(GDPR) – (ΕΕ) 2016/679 – H Εμπειρία από τη πρώτη εφαρμογή Η Εφαρμογή του Κανονισμού στη πράξη από την 25η Μαΐου 2018 έως Σήμερα. Εισηγητής: Νικόλαος Σιαμάκης Δικηγόρος – Διαπιστευμένος Διαμεσολαβητής – Data Protection Officer (certified D.P.O. Executive)

ΠΟΙΕΣ ΑΛΛΑΓΕΣ ΠΑΡΑΤΗΡΟΥΜΕ ΜΕ ΤΟΝ GDPR ΜΕΤΑ ΤΗΝ 25η ΜΑΙΟΥ; Confidential Document #siamakislawyers

Ευρωπαϊκός Κανονισμός – GDPR – ePrivacy - Εγχώριο δίκαιο Ο ευρωπαϊκός κανονισμός εφαρμόζεται άμεσα και ταυτόχρονα σε όλα τα κράτη μέλη και υπερισχύει του εθνικού δικαίου. GDPR: Γενική Εφαρμογή αλλά και ερμηνεία του κανονισμού με βάση τη κουλτούρα προστασίας κάθε Ευρωπαϊκής Χώρας. Ωστόσο, υπάρχει ενιαία αντιμετώπιση της διασυνοριακής προστασίας προσωπικών δεδομένων. e-privacy : Αναφέρεται στα σημεία του privacy του GDPR αλλά προσπαθεί να τα εξειδικεύσει ως προς το διαδίκτυο (internet marketing, cookies, Confidentiality). Δεν υπάρχει ακόμη ΕΓΧΩΡΙΟΣ ΕΦΑΡΜΟΣΤΙΚΟΣ ΝΟΜΟΣ που να καθορίζει το πλαίσιο εφαρμογής και εξειδίκευση των διατάξεων του GDPR. Confidential Document #siamakislawyers

Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων Άρθρα 63 έως 76 και αιτιολογικές σκέψεις 135 έως 140 του ΓΚΠΔ Ο ευρωπαϊκός κανονισμός καθιέρωσε την υποχρέωση συνεργασίας όλων των ΑΠΔΠΧ όλων των χωρών έτσι ώστε να εξασφαλίζεται η συνεκτική εφαρμογή του Κανονισμού. Μηχανισμός Συνεργασίας και Συνεκτικότητας – one shop stop Αποτελείται από τους επικεφαλής όλων των ΑΠΔΠΧ και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων με συμμετοχή και της Ευρωπαικής Επιτροπής χωρίς δικαίωμα ψήφου. Εκδίδει κατευθυντήριες οδηγίες αλλά λαμβάνει και δεσμευτικές ΑΠΟΦΑΣΕΙΣ σε διαφορές σχετικά με ζητήματα διασυνοριακής επεξεργασίας, διασφαλίζοντας με αυτόν τον τρόπο την ομοιόμορφη εφαρμογή των κανόνων της ΕΕ, έτσι ώστε να αποφεύγεται το ενδεχόμενο η ίδια υπόθεση να αντιμετωπίζεται με διαφορετικό τρόπο στις διάφορες έννομες τάξεις. Confidential Document #siamakislawyers

Γνωστοποιήσεις προς την ΑΠΔΠΧ (Απόφ.46/2018) Δεν υφίσταται πλέον υποχρέωση γνωστοποίησης τήρησης αρχείου ή επεξεργασίας ή βιντεοεπιτήρησης στην Αρχή. Το αρχείο δραστηριοτήτων τηρείται εσωτερικά στην επιχείρησή σας ή στον φορέα σας και διατίθεται στην Αρχή σε περίπτωση που ζητηθεί. Confidential Document #siamakislawyers

GDPR Υποχρέωση ύπαρξης Dpo υπό προϋποθέσεις (τακτική και συστηματική παρακολούθηση ή μεγάλης κλίμακας επεξεργασία) με αναφορά στο ρόλο, στα καθήκοντα και στις εγγυήσεις που απολαμβάνει. Υποχρεωτικά στο Δημόσιο. Confidential Document #siamakislawyers

GDPR Συνευθύνη του Υπευθύνου Επεξεργασίας και του εκτελούντος την επεξεργασία που λειτουργεί υπό τις οδηγίες του πρώτου. Υποχρεώσεις ενημέρωσης υποκειμένων Confidential Document #siamakislawyers

Γνωστοποιήσεις προς την ΑΠΔΠΧ (Απόφ.46/2018) Επίσης, παύει η χορήγηση αδειών από την Αρχή για την επεξεργασία ευαίσθητων δεδομένων (βλ. και 4/2019) Confidential Document #siamakislawyers

Υποχρεώσεις ΑΠΔΠΧ έναντι Υπευθύνων επεξεργασίας και Υποκειμένων (Αποφ Υποχρεώσεις ΑΠΔΠΧ έναντι Υπευθύνων επεξεργασίας και Υποκειμένων (Αποφ.52/2018) Η ΑΠΔΠΧ ΔΕΝ έχει υποχρέωση να ΑΠΑΝΤΑ σε ερωτήματα των ΥΕ, των υποκειμένων ή τρίτων σχετικά με ΖΗΤΗΜΑΤΑ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ – Η ΥΠΟΧΡΕΩΣΗ ΑΥΤΗ σύμφωνα με το ΚΑΝΟΝΙΣΜΟ είναι του DPO. Αντιθέτως έχει ΥΠΟΧΡΕΩΣΗ: Να δέχεται και να απαντά σε καταγγελίες. Πληροφορίες στα υποκείμενα ΜΟΝΟ για την άσκηση των δικαιωμάτων τους. Confidential Document #siamakislawyers

