Εκπαίδευση – Πιστοποιηση D.P.O.

Γενικά …

Με βάση τον Γενικό Ευρωπαϊκό Κανονισμό Προσωπικών Δεδομένων  (Regulation (EU) 2016/679) που ψηφίσθηκε από το Ευρωπαϊκό Κοινοβούλιο στις 16 Απριλίου 2016,  οι επιχειρήσεις & όλοι οι φορείς του Δημοσίου που συλλέγουν ή/και επεξεργάζονται ή/και διακινούν προσωπικά δεδομένα όφειλαν έως τις  25 Μαΐου 2018 να συμμορφωθούν πλήρως στις διατάξεις του Κανονισμού. Η εφαρμογή του Νέου Ευρωπαϊκού Κανονισμού για την προστασία των προσωπικών δεδομένων, αφορά όλες τις χώρες της Ε.Ε. και η διατήρηση φακέλου συμμόρφωσης και ο ορισμός Υπευθύνου Προστασίας Προσωπικών Δεδομένων (DPO), είναι υποχρεωτική.

Ο Υπεύθυνος Προστασίας Προσωπικών Δεδομένων, έχει συγκεκριμένα καθήκοντα & υποχρεώσεις. Διευκολύνει τη συμμόρφωση του Υπευθύνου επεξεργασίας & του εκτελούντος την επεξεργασία σύμφωνα με το Νέο Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων, όπου σε αυτόν προβλέπονται τα συγκεκριμένα καθήκοντα του D.P.O..

Ειδικότερα ο DPO διαδραματίζει έναν εξέχοντα ρόλο, του συνδέσμου επικοινωνίας μεταξύ της επιχείρησης και της εποπτικής αρχής, όπως ρητά αναφέρει και ο  GDPR στο άρθρο 39 σχετικά με τα ζητήματα επεξεργασίας προσωπικών δεδομένων. Ο ρόλος του DPO είναι πρωτίστως συμβουλευτικός και υποστηρικτικός, ενώ θα πρέπει να του παρέχεται ο χώρος ώστε να δρα και να λειτουργεί αυτόνομα στο εσωτερικό της επιχείρησης. Λαμβάνοντας υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ο υπεύθυνος προστασίας οφείλει να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία δεδομένων και τους υπαλλήλους της επιχείρησης σχετικά με τις προβλεπόμενες νομοθετικές επιταγές  για την προστασία δεδομένων, καθώς επίσης να παρακολουθεί τη συμμόρφωση με τον Κανονισμό με σκοπό την ελαχιστοποίηση του κινδύνου παραβίασης. Επιπλέον, το άρθρο 38 του GDPR ορίζει πως ο DPO λογοδοτεί στο ανώτατο επίπεδο της διοίκησης, δεν λαμβάνει εντολές για την άσκηση των καθηκόντων του, δεν ευθύνεται για την μη συμμόρφωση του υπεύθυνου/εκτελούντος την  επεξεργασία, δεν απολύεται, ούτε του επιβάλλονται κυρώσεις επειδή άσκησε το καθήκον του ανεξάρτητα και τυχόν αντίθετα στη βούληση της εταιρίας.

Το Ολοκληρωμένο Πρόγραμμα Κατάρτισης, στηρίζεται σε μια αναλυτική & εμπεριστατωμένη θεωρητική ανάλυση του Νέου Ευρωπαϊκού Κανονισμού Προσωπικών Δεδομένων και παρουσιάζεται από ειδική ομάδα Πιστοποιημένων Εισηγητών στο ανωτέρω θεματικό αντικείμενο.

Παράλληλα, σε κάθε ενότητα δίνονται πρακτικά παραδείγματα έτσι ώστε να αφομοιωθεί πλήρως το θεματικό αντικείμενο και να δώσει τη δυνατότητα στους καταρτιζόμενους να προετοιμαστούν κατάλληλα για τη διαδικασία των εξετάσεων που οδηγεί στην Πιστοποίηση του D.P.O.

Οι συμμετέχοντες που θα πιστοποιηθούν σε αυτό το γνωστικό αντικείμενο θα έχουν τις απαραίτητες γνώσεις/δεξιότητες να διαχειρίζονται με ασφάλεια πληροφορίες και προσωπικά δεδομένα πολιτών που φυλάσσονται σε έναν δημόσιο φορέα ή μία επιχείρηση, τηρώντας τόσο την Ελληνική όσο και την Ευρωπαϊκή νομοθεσία όπως απαιτείται βάσει του νέου Γενικού Κανονισμού 2016/679. Θα είναι σε θέση να εκπαιδεύουν το προσωπικό που επεξεργάζεται και διαχειρίζεται βάσεις δεδομένων προσωπικών στοιχείων, ακολουθούν κανόνες εμπιστευτικότητας και αμεροληψίας προκειμένου να συμμορφώνεται η επιχείρηση στις απαιτήσεις του κανονισμού γενικής προστασίας δεδομένων (GDPR). Είναι τα αρμόδια στελέχη που διενεργούν εσωτερικούς ελέγχους διασφάλισης των διαδικασιών που τηρούνται, ενώ εκπροσωπούν την επιχείρηση σε  προγραμματισμένες ή μη επιθεωρήσεις από τις αρμόδιες εποπτικές αρχές, έχοντας γνώση τεχνολογικών συστημάτων πληροφοριών και μηχανισμών αντιμετώπισης κινδύνων από παραβίαση δεδομένων.

