Professional Documents
Culture Documents
3-Γενικός Κανονισμός Προσωπικών Δεδομένων
3-Γενικός Κανονισμός Προσωπικών Δεδομένων
3-Γενικός Κανονισμός Προσωπικών Δεδομένων
Προσωπικών Δεδομένων
Περιεχόμενα
Λίγα λόγια για τον ΓΚΠΔ, General Data Protection Regulation (GDPR) https://gdpr.eu/what-is-gdpr/
• Παραβιάσεις του ΓΚΠΔ- Ποινές
• Σενάρια συμμόρφωσης με τον ΓΚΠΔ
• Προσωπικά Δεδομένα
• Είναι τα Cookies Προσωπικά Δεδομένα;
• Ασφάλεια Επεξεργασίας
• Υπεύθυνος προστασίας δεδομένων (ΥΠΔ)
• Εκτίμηση αντίκτυπου
• Προστασία δεδομένων «από τον σχεδιασμό» και «εξ ορισμού»
• Γνωστοποίηση παραβίασης δεδομένων
• Δικαιώματα
• Νομοθεσία
Λίγα λόγια για τον ΓΚΠΔ (GDPR)
Απόρρητο των δεδομένων
Τα δεδομένα ανήκουν στους ανθρώπους και πρέπει να
δίνουν τη συγκατάθεσή τους για να τα χρησιμοποιούν οι
εταιρείες, να τα μοιράζονται, να τα πωλούν και γι' αυτό
το λόγο έχουμε ειδοποιήσεις για τα cookies σχεδόν σε
κάθε ιστότοπο.
Οι χρήστες πρέπει να δίνουν ρητή συγκατάθεση μετά από
ενημέρωση. Αυτό είναι ίσως το πιο σημαντικό ζήτημα,
τουλάχιστον όσον αφορά τους περισσότερους
καταναλωτές.
Ο οργανισμός ή η εταιρεία πρέπει να εξηγεί τον σκοπό
για τον οποίο συλλέγει αυτά τα δεδομένα, πώς
συλλέγονται, πώς υποβάλλονται σε επεξεργασία, και
επίσης πρέπει να δίνει στους πελάτες την ευκαιρία να
κατεβάζουν τα δεδομένα για να δουν τι έχει η εταιρεία
για αυτούς, να τα διορθώνουν, αν χρειάζεται διόρθωση,
ακόμη και να τα διαγράφουν (δικαίωμα στη λήθη).
ΓΚΠΔ (GDPR): Πότε και γιατί;
• Ο Γενικός Κανονισμός Προστασίας Δεδομένων • Οι βασικές αρχές του ΓΚΠΔ περιλαμβάνουν
(ΓΚΠΔ) είναι ένας κανονισμός της Ευρωπαϊκής • την προστασία της ιδιωτικής ζωής μέσω του
Ένωσης (ΕΕ) που τέθηκε σε ισχύ στις 25 Μαΐου σχεδιασμού,
2018.
• τη διαφάνεια,
• Αντικαθιστά την οδηγία της ΕΕ για την προστασία • την ελαχιστοποίηση των δεδομένων και
των δεδομένων του 1995 και αποσκοπεί στην
• τη λογοδοσία.
ενίσχυση και ενοποίηση της προστασίας των
δεδομένων των φυσικών προσώπων εντός της ΕΕ. • Οι οργανισμοί πρέπει να εφαρμόζουν κατάλληλα
• Ο ΓΚΠΔ ισχύει για όλους τους οργανισμούς, τεχνικά και οργανωτικά μέτρα για να
διασφαλίζουν την ασφάλεια των προσωπικών
ανεξαρτήτως τοποθεσίας, που επεξεργάζονται
δεδομένων και να αποδεικνύουν τη συμμόρφωση
προσωπικά δεδομένα ατόμων εντός της ΕΕ.
με τον κανονισμό.
