'Αρθρα

Τεχνικά μέτρα του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) του Δρ. Νικόλαου Η. Λουκά

Ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου [Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) - General Data Protection Regulation (GDPR)], αποτελεί, στο πλαίσιο της Ε.Ε. για την τελευταία εικοσαετία, ένα από τα σημαντικότερα νομοθετικά εγχειρήματα, όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα. Παρότι ο νέος αυτός κανονισμός υιοθετεί αρκετές από τις βασικές αρχές (principles) που εισάγει και περιγράφει η Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου3, ωστόσο, η επερχόμενη εφαρμογή του (από τις 25 Μαΐου 2018) απαιτεί τρόπον τινά μια αναθεώρηση της αντίληψης ως προς την προστασία των προσωπικών δεδομένων και την ιδιωτικότητα (privacy) στους κόλπους της Ε.Ε. 

 Ο ΓΚΠΔ διαφοροποιείται σε σχέση με την Οδηγία 95/46/ΕΚ σε μια σειρά θεμάτων, όπως είναι, για παράδειγμα, το ρητά διευρυμένο εδαφικό πεδίο εφαρμογής (extended territorial scope), ο προσδιορισμός (του μέγιστου ορίου) των διοικητικών προστίμων που μπορούν να επιβληθούν στις περιπτώσεις παράβασης συγκεκριμένων διατάξεων του κανονισμού (συμπεριλαμβανομένων και αυτών που αφορούν την παραβίαση προσωπικών δεδομένων (data breach), η ενίσχυση του πλαισίου σχετικά με τη συγκατάθεση (consent) των υποκειμένων, ο καθορισμός των απαιτούμενων ενεργειών αντιμετώπισης περιστατικών παραβίασης προσωπικών δεδομένων, η εισαγωγή ενός νέου ρόλου, αυτού του υπεύθυνου προστασίας δεδομένων (Data Protection Officer - DPO), κ.ά. Η λεπτομερής και πλήρης παρουσίαση όλων των νέων θεμάτων που εισάγει ο κανονισμός εκφεύγει του σκοπού του παρόντος άρθρου. Ωστόσο, η ανάλυση που ακολουθεί εστιάζει σε ένα ιδιαίτερα σημαντικό ζήτημα που αναδεικνύεται στον ΓΚΠΔ σε σχέση με την Οδηγία 95/46/ΕΚ και το οποίο αφορά στη συγκεκριμενοποίηση ορισμένων τεχνικών μέτρων (technical measures), που ο κανονισμός προτείνει, προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας των δεδομένων προσωπικού χαρακτήρα. Τα μέτρα αυτά αφορούν τις τεχνικές της Κρυπτογράφησης (Encryption) και της Ψευδωνυμοποίησης (Pseudonymisation).

Σχέδιο Αντιμετώπισης Περιστατικών Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα (Incident Response Plan) - Ένας Πρακτικός Οδηγός του Δημήτρη Γεωργόπουλου


Η προστασία των δεδομένων και ιδιαίτερα των προσωπικών δεδομένων σε έναν οργανισμό αναδεικνύεται σε μια σημαντική, οργανωμένη και επιμελή καθημερινή δραστηριότητα. Τα δεδομένα αποτελούν ίσως το πλέον σημαντικό κεφάλαιο για κάθε εταιρία και θα πρέπει να συλλέγονται, επεξεργάζονται, διακινούνται, φυλάσσονται, προστατεύονται με την εφαρμογή των κατάλληλων πρακτικών, διαδικασιών, πολιτικών και εργαλείων. Έχοντας ως στόχο την αντιμετώπιση των δυσμενέστερων σεναρίων, η δημιουργία και εφαρμογή ενός Σχεδίου Αντιμετώπισης Περιστατικών Παραβίασης Δεδομένων (Incident Response Plan) αποτελεί μία από τις προϋποθέσεις συμμόρφωσης με το νέο Γενικό Κανονισμού Προστασίας Δεδομένων (GDPR), καθότι συνδέει ται άμεσα με τις απαιτήσεις του κανονισμού.

