'Αρθρα

Blockchain & GDPR - Έννοιες ασύμμετρες ή μήπως συμπληρωματικές; 

Μπορεί η τεχνολογία BLOCKCHAIN να είναι συμβατή με τις αρχές επεξεργασίας προσωπικών δεδομένων του Γενικού Κανονισμού Προσωπικών Δεδομένων (GDPR)?

Tου IΩΑΝΝΗ Ε. ΓΙΑΝΝΑΚΑΚΗ- ΔΙΚΗΓΟΡΟΥ- ΕΤΑΙΡΟΥ G+PLawFIRM FIP, CIPM,CIPP/E, CIPP/US, CDPO, CFE, Cert. GDPR PRACTICIONER,Co Founder @ The DPO Academy

Η πρόσφατη -στις 25 Μαΐου 2018 -έναρξη ισχύος του Γενικού Κανονισμού Προστασίας Δεδομένων ( ΕU 679/2016) του σημαντικότερου νομοθετήματος στον τομέα της προστασίας προσωπικών δεδομένων άλλαξε οριστικά το τοπίο στην παγκόσμια «ψηφιακή» οικονομία εντός αλλά και εκτός των ορίων της Ευρωπαϊκής Ένωσης .

Ο Γενικός Κανονισμός Προστασίας Δεδομένων ( General Data Protection Regulation) είναι ένα καινοτόμο νομοθέτημα που επιδιώκει την ενδυνάμωση των ατομικών δικαιωμάτων των Υποκειμένων των Δεδομένων, δηλαδή των Ευρωπαίων Πολιτών ή ορθότερα των φυσικών προσώπων που διαμένουν μόνιμα εντός της Ευρωπαϊκής Ένωσης ( European Residents) και δημιουργεί ένα σαφές και αυστηρό πλαίσιο επεξεργασίας των προσωπικών δεδομένων δηλαδή κάθε πληροφορίας που μπορεί να ταυτοποίησή άμεσα ή έμμεσα ένα φυσικό πρόσωπο από τα νομικά πρόσωπα του δημόσιού ή ιδιωτικού τομέα τους «Υπεύθυνους Επεξεργασίας» ( Data Controllers) και τους Εκτελούντες την Επεξεργασία ( Data Processors) Οι δημόσιοι και ιδιωτικοί οργανισμοί, εφόσον συνεχίσουν να λειτουργούν όπως στο παρελθόν τείνουν να συγκεντρώνουν δεδομένα ακόμα και πριν μάθουν τι θα κάνουν με αυτά πως θα τα προστατεύσουν και γιατί τα χρειάζονται .O GDPR αντίκειται στη συνήθεια αυτή διευκρινίζοντας ότι οι Υπεύθυνοι Επεξεργασίας δεν θα πρέπει να συλλέγουν δεδομένα πέρα ​​από αυτά που είναι άμεσα χρήσιμα για την άμεση αλληλεπίδρασή τους με τους καταναλωτές. Πράγματι, η συλλογή δεδομένων θα πρέπει να είναι «επαρκής, σχετική και περιορισμένη στο ελάχιστο αναγκαίο σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία» (άρθρο 39 του GDPR).

Εκτός από τον καθορισμό του τι είναι ή δεν επιτρέπεται, ο ΓΚΠΔ καθορίζει επίσης τις οργανωτικές αρχές που θα χρειαστεί να υιοθετήσουν από τώρα και στο εξής οι Υπεύθυνοι Επεξεργασίας . Για παράδειγμα, η τεχνολογική τους αρχιτεκτονική θα πρέπει να περιλαμβάνει από τον σχεδιασμό την επιλογή της διαγραφής των προσωπικών δεδομένων των καταναλωτών - υποκειμένων των δεδομένων μετά την χρήση τους σύμφωνα με την απαίτηση για Ιδιωτικότητα από τον Σχεδιασμό ( άρθρο 25 ΓΚΠΔ Privacy by Design).

