2. Λίγα . . . slides για τον ΓΚΠΔ (GDPR)
ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΚΑΤΟΙΚΩΝ ΤΗΣ Ε.Ε. (Υποκείμενα των δεδομένων)
Ο GDPR και ο - από 29.8.2019 νόμος 4624 - παρέχει στους κατοίκους της ΕΕ
τον έλεγχο των προσωπικών τους δεδομένων μέσω ενός συνόλου δικαιωμάτων.
Ενδεικτικά :
• Πρόσβαση σε πληροφορίες σχετικά με τον τρόπο χρήσης των προσωπικών
δεδομένων
• Πρόσβαση στα προσωπικά δεδομένα που διατηρεί ένας οργανισμός
• Διαγραφή ή διόρθωση των λανθασμένων προσωπικών δεδομένων
• Οριστική διαγραφή ή διόρθωση των προσωπικών δεδομένων υπό ορισμένες
συνθήκες (“right to be forgotten”)
• Να ζητήσει περιορισμό ή να αντιταχθεί στην αυτοματοποιημένη επεξεργασία
προσωπικών δεδομένων
• Να λάβει αντίγραφο των προσωπικών δεδομένων
3. Υποχρεώσεις των οργανισμών
(υπεύθυνοι ή/και εκτελούντες την επεξεργασία)
Ο GDPR επιβάλλει ευρύ φάσμα απαιτήσεων σε οργανισμούς που συλλέγουν ή
επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένης της
απαίτησης συμμόρφωσης με έξι βασικές αρχές.
1. Διαφάνεια, δικαιοσύνη και νομιμότητα στο χειρισμό και τη χρήση
προσωπικών δεδομένων
2. Περιορισμό της επεξεργασίας των προσωπικών δεδομένων σε
καθορισμένους, σαφείς και νόμιμους σκοπούς
3. Ελαχιστοποίηση της συλλογής και της αποθήκευσης δεδομένων
προσωπικού χαρακτήρα σε εκείνη που είναι επαρκής και σχετική για τον
επιδιωκόμενο σκοπό
4. Εξασφάλιση της ακρίβειας των προσωπικών δεδομένων και δικαίωμα για την
διαγραφή ή την διόρθωσή τους
5. Περιορισμό του χρόνου αποθήκευσης προσωπικών δεδομένων
6. Κατοχύρωση της ασφάλειας, της ακεραιότητας και της εμπιστευτικότητας
των προσωπικών δεδομένων
4. • Ενημέρωση
• Συναντήσεις – Συνεντεύξεις - Ερωτηματολόγιο
• Διαδικασία Αξιολόγησης
• Αξιοποίηση του Microsoft Assessment Tool – Αποτελέσματα (PowerBI Results)
• Συμπεράσματα – Προτάσεις
• Ψηφιακά Δεδομένα - Φυσικά Δεδομένα
• Επόμενα Βήματα : Προτεινόμενες Φάσεις Υλοποίησης Έργου
Η Λύση της InTTrust : “Implementing GDPR”
5. Ενημέρωση
• Ενημέρωση της Διοίκησης της επιχείρησης σχετικά με την ασφάλεια
των δεδομένων και για τον ΓΚΠΔ (GDPR)
• Παρουσίαση της μεθοδολογίας συμμόρφωσης
• Εντοπισμός των εμπλεκομένων τμημάτων της επιχείρησης
• Καθορισμός των αρμοδίων στελεχών για την περεταίρω επικοινωνία
• Ενημέρωση των επικεφαλής των εμπλεκομένων τμημάτων σχετικά
με την ασφάλεια των δεδομένων, την επεξεργασία των Δεδομένων
Προσωπικού Χαρακτήρα (ΔΠΧ) και για τον GDPR
6. Συναντήσεις – Συνεντεύξεις
• Επί μέρους συνεντεύξεις με τους επικεφαλής των τμημάτων και
τεκμηρίωση της επεξεργασίας των δεδομένων ενδιαφέροντος GDPR
• Επίσκεψη στούς χώρους φυσικής αποθήκευσης μή μηχανογραφικών
δεδομένων (αρχείο), στους χώρους επεξεργασίας και στους χώρους
εγκατάστασης και λειτουργίας μηχανογραφικών υποδομών
• Συμπλήρωση επί μέρους ερωτηματολογίων – καταγραφή
παρατηρήσεων
• Διαδικασία συμπλήρωσης του Microsoft Assessment Tool (συνήθως
σε συνεργασία με τον IT Manager)
7. Διαδικασία Αξιολόγησης
Προσδιορίστε ποια προσωπικά δεδομένα έχετε
και που βρίσκονταιDiscover1
Προσδιορίστε τον τρόπο χρήσης και την
πρόσβαση των προσωπικών δεδομένωνManage2
Καθιερώστε ελέγχους ασφάλειας για την
πρόληψη, ανίχνευση και αντιμετώπιση των
ευπαθειών και των παραβιάσεων δεδομένων
Protect3
Εκτέλεση αιτημάτων παροχής δεδομένων,
αναφορές παραβίασης δεδομένων και
διατήρηση της απαιτούμενης τεκμηρίωσης
Report4
Evaluate-Improve
10. Προτάσεις – Discover (digital data)
• Συγκέντρωση των αρχείων των χρηστών σε κεντρικές τοποθεσίες
(Windows Server 2016 File server / SharePoint Online) όπου υπάρχει η
δυνατότητα να ελεγχθούν και να κρυπτογραφηθούν.
