ΟΙ ΒΑΣΙΚΕΣ ΑΛΛΑΓΕΣ ΤΟΥ GDPR ΣΤΟΝ ΤΟΜΕΑ ΥΓΕΙΑΣ GDPR SOLUTION ΟΙ ΒΑΣΙΚΕΣ ΑΛΛΑΓΕΣ ΤΟΥ GDPR ΣΤΟΝ ΤΟΜΕΑ ΥΓΕΙΑΣ Π. ΜΑΥΡΑΚΗ
ΓΙΑΤΙ ΧΡΕΙΑΖΟΤΑΝ Η ΨΗΦΙΣΗ ΤΟΥ ΝΕΟΥ ΚΑΝΟΝΙΣΜΟΥ; GDPR SOLUTION ΓΙΑΤΙ ΧΡΕΙΑΖΟΤΑΝ Η ΨΗΦΙΣΗ ΤΟΥ ΝΕΟΥ ΚΑΝΟΝΙΣΜΟΥ;
«ΤΟ ΨΗΦΙΑΚΟ ΜΕΛΛΟΝ ΤΗΣ ΕΥΡΩΠΗΣ ΜΠΟΡΕΙ ΝΑ ΧΤΙΣΤΕΙ ΜΟΝΟ ΜΕΣΑ ΣΕ ΕΝΑ ΚΛΙΜΑ ΕΜΠΙΣΤΟΣΥΝΗΣ» ΑΝΤΡΟΥΣ ΑΝΣΙΠ
25.5.2018 Κανονισμός 679/2016 Έναρξη Ισχύος Είναι ένα σύνολο κανόνων που εφαρμόζονται άμεσα και υποχρεωτικά σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης, χωρίς να απαιτείται εσωτερική νομοθετική εναρμόνιση από τα κράτη μέλη, καταργώντας μάλιστα όλους τους εθνικούς νόμους που αντιβαίνουν στις ρυθμίσεις του. Τα κράτη μέλη έχουν τη δυνατότητα να διατηρούν ή να θεσπίζουν εθνικές διατάξεις εξειδικεύοντας περαιτέρω τις διατάξεις του Κανονισμού.
ΤΙ ΘΕΛΕΙ ΕΠΟΜΕΝΩΣ ΝΑ ΠΕΤΥΧΕΙ Ο ΚΑΝΟΝΙΣΜΟΣ; – Ενίσχυση της προστασίας προσωπικών δεδομένων και της ελεύθερης κυκλοφορίας τους -Ισχυρότερη προστασία των καταναλωτών με τη θέσπιση απαιτήσεων για μεγαλύτερη διαφάνεια και υπευθυνότητα, όσον αφορά τον τρόπο με τον οποίο τα δεδομένα χρησιμοποιούνται και διακινούνται
Επιπλεον στοχοι – Αύξηση της ασφάλειας δικαίου κατά τη διακίνηση πληροφοριών τόσο εντός των συνόρων της ΕΕ όσο και πέραν αυτών -Εξασφάλιση ότι η προστασία των δεδομένων αποτελεί θεμελιώδες δικαίωμα που προστατεύεται ενιαία όχι μόνο στην Ευρώπη, αλλά και σε ολόκληρο τον κόσμο, εν όψει του διευρυμένου πεδίου εφαρμογής του Κανονισμού
Και αυτο γιατι; Ο Κανονισμός αφορά όλες τις επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα Ευρωπαίων πολιτών ακόμα και αν δεν έχουν εγκατάσταση εντός της Ευρωπαϊκής Ένωσης
ΠΑΡΑΤΑΣΗ; 25.5.2018 Κανονισμός 679/2016 Έναρξη Ισχύος
Και γιατί τόση αναστάτωση με αυτόν τον συγκεκριμένο Κανονισμό;
ΕΣΕΙΣ ΘΕΛΕΤΕ ΝΑ ΠΑΡΕΤΕ ΑΥΤΟ ΤΟ ΡΙΣΚΟ; Μείωση της επιχειρηματικής φήμης Απώλεια της εμπιστοσύνης των πελατών Χαμένες επιχειρηματικές ευκαιρίες Υψηλότατα πρόστιμα επιβαλλόμενα με το GDPR Έως 20 εκατομμύρια € Έως 4% του παγκόσμιου τζίρου Χρονοβόρα και ανακριβής επεξεργασία Αυξημένος κίνδυνος κυβερνοεπίθεσης Χαμηλό επίπεδο ασφάλειας ΤΟ ΚΟΣΤΟΣ ΤΗΣ ΜΗ ΣΥΜΜΟΡΦΩΣΗΣ ΕΣΕΙΣ ΘΕΛΕΤΕ ΝΑ ΠΑΡΕΤΕ ΑΥΤΟ ΤΟ ΡΙΣΚΟ;
Τι νέο φέρνει ο κανονισμός στον τομέα της Υγείας; -Νέους Ορισμούς - Διευρυμένα δικαιώματα ασθενών - Κατάργηση γνωστοποιήσεων και περιορισμός αδειοδοτήσεων ενώπιον ΑΠΔΠΧ -Επιπρόσθετες Υποχρεώσεις επιχειρήσεων που δραστηριοποιούνται στο χώρο της Υγείας
Ποιες νέες έννοιες εισάγει ο Κανονισμός ; Τα δεδομένα που αφορούν την υγεία Τα γενετικά δεδομένα Τα βιομετρικά δεδομένα
