2. 2
Στόχοι Ενημέρωσης
• Έννοιες και Σημασία
Αρχεία
Δεδομένα, Πληροφορία, Γνώση
• Προστασία Πληροφοριών
• Γενικός Κανονισμός
Προστασίας Δεδομένων
General Data Protection
Regulation
3. Έννοιες
• Αρχή σημαίνει Έναρξη και Εξουσία
1. η αφετηρία / η πρωταρχική αιτία, η αφορμή
i. η προέλευση, το αρχικό σημείο της δημιουργίας
ii.θεμελιακός κανόνας στη φύση, στην επιστήμη, στην τέχνη, στην πολιτική
2. η εξουσία και τα πρόσωπα που την ασκούν ή την εκπροσωπούν
• Αρχείο < αρχή (διοίκηση) < άρχω
Συλλογή γραπτών, κυρίως, τεκμηρίων (κρατικών ή ιδιωτικών)
Ο χώρος όπου φυλάγονται τα τεκμήρια
Αρχειονομία
3Α ΡΧ Ε Ι Α
4. Ιστορικότητα του Αρχείου
Τα αρχεία εμφανίζονται ταυτόχρονα με την γραφή και εξελίσσονται μαζί της.
Παράγωγα των διοικήσεων
Αντανάκλαση και τεκμηρίωση της ανθρώπινης κοινωνικής δραστηριότητας
Κάθε είδους δραστηριότητα οδηγεί νομοτελειακά στην παραγωγή αρχείου
Ανασυνθέτουν το περιβάλλον μέσα στο οποίο δημιουργήθηκαν
• Όργανο και σύμβολο εξουσίας
Διαχείριση και νομιμοποίηση
Σύμβολα δύναμης, γοήτρου και μεγαλοσύνης
Αποτελούν απόδειξη ευθύνης (λογοδοσία)
Αποτελούν μέρος της μνήμης του παραγωγού
4Α ΡΧ Ε Ι Α
5. Αρχείο και Εξουσία
“Δεν υπάρχει πολιτική δύναμη χωρίς έλεγχο του αρχείου, αν όχι της μνήμης. Ο
αποτελεσματικός εκδημοκρατισμός μπορεί πάντα να μετρηθεί με το ακόλουθο
ουσιαστικό κριτήριο: τη συμμετοχή και πρόσβαση στο αρχείο, τη συγκρότηση και την
ερμηνεία του”.
Jacques Derrida, Archive Fever (1996)
Η κοινωνία, τουλάχιστον όπως τη γνωρίζουμε, δεν μπορεί να λειτουργήσει χωρίς αρχεία.
Καθώς τα αρχεία ασκούν έλεγχο στη συλλογική μνήμη, αποτελούν πηγή δύναμης,
χρήσιμη σε κάθε (αυταρχική) εξουσία. Χρησιμοποιήθηκαν από πρόσωπα και
καθεστώτα για να νομιμοποιήσουν, να ενισχύσουν και να διαιωνίσουν την εξουσία
τους.
5Α ΡΧ Ε Ι Α
6. Αρχείο και Τεχνολογία
Η Τεχνολογία και κυρίως η Πληροφορική άλλαξε δραματικά το τοπίο.
Μαζί με την αύξηση της κάπως εφήμερης αυτο-τεκμηρίωσης του εαυτού μας
(“selfies”) ή της ζωής μας … Αντιμετωπίζουμε εκρηκτική αύξηση των ηλεκτρονικών
τεκμηρίων!
Η έννοια της λέξης αρχείο στην Πληροφορική προέκυψε από την εσφαλμένη
απόδοση του αγγλικού όρου «file», που σημαίνει «οργανωμένη συλλογή δεδομένων».
Κάθε ομάδα ψηφιακών δεδομένων, κάθε εικονική συλλογή πληροφοριών.
6Α ΡΧ Ε Ι Α
7. Δεδομένα και Πληροφορία
Δεδομένα: χαρακτηρίζεται ένα μη αξιολογημένο σύνολο διακριτών στοιχείων.
• Υλικό σε μη οργανωμένη μορφή χωρίς νόημα.
• Περιγράφουν μόνο μέρος ενός συμβάντος, δεν περιλαμβάνουν καμία ανάλυση, κριτική ή αξιόπιστη
βάση για περαιτέρω ενέργεια.
