεδομένων CRM, ERP Email Directories, Departmental και Corporate Φυσικά αρχεία (μή ψηφιακά), όπως του τμ. Sales, Marketing, HR, ή Legal, κλπ. - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Φεβ. 2018

Προϋποθέσεις Νομιμότητας Αρχές & διέπουν τις πράξεις επεξεργασίας ΠΔ

Πρέπει να ισχύουν σε κάθε επεξεργασία ΠΔ Και οι 7 Αρχές Τουλάχιστον 1 Νόμιμη βάση νομιμότητα, αντικειμενικότητα & διαφάνεια και περιορισμός του σκοπού και ελαχιστοποίηση και ακρίβεια και περιορισμός περιόδου αποθήκευσης και ασφάλεια, ακεραιότητα, εμπιστευτικότητα και λογοδοσία! συγκατάθεση ή, εκτέλεση σύμβασης (υποκείμενο = συμβαλλόμενος) ή, έννομη υποχρέωση του υπευθύνου επεξεργασίας ή, διαφύλαξη ζωτικού συμφέροντος ή, δημόσιο συμφέρον ή, έννομο συμφέρον - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Φεβ. 2018

Δικαιώματα του ατόμου

Δικαιώματα: (πηγή: ΑΠΔΠΧ) Δικαιώματα: (πηγή: ΑΠΔΠΧ) - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Μάρτιος 2018

Πρόστιμα

Διοικητικά Πρόστιμα €20εκ. ή έως 4% συνολικού τζίρου προηγούμενου οικ. έτους: το υψηλότερο ! Σε παραβιάσεις που σχετίζονται με: ΑΡΧΕΣ επεξεργασίας (άρθρα 5, 6, 7 και 9 ) ΔΙΚΑΙΩΜΑΤΑ υποκειμένων (άρθρα 12 έως 22) ΔΙΑΒΙΒΑΣΕΙΣ σε τρίτη χώρα ή διεθνή οργανισμό (άρθρα 44 έως 49) ΜΗ ΣΥΜΜΟΡΦΩΣΗ προς εντολή της Αρχής ΕΙΔΙΚΕΣ ΠΕΡΙΠΤΩΣΕΙΣ ΕΠΕΞΕΡΓΑΣΙΑΣ (άρθρα 86-91) δίκαιο κράτους μέλους - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Μάρτιος 2018

Διοικητικά Πρόστιμα €10εκ. ή έως 2% συνολικού τζίρου προηγούμενου οικ. έτους: το υψηλότερο ! Στις εξής παραβιάσεις (άρθρα): 8 συγκατάθεση παιδιού 11 εξακρίβωση ταυτότητας υποκειμένου - ύπαρξη μηχανισμού επαλήθευσης 25 προστασία ΠΔ ήδη από το σχεδιασμό και εξ ορισμού 26 από κοινού υπεύθυνοι επεξεργασίας 27 Εκπρόσωποι Υπευθύνων/Εκτελούντων την επεξεργασία μη εγκατεστημένων στην Ένωση 28 Εκτελών την επεξεργασία 29 Επεξεργασία υπό την εποπτεία Υπευθύνου/Εκτελούντος την επεξεργασία 30 Υποχρέωση τήρησης αρχείων σε εταιρίες > 250 ατόμων - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Μάρτιος 2018

Πρόστιμο 10 000 000 EUR ή έως 2 % συνολικού τζίρου- το υψηλότερο: Σε παραβάσεις υποχρεώσεων σύμφωνα με τα άρθρα (συνέχεια) 31 συνεργασία με την εποπτική αρχή (ΑΠΔΠΧ) κατόπιν αιτήματος ή σύστασης 32 Ασφάλεια - λήψη & τήρηση Τεχνικών & Οργανωτικών μέτρων (π.χ. κρυπτογράφηση κλπ.) 33 Γνωστοποίηση παραβίασης εντός 72 ωρών, όταν απαιτείται 34 Ανακοίνωση παραβίασης στο υποκείμενο που θίγεται, όταν απαιτείται 35 Διενέργεια εκτίμησης αντικτύπου, όταν απαιτείται 36 Προηγούμενη διαβούλευση, όταν απαιτείται 37 Διορισμός Υπευθύνου Προστασίας Δεδομένων, όταν απαιτείται 38 Θέση ΥΠΔ 39 Καθήκοντα ΥΠΔ 42 Πιστοποίηση 43 Φορείς πιστοποίησης - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Μάρτιος 2018