II. TEXNOΛΟΓΙΑ BLOCKCHAIN

H τεχνολογία Blockchain που δημιουργήθηκε από τον Satoshi Nakamoto και την ομάδα των συνεργατών του το 2009 είναι μια πρωτοποριακή τεχνολογία που επιτρέπει τη διανομή ψηφιακής πληροφορίας αλλά όχι την αντιγραφή ή μη εξουσιοδοτημένη αναπαραγωγή της υποστηρίζεται ότι στηρίζει πλέον την ραχοκοκαλιά ενός νέου τύπου Διαδικτύου. Αρχικά σχεδιάστηκε για την διαχείριση του κρυπτονομίσματος γνωστού ως Bitcoin η αξία του οποίου μόνο στις ΗΠΑ σήμερα φθάνει τα 9 δισεκατομμύρια δολάρια - το οποίο λειτουργεί μόνο χάρη στην τεχνολογία Blockchain το κύριο χαρακτηριστικό της οποίας είναι ότι επιτρέπει την καταγραφή μιας τεράστιας λίστας συναλλαγών σε ψηφιακό νόμισμα χωρίς να μπορεί όμως κανείς να παρέμβει και να αλλάξει την λίστα αυτή μετά από κάθε νέα συναλλαγή.

Η τεχνολογία blockchain προσομοιάζει σε αμετάβλητη (immutable) ψηφιακή βιβλιοθήκη οικονομικών συναλλαγών η οποία μπορεί να σχεδιαστεί ώστε να καταγράφει όχι μόνο χρηματοπιστωτικές συναλλαγές αλλά σχεδόν οτιδήποτε έχει οικονομική αξία, απαλλαγμένο από οποιαδήποτε κεντρικά ελεγχόμενη διαχείριση. Ένα αντίστοιχο αρχείου XL το οποίο αντιγράφεται εκατομμύρια φορές σε ένα δίκτυο υπολογιστών ενώ οι πληροφορίες που καταγράφονται στο αρχείο αυτό δεν μπορούν να μεταβληθούν ή να διαγραφούν από ΄τους χρήστες του αρχείου αλλά απλά ενημερώνονται και επικαιροποιούνται με κάθε νέα συναλλαγή ΧΩΡΙΣ ΝΑ ΧΑΝΕΤΑΙ ΤΟ ΙΧΝΟΣ ΔΗΛΑΔΗ Η ΙΣΤΟΡΙΚΗ ΣΥΝΕΧΕΙΑ ΤΩΝ ΠΡΟΗΓΟΥΜΕΝΩΝ ΣΥΝΑΛΛΑΓΩΝ . Συνδυάζοντας την κρυπτογραφία και τη διανομή, το blockchain καθιστά πολύ δύσκολη την αλλαγή ή τη διαγραφή των πληροφοριών που είναι αποθηκευμένες "στην αλυσίδα". ( ledger)

Έτσι, το GDPR και το blockchain ξεκινούν από διαμετρικά αντίθετες βάσεις εκκίνησης σχετικά με την ακεραιότητα των δεδομένων. Ενώ ο GDPR απαιτεί δυνατότητα προσαρμογής, το blockchain παρέχει αμετάβλητη συνέχεια συναλλαγών.

Τι συμβαίνει όταν τα δύο συναντηθούν;

Blockchain vs GDPR

Κάποιοι υποστηρίζουν ότι το blockchain και το GDPR είναι ουσιαστικά εννοιες ασυμβίβαστες Πρέπει οι επιχειρήσεις που χρησιμοποιούν blockchain να επεξεργάζονται προσωπικά δεδομένα στην ΕΕ απλώς να διακόψουν τις υπηρεσίες τους ;

GDPR και προσωπικά δεδομένα

Ο ΓΚΠΔ ισχύει για όσους επεξεργάζονται προσωπικά δεδομένα και είναι εγκατεστημένοι στην ΕΕ. Αλλά δεν περιορίζεται μόνο στις εταιρίες που είναι εγκατεστημένες στην ΕΕ. Εφαρμόζεται επίσης σε όσους βρίσκονται εκτός της ΕΕ και επεξεργάζονται τα προσωπικά δεδομένα προσώπων στην ΕΕ κατά τη διάρκεια της προσφοράς αγαθών ή υπηρεσιών.

Τα προσωπικά δεδομένα είναι ένας ευρύς όρος . Καλύπτει κάθε πληροφορία που μπορεί να ταυτοποιήσει άμεσα ή έμμεσα ένα φυσικό πρόσωπο δηλαδή ένα άτομο. Αυτό περιλαμβάνει τα ψευδονυμοποιημένα ή κρυπτογραφημένα δεδομένα.

Κατ αρχήν ένα blockchain που χρησιμοποιεί πλήρως ανώνυμα δεδομένα δεν φαίνεται να καταλαμβάνεται από τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων Αλλά είναι δύσκολο να προσφέρουμε μια υπηρεσία όταν κανείς δεν γνωρίζει τα εμπλεκόμενα μέρη σε αυτήν την υπηρεσία Πράγματι, πολλές επιχειρήσεις θα χρειαστεί να καθορίσουν την ταυτότητα των πελατών βάσει των κανόνων της ΕΕ για το Know Your Customer (KYC) και την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες (AML) . Ως αποτέλεσμα, η συμμόρφωση με το KYC / AML θα οδηγήσει και τις συναλλαγές Blockchain στην ανάγκη συμμόρφωσης με το GDPR.