• Δεν αναφέρουν τίποτα για τη σημαντικότητά τους ή τη σχέση τους προς οτιδήποτε.
Με την προσθήκη αξιών, δηλαδή με διαμόρφωση, οργάνωση, μαθηματική ή
στατιστική ανάλυση, διόρθωση λαθών ή συμπίεση παράγεται η Πληροφορία. Τη
διαδικασία αυτή ονομάζουμε επεξεργασία δεδομένων.
Άρα, για να γίνουν τα δεδομένα πληροφορίες πρέπει να «μεταφραστούν», ώστε να
γίνει κατανοητή η σημασία τους και το περιεχόμενό τους.
Δεδομένα + Επεξήγηση = Πληροφορία
7Π Λ Η Ρ Ο Φ Ο Ρ Ι Α & Γ Ν Ω Σ Η
8. Πληροφορία και Γνώση
Πληροφορώ (πλήρης + φέρω) σημαίνει «φέρω πληρότητα».
Η Πληροφορία αποτελεί πολύτιμο κοινωνικό αγαθό.
Κρίσιμη οικονομική, πολιτική και πολιτιστική δραστηριότητα.
Γνώση: στηρίζεται στις πληροφορίες. Οργανωμένες, συνεκτικές και συνοπτικές
δομές, ώστε να ενισχυθεί η κατανόηση και η επίγνωσή τους.
Αν ορίσουμε τη γνώση ως συνδυασμό σχετικών εμπειριών, αξιών και
πληροφοριών, είναι φανερό ότι μέρος αυτής αποτυπώνεται στο αρχειακό υλικό.
8Π Λ Η Ρ Ο Φ Ο Ρ Ι Α & Γ Ν Ω Σ Η
9. Ποσότητα Πληροφορίας
Το 2013 η συνολική ποσότητα δεδομένων στον κόσμο ήταν 4.4 zettabytes in 2013. Η
ποσότητα αυτή αυξάνεται σταθερά και μέχρι το 2020 υπολογίζεται στα 44 zettabytes.
Ένα zettabyte είναι ίσο με 44 τρις gigabytes.
9Π Λ Η Ρ Ο Φ Ο Ρ Ι Α & Γ Ν Ω Σ Η
Υπολογισμοί του 2007 κατέγραφαν παραγωγή
πέντε exabytes (1 δις gigabytes) πληροφοριών
τον χρόνο.
Ποσότητα που είναι μεγαλύτερη από 50.000 φορές τις
λέξεις που βρίσκονται στο υλικό της Βιβλιοθήκης του
Κογκρέσου,
ή
περισσότερες από το συνολικό αριθμό των λέξεων που
ειπώθηκαν ποτέ από τους ανθρώπους!
10. Αρχεία και Ασφάλεια
• Το Διαδίκτυο προσφέρει πρωτοφανείς δυνατότητες
• Στον ψηφιακό κόσμο η καταστροφή & απώλεια αρχειακών τεκμηρίων έχει
αυξηθεί
• Μεγάλη η σημασία της αυθεντικότητας και της αξιοπιστίας των πληροφοριών
• Διατήρηση ή ανάκληση του περιβάλλοντος παραγωγής
• Η έλλειψη του περιβάλλοντος παραγωγής δεν αποθαρρύνει την πλειονότητα των χρηστών δεν
ενδιαφέρονται για την προέλευση, τον τρόπο δημιουργίας, τι υπήρχε πριν ή μετά!
Αρχεία ζωτικής σημασίας
10Α ΡΧ Ε Ι Α & Α Σ Φ Α Λ Ε Ι Α
11. Έννοιες Ασφάλειας Δεδομένων 1/3
Προσωπικά δεδομένα: κάθε πληροφορία που αναφέρεται και περιγράφει, ένα
ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (υποκείμενο των δεδομένων),
όπως:
• στοιχεία αναγνώρισης
• φυσικά χαρακτηριστικά
• εκπαίδευση, εργασία
• οικονομική κατάσταση
• ενδιαφέροντα, δραστηριότητες, συνήθειες
Ευαίσθητα δεδομένα: τα προσωπικά δεδομένα που αναφέρονται σε:
• φυλετική ή εθνική προέλευση,
• πολιτικά φρονήματα,
• θρησκευτικές ή φιλοσοφικές πεποιθήσεις,
• συμμετοχή σε συνδικαλιστική οργάνωση,
• υγεία και κοινωνική πρόνοια,
• ερωτική ζωή,
• ποινικές διώξεις και καταδίκες
11Α Σ Φ Α Λ Ε Ι Α Π Λ Η Ρ Ο Φ Ο Ρ Ι Ω Ν
12. Έννοιες Ασφάλειας Δεδομένων 2/3
Επεξεργασία προσωπικών δεδομένων:
Κάθε εργασία που πραγματοποιείται, με ή χωρίς τη χρήση αυτοματοποιημένων
μέσων, όπως: συλλογή, καταχώριση, οργάνωση, διατήρηση ή αποθήκευση,
τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση, συσχέτιση ή συνδυασμός,
διασύνδεση, δέσμευση, διαγραφή, καταστροφή.