• Παρέχει στα άτομα τον έλεγχο των προσωπικών
• Η μη συμμόρφωση με τον ΓΚΠΔ μπορεί να
τους δεδομένων και του τρόπου με τον οποίο
οδηγήσει σε σημαντικά πρόστιμα.
συλλέγονται, υποβάλλονται σε επεξεργασία και
αποθηκεύονται.
ΓΚΠΔ (GDPR): Πότε και γιατί;
Ο Κανονισμός ρυθμίζει την επεξεργασία από άτομο, εταιρεία ή οργανισμό των
δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα στην ΕΕ. Δεν υπάγεται σε
αυτόν η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποθανόντων προσώπων
ή νομικών προσώπων.
Οι κανόνες δεν εφαρμόζονται σε δεδομένα που υποβάλλονται σε επεξεργασία από
ένα άτομο για αυστηρά προσωπικούς λόγους ή για δραστηριότητες που
διενεργούνται κατ’ οίκον, υπό την προϋπόθεση ότι δεν συνδέονται με κάποια
επαγγελματική ή εμπορική δραστηριότητα.
Όταν ένα άτομο χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα εκτός της
ιδιωτικής σφαίρας, παραδείγματος χάρη για κοινωνικοπολιτιστικές ή
χρηματοοικονομικές δραστηριότητες, τότε το δίκαιο περί προστασίας δεδομένων
πρέπει να τηρείται.
Αρχή Προστασίας Δεδομένων Προσωπικού
Χαρακτήρα https://www.dpa.gr/
• Συνταγματικά κατοχυρωμένη ανεξάρτητη
δημόσια Αρχή
• Αποστολή: Eποπτεία της εφαρμογής του
Γενικού Κανονισμού Προστασίας
Δεδομένων, του ν. 4624/2019, του ν.
3471/2006 και άλλων ρυθμίσεων που
αφορούν την προστασία του ατόμου από
την επεξεργασία δεδομένων προσωπικού
χαρακτήρα, καθώς και την ενάσκηση των
αρμοδιοτήτων που της ανατίθενται κάθε
φορά.
Συγκατάθεση του χρήστη
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) • Δικαιολογημένα συμφέροντα: Αυτή η βάση
ορίζει τρεις νομικές βάσεις για την επεξεργασία χρησιμοποιείται όταν η επεξεργασία δεδομένων
δεδομένων προσωπικού χαρακτήρα: προσωπικού χαρακτήρα είναι απαραίτητη για τα έννομα
• Συμβατική αναγκαιότητα: Αυτή η βάση συμφέροντα που επιδιώκει ο υπεύθυνος επεξεργασίας
χρησιμοποιείται όταν η επεξεργασία δεδομένων ή τρίτος, εκτός εάν τα συμφέροντα αυτά υπερισχύουν
προσωπικού χαρακτήρα είναι απαραίτητη για την των συμφερόντων ή των θεμελιωδών δικαιωμάτων και
εκτέλεση σύμβασης με το υποκείμενο των
ελευθεριών του υποκειμένου των δεδομένων.
δεδομένων ή για τη λήψη μέτρων κατόπιν
αιτήματος του υποκειμένου των δεδομένων πριν Οι οργανισμοί πρέπει να εξετάζουν προσεκτικά αυτές τις
από τη σύναψη σύμβασης. νομικές βάσεις όταν επεξεργάζονται δεδομένα
προσωπικού χαρακτήρα και να επιλέγουν τη βάση που
• Συγκατάθεση: Αυτή η βάση χρησιμοποιείται όταν
το υποκείμενο των δεδομένων έχει δώσει ταιριάζει καλύτερα στη συγκεκριμένη κατάστασή τους.
ελεύθερα, συγκεκριμένα, εν επιγνώσει και σαφώς Σε ορισμένες περιπτώσεις, μπορεί να υπάρχουν
τη συγκατάθεσή του για την επεξεργασία των πολλαπλές νομικές βάσεις για την ίδια πράξη
προσωπικών του δεδομένων. Το υποκείμενο των επεξεργασίας.
