ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΣΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Συνδυάστε Βιβλίο (έντυπο) + e-book και κερδίστε 16.4€
Δωρεάν μεταφορικά σε όλη την Ελλάδα για αγορές άνω των 30€
credit-card

Πληρώστε σε έως άτοκες δόσεις των /μήνα με πιστωτική κάρτα.

Σε απόθεμα

Τιμή: 38,40 €

* Απαιτούμενα πεδία

Κωδικός Προϊόντος: 18549
Τζέλλης Δ., Μυλώση Μ.
Αλεξανδροπούλου - Αιγυπτιάδου Ε.
Αποκτήστε τη συνδυαστική προσφορά

Το έργο «Εκτίμηση Αντικτύπου στην Προστασία Προσωπικών Δεδομένων» αποτελεί την πρώτη συστηματική προσπάθεια καταγραφής και ανάλυσης των δύο πυλώνων, στους οποίους βασίζεται κάθε μελέτη εκτίμησης αντικτύπου, σύμφωνα με τη Γαλλική Αρχή Προστασίας Προσωπικών Δεδομένων (CNIL), δηλαδή:
α) η εκτίμηση κατά πόσον η επεξεργασία συνάδει με τις νομικές απαιτήσεις και τον σεβασμό των δικαιωμάτων του υποκειμένου των δεδομένων και
β) ο εντοπισμός, η διαβάθμιση και η διαχείριση των κινδύνων που συνεπάγεται η επεξεργασία για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων.

Στο βιβλίο αναλύονται οι νομικές απαιτήσεις που προβλέπει ο ΓΚΠΔ για τον υπεύθυνο επεξεργασίας προσωπικών δεδομένων, ακόμα και όταν υπεύθυνος επεξεργασίας είναι μια αρμόδια αρχή επιβολής του νόμου σύμφωνα με την Οδηγία 2016/680, όπως οι γενικές αρχές επεξεργασίας προσωπικών δεδομένων, οι σκοποί και οι νομικές βάσεις για τη νομιμότητα της επεξεργασίας, η έννοια της συγκατάθεσης, τα δικαιώματα του υποκειμένου των δεδομένων και οι τρόποι άσκησής τους, η προστασία των δεδομένων κ.ά.

Επίσης, εξετάζεται μέσα από πλούσια θεματολογία και περιπτωσιολογία η Εκτίμηση Αντικτύπου σε επίπεδο εντοπισμού και διαχείρισης των κινδύνων για τα προσωπικά δεδομένα και προτείνονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την αντιμετώπισή τους.

Το έργο παρουσιάζει ιδιαίτερο ενδιαφέρον, καθώς διαπιστώνεται ότι η Εκτίμηση Αντικτύπου:

• καταλαμβάνει την επεξεργασία δεδομένων που πραγματοποιείται με όλες τις σύγχρονες πτυχές της τεχνολογίας όπως συλλογή δεδομένων μέσω, μεταξύ άλλων: ιστοτόπου, cookies, συνδεδεμένου αντικειμένου, εφαρμογής για κινητά, smartphone για γεωεντοπισμό, τεχνικών στοχευμένης διαφήμισης

• και αφορά το σύνολο των τεχνολογικών εργαλείων και υποδομών: φορητές ή απομακρυσμένες συσκευές, εργαλεία απομακρυσμένης διαχείρισης, ασύρματες διασυνδέσεις –Bluetooth, Wi-Fi, υπέρυθρες, δίκτυα κινητής τηλεφωνίας (2G, 3G, 4G ή 5G)– ADSL / Fiber, ανταλλαγή άμεσων μηνυμάτων, μεταφορά αρχείων, περιήγηση στον Παγκόσμιο Ιστό.

Πρόκειται για πολύτιμο εργαλείο για όποιον θέλει να εμβαθύνει στους κινδύνους που συνεπάγεται η επεξεργασία προσωπικών δεδομένων στο σύγχρονο ψηφιακό περιβάλλον και να προστατεύσει τα δεδομένα αυτά ήδη από τον σχεδιασμό. Αφορά όχι μόνο όποιον επεξεργάζεται δεδομένα ή παρέχει συμβουλευτικές υπηρεσίες στον χώρο αυτόν, αλλά και τους εμπλεκόμενους στη δικαιοδοτική λειτουργία, καθώς και τους θεωρητικούς του χώρου. Η προστιθέμενη δε αξία του έργου αναδεικνύεται ιδιαίτερα σε μια εποχή που η παραβατικότητα σε βάρος των προσωπικών δεδομένων, με όχημα την αλματωδώς εξελισσόμενη τεχνολογία, αυξάνει διαρκώς και απασχολεί ολοένα και περισσότερο έντονα τον ερμηνευτή και εφαρμοστή των σχετικών προστατευτικών διατάξεων.

