Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679 (GDPR)

Έχει παρέλθει η προθεσμία της 25ης Μαΐου 2018 για συμμόρφωση με τον GDPR και οι κυρώσεις για μη συμμόρφωση είναι σημαντικές, αλλά κάθε επιχείρηση, ίδρυμα και πάροχος υπηρεσιών που εξυπηρετεί πολίτες της ΕΕ μπορούν να λάβουν μέτρα τώρα για να προετοιμαστούν. Ξεκινήστε αναγνωρίζοντας πώς το GDPR ενισχύει και διευρύνει τον ορισμό των ατομικών δικαιωμάτων απορρήτου σε σχέση με προηγούμενα καθεστώτα απορρήτου, όπως η οδηγία για την προστασία δεδομένων του 195. Νιώστε άνετα με τη νέα ορολογία που δημιουργήθηκε από το GDPR για να κατανοήσετε τη θέση σας στο πλαίσιο. Και ξεκινήστε να επιτεθείτε στην πρόκληση συμμόρφωσης με τρόπους που είναι σημαντικοί για την προστασία της ιδιωτικής ζωής των δεδομένων προσωπικού χαρακτήρα και εντός του εύρους ελέγχου σας, όπως για να βελτιώσετε την προστασία δεδομένων σας και την υποδομή και τις υπηρεσίες αποθήκευσης για να ικανοποιήσετε τις νέες απαιτήσεις της.

Γενική Ορολογία

Υποκείμενο των Δεδομένων

Πολίτης της ΕΕ που είναι αναγνωρίσιμος από τα προσωπικά του δεδομένα. Αυτό μπορεί να περιλαμβάνει έναν καταναλωτή που κάνει μια ηλεκτρονική αγορά, έναν ασθενή ενός συστήματος υγειονομικής περίθαλψης, έναν πολίτη που έχει πρόσβαση σε ηλεκτρονικές κυβερνητικές υπηρεσίες, έναν χρήστη των εφαρμογών κοινωνικών μέσων μαζικής ενημέρωσης: κάθε άτομο που παρέχει προσωπικές πληροφορίες για να χρησιμοποιήσει κάποια υπηρεσία

Ελεγκτής

Μια επιχείρηση που δραστηριοποιείται εντός της ΕΕ — ή εκτός της ΕΕ αλλά ασχολείται με κατοίκους της ΕΕ — η οποία καταγράφει ευαίσθητα δεδομένα σχετικά με τους κατοίκους της ΕΕ κατά τη διάρκεια των δραστηριοτήτων της. Παράδειγμα: μια επιχείρηση που δέχεται ηλεκτρονικές παραγγελίες, διευθύνσεις και στοιχεία καρτών πληρωμής από καταναλωτές, ένας πάροχος υγειονομικής περίθαλψης που διατηρεί τα αρχεία των ασθενών. (Δείτε παρακάτω για βοήθεια σχετικά με τον προσδιορισμό του αν η επιχείρησή σας λειτουργεί ως εκτελών την επεξεργασία ή ως ελεγκτής)

Επεξεργαστής

Μια εμπορική επιχείρηση όπως ένας πάροχος υπηρεσιών υπολογιστικού νέφους που ενεργεί ως ανάδοχος σε έναν υπεύθυνο επεξεργασίας, δηλαδή μια άλλη επιχείρηση που εξυπηρετεί τους πολίτες της ΕΕ που συλλαμβάνει και καταγράφει ευαίσθητα δεδομένα ιδιωτών. Παραδείγματα: κεντρικοί υπολογιστές (server) εφαρμογών, υπηρεσίες παροχής χώρου αποθήκευσης δεδομένων και υπηρεσίες παροχής cloud, όπως αντίγραφα ασφαλείας

Προσωπικά Δεδομένα

“Κάθε πληροφορία που αφορά αναγνωρισμένο ή αναγνωρίσιμο φυσικό πρόσωπο.” Αυτό ορίζεται ευρύτερα στην ΕΕ από ότι σε ό,τι άλλες κυβερνήσεις και περιλαμβάνει το όνομα, τη διεύθυνση ηλεκτρονικού ταχυδρομείου, τις αναρτήσεις στα μέσα κοινωνικής δικτύωσης, φυσικές πληροφορίες, φυσιολογικές ή γενετικές πληροφορίες, ιατρικές πληροφορίες, την τοποθεσία, τα τραπεζικά στοιχεία, τη διεύθυνση IP, τα cookies, την πολιτιστική ταυτότητα κλπ. των πολιτών της ΕΕ.