GDPR, blockchains, και σχεδιασμός

Ας εξετάσουμε ένα απλό παράδειγμα. Πολλοί άνθρωποι βρίσκονται στο βιογραφικό τους σημείωμα. Μερικοί ακόμη ψευδώς ισχυρίζονται ότι κατέχουν πτυχίο πανεπιστημίου, . Πώς εντοπίζουμε μια τέτοια περίπτωση απάτης ?

Μια ομάδα πανεπιστημίων θα μπορούσε να χτίσει ένα blockchain για πιστοποιημένα πανεπιστημιακά πτυχία . Κάθε πανεπιστήμιο θα έχει δικό του ιδιωτικό κλειδί, δηλαδή κάθε βαθμό που εγγράφει στην αλυσίδα που κατά πάσα πιθανότητα προέρχεται από αυτό το ίδρυμα. Οι εργοδότες θα μπορούσαν στη συνέχεια να αναζητήσουν μέσω του blockchain για να ελέγξουν τους ισχυρισμούς των αιτούντων.

Οι πανεπιστημιακοί τίτλοι περιλαμβάνουν προσωπικά δεδομένα Έτσι θα ήταν αυτό το blockchain συμβατό με GDPR; Η απάντηση εξαρτάται, σε μεγάλο βαθμό, από τον τρόπο με τον οποίο τα πανεπιστήμια διαρθρώνουν το blockchain τους. Ας εξετάσουμε δύο επιλογές.

Πρώτον, τα πανεπιστήμια θα μπορούσαν να δημιουργήσουν ένα ανοιχτό blockchain, που ονομάζεται επίσης σύστημα «δημόσιο» ή «άδειο» .

Για να γίνει αυτό, προετοιμάζουν το blockchain λογισμικό τους και το δημοσιοποιούν. Οποιοσδήποτε μπορεί να κατεβάσει το λογισμικό και να το εκτελέσει στο τοπικό του μηχάνημα. Όλοι όσοι κάνουν γίνεται αυτό που ονομάζεται "κόμβος". Οι κόμβοι διατηρούν ένα τοπικό αντίγραφο του blockchain και συνδέονται με άλλους κόμβους σε ένα δίκτυο peer-to-peer που διατηρεί το blockchain ενημερωμένο.

Το αποτέλεσμα θα μπορούσε να είναι εκατοντάδες - ή ακόμη και χιλιάδες - κόμβων. Αυτό είναι ένα πολύ ανθεκτικό σύστημα - αλλά είναι επίσης πολύ περίπλοκο υπο το πρισμα των απαιτήσεων του GDPR .

Πρώτον, ας εξετάσουμε τη λογοδοσία. Παρόλο που τα πανεπιστήμια σχεδίασαν την εφαρμογή, δεν επεξεργάζονται κατ 'ανάγκην τα προσωπικά δεδομένα τους μέσα από το blockchain. Οι ρυθμιστές (κόμβοι ) το κάνουν. Αλλά οι κόμβοι δεν έχουν κανέναν έλεγχο για το πώς λειτουργεί το σύστημα.

Σε αυτό το μοντέλο, τα πανεπιστήμια δεν είναι πραγματικά σαν ένας σεφ που είναι υπεύθυνος για μια κουζίνα. Αντ 'αυτού, είναι περισσότερο σαν να δημοσίευσαν ένα βιβλίο συνταγών που ο καθένας μπορεί να μαγειρέψει στο σπίτι Έτσι ποιος είναι Υπεύθυνος και ποιος Εκτελών την Επεξεργασία ; Και πώς πρέπει όλα τα μέρη να συνάψουν συμφωνίες επεξεργασίας δεδομένων μεταξύ Υπεύθυνου και Εκτελούντα

Δεύτερον, ας δούμε τα δικαιώματα των υποκειμένων των δεδομένων. Ας υποθέσουμε ότι δεν θέλω πλέον το πτυχίο μου αποθηκευμένο στην μπλοκ αλυσίδα. Πώς θα συμμορφωθούν τα πανεπιστήμια με το αίτημά μου για διαγραφή;

Για να συμμορφωθώ, θα πρέπει να πείσουν κάθε κόμβο να αφαιρέσει τα δεδομένα μου από το τοπικό αντίγραφό τους. Και ακόμα κι αν συμφωνούν οι κόμβοι, η τεχνολογία blockchain παρουσιάζει ένα πρόβλημα. Η κατάργηση των δεδομένων αλλάζει το κρυπτογραφικό hash ενός μπλοκ, Τα πανεπιστήμια θα μπορούσαν, αντίθετα, να δημιουργήσουν ένα κλειστό μπλοκ, το οποίο ονομάζεται επίσης «ιδιωτικό» ή «εξουσιοδοτημένο σύστημα» .