Πρόλογος Σελ. IX
Πρόλογος συγγραφέων Σελ. XIII
Συντομογραφίες Σελ. XXIII
Κεφάλαιο Α Νομικές υποχρεώσεις
Βασικές γνώσεις για τα προσωπικά δεδομένα Σελ. 3
Είδη προσωπικών δεδομένων Σελ. 5
Είδη υποστηρικτικών στοιχείων των προσωπικών δεδομένων Σελ. 6
Είδη πηγών κινδύνου Σελ. 7
Είδη αποτελεσμάτων των απευκταίων γεγονότων Σελ. 7
Κλίμακα και μεθοδολογία για την εκτίμηση της σοβαρότητας Σελ. 9
Κλίμακα και μεθοδολογία για την εκτίμηση της πιθανότητας Σελ. 13
Είδη στόχων για την αντιμετώπιση των κινδύνων Σελ. 15
Απειλές για τα υποστηρικτικά στοιχεία Σελ. 16
Απειλές που μπορούν να οδηγήσουν σε αθέμιτη πρόσβαση σε προσωπικά δεδομένα Σελ. 16
Απειλές που μπορούν να οδηγήσουν σε ανεπιθύμητη τροποποίηση προσωπικών δεδομένων Σελ. 21
Απειλές που μπορούν να οδηγήσουν σε μη διαθεσιμότητα προσωπικών δεδομένων Σελ. 23
Κλίμακες για το σχέδιο δράσης Σελ. 29
Σκοποί: καθορισμένοι, ρητοί και νόμιμοι Σελ. 30
Γενικά μέτρα Σελ. 30
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 32
Νομική βάση: νομιμότητα της επεξεργασίας, απαγόρευση της κατάχρησης του σκοπού Σελ. 40
Γενικά μέτρα Σελ. 40
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 46
Λήψη συγκατάθεσης Σελ. 49
Γενικά μέτρα Σελ. 49
Ειδικά μέτρα για τα προσωπικά δεδομένα ειδικών κατηγοριών Σελ. 56
Ειδικά μέτρα για τη συλλογή προσωπικών δεδομένων μέσω ιστοτόπου Σελ. 57
Ειδικά μέτρα για τη συλλογή προσωπικών δεδομένων μέσω cookies Σελ. 57
Ειδικά μέτρα για τη συλλογή προσωπικών δεδομένων μέσω συνδεδεμένου αντικειμένου ή εφαρμογής για κινητά Σελ. 58
Ειδικά μέτρα για τον γεωεντοπισμό μέσω smartphone Σελ. 59
Ειδικά μέτρα για τη χρήση τεχνικών στοχευμένης διαφήμισης Σελ. 59
Ειδικά μέτρα για την επιστημονική έρευνα με τη χρήση ναγνωρίσιμων βιολογικών δειγμάτων (δηλ. DNA) Σελ. 60
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 60
Γενικές αρχές επεξεργασίας προσωπικών δεδομένων Σελ. 63
Γενικά μέτρα Σελ. 63
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 65
Ελαχιστοποίηση δεδομένων: κατάλληλα, συναφή και περιορισμένα στο αναγκαίο Σελ. 68
Ελαχιστοποίηση της συλλογής δεδομένων Σελ. 68
Ελαχιστοποίηση των ίδιων των δεδομένων Σελ. 70
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 72
Ποιότητα δεδομένων: ακριβή και επικαιροποιημένα Σελ. 73
Γενικά μέτρα Σελ. 73
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 73
Περίοδος αποθήκευσης: περιορισμένη Σελ. 76
Γενικά μέτρα Σελ. 76
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 77
Δικαίωμα ενημέρωσης: πληροφορίες για το υποκείμενο των δεδομένων Σελ. 79
Γενικά μέτρα Σελ. 79
Ειδικά μέτρα για τους υπαλλήλους ενός οργανισμού Σελ. 84
Ειδικά μέτρα για τη συλλογή προσωπικών δεδομένων μέσω ιστοτόπου Σελ. 84
Ειδικά μέτρα για τη συλλογή προσωπικών δεδομένων μέσω συνδεδεμένου αντικειμένου ή εφαρμογής για κινητά Σελ. 84
Ειδικά μέτρα για τη συλλογή προσωπικών δεδομένων μέσω τηλεφώνου Σελ. 85
Ειδικά μέτρα για τη συλλογή προσωπικών δεδομένων μέσω εντύπου Σελ. 85
Ειδικά μέτρα για τη χρήση τεχνικών στοχευμένης διαφήμισης Σελ. 85
Ειδικά μέτρα στην περίπτωση που αλλάξει η υφιστάμενη επεξεργασία Σελ. 86
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 86
Άσκηση δικαιώματος πρόσβασης και δικαιώματος φορητότητας δεδομένων Σελ. 92
Γενικά μέτρα Σελ. 92
Ειδικά μέτρα για την πρόσβαση σε ιατρικούς φακέλους Σελ. 95
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 96
Άσκηση δικαιώματος διόρθωσης και δικαιώματος διαγραφής Σελ. 103
Γενικά μέτρα Σελ. 103
Ειδικά μέτρα για τη στοχευμένη διαφήμιση στο διαδίκτυο Σελ. 106
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 107
Άσκηση δικαιώματος περιορισμού της επεξεργασίας και δικαιώματος εναντίωσης Σελ. 113
Γενικά μέτρα Σελ. 113
Ειδικά μέτρα για την επεξεργασία μέσω τηλεφώνου Σελ. 116
Ειδικά μέτρα για την επεξεργασία μέσω ηλεκτρονικής φόρμας Σελ. 116
Ειδικά μέτρα για την επεξεργασία μέσω ηλεκτρονικού ταχυδρομείου Σελ. 117
Ειδικά μέτρα για την επεξεργασία μέσω συνδεδεμένου αντικειμένου ή εφαρμογής για κινητά Σελ. 117
Ειδικά μέτρα για έρευνα με τη χρήση αναγνωρίσιμων βιολογικών δειγμάτων (δηλ. DNA) Σελ. 118
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 118
Απαγόρευση της αυτοματοποιημένης ατομικής λήψης αποφάσεων Σελ. 119
Γενικά μέτρα Σελ. 119
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 125
Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού Σελ. 128
Γενικά μέτρα Σελ. 128
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 130
Μητρώα δραστηριοτήτων επεξεργασίας Σελ. 132
Γενικά μέτρα Σελ. 132
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 133
Προηγούμενη διαβούλευση Σελ. 135
Γενικά μέτρα Σελ. 135
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 137
Οργάνωση Σελ. 138
Γενικά μέτρα Σελ. 138
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 139
Εποπτεία Σελ. 141
Γενικά μέτρα Σελ. 141
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 142
Σχέσεις με τρίτους Σελ. 143
Γενικά μέτρα Σελ. 143
Ειδικά μέτρα για το προσωπικό τρίτων παρόχων υπηρεσιών που εργάζεται στις εγκαταστάσεις του οργανισμού Σελ. 145
Ειδικά μέτρα για τρίτους αποδέκτες Σελ. 145
Ειδικά μέτρα για εξουσιοδοτημένους τρίτους Σελ. 146
Εκτελούντες την επεξεργασία: προσδιορισμένοι και δεσμευόμενοι από σύμβαση Σελ. 147
Γενικά μέτρα Σελ. 147
Ειδικά μέτρα για τους εκτελούντες την επεξεργασία Σελ. 147
Ειδικά μέτρα για παρόχους υπηρεσιών νεφοϋπολογιστικής (cloud computing) Σελ. 149
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 149
Καταχωρίσεις (για τις αρμόδιες αρχές επιβολής του νόμου) Σελ. 150
Διαβιβάσεις: συμμόρφωση με τις ρυθμίσεις για τη διαβίβαση  προσωπικών δεδομένων εκτός της Ευρωπαϊκής Ένωσης Σελ. 154
Γενικά μέτρα Σελ. 154
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 162
Πολιτική διαχείρισης της αυτορρύθμισης  Σελ. 178
Γενικά μέτρα Σελ. 178
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 179
Διαχείριση περιστατικών και παραβιάσεων δεδομένων Σελ. 180
Γενικά μέτρα Σελ. 180
Ειδικά μέτρα από τις αρμόδιες αρχές επιβολής του νόμου Σελ. 185
Κεφάλαιο Β Κίνδυνοι και αντιμετώπισή τους
Διαχείριση κινδύνων Σελ. 193
Διατήρηση ασφαλούς απόστασης από τις πηγές κινδύνου Σελ. 197
Προστασία από μη ανθρωπογενείς πηγές κινδύνου Σελ. 199
Έλεγχος φυσικής πρόσβασης Σελ. 201
Έλεγχος λογικής πρόσβασης Σελ. 204
Διαχείριση προνομίων χρηστών για πρόσβαση σε προσωπικά δεδομένα Σελ. 204
Έλεγχος ταυτότητας των ατόμων που επιθυμούν να έχουν πρόσβαση σε προσωπικά δεδομένα Σελ. 205
Ειδικά μέτρα για τον έλεγχο της γνησιότητας ηλεκτρονικών πιστοποιητικών Σελ. 207
Διαχείριση των διαπιστευτηρίων Σελ. 208
Κατανομή δεδομένων (σε σχέση με το υπόλοιπο πληροφοριακό σύστημα) Σελ. 211
Ανωνυμοποίηση Σελ. 212
Κρυπτογράφηση Σελ. 213
Γενικά μέτρα Σελ. 213
Ειδικά μέτρα για τη συμμετρική κρυπτογραφία Σελ. 214
Ειδικά μέτρα για την ασύμμετρη κρυπτογραφία (κρυπτογραφία δημόσιου κλειδιού) Σελ. 215
Ειδικά μέτρα για την κρυπτογράφηση εξοπλισμού Σελ. 216
Ειδικά μέτρα για την κρυπτογράφηση των βάσεων δεδομένων Σελ. 216
Ειδικά μέτρα για την κρυπτογράφηση διαμερισμάτων σκληρού δίσκου ή περιεκτών σκληρού δίσκου Σελ. 217
Ειδικά μέτρα για την κρυπτογράφηση μεμονωμένων αρχείων Σελ. 217
Ειδικά μέτρα για την κρυπτογράφηση του ηλεκτρονικού ταχυδρομείου Σελ. 218
Ειδικά μέτρα για την κρυπτογράφηση ενός καναλιού επικοινωνίας Σελ. 218
Παρακολούθηση ακεραιότητας Σελ. 220
Γενικά μέτρα Σελ. 220
Ειδικά μέτρα για τη συνάρτηση κατακερματισμού (hashing) Σελ. 221
Ειδικά μέτρα για τον κωδικό αυθεντικοποίησης μηνύματος Σελ. 221
Ειδικά μέτρα για τη συνάρτηση ηλεκτρονικής υπογραφής Σελ. 222
Αντίγραφα ασφαλείας Σελ. 224
Αρχειοθέτηση Σελ. 227
Ιχνηλασιμότητα (καταγραφή) Σελ. 229
Επιτήρηση Σελ. 231
Γενικά μέτρα Σελ. 231
Ειδικά μέτρα για τους σταθμούς εργασίας πελάτη Σελ. 232
Ειδικά μέτρα για το τείχος προστασίας Σελ. 233
Ειδικά μέτρα για τον εξοπλισμό δικτύου Σελ. 233
Ειδικά μέτρα για τον διακομιστή Σελ. 234
Λειτουργική ασφάλεια Σελ. 235
Ασφάλεια καναλιών μετάδοσης πληροφοριών (δίκτυα) Σελ. 238
Γενικά μέτρα Σελ. 238
Ειδικά μέτρα για συνδέσεις με υλισμικό δικτύου Σελ. 241
Ειδικά μέτρα για εργαλεία απομακρυσμένης διαχείρισης Σελ. 241
Ειδικά μέτρα για φορητές ή απομακρυσμένες συσκευές Σελ. 242
Ειδικά μέτρα για ασύρματες διασυνδέσεις (Wi-Fi, Bluetooth, υπέρυθρες, 4G, 5G, κλπ.) Σελ. 243
Ειδικά μέτρα για το Wi-Fi Σελ. 244
Ειδικά μέτρα για το Bluetooth Σελ. 244
Ειδικά μέτρα για υπέρυθρες Σελ. 245
Ειδικά μέτρα για δίκτυα κινητής τηλεφωνίας (2G, 3G, 4G ή 5G, κλπ.) Σελ. 245
Ειδικά μέτρα για την περιήγηση στον Παγκόσμιο Ιστό Σελ. 245
Ειδικά μέτρα για τη μεταφορά αρχείων Σελ. 245
Ειδικά μέτρα για τηλεομοιοτυπικά μηχανήματα Σελ. 245
Ειδικά μέτρα για ADSL / Fiber Σελ. 246
Ειδικά μέτρα για το ηλεκτρονικό ταχυδρομείο Σελ. 246
Ειδικά μέτρα για την ανταλλαγή άμεσων μηνυμάτων Σελ. 247
Ασφάλεια υλισμικού Σελ. 248
Γενικά μέτρα Σελ. 248
Ειδικά μέτρα για τους σταθμούς εργασίας Σελ. 249
Ειδικά μέτρα για φορητές συσκευές Σελ. 250
Ειδικά μέτρα για αφαιρούμενες συσκευές αποθήκευσης Σελ. 251
Ειδικά μέτρα για πολυλειτουργικούς εκτυπωτές και φωτοαντιγραφικά Σελ. 252
Συντήρηση Σελ. 254
Γενικά μέτρα Σελ. 254
Ειδικά μέτρα για σταθμούς εργασίας (επιτραπέζιους υπολογιστές, φορητούς υπολογιστές, smartphones, ταμπλέτες) Σελ. 254
Ειδικά μέτρα για συσκευές αποθήκευσης Σελ. 256
Ειδικά μέτρα για πολυλειτουργικούς εκτυπωτές και φωτοαντιγραφικά Σελ. 256
Καταπολέμηση κακόβουλου λογισμικού Σελ. 258
Ασφάλεια των ιστοτόπων Σελ. 260
Ασφάλεια έγχαρτων εγγράφων Σελ. 262
Σήμανση εγγράφων που περιέχουν προσωπικά δεδομένα Σελ. 262
Ελαχιστοποίηση των τρωτών σημείων των έγχαρτων εγγράφων Σελ. 263
Ελαχιστοποίηση των ευπαθειών των καναλιών διακίνησης έγχαρτων εγγράφων Σελ. 264
Διαχείριση προσωπικού Σελ. 266
Διαχείριση σταθμών εργασίας Σελ. 268
Γενικά μέτρα Σελ. 268
Ειδικά μέτρα για φορητές συσκευές Σελ. 272
Ειδικά μέτρα για κινητά τηλέφωνα / smartphones Σελ. 273
Διαχείριση έργων Σελ. 275
Γενικά μέτρα Σελ. 275
Ειδικά μέτρα για απόκτηση λογισμικού (αγορά, ανάπτυξη, κλπ.) Σελ. 275
Πίνακας αντιστοίχισης Σελ. 279
Λημματικό ευρετήριο Σελ. 293