Τί αλλάζει στην καθημερινότητα ενδεικτικά παραδείγματα Τί αλλάζει στην καθημερινότητα ενδεικτικά παραδείγματα

SOS – «παγίδες» Μην αγνοείτε ή διαγράφετε μηνύματα (email ή τηλεφώνημα), όπου κάποιος (φερόμενος ως φυσικό πρόσωπο) σας ζητά πρόσβαση, διαγραφή, διόρθωση, ή Φορητότητα κλπ. των προσωπικών του δεδομένων. Οφείλετε απάντηση εντός ενός (1) μηνός! Ισχύουν προϋποθέσεις: π.χ. απαιτείται η ταυτοποίηση του προσώπου, έχετε περιθώριο διεκπεραίωσης αιτήματος επιπλέον 2 μήνες υπό όρους κλπ. Παράνομη η παρακολούθηση ασφαλείας των χώρων εργασίας, όπως CCTV, user activity logs, DLP, Κάρτα εισόδου/εξόδου κλπ. εκτός αν πληρούνται οι νόμιμες προϋποθέσεις, διότι η παρακολούθηση συνιστά επεξεργασία (ακόμη και ευαίσθητων) προσωπικών δεδομένων του ίδιου του προσωπικού. Να ενθαρρύνεται η γνωστοποίηση τυχόν παραβιάσεων, άμεσα και μόνο στον αρμόδιο ασφαλείας, χωρίς το φόβο απόλυσης/επίπληξης, π.χ. μόλις διαπιστώσει ο υπάλληλος ή Συνεργάτης ότι έχασε το κινητό του. Να μην θεωρείται «κάρφωμα», ούτε να συγκαλύπτεται με κανέναν τρόπο, ακόμη κι αν πρέπει να δηλώσει κάποιος ότι «αγνοείται» το laptop του …προϊσταμένου του! Έλεγχος Συμβάσεων με Συνεργάτες και Προμηθευτές. κλπ.

SOS - MARKETING Παράνομη η αποστολή newsletter χωρίς νόμιμη συγκατάθεση του ατόμου, όπως την ορίζει ο Κανονισμός, ο οποίος μεταξύ άλλων απαιτεί σαφή δήλωση βούλησης του ατόμου, η οποία εκδηλώνεται με θετική ενέργεια εκ μέρους του (opt-in), αφού το έχουμε προηγουμένως ενημερώσει πλήρως για τις συνέπειες (τί θα γίνει αν συναινέσει και τί αν δεν συναινέσει!) και εφόσον του εξασφαλίζουμε τη δυνατότητα άρσης της συγκατάθεσης με εύκολο και ανέξοδο τρόπο, όποτε το επιθυμεί… Η σιωπηρή αποδοχή δεν θεωρείται πλέον συγκατάθεση, άρα, η απλή ύπαρξη της δυνατότητας «Unsubscribe» δεν αρκεί. Παράνομα τα προ-συμπληρωμένα checkbox επιλογών, π.χ. σε διάφορες οn line φόρμες Παράνομα τα μη διακριτά checkbox επιλογών, του τύπου «συλλέγουμε τα στοιχεία επικοινωνίας σας, για τη συμμετοχή σας στην κλήρωση και για να σας ενημερώνουμε με sms και email για τα νέα μας προϊόντα…» Παράνομες οι ασαφείς δηλώσεις του τύπου «συλλέγουμε τα στοιχεία σας για σκοπούς marketing» Website – Privacy Policy: Απαιτείται διαφάνεια και κατανοητή γλώσσα Απαιτείται η συγκατάθεση γονέα για άτομα < 16 ετών κλπ…

