GDPR Seminar Presentation - Applications of GDPR Compliance according to business model

1. ΠΡΑΚΤΙΚΑ ΘΕΜΑΤΑ ΣΥΜΜΟΡΦΩΣΗΣ ΜΕ ΤΗΝ
ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Λευτέρης Μπαρμπάτσαλος
Οικονομολόγος Πανεπιστημίου Μακεδονίας, MSc, MBA
Σύμβουλος Επιχειρήσεων
Τηλ: 24410 71773 / 6936843365 email: lefteris.barbatsalos@gmail.com
Καρδίτσα 13/06/2018

2. ΠΕΡΙΕΧΟΜΕΝΑ
 Βασικά ερωτήματα επιχειρήσεων
 Κουλτούρα GDPR & DPO
 Risk Analysis
 Data Breach

3. ΠΡΟΣΕΓΓΙΣΗ ΕΠΙΧΕΙΡΗΣΕΩΝ
 Θα μου δώσεις έτοιμα κείμενα
 Πόσο είναι το κόστος
 Ευθύνη (πρόσωπο – εταιρία – εξωτερικός
συνεργάτης)
 Πρόστιμα (Ποιός Πληρώνει;)
 Χρειάζομαι DPO;
 Αν πάρω συγκατάθεση για να στέλνω διαφημιστικά
email είμαι GDPR compliance;
 GDPR σημαίνει γραφειοκρατία

4. Κουλτούρα GDPR
 Στόχος η ψηφιακή οικονομία και όχι η ψηφιακή δικτατορία
 Δεν μπορεί να αγοραστεί έτοιμο πακέτο, δεν είναι H/Y ούτε
COCA COLA
 H συμμόρφωση είναι σταδιακή και όχι απότομη – βεβιασμένη
 Είναι διεργασία και όχι προϊόν
 Έχει απαιτήσεις, χρειάζεται χρόνο, αυξάνει το κόστος και τις
ανάγκες αλλά μπορεί να χρησιμοποιηθεί τόσο ως συγκριτικό
πλεονέκτημα όσο και ως στοιχείο marketing
 Tα δεδομένα είναι το πολυτιμότερο περιουσιακό στοιχείο (asset)
στη σύγχρονη οικονομία (1 τρις
δολάρια η αξία της αγοράς των προσωπικών δεδομένων
το 2020)

5. ΕΠΙΧΕΙΡΗΜΑΤΙΚΑ ΟΦΕΛΗ
 Ανάπτυξη σχέσης εμπιστοσύνης με πελάτες,
προμηθευτές και λοιπά ενδιαφερόμενα μέρη
(stakeholders)
 Ενίσχυση της εταιρικής φήμης και εικόνας
 Δημιουργία ανταγωνιστικού πλεονεκτήματος σε
διαδικασίες που εμπλέκονται προσωπικά δεδομένα
και πληροφορίες
 Χρήση της συμμόρφωσης ως εργαλείο marketing
έναντι των ανταγωνιστών

6. Ρόλος DPO
 Ένας εσωτερικός ελεγκτής που έχει ως βασικό στόχο τη βελτίωση της
απόδοσης της επιχείρησης σε θέματα προστασίας προσωπικών δεδομένων
καθώς και σε διαχείριση των κινδύνων που σχετίζονται τόσο με την
προστασία των προσωπικών δεδομένων όσο και με την εικόνα της
επιχείρησης
 Λειτουργεί συμβουλευτικά προς τη διοίκηση και ταυτόχρονα ενημερώνει
για τυχόν εξελίξεις για θέματα ΠΠΔ και ασφάλειας
 Είναι ανεξάρτητος τόσο λειτουργικά όσο και επιχειρησιακά (προσοχή στη
σύγκρουση συμφερόντων)
 Αποτελεί σημείο επαφής και επικοινωνίας με πρόσωπα και θεσμούς
 Διενεργεί εσωτερικές επιθεωρήσεις και σχεδιάζει την εκπαίδευση του
προσωπικού
 Συμβουλευτική υποστήριξη και έλεγχος εκτίμησης αντίκτυπου