• Κατηγοριοποίηση των αρχείων (personal data, classification
categories) των χρηστών για την κρυπτογράφηση αυτών μέσω Azure
RMS.
• Ενημέρωση των χρηστών για την διαδικασία διατήρησης των αρχείων
τους και τις δυνατότητες που παρέχει ο οργανισμός.
11. Προτάσεις - Discover (physical data)
• Καθιέρωση διαδικασίας με αντικείμενο τον εντοπισμό και την καταγραφή όλων των
φυσικών μέσων στα οποία περιέχονται προσωπικά δεδομένα.
• Αναζήτηση και καταγραφή των πληροφοριών που αφορούν την κτήση των
προσωπικών δεδομένων , συσχέτιση των ευρημάτων με τα σχετικά νομικά θέματα.
• Αναγνώριση και τεκμηρίωση (καταγραφή) όλων των διαδικασιών της εταιρίας στις
οποίες εμπλέκονται προσωπικά δεδομένα.
• Οι διαδικασίες παραγωγής της εταιρίας πρέπει να ελεγθούν για τυχόν απρόσμενη
επίδραση (επεξεργασία) σε προσωπικά δεδομένα εκ μέρους των εργαζομένων και
να καθιερωθούν πολιτικές αντιμετώπισης κατά περίπτωση. Οι πολιτικές αυτές
πρέπει να επικοινωνηθούν σε όλο το προσωπικό.
• Όλα τα δεδομένα της εταιρίας πρέπει να κατηγοριοποιηθούν και να καταγραφούν
σε σχέση με την ανάγκη προστασίας τους με ειδική μέριμνα για επιχειρηματικά
μυστικά και τα προσωπικά δεδομένα. Πρέπει να καθιερωθούν σχετικοί κανόνες
προστασίας, συντήρησης, επεξεργασίας και διαγραφής τους.
Υψηλή προτεραιότητα Μέτρια προτεραιότητα Χαμηλή προτεραιότητα
12. Προτάσεις – Manage (digital data)
• Ανάθεση υπεύθυνων ανά ρόλο για τον έλεγχο την επεξεργασία και
την διαχείριση των αρχείων με προσωπικά δεδομένα (O365 roles).
• Ενημέρωση των χρηστών μέσω των εφαρμογών (Intune, SharePoint
Online, Dynamics) για την διατήρηση και την επεξεργασία των
προσωπικών τους δεδομένων.
• Δημιουργία συστημάτων (SharePoint, Intune, Dynamics, SQL) για την
διατήρηση της συγκατάθεσης, της αποθήκευσης και της
επεξεργασίας των προσωπικών δεδομένων των χρηστών.
• Αναζήτηση και διαγραφή, όταν χρειαστεί, των προσωπικών
δεδομένων των χρηστών (O365 Advanced Εdiscovery, Windows 2016,
Dynamics).
• Εκμετάλλευση των εργαλείων του O365 (Advanced eDiscovery) για
την αναζήτηση και εμφάνιση προσωπικών δεδομένων.
