3. ΠΡΟΣΕΓΓΙΣΗ ΕΠΙΧΕΙΡΗΣΕΩΝ
Θα μου δώσεις έτοιμα κείμενα
Πόσο είναι το κόστος
Ευθύνη (πρόσωπο – εταιρία – εξωτερικός
συνεργάτης)
Πρόστιμα (Ποιός Πληρώνει;)
Χρειάζομαι DPO;
Αν πάρω συγκατάθεση για να στέλνω διαφημιστικά
email είμαι GDPR compliance;
GDPR σημαίνει γραφειοκρατία
4. Κουλτούρα GDPR
Στόχος η ψηφιακή οικονομία και όχι η ψηφιακή δικτατορία
Δεν μπορεί να αγοραστεί έτοιμο πακέτο, δεν είναι H/Y ούτε
COCA COLA
H συμμόρφωση είναι σταδιακή και όχι απότομη – βεβιασμένη
Είναι διεργασία και όχι προϊόν
Έχει απαιτήσεις, χρειάζεται χρόνο, αυξάνει το κόστος και τις
ανάγκες αλλά μπορεί να χρησιμοποιηθεί τόσο ως συγκριτικό
πλεονέκτημα όσο και ως στοιχείο marketing
Tα δεδομένα είναι το πολυτιμότερο περιουσιακό στοιχείο (asset)
στη σύγχρονη οικονομία (1 τρις
δολάρια η αξία της αγοράς των προσωπικών δεδομένων
το 2020)
5. ΕΠΙΧΕΙΡΗΜΑΤΙΚΑ ΟΦΕΛΗ
Ανάπτυξη σχέσης εμπιστοσύνης με πελάτες,
προμηθευτές και λοιπά ενδιαφερόμενα μέρη
(stakeholders)
Ενίσχυση της εταιρικής φήμης και εικόνας
Δημιουργία ανταγωνιστικού πλεονεκτήματος σε
διαδικασίες που εμπλέκονται προσωπικά δεδομένα
και πληροφορίες
Χρήση της συμμόρφωσης ως εργαλείο marketing
έναντι των ανταγωνιστών
6. Ρόλος DPO
Ένας εσωτερικός ελεγκτής που έχει ως βασικό στόχο τη βελτίωση της
απόδοσης της επιχείρησης σε θέματα προστασίας προσωπικών δεδομένων
καθώς και σε διαχείριση των κινδύνων που σχετίζονται τόσο με την
προστασία των προσωπικών δεδομένων όσο και με την εικόνα της
επιχείρησης
Λειτουργεί συμβουλευτικά προς τη διοίκηση και ταυτόχρονα ενημερώνει
για τυχόν εξελίξεις για θέματα ΠΠΔ και ασφάλειας
Είναι ανεξάρτητος τόσο λειτουργικά όσο και επιχειρησιακά (προσοχή στη
σύγκρουση συμφερόντων)
Αποτελεί σημείο επαφής και επικοινωνίας με πρόσωπα και θεσμούς
Διενεργεί εσωτερικές επιθεωρήσεις και σχεδιάζει την εκπαίδευση του
προσωπικού
Συμβουλευτική υποστήριξη και έλεγχος εκτίμησης αντίκτυπου
9. ΧΑΡΤΟΓΡΑΦΙΣΗ ΡΟΗΣ ΠΡΟΣΩΠΙΚΩΝ
ΔΕΔΟΜΕΝΩΝ (DATA MAPPING)
Εργαλεία χαρτογράφησης – Χρήση ερωτηματολογίων,
συνέντευξη, παρακολούθηση διεργασιών, απόψεις
ειδικών
Δημιουργία διαγραμμάτων ροής (ΜS Visio, Smartdraw κτλ)
Θα πρέπει να είναι ξεκάθαρο στη χαρτογράφηση το
είδος δεδομένων, ο σκοπός χρήσης τους, η συχνότητα,
τρόπος απόκτησης, τοποθεσία αποθήκευσης, πρόσωπα
που έχουν πρόσβαση, πρόσωπα που κάνουν
επεξεργασία, για πόσο χρόνο διακρατούνται
10. ΠΛΕΟΝΕΚΤΗΜΑΤΑ ΧΡΗΣΗΣ
ΔΙΑΓΡΑΜΜΑΤΩΝ ΡΟΗΣ
Βελτίωσης, απλοποίησης, κατάργησης μιας
διαδικασίας
Κατανόησης από τους εμπλεκόμενους των
διαφορετικών φάσεων μιας προβληματικής εργασίας
με σκοπό τη βελτίωση της
Τεκμηρίωσης και καταγραφής μιας λειτουργικής
διαδικασίας ώστε να χρησιμοποιηθεί αυτή για
ενημερωτικούς ή εκπαιδευτικούς σκοπούς.
