Η κα Μαριλένα Σιδηροπούλου, Δικηγόρος-DPO Executive, Στέλεχος της Blue Value πραγματοποίησε στο 9ο OTS FORUM εισήγηση σχετική με τον κανονισμό GDPR

1. 11
O νέος Ευρωπαϊκός Κανονισμός(ΕΕ) 2016/679 του Ευρωπαϊκού
Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών
προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού
χαρακτήρα
GDPR
General Data Protection Regulation
1

2. ΓΕΝΙΚΟΣΚΑΝΟΝΙΣΜΟΣΓΙΑΤΗΝΠΡΟΣΤΑΣΙΑ
ΠΡΟΣΩΠΙΚΩΝΔΕΔΟΜΕΝΩΝ–679/2016
(GENERALDATAPROTECTIONREGULATION–
GDPR)
 Ψηφίστηκε το 2016 – εφαρμόζεται καθολικά και άμεσα από 25/05/2018.
 Ιδιαίτερα ευρύ πεδίο εφαρμογής.
 Αφορά όλα τα φυσικά πρόσωπα
 Αφορά κάθε κάθε είδους επεξεργασία προσωπικών δεδομένων,
αυτοματοποιημένη ή χειροκίνητη
 Η εδαφική εφαρμογή του καθορίζεται, τόσο από την κύρια
εγκατάσταση του υπεύθυνου επεξεργασίας, όσο και απο τη θέση των
υποκειμένων, που υφίστανται επεξεργασία.
 Στόχος η ελεύθερη και προστατευμένη ροή απλών και ευαίσθητων
προσωπικών δεδομένων στα κράτη μέλη.
2

3. ΤΙ ΑΛΛΑΖΕΙ Ο ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΣΤΗΝ ΠΡΟΣΤΑΣΙΑ
ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ?
 ► Εμπλουτίζει τις θεμελιώδεις αρχές στην προστασία των
προσωπικών δεδομένων - θεσπίζει την αρχή της
λογοδοσίας – τήρηση αρχείου προς τεκμηρίωση κάθε
ενέργειας
 ► Ενισχύει τα δικαιώματα των υποκειμένων
 ► Αυξάνει τις υποχρεώσεις των υπευθύνων
επεξεργασίας
 ► Φέρνει τον θεσμό του Data Protection Officer (DPO)
 ► Επιβάλλει τήρηση έγγραφης λεπτομερούς συμφωνίας
μεταξύ υπευθύνων και εκτελούντων την επεξεργασία
 ► Επιβάλλει συνεργασία με τις Εποπτικές Αρχές
 ► Προβλέπει υψηλά διοικητικά πρόστιμα που μπορεί να
φτάσουν μέχρι και τα 20.000.000,00 ευρώ σε περίπτωση μη
συμμόρφωσης.
3

4. ΟΡΓΑΝΙΣΜΟΙ ΤΟΠΙΚΗΣ ΑΥΤΟΔΙΟΙΚΗΣΗΣ
(Ο.Τ.Α.) ΚΑΙ GDPR
 Επεξεργάζονται και τηρούν δεδομένα που αφορούν:
 Στοιχεία υπαλλήλων, πολιτών, ανηλίκων, συνεργατών, προμηθευτών
 Παρέχουν πλήθος υπηρεσιών με επεξεργασία απλών και ευαίσθητων
δεδομένων
 ΚΑΠΗ, Πρόνοια, Δημοτολόγια, Ληξιαρχεία, Βοήθεια στο Σπίτι, Κοινωνικά
Παντοπωλεία, Γηροκομεία, Μονάδες Μέριμνας, Συμβουλευτικοί Σταθμοί,
Πολυιατρεία, Ξενώνες Φιλοξενίας, Παιδικοί Σταθμοί.
 Έχουν καθήκοντα και υποχρεώσεις που επιβάλλονται από το νόμο και
αφορούν προσωπικά δεδομένα
 Έχουν υποχρέωση κοινολόγησης στοιχείων (εσωτερικά, εισαγγελικές
παραγγελίες)
 Συνεργάζονται με πολλαπλά τρίτα μέρη
4