Για να γίνει αυτό, απλά τρέχουν το λογισμικό blockchain οι ίδιοι. Χρησιμοποιούν είτε τα τοπικά μηχανήματά τους είτε νοικιάζουν χώρο "στο σύννεφο". Κάθε πανεπιστήμιο τότε γίνεται κόμβος σε κλειστό, ιδιωτικό δίκτυο.

Από μια προοπτική GDPR, αυτό είναι ένα πολύ απλούστερο set-up . Όσον αφορά τη λογοδοσία, τα πανεπιστήμια δημιουργούν και λειτουργούν το σύστημα μαζί. Ως αποτέλεσμα, μπορούν να χαρακτηριστούν ως ελεγκτές. Ο φορέας παροχής υπηρεσιών cloud είναι πιθανώς επεξεργαστής, δεδομένου ότι επεξεργάζεται δεδομένα για λογαριασμό των πανεπιστημίων. Τα πανεπιστήμια και ο πάροχος σύννεφων πρέπει να υπογράψουν συμφωνίες ελεγκτή-επεξεργαστή.

Τι γίνεται με τα δικαιώματα των υποκειμένων των δεδομένων; Δεν θα μπορούσε ακόμα να σπάσει η αλυσίδα για να επεξεργαστεί ή να αφαιρέσει δεδομένα από προηγούμενα μπλοκ; Λοιπόν, εδώ θα χρειαστεί να σχεδιάσουμε έξυπνες λύσεις.

Σύμφωνα με το GDPR, οι εφαρμογές blockchain θα πρέπει να επιτρέπουν τρεις κύριες ενέργειες :

  • Αναζητήστε όλες τις εμφανίσεις προσωπικών δεδομένων που σχετίζονται με ένα Υποκείμενο Προσωπικών Δεδομένων .
  • Εξαγάγετε αυτά τα δεδομένα και τα παρέχετε στο άτομο σε φορητή μορφή.
  • Επεξεργαστείτε ή αφαιρέστε τα δεδομένα κατόπιν αιτήματος.

Ας επικεντρωθούμε στο πιο δύσκολο κομμάτι: την επεξεργασία και την αφαίρεση δεδομένων από ένα blockchain.

Πώς διαγράφουμε τα δεδομένα από το blockchain?

Τα δεδομένα Blockchain δεν είναι πραγματικά αμετάβλητα - είναι δύσκολο να αλλάξουν. Συλλογικά, οι κόμβοι ελέγχουν όλα τα αντίγραφα του blockchain. Μπορούν να αλλάξουν τα δεδομένα που είναι αποθηκευμένα στην αλυσίδα μεταβαίνοντας σε μια νέα έκδοση, που ονομάζεται "forking".

Έτσι, εάν στο προηγούμενο παράδειγμα τα πανεπιστήμια συμφωνούν, μπορούν να διαγράψουν δεδομένα που αφορούν ένα συγκεκριμένο άτομο από ένα προηγούμενο μπλοκ. Είναι βέβαιο ότι θα μπορούσαμε να υποστηρίξουμε ότι αυτό ξεπερνά το σημείο χρήσης του blockchain . Εάν τα πανεπιστήμια μπορούν να αλλάξουν τα δεδομένα στην αλυσίδα, τότε οι εξωτερικοί δεν μπορούν πλέον να επαληθεύσουν ανεξάρτητα την ακεραιότητα του blockchain.

Το αν αυτό θα έχει σημασία θα διαφέρει ανάλογα με την εφαρμογή. Σε ορισμένες περιπτώσεις, θα πρέπει να είναι αρκετό ώστε οι κόμβοι να μπορούν να επαληθεύσουν και να εγγυηθούν την ακεραιότητα του blockchain ) .