Ποιος Απαντά στα ερωτήματα των Υποκειμένων ή τρίτων; (άρθ. 5 παρ Ποιος Απαντά στα ερωτήματα των Υποκειμένων ή τρίτων; (άρθ. 5 παρ. 2 GDPR) Σύμφωνα με το άρθρο 5 παρ. 2 του ΓΚΠΔ καθιερώνεται η αρχή λογοδοσίας του υπευθύνου επεξεργασίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη τήρησης του κανονισμού και το βάρος της επίκλησης και απόδειξης της νομιμότητας της επεξεργασίας. Κατά συνέπεια είναι ο ίδιος αρμόδιος να σταθμίσει και να κρίνει ανά περίπτωση τα ζητήματα επεξεργασίας προσωπικών δεδομένων σχετικά με την εφαρμογή του κανονισμού, συμβουλευόμενος και τον Υπεύθυνο Προστασίας Δεδομένων, όπου υπάρχει, καθώς και να απαντήσει στα ερωτήματα και αιτήματα των υποκειμένων των δεδομένων και τρίτων για τα ίδια ως άνω ζητήματα Confidential Document #siamakislawyers

Ουσιώδης αλλαγές μετά τον GDPR Αρχή της Λογοδοσίας α) Νομιμότητα επεξεργασίας β) Αρχεία δραστηριοτήτων επεξεργασίας γ) Υπεύθυνος επεξεργασίας δεδομένων δ) Κώδικες Δεοντολογίας και Πιστοποιήσεις ε)Γνωστοποίηση και Ανακοίνωση Παραβιάσεων Στ) Αλλαγές στις Διεθνείς Διαβιβάσεις Ζ) Ενισχυμένα Δικαιώματα και Θεραπείες των Ατόμων Confidential Document #siamakislawyers

Συγκεντρωτικά στοιχεία γνωστοποιήσεων περιστατικών παραβίασης προσωπικών δεδομένων Confidential Document #siamakislawyers

ΠΕΡΙΣΤΑΤΙΚΑ ΠΑΡΑΒΙΑΣΗΣ ΣΤΗΝ ΕΛΛΑΔΑ ΓΙΑ ΤΟ 2018 (Μάιος-Δεκέμβριος) 66 γνωστοποιήσεις περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα. Σε 36 από τις περιπτώσεις αυτές οι «υπεύθυνοι επεξεργασίας δεδομένων», ανακοίνωσαν τα περιστατικά στα φυσικά πρόσωπα. 4 αποφάσεις με ΠΟΙΝΕΣ (66, 67, 68 και 69/2018) – 9 περιστατικά υπό εξέταση. Για 6 περιστατικά υπάρχει συνεργασία με συναρμόδιες Ευρωπαϊκές Αρχές Confidential Document #siamakislawyers

ΒΑΣΙΚΕΣ ΠΗΓΕΣ ΚΙΝΔΥΝΩΝ ΠΑΡΑΒΙΑΣΗΣ ΜΕ ΒΑΣΗ ΤΙΣ ΓΝΩΣΤΟΠΟΙΗΣΕΙΣ ΑΝΘΡΩΠΙΝΟΣ ΠΑΡΑΓΟΝΤΑΣ Αποστολή E-mail σε λάθος αποδέκτες Κακόβουλα e-mail και εγκατάσταση maleware. ΛΟΓΙΣΜΙΚΟ Δεν έγινε έλεγχος νέων εκδόσεων λογισμικού. Δεν έγινε επικαιροποίηση λογισμικού με νέα έκδοση ασφάλειας ΔΙΚΤΥΟ Δεν έγινε έλεγχος στις ρυθμίσεις των διακομιστών διαδικτύου που χρησιμοποιούντα ώστε να μην καθίστανται προσβάσιμες μη δημόσιες πληροφορίες Ι ΙΙ ΙΙΙ Confidential Document #siamakislawyers

ΒΑΣΙΚΕΣ ΠΗΓΕΣ ΚΙΝΔΥΝΩΝ ΠΑΡΑΒΙΑΣΗΣ ΜΕ ΒΑΣΗ ΤΙΣ ΓΝΩΣΤΟΠΟΙΗΣΕΙΣ ΟΡΓΑΝΩΤΙΚΑ ΜΕΤΡΑ – ΕΛΛΕΙΨΕΙΣ Δεν υπήρξε διαδικασία για την άμεση αντιμετώπιση προβλημάτων που ανακύπτουν κατά την παραγωγική λειτουργία. ΤΕΧΝΙΚΑ ΜΕΤΡΑ - ΕΛΛΕΙΨΕΙΣ Δεν υπήρξε διαδικασία διασφάλισης της ταυτοποίησης των δεδομένων. Πχ κρυπτογράφηση. ΚΛΟΠΕΣ – ΑΠΩΛΕΙΕΣ ΜΕΣΩΝ ΑΠΟΘΗΚΕΥΣΗΣ Κλοπή ή απώλεια φορητών υπολογιστών και μέσων αποθήκευσης (USB, Φορητοί Η/Υ, Εξωτερικοί σκληροί δίσκοι) ΙV V VΙ Confidential Document #siamakislawyers

ΤΟ ΣΥΣΤΗΜΑ ΠΡΟΣΦΥΓΩΝ, ΕΥΘΥΝΗΣ ΚΑΙ ΚΥΡΩΣΕΩΝ ΣΕ ΠΕΡΙΠΤΩΣΗ ΠΑΡΑΒΙΑΣΗΣ Confidential Document #siamakislawyers

OI ΑΠΟΦΑΣΕΙΣ ΤΗΣ ΑΠΔΠΧ ΜΕΤΑ ΤΟΝ GDPR ΜΕ ΠΟΙΝΗ ΕΠΙΠΛΗΞΗΣ 66/2018 Μη νόμιμη αποστολή MMS Viber 67/2018 Έλλειψη Μηχανισμών Ασφάλειας. 68 και 69/2018 Μη έγκαιρη υποβολή γνωστοποίησης περιστατικού παραβίασης από Τράπεζες. ΠΟΙΝΗ ΕΠΙΠΛΗΞΗΣ Confidential Document #siamakislawyers

