-
Αγοράζονται συχνά μαζί
Συνδυαστική Προσφορά
Βιβλίο (Έντυπο)Τιμή 48,00 €X1ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΣΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ - Βιβλίο (έντυπο)+Βιντεοσκοπημένα (Εκπαίδευση/Εκδηλώσεις)Τιμή 180,00 €X1ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΣΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ - (ΕΞ ΑΠΟΣΤΑΣΕΩΣ)=Σύνολο:από 228,00 €
129,00 €
έκπτωση 43.42%
ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΣΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
- Έκδοση: 2022
- Σχήμα: 17x24
- Βιβλιοδεσία: Εύκαμπτη
- Σελίδες: 328
- ISBN: 978-960-654-630-3
- Δείτε ένα απόσπασμα
Το έργο «Εκτίμηση Αντικτύπου στην Προστασία Προσωπικών Δεδομένων» αποτελεί την πρώτη συστηματική προσπάθεια καταγραφής και ανάλυσης των δύο πυλώνων, στους οποίους βασίζεται κάθε μελέτη εκτίμησης αντικτύπου, σύμφωνα με τη Γαλλική Αρχή Προστασίας Προσωπικών Δεδομένων (CNIL), δηλαδή:
α) η εκτίμηση κατά πόσον η επεξεργασία συνάδει με τις νομικές απαιτήσεις και τον σεβασμό των δικαιωμάτων του υποκειμένου των δεδομένων και
β) ο εντοπισμός, η διαβάθμιση και η διαχείριση των κινδύνων που συνεπάγεται η επεξεργασία για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων.
Στο βιβλίο αναλύονται οι νομικές απαιτήσεις που προβλέπει ο ΓΚΠΔ για τον υπεύθυνο επεξεργασίας προσωπικών δεδομένων, ακόμα και όταν υπεύθυνος επεξεργασίας είναι μια αρμόδια αρχή επιβολής του νόμου σύμφωνα με την Οδηγία 2016/680, όπως οι γενικές αρχές επεξεργασίας προσωπικών δεδομένων, οι σκοποί και οι νομικές βάσεις για τη νομιμότητα της επεξεργασίας, η έννοια της συγκατάθεσης, τα δικαιώματα του υποκειμένου των δεδομένων και οι τρόποι άσκησής τους, η προστασία των δεδομένων κ.ά.
Επίσης, εξετάζεται μέσα από πλούσια θεματολογία και περιπτωσιολογία η Εκτίμηση Αντικτύπου σε επίπεδο εντοπισμού και διαχείρισης των κινδύνων για τα προσωπικά δεδομένα και προτείνονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την αντιμετώπισή τους.
Το έργο παρουσιάζει ιδιαίτερο ενδιαφέρον, καθώς διαπιστώνεται ότι η Εκτίμηση Αντικτύπου:
• καταλαμβάνει την επεξεργασία δεδομένων που πραγματοποιείται με όλες τις σύγχρονες πτυχές της τεχνολογίας όπως συλλογή δεδομένων μέσω, μεταξύ άλλων: ιστοτόπου, cookies, συνδεδεμένου αντικειμένου, εφαρμογής για κινητά, smartphone για γεωεντοπισμό, τεχνικών στοχευμένης διαφήμισης
• και αφορά το σύνολο των τεχνολογικών εργαλείων και υποδομών: φορητές ή απομακρυσμένες συσκευές, εργαλεία απομακρυσμένης διαχείρισης, ασύρματες διασυνδέσεις –Bluetooth, Wi-Fi, υπέρυθρες, δίκτυα κινητής τηλεφωνίας (2G, 3G, 4G ή 5G)– ADSL / Fiber, ανταλλαγή άμεσων μηνυμάτων, μεταφορά αρχείων, περιήγηση στον Παγκόσμιο Ιστό.
Πρόκειται για πολύτιμο εργαλείο για όποιον θέλει να εμβαθύνει στους κινδύνους που συνεπάγεται η επεξεργασία προσωπικών δεδομένων στο σύγχρονο ψηφιακό περιβάλλον και να προστατεύσει τα δεδομένα αυτά ήδη από τον σχεδιασμό. Αφορά όχι μόνο όποιον επεξεργάζεται δεδομένα ή παρέχει συμβουλευτικές υπηρεσίες στον χώρο αυτόν, αλλά και τους εμπλεκόμενους στη δικαιοδοτική λειτουργία, καθώς και τους θεωρητικούς του χώρου. Η προστιθέμενη δε αξία του έργου αναδεικνύεται ιδιαίτερα σε μια εποχή που η παραβατικότητα σε βάρος των προσωπικών δεδομένων, με όχημα την αλματωδώς εξελισσόμενη τεχνολογία, αυξάνει διαρκώς και απασχολεί ολοένα και περισσότερο έντονα τον ερμηνευτή και εφαρμοστή των σχετικών προστατευτικών διατάξεων.
Πρόλογος | Σελ. IX |
Πρόλογος συγγραφέων | Σελ. XIII |
Συντομογραφίες | Σελ. XXIII |
Κεφάλαιο Α Νομικές υποχρεώσεις | |
Βασικές γνώσεις για τα προσωπικά δεδομένα | Σελ. 3 |
Είδη προσωπικών δεδομένων | Σελ. 5 |
Είδη υποστηρικτικών στοιχείων των προσωπικών δεδομένων | Σελ. 6 |
Είδη πηγών κινδύνου | Σελ. 7 |
Είδη αποτελεσμάτων των απευκταίων γεγονότων | Σελ. 7 |
Κλίμακα και μεθοδολογία για την εκτίμηση της σοβαρότητας | Σελ. 9 |
Κλίμακα και μεθοδολογία για την εκτίμηση της πιθανότητας | Σελ. 13 |
Είδη στόχων για την αντιμετώπιση των κινδύνων | Σελ. 15 |
Απειλές για τα υποστηρικτικά στοιχεία | Σελ. 16 |
Απειλές που μπορούν να οδηγήσουν σε αθέμιτη πρόσβαση σε προσωπικά δεδομένα | Σελ. 16 |
Απειλές που μπορούν να οδηγήσουν σε ανεπιθύμητη τροποποίηση προσωπικών δεδομένων | Σελ. 21 |
Απειλές που μπορούν να οδηγήσουν σε μη διαθεσιμότητα προσωπικών δεδομένων | Σελ. 23 |
Κλίμακες για το σχέδιο δράσης | Σελ. 29 |
Σκοποί: καθορισμένοι, ρητοί και νόμιμοι | Σελ. 30 |
Γενικά μέτρα | Σελ. 30 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 32 |
Νομική βάση: νομιμότητα της επεξεργασίας, απαγόρευση της κατάχρησης του σκοπού | Σελ. 40 |
Γενικά μέτρα | Σελ. 40 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 46 |
Λήψη συγκατάθεσης | Σελ. 49 |
Γενικά μέτρα | Σελ. 49 |
Ειδικά μέτρα για τα προσωπικά δεδομένα ειδικών κατηγοριών | Σελ. 56 |
Ειδικά μέτρα για τη συλλογή προσωπικών δεδομένων μέσω ιστοτόπου | Σελ. 57 |
Ειδικά μέτρα για τη συλλογή προσωπικών δεδομένων μέσω cookies | Σελ. 57 |
Ειδικά μέτρα για τη συλλογή προσωπικών δεδομένων μέσω συνδεδεμένου αντικειμένου ή εφαρμογής για κινητά | Σελ. 58 |