Οι καταρτιζόμενοι που επιθυμούν να Πιστοποιηθούν, θα ενημερωθούν για τις Ημερομηνίες εξετάσεων από τη UNICERT, Διαπιστευμένος Φορέας από το ΕΣΥΔ κατά το διεθνές πρότυπο ISO/IEC 17024:2012, γεγονός το οποίο αποδεικνύει ότι η διαδικασία πιστοποίησης γίνεται με αμεροληψία και με τεκμηριωμένη επάρκεια, ενώ παράλληλα καθιστά αναγνωρισμένο και αποδεκτό το πιστοποιητικό ως ισότιμο από τους Εθνικούς Φορείς Διαπίστευσης των χωρών-μελών της E.A. (European cooperation for Accreditation)

Θεματική Ατζέντα του Προγράμματος Κατάρτισης …

Εισαγωγή

• Εισαγωγή – Βασικές Ανάγκες & Αιτίες
  • Πως φτάσαμε ως εδώ;
  • Περί Προστασίας Προσωπικών Δεδομένων (Βασικοί όροι, Λειτουργία, κα)

Κανονιστικές και Νομικές διατάξεις

• Αντικείμενο, βασικοί ορισμοί και έννοιες
  • Δεδομένα Προσωπικού Χαρακτήρα
  • Κανονισμός και όχι Οδηγία
  • Έλεγχοι και πρόστιμα
  • Αναγκαιότητα και πεδίο εφαρμογής
  • Για ποιο λόγο δημιουργήθηκε;
  • Ποιους αφορά;
  • Πότε ο νόμος επιτρέπει την επεξεργασία;
  • Ποιες οι προϋποθέσεις νόμιμης επεξεργασίας;
  • Ποιες οι προϋποθέσεις για συγκατάθεση;
  • Πως λαμβάνεται η συγκατάθεση;
  • Πλαίσιο ποινικής προστασίας/κυρώσεων σχετικά με την παραβίαση των διατάξεων για
  την προστασία των προσωπικών δεδομένων
  • Τι πρέπει να προσέχουν εργαζόμενοι και υπεύθυνοι επεξεργασίας, πιθανοί κίνδυνοι
  • Νομολογιακή αντιμετώπιση μέχρι σήμερα από ποινικής σκοπιάς
  • Προϋποθέσεις ισχύουν αν το υποκείμενο των δεδομένων είναι ανήλικος;

Ανάλυση και συνοπτική παρουσίαση βασικών άρθρων-σημείων του Κανονισμού

• Έλεγχος Συμμόρφωσης GDPR για Υποκείμενα Δεδομένων
  • Μέτρα Συμμόρφωσης που αφορούν τα εξής άρθρα:
  • Άρθρο 5- 10 (Αρχές που διέπουν την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα, Νομιμότητα της Επεξεργασίας, κλπ) Άρθρο 12- Διαφανής Ενημέρωση, Ανακοίνωση και Ρυθμίσεις για την Άσκηση των Δικαιωμάτων του υποκειμένου των Δεδομένων
  • Άρθρα 13 και 15-22 (Ενημέρωση, Διόρθωση, Διαγραφή, κλπ.)
  • Άρθρο 34- Ανακοίνωση Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα στο
  υποκείμενο των Δεδομένων
  • Άρθρο 88- Επεξεργασία στο Πλαίσιο της Απασχόλησης

Έλεγχος Συμμόρφωσης GDPR για Υπεύθυνους Επεξεργασίας (Controllers)

• Μέτρα συμμόρφωσης που αφορούν τα εξής άρθρα:
  • Άρθρο 24- Ευθύνη του Υπευθύνου Επεξεργασίας
  • Άρθρο 25- Προστασία των Δεδομένων ήδη από το Σχεδιασμό και εξ’ ορισμού
  • Άρθρο 26-31 Από κοινού Υπεύθυνοι Επεξεργασίας, Αρχεία Επεξεργασίας, κλπ.
  • Άρθρο 32- 34 Ασφάλεια Επεξεργασίας και γνωστοποίηση Παραβίασης Δεδομένων
  • Άρθρο 35- Εκτίμηση αντίκτυπου σχετικά με την Προστασία Δεδομένων
  • Άρθρο 37- 39 Υπεύθυνος Προστασίας Δεδομένων
  • Άρθρο 44- 50 Διαβίβαση Προσωπικών Δεδομένων