ΑΠΟΦΑΣΗ 66/2018 ΠΕΛΑΤΗΣ – ΕΠΙΧΕΙΡΗΣΗ - Viber Η επιχείρηση είχε λάβει το τηλέφωνο του πελάτη στα πλαίσια εμπορικής συναλλαγής. Αποστολή μηνύματος για εμπορικό σκοπό χωρίς να προκύπτει ότι το μήνυμα αφορούσε την εξυπηρέτηση του πελάτη. Δεν υπήρξε ποτέ ενημέρωση για το σκοπό της επεξεργασίας. Δεν υπήρξε συγκατάθεση ούτε άλλος νόμιμος λόγος επεξεργασίας. Confidential Document #siamakislawyers

ΑΠΟΦΑΣΗ 67/2018 Επίθεση Ασφαλείας – εξωτερική κακόβουλη επίθεση. Διαρροή Προσωπικών Δεδομένων Επίθεση Ασφαλείας – εξωτερική κακόβουλη επίθεση. Ενημέρωση της ΑΠΔΠΧ αλλά και των πελατών της εταιρίας για τη διαρροή. Δεν υπήρξε επικαιροποίηση του χρησιμοποιούμενου λογισμικού Δεν υπήρξε επαρκής μηχανισμός για την ανίχνευση επιθέσεων ούτε διαδικασίες για την τακτική αξιολόγηση των μέτρων ασφάλειας. Confidential Document #siamakislawyers

ΑΠΟΦΑΣΗ 68-69/2018 Μη έγκαιρη ενημέρωση παραβίασης εντός 72 ωρών. Η τράπεζα ενημέρωσε 2 ημέρες μετά τις 72 ώρες την παραβίαση. Η παραβίαση αφορούσε 12 πελάτες της τράπεζας. Έγιναν ενέργειες περιορισμού της παραβίασης και ελέγχου της κατάστασης προς τη σωστή κατεύθυνση. Η παραβίαση αφορούσε κοινοποίηση παραστατικών πελατών σε διαφορετικό πελάτη της υπηρεσίας Private Banking. Confidential Document #siamakislawyers

OI ΑΠΟΦΑΣΕΙΣ ΤΗΣ ΑΠΔΠΧ ΜΕΤΑ ΤΟΝ GDPR – ΣΥΣΤΑΣΕΙΣ - ΠΡΟΕΙΔΟΠΟΙΗΣΕΙΣ 64/2018 Σύσταση στην ΕΛ.ΑΣ για κάμερα στο χώρο συζήτησης κρατουμένων - δικηγόρων 71/2018 Σύσταση σε τράπεζα και ενημέρωση οφειλέτη σε εκχώρηση δανείου σε τρίτο. 72/2018 Σύσταση σε Νοσοκομείο για κοινοποίηση στο υπουργείο εσωτερικών και Υγείας πορίσματος αναπηρίας χωρίς ενημέρωση. 4/2019 ΠΟΙΝΗ ΠΡΟΕΙΔΟΠΟΙΗΣΗΣ Σύσταση σε Νοσοκομείο της Θεσ/νικης Για χορήγηση ιατρικού φακέλου σε τρίτο Για δικαστική χρήση (Εργατικές Διαφορές) Confidential Document #siamakislawyers

ΕΛ.ΑΣ. Για κάμερα σε χώρο συζήτησης Κρατουμένων-δικηγόρων ΑΠΟΦΑΣΗ 64/2018 ΕΛ.ΑΣ. Για κάμερα σε χώρο συζήτησης Κρατουμένων-δικηγόρων Τοποθέτηση κάμερας χωρίς επίκληση νόμιμου λόγου. Τοποθέτηση χωρίς γνωστοποίηση των εμπλεκομένων. Τοποθέτηση χωρίς την ύπαρξη και επίκληση συγκεκριμένου σκοπού. Confidential Document #siamakislawyers

Εκχώρηση Προσωπικών Δεδομένων λόγω τιτλοποίησης οφειλής ΑΠΟΦΑΣΗ 71/2018 Εκχώρηση Προσωπικών Δεδομένων λόγω τιτλοποίησης οφειλής Μεταβιβάστηκαν προσωπικά δεδομένα σε Τρίτη εταιρία λόγω τιτλοποίησης. Για τη μεταβίβαση αυτή των προσωπικών δεδομένων δεν ενημερώθηκε ο οφειλέτης. Ο οφειλέτης έλαβε γνώση της εκχώρησης εντελώς συμπτωματικά και τυχαία. Confidential Document #siamakislawyers

ΑΠΟΦΑΣΗ 72/2018 Διαβίβαση Ευαίσθητων δεδομένων από Νοσοκομείο. Η διαβίβαση έγινε προς το υπουργείο εσωτερικών και το Υπουργείο Υγείας. Αφορούσε πόρισμα πιστοποίησης αναπηρίας. Η παραβίαση αφορούσε την αρχή της αναλογικότητας και τη μη διαγραφή ονόματος και επωνύμου στο έγγραφο για την αποφυγή της ταυτοποίησης με φυσικό πρόσωπο. Αυστηρή σύσταση και διακοπή επεξεργασίας. Confidential Document #siamakislawyers

Χορήγηση Ιατρικού Φακέλου σε τρίτο χωρίς ενημέρωση του ασθενούς ΑΠΟΦΑΣΗ 4/2019 Χορήγηση Ιατρικού Φακέλου σε τρίτο χωρίς ενημέρωση του ασθενούς Η χορήγηση έγινε χωρίς άδεια της αρχής (προγενέστερο δίκαιο-ευαίσθητα δεδομένα). Η χορήγηση έγινε χωρίς ενημέρωση του ασθενούς, προκειμένου να ασκήσει το δικαίωμα της αντίρρησης. Confidential Document #siamakislawyers