Ειδικά μέτρα για τον γεωεντοπισμό μέσω smartphone | Σελ. 59 |
Ειδικά μέτρα για τη χρήση τεχνικών στοχευμένης διαφήμισης | Σελ. 59 |
Ειδικά μέτρα για την επιστημονική έρευνα με τη χρήση ναγνωρίσιμων βιολογικών δειγμάτων (δηλ. DNA) | Σελ. 60 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 60 |
Γενικές αρχές επεξεργασίας προσωπικών δεδομένων | Σελ. 63 |
Γενικά μέτρα | Σελ. 63 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 65 |
Ελαχιστοποίηση δεδομένων: κατάλληλα, συναφή και περιορισμένα στο αναγκαίο | Σελ. 68 |
Ελαχιστοποίηση της συλλογής δεδομένων | Σελ. 68 |
Ελαχιστοποίηση των ίδιων των δεδομένων | Σελ. 70 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 72 |
Ποιότητα δεδομένων: ακριβή και επικαιροποιημένα | Σελ. 73 |
Γενικά μέτρα | Σελ. 73 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 73 |
Περίοδος αποθήκευσης: περιορισμένη | Σελ. 76 |
Γενικά μέτρα | Σελ. 76 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 77 |
Δικαίωμα ενημέρωσης: πληροφορίες για το υποκείμενο των δεδομένων | Σελ. 79 |
Γενικά μέτρα | Σελ. 79 |
Ειδικά μέτρα για τους υπαλλήλους ενός οργανισμού | Σελ. 84 |
Ειδικά μέτρα για τη συλλογή προσωπικών δεδομένων μέσω ιστοτόπου | Σελ. 84 |
Ειδικά μέτρα για τη συλλογή προσωπικών δεδομένων μέσω συνδεδεμένου αντικειμένου ή εφαρμογής για κινητά | Σελ. 84 |
Ειδικά μέτρα για τη συλλογή προσωπικών δεδομένων μέσω τηλεφώνου | Σελ. 85 |
Ειδικά μέτρα για τη συλλογή προσωπικών δεδομένων μέσω εντύπου | Σελ. 85 |
Ειδικά μέτρα για τη χρήση τεχνικών στοχευμένης διαφήμισης | Σελ. 85 |
Ειδικά μέτρα στην περίπτωση που αλλάξει η υφιστάμενη επεξεργασία | Σελ. 86 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 86 |
Άσκηση δικαιώματος πρόσβασης και δικαιώματος φορητότητας δεδομένων | Σελ. 92 |
Γενικά μέτρα | Σελ. 92 |
Ειδικά μέτρα για την πρόσβαση σε ιατρικούς φακέλους | Σελ. 95 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 96 |
Άσκηση δικαιώματος διόρθωσης και δικαιώματος διαγραφής | Σελ. 103 |
Γενικά μέτρα | Σελ. 103 |
Ειδικά μέτρα για τη στοχευμένη διαφήμιση στο διαδίκτυο | Σελ. 106 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 107 |
Άσκηση δικαιώματος περιορισμού της επεξεργασίας και δικαιώματος εναντίωσης | Σελ. 113 |
Γενικά μέτρα | Σελ. 113 |
Ειδικά μέτρα για την επεξεργασία μέσω τηλεφώνου | Σελ. 116 |
Ειδικά μέτρα για την επεξεργασία μέσω ηλεκτρονικής φόρμας | Σελ. 116 |
Ειδικά μέτρα για την επεξεργασία μέσω ηλεκτρονικού ταχυδρομείου | Σελ. 117 |
Ειδικά μέτρα για την επεξεργασία μέσω συνδεδεμένου αντικειμένου ή εφαρμογής για κινητά | Σελ. 117 |
Ειδικά μέτρα για έρευνα με τη χρήση αναγνωρίσιμων βιολογικών δειγμάτων (δηλ. DNA) | Σελ. 118 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 118 |
Απαγόρευση της αυτοματοποιημένης ατομικής λήψης αποφάσεων | Σελ. 119 |
Γενικά μέτρα | Σελ. 119 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 125 |
Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού | Σελ. 128 |
Γενικά μέτρα | Σελ. 128 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 130 |
Μητρώα δραστηριοτήτων επεξεργασίας | Σελ. 132 |
Γενικά μέτρα | Σελ. 132 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 133 |
Προηγούμενη διαβούλευση | Σελ. 135 |
Γενικά μέτρα | Σελ. 135 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 137 |
Οργάνωση | Σελ. 138 |
Γενικά μέτρα | Σελ. 138 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 139 |
Εποπτεία | Σελ. 141 |
Γενικά μέτρα | Σελ. 141 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 142 |
Σχέσεις με τρίτους | Σελ. 143 |
Γενικά μέτρα | Σελ. 143 |
Ειδικά μέτρα για το προσωπικό τρίτων παρόχων υπηρεσιών που εργάζεται στις εγκαταστάσεις του οργανισμού | Σελ. 145 |
Ειδικά μέτρα για τρίτους αποδέκτες | Σελ. 145 |
Ειδικά μέτρα για εξουσιοδοτημένους τρίτους | Σελ. 146 |
Εκτελούντες την επεξεργασία: προσδιορισμένοι και δεσμευόμενοι από σύμβαση | Σελ. 147 |
Γενικά μέτρα | Σελ. 147 |
Ειδικά μέτρα για τους εκτελούντες την επεξεργασία | Σελ. 147 |
Ειδικά μέτρα για παρόχους υπηρεσιών νεφοϋπολογιστικής (cloud computing) | Σελ. 149 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 149 |
Καταχωρίσεις (για τις αρμόδιες αρχές επιβολής του νόμου) | Σελ. 150 |
Διαβιβάσεις: συμμόρφωση με τις ρυθμίσεις για τη διαβίβαση προσωπικών δεδομένων εκτός της Ευρωπαϊκής Ένωσης | Σελ. 154 |
Γενικά μέτρα | Σελ. 154 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 162 |
Πολιτική διαχείρισης της αυτορρύθμισης | Σελ. 178 |
Γενικά μέτρα | Σελ. 178 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 179 |
Διαχείριση περιστατικών και παραβιάσεων δεδομένων | Σελ. 180 |
Γενικά μέτρα | Σελ. 180 |
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου | Σελ. 185 |
Κεφάλαιο Β Κίνδυνοι και αντιμετώπισή τους | |
Διαχείριση κινδύνων | Σελ. 193 |
Διατήρηση ασφαλούς απόστασης από τις πηγές κινδύνου | Σελ. 197 |
Προστασία από μη ανθρωπογενείς πηγές κινδύνου | Σελ. 199 |
Έλεγχος φυσικής πρόσβασης | Σελ. 201 |
Έλεγχος λογικής πρόσβασης | Σελ. 204 |