Δικαίωμα στη λήθη

Το δικαίωμα κάθε πολίτη της ΕΕ «να διαγραφεί και να μην επεξεργάζονται πλέον τα προσωπικά του δεδομένα». Τα άτομα μπορούν να ζητήσουν τη διαγραφή όλων των προσωπικών τους δεδομένων που είναι αποθηκευμένα στους διακομιστές του υπευθύνου επεξεργασίας. Παραμένει κάποια ασάφεια σε αυτό το συγκεκριμένο ζήτημα. Μήπως ένα αίτημα για να ξεχαστεί απαιτεί επίσης την αφαίρεση των δεδομένων από τα αντίγραφα ασφαλείας (προβληματική σε σειριακά μέσα δημιουργίας αντιγράφων ασφαλείας, όπως ταινία); Τι συμβαίνει όταν ένα αίτημα διαγραφής έρχεται σε αντίθεση με τις πολιτικές διατήρησης δεδομένων μιας επιχείρησης για σκοπούς αρχειοθέτησης και νομικούς σκοπούς;

Παραβίαση Προσωπικών Δεδομένων

“Παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται, αποθηκεύονται ή υποβάλλονται σε επεξεργασία με άλλο τρόπο. Οι επιχειρήσεις πρέπει να αναφέρουν κάθε περιστατικό παραβίασης δεδομένων στην “εποπτική αρχή” εντός 72 ωρών από τη στιγμή που το αντιληφθούν.

Αποτυχίες Προστασίας Προσωπικών Δεδομένων

Η ικανότητά σας να βεβαιώνετε το απόρρητο, η ακεραιότητα, η προσβασιμότητα και η διαγραφή των προσωπικών δεδομένων βασίζεται εν μέρει στην ικανότητά σας να προστατεύετε από και να ανακτάτε από αποτυχίες στην αποθήκευση δεδομένων, τη δημιουργία αντιγράφων ασφαλείας και την ανάκτηση. Οι αποτυχίες αυτές εμπίπτουν σε τρεις διαφορετικές κατηγορίες:

  • Αποτυχίες συσκευών: Η φυσική αποτυχία οποιουδήποτε στοιχείου υλικού αποθήκευσης, συμπεριλαμβανομένων των μονάδων δίσκου, των ελεγκτών αποθήκευσης και των κέντρων δεδομένων. Παραδείγματα: μια κίνηση σκληρού δίσκου που εκτίθεται τυχαία στο μαγνητικό πεδίο, με συνέπεια τη μερική διαγραφή της.
  • Λογικές ή μαλακές αποτυχίες: Αποτυχίες που οφείλονται σε ανθρώπινα σφάλματα, Παραδείγματα: τυχαία διαγραφή ή αντικατάσταση αρχείων κατά τη διάρκεια της εκτέλεσης μιας διαδικασίας δημιουργίας αντιγράφων ασφαλείας, τυχαία καταστροφή δεδομένων αρχείων λόγω σφάλματος ή σφάλματος σε μια δέσμη ενεργειών ή μια επαγγελματική εφαρμογή. τυχαία διαγραφή της κύριας εγγραφής εκκίνησης ενός σκληρού δίσκου.
  • Παραβιάσεις ασφαλείας: αποτυχίες λόγω δυναμικών, κακόβουλων επιθέσεων σε υποδομές πληροφορικής, συμπεριλαμβανομένων δικτύων, διακομιστών, εφαρμογών και τελικών σημείων, συμπεριλαμβανομένων αυτών από κακόβουλους μυημένους, εγκληματίες στο διαδίκτυο και εχθρικούς κρατικούς παράγοντες. Παράδειγμα: μια επίθεση ransomware που εφαρμόζει άθραυστη κρυπτογράφηση στα περιεχόμενα ενός σκληρού δίσκου και απαιτεί μια ηλεκτρονική πληρωμή σε αντάλλαγμα για το κλειδί αποκρυπτογράφησης.