Απόρρητο-από-σχεδιασμό: επιτρέποντας τη διαγραφή διατηρώντας ταυτόχρονα την ακεραιότητα

Ακούγεται σαν ένα παράδοξο: πώς επιτρέπετε τη διαγραφή των προσωπικών δεδομένων, αφενός, διατηρώντας ταυτόχρονα την ακεραιότητα του blockchain, αφετέρου; Ωστόσο, υπάρχουν πολλά υποσχόμενες λύσεις που το επιτυγχάνουν, κυρίως διαχωρίζοντας (κατανοητά) τα προσωπικά δεδομένα από την αλυσίδα.

Μια πρώτη τεχνική χρησιμοποιεί κρυπτογράφηση. Στο παραπάνω παράδειγμα, τα πανεπιστήμια θα μπορούσαν να κρυπτογραφήσουν κάθε είσοδο στο blockchain με το δικό του ζεύγος κλειδιών και να αποθηκεύσουν μόνο το κρυπτογραφημένο κείμενο κρυπτογράφησης στην αλυσίδα. Αντί να διαγράψει το κείμενο κρυπτογράφησης, το πανεπιστήμιο απλά θα διαγράψει το σχετικό δημόσιο κλειδί.

Παρόλο που το κείμενο κρυπτογράφησης θα παραμείνει στην αλυσίδα, δεν μπορεί πλέον να αποκρυπτογραφηθεί. Αυτό θα μπορούσε να θεωρηθεί ότι έχει διαγραφεί, τουλάχιστον στο Ηνωμένο Βασίλειο .

Βεβαίως, υπάρχουν κίνδυνοι για αυτήν την προσέγγιση. Βραχυπρόθεσμα, το δημόσιο κλειδί θα μπορούσε να διακυβευτεί σε περίπτωση παραβίασης της ασφάλειας πριν από τη διαγραφή. Μακροπρόθεσμα, ο μηχανισμός κρυπτογράφησης μπορεί τελικά να σπάσει , για παράδειγμα μέσω κβαντικών υπολογισμών.

Μια δεύτερη, ασφαλέστερη τεχνική χρησιμοποιεί αποθήκευση εκτός αλυσίδας. Στο παραπάνω παράδειγμα, τα πανεπιστήμια θα μπορούσαν να πάρουν ένα κρυπτογραφικό hash του βαθμού που επιθυμούν να επαληθεύσουν , εισάγοντας το βαθμό σε μια λειτουργία κατακερματισμού. Ωστόσο, θεωρητικά, το hash που παραμένει στην αλυσίδα θα μπορούσε ακόμα να χαρακτηριστεί ως προσωπικά δεδομένα στο GDPR. Οποιοσδήποτε έχει τα δεδομένα εισόδου, μπορεί να το εκτελέσει μέσω της ίδιας συνάρτησης κατακερματισμού και στη συνέχεια να συσχετίσει τον κατακερματισμό με το υποκείμενο των δεδομένων .

Μια λύση θα μπορούσε να είναι να προστεθεί ένα «nonce» (τυχαία σειρά δεδομένων) στα προσωπικά δεδομένα. Αυτό είναι γνωστό ως ' peppering ' στο hash, και καθιστά πολύ πιο δύσκολο για έναν ξένο να συνδέσει το hash επί της αλυσίδας στο άτομο.

Δημιουργία λύσεων blockchain συμβατών με το GDPR

Τα παραπάνω παραδείγματα απεικονίζουν το είδος της δημιουργικής σκέψης που απαιτείται για το σχεδιασμό και τη λειτουργία ιδιωτικών μπλοκ αλυσίδων με τρόπο που συμμορφώνεται με το GDPR. ορισμένοι πρότειναν να χρησιμοποιηθούν "δεσμευτικοί κανόνες δικτύου" ( Βιnding Network Rules) για να ανατεθεί η ευθύνη - και η έρευνα στον τομέα αυτό συνεχίζεται.

Ας συνεργαστούμε για να σχεδιάσουμε δημιουργικές λύσεις για να ξεπεράσουμε τις νομικές προκλήσεις του blockchain. Φανταστείτε εάν ένα χρόνο από τώρα, ένας πάροχος blockchain-as-a-service θα μπορούσε να προσφέρει ένα GDPR έτοιμο blockchain σε οποιονδήποτε στην ΕΕ που θέλει να επεξεργαστεί τα προσωπικά δεδομένα. Στη συνέχεια, μπορούμε πραγματικά να απελευθερώσουμε τη δύναμη αυτής της ανατρεπτικής τεχνολογίας, τηρώντας παράλληλα τα δικαιώματα προστασίας δεδομένων.