SOS - HR free Wi Fi Bank Account BYOD BYOD – Είναι επίφοβη η χρήση προσωπικών mobiles phones, USB sticks, ατζέντες επαφών… Συστήνεται τουλάχιστον η χρήση εταιρικών συσκευών, με κρυπτογράφηση file system Είναι επίφοβη η πρακτική «παίρνω δουλειά για το σπίτι», εργάζομαι καθ’ οδόν μέσα στο metro, συνδέομαι στο Wi-Fi του ξενοδοχείου… Η απομακρυσμένη πρόσβαση πρέπει να γίνεται μόνο μέσω ασφαλούς VPN! Συγκατάθεση εργαζομένου – ΔΕΝ δύναται να χρησιμοποιηθεί ως νομική βάση, λόγω άνισης σχέσης εργοδότη-εργαζόμενου Πρέπει να γίνεται ασφαλής αποστολή στοιχείων μισθοδοσίας στην Τράπεζα! Ενημέρωση υποψηφίων για το χρόνο τήρησης των βιογραφικών τους κλπ. BYOD free Wi Fi Bank Account

Προετοιμασία σε 10 βήματα (πηγή: ΑΠΔΠΧ) Προετοιμασία σε 10 βήματα (πηγή: ΑΠΔΠΧ) - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Μάρτιος 2018

Απορίες Δείτε περισσότερα: Καλέστε μας: Είναι φυσικό να προκύπτουν απορίες, καθώς η παρούσα συντάχθηκε με σκοπό μια πρώτη, πολύ σύντομη ενημέρωση και δεν περιέχει όλους τους ορισμούς ούτε οδηγίες συμμόρφωσης. Δείτε περισσότερα: Έλεγχος 20 σημείων Πλήρες κείμενο Κανονισμού Καλέστε μας: training@averway.com 215 – 5519 913, 645 - 754 777 Αποποίηση ευθυνών Οι πληροφορίες που παρουσιάζονται στο παρόν είναι πολύ συνοπτικές και σε καμία περίπτωση δεν αποτελούν οδηγίες συμμόρφωσης ούτε αντικαθιστούν τον εξειδικευμένο σας σύμβουλο. Η συγγραφέας και η εταιρεία AVERWAY Ltd δεν αναλαμβάνουν καμία ευθύνη για ζημιές που προκύπτουν από οποιαδήποτε ερμηνεία, μετάδοση και κάθε είδους χρήση αυτών των πληροφοριών. Πνευματική ιδιοκτησία Η αναδημοσίευση, αναπαραγωγή, αποθήκευση, πώληση, ενοικίαση, μετάδοση, έκδοση, διανομή, μετάφραση, αντιγραφή, φόρτωση, με κάθε είδους μέσο και τρόπο, τμηματικά ή περιληπτικά του περιεχομένου του παρόντος, χωρίς την προηγούμενη έγγραφη άδεια της συγγραφέως, απαγορεύονται ρητώς. Επιτρέπεται μόνο α) η αναδημοσίευση αυτούσιου του παρόντος σε δικτυακούς τόπους και σε μέσα κοινωνικής δικτύωσης και β) η αναπαραγωγή τμημάτων του παρόντος για προσωπική χρήση. Στις ως άνω α) και β) περιπτώσεις συντρέχει η υποχρέωση αναφοράς της πηγής, η απαγόρευση εμπορικής ή άλλης εκμετάλλευσης και η διατήρηση απάντων των πνευματικών δικαιωμάτων. - Συνοπτική παρουσίαση του ΓΚΠΔ - ΕΕ 2016/679 - Μάρτιος 2018