15. Στόχος – «Έξυπνη» Συμμόρφωση
Επανεξέταση όγκου δεδομένων καθώς και διαδικασίες για συγκέντρωση,
αποθήκευση, μεταφορά, ψηφιοποίηση, ανάλυση και επεξεργασία δεδομένων –
Είναι όντως χρήσιμες οι πληροφορίες που συγκεντρώνουμε; Χρησιμοποιούνται
για εκμετάλλευση επιχειρηματικών ευκαιριών; Έχουν πρόσβαση μόνο όσοι
χρειάζεται;
Χρήση εμφανών διαδικασιών και πολιτικών με σκοπό να γίνει σημείο
αναφοράς η εμπιστοσύνη των πελατών, προμηθευτών, συνεργατών κτλ και να
χρησιμοποιηθεί ως ανταγωνιστικό πλεονέκτημα
Σχεδιασμός στρατηγικής της επιχείρησης με βάση τα δεδομένα της νέας
ψηφιακής εποχής που θα βοηθήσουν την επιχείρηση σε ομαλή προσαρμογή
στο διεθνοποιημένο περιβάλλον της πληροφορίας και την υιοθέτηση
επιχειρηματικών μοντέλων περισσότερο φιλικών στην ψηφιακή τεχνολογία
16. Προσέγγιση με βάση τον Κίνδυνο (Risk Oriented)
Με την έναρξη της οικονομικής κρίσης έχουμε μια
προσέγγιση διαφορετική στο σύνολο του οικονομικού
και όχι μόνο περιβάλλοντος
Υπάρχει αυξημένη χρήση προτύπων διαχείρισης
κινδύνου – risk management στο σύνολο των
διαδικασιών ενώ υπάρχει αυξημένη πίεση για
συμμόρφωση και εσωτερικό έλεγχο
Αυξανόμενη ζήτηση σε επαγγέλματα και επιστήμες που
σχετίζονται με τον εσωτερικό έλεγχο και την κανονιστική
συμμόρφωση
GDPR – Βάση την προσέγγιση σύμφωνα με τον κίνδυνο
17. Κίνδυνος (Risk)
Τι είναι κίνδυνος (risk);
Η επίδραση της αβεβαιότητας στους στόχους
Η επίδραση είναι η απόκλιση από την αναμενόμενη τιμή
(expected value)
Τι είναι η διαχείριση κινδύνου (risk
management);
Συντονισμένες ενέργειες για τον έλεγχο και την καθοδήγηση
ενός οργανισμούς με βάση τον κίνδυνο
18. ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΟΥ (RISK ASSESSMENT)
1. Αναγνώριση Κινδύνων (Risk identification)
Διαδικασία εντοπισμού, αναγνώρισης και περιγραφής των κινδύνων
(μπορεί να γίνει χρήση ιστορικών δεδομένων, απόψεις ειδικών κτλ)
2. Ανάλυση Κινδύνου (Risk Analysis)
Διαδικασία για την κατανόηση της φύσης του κινδύνου και για τον
προσδιορισμό του επιπέδου κινδύνου
3. Αξιολόγηση Κινδύνου – Εκτίμηση
επικινδυνότητας (Risk Evaluation)