Σελ. 1

Κεφάλαιο Α
Νομικές υποχρεώσεις

Σελ. 2

Σελ. 3

1 Βασικές γνώσεις για τα προσωπικά δεδομένα

 

Σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ, κανονισμός (ΕΕ) 2016/679):

Με τον όρο «προσωπικά δεδομένα» ή «δεδομένα προσωπικού χαρακτήρα» νοείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως σε όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου (άρ. 4 στοιχείο 1 του ΓΚΠΔ ή άρ. 44 παρ. 1 στοιχείο α του ν. 4624/2019). Ο ΓΚΠΔ δεν εφαρμόζεται στα προσωπικά δεδομένα θανόντων (αιτιολογική σκέψη 27 του ΓΚΠΔ).

Με τον όρο «επεξεργασία» νοείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε προσωπικά δεδομένα ή σε σύνολα προσωπικών δεδομένων, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή (άρ. 4 στοιχείο 2 του ΓΚΠΔ ή άρ. 44 παρ. 1 στοιχείο β του ν. 4624/2019).

Με τον όρο «σύστημα αρχειοθέτησης» νοείται κάθε διαρθρωμένο σύνολο προσωπικών δεδομένων τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση (άρ. 4 στοιχείο 6 του ΓΚΠΔ ή άρ. 44 παρ. 1 στοιχείο στ του ν. 4624/2019).

Με τον όρο «υπεύθυνος επεξεργασίας» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας προσωπικών δεδομένων (άρ. 4 στοιχείο 7 του ΓΚΠΔ ή άρ. 44 παρ. 1 στοιχείο ζ του ν. 4624/2019). Επισημαίνεται ότι όσον αφορά το πεδίο εφαρμογής του τετάρτου κεφαλαίου του ν. 4624/2019, με τον οποίο ενσωματώθηκε στην εθνική νομοθεσία η οδηγία (ΕΕ) 2016/680, υπεύθυνος επεξεργασίας μπορεί να είναι μόνο δημόσια αρχή (ανατρέξτε στην ενότητα Σκοποί: καθορισμένοι, ρητοί και νόμιμοι).

Σελ. 4

Με τον όρο «εκτελών την επεξεργασία» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή άλλος φορέας που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας (άρ. 4 στοιχείο 8 του ΓΚΠΔ ή άρ. 44 παρ. 1 στοιχείο η του ν. 4624/2019).

Με τον όρο «αποδέκτης» νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, προς τα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας (particular inquiry) σύμφωνα με το δίκαιο της Ευρωπαϊκής Ένωσης ή άλλο δίκαιο δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των προσωπικών δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας (άρ. 4 στοιχείο 9 του ΓΚΠΔ ή άρ. 44 παρ. 1 στοιχείο θ του ν. 4624/2019).

Με τον όρο «παραβίαση δεδομένων προσωπικού χαρακτήρα» νοείται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση προσωπικών δεδομένων που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία (άρ. 4 στοιχείο 12 του ΓΚΠΔ ή άρ. 44 παρ. 1 στοιχείο ι του ν. 4624/2019).

Επισημαίνεται ότι, με την εξαίρεση του ορισμού του «υπεύθυνου επεξεργασίας», οι ορισμοί αυτοί είναι κοινοί μεταξύ του ΓΚΠΔ και του τετάρτου κεφαλαίου του ν. 4624/2019.

Επίσημα κείμενα

Δείτε τον «κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)», σε https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=CELEX%3A02016R0679-20160504&qid=1624284087057

Δείτε την «οδηγία (EE) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου», σε https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=CELEX%3A02016L0680-20160504

Σελ. 5

Δείτε τον ν. 4624/2019, για την «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις», σε https://www.ministryofjustice.gr/wp-content/uploads/2019/09/N.-4624_2019.pdf

Δείτε την αιτιολογική έκθεση του ν. 4624/2019, σε https://www.ministryofjustice.gr/wp-content/uploads/2019/09/N.-4624_2019-ΑΙΤΙΟΛΟΓΙΚΗ-ΕΚΘΕΣΗ.pdf

1.1 Είδη προσωπικών δεδομένων

Σε γενικές γραμμές, τα προσωπικά δεδομένα διακρίνονται στα εξής είδη:

Είδη προσωπικών δεδομένων

Παραδείγματα προσωπικών δεδομένων

Προσωπικάδεδομένα

Ληξιαρχικά στοιχεία, στοιχεία ταυτότητας, δεδομένα ταυτοποίησης

Προσωπική ζωή (συνήθειες διαβίωσης, οικογενειακή κατάσταση, κλπ.)