5. ΚΙΝΗΤΡΑ ΚΙΝΗΤΡΑ ΚΑΙ ΟΦΕΛΗ ΕΦΑΡΜΟΓΗΣ ΓΙΑ Ο.Τ.Α
ΚΑΙ ΚΙΝΗΤΡΑ ΚΑΙ ΟΦΕΛΗΟΦΕΛΗ
ΕΦΑΡΜΟΓΗΣ ΓΙΑ Ο.Τ.Α Προσαρμογή στην ψηφιακή οικονομία σε εγχώριο, ευρωπαϊκό και διεθνές
επίπεδο.
 Προστασία απέναντι στα ενισχυμένα δικαιώματα των υποκειμένων.
 Αξιολόγηση – Απόδοση – Αποτελεσματικότητα
 Eσωτερικός έλεγχος
 Εξωτερικός έλεγχος
 Ενίσχυση φήμης
5

6. 6612 ΒΑΣΙΚΑ ΒΗΜΑΤΑ ΠΡΟΣ ΤΗ ΣΥΜΜΟΡΦΩΣΗ
 ΒΗΜΑ 1Ο - Γνώση- επίγνωση
 Γνώση ανθρώπων σε θέσεις κλειδιά- κέντρα λήψης των αποφάσεων
 Προσδιορισμός ανάγκης
 ΒΗΜΑ 2ο - Χαρτογράφηση δεδομένων
 Καταγραφή των δεδομένων, που έχει ο φορέας, της κυκλοφορίας τους και της
επεξεργασίας που υφίστανται
 ΒΗΜΑ 3Ο – ‘Ελεγχος συμβάσεων/πολιτικών/διαδικασιών
 Έλεγχος - Συμμόρφωση – Γνωστοποιήσεις στα υποκείμενα – Τήρηση αρχείου
προς τεκμηρίωση
 ΒΗΜΑ 4ο - Δικαιώματα υποκειμένων
 Έλεγχος διαδικασιών άσκησης δικαιωμάτων – Θέσπιση όπου απουσιάζουν –
Εύκολη πρόσβαση – Γνωστοποίηση
 Διαδικασίες για πρόσβαση, διαγραφή, διόρθωση, εναντίωση, ενημέρωση,
φορητότητα

7. 77
 ΒΗΜΑ 5ο - Αιτήσεις πρόσβασης των υποκειμένων
 Σχεδιασμός διαδικασιών - Τήρηση των χρονοδιαγραμμάτων - Εύκολη πρόσβαση
 ΒΗΜΑ 6ο - Νομική βάση για την επεξεργασία
 Καθορισμός νομικής βάσης – Έγγραφη καταγραφή - Δυνατότητα απόδειξης –
Ενσωμάτωση στην πολιτική απορρήτου και στις λοιπές διαδικασίες – Ενημέρωση
υποκειμένων.
 ΒΗΜΑ 7ο - Συγκατάθεση του υποκειμένου
 Σαφείς και αναλυτικές μέθοδοι.
 Ξεχωριστή δήλωση για κάθε επεξεργασία.
 Παροχή συγκατάθεσης με θετική ενέργεια.
 Τήρηση Αρχείου για τεκμηρίωση.
 Εύκολη δυνατότητα ανάκλησης.
 Όχι σε προδιατυπωμένες φόρμες- κουτάκια.
 Όχι ως όρος για την παροχή της υπηρεσίας
12 ΒΑΣΙΚΑ ΒΗΜΑΤΑ ΠΡΟΣ ΤΗ ΣΥΜΜΟΡΦΩΣΗ