Υπεύθυνος επεξεργασίας: Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή
ιδιωτικού τομέα που τηρεί και επεξεργάζεται προσωπικά δεδομένα.
Εκτελών την επεξεργασία: Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή
ιδιωτικού τομέα που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για
λογαριασμό του υπεύθυνου επεξεργασίας.
12Α Σ Φ Α Λ Ε Ι Α Π Λ Η Ρ Ο Φ Ο Ρ Ι Ω Ν
13. Έννοιες Ασφάλειας Δεδομένων 3/3
Συγκατάθεση: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρη
επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί (με
δήλωση ή με σαφή θετική ενέργεια) να αποτελέσουν αντικείμενο επεξεργασίας τα
δεδομένα προσωπικού χαρακτήρα που το αφορούν.
Κατάρτιση Προφίλ: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων
προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού
προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση
στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα
ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω
προσώπου.
Σύστημα αρχειοθέτησης: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού
χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο
αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή
γεωγραφική βάση.
13Α Σ Φ Α Λ Ε Ι Α Π Λ Η Ρ Ο Φ Ο Ρ Ι Ω Ν
14. General Data Protection Regulation
Γενικός Κανονισμός Προστασίας Δεδομένων
GDPR - ΓΚΠΔ
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 14
15. Κανονισμός (ΕΕ) 2016/679
• Ισχύει σε κάθε κράτος μέλος (Μάιο 2016).
• Τίθεται σε εφαρμογή από τις 25 Μαΐου 2018 και είναι δεσμευτικός ως προς όλα τα
μέρη του.
• Στόχος: η εναρμόνιση του κατακερματισμένου νομοθετικού καθεστώς στην Ε.Ε.
Δεν απαιτεί προηγούμενη εθνική πράξη ενσωμάτωσης
• Ανάγκη συνεργασίας
• Όφελος 2.3 δις ευρώ ανά έτος
o Έχει σχεδιαστεί για να αντιμετωπίσει τεχνολογικές και κοινωνικές αλλαγές που
έλαβαν χώρα τα τελευταία 20 χρόνια.
o Ένας εθνικός εφαρμοστικός νόμος απλά θα εξειδικεύει τους γενικούς όρους του
Κανονισμού.
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 15
16. Βασικά Σημεία GDPR
Θεμελιώδες δικαίωμα: «Η προστασία των φυσικών προσώπων έναντι της
επεξεργασίας των δεδομένων προσωπικού χαρακτήρα».
Η επεξεργασία εξυπηρετεί τον άνθρωπο.
Σε συνεκτίμηση με τη λειτουργία της κοινωνίας:
•Ελευθερία Πληροφόρησης: να συμφιλιώνει τους κανόνες που διέπουν την ελευθερία
της έκφρασης και της πληροφόρησης, περιλαμβανομένης της δημοσιογραφικής,
πανεπιστημιακής, καλλιτεχνικής ή και λογοτεχνικής έκφρασης.
•Πρόσβαση του κοινού σε επίσημα έγγραφα: να συμβιβάζεται η πρόσβαση του κοινού
σε επίσημα έγγραφα δημοσίου συμφέροντος.
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 16
17. Στόχοι
Να συμβάλει στην επίτευξη ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης.