Επαγγευση και επαγγελματική κατάρτιση, επιβραβεύσεις, κλπ.)

Οικονομικές και χρηματοοικονομικές πληροφορίες (εισόδημα, οικονομική κατάσταση, φορολογική κατάσταση, κλπ.)

Δεδομένα σύνδεσης στο διαδίκτυο (διευθύνσεις IPας, κλπ.)

Δεδομένα τοποθεσίας (μετακινήσεις, δα GPS, δεδομένα GSM, κλπ.)

Προσωπικά δεδομένα

Προσωπικά δεδομένα που εκλαμβάνονται ως ευαίσθητα

Αριθμός Μητρώου Κοινωνικής Ασφάλισης (ΑΜΚΑ)

Βιομετρικά δεδομένα

Δεδομένα τραπεζικής φύσεως

Προσωπικά δεδομένα

Προσωπικά δεδομένα ειδικών κατηγοριών (άρ. 9 του ΓΚΠΔ)

Φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν στην υγεία ή δεδομένα που αφορούν στη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό

Προσωπικά δεδομένα

Προσωπικά δεδομένα που αφορούν σε ποινικές καταδίκες και αδικήματα (άρ. 10 του ΓΚΠΔ)

Ποινικές καταδίκες, αδικήματα, μέτρα ασφάλειας

Σελ. 6

 

1.2 Είδη υποστηρικτικών στοιχείων των προσωπικών δεδομένων

Τα υποστηρικτικά στοιχεία των προσωπικών δεδομένων είναι τα συστατικά του συστήματος επεξεργασίας πληροφοριών, τα οποία αποτελούν υποδομή για την επεξεργασία των προσωπικών δεδομένων:

Είδη υποστηρικτικών στοιχείων προσωπικών δεδομένων

Παραδείγματα

Πληροφοριακά συστήματα

Εξοπλισμός υλισμικού και ηλεκτρονικών μέσων

Υπολογιστές, υποδομές αναμετάδοσης επικοινωνίας, μονάδες USB, σκληροί δίσκοι

Λογισμικό

Λειτουργικά συστήματα, μηνύματα, βάσεις δεδομένων, επιχειρηματικές εφαρμογές

Κανάλια μετάδοσης πληροφοριών

Καλώδια δικτύωσης, Wi-Fi, οπτικές ίνες

Φορείς

Άνθρωποι

Χρήστες, διαχειριστές πληροφορικής, υπεύθυνοι χάραξης πολιτικής

Έγχαρτα έγγραφα

Εκτυπώσεις, φωτοαντίγραφα, χειρόγραφα

Κανάλια διακίνησης έγχαρτων εγγράφων

Ταχυδρομική αλληλογραφία, διαδικασίες επιβεβαίωσης περιεχομένου

 

Καλές πρακτικές

Να προσαρμόζετε το επίπεδο λεπτομέρειας με το οποίο εξετάζετε τα υποστηρικτικά στοιχεία των προσωπικών δεδομένων, ανάλογα με τις περιστάσεις.

Σημειώσεις

Οι λύσεις ασφάλειας (προϊόντα, διαδικασίες, μέτρα, κλπ.) δεν αποτελούν υποστηρικτικά στοιχεία των δεδομένων: πρόκειται για μέτρα που αποσκοπούν στην αντιμετώπιση των κινδύνων.

Σελ. 7

1.3 Είδη πηγών κινδύνου

Ο παρακάτω πίνακας παρουσιάζει παραδείγματα πηγών κινδύνου:

Είδη πηγών κινδύνου

Παραδείγματα

Εσωτερικές ανθρωπογενείς πηγές

Εργαζόμενοι, διαχειριστές πληροφορικής, εκπαιδευόμενοι, διευθυντές

Εξωτερικές ανθρωπογενείς πηγές

Αποδέκτες προσωπικών δεδομένων, πάροχοι υπηρεσιών, κακόβουλοι χρήστες, χάκερς (hackers), επισκέπτες, πρώην υπάλληλοι, ακτιβιστές, ανταγωνιστές, πελάτες, υπάλληλοι συντήρησης, υπεύθυνοι συντήρησης, εξουσιοδοτημένοι εκ του νόμου τρίτοι (π.χ. οι δημόσιες και δικαστικές αρχές μπορούν να ζητήσουν τη γνωστοποίηση ορισμένων δεδομένων, όταν ο νόμος τους εξουσιοδοτεί ρητά να το πράξουν), εγκληματίες, συνδικαλιστικές οργανώσεις, δημοσιογράφοι, μη κυβερνητικές οργανώσεις, εγκληματικές οργανώσεις, οργανώσεις υπό τον έλεγχο ενός ξένου κράτους, τρομοκρατικές οργανώσεις, βιομηχανικές δραστηριότητες στο κοντινό περιβάλλον

Μη ανθρωπογενείς πηγές

Κακόβουλος κώδικας άγνωστης προέλευσης (ιοί, σκουλήκια (worms), κλπ.), νερό (αγωγοί, υδατορεύματα, κλπ.), εύφλεκτα, διαβρωτικά ή εκριδημίες, ζώα

 

1.4 Είδη αποτελεσμάτων των απευκταίων γεγονότων

Με τον όρο «απευκταίο γεγονός» νοείται η πιθανή παραβίαση των προσωπικών δεδομένων που ενδέχεται να έχει διάφορες επιπτώσεις στην ιδιωτικότητα των υποκειμένων των δεδομένων.

Τα απευκταία γεγονότα, αν συμβούν, μπορεί να έχουν διάφορες συνέπειες:

Σελ. 8

Απευκταία γεγονότα

Είδη αποτελεσμάτων

Περιγραφή

Αθέμιτη πρόσβαση σε προσωπικά δεδομένα

Επουσιώδες

Τα δεδομένα τα βλέπουν άνθρωποι που δεν χρειάζεται να τα γνωρίζουν, αν και αυτοί δεν κάνουν χρήση τους

Αποθήκευση

Τα δεδομένα αντιγράφονται και αποθηκεύονται σε άλλη τοποθεσία, χωρίς περαιτέρω χρήση

Διάδοση

Τα δεδομένα διαδίδονται περισσότερο από ό,τικτυο, απώλεια ελέγχου επί των πληροφοριών που δημοσιεύονται σε ένα κοινωνικό δίκτυο)

Χρήση

Τα δεδομένα χρησιμοποιούνται για σκοπούς διαφορετικούς από εκείνους που αρχικά προβλέπονταν ή με αθέμιτο τρόπο (π.χ. εμπορικοί σκοποί, υποκλοπή ταυτότητας, χρήση των προσωπικών δεδομένων κατά των υποοπισμού σε πραγματικό χρόνο)

Ανεπιθύμητη τροποποίηση προσωπικών δεδομένων

Δυσλειτουργία

Τα δεδομένα μετατρέπονται σε άλλα έγκυρα ή μη έγκυρα δεδομένα, τα οποία δεν θα χρησιμοποιηθούν σωστά, η επναμενόμενη υπηρεσία (π.χ. με το να εμποδίσει την κατάλληλη εξέλιξη σημαντικών βημάτων)

Χρήση

Τα δεδομένα μετατρέπονται σε άλλα έγκυρα δεδομένα, με τρόπο ώστε να γίνεται ή να δύναται να γίνει κατάχρηση της επεξεργασίας (π.χ. χρήση για την υποκλοπή ταυτότητας με τη συσχέτιση κάποιου ατόμου με τα βιομετρικά δεδομένα άλλου)

Μη διαθεσιμότητα προσωπικών δεδομένων

Δυσλειτουργία

Λείπουν δεδομένα για την επεξεργασία προσωπικών δεδομένων, γεγονός που προκαλεί σφάλματα, δυσλειτουργίες ή παρέχει διαφορετική υπηρεσία από αυτήν που αναμένεται (π.χ. ορισμένες αλλεργίες δεν αναφέρονται πλέον σε ιατρικό μητρώο, ορισμένες πληροφορίες που περιέχονται στις φορολογικές δηλώσεις έχουν εξαφανιστεί, εμποδίζοντας τον υπολογισμό του ποσού του φόρου)