Διαδικασία σύγκρισης των αποτελεσμάτων της ανάλυσης κινδύνου με
κριτήρια κινδύνου για τον προσδιορισμό του κινδύνου και / ή το μέγεθός
του είναι αποδεκτό ή ανεκτό
19. Αντιμετώπιση Κινδύνου (Risk Treatment)
Διαδικασία για την τροποποίηση (modify) κινδύνου
H αντιμετώπιση κινδύνου περιλαμβάνει:
1. Αποφυγή του κινδύνου αποφασίζοντας να μην ξεκινήσει ή να μην συνεχίσει
τη δραστηριότητα που δημιουργεί τον κίνδυνο,
2. Την ανάληψη ή την αύξηση του κινδύνου για να εκμεταλλευτούμε μια πιθανή
ευκαιρία
3. Απομακρύνοντας την πηγή κινδύνου
4. Μεταβολής της πιθανότητας εμφάνισης
5. Μεταβολή των επιπτώσεων – συνεπειών
6. Μεταφορά μέρους ή και ολόκληρου του κινδύνου σε ένα άλλος μέρος (ή
μέρη)
7. Διατήρηση του κινδύνου με βάση αποφάσεις που έχουν λάβει υπόψη τους
τον κίνδυνο (informed)
Residual Risk (Υπολειπόμενος Κίνδυνος)
21. Σχεδιάζοντας το πλαίσιο διαχείρισης κινδύνων
Για να μπορεί να υπάρχει αποτελεσματικός
σχεδιασμός ενός ολοκληρωμένου και αποδοτικού
πλαισίου θα πρέπει πρώτα να υπάρχει σφαιρική
αντίληψη της κουλτούρας του οργανισμού και του
γενικού πλαισίου στο οποίο λειτουργεί (εξωτερικό
και εσωτερικό περιβάλλον της επιχείρησης)
Δημιουργία πολιτικής διαχείρισης κινδύνων
23. Risk Matrix
Α. Πολύ μικρή Β. Μικρή Γ. Μέτρια Δ. Μεγάλη Ε. Πολύ μεγάλη
0. Μη σημαντική
1. Μικρή 1A (2) 1Β (3) 1Γ (4) 1Δ (5) 1Ε (6)
2. Σοβαρή 2A (3) 2Β (4) 2Γ (5) 2Δ (6) 2Ε (7)
3. Μεγάλη 3A (4) 3Β (5) 3Γ (6) 3Δ (7) 3Ε (8)
4. Καταστροφική 4A (5) 4B (6) 4Γ (7) 4Δ (8) 4Ε (9)
ΠΙΝΑΚΑΣ ΑΞΙΟΛΟΓΗΣΗΣ
ΠΙΘΑΝΟΤΗΤΑ ΒΛΑΒΗΣ
ΣΟΒΑΡΟΤΗΤΑΒΛΑΒΗΣ
ΧΑΜΗΛΗ
ΜΕΤΡΙΑ
ΥΨΗΛΗ
24. Έλεγχος Επικινδυνότητας
Υψηλή ή μη αποδεκτή επικινδυνότητα: Η εταιρία πρέπει να
εφαρμόσει μέτρα για τη μείωση της επικινδυνότητας
Μέτρια επικινδυνότητα: Η εταιρία θα πρέπει να εφαρμόσει
μέτρα ώστε να εξασφαλίσει τον έλεγχο/διατήρηση της
επικινδυνότητας (και, όπου είναι εφικτό να αξιολογήσει
μέτρα για τη μείωση της επικινδυνότητας μεσοπρόθεσμα)
Χαμηλή ή αποδεκτή επικινδυνότητα: Η εταιρία δεν θα
πρέπει να εφαρμόσει συγκεκριμένα μέτρα, αλλά μπορεί να
αξιολογήσει δυνατότητες για βελτίωση μακροπρόθεσμα.