• Αποδίδει μεγαλύτερο έλεγχο επί των προσωπικών δεδομένων
• Θεσπίζει υποχρεώσεις για διαφανείς και εύκολα προσβάσιμες πληροφορίες
• Υπεύθυνοι Επεξεργασίας
• Εκτελούντες την Επεξεργασία
• Κατάλληλα μέτρα ασφάλειας
• Κοινοποίηση συμβάντων εντός 72 ωρών
• Ορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer – DPO)
• Κυρώσεις και πρόστιμα
• Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων
• Εποπτικές Αρχές
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 17
18. Πεδίο Εφαρμογής 1/2
• Αφορά μόνο τα ζώντα φυσικά πρόσωπα, με ιδιαίτερη βαρύτητα στα παιδιά
• Προσφορά αγαθών ή υπηρεσιών
• Παρακολούθηση συμπεριφοράς (προφίλ)
oΑνεξάρτητα πού:
• πραγματοποιείται η επεξεργασία ή
• είναι εγκατεστημένος ο υπεύθυνος επεξεργασίας
• Εφαρμόζεται σε αυτοματοποιημένη και μη επεξεργασία ή αρχειοθέτηση.
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 18
Αρκεί να αφορούν υποκείμενα που
βρίσκονται στην Ε.Ε.
19. Πεδίο Εφαρμογής 2/2
Δεν εφαρμόζεται:
• Σε δραστηριότητα η οποία δεν εμπίπτει στο δίκαιο της Ε.Ε.
• Από φυσικό πρόσωπο για προσωπική ή οικιακή δραστηριότητα, αποκλειστικά
• Εθνική ασφάλεια
• Κοινή εξωτερική πολιτική
• Πολιτική ασφάλειας της Ένωσης
• Επίσης, εξαιρούνται αρμόδιες αρχές που επεξεργάζονται δεδομένα με σκοπό:
• Πρόληψη / διερεύνηση / ανίχνευση / δίωξη ποινικών αδικημάτων και κυρώσεων
• Απειλές κατά της δημόσιας ασφάλειας
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 19
20. Αρχές Κανονισμού - Λογοδοσία
1. Νομιμότητα, Αντικειμενικότητα, Διαφάνεια
Σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων.
2. Περιορισμός του σκοπού
Συλλογή για καθορισμένους, ρητούς και νόμιμους σκοπούς που δεν υποβάλλονται σε περαιτέρω επεξεργασία.
3. Ελαχιστοποίηση των δεδομένων
Τα δεδομένα είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς της επεξεργασίας.
4. Ακρίβεια
Τα δεδομένα είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται – άμεση διαγραφή ή διόρθωση ανακριβών
δεδομένων.
5. Περιορισμός του χρόνου αποθήκευσης
Διατηρούνται μόνο για το διάστημα που απαιτείται.
6. Ακεραιότητα και εμπιστευτικότητα
Εγγύηση ασφάλειας των δεδομένων, προστασίας από μη εξουσιοδοτημένη επεξεργασία και τυχαία απώλεια,
καταστροφή ή φθορά.
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 20
21. Δικαιώματα Υποκειμένων - Διαφάνεια
Ενδυνάμωση Δικαιωμάτων & μεγαλύτερος έλεγχος επί των προσωπικών δεδομένων
• Άρθρο 12 Δικαίωμα Ενημέρωσης
• Άρθρο 15 Δικαίωμα Πρόσβασης
• Άρθρο 16 Δικαίωμα Διόρθωσης
• Άρθρο 17 Διαγραφής - Δικαίωμα στη λήθη
• Άρθρο 18 Δικαίωμα Περιορισμού επεξεργασίας
• Άρθρο 20 Φορητότητα δεδομένων
• Άρθρο 21 Δικαίωμα Εναντίωσης
• Δικαίωμα υποβολής καταγγελίας και προσφυγής
Κάθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα επεξεργασίας,
αποτελεί αντικείμενο αποζημίωσης από τον Υ.Ε. ή τον Ε.τ.Ε.