7. ΥΠΟΣΤΗΡΙΞΗ ΑΠΟ DPO
 Ετήσιο πρόγραμμα εκπαίδευσης στο GDPR
 Ετήσιο πρόγραμμα εσωτερικής επιθεώρησης
 Έκθεση εσωτερικής επιθεώρησης
 Αναφορά Απόκλισης

8. ΕΝΕΡΓΕΙΕΣ ΠΡΟΣΑΡΜΟΓΗΣ
 Εκπαίδευση προσωπικού
 Ορισμός DPO
 Επένδυση σε τεχνολογία
 Γραπτές διαδικασίες
 Ανασχεδιασμός οργανογράμματος
 Χρήση εξωτερικού συμβούλου
 Risk Assessment
 Προετοιμασία εκτίμησης αντίκτυπου

9. ΧΑΡΤΟΓΡΑΦΙΣΗ ΡΟΗΣ ΠΡΟΣΩΠΙΚΩΝ
ΔΕΔΟΜΕΝΩΝ (DATA MAPPING)
 Εργαλεία χαρτογράφησης – Χρήση ερωτηματολογίων,
συνέντευξη, παρακολούθηση διεργασιών, απόψεις
ειδικών
 Δημιουργία διαγραμμάτων ροής (ΜS Visio, Smartdraw κτλ)
 Θα πρέπει να είναι ξεκάθαρο στη χαρτογράφηση το
είδος δεδομένων, ο σκοπός χρήσης τους, η συχνότητα,
τρόπος απόκτησης, τοποθεσία αποθήκευσης, πρόσωπα
που έχουν πρόσβαση, πρόσωπα που κάνουν
επεξεργασία, για πόσο χρόνο διακρατούνται

10. ΠΛΕΟΝΕΚΤΗΜΑΤΑ ΧΡΗΣΗΣ
ΔΙΑΓΡΑΜΜΑΤΩΝ ΡΟΗΣ
 Βελτίωσης, απλοποίησης, κατάργησης μιας
διαδικασίας
 Κατανόησης από τους εμπλεκόμενους των
διαφορετικών φάσεων μιας προβληματικής εργασίας
με σκοπό τη βελτίωση της
 Τεκμηρίωσης και καταγραφής μιας λειτουργικής
διαδικασίας ώστε να χρησιμοποιηθεί αυτή για
ενημερωτικούς ή εκπαιδευτικούς σκοπούς.

11. ΣΥΜΒΟΛΑ ΠΟΥ ΧΡΗΣΙΜΟΠΟΙΟΥΜΕ ΓΙΑ
ΔΙΑΓΡΑΜΜΑΤΑ ΡΟΗΣ

12. ΠΑΡΑΔΕΙΓΜΑ ΔΙΑΓΡΑΜΜΑΤΟΣ ΡΟΗΣ

13. ΠΑΡΑΔΕΙΓΜΑ DATA MAPPING

14. ΠΑΡΑΔΕΙΓΜΑ DATA MAPPING

15. Στόχος – «Έξυπνη» Συμμόρφωση
 Επανεξέταση όγκου δεδομένων καθώς και διαδικασίες για συγκέντρωση,
αποθήκευση, μεταφορά, ψηφιοποίηση, ανάλυση και επεξεργασία δεδομένων –
Είναι όντως χρήσιμες οι πληροφορίες που συγκεντρώνουμε; Χρησιμοποιούνται
για εκμετάλλευση επιχειρηματικών ευκαιριών; Έχουν πρόσβαση μόνο όσοι
χρειάζεται;
 Χρήση εμφανών διαδικασιών και πολιτικών με σκοπό να γίνει σημείο
αναφοράς η εμπιστοσύνη των πελατών, προμηθευτών, συνεργατών κτλ και να
χρησιμοποιηθεί ως ανταγωνιστικό πλεονέκτημα
 Σχεδιασμός στρατηγικής της επιχείρησης με βάση τα δεδομένα της νέας
ψηφιακής εποχής που θα βοηθήσουν την επιχείρηση σε ομαλή προσαρμογή
στο διεθνοποιημένο περιβάλλον της πληροφορίας και την υιοθέτηση
επιχειρηματικών μοντέλων περισσότερο φιλικών στην ψηφιακή τεχνολογία