8.  ΒΗΜΑ 8ο - Παιδιά
 Διαδικασίες πιστοποίησης ηλικίας υποκειμένων και εξακρίβωσης
ταυτότητας κηδεμόνων.
 ΒΗΜΑ 9ο - Παραβίαση δεδομένων
 Έλεγχος υπάρχουσας κατάστασης.
 Οργανωτικά και τεχνικά μέτρα μέτρα προστασίας, εντοπισμού και
διαχείρισης περιστατικών παραβίασης
 Σχέδιο ανταπόκρισης και επιχειρησιακής συνέχειας, σε περίπτωση
παραβίασης.
 ΒΗΜΑ 10ο - Προστασία από το σχεδιασμό της επεξεργασίας και Διενέργεια
Εκτίμησης Κινδύνου.
 Ενσωμάτωση διαδικασιών προστασίας από το σχεδιασμό και την
υλοποίηση των προϊόντων και υπηρεσιών.
 Διενέργεια εκτίμησης κινδύνου – Συστήνεται πάντα
12 ΒΑΣΙΚΑ ΒΗΜΑΤΑ ΠΡΟΣ ΤΗ ΣΥΜΜΟΡΦΩΣΗ 8

9.  ΒΗΜΑ 11ο -Ορισμός Υπεύθυνου Προστασίας Δεδομένων (DPO)
 Εσωτερικός ή εξωτερικός
 Μιλάει απευθείας με τη διοίκηση
 Έχει λειτουργική ανεξαρτησία
 Είναι το πρόσωπο του φορέα προς την Αρχή
 Είναι το πρόσωπο του φορέα προς τα υποκείμενα
 Υπάρχουν ασυμβίβαστα με συγκεκριμένους ρόλους
 Δεν υλοποιεί
 Εγκρίνει, επιβλέπει, προτείνει, αξιολογεί, συντονίζει
 Δεν ευθύνεται απέναντι στην αρχή
 ΒΗΜΑ 12ο - Λήψη μέτρων σε περίπτωση αναγκαιότητας διαβιβάσεων
σε τρίτες χώρες ή διεθνείς οργανισμούς.
12 ΒΑΣΙΚΑ ΒΗΜΑΤΑ ΠΡΟΣ ΤΗ ΣΥΜΜΟΡΦΩΣΗ 9

10.  Ευθύνη ↔ υποχρέωση αποζημίωσης του υπεύθυνου επεξεργασίας ↔ αστικές
αξιώσεις υποκειμένων.
 Διοικητικές κυρώσεις
Παραβάσεις που τιμωρούνται με διοικητικά πρόστιμα, έως 10. 000. 000 EUR ή,
έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του
προηγούμενου οικονομικού έτους.
Παραβάσεις που τιμωρούνται με διοικητικά πρόστιμα έως 20. 000. 000 EUR ή,
έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του
προηγούμενου οικονομικού έτους
ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ
10

11. ΔΙΑΓΡΑΜΜΑ ΕΝΕΡΓΕΙΩΝ
► Αποτύπωση υφιστάμενης κατάστασης
► Σχεδιασμός προτεινόμενων μέτρων
► Υλοποίηση προτεινόμενων οργανωτικών μέτρων
( Εγχειρίδιο Πολιτικής Ασφαλείας, Σχέδιο Ασφάλειας,
Σχέδιο Ανάκαμψης από Καταστροφές, Έλεγχος ή/και
εφαρμογή Μηχανισμού Εντοπισμού Παραβιάσεων,
Κατάρτιση Σχεδίου Διαχείρισης Συμβάντων,
Δημιουργία αρχείου καταγραφής ενεργειών -Audit
log, Αναμόρφωση συμβάσεων)
► Υλοποίηση προτεινόμενων τεχνικών μέτρων
► Εκπαίδευση – Δημιουργία Κουλτούρας
► Υπηρεσίες DPO
► Παρακολούθηση και αξιολόγηση μέτρων
11

12. Πηγή:keepcalm-o-matic.co.uk/ Σας ευχαριστώ
*Το παρόν υλικό υπόκειται σε άδειες χρήσης και αποτελεί προϊόν πνευματικής ιδιοκτησίας.
12

13. ΠΗΓΕΣ
• 679/2016 General Data Protection Regulation
• Article 29 Working Party
• www.ec.europa.eu
• www.enisa.europa.eu
• www.dpnetwork.org.uk
• https://ico.org.uk/
• https://iapp.org/
• www.linkedin.com
13