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 21
22. Περιορισμοί Δικαιωμάτων
• Ασφάλειας του κράτους, της εθνικής άμυνας, της δημόσιας ασφάλειας
• Σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ε.Ε. ή κράτους
μέλους
• Νομισματικών, δημοσιονομικών, φορολογικών θεμάτων
• Δημόσιας υγείας και κοινωνικής ασφάλισης και προστασίας
• Προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 22
23. Υποχρεώσεις Υπευθύνου Επεξεργασίας
• Ο υπεύθυνος επεξεργασίας (οργανισμός) πρέπει να:
• Ορίσει νέο σύνολο διαδικασιών, πολιτικών και κανονισμών
• Επαν-εκπαιδεύσει το προσωπικό του
• Επανασχεδιάσει/ενημερώσει συστήματα που επεξεργάζονται προσωπικά δεδομένα
• Αναδιαρθρώσει διασυνοριακές συμφωνίες μεταφοράς δεδομένων
Χρησιμοποιήσει/προσαρμόσει οργανωτικά και τεχνικά μέτρα ασφάλειας π.χ. κρυπτογράφηση
• Φέρει το βάρος της απόδειξης παροχής συγκατάθεσης. Αξιολογείται αν:
• Δόθηκε ελευθέρα
• Αν υπάρχει ανισότητα μεταξύ υποκειμένου και υπεύθυνου επεξεργασίας
• Αν υπήρξε αληθινή επιλογή
• Αν το υποκείμενο δεν είναι σε θέση να αρνηθεί ή να αποσύρει την συγκατάθεση χωρίς ζημία του
ιδίου
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 23
24. Υποχρεώσεις Εκτελούντων την Επεξεργασία
• Πρέπει να παρέχουν επαρκείς διαβεβαιώσεις:
Εμπειρογνωμοσύνσης
Αξιοπιστίας ασφάλεια της επεξεργασίας
Πόρων
• Εγκεκριμένος κώδικας συμπεριφοράς
• Εγκεκριμένος μηχανισμός πιστοποίησης
• Τήρηση αρχείων δραστηριοτήτων επεξεργασίας
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 24
Κώδικες Δεοντολογίας: προκειμένου να διευκολύνεται η ουσιαστική
εφαρμογή του Κανονισμού και να υπάρχει διαβούλευση με τα
ενδιαφερόμενα μέρη.
Μηχανισμοί Πιστοποίησης, Σφραγίδες και Σήματα προστασίας
δεδομένων.
25. Απαγόρευση Επεξεργασίας
Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που
αποκαλύπτουν:
• Φυλετική ή εθνοτική καταγωγή
• Πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις
• Συμμετοχή σε συνδικαλιστική οργάνωση
• Γενετικά & βιομετρικά δεδομένα
• Δεδομένα υγείας
• Δεδομένα σεξουαλικής ζωής ή γενετήσιο προσανατολισμό
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 25
26. Παρεκκλίσεις Απαγόρευσης
• Εκτέλεση υποχρεώσεων σε τομείς δικαίου: εργατικού, κοινωνικής ασφάλισης και
προστασίας.
• Προστασία ζωτικών συμφερόντων του υποκειμένου, εάν είναι σωματικά ή νομικά ανίκανο
να συγκατατεθεί.
• Θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό
τη δικαιοδοτική τους ιδιότητα.
• Για λόγους ουσιαστικού δημόσιου συμφέροντος.
• Για προληπτική ή επαγγελματική ιατρικής.
• Για αρχειοθέτηση προς το δημόσιο συμφέρον.
• Για επιστημονική ή ιστορική έρευνα ή για στατιστικούς σκοπούς.
• Στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη
κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο.
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 26
27. Ασφάλεια Επεξεργασίας
Κίνδυνοι ποικίλης πιθανότητας και σοβαρότητας.
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 27
Όταν η επεξεργασία αποκαλύπτει:
• Φυλετική ή εθνοτική καταγωγή
• Πολιτικά φρονήματα
• Θρησκεία ή φιλοσοφικές πεποιθήσεις
• Συμμετοχή σε συνδικάτα
• Γενετικά δεδομένα, σεξουαλική ζωή
• Ποινικές καταδίκες ή αδικήματα
• Προσωπικές πτυχές
• Υγεία
• Επιδόσεις στην εργασία
• Οικονομική κατάσταση
• Προσωπικές προτιμήσεις & συμφέροντα
• Αξιοπιστία ή συμπεριφορά
• Θέση ή μετακινήσεις
Όταν η επεξεργασία οδηγήσει σε:
• Διακρίσεις
• Κατάχρηση ή υποκλοπή ταυτότητας
• Οικονομική απώλεια
• Βλάβη φήμης
• Απώλεια εμπιστευτικότητας από:
o Επαγγελματικό απόρρητο
o Παράνομη άρση ψευδονυμοποίησης
28. Παραβίαση Ασφάλειας
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 28
Παραβίαση: που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ
άδειας κοινολόγηση ή πρόσβαση Δ.Π.Χ. που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν
κατ' άλλο τρόπο σε επεξεργασία.