Έλεγχος Συμμόρφωσης GDPR για Εκτελούντες την Επεξεργασία (Processors)

• Άρθρο 27- Εκπρόσωποι Υπευθύνων Επεξεργασίας ή Εκτελούντων την Επεξεργασία μη
  εγκατεστημένων στην Ένωση
  • Άρθρο 28- Εκτελών την Επεξεργασία
  • Άρθρο 29- Επεξεργασία υπό την εποπτεία του Υπευθύνου Επεξεργασίας ή του
  Εκτελούντος την Επεξεργασία
  • Άρθρο 30- Αρχεία των Δραστηριοτήτων Επεξεργασίας
  • Άρθρο 31- Συνεργασία με την Εποπτική
  • Αρχή Άρθρο 32- 34 Ασφάλεια Επεξεργασίας και γνωστοποίηση Παραβίασης Δεδομένων
  • Άρθρο 37- 39 Υπεύθυνος Προστασίας Δεδομένων
  • Άρθρο 44- 50 Διαβίβαση Προσωπικών Δεδομένων

Οργανωτικές υποχρεώσεις

• Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer, DPO)
  – Προϋποθέσεις ύπαρξης DPO:
  ~ διενέργεια επεξεργασίας από δημόσια αρχή ή φορέα
  ~ τακτική και συστηματική παρακολούθηση σε μεγάλη κλίμακα
  ~ οι βασικές δραστηριότητες του ΥΕ ή του ΕΕ συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

– Ποιες είναι οι βασικές δραστηριότητες του DPO;
– Ευθύνες & Απαιτήσεις
– Ποια είναι τα απαιτούμενα προσόντα;
– Ποιος μπορεί να οριστεί ως DPO;
– Διαχείριση μέσω outsource ή in-house;
– Πότε και από ποιους πρέπει να υποστηρίζεται;
– Ανώτατη Διοίκηση
– Υποστηρικτικές Ομάδες
– Τι κάνει ο DPO πριν τον Μάιο του 2018 και τι μετά;

• Υπεύθυνος Επεξεργασίας (Controllers)
  – Ευθύνες και καθήκοντα
  – Ρόλος
  – Παραδείγματα
• Εκτελών την Επεξεργασία (Processors)
  – Ευθύνες και καθήκοντα
  – Ρόλος
  – Παραδείγματα
• Τι ισχύει για τις ειδικές κατηγορίες Δεδομένων Προσωπικού Χαρακτήρα;
  – Πληροφόρηση
  – Πότε πρέπει να παρέχεται η πληροφόρηση;
  – Ποια πληροφόρηση πρέπει να παρέχεται;
  – Πως παρέχεται η πληροφόρηση;
  – Ποιο το κόστος της πληροφόρησης;
  – Ποιες οι εξαιρέσεις;
  – Από κοινού υπεύθυνοι επεξεργασίας
  – Αυτοματοποιημένη λήψη αποφάσεων και κατάρτιση προφίλ
• Αρχείο Δραστηριοτήτων Επεξεργασίας (Data Flow Mapping)
  – Πότε απαιτείται η τήρηση του αρχείου;
  – Τι περιλαμβάνει το αρχείο;
  – Ποια είναι η μορφή του αρχείου;
  – Τρόποι και συχνότητα τήρησης
• Μελέτη Εκτίμησης Αντίκτυπου Επικινδυνότητας
  (Data Protection Impact Assessment, DPIA)
• Δικαιώματα Φυσικών Προσώπων
  – Δικαίωμα πρόσβασης
  – Δικαίωμα διόρθωσης
  – Δικαίωμα διαγραφής
  – Δικαίωμα περιορισμού επεξεργασίας
  – Δικαίωμα στη φορητότητα
  – Δικαίωμα εναντίωσης
  – Case studies – Real Case Scenarios
  – Δικαίωμα στη φορητότητα
  – Δικαίωμα εναντίωσης
• Εσωτερική Οργάνωση
  – Πολιτικές και Διαδικασίες PIMS
  – Ποιες είναι οι νέες πολιτικές και διαδικασίες που απαιτούνται;
  – Πως επιτυγχάνεται η άμεση και αποτελεσματική τροποποίησή τους;
  – Συμβατικές υποχρεώσεις:
  ~ Έλεγχος
  ~ Βελτίωση
  ~ Επικαιροποίηση
  – Σχέσεις με προμηθευτές
  – Γνώση και εκπαίδευση προσωπικού
  – Μηχανισμοί ικανοποίησης αιτημάτων φυσικών προσώπων
  – Επιθεώρηση και συνεχής βελτίωση
  – Μηχανισμοί εσωτερικού ελέγχου
  – Πότε γίνεται εσωτερική επιθεώρηση
  – Πως γίνεται η μέτρηση της απόδοσης-KPIs
  – Πως επιτυγχάνεται η συνεχής βελτίωση