H ΕΝΝΟΙΑ ΤΗΣ ΨΕΥΔΩΝΥΜΟΠΟΙΗΣΗΣ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΨΕΥΔΩΝΥΜΑ ΑΝΩΝΥΜΑ
Ποιες νέες έννοιες εισάγει ο Κανονισμός ; Επισημαίνεται ότι η ψευδωνυμοποίηση δεν ισοδυναμεί με ανωνυμοποίηση των δεδομένων, θεωρείται, όμως, ως ένα τεχνικό μέτρο, εξασφαλιστικό των κατάλληλων εγγυήσεων για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων.
Διευρύνονται τα δικαιώματα των ασθενών Ενισχύονται τα δικαιώματα περιορισμού και εναντίωσης στην επεξεργασία των δεδομένων Ενισχύεται το δικαίωμα πρόσβασης του ασθενούς στα δεδομένα που τηρούνται από την επιχείρηση Διευρύνονται τα δικαιώματα των ασθενών Ενισχύεται το Δικαίωμα διαγραφής (δικαίωμα στη «λήθη») Δικαίωμα στη Φορητότητα! Δικαίωμα Καταγγελίας Ασθενούς!
Το παράδειγμα της ΔΙΚΑΙΩΜΑ ΣΤΗ ΛΗΘΗ
Αίτημα Διαγραφής!
Επιπρόσθετες Υποχρεώσεις Επιχειρήσεων! Απόδειξη Συμμόρφωσης Μέτρα Ασφαλείας (Privacy by design) Αρχεία Καταγραφής Εξασφάλιση Έγκυρης Συγκατάθεσης Υποχρέωση Απάντησης σε Αιτήματα Γνωστοποίηση Παραβίασης Data Protection Impact Assessment Διορισμός DPO
Η Συγκατάθεση: ΦΟΡΜΕΣ ΣΥΓΚΑΤΑΘΕΣΗΣ! Όρος για τη νομιμότητα της επεξεργασίας Ο σκοπός πρέπει να είναι καθορισμένος Εξασφαλίζεται κατόπιν πλήρους ενημέρωσης Επιδέχεται ανάκλησης Αναγράφει όλα τα στοιχεία των προσώπων που εμπλέκονται στην Επεξεργασία Πρέπει πάντα να είναι ρητή όταν αφορά σε ευαίσθητα προσωπικά δεδομένα, όπως τα δεδομένα υγείας
Προαιρετικά Μέτρα Επιχειρήσεων ΚΩΔΙΚΑΣ ΔΕΟΝΤΟΛΟΓΙΑΣ ΕΞΑΣΦΑΛΙΣΗ ΠΙΣΤΟΠΟΙΗΣΗΣ
DPIA
Γιατί συνιστά υποχρέωση των παρόχων υπηρεσιών υγείας η διενέργεια εκτίμησης αντικτύπου; Γιατί διεξάγουν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων
ΤΙ ΤΙ ΕΙΝΑΙ; Εργαλείο ελέγχου των κινδύνων της επεξεργασίας Εφαρμογή των κατάλληλων μέτρων αποκατάστασης Απόδειξη συμμόρφωσης με τον Κανονισμό ΤΙ
ΠΟΙΟΣ ΠΟΙΟΣ ΤΗ ΔΙΕΝΕΡΓΕΙ; Οι επιχειρήσεις με την καθοδήγηση του Υπεύθυνου Προστασίας Δεδομένων Οι επιχειρήσεις μπορούν να ζητήσουν τη γνώμη της Εποπτικής Αρχής ΠΟΙΟΣ
Αξιολόγηση Επεξεργασίας Πώς; Μεθοδολογία Αξιολόγηση Επεξεργασίας Αξιολόγηση Κινδύνων Μέτρα Αντιμετώπισης Περιγραφή
Κίνδυνος Προσβολή από Hacker Κλοπή hard drive από ανταγωνιστή Τυχαίο Λάθος Εσφαλμένη Διαγραφή στοιχείων από Data Base Νερό καταστρέφει τον server
Πότε; Πράξεις που θα λάβουν χώρα μετά το Μάιο του 2018 Πριν από την Επεξεργασία Συχνότητα
Είδος Ρίσκου και Δραστηριοτήτων Πότε; Συχνότητα Αρκεί μία Είδος Ρίσκου και Δραστηριοτήτων Follow- up ?