  

Τεχνικά μέτρα του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) του Δρ. Νικόλαου Η. Λουκά

Ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου [Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) - General Data Protection Regulation (GDPR)], αποτελεί, στο πλαίσιο της Ε.Ε. για την τελευταία εικοσαετία, ένα από τα σημαντικότερα νομοθετικά εγχειρήματα, όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα. Παρότι ο νέος αυτός κανονισμός υιοθετεί αρκετές από τις βασικές αρχές (principles) που εισάγει και περιγράφει η Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου3, ωστόσο, η επερχόμενη εφαρμογή του (από τις 25 Μαΐου 2018) απαιτεί τρόπον τινά μια αναθεώρηση της αντίληψης ως προς την προστασία των προσωπικών δεδομένων και την ιδιωτικότητα (privacy) στους κόλπους της Ε.Ε. 

 Ο ΓΚΠΔ διαφοροποιείται σε σχέση με την Οδηγία 95/46/ΕΚ σε μια σειρά θεμάτων, όπως είναι, για παράδειγμα, το ρητά διευρυμένο εδαφικό πεδίο εφαρμογής (extended territorial scope), ο προσδιορισμός (του μέγιστου ορίου) των διοικητικών προστίμων που μπορούν να επιβληθούν στις περιπτώσεις παράβασης συγκεκριμένων διατάξεων του κανονισμού (συμπεριλαμβανομένων και αυτών που αφορούν την παραβίαση προσωπικών δεδομένων (data breach), η ενίσχυση του πλαισίου σχετικά με τη συγκατάθεση (consent) των υποκειμένων, ο καθορισμός των απαιτούμενων ενεργειών αντιμετώπισης περιστατικών παραβίασης προσωπικών δεδομένων, η εισαγωγή ενός νέου ρόλου, αυτού του υπεύθυνου προστασίας δεδομένων (Data Protection Officer - DPO), κ.ά. Η λεπτομερής και πλήρης παρουσίαση όλων των νέων θεμάτων που εισάγει ο κανονισμός εκφεύγει του σκοπού του παρόντος άρθρου. Ωστόσο, η ανάλυση που ακολουθεί εστιάζει σε ένα ιδιαίτερα σημαντικό ζήτημα που αναδεικνύεται στον ΓΚΠΔ σε σχέση με την Οδηγία 95/46/ΕΚ και το οποίο αφορά στη συγκεκριμενοποίηση ορισμένων τεχνικών μέτρων (technical measures), που ο κανονισμός προτείνει, προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας των δεδομένων προσωπικού χαρακτήρα. Τα μέτρα αυτά αφορούν τις τεχνικές της Κρυπτογράφησης (Encryption) και της Ψευδωνυμοποίησης (Pseudonymisation).

Σχέδιο Αντιμετώπισης Περιστατικών Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα (Incident Response Plan) - Ένας Πρακτικός Οδηγός του Δημήτρη Γεωργόπουλου


Η προστασία των δεδομένων και ιδιαίτερα των προσωπικών δεδομένων σε έναν οργανισμό αναδεικνύεται σε μια σημαντική, οργανωμένη και επιμελή καθημερινή δραστηριότητα. Τα δεδομένα αποτελούν ίσως το πλέον σημαντικό κεφάλαιο για κάθε εταιρία και θα πρέπει να συλλέγονται, επεξεργάζονται, διακινούνται, φυλάσσονται, προστατεύονται με την εφαρμογή των κατάλληλων πρακτικών, διαδικασιών, πολιτικών και εργαλείων. Έχοντας ως στόχο την αντιμετώπιση των δυσμενέστερων σεναρίων, η δημιουργία και εφαρμογή ενός Σχεδίου Αντιμετώπισης Περιστατικών Παραβίασης Δεδομένων (Incident Response Plan) αποτελεί μία από τις προϋποθέσεις συμμόρφωσης με το νέο Γενικό Κανονισμού Προστασίας Δεδομένων (GDPR), καθότι συνδέει ται άμεσα με τις απαιτήσεις του κανονισμού.

Ο Νέος Γενικός Κανονισμός συνοπτικά απαιτεί από τις εταιρίες:

  • να έχουν εκπαιδεύσει κατάλληλα το προσωπικό τους
  • να ενσωματώσουν στις διαδικασίες τους τα δικαιώματα των υποκειμένων των δεδομένων
  • να έχουν τα κατάλληλα μέτρα ασφαλείας και τις αναγκαίες πο- λιτικές για την προστασία των πληροφοριών,
  • να έχουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα που θα διασφαλίζουν τη διαθεσιμότητα της Πληροφορίας (Σχέδιο Επι- χειρησιακής Συνέχειας)
  • να κάνουν αναλύσεις των επιπτώσεων που μπορούν να προ- κύψουν λόγω παραβίασης ιδιωτικότητας (Privacy Impact Assessment),
  • να σχεδιάζουν προϊόντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας (Privacy by Design, Privacy by Default)
  • να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων,
  • να έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer)
  • να έχουν σχέδιο αντιμετώπισης περιστατικών παραβίασης συ- στημάτων και απώλειας δεδομένων (Incident Response Plan).