13. Προτάσεις - Manage (physical data)
• Με στόχο τη συντήρηση και την προστασία παντός είδους δεδομένων της εταιρίας, πρέπει να
γινει κατηγοριοποίηση και καταγραφή τους.
• Δημιουργία και εφαρμογή κανόνων και διαδικασιών μεταφοράς δεδομένων εντός και εκτός
εταιρίας, με γνώμονα τη συμμόρφωση με τον GDPR.
• Αναθεώρηση του συστήματος διαχείρισης κινδύνου της εταιρίας, συμπεριλαμβάνοντας τα
στοιχεία που προκύπτουν από την επίδραση των προσωπικών δεδομένων, στην ανάλυση
κινδύνου της εταιρίας.
• Δημιουργία πολιτικής προστασίας δεδομένων της εταιρίας και καθιέρωση διαδικασίας
ενημέρωσης του προσωπικού για την πολιτική αυτή ανά τακτά χρονικά διαστήματα.
• Δημιουργία (περιγραφή) και ανάθεση καθηκόντων Υπεύθυνου Προστασίας Δεδομένων (DPO).
Δημιουργία (περιγραφή) καθηκόντων και ορισμός Υπεύθυνου Επεξεργασίας Δεδομένων (DPM)
και Εκτελούντος(ων) την Επεξεργασία (ΡΟ).
Υψηλή προτεραιότητα Μέτρια προτεραιότητα Χαμηλή προτεραιότητα
14. Προτάσεις – Protect (digital data)
• Δημιουργία πολιτικών ασφαλείας (Group Policies, Intune, LOG Analytics) για τον
έλεγχο, την προστασία και την παρακολούθηση των τερματικών σταθμών των
χρηστών.
• Προστασία της ταυτότητας εισόδου των χρηστών στα εταιρικά δεδομένα (Group
Policies, MFA)
• Εφαρμογή συστημάτων προστασίας των δεδομένων των χρηστών (Bitlocker, O365,
Intune) στους τερματικούς σταθμούς και τις συσκευές τους.
• Κρυπτογράφηση των προσωπικών δεδομένων των χρηστών (Azure Information
Protection)
• Ενημέρωση και εκπαίδευση των χρηστών για τις δυνατότητες που παρέχει ο
οργανισμός για την κρυπτογράφηση των προσωπικών δεδομένων.
• Δημιουργία συστήματος (O365 DLP, EMS) ειδοποίησης και ενημέρωσης των
διαχειριστών των συστημάτων για την διαρροή προσωπικών δεδομένων.
• Δημιουργία διαδικασίας συνεχούς εκτίμησης των πληροφοριακών συστημάτων του
οργανισμού (Azure LOG Analytics)
15. Προτάσεις - Protect (physical data)
• Δημιουργία καθηκόντων και δικαιωμάτων πρόσβασης σε δεδομένα και επεξεργασίες για
τους εργαζόμενους με γνώμονα την χρήση, συντήρηση, προστασία και αποθήκευση των
προσωπικών δεδομένων.
• Με στόχο τη συντήρηση και την προστασία παντός είδους δεδομένων της εταιρίας,
πρέπει να γινει κατηγοριοποίηση και καταγραφή τους.
• Όλα τα δεδομένα της εταιρίας πρέπει να κατηγοριοποιηθούν και να καταγραφούν σε
σχέση με την ανάγκη προστασίας τους με ειδική μέριμνα για επιχειρηματικά μυστικά και
τα προσωπικά δεδομένα. Πρέπει να καθιερωθούν σχετικοί κανόνες προστασίας,
συντήρησης, επεξεργασίας και διαγραφής τους.
• Δημιουργία και εφαρμογή κανόνων και διαδικασιών μεταφοράς δεδομένων εντός και
εκτός εταιρίας, με γνώμονα τη συμμόρφωση με τον GDPR.
• Οι διαδικασίες παραγωγής της εταιρίας πρέπει να ελεγθούν για τυχόν απρόσμενη
επίδραση (επεξεργασία) σε προσωπικά δεδομένα εκ μέρους των εργαζομένων και να
καθιερωθούν πολιτικές αντιμετώπισης κατά περίπτωση. Οι πολιτικές αυτές πρέπει να
επικοινωνηθούν σε όλο το προσωπικό.