16. Προσέγγιση με βάση τον Κίνδυνο (Risk Oriented)
 Με την έναρξη της οικονομικής κρίσης έχουμε μια
προσέγγιση διαφορετική στο σύνολο του οικονομικού
και όχι μόνο περιβάλλοντος
 Υπάρχει αυξημένη χρήση προτύπων διαχείρισης
κινδύνου – risk management στο σύνολο των
διαδικασιών ενώ υπάρχει αυξημένη πίεση για
συμμόρφωση και εσωτερικό έλεγχο
 Αυξανόμενη ζήτηση σε επαγγέλματα και επιστήμες που
σχετίζονται με τον εσωτερικό έλεγχο και την κανονιστική
συμμόρφωση
 GDPR – Βάση την προσέγγιση σύμφωνα με τον κίνδυνο

17. Κίνδυνος (Risk)
 Τι είναι κίνδυνος (risk);
Η επίδραση της αβεβαιότητας στους στόχους
Η επίδραση είναι η απόκλιση από την αναμενόμενη τιμή
(expected value)
 Τι είναι η διαχείριση κινδύνου (risk
management);
Συντονισμένες ενέργειες για τον έλεγχο και την καθοδήγηση
ενός οργανισμούς με βάση τον κίνδυνο

18. ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΟΥ (RISK ASSESSMENT)
1. Αναγνώριση Κινδύνων (Risk identification)
Διαδικασία εντοπισμού, αναγνώρισης και περιγραφής των κινδύνων
(μπορεί να γίνει χρήση ιστορικών δεδομένων, απόψεις ειδικών κτλ)
2. Ανάλυση Κινδύνου (Risk Analysis)
Διαδικασία για την κατανόηση της φύσης του κινδύνου και για τον
προσδιορισμό του επιπέδου κινδύνου
3. Αξιολόγηση Κινδύνου – Εκτίμηση
επικινδυνότητας (Risk Evaluation)
Διαδικασία σύγκρισης των αποτελεσμάτων της ανάλυσης κινδύνου με
κριτήρια κινδύνου για τον προσδιορισμό του κινδύνου και / ή το μέγεθός
του είναι αποδεκτό ή ανεκτό

19. Αντιμετώπιση Κινδύνου (Risk Treatment)
 Διαδικασία για την τροποποίηση (modify) κινδύνου
H αντιμετώπιση κινδύνου περιλαμβάνει:
1. Αποφυγή του κινδύνου αποφασίζοντας να μην ξεκινήσει ή να μην συνεχίσει
τη δραστηριότητα που δημιουργεί τον κίνδυνο,
2. Την ανάληψη ή την αύξηση του κινδύνου για να εκμεταλλευτούμε μια πιθανή
ευκαιρία
3. Απομακρύνοντας την πηγή κινδύνου
4. Μεταβολής της πιθανότητας εμφάνισης
5. Μεταβολή των επιπτώσεων – συνεπειών
6. Μεταφορά μέρους ή και ολόκληρου του κινδύνου σε ένα άλλος μέρος (ή
μέρη)
7. Διατήρηση του κινδύνου με βάση αποφάσεις που έχουν λάβει υπόψη τους
τον κίνδυνο (informed)
Residual Risk (Υπολειπόμενος Κίνδυνος)