Διαχείριση προνομίων χρηστών για πρόσβαση σε προσωπικά δεδομένα | Σελ. 204 |
Έλεγχος ταυτότητας των ατόμων που επιθυμούν να έχουν πρόσβαση σε προσωπικά δεδομένα | Σελ. 205 |
Ειδικά μέτρα για τον έλεγχο της γνησιότητας ηλεκτρονικών πιστοποιητικών | Σελ. 207 |
Διαχείριση των διαπιστευτηρίων | Σελ. 208 |
Κατανομή δεδομένων (σε σχέση με το υπόλοιπο πληροφοριακό σύστημα) | Σελ. 211 |
Ανωνυμοποίηση | Σελ. 212 |
Κρυπτογράφηση | Σελ. 213 |
Γενικά μέτρα | Σελ. 213 |
Ειδικά μέτρα για τη συμμετρική κρυπτογραφία | Σελ. 214 |
Ειδικά μέτρα για την ασύμμετρη κρυπτογραφία (κρυπτογραφία δημόσιου κλειδιού) | Σελ. 215 |
Ειδικά μέτρα για την κρυπτογράφηση εξοπλισμού | Σελ. 216 |
Ειδικά μέτρα για την κρυπτογράφηση των βάσεων δεδομένων | Σελ. 216 |
Ειδικά μέτρα για την κρυπτογράφηση διαμερισμάτων σκληρού δίσκου ή περιεκτών σκληρού δίσκου | Σελ. 217 |
Ειδικά μέτρα για την κρυπτογράφηση μεμονωμένων αρχείων | Σελ. 217 |
Ειδικά μέτρα για την κρυπτογράφηση του ηλεκτρονικού ταχυδρομείου | Σελ. 218 |
Ειδικά μέτρα για την κρυπτογράφηση ενός καναλιού επικοινωνίας | Σελ. 218 |
Παρακολούθηση ακεραιότητας | Σελ. 220 |
Γενικά μέτρα | Σελ. 220 |
Ειδικά μέτρα για τη συνάρτηση κατακερματισμού (hashing) | Σελ. 221 |
Ειδικά μέτρα για τον κωδικό αυθεντικοποίησης μηνύματος | Σελ. 221 |
Ειδικά μέτρα για τη συνάρτηση ηλεκτρονικής υπογραφής | Σελ. 222 |
Αντίγραφα ασφαλείας | Σελ. 224 |
Αρχειοθέτηση | Σελ. 227 |
Ιχνηλασιμότητα (καταγραφή) | Σελ. 229 |
Επιτήρηση | Σελ. 231 |
Γενικά μέτρα | Σελ. 231 |
Ειδικά μέτρα για τους σταθμούς εργασίας πελάτη | Σελ. 232 |
Ειδικά μέτρα για το τείχος προστασίας | Σελ. 233 |
Ειδικά μέτρα για τον εξοπλισμό δικτύου | Σελ. 233 |
Ειδικά μέτρα για τον διακομιστή | Σελ. 234 |
Λειτουργική ασφάλεια | Σελ. 235 |
Ασφάλεια καναλιών μετάδοσης πληροφοριών (δίκτυα) | Σελ. 238 |
Γενικά μέτρα | Σελ. 238 |
Ειδικά μέτρα για συνδέσεις με υλισμικό δικτύου | Σελ. 241 |
Ειδικά μέτρα για εργαλεία απομακρυσμένης διαχείρισης | Σελ. 241 |
Ειδικά μέτρα για φορητές ή απομακρυσμένες συσκευές | Σελ. 242 |
Ειδικά μέτρα για ασύρματες διασυνδέσεις (Wi-Fi, Bluetooth, υπέρυθρες, 4G, 5G, κλπ.) | Σελ. 243 |
Ειδικά μέτρα για το Wi-Fi | Σελ. 244 |
Ειδικά μέτρα για το Bluetooth | Σελ. 244 |
Ειδικά μέτρα για υπέρυθρες | Σελ. 245 |
Ειδικά μέτρα για δίκτυα κινητής τηλεφωνίας (2G, 3G, 4G ή 5G, κλπ.) | Σελ. 245 |
Ειδικά μέτρα για την περιήγηση στον Παγκόσμιο Ιστό | Σελ. 245 |
Ειδικά μέτρα για τη μεταφορά αρχείων | Σελ. 245 |
Ειδικά μέτρα για τηλεομοιοτυπικά μηχανήματα | Σελ. 245 |
Ειδικά μέτρα για ADSL / Fiber | Σελ. 246 |
Ειδικά μέτρα για το ηλεκτρονικό ταχυδρομείο | Σελ. 246 |
Ειδικά μέτρα για την ανταλλαγή άμεσων μηνυμάτων | Σελ. 247 |
Ασφάλεια υλισμικού | Σελ. 248 |
Γενικά μέτρα | Σελ. 248 |
Ειδικά μέτρα για τους σταθμούς εργασίας | Σελ. 249 |
Ειδικά μέτρα για φορητές συσκευές | Σελ. 250 |
Ειδικά μέτρα για αφαιρούμενες συσκευές αποθήκευσης | Σελ. 251 |
Ειδικά μέτρα για πολυλειτουργικούς εκτυπωτές και φωτοαντιγραφικά | Σελ. 252 |
Συντήρηση | Σελ. 254 |
Γενικά μέτρα | Σελ. 254 |
Ειδικά μέτρα για σταθμούς εργασίας (επιτραπέζιους υπολογιστές, φορητούς υπολογιστές, smartphones, ταμπλέτες) | Σελ. 254 |
Ειδικά μέτρα για συσκευές αποθήκευσης | Σελ. 256 |
Ειδικά μέτρα για πολυλειτουργικούς εκτυπωτές και φωτοαντιγραφικά | Σελ. 256 |
Καταπολέμηση κακόβουλου λογισμικού | Σελ. 258 |
Ασφάλεια των ιστοτόπων | Σελ. 260 |
Ασφάλεια έγχαρτων εγγράφων | Σελ. 262 |
Σήμανση εγγράφων που περιέχουν προσωπικά δεδομένα | Σελ. 262 |
Ελαχιστοποίηση των τρωτών σημείων των έγχαρτων εγγράφων | Σελ. 263 |
Ελαχιστοποίηση των ευπαθειών των καναλιών διακίνησης έγχαρτων εγγράφων | Σελ. 264 |
Διαχείριση προσωπικού | Σελ. 266 |
Διαχείριση σταθμών εργασίας | Σελ. 268 |
Γενικά μέτρα | Σελ. 268 |
Ειδικά μέτρα για φορητές συσκευές | Σελ. 272 |
Ειδικά μέτρα για κινητά τηλέφωνα / smartphones | Σελ. 273 |
Διαχείριση έργων | Σελ. 275 |
Γενικά μέτρα | Σελ. 275 |
Ειδικά μέτρα για απόκτηση λογισμικού (αγορά, ανάπτυξη, κλπ.) | Σελ. 275 |
Πίνακας αντιστοίχισης | Σελ. 279 |
Λημματικό ευρετήριο | Σελ. 293 |
Σελ. 1
Κεφάλαιο Α
Νομικές υποχρεώσεις
Σελ. 2
Σελ. 3
1 Βασικές γνώσεις για τα προσωπικά δεδομένα
Σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ, κανονισμός (ΕΕ) 2016/679):
▪ Με τον όρο «προσωπικά δεδομένα» ή «δεδομένα προσωπικού χαρακτήρα» νοείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως σε όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου (άρ. 4 στοιχείο 1 του ΓΚΠΔ ή άρ. 44 παρ. 1 στοιχείο α του ν. 4624/2019). Ο ΓΚΠΔ δεν εφαρμόζεται στα προσωπικά δεδομένα θανόντων (αιτιολογική σκέψη 27 του ΓΚΠΔ).
▪ Με τον όρο «επεξεργασία» νοείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε προσωπικά δεδομένα ή σε σύνολα προσωπικών δεδομένων, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή (άρ. 4 στοιχείο 2 του ΓΚΠΔ ή άρ. 44 παρ. 1 στοιχείο β του ν. 4624/2019).
▪ Με τον όρο «σύστημα αρχειοθέτησης» νοείται κάθε διαρθρωμένο σύνολο προσωπικών δεδομένων τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση (άρ. 4 στοιχείο 6 του ΓΚΠΔ ή άρ. 44 παρ. 1 στοιχείο στ του ν. 4624/2019).