Έλεγχος των Προσωπικών τους Δεδομένων

Εκτός από την προστασία από διάφορους τύπους αποτυχιών προστασίας δεδομένων και την υποβολή εκθέσεων στις αρχές της ΕΕ όταν σημειώνονται παραβάσεις, οι υπεύθυνοι επεξεργασίας έχουν ορισμένες υποχρεώσεις έναντι των χρηστών των οποίων τα προσωπικά δεδομένα αποθηκεύουν / διατηρούν. Οι υπεύθυνοι επεξεργασίας πρέπει να υποστηρίζουν τη δυνατότητα των χρηστών να:

  • Πρόσβαση, ανάγνωση και επεξεργασία των προσωπικών τους δεδομένων
  • Εύκολη διαγραφή των προσωπικών τους δεδομένων, είτε απευθείας είτε με ένα απλό αίτημα προς την εταιρεία.
  • Εξαγωγή των προσωπικών τους δεδομένων σε ευανάγνωστη μορφή

Απαιτήσεις ΓΚΠΔ για την Προστασία και την Αποθήκευση Δεδομένων

Οι επιχειρήσεις που λειτουργούν ως επεξεργαστές των δεδομένων έχουν πρόσθετες υποχρεώσεις που πρέπει να εκπληρώσουν. Συμπεριλαμβανομένων:

  • Προσφέρουν επαρκείς εγγυήσεις ότι οι υπηρεσίες τους πληρούν τις τεχνικές και οργανωτικές απαιτήσεις του ΓΚΠΔ
  • Αποφεύγουν τη χρήση υπεργολάβων για την υποστήριξη συμβάσεων παροχής υπηρεσιών μεταξύ του εκτελούντος την επεξεργασία και των πελατών τους (υπεύθυνοι επεξεργασίας) χωρίς τη ρητή συγκατάθεση του υπευθύνου επεξεργασίας
  • Κατά τη λήξη μιας σύμβασης παροχής υπηρεσιών, αφαιρέστε όλα τα δεδομένα από την υποδομή του cloud ή/και του κέντρου δεδομένων και αποδείξτε επαρκώς ότι το έχουν πράξει
  • Αναφορά περιστατικών παραβίασης δεδομένων στον ρυθμιστικό φορέα.

Η ΕΕ αντιμετωπίζει σοβαρά την επιβολή της συμμόρφωσης, την απειλή επώδυνων οικονομικών κυρώσεων για τις επιχειρήσεις που δεν μπορούν να αποδείξουν τη συμμόρφωσή τους ή παραβιάζονται σαφώς τους κανόνες του ΓΚΠΔ για την προστασία της ιδιωτικής ζωής των χρηστών. Για παράδειγμα, παραλείποντας να διατηρήσει γραπτά αρχεία, να εφαρμόσει διάφορα τεχνικά και οργανωτικά μέτρα, ή / και να διορίσει έναν υπεύθυνο προστασίας δεδομένων μπορεί να κοστίσει στην παραβατική επιχείρηση πρόστιμο 10 εκατομμυρίων ευρώ ή 2% των ετήσιων παγκόσμιων εσόδων (όποιο είναι μεγαλύτερο). Η παραβίασης των δεδομένων ή η διάπραξη παραβίασης των δικαιωμάτων του υποκειμένου των δεδομένων, π.χ. απώλεια ή διαγραφή των δεδομένων του χωρίς άδεια, μπορεί να επιφέρει ακόμη αυστηρότερα πρόστιμα ύψους €20 εκατομμυρίων ή ίσο με το 4% των ετήσιων των παγκόσμιων εσόδων της εταιρείας (όποιο είναι μεγαλύτερο). Σε γενικές γραμμές, για να επιτευχθεί συμμόρφωση με τον ΓΚΠΔ στους τομείς της αποθήκευσης δεδομένων και της προστασίας δεδομένων (δημιουργία αντιγράφων ασφαλείας), οι εκτελούντες την επεξεργασία και οι υπεύθυνοι επεξεργασίας θα πρέπει να αναζητήσουν λύσεις υποδομής και υπηρεσιών που να πληρούν τις ακόλουθες τεχνικές απαιτήσεις:

  • Έλεγχος υποκειμένου των δεδομένων της τοποθεσίας αποθήκευσης δεδομένων προσωπικού χαρακτήρα: Πρέπει να είστε σε θέση να τηρείτε τις επιθυμίες των ατόμων των οποίων τα δεδομένα ελέγχετε ή επεξεργάζεστε σχετικά με το πού αποθηκεύονται τα προσωπικά τους δεδομένα: εσωτερικής εγκατάστασης ή/και σε ένα συγκεκριμένο κέντρο δεδομένων που βασίζεται στην ΕΕ.
  • Κρυπτογράφηση δεδομένων: Πρέπει να παρέχετε ισχυρή κρυπτογράφηση των προσωπικών δεδομένων που βρίσκονται στα τελικά σημεία σας, καθώς και κατά τη μεταφορά σας μέσω των τοπικών και ευρείας περιοχής δικτύων σας και στο cloud. Η διαδικασία κρυπτογράφησης θα πρέπει να είναι πλήρως αυτοματοποιημένη, με το υποκείμενο των δεδομένων ως μοναδικό κάτοχο του κλειδιού αποκρυπτογράφησης.
  • Αναζήτηση δεδομένων μέσα σε αντίγραφα ασφαλείας: Θα πρέπει να μπορείτε να αναζητήσετε αντίγραφα ασφαλείας σε λεπτομερές επίπεδο, διευκολύνοντας την εύρεση των απαιτούμενων πληροφοριών για λογαριασμό των υποκειμένων των δεδομένων.
  • Δυνατότητα τροποποίησης προσωπικών δεδομένων: Θα πρέπει να μπορείτε εύκολα να αντιγράφετε, να τροποποιείτε και να διαγράφετε προσωπικά δεδομένα κατόπιν αιτήματος των υποκειμένων των δεδομένων.
  • Εξαγωγή δεδομένων σε κοινή μορφή: Θα πρέπει να μπορείτε να εξάγετε προσωπικά δεδομένα σε κοινή και εύκολα χρησιμοποιήσιμη μορφή (π.χ. αρχεία ZIP)
  • Γρήγορη ανάκτηση δεδομένων: Θα πρέπει να μπορείτε να επαναφέρετε γρήγορα τα προσωπικά δεδομένα από αντίγραφα ασφαλείας σε περίπτωση βλάβης της συσκευής αποθήκευσης, σφάλματος λογισμικού ή χειριστή ή παραβίασης ασφαλείας (π.χ. επίθεση ransomware)

Ομοίως, οι εκτελούντες την επεξεργασία και οι υπεύθυνοι επεξεργασίας θα πρέπει να λαμβάνουν υπόψη τους ακόλουθους κανόνες ΓΚΠΔ κατά την επιλογή της υποδομής και των υπηρεσιών αποθήκευσης και προστασίας δεδομένων:

  • Διασυνοριακές διαβιβάσεις δεδομένων: Κάθε μεταφορά εκτός των συνόρων της ΕΕ πρέπει να είναι διαφανής και ασφαλής. Οι πάροχοι υπηρεσιών πρέπει να είναι σε θέση να προσδιορίζουν τους τόπους όπου αποθηκεύονται τα δεδομένα προσωπικού χαρακτήρα κατόπιν συγκεκριμένου αιτήματος των υποκειμένων των δεδομένων.
  • Ειδοποίηση παραβίασης: Σε περίπτωση παραβίασης δεδομένων, ο εκτελών την επεξεργασία πρέπει να είναι σε θέση να ενημερώνει τους υπευθύνους επεξεργασίας και τους πελάτες για τυχόν κινδύνους εντός 72 ωρών.
  • Δικαίωμα πρόσβασης: Η δημιουργία αντιγράφων ασφαλείας και η αποθήκευση πρέπει να υποστηρίζουν τα δικαιώματα των υποκειμένων των δεδομένων να λαμβάνουν πληροφορίες από τους υπευθύνους επεξεργασίας σχετικά με το κατά πόσον υποβάλλονται σε επεξεργασία τα προσωπικά τους δεδομένα. Ο ελεγκτής και ο υπεύθυνος επεξεργασίας των δεδομένων θα πρέπει να είναι σε θέση να παρέχει δωρεάν αντίγραφο των δεδομένων. Τα αρχεία αντιγράφων ασφαλείας πρέπει να είναι διαθέσιμα στα υποκείμενα των δεδομένων 24/7. Τα δεδομένα προσωπικού χαρακτήρα σε αντίγραφα ασφαλείας ή στον χώρο αποθήκευσης του λογαριασμού θα πρέπει είναι έχουν την δυνατότητα διαγραφής από τον χρήστη ή κατόπιν αιτήματος του.
  • Δικαίωμα στη λήθη: Όταν τα δεδομένα δεν είναι πλέον συναφή με τον αρχικό τους σκοπό, τα υποκείμενα των δεδομένων πρέπει να είναι σε θέση να απαιτούν από τον υπεύθυνο επεξεργασίας να διαγράψει τα προσωπικά του δεδομένα κατόπιν αιτήματος
  • Φορητότητα δεδομένων: Τα υποκείμενα των δεδομένων πρέπει να είναι σε θέση να λαμβάνουν και να επαναχρησιμοποιούν τα προσωπικά τους δεδομένα για τους δικούς τους σκοπούς μεταφέροντας τα σε διαφορετικά περιβάλλοντα πληροφορικής. Αυτό απαιτεί τη δυνατότητα λήψης προσωπικών δεδομένων σε εύκολα φορητή μορφή.
  • Υπεύθυνοι Προστασίας Δεδομένων: Ένας υπάλληλος που κατέχει την τελική ευθύνη για τη συμμόρφωση του ΓΚΠΔ, γνωστός ως Υπεύθυνος Προστασίας Δεδομένων, πρέπει να ορίζεται σε οποιαδήποτε δημόσια αρχή ή μεγάλους οργανισμούς (250 ή περισσότερων εργαζομένων).
  • Προστασία προσωπικών δεδομένων από το σχεδιασμό: Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία πρέπει να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, που αποσκοπούν στην εφαρμογή των αρχών προστασίας των δεδομένων.

Σύνδεσμοι προς άλλους δικτυακούς τόπους

Η ιστοσελίδα μας μπορεί να περιέχει συνδέσμους προς άλλους δικτυακούς τόπους ενδιαφέροντος σας. Ωστόσο, αφού έχετε χρησιμοποιήσει αυτούς τους συνδέσμους για να εγκαταλείψουν την ιστοσελίδα μας, θα πρέπει να σημειωθεί ότι δεν έχουμε κανένα έλεγχο σε αυτή την άλλη ιστοσελίδα. Ως εκ τούτου, δεν μπορούμε να είμαστε υπεύθυνοι για την προστασία και την ιδιωτικότητα των πληροφοριών που παρέχετε κατά την επίσκεψη αυτών των τόπων και οι εν λόγω ιστότοποι δεν διέπονται από την παρούσα δήλωση προστασίας προσωπικών δεδομένων. Θα πρέπει να είστε προσεκτικοί και να εξετάσετε τη δήλωση προστασίας προσωπικών δεδομένων που ισχύει για τον εν λόγω ιστότοπο.