26. ΕΦΑΡΜΟΓΗ ΠΟΛΙΤΙΚΩΝ (POLICIES)
Πολιτική καθαρού γραφείου (clear desk policy)
Πολιτική κωδικών πρόσβασης (password policy)
Πολιτική Φυσικής Ασφάλειας
27. PERSONAL DATA BREACH – ΠΑΡΑΒΙΑΣΗ
ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Παραβίαση δεδομένων επέρχεται όταν σημειώνεται
συμβάν ασφαλείας σε σχέση με τα δεδομένα για τα
οποία ευθύνεται μία εταιρεία ή ένας οργανισμός, το
οποίο έχει ως αποτέλεσμα την παραβίαση του
απορρήτου, της διαθεσιμότητας ή της ακεραιότητας
Ειδοποιήσει την εποπτική αρχή χωρίς αδικαιολόγητη
καθυστέρηση και το αργότερο εντός 72 ωρών αφού
αντιληφθεί την παραβίαση ενώ θα πρέπει να
ενημερωθούν και τα φυσικά πρόσωπα των οποίων τα
δεδομένα παραβιάστηκαν
28. PERSONAL DATA BREACH
Παραβίαση της ασφάλειας που οδηγεί στην τυχαία ή
παράνομη καταστροφή, απώλεια, αλλοίωση, μη
εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά
δεδομένα που μεταδίδονται, αποθηκεύονται ή
υποβάλλονται σε άλλη επεξεργασία (ARTICLE 29DATA
PROTECTION WORKING PARTY)
Παράδειγμα
1. Απώλεια ή κλοπή εξωτερικού σκληρού δίσκου με
εξετάσεις ασθενών
2. Απώλεια κλειδιού κρυπτογράφησης προσωπικών
δεδομένων
3. Ιός αλλοιώνει τα προσωπικά δεδομένα που έχουμε στο
σκληρό δίσκο του υπολογιστή του λογιστηρίου
29. PERSONAL DATA BREACH – ΠΑΡΑΒΙΑΣΗ
ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Σε περίπτωση που έχουμε παραβίαση προσωπικών
δεδομένων (π.χ. αποτελέσματα μικροβιολογικών και
χημικών εξετάσεων ασθενών τα οποία είναι
κρυπτογραφημένα ) τι υποχρέωση έχει η εταιρία ;
Ποίος είναι υπεύθυνος να ενημερώσει την αρχή;
H συγκεκριμένη παραβίαση ενδέχεται να προκαλέσει
κίνδυνο για τα δικαιώματα και τις ελευθερίες των
φυσικών προσώπων;
30. PERSONAL DATA BREACH – ΠΑΡΑΒΙΑΣΗ
ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Έχουμε Personal data breach στις παρακάτω
περιπτώσεις;
Ransomware κρυπτογραφεί τα προσωπικά μας δεδομένα
και ζητάει λύτρα. Τα δεδομένα υπάρχουν σε Virtual server
(back up)
Σημαντική βλάβη στη μηχανογράφηση χρηματιστηριακής
εταιρίας εμποδίζει για 2 μέρες την εκτέλεση
προγραμματισμένων εντολών αγοροπωλησιών γιατί δεν
υπάρχουν διαθέσιμα κάποια απαραίτητα προσωπικά
στοιχεία των πελατών
31. PERSONAL DATA BREACH
Πότε λαμβάνει γνώση ο υπεύθυνος επεξεργασίας για
την παραβίαση προσωπικών δεδομένων;
Όταν ο υπεύθυνος επεξεργασίας έχει σημαντικό
βαθμό βεβαιότητας ότι έλαβε χώρα ένα περιστατικό
παραβίασης της ασφάλειας στο οποίο
διακυβεύονται θέματα προσωπικών δεδομένων
32. ΕΠΙΜΕΡΟΥΣ ΣΤΟΙΧΕΙΑ ΕΝΗΜΕΡΩΣΗΣ ΣΕ
ΠΕΡΙΠΤΩΣΗ PERSONAL DATA BREACH
1. Περιγράφει τη φύση της παραβίασης των προσωπικών δεδομένων,
συμπεριλαμβανομένου όπου είναι δυνατόν, τις κατηγορίες και τον (κατά
προσέγγιση) αριθμό των υποκείμενων που αφορά η παραβίαση καθώς και τις
κατηγορίες και τον κατά προσέγγιση αριθμό των αρχείων προσωπικών δεδομένων