20. Διαχείριση Κινδύνου
Plan
(Σχεδιάζω)
Do
(Υλοποιώ)
Check
(Ελέγχω –
Αξιολογώ)
Act (Δρω)

21. Σχεδιάζοντας το πλαίσιο διαχείρισης κινδύνων
 Για να μπορεί να υπάρχει αποτελεσματικός
σχεδιασμός ενός ολοκληρωμένου και αποδοτικού
πλαισίου θα πρέπει πρώτα να υπάρχει σφαιρική
αντίληψη της κουλτούρας του οργανισμού και του
γενικού πλαισίου στο οποίο λειτουργεί (εξωτερικό
και εσωτερικό περιβάλλον της επιχείρησης)
 Δημιουργία πολιτικής διαχείρισης κινδύνων

22. Διαδικασία Διαχείρισης Κινδύνων

23. Risk Matrix
Α. Πολύ μικρή Β. Μικρή Γ. Μέτρια Δ. Μεγάλη Ε. Πολύ μεγάλη
0. Μη σημαντική
1. Μικρή 1A (2) 1Β (3) 1Γ (4) 1Δ (5) 1Ε (6)
2. Σοβαρή 2A (3) 2Β (4) 2Γ (5) 2Δ (6) 2Ε (7)
3. Μεγάλη 3A (4) 3Β (5) 3Γ (6) 3Δ (7) 3Ε (8)
4. Καταστροφική 4A (5) 4B (6) 4Γ (7) 4Δ (8) 4Ε (9)
ΠΙΝΑΚΑΣ ΑΞΙΟΛΟΓΗΣΗΣ
ΠΙΘΑΝΟΤΗΤΑ ΒΛΑΒΗΣ
ΣΟΒΑΡΟΤΗΤΑΒΛΑΒΗΣ
ΧΑΜΗΛΗ
ΜΕΤΡΙΑ
ΥΨΗΛΗ

24. Έλεγχος Επικινδυνότητας
 Υψηλή ή μη αποδεκτή επικινδυνότητα: Η εταιρία πρέπει να
εφαρμόσει μέτρα για τη μείωση της επικινδυνότητας
 Μέτρια επικινδυνότητα: Η εταιρία θα πρέπει να εφαρμόσει
μέτρα ώστε να εξασφαλίσει τον έλεγχο/διατήρηση της
επικινδυνότητας (και, όπου είναι εφικτό να αξιολογήσει
μέτρα για τη μείωση της επικινδυνότητας μεσοπρόθεσμα)
 Χαμηλή ή αποδεκτή επικινδυνότητα: Η εταιρία δεν θα
πρέπει να εφαρμόσει συγκεκριμένα μέτρα, αλλά μπορεί να
αξιολογήσει δυνατότητες για βελτίωση μακροπρόθεσμα.

25. Μελέτη Εκτίμησης Κινδύνου

26. ΕΦΑΡΜΟΓΗ ΠΟΛΙΤΙΚΩΝ (POLICIES)
 Πολιτική καθαρού γραφείου (clear desk policy)
 Πολιτική κωδικών πρόσβασης (password policy)
 Πολιτική Φυσικής Ασφάλειας

27. PERSONAL DATA BREACH – ΠΑΡΑΒΙΑΣΗ
ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
 Παραβίαση δεδομένων επέρχεται όταν σημειώνεται
συμβάν ασφαλείας σε σχέση με τα δεδομένα για τα
οποία ευθύνεται μία εταιρεία ή ένας οργανισμός, το
οποίο έχει ως αποτέλεσμα την παραβίαση του
απορρήτου, της διαθεσιμότητας ή της ακεραιότητας
 Ειδοποιήσει την εποπτική αρχή χωρίς αδικαιολόγητη
καθυστέρηση και το αργότερο εντός 72 ωρών αφού
αντιληφθεί την παραβίαση ενώ θα πρέπει να
ενημερωθούν και τα φυσικά πρόσωπα των οποίων τα
δεδομένα παραβιάστηκαν