Ο Νέος Γενικός Κανονισμός συνοπτικά απαιτεί από τις εταιρίες:

  • να έχουν εκπαιδεύσει κατάλληλα το προσωπικό τους
  • να ενσωματώσουν στις διαδικασίες τους τα δικαιώματα των υποκειμένων των δεδομένων
  • να έχουν τα κατάλληλα μέτρα ασφαλείας και τις αναγκαίες πο- λιτικές για την προστασία των πληροφοριών,
  • να έχουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα που θα διασφαλίζουν τη διαθεσιμότητα της Πληροφορίας (Σχέδιο Επι- χειρησιακής Συνέχειας)
  • να κάνουν αναλύσεις των επιπτώσεων που μπορούν να προ- κύψουν λόγω παραβίασης ιδιωτικότητας (Privacy Impact Assessment),
  • να σχεδιάζουν προϊόντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας (Privacy by Design, Privacy by Default)
  • να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων,
  • να έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer)
  • να έχουν σχέδιο αντιμετώπισης περιστατικών παραβίασης συ- στημάτων και απώλειας δεδομένων (Incident Response Plan).

Στη συνέχεια θα παρουσιάσουμε τον τρόπο δημιουργίας και εφαρμογής ενός Σχεδίου Αντιμετώπισης Περιστατικών Παραβίασης Δεδομένων (Incident Response Plan), που βασίζεται σε εμπειρίες εταιριών από όλον τον κόσμο. Έτσι, μπορείτε να έχετε την άποψη της εσωτερικής εμπειρίας αντιμετώπισης περιστατικών, που θα σας δώσει τις βασικές κατευθύνσεις να δημιουργήσετε ένα Incident Response Plan, την ομάδα που χρειάζεστε, τα εργαλεία και την εκπαίδευση που απαιτείται γι' αυτόν τον σκοπό.

*Ο Δημήτρης Γεωργόπουλους είναι  (Founder & CEO Rethink Business Lab, GDPR Advisor- Co Founder DPO Academy)

Η υποχρέωση διενέργειας εκτίμησης αντικτύπου (Data protection impact assessment - DPIA) στον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR) του Δημήτρη Ζωγραφόπουλου 

Ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων - ΓΚΠΔ / General Data Protection Regulation - GDPR) τέθηκε σε ισχύ στις 25 Μαΐου 2016 και θα τεθεί σε εφαρμογή στις 25 Μαΐου 2018, οπότε και θα καταργηθεί αυτόματα η ισχύουσα Οδηγία 95/46/ΕΚ. 


Ο ΓΚΠΔ περιέχει ένα αναθεωρημένο σύστημα προστασίας των δεδομένων προσωπικού χαρακτήρα στην ΕΕ, το οποίο αποσκοπεί1 στη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων (υποκειμένων) και στην άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ, με τη «συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση». Για τους σκοπούς αυτούς, ο ΓΚΠΔ χαρακτηρίζεται, ιδίως, από την ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων και την αντίστοιχη επαύξηση των υποχρεώσεων και των ευθυνών με κορωνίδα, την πρόβλεψη ενιαίων για όλες τις χώρες της ΕΕ και αυστηρότατων διοικητικών κυρώσεων- των υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία, οι οποίοι επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εντός της ΕΕ. 

 Η υποχρέωση διενέργειας εκτίμησης αντικτύπου (Data protection impact assessment - DPIA), που βαρύνει πλέον ρητά τον υπεύθυνο επεξεργασίας με βάσει τις διατάξεις του ΓΚΠΔ, παρίσταται, ταυτόχρονα, ως ένα σημαντικό μέτρο προστασίας των υποκειμένων των δεδομένων από «υψηλούς κινδύνους» και ως ένα εξίσου σημαντικό μέτρο συμμόρφωσης των υπεύθυνων επεξεργασίας προς τις διατάξεις του ΓΚΠΔ. Πρόσφατα, στις 4 Απριλίου 2017, η Ομάδα του Άρθρου 29 (Art. 29 WP) εξέδωσε τις κατευθυντήριες οδηγίες της σχετικά με την DPIA και την ερμηνεία της έννοιας του «υψηλού κινδύνου», η οποία καθιστά υποχρεωτική τη διενέργεια της DPIA, παρέχοντας ταυτόχρονα και μεθοδολογικά κριτήρια για τη διενέργεια της DPIA. 

Πηγή: Το άρθρο δημοσιεύθηκε στο περιοδικό Συνήγορος 

 *Ο Δημήτρης Γ. Ζωγραφόπουλος, Δικηγόρος, Δ.Ν., Ειδικός Επιστήμονας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)


O ρόλος και η ευθύνη του Data Protection Officer σύμφωνα με τον νέο Γενικό Κανονισμό Προσωπικών Δεδομένων του Ιωάννη Γιαννακάκη