που αφορά η παραβίαση
2. Κοινοποιεί το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας
δεδομένων ή άλλου σημείου επαφής, όπου μπορούν να δοθούν περισσότερες
πληροφορίες
3. Περιγράφει τις πιθανές συνέπειες της παραβίασης των προσωπικών δεδομένων
4. Περιγράφει τα μέτρα που έλαβε ή προτίθεται να λάβει ο υπεύθυνος επεξεργασίας
για την αντιμετώπιση της παραβίασης των προσωπικών δεδομένων,
συμπεριλαμβανομένων, κατά περίπτωση, μέτρων για τον περιορισμό των πιθανών
δυσμενών επιπτώσεών
Η ενημέρωση μπορεί να πραγματοποιηθεί και σταδιακά ή σε δεύτερο χρόνο να ζητηθεί να
ανακληθεί
33. Περίπτωση Yahoo
3 δις χρήστες ηλεκτρονικού ταχυδρομείου της Yahoo υπολογίζεται ότι
πρέπει να συμβιβαστούν με την ιδέα ότι έχουν παραβιαστεί τα προσωπικά
τους δεδομένα (ηλεκτρονική διεύθυνση, ημερομηνία γέννησης, κωδικοί,
στοιχεία επικοινωνίας κτλ)
Πραγματοποίηση της παραβίασης Αύγουστος 2013
Ενημέρωση για το συμβάν από την Yahoo 09/2016 έως 10/2017
Κόστος συμβάντος : $350 εκ. (εκτίμηση για τις απώλειες της αξίας της
τιμής της μετοχής της Yahoo ενόψει της πώλησής της στην Verizon
Communications).
Η Μαρίσα Μέϊερ, πρώην διευθύνουσα σύμβουλος της Yahoo, η οποία
παραιτήθηκε μετά την ανακοίνωση της υπόθεσης και ο επικεφαλής της
δικηγορικής ομάδας της εταιρείας, Ρόναλντ Μπελ, ο οποίος εγκατέλειψε το
πόστο του μετά τις αποκαλύψεις
34. Ενημέρωση από τη Yahoo
Στην πρώτη της δήλωση, η εταιρεία ανακοίνωσε ότι η διαδικτυακή αυτή επίθεση επηρέασε 500
εκατομμύρια χρήστες και πως κατά την διάρκειά της εκτέθηκαν ονόματα, email, ημερομηνίες
γέννησης και τηλέφωνα.
Παρόλα αυτά, έσπευσε να καθησυχάσεις τους χρήστες ότι η πλειονότητα των κωδικών είχαν
προστατευτεί μέσω της χρήσης του αλγόριθμου bcrypt.
Τρείς μήνες αργότερα, η Yahoo! εξέδωσε νέα ανακοίνωση και παραδέχτηκε ότι το 2013 μια άλλη
ομάδα χάκερ εξασφάλισε πρόσβαση στα δεδομένα 1 δισ. χρηστών, τα οποία περιλάμβαναν όχι μόνο
ονόματα, email, ημερομηνίες γέννησης και κωδικούς πρόσβασης αλλά και ερωτήσεις ασφαλείας των
χρηστών με τις αντίστοιχες απαντήσεις.
Τον Οκτώβριο του 2017, η ίδια εταιρεία παραδέχτηκε ότι στην πραγματικότητα κατά την
κυβερνοεπίθεση αυτή διέρρευσαν τα δεδομένα 3 δισ. χρηστών της πλατφόρμας.
Είναι σημαντικό να σημειωθεί ότι, σχετικά με την ανακοίνωση της Yahoo τον Δεκέμβριο για την
παραβίαση του Αυγούστου του 2013, η εταιρεία έλαβε δραστικά μέτρα για την προστασία των
λογαριασμών. Η Yahoo απατούσε από όλους τους χρήστες που δεν είχαν αλλάξει του κωδικούς
πρόσβασης μετά την παραβίαση, να το πράξουν. Η εταιρεία επίσης ακύρωσε τις
κρυπτογραφημένες ερωτήσεις και απαντήσεις ασφαλείας, ώστε αυτά να μην μπορούν να
χρησιμοποιηθούν για την παράνομη πρόσβαση σε λογαριασμούς της Yahoo», αναφέρεται στην
πρόσφατη ανακοίνωση.