▪ Με τον όρο «υπεύθυνος επεξεργασίας» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας προσωπικών δεδομένων (άρ. 4 στοιχείο 7 του ΓΚΠΔ ή άρ. 44 παρ. 1 στοιχείο ζ του ν. 4624/2019). Επισημαίνεται ότι όσον αφορά το πεδίο εφαρμογής του τετάρτου κεφαλαίου του ν. 4624/2019, με τον οποίο ενσωματώθηκε στην εθνική νομοθεσία η οδηγία (ΕΕ) 2016/680, υπεύθυνος επεξεργασίας μπορεί να είναι μόνο δημόσια αρχή (ανατρέξτε στην ενότητα Σκοποί: καθορισμένοι, ρητοί και νόμιμοι).
Σελ. 4
▪ Με τον όρο «εκτελών την επεξεργασία» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή άλλος φορέας που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας (άρ. 4 στοιχείο 8 του ΓΚΠΔ ή άρ. 44 παρ. 1 στοιχείο η του ν. 4624/2019).
▪ Με τον όρο «αποδέκτης» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, προς τα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας (particular inquiry) σύμφωνα με το δίκαιο της Ευρωπαϊκής Ένωσης ή άλλο δίκαιο δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των προσωπικών δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας (άρ. 4 στοιχείο 9 του ΓΚΠΔ ή άρ. 44 παρ. 1 στοιχείο θ του ν. 4624/2019).
▪ Με τον όρο «παραβίαση δεδομένων προσωπικού χαρακτήρα» νοείται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση προσωπικών δεδομένων που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία (άρ. 4 στοιχείο 12 του ΓΚΠΔ ή άρ. 44 παρ. 1 στοιχείο ι του ν. 4624/2019).
Επισημαίνεται ότι, με την εξαίρεση του ορισμού του «υπεύθυνου επεξεργασίας», οι ορισμοί αυτοί είναι κοινοί μεταξύ του ΓΚΠΔ και του τετάρτου κεφαλαίου του ν. 4624/2019.
Επίσημα κείμενα
▪ Δείτε τον «κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)», σε https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=CELEX%3A02016R0679-20160504&qid=1624284087057
▪ Δείτε την «οδηγία (EE) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου», σε https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=CELEX%3A02016L0680-20160504
Σελ. 5
▪ Δείτε τον ν. 4624/2019, για την «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις», σε https://www.ministryofjustice.gr/wp-content/uploads/2019/09/N.-4624_2019.pdf
▪ Δείτε την αιτιολογική έκθεση του ν. 4624/2019, σε https://www.ministryofjustice.gr/wp-content/uploads/2019/09/N.-4624_2019-ΑΙΤΙΟΛΟΓΙΚΗ-ΕΚΘΕΣΗ.pdf
1.1 Είδη προσωπικών δεδομένων
Σε γενικές γραμμές, τα προσωπικά δεδομένα διακρίνονται στα εξής είδη:
Είδη προσωπικών δεδομένων |
Παραδείγματα προσωπικών δεδομένων |
|
Προσωπικάδεδομένα |
Ληξιαρχικά στοιχεία, στοιχεία ταυτότητας, δεδομένα ταυτοποίησης |
|
Προσωπική ζωή (συνήθειες διαβίωσης, οικογενειακή κατάσταση, κλπ.) |
||
Επαγγευση και επαγγελματική κατάρτιση, επιβραβεύσεις, κλπ.) |
||
Οικονομικές και χρηματοοικονομικές πληροφορίες (εισόδημα, οικονομική κατάσταση, φορολογική κατάσταση, κλπ.) |
||
Δεδομένα σύνδεσης στο διαδίκτυο (διευθύνσεις IPας, κλπ.) |
||
Δεδομένα τοποθεσίας (μετακινήσεις, δα GPS, δεδομένα GSM, κλπ.) |
||
Προσωπικά δεδομένα |
Προσωπικά δεδομένα που εκλαμβάνονται ως ευαίσθητα |
Αριθμός Μητρώου Κοινωνικής Ασφάλισης (ΑΜΚΑ) |
Βιομετρικά δεδομένα |
||
Δεδομένα τραπεζικής φύσεως |
||
Προσωπικά δεδομένα |
Προσωπικά δεδομένα ειδικών κατηγοριών (άρ. 9 του ΓΚΠΔ) |
Φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν στην υγεία ή δεδομένα που αφορούν στη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό |
Προσωπικά δεδομένα |
Προσωπικά δεδομένα που αφορούν σε ποινικές καταδίκες και αδικήματα (άρ. 10 του ΓΚΠΔ) |
Ποινικές καταδίκες, αδικήματα, μέτρα ασφάλειας |
Σελ. 6
1.2 Είδη υποστηρικτικών στοιχείων των προσωπικών δεδομένων
Τα υποστηρικτικά στοιχεία των προσωπικών δεδομένων είναι τα συστατικά του συστήματος επεξεργασίας πληροφοριών, τα οποία αποτελούν υποδομή για την επεξεργασία των προσωπικών δεδομένων:
Είδη υποστηρικτικών στοιχείων προσωπικών δεδομένων |
Παραδείγματα |
|
Πληροφοριακά συστήματα |
Εξοπλισμός υλισμικού και ηλεκτρονικών μέσων |
Υπολογιστές, υποδομές αναμετάδοσης επικοινωνίας, μονάδες USB, σκληροί δίσκοι |
Λογισμικό |
Λειτουργικά συστήματα, μηνύματα, βάσεις δεδομένων, επιχειρηματικές εφαρμογές |
|
Κανάλια μετάδοσης πληροφοριών |
Καλώδια δικτύωσης, Wi-Fi, οπτικές ίνες |
|
Φορείς |
Άνθρωποι |
Χρήστες, διαχειριστές πληροφορικής, υπεύθυνοι χάραξης πολιτικής |
Έγχαρτα έγγραφα |
Εκτυπώσεις, φωτοαντίγραφα, χειρόγραφα |
|
Κανάλια διακίνησης έγχαρτων εγγράφων |
Ταχυδρομική αλληλογραφία, διαδικασίες επιβεβαίωσης περιεχομένου |
Καλές πρακτικές
▪ Να προσαρμόζετε το επίπεδο λεπτομέρειας με το οποίο εξετάζετε τα υποστηρικτικά στοιχεία των προσωπικών δεδομένων, ανάλογα με τις περιστάσεις.
Σημειώσεις
▪ Οι λύσεις ασφάλειας (προϊόντα, διαδικασίες, μέτρα, κλπ.) δεν αποτελούν υποστηρικτικά στοιχεία των δεδομένων: πρόκειται για μέτρα που αποσκοπούν στην αντιμετώπιση των κινδύνων.