Πρόστιμο 30.000 ΕΛΠΕ ΑΠΟΦΑΣΗ 7/2019 Επεξεργασία δεδομένων χωρίς συγκατάθεση από Τρίτη εταιρία. Μη λήψη μέτρων ασφαλείας και διαρροή στο διαδίκτυο. ΠΡΟΓΕΝΕΣΤΕΡΟ ΔΙΚΑΙΟ – ΌΧΙ GDPR Confidential Document #siamakislawyers

GDPR στην Ευρώπη - Τα στοιχεία από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων Confidential Document #siamakislawyers

Confidential Document #siamakislawyers

Καταγγελίες προς όλες τις ΑΠΔΠΧ - Μάιος 2018 – Δεκέμβριος 2018  60 Καταγγελίες προς όλες τις ΑΠΔΠΧ - Μάιος 2018 – Δεκέμβριος 2018  60.000 -Δεκέμβριος 2018 – Ιανουάριος 2019  35.180 Confidential Document #siamakislawyers

Έλεγχος Διασυνοριακών Υποθέσεων - Μάιος 2018-Ιανουάριος 2019 255 διασυνοριακές υποθέσεις είναι σε εξέλιξη ελέγχου. Πολλές εταιρίες κυρίως των Social Networks παρέχουν υπηρεσίες σε περισσότερες από μια ευρωπαϊκές χώρες. Επιλαμβάνεται η μία και συνδράμουν οι υπόλοιπες. Σε περίπτωση διαφωνίας την απόφαση λαμβάνει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Confidential Document #siamakislawyers

Για ποιες πράξεις επεξεργασίας έγιναν οι περισσότερες καταγγελίες; - Telemarketing - Mail Marketing - Κάμερες παρακολούθησης Confidential Document #siamakislawyers

Τι πρόστιμα επιβλήθηκαν για παραβάσεις του GDPR; - H Γερμανική ΑΠΔΠΧ επέβαλε πρόστιμο 20.000 ευρώ σε διαχειριστή κοινωνικού δικτύου για έλλειψη τεχνικών μέτρων ασφάλειας των χρηστών(knuddels.de)-διαρροή 330.000 π.δεδομ. χρηστών. - Η Αυστριακή ΑΠΔΠΧ επέβαλε πρόστιμο 5.280 ευρώ σε Στοιχηματικό Καφέ για παράνομη βιντεοπεπιτήρηση. - Η Γαλλική ΑΠΔΠΧ επέβαλε στη Google πρόστιμο 50.000.000 ευρώ για έλλειψη συγκατάθεσης στα Ads. Εκκρεμούν έλεγχοι για επιβολή προστίμων. Confidential Document #siamakislawyers

Γνωστοποιήσεις Παραβιάσεων εντός 72 ωρών προς τις ΑΠΔΠΧ της Ευρώπης - Μάιος 2018 – Ιανουάριος 2019  41.502 Confidential Document #siamakislawyers

Εφαρμοστικοί Νόμοι του GDPR στην ΕΕ - 23 χώρες εξέδωσαν νόμους εφαρμογής του GDPR - Δεν εξέδωσαν ακόμη Νόμο: Ελλάδα, Βουλγαρία, Σλοβενία, Πορτογαλία, Τσεχία Confidential Document #siamakislawyers

Απήχηση GDPR στα Media και Ενημέρωση κοινού για το νέο θεσμικό πλαίσιο Απήχηση GDPR στα Media και Ενημέρωση κοινού για το νέο θεσμικό πλαίσιο. - GDPR –> 300.000 αναφορές. -Mark Zuckerberg  100.000 αναφορές. Confidential Document #siamakislawyers

Απήχηση GDPR στα Media και Ενημέρωση κοινού για το νέο θεσμικό πλαίσιο Απήχηση GDPR στα Media και Ενημέρωση κοινού για το νέο θεσμικό πλαίσιο. - Τον Μάιο του 2018 ο GDPR είχε υψηλότερες αναφορές και αναγνώσεις από την Kim Kardashian και την Beyonce. Confidential Document #siamakislawyers

GDPR στην Ελλάδα - Τα στοιχεία από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Confidential Document #siamakislawyers

Τα στατιστικά της Αρχής για το διάστημα από 25/5/2018 έως 15/4/2019: Αριθμός παραπόνων που έχει λάβει η Αρχή 860. Αριθμός περιστατικών παραβίασης προσωπικών δεδομένων που έχουν γνωστοποιηθεί στην Αρχή 121 Αριθμός Κωδίκων Δεοντολογίας που έχουν κατατεθεί στην Αρχή. 2 Confidential Document #siamakislawyers

Τα στοιχεία σε σχέση με τα οικονομικά των ΑΠΔΠΧ και του Προσωπικού τους. Confidential Document #siamakislawyers

Confidential Document #siamakislawyers

Confidential Document #siamakislawyers

Σημαντικές αποφάσεις Ευρωπαϊκών Αρχών Προστασίας Δεδομένων και Δικαστηρίου ΕΕ αλλά και Αρείου Πάγου. Confidential Document #siamakislawyers

GDPR - Cookies: Απόφαση Αυστριακής Αρχής Ευνοϊκή απόφαση για τα online μέσα ενημέρωσης. Η υποχρέωση συγκατάθεσης δεν μπορεί να οδηγήσει σε απαίτηση για δωρεάν παρεχόμενη πληροφορία. Confidential Document #siamakislawyers

GDPR - Cookies: Απόφαση Αυστριακής Αρχής Καταγγελία Πολίτη για επιλογές ΣΥΓΚΑΤΑΘΕΣΗΣ 1η Αποδοχή Cookies Analytics και Marketing με πλήρη και δωρεάν πρόσβαση στην ιστοσελίδα. 2η Άρνηση cookies και περιορισμένη πρόσβαση. 3η Πληρωμή 6 ευρώ μηνιαίως και πλήρη πρόσβαση χωρίς αποδοχή Cookies. Confidential Document #siamakislawyers