Αποκλεισμός

Λείπουν δεδομένα για την επεξεργασία προσωπικών δεδομένων, η οποία δεν μπορεί πλέον να παρέχει την αναμενόμενη υπηρεσία (π.χ. επιβράδυνση ή αποκλεισμός διοικητικών ή εμπορικών διαδικασιών, αδυναμία παροχής περίθαλψης λόγω απώλειας ιατρικών φακέλων, αδυναμία υποκειμένων των δεδομένων να ασκήσουν τα δικαιώματά τους)

 

Σελ. 9

1.5 Κλίμακα και μεθοδολογία για την εκτίμηση της σοβαρότητας

Με το όρο «σοβαρότητα» νοείται το μέγεθος ενός κινδύνου. Η σοβαρότητα του κινδύνου εκτιμάται κυρίως σε σχέση με την έκταση των πιθανών επιπτώσεων (άμεσων και έμμεσων) στα υποκείμενα των δεδομένων, λαμβάνοντας υπόψη τα υφιστάμενα, προγραμματισμένα ή συμπληρωματικά μέτρα (τα οποία πρέπει να αναφέρονται ως αιτιολόγηση της σχετικής αξιολόγησης).

Η ακόλουθη κλίμακα μπορεί να χρησιμοποιηθεί για την εκτίμηση της σοβαρότητας του κινδύνου:

1. Αμελητέα .

2. Περιορισμένη .

3. Σημαντική .

4. Μέγιστη .

(Σημαντικό: τα παρακάτω είναι μόνο παραδείγματα, τα οποία μπορεί να δια­φέρουν κατά πολύ από τις εκάστοτε περιστάσεις)

Τα ακόλουθα παραδείγματα σωματικών επιπτώσεων αφορούν επιδράσεις στη σωματική ακεραιότητα (σωματικές βλάβες, παραμόρφωση του σώματος, κλπ.) καθώς και την οικονομική ή ηθική βλάβη που σχετίζεται με τη σωματική ακεραιότητα.

Τα ακόλουθα παραδείγματα υλικών επιπτώσεων αφορούν επιδράσεις στην οικο­νομική κατάσταση και περιουσιακή κατάσταση του υποκειμένου των δεδομένων (οικονομική ζημία, απώλεια εισοδήματος, κλπ.) καθώς και την ηθική βλάβη που σχετίζεται με επιδράσεις στην οικονομική κατάσταση και περιουσιακή κατάσταση.

Τα ακόλουθα παραδείγματα ηθικών επιπτώσεων αφορούν επιδράσεις στην ψυχολογική κατάσταση, στη συναισθηματική κατάσταση και στην ψυχική κατάσταση του υποκειμένου των δεδομένων (ηθική βλάβη, συναισθηματική ταλαιπωρία, κλπ.).

Σελ. 10

Επίπεδο σοβαρότητας κινδύνου

1. Αμελητέα

Γενική περιγραφή των επιπτώσεων

Τα υποκείμενα των δεδομένων είτε δεν θα επηρεαστούν είτε ενδέχεται
να αντ ιμετωπίσουν κάποια προβλήματα, τα οποία θα ξεπεράσουν χωρίς
καμία δυσχέρεια

Παραδείγματα σωματικών επιπτώσεων

- Έλλειψη επαρκούς φροντίδας για προστατευόμενο μέλος (ανήλικος,
πρόσωπο υπό επιμέλεια)
- Παροδικοί πονοκέφαλοι

Παραδείγματα υλικών επιπτώσεων

- Απώλεια χρόνου από την επανάληψη κάποιας διαδικασίας ή από την
αναμονή για την ολοκλήρωσή της
- Παραλαβή ανεπιθ ύμητων μηνυμάτων (π.χ. spam)
- Επαναχρησιμοποίηση δεδομένων, που δημοσιεύονται σε ιστοτόπους,
με σκοπό τη στοχευμένη διαφήμιση (πληροφορίες στα κοινωνικά
δίκτυα, επαναχρησιμοποίηση για ταχυδρομική αποστολή)
- Στοχευμένη διαφήμιση για κοινά καταναλωτικά προϊόντα

Παραδείγματα ηθικών επιπτώσεων

- Απλή ενόχληση που προκαλείται από πληροφορίες π ου ελήφθησαν ή
ζητήθηκαν
- Φόβος του ατόμου ότι δεν θα έχει τον έλεγχο των δεδομένων του
- Αίσθημα εισ βολής στην ιδιωτική ζωή χωρίς πραγματική ή
αντικειμενική βλάβη (π.χ. επιθετικές εμπορικές πρακτικές)
- Απώλεια χρόνου για επανεισαγωγή των προσωπικών δεδομένων
- Περιορισμός ελευθερίας της πλοήγησης στο διαδίκτυο λόγω άρνησης
πρόσ βασης σε εμπορικό ιστότοπο (π.χ. ιστότοπο για αλκοόλ λόγω
καταχώρισης λανθασμένης ηλικίας)

Επίπεδο σοβαρότητας κινδύνου

2. Περιορισμένη

Γενική περιγραφή των επιπτώσεων

Τα υποκείμενα των δεδομένων ενδέχεται να αντιμετωπίσουν
σημαντικά προβλήματα, τα οποία θα μπορέσουν να ξεπεράσουν, παρότι
θα υπάρξουν κάποιες δυσχέρειες

Παραδείγματα σωματικών επιπτώσεων

- Μικρές σωματικές παθήσεις (π.χ. ασήμαντη ασθένεια λόγω μη λήψης
υπόψη των αντενδείξεων)
- Έλλειψη περίθαλψης που οδηγεί σε δευτερεύουσα αλλά πραγματική
βλάβη (π.χ. σωματικό μειονέκτημα)
- Δυσφήμηση με επακόλουθο κάποια σωματικά ή ψυχολογικά αντίποινα

Παραδείγματα υλικών επιπτώσεων

- Αναπάντεχες οικονομικές υποχρεώσεις (π.χ. πρόστιμα που έχουν
επιβληθεί εσφαλμένα), πρόσθετα έξοδα (π.χ. τραπεζικά έξοδα, νομικά
έξοδα), αδυναμίες πληρωμής
- Άρνηση πρόσβασης σε δημόσιες υπηρεσίες ή επαγγελματικές
υπηρεσίες
- Απώλεια κάποιων ανέσεων (π.χ. ακύρωση ταξιδιού αναψυχής, αγορών,
διακοπών, κλείσιμο ενός λογαριασμού στο διαδίκτυο)
- Απώλεια ευκαιρίας για επαγγελματική προαγωγή
- Αποκλεισ μό ς από τον λογαριασμό ηλεκτρονικής υπη ρεσίας (π.χ. σε
online παιχνίδι, σε δημόσια υπηρεσία)
- Παραλαβή ανεπιθύμητης στοχευμένης αλληλογραφίας που ενδέχεται
να βλάψει τη φήμη του υποκειμένου των δεδομένων
- Αυξημένο κόστος (π.χ. αύξηση ασφαλίστρων)
- Μη επικαιροποιημένα δεδομένα (π.χ. μη παράθεση κάποιας
προηγούμενης θέσης εργασίας)
- Εσφαλμένα δεδομένα που προκαλούν λογιστικά σφάλματα
(συναλλαγές με τράπεζα, πελάτες, οργανισμούς κοινωνικής ασφάλισης,
κλπ.)
- Στοχευμένη επιγραμμική διαφήμιση για μια πτυχή της ιδιωτικής ζωή ς
που το άτομο επιθυμούσε να διατηρήσει εμπιστευτική (π.χ. διαφήμιση
προϊόντων εγκυμοσύνης, θεραπεία με φάρμακα)
- Κατάρτιση προφίλ ανακριβούς ή μη κατάλληλου