Πότε; Ποτέ!
Τότε... Δικαιολογεί πρόστιμο έως 10 εκατομμύρια ευρώ ή 2% του ετήσιου παγκόσμιου τζίρου Αποτελεί νομική βάση για αγωγή αποζημίωσης Αποτελεί νομική βάση για ασφαλιστικά μέτρα ιδιωτών ή ομάδων εργατών Θίγει την εμπορική φήμη και την εμπιστοσύνη των πελατών Η αδιαφορία!!!
Εξαιρούνται Ιδιώτες Ιατροί Το πρώτο πράγμα που σκέφτονται οι επιχειρήσεις πριν επιλέξουν Συνεργάτη «Έχει προσαρμόσει ο ίδιος την επιχείρηση του με το GDPR πριν έρθει σε εμάς ;» Εργαζόμενος ή Εξωτερικός Συνεργάτης! «Είναι γνώστης του κλάδου δραστηριοποίησης της επιχείρησής μας;» Φυσικό ή Νομικό Πρόσωπο Ένας ή Περισσότεροι Η συγκέντρωση των προσόντων του GPDR σε ένα και μόνο πρόσωπο είναι σπάνια εφικτή Υποχρεούμαι να Διορίσω DPO; Τα Τυπικά του Προσόντα; Τι είναι ο DPO; Καλή Γνώση της Εθνικής και Διεθνούς Νομοθεσίας Τεχνολογικές Γνώσεις Επαγγελματική Πείρα στον Κλάδο Δραστηριότητας της Επιχείρησης Εξειδίκευση στην Προστασία των Προσωπικών Δεδομένων Διαπραγματευτικές και Οργανωτικές Δεξιότητες Κάθε επιχείρηση Υγείας Υποχρεούται! Ο Υπεύθυνος Συμμόρφωσης της Επιχείρησης Το contact point με την ΑΠΔΠΧ Τακτική και συστηματική παρακολούθηση ειδικών κατηγοριών προσωπικών δεδομένων σε μεγάλη κλίμακα Εξαιρούνται Ιδιώτες Ιατροί Τι δεν είναι; Υπόλογος για τη μη συμμόρφωση Υποκείμενος σε πρόστιμα λόγω παραβίασης του GDPR
Βασικά Καθήκοντα του DPO α) ενημερώνει και συμβουλεύει β) παρακολουθεί τη συμμόρφωση με τον Κανονισμό και εν γένει το ισχύον ρυθμιστικό πλαίσιο γ) ελέγχει κατά πόσον η πολιτική ασφαλείας είναι συμβατή με τον Κανονισμό ή την νομοθεσία του κράτους έδρας της επιχείρησης δ) παρέχει συμβουλές, όταν ζητείται, όσον αφορά την Εκτίμηση Αντικτύπου (DPIA) ε) συνεργάζεται με την εποπτική αρχή και ενεργεί ως σημείο επικοινωνίας (contact point) με αυτήν ΚΑΘΗΚΟΝΤΑ
Μη Διορισμός DPO Κυρώσεις μη συμμόρφωσης προς υποχρέωση ορισμού DPO και εν γένει παραβίασης των σχετικών διατάξεων του Κανονισμού: Διοικητικά πρόστιμα μέχρι 10.000.000 € ή το 2% του παγκόσμιου τζίρου της εταιρείας, όποιο είναι μεγαλύτερο Κυρωσεισ
ΕΥΧΑΡΙΣΤουμε!