GDPR - Cookies: Απόφαση Αυστριακής Αρχής Η αυστριακή Αρχή υποστήριξε ότι στην προκειμένη περίπτωση τα άτομα (οι χρήστες) δεν αντιμετώπισαν σημαντικές αρνητικές συνέπειες, δεδομένου ότι θα μπορούσαν να επιλέξουν είτε να εγγραφούν στην ιστοσελίδα με μία μικρή χρέωση ή απλώς να επιλέξουν μια άλλη online εφημερίδα ως πηγή ενημέρωσης. Confidential Document #siamakislawyers

GDPR - Cookies: Αντίθετη Απόφαση Αρχής Ηνωμένου Βασιλείου Αντίθετη Αρνητική απόφαση για τα online μέσα ενημέρωσης. Η υποχρέωση συγκατάθεσης πρέπει να δίδεται ελεύθερα και χωρίς εξαρτήσεις ή ανταλλάγματα υποκρυπτόμενης αμοιβής. Confidential Document #siamakislawyers

1ο Εναλλακτική λύση αποδοχής των cookies. GDPR - Cookies: Απόφαση Αρχής Ηνωμένου Βασιλείου (Washington Post Case) 1ο Εναλλακτική λύση αποδοχής των cookies. 2η Δυνατότητα εξαίρεσης των cookies από όλα τα επίπεδα συνδρομής. Confidential Document #siamakislawyers

GDPR - Cookies: Απόφαση Αυστριακής Αρχής και αρχής Ηνωμένου Βασιλείου To ζήτημα αυτό θα ρυθμιστεί οριστικά με τον Κανονισμό για το ePrivacy που πρόκειται να δημοσιευθεί εντός του 2019 ή από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων Confidential Document #siamakislawyers

GDPR - Συγκατάθεση: Απόφαση Ομοσπονδιακής Αρχής Ανταγωνισμού Γερμανίας κατά Facebook. Confidential Document #siamakislawyers

GDPR - Συγκατάθεση: Απόφαση Ομοσπονδιακής Αρχής Ανταγωνισμού Γερμανίας κατά Facebook. Το Facebook συλλέγει δεδομένα από άλλες δικές του εφαρμογές (WhatsApp ή Instagram) ή από τρίτες εφαρμογές. Η συλλογή των δεδομένων αυτών μπορούν να συνεχίσουν ΜΟΝΟ με τη συγκατάθεση των χρηστών. Όπου δεν παρέχεται συγκατάθεση τα δεδομένα αυτά δεν θα γίνονται γνωστά στο FB. Confidential Document #siamakislawyers

GDPR - Συγκατάθεση: Απόφαση Ομοσπονδιακής Αρχής Ανταγωνισμού Γερμανίας κατά Facebook. Το Facebook δεν επιτρέπεται να αναγκάζει τους χρήστες του να συμφωνούν με την - πρακτικά - απεριόριστη συλλογή και ανάθεση δεδομένων που προέρχονται εκτός του Facebook με τους λογαριασμούς των χρηστών εντός αυτού. Confidential Document #siamakislawyers

GDPR - Συγκατάθεση: Απόφαση Ομοσπονδιακής Αρχής Ανταγωνισμού Γερμανίας κατά Facebook. Οι καταναλωτές θα μπορούν να εμποδίσουν το Facebook να συλλέξει και να χρησιμοποιήσει χωρίς περιορισμούς τα δεδομένα τους. Confidential Document #siamakislawyers

GDPR - Συγκατάθεση: Απόφαση Ομοσπονδιακής Αρχής Ανταγωνισμού Γερμανίας κατά Facebook. Εάν οι χρήστες δεν συγκατατίθενται, το Facebook δεν μπορεί να τους αποκλείσει από τις υπηρεσίες του ΑΛΛΑ ΤΑΥΤΟΧΡΟΝΑ πρέπει να απέχει από τη συλλογή και τον συνδυασμό δεδομένων από διαφορετικές ΤΡΙΤΕΣ πηγές. Confidential Document #siamakislawyers

GDPR – Δικαίωμα στη ΛΗΘΗ: Απόφαση σε προδικαστικό ερώτημα από το Δικαστήριο της Ευρωπαϊκής Ένωσης Google Κατά CNIL (Γαλλική ΑΠΔΠΧ-100.000 ευρώ πρόστιμο) Υποχρέωση διαγραφής συνδέσμων για όλες τις μηχανές αναζήτησης με σκοπό την προστασία του δικαιώματος στη λήθη. ΑΦΟΡΑ ΜΟΝΟ ΤΗΝ ΕΕ (Γεωγραφικά ως περιορισμός) Confidential Document #siamakislawyers

Confidential Document #siamakislawyers GDPR – Δικαίωμα στη ΛΗΘΗ: Απόφαση σε προδικαστικό ερώτημα από το Δικαστήριο της Ευρωπαϊκής Ένωσης -Πολίτης αιτήθηκε τη διαγραφή πληροφορίας αναζήτησης με βάση το ονοματεπώνυμο του που παρέπεμπε σε συγκεκριμένα προσβλητικά links σε όλες τις καταλήξεις domain name (πχ .gr, .de, .fr κλπ. -Η Google διέγραψε τα αποτελέσματα αναζήτησης μόνο στις καταλήξεις της ΕΕ και πρότεινε γεωγραφικό αποκλεισμό της IP του χρήστη στο συγκεκριμένο link.