Παραδείγματα ηθικών επιπτώσεων

- Αποκλεισμός από τη χρήση πληροφοριακών συστημάτων
(whistleblowing, κοινωνικά δίκτυα)
- Μικρές αλλά αντικειμενικά υπαρκτές αρνητικές ψυχολογικές
συνέπειες (δυσφήμηση, απώλεια φήμης )
- Προβλήματα στις σχέσεις εντός του προσωπικού ή επαγγελματικού
περιβάλλοντος (π. χ. αρνητική εικόνα προς τα έξω, αμαύρωση φήμης,
απώλεια τιμητικής διάκρισης)
- Αίσθημα εισβολής στην ιδιωτική ζωή χωρίς ανεπανόρθω τη ζημία
- Εκφοβισμός σε κοινωνικά δίκτυα

Επίπεδο σοβαρότητας κινδύνου

3. Σημαντική

Γενική περιγραφή των επιπτώσεων

Τα υποκείμενα των δεδομένων ενδέχεται να αντιμετωπίσουν σημαντικές συνέπειες, τις οποίες αναμένεται να μπορέσουν να ξεπεράσουν, αν και με πραγματικές και σοβαρές δυσκολίες

Παραδείγματα σωματικών επιπτώσεων

- Σοβαρές σωματικές παθήσεις που προκαλούν μακροπρόθεσμη βλάβη (π.χ. επιδείνωση της υγείας λόγω ακατάλληλης περίθαλψης ή αδιαφορίας για τις αντενδείξεις)- Μεταβολή της σωματικής ακεραιότητας (π.χ. ως αποτέλεσμα επίθεσης, ατυχήματος στο σπίτι, εργατικού ατυχήματος)

Παραδείγματα υλικών επιπτώσεων

- Παράνομη ιδιο ποίηση χρημάτων χωρίς αποζημίωση
- Παρατεταμένη οικονομική δυσχέρεια (π.χ. λήψη δανείου λόγω
ανάγκης)
- Ανεπιστρεπτί απώλεια μοναδική ς και προσωποπαγούς ευκαιρίας
(π.χ. μη χορήγηση στεγαστικού δαν είου, αποκλεισμός από σπουδές,
πρακτική εξάσκηση ή απασχόληση, αποκλεισμός από συμμετοχή σε
εξετάσεις)
- Καταχώριση στο σύστημα της ΤΕΙΡΕΣΙΑΣ Α.Ε. (βλ. http://www.tiresias.
gr/)
- Ζημία επί ιδιοκτησίας
- Απώλεια στέγασης ή επαγγελματικής στέγης
- Απώλεια εργασίας
- Διάσταση ή διαζύγιο
- Οικονομική ζημία ως αποτέλεσμα απάτης (π.χ. μετά από επίθεση
ηλεκτρονικού «ψαρέματος» (phishing))
- Αποκλεισμός στο εξωτερικό
- Απώλεια δεδομένων πελατών

Παραδείγματα ηθικών επιπτώσεων

- Σοβαρές ψυχολογικές παθήσεις (π.χ. κατάθλιψη, ανάπτυξη φοβίας)
- Αίσθημα εισβολής στην ιδιωτική ζωή με μη αναστρέψιμη ζ ημία
- Αίσθημα τρωτότητας μετά από κλήτευση στο δικαστήριο
- Αίσθημα παραβίασης των θεμελιωδών δικαιωμάτων (π.χ. διακρίσεις,
ελευθερία έκφρασης)
- Θύμα εκβιασμού
- Κυβερνο-εκφοβισμός και ηθική παρενόχληση

Επίπεδο σοβαρότητας κινδύνου

4. Μέγιστη

Γενική περιγραφή των επιπτώσεων

Τα υποκείμενα των δεδομένων ενδέχεται να αντιμετωπίσουν σημαντικές ή ακόμη και μη αναστρέψιμες συνέπειες, τις οποίες ενδεχομένως να μην ξεπεράσουν

Παραδείγματα σωματικών επιπτώσεων

- Μακροπρόθεσμες ή μόνιμες σωματικές παθήσεις (π.χ. λόγω
αδιαφορίας για αντενδείξεις)
- Θάνατος (π .χ. δολοφονία, αυτοκτονία, θανατηφόρο ατύχημα)
- Μόνιμη απώλεια της σωματικής ακεραιότητας

Παραδείγματα υλικών επιπτώσεων

- Οικονομικός κίνδυνος
- Σημαντικά χρέη
- Αδυναμία εργασίας
- Αδυναμία μετεγκατάστασης
- Απώλεια αποδεικτικών στοιχείων στο πλαίσιο δικαστικών διαφορών
- Απώλεια πρόσβασης σε ζωτικής σημασίας υποδομές (νερό, ηλεκτρική
ενέργεια)

Παραδείγματα ηθικών επιπτώσεων

- Μακροπρόθεσμες ή μόνιμες ψυχολογικές παθήσεις
- Ποινική κύρωση
- Απαγωγή
- Απώλεια οικογενειακών δ εσμών
- Αδυναμία προσφυγής στη δικαιοσύνη
- Αλλαγή διοικητικού καθεστώτος ή απώλεια νομικής αυτονομίας
(επιτροπεία ή δικαστική συμπαράστ αση)

Σελ. 11

Σελ. 12

Σελ. 13

 

Για να προσδιοριστεί το επίπεδο σοβαρότητας του κινδύνου, μπορείτε να συγκρίνετε τις επιπτώσεις που έχουν εντοπιστεί εν προκειμένω με τα γενικά παραδείγματα επιπτώσεων που περιλαμβάνονται στην παραπάνω κλίμακα.

Το επίπεδο σοβαρότητας που προσδιορίζεται κατ’ αυτόν τον τρόπο μπορεί να αυξη­θεί ή να μειωθεί λαμβάνοντας επιπλέον υπόψη:

τον βαθμό κατά τον οποίο τα προσωπικά δεδομένα οδηγούν σε ταυτοποίηση·

τη φύση των πηγών κινδύνου·

τον αριθμό διασυνδέσεων (ιδίως με ξένους δικτυακούς τόπους)·

τον αριθμό των αποδεκτών (ο οποίος διευκολύνει τη συσχέτιση μεταξύ αρχικά διαχωρισμένων προσωπικών δεδομένων).

1.6 Κλίμακα και μεθοδολογία για την εκτίμηση της πιθανότητας

Με το όρο «πιθανότητα» νοείται το κατά πόσο είναι ενδεχόμενη η επέλευση ενός κινδύνου. Η πιθανότητα του κινδύνου εκτιμάται κυρίως με βάση τον βαθμό ευπάθειας των σχετικών υποστηρικτικών στοιχείων και τον βαθμό ικανότητας των πηγών κινδύνου να εκμεταλλευτούν τις ευπάθειες αυτές, λαμβανομένων υπόψη των υφιστάμενων, προγραμματισμένων ή συμπληρωματικών μέτρων (που πρέπει να αναφέρονται ως αιτιολόγηση της σχετικής αξιολόγησης).

Σελ. 14

Η ακόλουθη κλίμακα μπορεί να χρησιμοποιηθεί για την εκτίμηση της πιθανότητας του κινδύνου:

1. Αμελητέα : φαίνεται απίθανο οι εξεταζόμενες πηγές κινδύνου να προκαλέσουν την επέλευση του κινδύνου εκμεταλλευόμενες τις ιδιότητες των υποστηρικτικών στοιχείων (π.χ. κλοπή έγχαρτων εγγράφων, αποθηκευμένων σε χώρο που προστατεύεται από συσκευή ανάγνωσης διακριτικών (badge reader) και κωδικό πρόσβασης).

2. Περιορισμένη : φαίνεται δύσκολο οι εξεταζόμενες πηγές κινδύνου να προκαλέσουν την επέλευση του κινδύνου εκμεταλλευόμενες τις ιδιότητες των υποστηρικτικών στοιχείων (π.χ. κλοπή έγχαρτων εγγράφων, αποθηκευμένων σε χώρο που προστατεύεται από συσκευή ανάγνωσης διακριτικών).

3. Σημαντική : φαίνεται πιθανό οι εξεταζόμενες πηγές κινδύνου να προκαλέσουν την επέλευση του κινδύνου εκμεταλλευόμενες τις ιδιότητες των υποστηρικτικών στοιχείων (π.χ. κλοπή έγχαρτων εγγράφων, αποθηκευμένων σε χώρο γραφείων, όπου ο μόνος έλεγχος πρόσβασης γίνεται κατά την είσοδο στο κτίριο του οργανισμού, από τους εργαζόμενους στην υποδοχή).

