Evangelos Margaritis - Programming the privacy - WordPress Athens 10th meetup, The Suits

Transcript

1. Programming the Privacy: Προκλήσεις από το ΓΚΠΔ για τον προγραμματισμό

   Ευάγγελος Ι. Μαργαρίτης Δικηγόρος, Δρ.Νομικής Senior Associate | Drakopoulos Law Firm [email protected]

2. Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ/ GDPR)  Ο

   Κανονισμός εφαρμόζεται υποχρεωτικά σε όλη την ΕΕ από 25 Μαΐου 2018  Ο Κανονισμός εφαρμόζεται χωρίς να εκδοθεί πράξη του Ελληνικού Κοινοβουλίου  Ο Κανονισμός συνιστά ένα σύνολο αρχών και διαδικασιών για την αποτελεσματική προστασία των προσωπικών δεδομένων  Παραβίαση προσωπικών δεδομένων οδηγεί σε πρόστιμο έως 20 εκατ. € ή 4% του παγκοσμίου τζίρου Κανονισμός (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων

3. Τί είναι προσωπικά δεδομένα Δεδομένα προσωπικού χαρακτήρα Κάθε πληροφορία που

   αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο  όνομα, φύλο, ηλικία  διεύθυνση, τηλέφωνο, email  ΑΔΤ, ΑΦΜ  εικόνα, φωνή  IP address, δεδομένα γεωγραφικής θέσης  μισθοδοσία, συναλλαγές  οικονομική – κοινωνική/οικογενειακή κατάσταση Ευαίσθητα προσωπικά δεδομένα Προσωπικά δεδομένα που αφορούν σε:  φυλετική ή εθνοτική καταγωγή  πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συνδικαλιστική δράση  γενετικά και βιομετρικά δεδομένα,  υγεία,  σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό

4. Επεξεργασία προσωπικών δεδομένων  συλλογή  καταχώριση  οργάνωση 

   διάρθρωση  αποθήκευση  προσαρμογή ή μεταβολή  ανάκτηση  αναζήτηση πληροφοριών  χρήση  κοινολόγηση με διαβίβαση  διάδοση ή κάθε άλλη μορφή διάθεσης  συσχέτιση ή συνδυασμός  περιορισμός  διαγραφή ή καταστροφή Κάθε πράξη που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα:

5. Υπεύθυνος και Εκτελών την Επεξεργασία Υπεύθυνος Επεξεργασίας Το φυσικό ή

   νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα π.χ. Ο κάτοχος ενός site για τα δεδομένα των εγγεγραμμένων και μη χρηστών Εκτελών την Επεξεργασία Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας π.χ. Ο κάτοχος του server όπου φυλάσσονται τα δεδομένα

6. Όταν υπάρχει συγκατάθεση του υποκειμένου των δεδομένων: με τον Κανονισμό

   πλέον απαιτείται η συγκατάθεση να είναι OPT-IN και όχι OPT-OUT. Άλλες περιπτώσεις νόμιμης επεξεργασίας: - Για την εκτέλεση σύμβασης ή πριν από τη σύναψη σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος (π.χ. ανάθεσης δημιουργίας ιστοσελίδας) - Για τη συμμόρφωση του υπευθύνου επεξεργασίας με έννομη υποχρέωση (αποστολή συγκεντρωτικών καταστάσεων πελατών/ προμηθευτών) - Για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου (περιπτώσεις ανάγκης και φυσικών καταστροφών/ αντιγραφή αρχείου) - Για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος - Για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας (π.χ. σύνταξη εκλογικών καταλόγων) Όταν υπάρχουν ευαίσθητα προσωπικά δεδομένα οι εξαιρέσεις είναι πιο αυστηρές. Πότε είναι επιτρεπτή η επεξεργασία

7. Παραδείγματα: πρόσβαση στο server από hacker κλοπή εγγράφων από γραφείο

   καταστροφή πρωτοτύπων διαρροή δεδομένων καρτών χρηστών αλλά και συλλογή αρχείου τρίτων προσώπων άνευ συναίνεσής τους ή άλλης βάσης επεξεργασίας (π.χ. ανταγωνισμός/ λήψη πελατολογίου τρίτων) Παραβίαση προσωπικών δεδομένων Η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

8. Σημαντικές ρυθμίσεις του Κανονισμού  Η διαχείριση της παραβίασης προσωπικών

   δεδομένων / ειδοποίηση 72 ωρών  Ο Υπεύθυνος Προστασίας Δεδομένων (DPO)  Η διαβίβαση δεδομένων  H κατάρτιση προφίλ  Το δικαίωμα διαγραφής  Οι κώδικες συμμόρφωσης/δεοντολογίας και οι πιστοποιήσεις  Η μελέτη επιπτώσεων  Οι κυρώσεις

9. Τι πρέπει να προσέχει ο προγραμματιστής • Data Inventory: Πρέπει

   να αναζητήσει και να εντοπίσει όλα τα προσωπικά δεδομένα που έχει στην κατοχή του (ηλ. Διευθύνσεις, στοιχεία πιστ. Καρτών, πελατολόγιο), που τηρούνται (σε domestic server/ cloud κτλ). • Πρέπει να αναζητά αν τα δεδομένα που του διαβιβάζονται αφορούν μόνο τον διαβιβάζοντα ή και τρίτους/ πελάτες του. • Σε περίπτωση που τα δεδομένα αφορούν τρίτους, πρέπει να εξετάζει αν ο πελάτης του είχε δικαίωμα να διαβιβάσει σε τρίτον τα δεδομένα. Σε διαφορετική περίπτωση, θα έχει και ο ίδιος ευθύνη από άνευ δικαιώματος επεξεργασία δεδομένων τρίτων. • Δεν μπορεί να χορηγεί σε τρίτους δεδομένα στην κατοχή του, π.χ. σε διαφημιστικές ή να προβλέπεται αποστολή newsletter, αν δεν υπάρχει συναίνεση περί τούτου που θα προβλέπει συγκεκριμένα το σκοπό επεξεργασίας. • Όριο Ηλικίας έγκυρης συναίνεσης: 16 έτη.

10. Υποχρέωση Προστασίας των Δεδομένων • Πρέπει να εφαρμόζονται αποτελεσματικά, τόσο

    κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση (privacy by design/ by default), σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία. • Προβλέπεται η υιοθέτηση «μηχανισμού πιστοποίησης» από μια αρχή ή ιδιώτη, ώστε ο κάθε προγραμματιστής να τεκμαίρεται ότι κατέχει τα εχέγγυα για την ασφαλή προστασία δεδομένων.

11. Διαβίβαση Δεδομένων σε τρίτους • Πρέπει να προβλέπεται η ενεργοποίηση

    cookies μόνο κατόπιν συναίνεσης του υποκειμένου • Υπερσύνδεση μόνο αν ενημερωθεί ο χρήστης ότι δεν υπάρχει έλεγχος στην ασφάλεια του τρίτου site • Ιδίως, ως προς την τήρηση των δεδομένων, ο ΓΚΠΔ εφαρμόζεται για επεξεργασία εντός ΕΕ. Για διαβίβαση σε τρίτες χώρες απαιτείται ιδιαίτερη προσοχή, και μόνο κατόπιν της Επιτροπής αν διασφαλίζεται επαρκές επίπεδο προστασίας από την τρίτη χώρα. Για μια τέτοια διαβίβαση δεν απαιτείται ειδική άδεια, ή αν ο εκτελών/ υπεύθυνος παράσχει σχετικές εγγυήσεις για την επεξεργασία στην τρίτη χώρα και την ύπαρξη δικαιωμάτων των υποκειμένων.
12. None