Confidential Document #siamakislawyers GDPR – Δικαίωμα στη ΛΗΘΗ: Απόφαση σε προδικαστικό ερώτημα από το Δικαστήριο της Ευρωπαϊκής Ένωσης -Η Γαλλική ΑΠΔΠΧ επέβαλε πρόστιμο 100.000 ευρώ και η Google προσέφυγε στο αντίστοιχο Συμβούλιο επικρατείας της Γαλλίας. - Ο Γ. Εισαγγελέας του ΔΕΕ τάχθηκε κατά του Παγκόσμιου αποκλεισμού της πληροφορίας επικαλούμενος την αρχή της αναλογικότητας, αλλά υπέρ της διαγραφής της πληροφορίας εντός ΕΕ. Αναμένεται η έκδοση απόφασης από το ΔΕΕ

Confidential Document #siamakislawyers GDPR Vs Ad Tech: Απόφαση της Γαλλικής ΑΠΔΠΧ για το ζήτημα της συγκατάθεσης. -Η Γαλλική ΑΠΔΠΧ ζήτησε από την Vectaury να διαγράψει όσα δεδομένα συνέλεξε βάσει παράτυπου τρόπου λήψης συγκατάθεσης, μολονότι η εταιρία είχε διαβάθμιση συγκατάθεσης. - Η Victaury προσφέρει στους διαφημιζόμενους μια εφαρμογή που δίνει τη δυνατότητα παρακολούθησης και κατάρτισης προφιλ των πελατών τους. - Αναλύει μετά τα δεδομένα και κάνει στοχευμένη διαφήμιση. - Η εφαρμογή παρακολουθεί το χρήστη και εντός του καταστήματος για να δει την αποτελεσματικότητα της διαφήμισης.

Confidential Document #siamakislawyers GDPR Vs Διαβίβαση Προσωπικών Δεδομένων Σε τρίτο χωρίς συγκατάθεση: Απόφαση του ΔΕΕ για τη νομιμότητα της διαβίβασης. (Deutsche Post vs τελωνείο Κολωνίας. -Το τελωνείο ζήτησε προκειμένου να αδειοδοτήσει υπαλλήλους της Deutsche Post, όλα τα προσωπικά δεδομένα τους. -Η Deutsche post απάντησε ότι ο κύκλος των προσώπων που θίγονται είναι πολύ μεγάλος και δεν συναινεί στη διαβίβαση, ενώ ο όγκος των δεδομένων - Το ΔΕΕ απάντησε ότι θα διαβιβαστούν με βάση την αρχή της αναλογικότητας μόνο τα στοιχεία εκείνα που δίδουν τη δυνατότητα ελέγχου των προσώπων αυτών ως προς την εμπλοκή τους ή μη σε ποινικά οικονομικά αδικήματα ή αδικήματα περί την υπηρεσία

GDPR και Άρειος Πάγος: Προσκόμιση ποινικής απόφασης σε πολιτική δίκη Confidential Document #siamakislawyers

GDPR και Άρειος Πάγος: Προσκόμιση ποινικής απόφασης σε πολιτική δίκη Confidential Document #siamakislawyers

Η ΕΦΑΡΜΟΓΗ ΤΟΥ ΚΑΝΟΝΙΣΜΟΥ ΣΤΗΝ ΕΛΛΑΔΑ ΑΠΟ ΦΥΣΙΚΑ ΠΡΟΣΩΠΑ ΚΑΙ ΕΤΑΙΡΙΕΣ ΤΑ ΠΙΟ ΣΥΧΝΑ ΛΑΘΗ ΚΑΤΑ ΤΗΝ ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΟΝ GDPR ΣΤΗΝ ΕΛΛΑΔΑ. Confidential Document #siamakislawyers

ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ VS ΙΔΙΩΤΙΚΟΤΗΤΑ Personal Data Vs Privacy Δεν είναι συνώνυμες Δεν ταυτίζονται Δεν τέμνονται Personal Data Privacy Confidential Document #siamakislawyers

ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ VS ΙΔΙΩΤΙΚΟΤΗΤΑ Personal Data Vs Privacy Παράδειγμα Εάν κρυφακούσω μια συνομιλία Παραβιάζω την ιδιωτικότητα. Εάν σημειώσω τα ονόματα των συνομιλούντων  παραβιάζω τα προσωπικά δεδομένα τους. Confidential Document #siamakislawyers

ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Ευαίσθητα Ενδεικτικά Συνήθη Κοινά Όνομα Interests Θρησκευτικές πεποιθήσεις Σεξουαλικές προτιμήσεις Ποινικό Μητρώο - Ιστορικό Ευαίσθητα Επώνυμο Ενδεικτικά Διεύθυνση Συνήθη Τηλέφωνο Κοινά Όνομα Ιατρικό Ιστορικό Φυλή – Κοινωνική ταυτότητα E-mail Γενετικά – Βιομετρικά Δεδομένα Interests Confidential Document #siamakislawyers

ΕΥΑΙΣΘΗΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Θρησκευτικές πεποιθήσεις Σεξουαλικές προτιμήσεις Ποινικό Μητρώο - Ιστορικό Ευαίσθητα ΑΠΑΓΟΡΕΥΣΗ ΕΠΕΞΕΡΓΑΣΙΑΣ ΕΥΑΙΣΘΗΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΕΜΕΝΩΝ Ιατρικό Ιστορικό Ε Κ Τ Ο Σ Φυλή – Κοινωνική ταυτότητα ΕΑΝ Α) Εξυπηρετούνται ζωτικά συμφέροντα του Υποκειμένου (κίνδυνος ζωής-δημόσιο συμφέρον-ιατρική πρόληψη-διάγνωση) Β) Εάν υφίστανται κατάλληλες εγγυήσεις στο πλαίσιο νόμιμης Δραστηριότητας φορέα (μέλη ενός σωματείου-προδιαγραφές τεχνικής ασφάλειας -συγκατάθεση) Γ) Εάν τα δεδομένα έχουν ήδη δημοσιευθεί από το ίδιο το υποκείμενο Γενετικά – Βιομετρικά Δεδομένα Confidential Document #siamakislawyers

Η ΣΥΓΚΑΤΑΘΕΣΗ ΔΕΝ ΕΙΝΑΙ Ο ΜΟΝΟΣ ΝΟΜΙΜΟΣ ΛΟΓΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ. Confidential Document #siamakislawyers