4. Μέγιστη : φαίνεται εξαιρετικά εύκολο οι εξεταζόμενες πηγές κινδύνου να προκαλέσουν την επέλευση του κινδύνου εκμεταλλευόμενες τις ιδιότητες των υποστηρικτικών στοιχείων (π.χ. κλοπή έγχαρτων εγγράφων, αποθηκευμένων σε χώρο υποδοχής του κοινού).

Για να προσδιοριστεί το επίπεδο πιθανότητας του κινδύνου, μπορείτε να εξετάσετε τις ευπάθειες των υποστηρικτικών στοιχείων, την ικανότητα των πηγών κινδύνου να τις εκμεταλλευτούν, τα υφιστάμενα, προγραμματισμένα ή συμπληρωματικά μέτρα, και να εκτιμήσετε το κατά πόσον είναι πιθανή η επέλευση του κινδύνου.

Το επίπεδο πιθανότητας που προσδιορίζεται κατ’ αυτόν τον τρόπο μπορεί να αυξηθεί ή να μειωθεί λαμβάνοντας επιπλέον υπόψη:

το αν υπάρχει ανοιχτή πρόσβαση στο διαδίκτυο ή μόνο πρόσβαση σε κλειστό σύστημα·

το αν γίνεται διαβίβαση προσωπικών δεδομένων σε ξένες χώρες ή όχι·

την ύπαρξη ή μη διασύνδεσης με άλλα συστήματα·

την ετερογένεια ή ομοιογένεια του συστήματος·

τη μεταβλητότητα ή σταθερότητα του συστήματος·

την προς τα έξω εικόνα του οργανισμού.

Σελ. 15

1.7 Είδη στόχων για την αντιμετώπιση των κινδύνων

Οι στόχοι για την αντιμετώπιση των κινδύνων μπορούν να τεθούν ανάλογα με το επίπεδο κινδύνου. Για παράδειγμα:

1. Κίνδυνοι με υψηλή σοβαρότητα και υψηλή πιθανότητα : αυτοί οι κίνδυνοι πρέπει οπωσδήποτε να αποφευχθούν ή να περιοριστούν με την εφαρμογή μέτρων ασφαλείας που μειώνουν τη σοβαρότητα και την πιθανότητά τους. Στην ιδανική περίπτωση, πρέπει επιπλέον να ληφθεί μέριμνα ώστε να διασφαλιστεί ότι οι κίνδυνοι αυτοί αντιμετωπίζονται με ανεξάρτητα μέτρα για την πρόληψη (ενέργειες που λαμβάνονται πριν από μια παραβίαση προσωπικών δεδομένων), προστασία (ενέργειες που λαμβάνονται κατά τη διάρκεια μιας παραβίασης προσωπικών δεδομένων) και διόρθωση (ενέργειες που λαμβάνονται μετά από την παραβίαση προσωπικών δεδομένων)·

2. Κίνδυνοι με υψηλή σοβαρότητα αλλά χαμηλή πιθανότητα : αυτοί οι κίνδυνοι πρέπει να αποφεύγονται ή να περιστέλλονται με την εφαρμογή μέτρων ασφαλείας που μειώνουν τη σοβαρότητα και την πιθανότητά τους. Πρέπει να δοθεί έμφαση στα προληπτικά μέτρα. Αυτοί οι κίνδυνοι μπορούν να γίνουν αποδεκτοί, αλλά μόνο εάν αποδειχθεί ότι δεν είναι δυνατόν να μειωθεί η σοβαρότητά τους και υπό την ταυτόχρονη προϋπόθεση ότι η πιθανότητά τους είναι αμελητέα·

3. Κίνδυνοι με χαμηλή σοβαρότητα αλλά υψηλή πιθανότητα : αυτοί οι κίνδυνοι πρέπει να περισταλούν με την εφαρμογή μέτρων ασφαλείας που μειώνουν την πιθανότητά τους. Πρέπει να δοθεί έμφαση στα μέτρα για τη διόρθωση. Αυτοί οι κίνδυνοι μπορούν να γίνουν αποδεκτοί, αλλά μόνο εάν αποδειχθεί ότι δεν είναι δυνατόν να μειωθεί η πιθανότητά τους και υπό την ταυτόχρονη προϋπόθεση ότι η σοβαρότητά τους είναι αμελητέα·

4. Κίνδυνοι με χαμηλή σοβαρότητα και χαμηλή πιθανότητα : σε λογικά πλαίσια, οι κίνδυνοι αυτοί μπορούν να γίνουν αποδεκτοί, ιδίως επειδή η διαχείριση των ­άλλων κινδύνων θα οδηγήσει πιθανότατα στην αντιμετώπιση και αυτών των κινδύνων.

Σημειώσεις

Υψηλή σοβαρότητα ή υψηλή πιθανότητα αποδίδεται στα επίπεδα «3. Σημαντική» και «4. Μέγιστη».

Χαμηλή σοβαρότητα ή χαμηλή πιθανότητα αποδίδεται στα επίπεδα «1. Αμελητέα» και «2. Περιορισμένη».

Οι κίνδυνοι μπορούν, σε γενικές γραμμές, με ορθή αντιμετώπιση, να μειωθούν, να περιορισθούν, να μετατεθούν ή να διατηρηθούν. Ωστόσο, ορισμένοι κίνδυνοι δεν μπορούν να γίνουν αποδεκτοί, ειδικά όταν η επεξεργασία αφορά προσωπικά δεδομένα ειδικών κατηγοριών ή όταν οι συνέπειες που ενδέχεται να υποστούν τα υποκείμενα των δεδομένων είναι πολύ σημαντικές. Σε τέτοιες περιπτώσεις

Σελ. 16

μπορεί να είναι απαραίτητο να αποφευχθούν οι κίνδυνοι, για παράδειγμα με το να μην προβείτε στην επεξεργασία ή σε μέρος αυτής.

1.8 Απειλές για τα υποστηρικτικά στοιχεία

Με τον όρο «απειλή» νοείται οποιαδήποτε περίσταση ή γεγονός μπορεί να επηρεάσει δυσμενώς κάποιο υποστηρικτικό στοιχείο. Τα υποστηρικτικά στοιχεία μπορεί να υποστούν:

Ακατάλληλη χρήση: τα υποστηρικτικά στοιχεία χρησιμοποιούνται με τρόπο που εκφεύγει από το προβλεπόμενο πλαίσιο χρήσης τους ή κατά παρεκτροπή από το προβλεπόμενο πλαίσιο χρήσης τους, χωρίς να αλλοιωθούν ή να υποστούν βλάβη·

Παρατήρηση: τα υποστηρικτικά στοιχεία γίνονται αντικείμενο παρατήρησης, παρακολούθησης ή κατασκοπείας, χωρίς να υποστούν βλάβη·

Υπερφόρτωση: γίνεται υπέρβαση των ορίων λειτουργίας των υποστηρικτικών στοιχείων, τα υποστηρικτικά στοιχεία υπερφορτώνονται, χρησιμοποιούνται σε υπερβολικό βαθμό ή χρησιμοποιούνται υπό συνθήκες που δεν επιτρέπουν τη σωστή λειτουργία τους·

Βλάβη: τα υποστηρικτικά στοιχεία υφίστανται μερική ή ολική ζημία·

Τροποποίηση: τα υποστηρικτικά στοιχεία μεταβάλλονται·

Απώλεια: τα υποστηρικτικά στοιχεία χάνονται, αφαιρούνται, μεταβιβάζονται δωρεάν ή πωλούνται.

Οι απειλές των υποστηρικτικών στοιχείων μπορεί να επηρεάσουν:

την εμπιστευτικότητα (Confidentiality) των προσωπικών δεδομένων·

την ακεραιότητα (Integrity) των προσωπικών δεδομένων·

τη διαθεσιμότητα (Availability) των προσωπικών δεδομένων.

