Για ποιο λόγο θα πρέπει να σας απασχολεί σοβαρά το θέμα της προστασίας δεδομένων - και πως η ESET μπορεί να σας βοηθήσει

ΚΑΤΕΒΑΣΤΕ ΤΟΝ ΔΩΡΕΑΝ ΟΔΗΓΟ
Τι είναι ο GDPR;

Κατά πόσον συμμορφώνεστε με τον νέο κανονισμό;

Το Μάιο 2018 ξεκινά η εφαρμογή του νέου Ευρωπαϊκού Κανονισμού για την Προστασία των Δεδομένων.

Εάν ο κανονισμός σας επηρεάζει, θα πρέπει από τώρα να ξεκινήσει να σας απασχολεί η συμμόρφωση της εταιρείας σας. Το συγκεκριμένο site έχει δημιουργηθεί για να σας βοηθήσει να καταλάβετε τον Ευρωπαϊκό Κανονισμό για την Προστασία των Δεδομένων, να ποσοτικοποιήσετε τις απαιτήσεις σας και να σας προσφέρει λύσεις.
Ο GDPR θα επηρεάσει κάθε οργανισμό και εταιρεία στην Ευρώπη, η οποία διαχειρίζεται με οποιονδήποτε τρόπο προσωπικά δεδομένα κάθε μορφής. Επιπλέον, θα επηρεάσει κάθε εταιρεία που συναλλάσσεται στην επικράτεια της Ευρωπαϊκής Ένωσης. Οι κανόνες είναι πολύπλοκοι και τα πρόστιμα για μη συμμόρφωση πολύ αυστηρά (μπορούν να φτάσουν έως τα 20 εκατομμύρια Ευρώ).

Εάν θέλετε να μάθετε περισσότερα βρίσκεστε στο σωστό μέρος!

calendar due date GDPR

Αποκτήστε τώρα τον δωρεάν οδηγό

Η ESET σε συνεργασία με τους νομικούς συμβούλους της, δημιούργησαν έναν αναλυτικό οδηγό που θα σας βοηθήσει να εξετάσετε κατά πόσον και με ποιον τρόπο σας επηρεάζει ο νέος Ευρωπαϊκός Κανονισμός.

guide general data protection regulation

Online compliance check

This site is designed to help you understand the GDPR, quantify the requirements, and offer solutions.

Συμμόρφωση με τον GDPR, βήμα προς βήμα

Οι επιπτώσεις του νέου Κανονισμού είναι αρκετά πολύπλοκες. Έτσι, έχουμε χωρίσει τη διαδικασία συμμόρφωσης σε τρεις ομάδες μέτρων που θα πρέπει να λάβετε υπόψη. Η κάθε ομάδα διαθέτει αρκετές υποκατηγορίες που καλύπτουν διάφορες περιπτώσεις και περισσότερες σχετικές λεπτομέρειες. Απλά κάντε κλικ στις μπάρες του παρακάτω διαγράμματος για να ερευνήσετε τις περιοχές που καλύπτονται ανάλογα με τις ανάγκες σας.

+Περιληπτικά

Κάποιοι από τους κανόνες του GDPR αποτελούν συνέχεια αυτών που υπάρχουν ήδη στην υφιστάμενη ντιρεκτίβα Προστασίας Προσωπικών Δεδομένων, όπως για παράδειγμα τα εξής: δικαιοσύνη, νομιμότητα, διαφάνεια, περιορισμός σκοπού, περιορισμός δεδομένων, ποιότητα δεδομένων, ασφάλεια, ακεραιότητα και εμπιστευτικότητα.