Τεχνικά Μέτρα – Τεχνικές προδιαγραφές

• Πότε απαιτείται Μελέτη Εκτίμησης Αντικτύπου Επικινδυνότητας;
  – Ποιος είναι υπεύθυνος για τη διενέργειά της;
  – Κάθε πότε πρέπει να διενεργείται;
  – Με ποιον τρόπο;
  – Τι περιέχει;
• Υποκείμενο των Δεδομένων
• Υπεύθυνος Επεξεργασίας
  – από κοινού Υπεύθυνοι
  – Εκτελών την Επεξεργασία
  – η αυξημένη ευθύνη του processor
• Αρχείο καταγραφής δραστηριοτήτων
• Τι σημαίνει Privacy by design και Privacy by default;
• Μεταφορά προσωπικών δεδομένων
  – Διαβίβαση Δεδομένων Προσωπικού Χαρακτήρα
  – Πότε επιτρέπεται η Διαβίβαση;
  – Διαβίβαση εκτός ΕΕ
  – Πως διαχειριζόμαστε τα Δεδομένα Προσωπικού Χαρακτήρα για τους εργαζόμενους:
  ~ Διαδικασία πρόσληψης
  ~ Κατά την εργασία
  ~ Μετά την αποχώρηση
• IT Department & GDPR
  – Διαχείριση δεδομένων (καταγραφή, ανάκτηση, mapping, ταξινόμηση )
  – Data masking or data obfuscation
  – Κρυπτογράφηση δεδομένων
  – Security Information and Event Management (SIEM)
  – Monitoring/ IDS/ IPS
  – Κρυπτογράφηση και διαχείριση δεδομένων που διακινούνται μέσω Email
  – Διαχείριση κινητών και άλλων συναφών συσκευών
  – Διαχείριση του Personally Identifiable Information (PII) owner rights
  – Data deletion and data portability

Ασφάλεια Πληροφοριών GDPR

• Φυσική Ασφάλεια εγκαταστάσεων και πληροφοριών σε σχέση με τις υποχρεώσεις του
  Γενικού Κανονισμού
  – Διαχείριση φυσικού αρχείου δεδομένων προσωπικού χαρακτήρα
  – Μέτρα ασφάλειας σε περιπτώσεις φυσικού συμβάντος
• Ασφάλεια Πληροφοριών/Δεδομένων (IT SECURITY) – Βασικές Αρχές
• Θέματα Cyber Safety/Security και Ασφάλειας Δεδομένων
• Συμμόρφωση με Πρότυπα και Βέλτιστες Πρακτικές Ασφάλειας (ISO 27001, 27002 κτλ) – Πολιτικές Ασφάλειας Πληροφοριών
  – Γενικά – ISO 27001
  ~ Οδηγίες για τον καθορισμό προδιαγραφών για:
  -> το Σχεδιασμό -> την Υλοποίηση -> τη Λειτουργία -> την Παρακολούθηση
  – τον Έλεγχο και Συντήρηση ενός τεκμηριωμένου Συστήματος Διαχείρισης Ασφάλειας
  Πληροφοριών (ΣΔΑΠ) σε ένα οργανωσιακό πλαίσιο
• Αντιμετώπιση και Διαχείριση περιστατικών παραβίασης προσωπικών δεδομένων (data breaches)
  – Πότε απαιτείται γνωστοποίηση για συμβάν παραβίασης;
  – Ποιος είναι ο υπεύθυνος για τη γνωστοποίηση;
  – Τι πρέπει να περιλαμβάνει η γνωστοποίηση;
  – Τεκμηρίωση συμβάντων – συνέπειες και μέτρα
  – Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
  – Πότε απαιτείται ανακοίνωση;
  – Ποιος είναι ο υπεύθυνος για την ανακοίνωση;
  – Σχέδιο για την Αντιμετώπιση Περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα (Incident Reponse Plan)
• Μελέτες περίπτωσης (Case Studies) και υποθετικές περιπτώσεις παραβίασης
  Προσωπικών Δεδομένων (προσομοίωση συμβάντων – περιστατικών)
• Τεχνικά και οργανωτικά μέτρα (controls) για τον μετριασμό κινδύνων από τη
  διαχείριση των προσωπικών δεδομένων και την πρόληψη περιστατικών
  παραβιάσεων προσωπικών δεδομένων
• Προετοιμασία για τις εξετάσεις