Περιστατικά Ασφάλειας
• Τυχαία ή παράνομη καταστροφή
• Κοινολόγηση ή προσπέλαση χωρίς άδεια
• Απώλεια
• Μεταβολή
Γνωστοποίηση Παραβίασης
• Εντός 72 ωρών από την στιγμή που αποκτά γνώση του γεγονότος
• ΕΚΤΟΣ αν ο Υ.Ε. μπορεί να αποδείξει ότι η παραβίαση δεν επιφέρει κίνδυνο
Αιτιολόγηση καθυστέρησης γνωστοποίησης
Γνωστοποίηση με αποτελεσματικές διαδικασίες και μηχανισμούς
Αμελλητί ανακοίνωση προς το υποκείμενο και συστάσεις για μετριασμό δυνητικών δυσμενών συνεπειών
29. Μέτρα Προστασίας 1/3
• Τεχνικά & Οργανωτικά
• Ο Υ.Ε. φροντίζει για:
oΘέσπιση εσωτερικών πολιτικών
oΕφαρμογή μέτρων
By design*
By default*
Ελαχιστοποίηση επεξεργασίας
Ψευδονυμοποίηση
Διαφάνεια λειτουργιών και επεξεργασίας
Κρυπτογράφηση
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 29
Το εάν τα μέτρα είναι κατάλληλα, σε
κάθε περίσταση, εξαρτάται από:
την τελευταία λέξη της τεχνολογίας,
τα έξοδα εφαρμογής,
το πεδίο εφαρμογής,
το πλαίσιο της επεξεργασίας,
τους σκοπούς της επεξεργασίας,
τον τυχόν μεγάλο και σοβαρό
κίνδυνο για τα δικαιώματα και
ελευθερίες των φυσικών
προσώπων.
30. Εκ Σχεδιασμού και Εξ’ Ορισμού** 2/3
Ο Υ.Ε. εφαρμόζει κατάλληλα μέτρα αποτελεσματικά :
• τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας, όσο και κατά τη
στιγμή της επεξεργασίας,, όπως:
ψευδωνυμοποίηση,
ελαχιστοποίηση των δεδομένων,
ενσωμάτωση των απαραίτητων εγγυήσεων (διαφάνεια) στην επεξεργασία,
• για να διασφαλίζει ότι, εξ’ ορισμού, υφίστανται επεξεργασία μόνο τα Δ.Π.Χ. που
είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας.
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 30
31. Εκτίμηση Αντικτύπου 3/3
Data Privacy Impact Assessment (DPIA)
1. Σε πιθανότητα υψηλού κινδύνου, ανάλογα την προέλευση και φύση του κινδύνου, της
πιθανότητας να συμβεί και της σοβαρότητας των συνεπειών.
2. Περιλαμβάνει καθορισμό μέτρων, εγγυήσεις, μηχανισμούς μετριασμού των κινδύνων.
3. Υποχρεωτική σε περιπτώσεις:
• Επεξεργασίας μεγάλης κλίμακας
• Επηρεάζει μεγάλο αριθμό υποκειμένων
• Επεξεργασία ενόψει λήψης αποφάσεων
• Νέος τύπος επεξεργασίας
• Κατάρτιση προφίλ
• Επεξεργασία συγκεκριμένων κατηγοριών δεδομένων
i. Βιομετρικά
ii. Ποινικές καταδίκες ή αδικήματα
iii. Παρακολούθηση δημόσια προσπελάσιμων χώρων σε μεγάλη κλίμακα
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 31
32. Κυρώσεις και Πρόστιμα
• Η φύση, η σοβαρότητα και η διάρκεια της παράβασης
• Ο εσκεμμένος χαρακτήρας της παράβασης
• Οι δράσεις που αναλήφθηκαν για τον μετριασμό της ζημίας
• Ο βαθμός της ευθύνης
• Άλλες σχετικές προηγούμενες παραβάσεις
• Ο τρόπος που η εποπτική αρχή πληροφορήθηκε την παράβαση
• Η συμμόρφωση με τα μέτρα κατά του Υ.Ε. ή του Ε.τ.Ε.