Ο GDPR καθιερώνει μια νέα αρχή λογοδοσίας, καθιστώντας τα άτομα μέσα στην εταιρεία που διαχειρίζονται και επεξεργάζονται τα προσωπικά δεδομένα, ως υπεύθυνους για την απόδειξη της συμμόρφωσης με τις αρχές. Επίσης, ο GDPR προσθέτει νέες πτυχές στις υφιστάμενες αρχές προστασίας των δεδομένων, ως εξής:

Δικαιοσύνη, νομιμότητα και διαφάνεια – Τα δεδομένα προσωπικού χαρακτήρα πρέπει πλέον να υποβάλλονται σε επεξεργασία με τρόπο διαφανή σε σχέση με το υποκείμενο των δεδομένων.

Περιορισμός σκοπού – Με κάποιες επιφυλάξεις, η αρχειοθέτηση των δεδομένων προσωπικού χαρακτήρα, τα οποία είναι προς το δημόσιο συμφέρον δεν θα θεωρείται ασυμβίβαστη με τον αρχικό σκοπό της επεξεργασίας.

Αποθήκευση – Τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρούνται σε μορφή που να επιτρέπει την αναγνώριση των υποκειμένων των δεδομένων για διάστημα όχι μεγαλύτερο από ό, τι είναι αναγκαίο για τους σκοπούς για τους οποίους γίνεται η επεξεργασία τους.

Λογοδοσία – Ο ελεγκτής επεξεργασίας των δεδομένων προσωπικού χαρακτήρα καθίσταται υπεύθυνος και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τις αρχές.

+Οργανωτικές απαιτήσεις

Σύμφωνα με τον GDPR, θα πρέπει να εφαρμόσετε ένα ευρύ φάσμα μέτρων, προκειμένου να διασφαλίσετε ότι θα μειωθεί ο κίνδυνος υπέρβασης του Κανονισμού και να σας επιτρέψει να αποδείξετε ότι λαμβάνετε τη διαχείριση των δεδομένων προσωπικού χαρακτήρα πολύ σοβαρά.
Μεταξύ των αναγκαίων μέτρων λογοδοσίας είναι: αξιολόγηση των επιπτώσεων προσωπικών δεδομένων, έλεγχος, αξιολόγηση της πολιτικής, διατήρηση αρχείων δραστηριότητα και (ενδεχομένως) διορισμός υπεύθυνου προστασίας δεδομένων (DPO).

Σε ορισμένες περιπτώσεις, ο GDPR εισάγει την υποχρέωση διορισμού ενός υπευθύνου προστασίας δεδομένων (DPO). Για τη συγκεκριμένη θέση, οι οργανισμοί θα πρέπει να ορίσουν ένα μέλος του προσωπικού ή έναν εξωτερικό σύμβουλο.

Αν δραστηριοποιείστε στον εμπορικό κλάδο και διαθέτετε μια μεγάλη βάση δεδομένων καταναλωτών, κατά πάσα πιθανότητα θα χρειαστεί να διορίσετε έναν υπεύθυνο προστασίας δεδομένων. Οι εθνικές αρχές προστασίας δεδομένων αναμένεται να παράσχουν σχετική καθοδήγηση σχετικά με το ποιος θα πρέπει να προβεί στη συγκεκριμένη διαδικασία.

Ο DPO θα είναι υπεύθυνος για την παρακολούθηση της συμμόρφωσης με τον GDPR, θα σας ενημερώνει για τις υποχρεώσεις σας, θα παράσχει συμβουλές σχετικά με το πότε και πώς θα πρέπει να διεξαχθεί αξιολόγηση των επιπτώσεων της διαχείρισης των προσωπικών δεδομένων και θα αποτελεί το άτομο στο οποίο θα απευθύνονται τόσο οι εθνικές αρχές προστασίας δεδομένων, όσο και οι ιδιώτες.

Η έννοια της υπηρεσίας μίας στάσης, επιτρέπει σε έναν οργανισμό που δραστηριοποιείται σε αρκετές χώρες της ΕΕ να συνδιαλλαγεί με μία μόνο εθνική αρχή προστασίας δεδομένων , αν και σε ορισμένες περιπτώσεις, οι κανόνες για τον προσδιορισμό του ποια αρχή θα πρέπει να αναλάβει αυτόν τον ρόλο, είναι αρκετά πολύπλοκες.