28. PERSONAL DATA BREACH
 Παραβίαση της ασφάλειας που οδηγεί στην τυχαία ή
παράνομη καταστροφή, απώλεια, αλλοίωση, μη
εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά
δεδομένα που μεταδίδονται, αποθηκεύονται ή
υποβάλλονται σε άλλη επεξεργασία (ARTICLE 29DATA
PROTECTION WORKING PARTY)
Παράδειγμα
1. Απώλεια ή κλοπή εξωτερικού σκληρού δίσκου με
εξετάσεις ασθενών
2. Απώλεια κλειδιού κρυπτογράφησης προσωπικών
δεδομένων
3. Ιός αλλοιώνει τα προσωπικά δεδομένα που έχουμε στο
σκληρό δίσκο του υπολογιστή του λογιστηρίου

29. PERSONAL DATA BREACH – ΠΑΡΑΒΙΑΣΗ
ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Σε περίπτωση που έχουμε παραβίαση προσωπικών
δεδομένων (π.χ. αποτελέσματα μικροβιολογικών και
χημικών εξετάσεων ασθενών τα οποία είναι
κρυπτογραφημένα ) τι υποχρέωση έχει η εταιρία ;
Ποίος είναι υπεύθυνος να ενημερώσει την αρχή;
H συγκεκριμένη παραβίαση ενδέχεται να προκαλέσει
κίνδυνο για τα δικαιώματα και τις ελευθερίες των
φυσικών προσώπων;

30. PERSONAL DATA BREACH – ΠΑΡΑΒΙΑΣΗ
ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Έχουμε Personal data breach στις παρακάτω
περιπτώσεις;
 Ransomware κρυπτογραφεί τα προσωπικά μας δεδομένα
και ζητάει λύτρα. Τα δεδομένα υπάρχουν σε Virtual server
(back up)
 Σημαντική βλάβη στη μηχανογράφηση χρηματιστηριακής
εταιρίας εμποδίζει για 2 μέρες την εκτέλεση
προγραμματισμένων εντολών αγοροπωλησιών γιατί δεν
υπάρχουν διαθέσιμα κάποια απαραίτητα προσωπικά
στοιχεία των πελατών

31. PERSONAL DATA BREACH
 Πότε λαμβάνει γνώση ο υπεύθυνος επεξεργασίας για
την παραβίαση προσωπικών δεδομένων;
 Όταν ο υπεύθυνος επεξεργασίας έχει σημαντικό
βαθμό βεβαιότητας ότι έλαβε χώρα ένα περιστατικό
παραβίασης της ασφάλειας στο οποίο
διακυβεύονται θέματα προσωπικών δεδομένων

32. ΕΠΙΜΕΡΟΥΣ ΣΤΟΙΧΕΙΑ ΕΝΗΜΕΡΩΣΗΣ ΣΕ
ΠΕΡΙΠΤΩΣΗ PERSONAL DATA BREACH
1. Περιγράφει τη φύση της παραβίασης των προσωπικών δεδομένων,
συμπεριλαμβανομένου όπου είναι δυνατόν, τις κατηγορίες και τον (κατά
προσέγγιση) αριθμό των υποκείμενων που αφορά η παραβίαση καθώς και τις
κατηγορίες και τον κατά προσέγγιση αριθμό των αρχείων προσωπικών δεδομένων
που αφορά η παραβίαση
2. Κοινοποιεί το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας
δεδομένων ή άλλου σημείου επαφής, όπου μπορούν να δοθούν περισσότερες
πληροφορίες
3. Περιγράφει τις πιθανές συνέπειες της παραβίασης των προσωπικών δεδομένων
4. Περιγράφει τα μέτρα που έλαβε ή προτίθεται να λάβει ο υπεύθυνος επεξεργασίας
για την αντιμετώπιση της παραβίασης των προσωπικών δεδομένων,
συμπεριλαμβανομένων, κατά περίπτωση, μέτρων για τον περιορισμό των πιθανών
δυσμενών επιπτώσεών
Η ενημέρωση μπορεί να πραγματοποιηθεί και σταδιακά ή σε δεύτερο χρόνο να ζητηθεί να
ανακληθεί