Σελ. 7
1.3 Είδη πηγών κινδύνου
Ο παρακάτω πίνακας παρουσιάζει παραδείγματα πηγών κινδύνου:
Είδη πηγών κινδύνου |
Παραδείγματα |
Εσωτερικές ανθρωπογενείς πηγές |
Εργαζόμενοι, διαχειριστές πληροφορικής, εκπαιδευόμενοι, διευθυντές |
Εξωτερικές ανθρωπογενείς πηγές |
Αποδέκτες προσωπικών δεδομένων, πάροχοι υπηρεσιών, κακόβουλοι χρήστες, χάκερς (hackers), επισκέπτες, πρώην υπάλληλοι, ακτιβιστές, ανταγωνιστές, πελάτες, υπάλληλοι συντήρησης, υπεύθυνοι συντήρησης, εξουσιοδοτημένοι εκ του νόμου τρίτοι (π.χ. οι δημόσιες και δικαστικές αρχές μπορούν να ζητήσουν τη γνωστοποίηση ορισμένων δεδομένων, όταν ο νόμος τους εξουσιοδοτεί ρητά να το πράξουν), εγκληματίες, συνδικαλιστικές οργανώσεις, δημοσιογράφοι, μη κυβερνητικές οργανώσεις, εγκληματικές οργανώσεις, οργανώσεις υπό τον έλεγχο ενός ξένου κράτους, τρομοκρατικές οργανώσεις, βιομηχανικές δραστηριότητες στο κοντινό περιβάλλον |
Μη ανθρωπογενείς πηγές |
Κακόβουλος κώδικας άγνωστης προέλευσης (ιοί, σκουλήκια (worms), κλπ.), νερό (αγωγοί, υδατορεύματα, κλπ.), εύφλεκτα, διαβρωτικά ή εκριδημίες, ζώα |
1.4 Είδη αποτελεσμάτων των απευκταίων γεγονότων
Με τον όρο «απευκταίο γεγονός» νοείται η πιθανή παραβίαση των προσωπικών δεδομένων που ενδέχεται να έχει διάφορες επιπτώσεις στην ιδιωτικότητα των υποκειμένων των δεδομένων.
Τα απευκταία γεγονότα, αν συμβούν, μπορεί να έχουν διάφορες συνέπειες:
Σελ. 8
Απευκταία γεγονότα |
Είδη αποτελεσμάτων |
Περιγραφή |
Αθέμιτη πρόσβαση σε προσωπικά δεδομένα |
Επουσιώδες |
Τα δεδομένα τα βλέπουν άνθρωποι που δεν χρειάζεται να τα γνωρίζουν, αν και αυτοί δεν κάνουν χρήση τους |
Αποθήκευση |
Τα δεδομένα αντιγράφονται και αποθηκεύονται σε άλλη τοποθεσία, χωρίς περαιτέρω χρήση |
|
Διάδοση |
Τα δεδομένα διαδίδονται περισσότερο από ό,τικτυο, απώλεια ελέγχου επί των πληροφοριών που δημοσιεύονται σε ένα κοινωνικό δίκτυο) |
|
Χρήση |
Τα δεδομένα χρησιμοποιούνται για σκοπούς διαφορετικούς από εκείνους που αρχικά προβλέπονταν ή με αθέμιτο τρόπο (π.χ. εμπορικοί σκοποί, υποκλοπή ταυτότητας, χρήση των προσωπικών δεδομένων κατά των υποοπισμού σε πραγματικό χρόνο) |
|
Ανεπιθύμητη τροποποίηση προσωπικών δεδομένων |
Δυσλειτουργία |
Τα δεδομένα μετατρέπονται σε άλλα έγκυρα ή μη έγκυρα δεδομένα, τα οποία δεν θα χρησιμοποιηθούν σωστά, η επναμενόμενη υπηρεσία (π.χ. με το να εμποδίσει την κατάλληλη εξέλιξη σημαντικών βημάτων) |
Χρήση |
Τα δεδομένα μετατρέπονται σε άλλα έγκυρα δεδομένα, με τρόπο ώστε να γίνεται ή να δύναται να γίνει κατάχρηση της επεξεργασίας (π.χ. χρήση για την υποκλοπή ταυτότητας με τη συσχέτιση κάποιου ατόμου με τα βιομετρικά δεδομένα άλλου) |
|
Μη διαθεσιμότητα προσωπικών δεδομένων |
Δυσλειτουργία |
Λείπουν δεδομένα για την επεξεργασία προσωπικών δεδομένων, γεγονός που προκαλεί σφάλματα, δυσλειτουργίες ή παρέχει διαφορετική υπηρεσία από αυτήν που αναμένεται (π.χ. ορισμένες αλλεργίες δεν αναφέρονται πλέον σε ιατρικό μητρώο, ορισμένες πληροφορίες που περιέχονται στις φορολογικές δηλώσεις έχουν εξαφανιστεί, εμποδίζοντας τον υπολογισμό του ποσού του φόρου) |
Αποκλεισμός |
Λείπουν δεδομένα για την επεξεργασία προσωπικών δεδομένων, η οποία δεν μπορεί πλέον να παρέχει την αναμενόμενη υπηρεσία (π.χ. επιβράδυνση ή αποκλεισμός διοικητικών ή εμπορικών διαδικασιών, αδυναμία παροχής περίθαλψης λόγω απώλειας ιατρικών φακέλων, αδυναμία υποκειμένων των δεδομένων να ασκήσουν τα δικαιώματά τους) |
Σελ. 9
1.5 Κλίμακα και μεθοδολογία για την εκτίμηση της σοβαρότητας
Με το όρο «σοβαρότητα» νοείται το μέγεθος ενός κινδύνου. Η σοβαρότητα του κινδύνου εκτιμάται κυρίως σε σχέση με την έκταση των πιθανών επιπτώσεων (άμεσων και έμμεσων) στα υποκείμενα των δεδομένων, λαμβάνοντας υπόψη τα υφιστάμενα, προγραμματισμένα ή συμπληρωματικά μέτρα (τα οποία πρέπει να αναφέρονται ως αιτιολόγηση της σχετικής αξιολόγησης).
Η ακόλουθη κλίμακα μπορεί να χρησιμοποιηθεί για την εκτίμηση της σοβαρότητας του κινδύνου:
1. Αμελητέα .
2. Περιορισμένη .
3. Σημαντική .
4. Μέγιστη .
(Σημαντικό: τα παρακάτω είναι μόνο παραδείγματα, τα οποία μπορεί να διαφέρουν κατά πολύ από τις εκάστοτε περιστάσεις)
▪ Τα ακόλουθα παραδείγματα σωματικών επιπτώσεων αφορούν επιδράσεις στη σωματική ακεραιότητα (σωματικές βλάβες, παραμόρφωση του σώματος, κλπ.) καθώς και την οικονομική ή ηθική βλάβη που σχετίζεται με τη σωματική ακεραιότητα.
▪ Τα ακόλουθα παραδείγματα υλικών επιπτώσεων αφορούν επιδράσεις στην οικονομική κατάσταση και περιουσιακή κατάσταση του υποκειμένου των δεδομένων (οικονομική ζημία, απώλεια εισοδήματος, κλπ.) καθώς και την ηθική βλάβη που σχετίζεται με επιδράσεις στην οικονομική κατάσταση και περιουσιακή κατάσταση.
▪ Τα ακόλουθα παραδείγματα ηθικών επιπτώσεων αφορούν επιδράσεις στην ψυχολογική κατάσταση, στη συναισθηματική κατάσταση και στην ψυχική κατάσταση του υποκειμένου των δεδομένων (ηθική βλάβη, συναισθηματική ταλαιπωρία, κλπ.).