Υψηλή προτεραιότητα Μέτρια προτεραιότητα Χαμηλή προτεραιότητα
16. Προτάσεις – Report (digital data)
• Δημιουργία διαδικασίας για την συνεχή ενημέρωση (Ο365 Compliance)
των διαχειριστών του οργανισμού για το πλαίσιο ελέγχου, διατήρησης
και επεξεργασίας προσωπικών δεδομένων.
• Αναζήτηση και διατήρηση στοιχείων (Azure Log Analytics, O365 Unified
Audit log, Windows Server 2016 Advanced Audit Policy Configuration)
επεξεργασίας προσωπικών δεδομένων των χρηστών.
• Δημιουργία συστήματος παρακολούθησης (Azure RMS) και ενημέρωσης
των διαχειριστών των αρχείων με προσωπικά δεδομένα.
• Εφαρμογή πρότυπου συστήματος συνεχούς συλλογής και εκτίμησης
(Azure Monitor) των πληροφοριακών συστημάτων του οργανισμού
σχετικά με την εφαρμογή των κανονισμών προσωπικών δεδομένων.
17. Προτάσεις - Report (physical data)
• Καθιέρωση διαδικασίας με αντικείμενο τον εντοπισμό και την καταγραφή όλων των φυσικών
μέσων στα οποία περιέχονται προσωπικά δεδομένα.
• Αναζήτηση και καταγραφή των πληροφοριών που αφορούν την κτήση των προσωπικών
δεδομένων και συσχέτιση των ευρημάτων με τα σχετικά νομικά θέματα.
• Αναγνώριση και τεκμηρίωση (καταγραφή) όλων των διαδικασιών της εταιρίας στις οποίες
εμπλέκονται προσωπικά δεδομένα.
• Με στόχο τη συντήρηση και την προστασία παντός είδους δεδομένων της εταιρίας, πρέπει να γίνει
κατηγοριοποίηση και καταγραφή τους.
• Αναθεώρηση του συστήματος διαχείρισης κινδύνου της εταιρίας, συμπεριλαμβάνοντας τα στοιχεία
που προκύπτουν από επίδραση προσωπικών δεδομένων, στην ανάλυση κινδύνου της εταιρίας.
• Τα δεδομένα της εταιρίας θα κατηγοριοποιηθούν σε σχέση με την ανάγκη προστασίας τους με
ειδική μέριμνα για επιχειρηματικά μυστικά και τα προσωπικά δεδομένα. Θα καθιερωθούν σχετικοί
κανόνες προστασίας, συντήρησης, επεξεργασίας και διαγραφής τους.
• Δημιουργία και εφαρμογή κανόνων και διαδικασιών μεταφοράς δεδομένων εντός και εκτός
εταιρίας, με γνώμονα τη συμμόρφωση με τον GDPR.
• Οι διαδικασίες παραγωγής της εταιρίας θα ελεγθούν για τυχόν απρόσμενη επίδραση
(επεξεργασία) σε προσωπικά δεδομένα εκ μέρους των εργαζομένων. Θα καθιερωθούν πολιτικές
αντιμετώπισης κατά περίπτωση. Οι πολιτικές αυτές θα επικοινωνηθούν σε όλο το προσωπικό.
Υψηλή προτεραιότητα Μέτρια προτεραιότητα Χαμηλή προτεραιότητα
18. Σημαντική Παρατήρηση:
Ολοκληρώνοντας πρέπει να τονίσουμε στις
ενδιαφερόμενες για συμμόρφωση επιχειρήσεις, ότι ένας
μεγάλος αριθμός των ανωτέρω προτεινόμενων –
μηχανογραφικών και μη – ενεργειών, καλύπτεται με
αυτοματοποιημένο τρόπο, με την προμήθεια και την
αξιοποίηση εργαλείων της Microsoft όπως τα
Μicrosoft365, Office365 με EMS (Enterprise Mobility &
Security) και Windows 10.
Δεδομένου δε του γεγονότος ότι η συμμόρφωση οφείλει να
είναι μια διαρκής και εξελισσόμενη κατάσταση, η χρήση
κατάλληλων εργαλείων σε συνδυασμό με τις διαδικασίες
εξασφαλίζει τη διάρκεια της νομιμότητας.