33. Περίπτωση Yahoo
 3 δις χρήστες ηλεκτρονικού ταχυδρομείου της Yahoo υπολογίζεται ότι
πρέπει να συμβιβαστούν με την ιδέα ότι έχουν παραβιαστεί τα προσωπικά
τους δεδομένα (ηλεκτρονική διεύθυνση, ημερομηνία γέννησης, κωδικοί,
στοιχεία επικοινωνίας κτλ)
 Πραγματοποίηση της παραβίασης Αύγουστος 2013
 Ενημέρωση για το συμβάν από την Yahoo 09/2016 έως 10/2017
 Κόστος συμβάντος : $350 εκ. (εκτίμηση για τις απώλειες της αξίας της
τιμής της μετοχής της Yahoo ενόψει της πώλησής της στην Verizon
Communications).
Η Μαρίσα Μέϊερ, πρώην διευθύνουσα σύμβουλος της Yahoo, η οποία
παραιτήθηκε μετά την ανακοίνωση της υπόθεσης και ο επικεφαλής της
δικηγορικής ομάδας της εταιρείας, Ρόναλντ Μπελ, ο οποίος εγκατέλειψε το
πόστο του μετά τις αποκαλύψεις

34. Ενημέρωση από τη Yahoo
 Στην πρώτη της δήλωση, η εταιρεία ανακοίνωσε ότι η διαδικτυακή αυτή επίθεση επηρέασε 500
εκατομμύρια χρήστες και πως κατά την διάρκειά της εκτέθηκαν ονόματα, email, ημερομηνίες
γέννησης και τηλέφωνα.
 Παρόλα αυτά, έσπευσε να καθησυχάσεις τους χρήστες ότι η πλειονότητα των κωδικών είχαν
προστατευτεί μέσω της χρήσης του αλγόριθμου bcrypt.
 Τρείς μήνες αργότερα, η Yahoo! εξέδωσε νέα ανακοίνωση και παραδέχτηκε ότι το 2013 μια άλλη
ομάδα χάκερ εξασφάλισε πρόσβαση στα δεδομένα 1 δισ. χρηστών, τα οποία περιλάμβαναν όχι μόνο
ονόματα, email, ημερομηνίες γέννησης και κωδικούς πρόσβασης αλλά και ερωτήσεις ασφαλείας των
χρηστών με τις αντίστοιχες απαντήσεις.
 Τον Οκτώβριο του 2017, η ίδια εταιρεία παραδέχτηκε ότι στην πραγματικότητα κατά την
κυβερνοεπίθεση αυτή διέρρευσαν τα δεδομένα 3 δισ. χρηστών της πλατφόρμας.
 Είναι σημαντικό να σημειωθεί ότι, σχετικά με την ανακοίνωση της Yahoo τον Δεκέμβριο για την
παραβίαση του Αυγούστου του 2013, η εταιρεία έλαβε δραστικά μέτρα για την προστασία των
λογαριασμών. Η Yahoo απατούσε από όλους τους χρήστες που δεν είχαν αλλάξει του κωδικούς
πρόσβασης μετά την παραβίαση, να το πράξουν. Η εταιρεία επίσης ακύρωσε τις
κρυπτογραφημένες ερωτήσεις και απαντήσεις ασφαλείας, ώστε αυτά να μην μπορούν να
χρησιμοποιηθούν για την παράνομη πρόσβαση σε λογαριασμούς της Yahoo», αναφέρεται στην
πρόσφατη ανακοίνωση.

35. ΕΡΩΤΗΣΕΙΣ