Στη συνέχεια θα παρουσιάσουμε τον τρόπο δημιουργίας και εφαρμογής ενός Σχεδίου Αντιμετώπισης Περιστατικών Παραβίασης Δεδομένων (Incident Response Plan), που βασίζεται σε εμπειρίες εταιριών από όλον τον κόσμο. Έτσι, μπορείτε να έχετε την άποψη της εσωτερικής εμπειρίας αντιμετώπισης περιστατικών, που θα σας δώσει τις βασικές κατευθύνσεις να δημιουργήσετε ένα Incident Response Plan, την ομάδα που χρειάζεστε, τα εργαλεία και την εκπαίδευση που απαιτείται γι' αυτόν τον σκοπό.

*Ο Δημήτρης Γεωργόπουλους είναι  (Founder & CEO Rethink Business Lab, GDPR Advisor- Co Founder DPO Academy)

Η υποχρέωση διενέργειας εκτίμησης αντικτύπου (Data protection impact assessment - DPIA) στον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR) του Δημήτρη Ζωγραφόπουλου 

Ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων - ΓΚΠΔ / General Data Protection Regulation - GDPR) τέθηκε σε ισχύ στις 25 Μαΐου 2016 και θα τεθεί σε εφαρμογή στις 25 Μαΐου 2018, οπότε και θα καταργηθεί αυτόματα η ισχύουσα Οδηγία 95/46/ΕΚ. 


Ο ΓΚΠΔ περιέχει ένα αναθεωρημένο σύστημα προστασίας των δεδομένων προσωπικού χαρακτήρα στην ΕΕ, το οποίο αποσκοπεί1 στη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων (υποκειμένων) και στην άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ, με τη «συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση». Για τους σκοπούς αυτούς, ο ΓΚΠΔ χαρακτηρίζεται, ιδίως, από την ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων και την αντίστοιχη επαύξηση των υποχρεώσεων και των ευθυνών με κορωνίδα, την πρόβλεψη ενιαίων για όλες τις χώρες της ΕΕ και αυστηρότατων διοικητικών κυρώσεων- των υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία, οι οποίοι επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εντός της ΕΕ. 

 Η υποχρέωση διενέργειας εκτίμησης αντικτύπου (Data protection impact assessment - DPIA), που βαρύνει πλέον ρητά τον υπεύθυνο επεξεργασίας με βάσει τις διατάξεις του ΓΚΠΔ, παρίσταται, ταυτόχρονα, ως ένα σημαντικό μέτρο προστασίας των υποκειμένων των δεδομένων από «υψηλούς κινδύνους» και ως ένα εξίσου σημαντικό μέτρο συμμόρφωσης των υπεύθυνων επεξεργασίας προς τις διατάξεις του ΓΚΠΔ. Πρόσφατα, στις 4 Απριλίου 2017, η Ομάδα του Άρθρου 29 (Art. 29 WP) εξέδωσε τις κατευθυντήριες οδηγίες της σχετικά με την DPIA και την ερμηνεία της έννοιας του «υψηλού κινδύνου», η οποία καθιστά υποχρεωτική τη διενέργεια της DPIA, παρέχοντας ταυτόχρονα και μεθοδολογικά κριτήρια για τη διενέργεια της DPIA. 

Πηγή: Το άρθρο δημοσιεύθηκε στο περιοδικό Συνήγορος 

 *Ο Δημήτρης Γ. Ζωγραφόπουλος, Δικηγόρος, Δ.Ν., Ειδικός Επιστήμονας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)


O ρόλος και η ευθύνη του Data Protection Officer σύμφωνα με τον νέο Γενικό Κανονισμό Προσωπικών Δεδομένων του Ιωάννη Γιαννακάκη