• Η τήρηση κώδικα δεοντολογίας
• Κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο.
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 32
Ανάλογα την κατηγορία της
παράβασης:
πρόστιμα έως 20.000.000€
ή, σε περίπτωση
επιχειρήσεων, έως το 4% του
συνολικού παγκόσμιου
ετήσιου κύκλου εργασιών
του προηγούμενου
οικονομικού έτους,
ανάλογα με το ποιο είναι
υψηλότερο.
33. Υπεύθυνος Προστασίας Δεδομένων
Data Protection Officer – DPO
• με ειδικές γνώσεις στο δίκαιο και στις πρακτικές προστασίας των δεδομένων για την
παρακολούθηση της εσωτερικής συμμόρφωσης.
• Ο DPO δεν λαμβάνει εντολές, δεν απολύεται επειδή επιτέλεσε τα καθήκοντά του.
• Λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του
εκτελούντος την επεξεργασία.
Υποχρεωτικός ο ορισμός DPO όταν:
o Η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια
o Σε επεξεργασία που απαιτεί τακτική και συστηματική παρακολούθηση των υποκειμένων σε μεγάλη
κλίμακα
o Σε μεγάλη κλίμακα επεξεργασία ευαίσθητων δεδομένων και αν αφορούν ποινικές καταδίκες και
αδικήματα.
Σε δημόσιες αρχές-φορείς: ένας μόνο υπεύθυνος προστασίας δεδομένων μπορεί να
ορίζεται για πολλές αρχές/φορείς, λαμβάνοντας υπόψη δομή και μέγεθος.
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 33
34. Σημαντικό!
Η επεξεργασία Δ.Π.Χ., στον βαθμό που είναι αυστηρά αναγκαία και ανάλογη για τους
σκοπούς της διασφάλισης της ασφάλειας δικτύων και πληροφοριών,
δηλαδή της ικανότητας ενός δικτύου ή ενός συστήματος πληροφοριών να ανθίσταται,
• σε ένα δεδομένο επίπεδο εμπιστοσύνης,
• σε τυχαία γεγονότα, ή παράνομες ή κακόβουλες ενέργειες οι οποίες
θέτουν σε κίνδυνο τη διαθεσιμότητα, τη γνησιότητα, την ακεραιότητα και την εμπιστευτικότητα αποθηκευμένων
ή διαβιβαζόμενων Δ.Π.Χ.,
καθώς και της ασφάλειας των σχετικών υπηρεσιών που προσφέρουν τα εν λόγω δίκτυα και
συστήματα ή
• που είναι προσπελάσιμες μέσω των εν λόγω δικτύων και συστημάτων, ή
• που προσφέρονται από
o δημόσιες αρχές,
o ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT),
o ομάδες παρέμβασης για συμβάντα που αφορούν την ασφάλεια των υπολογιστών (CSIRT),
o παρόχους δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και
o παρόχους τεχνολογιών και υπηρεσιών ασφάλειας,
αποτελεί έννομο συμφέρον του υπευθύνου επεξεργασίας δεδομένων.
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 34
35. Προετοιμασία
1. Ενημέρωση, Ευαισθητοποίηση, Ετοιμότητα
2. Υπεύθυνος Προστασίας Δεδομένων
3. Καθήκοντα και Λογοδοσία
4. Καταγραφή Συνόλων Δεδομένων
5. Καταγραφή Νομικής Βάσης
6. Έλεγχος Συγκατάθεσης
7. Ιδιωτικότητα εξ’ ορισμού και εκ σχεδιασμού
8. Έλεγχος τήρησης Συμμόρφωσης
9. Αναθεώρηση Πολιτικών προστασίας δεδομένων και διαδικασιών
10. Εκτίμηση Επιπτώσεων
11. Ανίχνευση Παραβιάσεων
12. Διαβιβάσεις δεδομένων εκτός Ε.Ε.
Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 35
36. Γ Ε Ν Ι ΚΟ Σ Κ Α Ν Ο Ν Ι Σ Μ Ο Σ Π Ρ Ο Σ ΤΑ Σ Ι Α Σ Δ Ε Δ Ο Μ Ε Ν Ω Ν 36