δεδομένων πρέπει να έχει το δικαίωμα να
ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή.
Παραβιάσεις του ΓΚΠΔ- Ποινές
Μελέτη Περίπτωσης: Κίνδυνοι ασφαλείας για τους
χρήστες του Facebook όσον αφορά τα προσωπικά
δεδομένα
• Παραβιάσεις απορρήτου: είτε μέσω παραβίασης είτε • Μη εξουσιοδοτημένη πρόσβαση: Οι χάκερ μπορούν να
μέσω των πρακτικών κοινής χρήσης δεδομένων του αποκτήσουν πρόσβαση σε λογαριασμούς στο Facebook
Facebook. και να κλέψουν προσωπικές πληροφορίες, όπως
• Στοχευμένη διαφήμιση: Το Facebook συλλέγει μεγάλο διαπιστευτήρια σύνδεσης ή οικονομικές πληροφορίες.
όγκο δεδομένων χρηστών, τα οποία μπορούν να • Κατάχρηση δεδομένων: Το Facebook μπορεί να
χρησιμοποιηθούν για τη στοχευμένη διαφήμιση και χρησιμοποιήσει δεδομένα χρηστών για σκοπούς με τους
την επιρροή της συμπεριφοράς των χρηστών. οποίους ο χρήστης μπορεί να μην συμφωνεί, όπως
πολιτική προπαγάνδα ή χειραγώγηση.
• Εξόρυξη δεδομένων: Το Facebook συλλέγει δεδομένα
Είναι σημαντικό για τους χρήστες του Facebook να
από τους χρήστες του, τα οποία μπορούν να
γνωρίζουν αυτούς τους κινδύνους και να λαμβάνουν
χρησιμοποιηθούν για εξόρυξη και ανάλυση
μέτρα για την προστασία των προσωπικών τους
δεδομένων. Τα δεδομένα αυτά μπορούν στη συνέχεια
δεδομένων, όπως η τακτική επανεξέταση των ρυθμίσεων
να πωληθούν ή να χρησιμοποιηθούν για άλλους
απορρήτου τους, η προσοχή σε ύποπτους συνδέσμους ή
σκοπούς χωρίς τη γνώση ή τη συγκατάθεση του
μηνύματα και η χρήση ισχυρών και μοναδικών κωδικών
χρήστη.
πρόσβασης.
Ε.Ε.: Πρόστιμο 390 εκατ. ευρώ στη Meta για τις
εξατομικευμένες διαφημίσεις σε Facebook και Instagram
H αρμόδια ιρλανδική Αρχή επέβαλε σήμερα πρόστιμο ύψους 390
εκατομμυρίων ευρώ στη Meta, τη μητρική των Facebook και
Instagram, κρίνοντας ότι η εταιρεία έχει αναγκάσει τους χρήστες της
να συμφωνήσουν σε εξατομικευμένες διαφημίσεις, παραβιάζοντας
όμως έτσι τους ευρωπαϊκούς κανόνες για την προστασία δεδομένων.
https://www.kathimerini.gr/world/562214059/ee-prostimo-390-ekat-eyro-sti-meta-gia-tis-
exatomikeymenes-diafimiseis-se-facebook-kai-instagram/
Σχετικά Ντοκυμανταίρ
https:// www. thesocialdilemma.com
https:/ /www. netflix.com/gr-en/title/80117542
Το κόστος της μη συμμόρφωσης
• Η μη τήρηση των κανόνων του
ΓΚΠΔ μπορεί να οδηγήσει σε
σημαντικά πρόστιμα που
μπορούν να φθάσουν μέχρι τα
20 εκατομμύρια ευρώ ή το 4%
του συνολικού κύκλου εργασιών
της επιχείρησης για ορισμένες
παραβάσεις.
• Η Αρχή Προστασίας Δεδομένων
μπορεί επίσης να επιβάλει
συμπληρωματικά διορθωτικά
μέτρα, π.χ., να διατάξει την
διακοπή της επεξεργασίας
προσωπικών δεδομένων.