ΝΟΜΙΜΟΙ ΛΟΓΟΙ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (άρθρο 6 παρ. 1 GDPR) Συγκατάθεση (6 παρ. 1 α) Σύμβαση (6 παρ.1 β) Έννομη υποχρέωση του ΥΕ (6 παρ. 1 γ) Διαφύλαξη Ζωτικού Συμφέροντος υποκειμένου ( 6παρ. 1δ) Εκπλήρωση Καθήκοντος για δημόσιο συμφέρον ή άσκηση δημόσιας εξουσίας από ΥΕ (6 παρ. 1ε) Έννομο συμφέρον στην επεξεργασία από τον ΥΕ ή τρίτο (6 παρ. 1 στ (το δημόσιο δεν μπορεί να επικαλεστεί έννομο συμφέρον για τη νομιμότητα της επεξεργασίας) Confidential Document #siamakislawyers

ΝΟΜΙΜΟΙ ΛΟΓΟΙ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (άρθρο 6 παρ. 1 GDPR) Συγκατάθεση (6 παρ. 1 α) Σαφής και απλός τρόπος με βάση τον οποίο εξηγούμε στο υποκείμενο το είδος της επεξεργασίας, το σκοπό, το νόμιμο λόγο, τους αποδέκτες, τη διάρκεια και αφού του εξηγήσουμε όλα αυτά και λάβουμε την συγκατάθεση προχωράμε στην επεξεργασία. ΠΡΟΣΟΧΗ! Πρέπει να αποδεικνύουμε τη συγκατάθεση. ΛΑΘΟΣ Όσοι είχαν παράνομες λίστες και έστελναν e-mail για συγκατάθεση την 25-5-2018, ΔΕΝ έχουν λάβει νόμιμη συγκατάθεση. Confidential Document #siamakislawyers

ΝΟΜΙΜΟΙ ΛΟΓΟΙ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (άρθρο 6 παρ. 1 GDPR) Σύμβαση (6 παρ.1 β) Έχουμε υπογράψει μία εμπορική σύμβαση με το πελάτη μας (για οποιοδήποτε αντικείμενο). Μπορούμε να επεξεργαστούμε τα δεδομένα χωρίς συγκατάθεση εφόσον ο σκοπός είναι η εκπλήρωση της σύμβασης. Πχ. Κάνουμε μια παραγγελία από ένα e-shop. Τα e-mail ή τα τηλέφωνα που δεχόμαστε μέχρι την παραλαβή της παραγγελίας έχουν ως νόμιμη βάση επεξεργασίας τη σύμβαση δεν απαιτείται συγκατάθεση. Confidential Document #siamakislawyers

ΝΟΜΙΜΟΙ ΛΟΓΟΙ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (άρθρο 6 παρ. 1 GDPR) Έννομη υποχρέωση του ΥΕ (6 παρ. 1 γ) Η επεξεργασία, η οποία χαρακτηρίζεται ως νόμιμη από ΝΟΜΟ δεν απαιτεί συγκατάθεση ούτε σύμβαση ούτε έννομο συμφέρον. Η επεξεργασία προσωπικών δεδομένων για φορολογικούς ή ασφαλιστικούς λόγους στηρίζεται στην έννομη υποχρέωση. ΠΡΟΣΟΧΗ! Η επεξεργασία των Υπερχρεωμένων Οφειλετών για άνοιγμα τραπεζικών λογαριασμών είναι επίσης έννομη υποχρέωση με βάση τις τελευταίες τροποποιήσεις. Confidential Document #siamakislawyers

ΝΟΜΙΜΟΙ ΛΟΓΟΙ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (άρθρο 6 παρ. 1 GDPR) Διαφύλαξη Ζωτικού Συμφέροντος υποκειμένου ( 6παρ. 1δ) Η διαβίβαση του ΑΦΜ και λοιπών προσωπικών δεδομένων από την ασφαλιστική στο Νοσοκομείο ή από το Νοσοκομείο στην ασφαλιστική προκειμένου να καλυφθούν τα νοσήλια για την αποκατάσταση της υγείας σου είναι πράξη επεξεργασίας που διαφυλάττει το ζωτικό συμφέρον σου και δεν απαιτεί συγκατάθεση. Confidential Document #siamakislawyers

ΝΟΜΙΜΟΙ ΛΟΓΟΙ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (άρθρο 6 παρ. 1 GDPR) Εκπλήρωση Καθήκοντος για δημόσιο συμφέρον ή άσκηση δημόσιας εξουσίας από ΥΕ (6 παρ. 1ε) Η άρση τηλεφωνικού απορρήτου με εισαγγελική διάταξη ή η παρακολούθηση ατόμου με δικαστικό βούλευμα είναι πράξη επεξεργασίας στα πλαίσια εκπλήρωσης καθήκοντος που εξυπηρετεί το δημόσιο συμφέρον και συγκεκριμένα την αποκάλυψη κάποιας εγκληματικής δραστηριότητας. Confidential Document #siamakislawyers

ΝΟΜΙΜΟΙ ΛΟΓΟΙ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (άρθρο 6 παρ. 1 GDPR) Έννομο συμφέρον στην επεξεργασία από τον ΥΕ ή τρίτο (6 παρ. 1 στ) - (το δημόσιο δεν μπορεί να επικαλεστεί έννομο συμφέρον για τη νομιμότητα της επεξεργασίας) Η γνώση του τόπου κατοικίας στο ασφαλιστήριο κλοπής εξυπηρετεί έννομο συμφέρον της ασφαλιστικής στο προσδιορισμό του ασφαλίστρου ανά περιοχή επικινδυνότητας. Confidential Document #siamakislawyers

Η ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΟΝ GDPR ΔΕΝ ΕΙΝΑΙ 2-3 ΣΥΜΦΩΝΗΤΙΚΑ ΚΑΙ ΤΕΛΟΣ. Confidential Document #siamakislawyers