+Διεργασίες, διαδικασίες και πολιτικές

Ο GDPR επαναπροσδιορίζει την παραβίαση των δεδομένων ως “παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που διαβιβάζονται, αποθηκεύονται ή επεξεργάζονται με οποιονδήποτε τρόπο”.

Πρόκειται για ένα ευρύτερο ορισμό σε σχέση με το παρελθόν, ο οποίος δεν λαμβάνει υπόψη εάν η παράβαση προκαλεί οποιαδήποτε βλάβη στο άτομο. Εάν τα προσωπικά σας δεδομένα έχουν παραβιαστεί, θα πρέπει να ενημερώσετε την εθνική αρχή προστασίας δεδομένων αμέσως, ή το αργότερο 72 ώρες μετά την ανακάλυψη του συμβάντος.

Ωστόσο, εάν έχετε εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα, όπως για παράδειγμα την κρυπτογράφησή τους, απαλλάσσεστε από την υποχρέωση γνωστοποίησης.

Ένα σημαντικό μέρος της συμμόρφωσης με τον GDPR είναι εκ σχεδιασμού προστασία των δεδομένων προσωπικού χαρακτήρα. Aυτό σημαίνει ότι κάθε νέα διαδικασία ή προϊόν θα πρέπει να σχεδιάζεται λαμβάνοντας υπόψη τις απαιτήσεις προστασίας των προσωπικών δεδομένων. Αυτή η προσέγγιση, ενώ προηγουμένως αποτελούσε βέλτιστη πρακτική, πλέον είναι ρητή απαίτηση.

Η εκτίμηση των επιπτώσεων της προστασίας δεδομένων, επίσης γνωστή ως εκτίμηση των επιπτώσεων της ιδιωτικής ζωής (privacy impact assessment -PIA), έχει ως στόχο τον εντοπισμό και την ελαχιστοποίηση των κινδύνων μη συμμόρφωσης.

Το PIA στο πλαίσιο του GDPR καθίσταται επίσημη απαίτηση. Συγκεκριμένα, οι ελεγκτές πρέπει να διασφαλίσουν ότι έχει καθοριστεί ο παράγοντας PIA σε οποιαδήποτε δραστηριότητα επεξεργασίας “υψηλού κινδύνου”.

Εάν δραστηριοποιείστε διεθνώς, οι κανόνες και οι διαδικασίες για τη μεταφορά δεδομένων σε χώρες εκτός δικαιοδοσίας της ΕΕ θα αποτελέσουν έναν σημαντικό παράγοντα, καθώς οι κυρώσεις για τη μη συμμόρφωση ή τη μεταφορά των δεδομένων σε δικαιοδοσίες που δεν αναγνωρίζονται (από την Ευρωπαϊκή Επιτροπή) ως έχουσες επαρκή νομοθεσία για την προστασία δεδομένων θα είναι πολύ πιο αυστηρές κάτω από τον νέο Κανονισμό GDPR.

+Ευαισθητοποίηση της ασφάλειας των δεδομένων

Τώρα είναι η ώρα να ενημερώσετε τους υπαλλήλους σας σχετικά με την ανάγκη συμμόρφωσης με τον GDPR. Μπορείτε να ξεκινήσετε από τώρα να σχεδιάζετε την αναθεώρηση των διαδικασιών για την αντιμετώπιση των νέων διατάξεων περί διαφάνειας και ατομικών δικαιωμάτων του GDPR. Κάτι τέτοιο θα μπορούσε να έχει σημαντικές οικονομικές επιπτώσεις. Επίσης, θα επηρεάσει και το τμήμα ΙΤ σας, ενώ ενδεχομένως θα απαιτηθεί και εκπαίδευση του προσωπικού.