Πρόστιμο ύψους 9 εκατομμυρίων ευρώ σε Cosmote και ΟΤΕ
για παραβιάσεις της νομοθεσίας προσωπικών δεδομένων
• Το πρόστιμο αφορά την υπόθεση κυβερνεπίθεσης
που είχε δεχθεί η εταιρεία το 2020.
• Όπως αναφέρεται στην απόφαση, κατόπιν
γνωστοποίησης περιστατικού παραβίασης
προσωπικών δεδομένων εκ μέρους της εταιρείας
COSMOTE (διαρροή δεδομένων κλήσεων
συνδρομητών το χρονικό διάστημα 1/9/2020 –
5/9/2020), η Αρχή διερεύνησε τις συνθήκες υπό τις
οποίες έλαβε χώρα το περιστατικό και, στο πλαίσιο
αυτό, εξέτασε τη νομιμότητα της τήρησης των
αρχείων που διέρρευσαν καθώς και τα
εφαρμοζόμενα μέτρα ασφάλειας.
• Περισσότερα……
https://www.lawspot.gr/nomika-nea/prostimo-ypsoys-
9-ekatommyrion-eyro-se-cosmote-kai-ote-gia-
paraviaseis-tis-nomothesias?lspt_destination=upgrade
SIM Swapping: Πρόστιμο 3,94 εκατ. ευρώ στη Vodafone για
παραβίαση της νομοθεσίας περί προστασίας προσωπικών
δεδομένων
https://www.youtube.com/watch?v=hgWie9dnssU
Ένα αίτημα συγκατάθεσης πρέπει να υποβάλλεται με σαφή και • το είδος των δεδομένων που θα υποβληθούν σε
συνοπτικό τρόπο, με διατύπωση που να είναι εύκολα κατανοητή επεξεργασία·
και να είναι σαφώς διακριτό από άλλες πληροφορίες όπως όροι • τη δυνατότητα ανάκλησης της συγκατάθεσης (π.χ.
και προϋποθέσεις. Το αίτημα πρέπει να προσδιορίζει τη χρήση με την αποστολή ηλεκτρονικού μηνύματος για
ανάκληση της συγκατάθεσης)·
που θα γίνει στα δεδομένα σας προσωπικού χαρακτήρα και να
περιλαμβάνει τα στοιχεία επικοινωνίας της εταιρείας που • όπου είναι απαραίτητο, το γεγονός ότι τα
δεδομένα θα χρησιμοποιηθούν μόνο για
επεξεργάζεται τα δεδομένα. Η συγκατάθεση πρέπει να δίνεται αυτοματοποιημένη λήψη αποφάσεων,
ελεύθερα, να είναι συγκεκριμένη, εν επιγνώσει και συμπεριλαμβανομένης της κατάρτισης προφίλ·
αδιαμφισβήτητη.
• το κατά πόσον η συγκατάθεση σχετίζεται με
Ο όρος «εν επιγνώσει» σημαίνει ότι πρέπει να έχετε ενημερωθεί διεθνή διαβίβαση των δεδομένων σας, τους
σχετικά με την επεξεργασία των δεδομένων σας προσωπικού ενδεχόμενους κινδύνους των διαβιβάσεων
χαρακτήρα, καθώς και οπωσδήποτε σχετικά με τα εξής: δεδομένων προς χώρες εκτός της ΕΕ εάν δεν
υπάρχει για τις χώρες αυτές απόφαση της
•την ταυτότητα του οργανισμού που επεξεργάζεται τα δεδομένα· Επιτροπής περί επάρκειας και δεν προβλέπονται
•τους σκοπούς για τους οποίους γίνεται η επεξεργασία των κατάλληλες εγγυήσεις.
δεδομένων·
Πώς πρέπει να ζητείται η συγκατάθεσή μου;
Παραδείγματα