1.9 Απειλές που μπορούν να οδηγήσουν σε αθέμιτη πρόσβαση σε προσωπικά δεδομένα

Τα παρακάτω αποτελούν παραδείγματα απειλών κατά της εμπιστευτικότητας των προσωπικών δεδομένων.

Σελ. 17

Είδη υποστηρικτικών στοιχείων

Επίδραση

Παραδείγματα απειλών κατά της εμπιστευτικότητας των προσωπικών δεδομένων

Παραδείγματα τρωτών σημείων των υποστηρικτικών στοιχείων

Υλισμικό

Ακατάλληλη χρήση

Χρήση δίσκων flash USB ή δίσκων που είναι ακατάλληλοι ως αποθηκευτικά μέσα, δεδομένης της ευαισθησίας των πληροφοριών· χρήση ή μεταφορά ευαίσθητου υλισμικού για προσωπικούς σκοπούς· ο σκληρός δίσκος που περιέχει τις πληροφορίες χρησιμοποιείται για σκοπούς διαφορετικούς από τον επιδιωκόμενο σκοπό (π.χ. για μεταφορά άλλων δεδομένων σε πάροχο υπηρεσιών, για μεταφορά άλλων δεδομένων από μια βάση δεδομένων σε άλλη, κλπ.)

Δυνατότητα χρήσης για σκοπό άλλον από τον επιδιωκόμενο σκοπό· δυσαναλογία μεταξύ των δυνατοτήτων του υλισμικού και των απαιτούμενων δυνατοτήτων του (π.χ. σκληρός δίσκος αρκετών TB για την αποθήκευση λίγων GB δεδομένων)

Υλισμικό

Παρατήρηση

Παρατήρηση της οθόνης, χωρίς τη γνώση του χρήστη, στο τρένο· λήψη φωτογραφίας της οθόνης· γεωεντοπισμός του υλισμικού· απομακρυσμένη σύλληψη ηλεκτρομαγνητικών σημάτων

Δυνατότητα παρατήρησης των δεδομένων σε μορφή που μπορούν να γίνουν κατανοητά· δημιουργία εκπομπών ή ροών που είναι ευπαθείς σε παραβίαση

Υλισμικό

Τροποποίηση

Εγκατάσταση συσκευής keylogger· αφαίρεση εξαρτημάτων υλισμικού· σύνδεση συσκευών (όπως μονάδες USB flash) για την εκκίνηση λειτουργικού συστήματος ή την ανάκτηση δεδομένων

Δυνατότητα προσθήκης, αφαίρεσης ή υποκατάστασης εξαρτημάτων (καρτών συστήματος ή επέκτασης) μέσω συνδέσμων (θύρες, υποδοχές)· δυνατότητα απενεργοποίησης εξαρτημάτων (θύρα USB)

Υλισμικό

Απώλεια

Κλοπή φορητού υπολογιστή από δωμάτιο ξενοδοχείου· κλοπή ενός επαγγελματικού κινητού τηλεφώνου από λαθρόχειρα (πορτοφολά)· ανάκτηση μιας παροπλισμένης συσκευής ή υλισμικού αποθήκευσης· απώλεια ηλεκτρονικών μέσων αποθήκευσης

Μικρών διαστάσεων, ευκολία μεταφοράς, ελκυστικότητα της συσκευής ως στόχου (εμπορική αξία)

Λογισμικό

Ακατάλληλη χρήση

Σάρωση περιεχομένου· αθέμιτη διασταύρωση δεδομένων· επίθεση κλιμάκωσης προνομίων (privilege escalation)· διαγραφή των στοιχείων ιχνηλασιμότητας· αποστολή ανεπιθύμητων μηνυμάτων μέσω προγράμματος ηλεκτρονικού ταχυδρομείου· κατάχρηση λειτουργιών δικτύου

Δυνατότητα πρόσβασης στα δεδομένα για προβολή ή διαχείριση (διαγραφή, τροποποίηση, μετακίνηση)· δυνατότητα εκτροπής της χρήσης προς σκοπούς άλλους από τους συνήθεις· δυνατότητα χρήσης προηγμένων λειτουργιών

Λογισμικό

Παρατήρηση

Σάρωση διευθύνσεων και θυρών δικτύου· συλλογή δεδομένων για τις ρυθμίσεις· ανάλυση πηγαίου κώδικα για τον προσδιορισμό εκμεταλλεύσιμων ευπαθειών· ανίχνευση του τρόπου με τον οποίο η βάση δεδομένων ανταποκρίνεται σε κακόβουλα ερωτήματα

Δυνατότητα παρατήρησης της λειτουργίας του λογισμικού· πρόσβαση και ανάγνωση του πηγαίου κώδικα

Λογισμικό

Τροποποίηση

Εγκατάσταση εφαρμογής keylogger· μόλυνση από κακόβουλο λογισμικό· εγκατάσταση ενός εργαλείου απομακρυσμένης διαχείρισης· αντικατάσταση στοιχείων (components) του λογισμικού κατά τη διάρκεια μιας ενημέρωσης, μιας λειτουργίας συντήρησης ή μιας εγκατάστασης (εγκαθίστανται ή αντικαθίστανται τμήματα κώδικα ή εφαρμογές)

Δυνατότητα τροποποίησης (δεκτικό βελτίωσης, παραμετροποίησης)· οι προγραμματιστές ή συντηρητές με ανεπαρκείς δεξιότητες (ελλιπείς προδιαγραφές, πολύ περιορισμένοι εσωτερικοί πόροι)· εσφαλμένη ή μη αναμενόμενη λειτουργία του λογισμικού

Κανάλια μετάδοσης πληροφοριών

Παρατήρηση

Υποκλοπή τηλεφωνικών συνδιαλέξεων· υποκλοπή της ένων που αποστέλλονται μέσω δικτύου Wi-Fi

Δυνατότητα παρατήρησης των δεδομένων σε μορφή που μπορούν να γίνουν κατανοητά· Διαπερατότητα (δημιουργία εκπομπών ή ροών που είναι ευπαθείς σε παραβίαση)

Άνθρωποι

Παρατήρηση

Ακούσια αποκάλυψη πληροφοριών κατά τη συνομιλία· χρήση συσκευής ακρόασης για την απομακρυσμένη παρακολούθηση συνομιλιών

Έλλειψη εχεμύθειας (άνθρωποι απερίσκεπτοι, επιπόλαιοι)· άνθρωποι που είναι προβλέψιμοι (η ρουτίνα και οι συνήθειες διευκολύνουν την επαναλαμβανόμενη παρατήρησή τους)

Άνθρωποι

Χειραγώγηση

Επιρροή (ηλεκτρονικό «ψάρεµα» (phishing), κοινωνική μηχανική (social engineering), δωροδοκία), πίεση (εκβιασμός, ψυχολογική παρενόχληση)

Οι εύκολα επηρεαζόμενοι λικό και οικογενειακό τους κύκλο)

Άνθρωποι

Απώλεια

Υφαρπαγή εργαζομένων· μετάθεση σε άλλη θέση εργασίας· εξαγορά του συνόλου ή μέρους του οργανισμού

Χαμηλός βαθμός αφοσίωσης στον οργανισμό· προσωπικές ανάγκες που, σε μεγάλο βαθμό, δεν καλύπτονται· ευκολία στην παραβίαση των συμβατικών υποχρεώσεων

Έγχαρτα έγγραφα

Παρατήρηση

Ανάγνωση, φωτοτύπηση, φωτογράφιση

Δυνατότητα παρατήρησης των δεδομένων σε μορφή που μπορούν να γίνουν κατανοητά

Έγχαρτα έγγραφα

Απώλεια

Κλοπή αρχείων από το γραφείο· κλοπή ταχυδρομείου από το γραμματοκιβώτιο· ανάκτηση εγγράφων από τα απορρίμματα

Δεκτικά μετακίνησης

Κανάλια διακίνησης έγχαρτων εγγράφων

Παρατήρηση

Ανάγνωση εγγράφων που μεταφέρονται σε ντοσιέ· αναπαραγωγή εγγράφων που βρίσκονται σε στάδιο μεταφοράς (in transit)

Δεκτικά παρατήρησης

Σελ. 18

Σελ. 19

Σελ. 20

Back to Top