+Λογοδοσία - τεχνικά μέτρα

Ο GDPR καθιστά  τους αρμόδιους ελεγκτές υπεύθυνους για την απόδειξη της συμμόρφωσης με τις αρχές προστασίας δεδομένων. Έτσι, θα πρέπει να βεβαιωθείτε ότι έχετε υιοθετήσει σαφείς πολιτικές, οι οποίες σε περίπτωση ελέγχου να μπορεί να αποδειχθεί ότι πληρούν τα απαιτούμενα πρότυπα. Επιπλέον, θα πρέπει να έχετε διασφαλίσει ότι το προσωπικό σας είναι εκπαιδευμένο και κατανοεί τις υποχρεώσεις του και μάλιστα να είναι έτοιμο να το αποδείξει ανά πάσα στιγμή, όταν απαιτηθεί κάτι τέτοιο από την εθνική αρχή προστασίας δεδομένων.

+Παραβίαση των δεδομένων - τεχνικά μέτρα

Θα πρέπει να προετοιμαστείτε κατάλληλα για την πιθανότητα παραβίασης της ασφάλειας των δεδομένων (που ορίζεται ως “παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που διαβιβάζονται, αποθηκεύονται ή επεξεργάζονται με οποιονδήποτε τρόπο”) θέτοντας σαφείς πολιτικές και δοκιμασμένες διαδικασίες, έτσι ώστε να διασφαλιστεί ότι θα μπορείτε να αντιδράσετε και να γνωστοποιήσετε κάθε παραβίαση δεδομένων, όπου απαιτείται.

Κυρώσεις ενδέχεται να επιφέρει τόσο η αποτυχία της αναφοράς παράβασης προσωπικών δεδομένων, όσο και η ίδια η παράβαση.

+Διασφάλιση των δικαιωμάτων των δεδομένων υποκειμένου - τεχνικά ζητήματα

Ο GDPR ενισχύει τα δικαιώματα που έχουν τα υποκείμενα των οποίων τα προσωπικά δεδομένα διαχειρίζεστε , Για παράδειγμα προσθέτει το δικαίωμα σε κάποιον να ζητήσει πληροφορίες σχετικά με τα δεδομένα που υποβάλλονται σε επεξεργασία, την πρόσβαση στα δεδομένα σε ορισμένες περιπτώσεις, καθώς και τη διόρθωση των λανθασμένων δεδομένων.

Ένας από τους κύριους στόχους του GDPR είναι να ενισχύσει τα δικαιώματα των ατόμων. Ως εκ τούτου, οι κανόνες για την αντιμετώπιση των αιτήσεων σχετικά με την πρόσβαση στα προσωπικά δεδομένα θα μεταβληθούν. Επομένως, θα πρέπει να ενημερώσετε τις δικές σας διαδικασίες ανάλογα.

Στις περισσότερες περιπτώσεις δεν θα χρειαστεί να χρεώσετε για τη συμμόρφωση με το αίτημα και σε κανονικές συνθήκες θα έχετε στη διάθεσή σας έναν μόνο ένα μήνα για να συμμορφωθείτε, αντί των 30 ημερών που ισχύει τώρα.

Το δικαίωμα στη λήθη («διαγραφή» στην ορολογία του GDPR) επιτρέπει σε ιδιώτες να απαιτούν τη διαγραφή των προσωπικών τους δεδομένων από τους υπευθύνους επεξεργασίας χωρίς καθυστέρηση σε ορισμένες περιπτώσεις, όπως για παράδειγμα όταν υπάρχει πρόβλημα με τη νομιμότητα της επεξεργασίας των δεδομένων, ή όταν το υποκείμενο αποσύρει τη συγκατάθεσή του.

Τα τρίτα μέρη με τους οποίους μοιράζονται τα προσωπικά δεδομένα, καλύπτονται επίσης από τους συγκεκριμένους κανόνες.