Στις 16 Απριλίου 2016 ψηφίσθηκε από το Ευρωπαϊκό Κοινοβούλιο ο Γενικός Κανονισμός Προσωπικών Δεδομένων, νομοθέτημα άμεσης εφαρμογής σε όλα τα κράτη μέλη της Ευρωπαϊκής Ενωσης, το οποίο θα τεθεί σε ισχύ μετά την παρέλευση της μεταβατικής περιόδου για την προσαρμογή των κρατών, δηλαδή στις 25 Μαΐου 2018. Το νομοθέτημα αυτό αλλάζει ριζικά το τοπίο στον χώρο της Προστασίας των Προσωπικών Δεδομένων επιβάλλοντας πρόσθετες υποχρεώσεις σε Υπεύθυνους Επεξεργασίας και Εκτελούντες την Επεξεργασία προσωπικών δεδομένων ανάμεσα στις οποίες είναι ο υποχρεωτικός διορισμός Data Protection Officer (σ.σ. θα διατηρήσω τον αγγλικό όρο, καθώς αποδίδει πληρέστερα την ουσία του συγκεκριμένου όρου). 

Ήδη από τον Φεβρούαριο 2016 η Επιτροπή του άρθρου 29 (Article 29 Working Party), η οποία αποτελεί την εποπτεύουσα αρχή των εθνικών Αρχών Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και Συμβουλευτικό Όργανο της Ευρωπαικής Επιτροπής, ανακοίνωσε ότι θα εκδώσει διευκρινιστικές οδηγίες σχετικά με τον ρόλο και την ευθύνη του Data Protection Officer, όπως αυτή προδιαγράφεται στα άθρα 37-39 του κανονισμού. Οι οδηγίες αυτές εκδόθηκαν στις 16 Δεκεμβρίου 2016 αποσαφήνιζοντας αρκετά - όχι όμως όλα τα - ερωτήματα αναφορικά με τον θεσμό που αποκτά νέα βαρύτητα μετά την εισαγωγή του κανονισμού

Πηγή: Το άρθρο δημοσιεύθηκε στο περιοδικό Συνήγορος 

*Ο Ιωάννης Ε. Γιαννακάκης, Δικηγόρος, Nομικός Σύμβουλος Νότιας Ευρώπης Ομίλου G4S*

Ο ρόλος του Data Protection Officer και η χρήση της ασφάλισης cyber insurance του Νίκου Γεωργόπουλου

Τα περιστατικά παραβίασης συστημάτων και η κυβερνοασφάλεια αποτελούν πηγή ανησυχίας για κάθε εταιρεία, δεδομένης της φύσης των πληροφοριών που διαχειρίζεται. Όπως αποδεικνύεται από πρόσφατα περιστατικά παραβίασης συστημάτων, το πώς ένας οργανισμός χειρίζεται μια κρίση διαδραματίζει σημαντικό ρόλο στο κατά πόσο ο διευθύνων σύμβουλος και τα ανώτατα στελέχη (CIO, COO, CΜΟ, CRO, CFO κ.λπ.) παραμένουν στη θέση τους. 

Η πρόσβαση στον κυβερνοχώρο έχει δημιουργήσει νέες επιχειρηματικές ευκαιρίες για τις εταιρείες, γιατί προσφέρει τη δυνατότητα της αποτελεσματικής επικοινωνίας με τα δίκτυα διανομής και τον τελικό πελάτη, απλοποιεί τις διαδικασίες λειτουργίας τους και προσφέρει τη δυνατότητα της πρόσβασης σε νέα τμήματα της αγοράς, με προϊόντα και υπηρεσίες χαμηλότερου κόστους. 

Αυτό άλλωστε είναι και το σημαντικότερο πλεονέκτημα από τη χρήση του κυβερνοχώρου. Όμως, σε αυτόν δραστηριοποιούνται και κυβερνοεγκληματίες, οι οποίοι έχουν στόχο να υποκλέψουν δεδομένα και εμπιστευτικές πληροφορίες που διατηρούν οι εταιρείες, όπως οικονομικές εκθέσεις, μισθοδοσίες υπαλλήλων, βάσεις δεδομένων πελατών, κωδικούς πρόσβασης, εμπορικά μυστικά, σχέδια του μάρκετινγκ, σχέδια δημιουργίας νέων προϊόντων και υπηρεσιών, συμβάσεις συνεργασίας με τα δίκτυα διανομής, δεδομένα υγείας, αριθμούς πιστωτικών καρτών και τραπεζικών λογαριασμών, περιουσιακά και προσωπικά οικονομικά στοιχεία πελατών.

Πηγή: Το άρθρο δημοσιεύθηκε στο περιοδικό Συνήγορος 

*Ο Νίκος Γεωργόπουλος είναι Cyber Privacy Risks Insurance Advisor στην Cromar Coverholder at Lloyd's και συνιδρυτής του DPO Academy