Στις 16 Απριλίου 2016 ψηφίσθηκε από το Ευρωπαϊκό Κοινοβούλιο ο Γενικός Κανονισμός Προσωπικών Δεδομένων, νομοθέτημα άμεσης εφαρμογής σε όλα τα κράτη μέλη της Ευρωπαϊκής Ενωσης, το οποίο θα τεθεί σε ισχύ μετά την παρέλευση της μεταβατικής περιόδου για την προσαρμογή των κρατών, δηλαδή στις 25 Μαΐου 2018. Το νομοθέτημα αυτό αλλάζει ριζικά το τοπίο στον χώρο της Προστασίας των Προσωπικών Δεδομένων επιβάλλοντας πρόσθετες υποχρεώσεις σε Υπεύθυνους Επεξεργασίας και Εκτελούντες την Επεξεργασία προσωπικών δεδομένων ανάμεσα στις οποίες είναι ο υποχρεωτικός διορισμός Data Protection Officer (σ.σ. θα διατηρήσω τον αγγλικό όρο, καθώς αποδίδει πληρέστερα την ουσία του συγκεκριμένου όρου). 

Ήδη από τον Φεβρούαριο 2016 η Επιτροπή του άρθρου 29 (Article 29 Working Party), η οποία αποτελεί την εποπτεύουσα αρχή των εθνικών Αρχών Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και Συμβουλευτικό Όργανο της Ευρωπαικής Επιτροπής, ανακοίνωσε ότι θα εκδώσει διευκρινιστικές οδηγίες σχετικά με τον ρόλο και την ευθύνη του Data Protection Officer, όπως αυτή προδιαγράφεται στα άθρα 37-39 του κανονισμού. Οι οδηγίες αυτές εκδόθηκαν στις 16 Δεκεμβρίου 2016 αποσαφήνιζοντας αρκετά - όχι όμως όλα τα - ερωτήματα αναφορικά με τον θεσμό που αποκτά νέα βαρύτητα μετά την εισαγωγή του κανονισμού

Πηγή: Το άρθρο δημοσιεύθηκε στο περιοδικό Συνήγορος 

*Ο Ιωάννης Ε. Γιαννακάκης, Δικηγόρος, Nομικός Σύμβουλος Νότιας Ευρώπης Ομίλου G4S*

Ο ρόλος του Data Protection Officer και η χρήση της ασφάλισης cyber insurance του Νίκου Γεωργόπουλου

Τα περιστατικά παραβίασης συστημάτων και η κυβερνοασφάλεια αποτελούν πηγή ανησυχίας για κάθε εταιρεία, δεδομένης της φύσης των πληροφοριών που διαχειρίζεται. Όπως αποδεικνύεται από πρόσφατα περιστατικά παραβίασης συστημάτων, το πώς ένας οργανισμός χειρίζεται μια κρίση διαδραματίζει σημαντικό ρόλο στο κατά πόσο ο διευθύνων σύμβουλος και τα ανώτατα στελέχη (CIO, COO, CΜΟ, CRO, CFO κ.λπ.) παραμένουν στη θέση τους. 

Η πρόσβαση στον κυβερνοχώρο έχει δημιουργήσει νέες επιχειρηματικές ευκαιρίες για τις εταιρείες, γιατί προσφέρει τη δυνατότητα της αποτελεσματικής επικοινωνίας με τα δίκτυα διανομής και τον τελικό πελάτη, απλοποιεί τις διαδικασίες λειτουργίας τους και προσφέρει τη δυνατότητα της πρόσβασης σε νέα τμήματα της αγοράς, με προϊόντα και υπηρεσίες χαμηλότερου κόστους. 

Αυτό άλλωστε είναι και το σημαντικότερο πλεονέκτημα από τη χρήση του κυβερνοχώρου. Όμως, σε αυτόν δραστηριοποιούνται και κυβερνοεγκληματίες, οι οποίοι έχουν στόχο να υποκλέψουν δεδομένα και εμπιστευτικές πληροφορίες που διατηρούν οι εταιρείες, όπως οικονομικές εκθέσεις, μισθοδοσίες υπαλλήλων, βάσεις δεδομένων πελατών, κωδικούς πρόσβασης, εμπορικά μυστικά, σχέδια του μάρκετινγκ, σχέδια δημιουργίας νέων προϊόντων και υπηρεσιών, συμβάσεις συνεργασίας με τα δίκτυα διανομής, δεδομένα υγείας, αριθμούς πιστωτικών καρτών και τραπεζικών λογαριασμών, περιουσιακά και προσωπικά οικονομικά στοιχεία πελατών.

Πηγή: Το άρθρο δημοσιεύθηκε στο περιοδικό Συνήγορος 

*Ο Νίκος Γεωργόπουλος είναι Cyber Privacy Risks Insurance Advisor στην Cromar Coverholder at Lloyd's και συνιδρυτής του DPO Academy