Σελ. 10
Επίπεδο σοβαρότητας κινδύνου |
1. Αμελητέα |
Γενική περιγραφή των επιπτώσεων |
Τα υποκείμενα των δεδομένων είτε δεν θα επηρεαστούν είτε ενδέχεται |
Παραδείγματα σωματικών επιπτώσεων |
- Έλλειψη επαρκούς φροντίδας για προστατευόμενο μέλος (ανήλικος, |
Παραδείγματα υλικών επιπτώσεων |
- Απώλεια χρόνου από την επανάληψη κάποιας διαδικασίας ή από την |
Παραδείγματα ηθικών επιπτώσεων |
- Απλή ενόχληση που προκαλείται από πληροφορίες π ου ελήφθησαν ή |
Επίπεδο σοβαρότητας κινδύνου |
2. Περιορισμένη |
Γενική περιγραφή των επιπτώσεων |
Τα υποκείμενα των δεδομένων ενδέχεται να αντιμετωπίσουν |
Παραδείγματα σωματικών επιπτώσεων |
- Μικρές σωματικές παθήσεις (π.χ. ασήμαντη ασθένεια λόγω μη λήψης |
Παραδείγματα υλικών επιπτώσεων |
- Αναπάντεχες οικονομικές υποχρεώσεις (π.χ. πρόστιμα που έχουν |
Παραδείγματα ηθικών επιπτώσεων |
- Αποκλεισμός από τη χρήση πληροφοριακών συστημάτων |
Επίπεδο σοβαρότητας κινδύνου |
3. Σημαντική |
Γενική περιγραφή των επιπτώσεων |
Τα υποκείμενα των δεδομένων ενδέχεται να αντιμετωπίσουν σημαντικές συνέπειες, τις οποίες αναμένεται να μπορέσουν να ξεπεράσουν, αν και με πραγματικές και σοβαρές δυσκολίες |
Παραδείγματα σωματικών επιπτώσεων |
- Σοβαρές σωματικές παθήσεις που προκαλούν μακροπρόθεσμη βλάβη (π.χ. επιδείνωση της υγείας λόγω ακατάλληλης περίθαλψης ή αδιαφορίας για τις αντενδείξεις)- Μεταβολή της σωματικής ακεραιότητας (π.χ. ως αποτέλεσμα επίθεσης, ατυχήματος στο σπίτι, εργατικού ατυχήματος) |
Παραδείγματα υλικών επιπτώσεων |
- Παράνομη ιδιο ποίηση χρημάτων χωρίς αποζημίωση |
Παραδείγματα ηθικών επιπτώσεων |
- Σοβαρές ψυχολογικές παθήσεις (π.χ. κατάθλιψη, ανάπτυξη φοβίας) |
Επίπεδο σοβαρότητας κινδύνου |
4. Μέγιστη |
Γενική περιγραφή των επιπτώσεων |
Τα υποκείμενα των δεδομένων ενδέχεται να αντιμετωπίσουν σημαντικές ή ακόμη και μη αναστρέψιμες συνέπειες, τις οποίες ενδεχομένως να μην ξεπεράσουν |
Παραδείγματα σωματικών επιπτώσεων |
- Μακροπρόθεσμες ή μόνιμες σωματικές παθήσεις (π.χ. λόγω |
Παραδείγματα υλικών επιπτώσεων |
- Οικονομικός κίνδυνος |
Παραδείγματα ηθικών επιπτώσεων |
- Μακροπρόθεσμες ή μόνιμες ψυχολογικές παθήσεις |
Σελ. 11
Σελ. 12
Σελ. 13
Για να προσδιοριστεί το επίπεδο σοβαρότητας του κινδύνου, μπορείτε να συγκρίνετε τις επιπτώσεις που έχουν εντοπιστεί εν προκειμένω με τα γενικά παραδείγματα επιπτώσεων που περιλαμβάνονται στην παραπάνω κλίμακα.
Το επίπεδο σοβαρότητας που προσδιορίζεται κατ’ αυτόν τον τρόπο μπορεί να αυξηθεί ή να μειωθεί λαμβάνοντας επιπλέον υπόψη:
▪ τον βαθμό κατά τον οποίο τα προσωπικά δεδομένα οδηγούν σε ταυτοποίηση·
▪ τη φύση των πηγών κινδύνου·
▪ τον αριθμό διασυνδέσεων (ιδίως με ξένους δικτυακούς τόπους)·
▪ τον αριθμό των αποδεκτών (ο οποίος διευκολύνει τη συσχέτιση μεταξύ αρχικά διαχωρισμένων προσωπικών δεδομένων).
1.6 Κλίμακα και μεθοδολογία για την εκτίμηση της πιθανότητας
Με το όρο «πιθανότητα» νοείται το κατά πόσο είναι ενδεχόμενη η επέλευση ενός κινδύνου. Η πιθανότητα του κινδύνου εκτιμάται κυρίως με βάση τον βαθμό ευπάθειας των σχετικών υποστηρικτικών στοιχείων και τον βαθμό ικανότητας των πηγών κινδύνου να εκμεταλλευτούν τις ευπάθειες αυτές, λαμβανομένων υπόψη των υφιστάμενων, προγραμματισμένων ή συμπληρωματικών μέτρων (που πρέπει να αναφέρονται ως αιτιολόγηση της σχετικής αξιολόγησης).
Σελ. 14
Η ακόλουθη κλίμακα μπορεί να χρησιμοποιηθεί για την εκτίμηση της πιθανότητας του κινδύνου:
1. Αμελητέα : φαίνεται απίθανο οι εξεταζόμενες πηγές κινδύνου να προκαλέσουν την επέλευση του κινδύνου εκμεταλλευόμενες τις ιδιότητες των υποστηρικτικών στοιχείων (π.χ. κλοπή έγχαρτων εγγράφων, αποθηκευμένων σε χώρο που προστατεύεται από συσκευή ανάγνωσης διακριτικών (badge reader) και κωδικό πρόσβασης).
2. Περιορισμένη : φαίνεται δύσκολο οι εξεταζόμενες πηγές κινδύνου να προκαλέσουν την επέλευση του κινδύνου εκμεταλλευόμενες τις ιδιότητες των υποστηρικτικών στοιχείων (π.χ. κλοπή έγχαρτων εγγράφων, αποθηκευμένων σε χώρο που προστατεύεται από συσκευή ανάγνωσης διακριτικών).
3. Σημαντική : φαίνεται πιθανό οι εξεταζόμενες πηγές κινδύνου να προκαλέσουν την επέλευση του κινδύνου εκμεταλλευόμενες τις ιδιότητες των υποστηρικτικών στοιχείων (π.χ. κλοπή έγχαρτων εγγράφων, αποθηκευμένων σε χώρο γραφείων, όπου ο μόνος έλεγχος πρόσβασης γίνεται κατά την είσοδο στο κτίριο του οργανισμού, από τους εργαζόμενους στην υποδοχή).
4. Μέγιστη : φαίνεται εξαιρετικά εύκολο οι εξεταζόμενες πηγές κινδύνου να προκαλέσουν την επέλευση του κινδύνου εκμεταλλευόμενες τις ιδιότητες των υποστηρικτικών στοιχείων (π.χ. κλοπή έγχαρτων εγγράφων, αποθηκευμένων σε χώρο υποδοχής του κοινού).
Για να προσδιοριστεί το επίπεδο πιθανότητας του κινδύνου, μπορείτε να εξετάσετε τις ευπάθειες των υποστηρικτικών στοιχείων, την ικανότητα των πηγών κινδύνου να τις εκμεταλλευτούν, τα υφιστάμενα, προγραμματισμένα ή συμπληρωματικά μέτρα, και να εκτιμήσετε το κατά πόσον είναι πιθανή η επέλευση του κινδύνου.
Το επίπεδο πιθανότητας που προσδιορίζεται κατ’ αυτόν τον τρόπο μπορεί να αυξηθεί ή να μειωθεί λαμβάνοντας επιπλέον υπόψη:
▪ το αν υπάρχει ανοιχτή πρόσβαση στο διαδίκτυο ή μόνο πρόσβαση σε κλειστό σύστημα·
▪ το αν γίνεται διαβίβαση προσωπικών δεδομένων σε ξένες χώρες ή όχι·
▪ την ύπαρξη ή μη διασύνδεσης με άλλα συστήματα·
▪ την ετερογένεια ή ομοιογένεια του συστήματος·
▪ τη μεταβλητότητα ή σταθερότητα του συστήματος·
▪ την προς τα έξω εικόνα του οργανισμού.