Η ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΟΝ GDPR ΑΠΑΙΤΕΙ ΣΧΕΔΙΑΣΜΟ ΑΝΑΔΙΟΡΓΑΝΩΣΗΣ ΤΕΧΝΙΚΟΥ ΕΞΟΠΛΙΣΜΟΥ ΚΑΙ ΟΡΓΑΝΩΤΙΚΩΝ ΠΡΟΤΥΠΩΝ. Confidential Document #siamakislawyers

ΑΠΑΙΤΕΙΤΑΙ ενδεικτικά και βασικά: α) Σχεδιασμός και Προστασία εξ ορισμού και από το μηδέν, β) Διαμόρφωση κουλτούρας. γ) λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων. δ) Συχνός επανέλεγχος τήρησης βασικών κανόνων. ε) Σχέδιο έκτακτης ανάγκης και άμεσης αποκατάστασης. Στ) Εκπαίδευση ανθρώπινων πόρων – Βελτίωση Υπολογιστικών πόρων. Confidential Document #siamakislawyers

ΣΥΓΧΥΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΕ SPAM POLICY KAI ePRIVACY Confidential Document #siamakislawyers

ΕΣΦΑΛΜΕΝΗ ΑΝΤΙΛΗΨΗ ΥΠΟΧΡΕΩΣΕΩΝ ΥΕ –ΕΕ-DPO ΚΑΙ ΔΙΚΑΙΩΜΑΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ Confidential Document #siamakislawyers

ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ – ΣΥΜΠΕΡΑΣΜΑΤΑ 5 ΒΗΜΑΤΑ ΓΙΑ ΤΗΝ ΠΛΗΡΗ ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΟ ΝΕΟ ΚΑΝΟΝΙΣΜΟ GDPR. ΒΗΜΑ 1ο Αναζητείστε νόμιμο λόγο επεξεργασίας προσωπικών δεδομένων του υποκειμένου των δεδομένων πριν την έναρξη επεξεργασίας των δεδομένων του   Ενημερώστε τα υποκείμενα σε απλή γλώσσα και διατύπωση, για την ταυτότητα της επιχείρησης, για τον λόγο για τον οποίο ζητάτε τα δεδομένα του, για το χρονικό διάστημα που θα τα φυλάξετε και για το ποιοι θα έχουν πρόσβαση σε αυτά, ανεξαρτήτως νόμιμου λόγου. Confidential Document #siamakislawyers

ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ – ΣΥΜΠΕΡΑΣΜΑΤΑ 5 ΒΗΜΑΤΑ ΓΙΑ ΤΗΝ ΠΛΗΡΗ ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΟ ΝΕΟ ΚΑΝΟΝΙΣΜΟ GDPR. ΒΗΜΑ 2ο Φροντίστε για άμεση προειδοποίηση ή γνωστοποίηση στην ΑΠΔΠΧ όταν υπάρξουν τυχόν φαινόμενα παραβίασης, κλοπής, hacking των δεδομένων τους   Τηρείστε αρχείο καταγραφής πράξεων επεξεργασίας (Ηλεκτρονικό ή συμβατικό) Confidential Document #siamakislawyers

ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ – ΣΥΜΠΕΡΑΣΜΑΤΑ 5 ΒΗΜΑΤΑ ΓΙΑ ΤΗΝ ΠΛΗΡΗ ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΟ ΝΕΟ ΚΑΝΟΝΙΣΜΟ GDPR. ΒΗΜΑ 3ο Λάβετε πρόσθετα μέτρα προστασίας (π.χ. κρυπτογράφηση-ψευδωνυμοποίηση) για όλα τα δεδομένα Σχεδιάστε Οργανωμένο Επίπεδο Ασφάλειας Κάντε Τακτική δοκιμή και αναβάθμιση των τεχνικών και οργανωτικών μέτρων Αφιερώστε χρόνο και απευθυνθείτε σε ειδικούς οργανωτικών προτύπων συμμόρφωσης (εσωτερικοί κανονισμοί, κώδικες δεοντολογίας, Recovery plan, Disaster Plan, μεθοδολογία εσωτερικής λειτουργίας κλπ_ Confidential Document #siamakislawyers

ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ – ΣΥΜΠΕΡΑΣΜΑΤΑ 5 ΒΗΜΑΤΑ ΓΙΑ ΤΗΝ ΠΛΗΡΗ ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΟ ΝΕΟ ΚΑΝΟΝΙΣΜΟ GDPR. ΒΗΜΑ 4ο Διακόψτε την επεξεργασία όταν υπάρξει σχετικό αίτημα από το χρήστη   Διαγράψτε τα δεδομένα, εάν το ζητήσει ο χρήστης Προβλέψτε δυνατότητα download και μεταφορά των δεδομένων εάν κάποιος χρήστης ζητήσει να μεταφέρει τα δεδομένα του αλλού Δώστε Άμεση απάντηση ενημέρωσης (εντός 30 ημερών) κατόπιν αιτήματος του χρήστη Confidential Document #siamakislawyers

ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ – ΣΥΜΠΕΡΑΣΜΑΤΑ 5 ΒΗΜΑΤΑ ΓΙΑ ΤΗΝ ΠΛΗΡΗ ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΟ ΝΕΟ ΚΑΝΟΝΙΣΜΟ GDPR. ΒΗΜΑ 5ο Ορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer) DPΟ Απευθυνθείτε σε εξειδικευμένο Δικηγόρο Συνεργαστείτε με την εποπτική αρχή   Confidential Document #siamakislawyers

ΣΑΣ ΕΥΧΑΡΙΣΤΩ Confidential Document #siamakislawyers

linkedin www.linkedin.com/siamakis twitter www.twitter.com/siamakis Nikolaos Siamakis Managing Director, Lawyer at Law Firm Siamakis & Partners site www.siamakis-lawyers.gr linkedin www.linkedin.com/siamakis twitter www.twitter.com/siamakis Facebook www.facebook.com/siamakis Confidential Document #siamakislawyers