Σελ. 15
1.7 Είδη στόχων για την αντιμετώπιση των κινδύνων
Οι στόχοι για την αντιμετώπιση των κινδύνων μπορούν να τεθούν ανάλογα με το επίπεδο κινδύνου. Για παράδειγμα:
1. Κίνδυνοι με υψηλή σοβαρότητα και υψηλή πιθανότητα : αυτοί οι κίνδυνοι πρέπει οπωσδήποτε να αποφευχθούν ή να περιοριστούν με την εφαρμογή μέτρων ασφαλείας που μειώνουν τη σοβαρότητα και την πιθανότητά τους. Στην ιδανική περίπτωση, πρέπει επιπλέον να ληφθεί μέριμνα ώστε να διασφαλιστεί ότι οι κίνδυνοι αυτοί αντιμετωπίζονται με ανεξάρτητα μέτρα για την πρόληψη (ενέργειες που λαμβάνονται πριν από μια παραβίαση προσωπικών δεδομένων), προστασία (ενέργειες που λαμβάνονται κατά τη διάρκεια μιας παραβίασης προσωπικών δεδομένων) και διόρθωση (ενέργειες που λαμβάνονται μετά από την παραβίαση προσωπικών δεδομένων)·
2. Κίνδυνοι με υψηλή σοβαρότητα αλλά χαμηλή πιθανότητα : αυτοί οι κίνδυνοι πρέπει να αποφεύγονται ή να περιστέλλονται με την εφαρμογή μέτρων ασφαλείας που μειώνουν τη σοβαρότητα και την πιθανότητά τους. Πρέπει να δοθεί έμφαση στα προληπτικά μέτρα. Αυτοί οι κίνδυνοι μπορούν να γίνουν αποδεκτοί, αλλά μόνο εάν αποδειχθεί ότι δεν είναι δυνατόν να μειωθεί η σοβαρότητά τους και υπό την ταυτόχρονη προϋπόθεση ότι η πιθανότητά τους είναι αμελητέα·
3. Κίνδυνοι με χαμηλή σοβαρότητα αλλά υψηλή πιθανότητα : αυτοί οι κίνδυνοι πρέπει να περισταλούν με την εφαρμογή μέτρων ασφαλείας που μειώνουν την πιθανότητά τους. Πρέπει να δοθεί έμφαση στα μέτρα για τη διόρθωση. Αυτοί οι κίνδυνοι μπορούν να γίνουν αποδεκτοί, αλλά μόνο εάν αποδειχθεί ότι δεν είναι δυνατόν να μειωθεί η πιθανότητά τους και υπό την ταυτόχρονη προϋπόθεση ότι η σοβαρότητά τους είναι αμελητέα·
4. Κίνδυνοι με χαμηλή σοβαρότητα και χαμηλή πιθανότητα : σε λογικά πλαίσια, οι κίνδυνοι αυτοί μπορούν να γίνουν αποδεκτοί, ιδίως επειδή η διαχείριση των άλλων κινδύνων θα οδηγήσει πιθανότατα στην αντιμετώπιση και αυτών των κινδύνων.
Σημειώσεις
▪ Υψηλή σοβαρότητα ή υψηλή πιθανότητα αποδίδεται στα επίπεδα «3. Σημαντική» και «4. Μέγιστη».
▪ Χαμηλή σοβαρότητα ή χαμηλή πιθανότητα αποδίδεται στα επίπεδα «1. Αμελητέα» και «2. Περιορισμένη».
▪ Οι κίνδυνοι μπορούν, σε γενικές γραμμές, με ορθή αντιμετώπιση, να μειωθούν, να περιορισθούν, να μετατεθούν ή να διατηρηθούν. Ωστόσο, ορισμένοι κίνδυνοι δεν μπορούν να γίνουν αποδεκτοί, ειδικά όταν η επεξεργασία αφορά προσωπικά δεδομένα ειδικών κατηγοριών ή όταν οι συνέπειες που ενδέχεται να υποστούν τα υποκείμενα των δεδομένων είναι πολύ σημαντικές. Σε τέτοιες περιπτώσεις
Σελ. 16
μπορεί να είναι απαραίτητο να αποφευχθούν οι κίνδυνοι, για παράδειγμα με το να μην προβείτε στην επεξεργασία ή σε μέρος αυτής.
1.8 Απειλές για τα υποστηρικτικά στοιχεία
Με τον όρο «απειλή» νοείται οποιαδήποτε περίσταση ή γεγονός μπορεί να επηρεάσει δυσμενώς κάποιο υποστηρικτικό στοιχείο. Τα υποστηρικτικά στοιχεία μπορεί να υποστούν:
▪ Ακατάλληλη χρήση: τα υποστηρικτικά στοιχεία χρησιμοποιούνται με τρόπο που εκφεύγει από το προβλεπόμενο πλαίσιο χρήσης τους ή κατά παρεκτροπή από το προβλεπόμενο πλαίσιο χρήσης τους, χωρίς να αλλοιωθούν ή να υποστούν βλάβη·
▪ Παρατήρηση: τα υποστηρικτικά στοιχεία γίνονται αντικείμενο παρατήρησης, παρακολούθησης ή κατασκοπείας, χωρίς να υποστούν βλάβη·
▪ Υπερφόρτωση: γίνεται υπέρβαση των ορίων λειτουργίας των υποστηρικτικών στοιχείων, τα υποστηρικτικά στοιχεία υπερφορτώνονται, χρησιμοποιούνται σε υπερβολικό βαθμό ή χρησιμοποιούνται υπό συνθήκες που δεν επιτρέπουν τη σωστή λειτουργία τους·
▪ Βλάβη: τα υποστηρικτικά στοιχεία υφίστανται μερική ή ολική ζημία·
▪ Τροποποίηση: τα υποστηρικτικά στοιχεία μεταβάλλονται·
▪ Απώλεια: τα υποστηρικτικά στοιχεία χάνονται, αφαιρούνται, μεταβιβάζονται δωρεάν ή πωλούνται.
Οι απειλές των υποστηρικτικών στοιχείων μπορεί να επηρεάσουν:
▪ την εμπιστευτικότητα (Confidentiality) των προσωπικών δεδομένων·
▪ την ακεραιότητα (Integrity) των προσωπικών δεδομένων·
▪ τη διαθεσιμότητα (Availability) των προσωπικών δεδομένων.
1.9 Απειλές που μπορούν να οδηγήσουν σε αθέμιτη πρόσβαση σε προσωπικά δεδομένα
Τα παρακάτω αποτελούν παραδείγματα απειλών κατά της εμπιστευτικότητας των προσωπικών δεδομένων.
Σελ. 17
Είδη υποστηρικτικών στοιχείων |
Επίδραση |
Παραδείγματα απειλών κατά της εμπιστευτικότητας των προσωπικών δεδομένων |
Παραδείγματα τρωτών σημείων των υποστηρικτικών στοιχείων |
Υλισμικό |
Ακατάλληλη χρήση |
Χρήση δίσκων flash USB ή δίσκων που είναι ακατάλληλοι ως αποθηκευτικά μέσα, δεδομένης της ευαισθησίας των πληροφοριών· χρήση ή μεταφορά ευαίσθητου υλισμικού για προσωπικούς σκοπούς· ο σκληρός δίσκος που περιέχει τις πληροφορίες χρησιμοποιείται για σκοπούς διαφορετικούς από τον επιδιωκόμενο σκοπό (π.χ. για μεταφορά άλλων δεδομένων σε πάροχο υπηρεσιών, για μεταφορά άλλων δεδομένων από μια βάση δεδομένων σε άλλη, κλπ.) |
Δυνατότητα χρήσης για σκοπό άλλον από τον επιδιωκόμενο σκοπό· δυσαναλογία μεταξύ των δυνατοτήτων του υλισμικού και των απαιτούμενων δυνατοτήτων του (π.χ. σκληρός δίσκος αρκετών TB για την αποθήκευση λίγων GB δεδομένων) |
Υλισμικό |
Παρατήρηση |
Παρατήρηση της οθόνης, χωρίς τη γνώση του χρήστη, στο τρένο· λήψη φωτογραφίας της οθόνης· γεωεντοπισμός του υλισμικού· απομακρυσμένη σύλληψη ηλεκτρομαγνητικών σημάτων |
Δυνατότητα παρατήρησης των δεδομένων σε μορφή που μπορούν να γίνουν κατανοητά· δημιουργία εκπομπών ή ροών που είναι ευπαθείς σε παραβίαση |
Υλισμικό |
Τροποποίηση |
Εγκατάσταση συσκευής keylogger· αφαίρεση εξαρτημάτων υλισμικού· σύνδεση συσκευών (όπως μονάδες USB flash) για την εκκίνηση λειτουργικού συστήματος ή την ανάκτηση δεδομένων |
Δυνατότητα προσθήκης, αφαίρεσης ή υποκατάστασης εξαρτημάτων (καρτών συστήματος ή επέκτασης) μέσω συνδέσμων (θύρες, υποδοχές)· δυνατότητα απενεργοποίησης εξαρτημάτων (θύρα USB) |
Υλισμικό |
Απώλεια |
Κλοπή φορητού υπολογιστή από δωμάτιο ξενοδοχείου· κλοπή ενός επαγγελματικού κινητού τηλεφώνου από λαθρόχειρα (πορτοφολά)· ανάκτηση μιας παροπλισμένης συσκευής ή υλισμικού αποθήκευσης· απώλεια ηλεκτρονικών μέσων αποθήκευσης |
Μικρών διαστάσεων, ευκολία μεταφοράς, ελκυστικότητα της συσκευής ως στόχου (εμπορική αξία) |
Λογισμικό |
Ακατάλληλη χρήση |
Σάρωση περιεχομένου· αθέμιτη διασταύρωση δεδομένων· επίθεση κλιμάκωσης προνομίων (privilege escalation)· διαγραφή των στοιχείων ιχνηλασιμότητας· αποστολή ανεπιθύμητων μηνυμάτων μέσω προγράμματος ηλεκτρονικού ταχυδρομείου· κατάχρηση λειτουργιών δικτύου |
Δυνατότητα πρόσβασης στα δεδομένα για προβολή ή διαχείριση (διαγραφή, τροποποίηση, μετακίνηση)· δυνατότητα εκτροπής της χρήσης προς σκοπούς άλλους από τους συνήθεις· δυνατότητα χρήσης προηγμένων λειτουργιών |
Λογισμικό |
Παρατήρηση |
Σάρωση διευθύνσεων και θυρών δικτύου· συλλογή δεδομένων για τις ρυθμίσεις· ανάλυση πηγαίου κώδικα για τον προσδιορισμό εκμεταλλεύσιμων ευπαθειών· ανίχνευση του τρόπου με τον οποίο η βάση δεδομένων ανταποκρίνεται σε κακόβουλα ερωτήματα |
Δυνατότητα παρατήρησης της λειτουργίας του λογισμικού· πρόσβαση και ανάγνωση του πηγαίου κώδικα |
Λογισμικό |
Τροποποίηση |
Εγκατάσταση εφαρμογής keylogger· μόλυνση από κακόβουλο λογισμικό· εγκατάσταση ενός εργαλείου απομακρυσμένης διαχείρισης· αντικατάσταση στοιχείων (components) του λογισμικού κατά τη διάρκεια μιας ενημέρωσης, μιας λειτουργίας συντήρησης ή μιας εγκατάστασης (εγκαθίστανται ή αντικαθίστανται τμήματα κώδικα ή εφαρμογές) |
Δυνατότητα τροποποίησης (δεκτικό βελτίωσης, παραμετροποίησης)· οι προγραμματιστές ή συντηρητές με ανεπαρκείς δεξιότητες (ελλιπείς προδιαγραφές, πολύ περιορισμένοι εσωτερικοί πόροι)· εσφαλμένη ή μη αναμενόμενη λειτουργία του λογισμικού |
Κανάλια μετάδοσης πληροφοριών |
Παρατήρηση |
Υποκλοπή τηλεφωνικών συνδιαλέξεων· υποκλοπή της ένων που αποστέλλονται μέσω δικτύου Wi-Fi |
Δυνατότητα παρατήρησης των δεδομένων σε μορφή που μπορούν να γίνουν κατανοητά· Διαπερατότητα (δημιουργία εκπομπών ή ροών που είναι ευπαθείς σε παραβίαση) |
Άνθρωποι |
Παρατήρηση |
Ακούσια αποκάλυψη πληροφοριών κατά τη συνομιλία· χρήση συσκευής ακρόασης για την απομακρυσμένη παρακολούθηση συνομιλιών |
Έλλειψη εχεμύθειας (άνθρωποι απερίσκεπτοι, επιπόλαιοι)· άνθρωποι που είναι προβλέψιμοι (η ρουτίνα και οι συνήθειες διευκολύνουν την επαναλαμβανόμενη παρατήρησή τους) |
Άνθρωποι |
Χειραγώγηση |
Επιρροή (ηλεκτρονικό «ψάρεµα» (phishing), κοινωνική μηχανική (social engineering), δωροδοκία), πίεση (εκβιασμός, ψυχολογική παρενόχληση) |
Οι εύκολα επηρεαζόμενοι λικό και οικογενειακό τους κύκλο) |
Άνθρωποι |
Απώλεια |
Υφαρπαγή εργαζομένων· μετάθεση σε άλλη θέση εργασίας· εξαγορά του συνόλου ή μέρους του οργανισμού |
Χαμηλός βαθμός αφοσίωσης στον οργανισμό· προσωπικές ανάγκες που, σε μεγάλο βαθμό, δεν καλύπτονται· ευκολία στην παραβίαση των συμβατικών υποχρεώσεων |
Έγχαρτα έγγραφα |
Παρατήρηση |
Ανάγνωση, φωτοτύπηση, φωτογράφιση |
Δυνατότητα παρατήρησης των δεδομένων σε μορφή που μπορούν να γίνουν κατανοητά |
Έγχαρτα έγγραφα |
Απώλεια |
Κλοπή αρχείων από το γραφείο· κλοπή ταχυδρομείου από το γραμματοκιβώτιο· ανάκτηση εγγράφων από τα απορρίμματα |
Δεκτικά μετακίνησης |
Κανάλια διακίνησης έγχαρτων εγγράφων |
Παρατήρηση |
Ανάγνωση εγγράφων που μεταφέρονται σε ντοσιέ· αναπαραγωγή εγγράφων που βρίσκονται σε στάδιο μεταφοράς (in transit) |
Δεκτικά παρατήρησης |
Σελ. 18
Σελ. 19
Σελ. 20