Ο GDPR ορίζει την έννοια του προφίλ ως “κάθε μορφή αυτοματοποιημένης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνει τη χρήση των προσωπικών δεδομένων για την αξιολόγηση ορισμένων πτυχών της προσωπικότητάς σε ένα φυσικό πρόσωπο, ιδίως για την ανάλυση ή την πρόβλεψη στοιχείων που αφορούν στην απόδοση του φυσικού προσώπου στην εργασία, την οικονομική κατάσταση , την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή την κίνηση”;. Ωστόσο, παρατηρείται κάποια ασάφεια σχετικά με το πως θα διασφαλιστεί το δικαίωμα των υποκειμένων να μην υπόκειται σε αποφάσεις που βασίζονται σε προσωπικά προφίλ.

Ο GDPR εισάγει ένα νέο δικαίωμα στη φορητότητα των δεδομένων, το οποίο υπερβαίνει το δικαίωμα στην απαίτηση της παροχής των προσωπικών δεδομένων τους σε μια ευρέως χρησιμοποιούμενη ηλεκτρονική μορφή. Συγκεκριμένα, απαιτείται από τον ελεγκτή να παρέχει τις σχετικές πληροφορίες σε μια δομημένη, κοινή και αναγνώσιμη από μηχανή μορφή.

Ωστόσο, υπάρχουν κάποια όρια σε αυτόν τον κανόνα. Για παράδειγμα, ισχύει μόνο για τα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία με αυτοματοποιημένα μέσα.

Στο πλαίσιο του στόχου της να ενισχύσει τα δικαιώματα των ιδιωτών, η Ευρωπαϊκή Επιτροπή παραχωρεί το δικαίωμα περιορισμών συγκεκριμένων διεργασιών, όπως επίσης και το δικαίωμα αντίρρησης στην υποβολή των δεδομένων προσωπικού χαρακτήρα σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης.

Μόλις ένα άτομο αρνηθεί, τα στοιχεία του δεν θα πρέπει να υποβάλλονται σε επεξεργασία για άμεση εμπορική προώθηση περαιτέρω και τα στοιχεία επικοινωνίας του ατόμου θα πρέπει να προστεθούν σε ένα τοπικό προς διαγραφή αρχείο.

Οι οργανισμοί πρέπει να ενημερώνουν τον κόσμο σχετικά με το δικαίωμα να αρνηθούν την επεξεργασία των δεδομένων τους με τρόπο που να είναι σαφές και ξεχωριστό από άλλα στοιχεία τα οποία πρέπει επίσης να παρέχουν σε αυτούς.

+Σχετικά με την επικοινωνία των δεδομένων προσωπικού χαρακτήρα (συναινέσεις, ανακοινώσεις θεμιτή επεξεργασία)

Μπορεί να χρειαστεί να αναθεωρήσετε τον τρόπο με τον οποίο αναζητάτε, λαμβάνετε και καταγράφετε τη συγκατάθεση των ατόμων. Η συγκατάθεση του υποκειμένου των δεδομένων για την επεξεργασία των προσωπικών του δεδομένων πρέπει να είναι το ίδιο εύκολη να την αποσύρει, όσο το να την δώσει. Επιπλέον, η συγκατάθεση θα πρέπει να προέρχεται από μια θετική ένδειξη συμφωνίας για τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και δεν μπορεί να συναχθεί από τη σιωπή του υποκειμένου, την αδράνειά του ή από προσημειωμένα πλαίσια ελέγχου..

Στο πλαίσιο του στόχου της να ενισχύσει τα δικαιώματα των ιδιωτών, η Ευρωπαϊκή Επιτροπή παραχωρεί το δικαίωμα περιορισμών συγκεκριμένων διεργασιών, όπως επίσης και το δικαίωμα αντίρρησης στην υποβολή των δεδομένων προσωπικού χαρακτήρα σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης.

Μόλις ένα άτομο αρνηθεί, τα στοιχεία του δεν θα πρέπει να υποβάλλονται σε επεξεργασία για άμεση εμπορική προώθηση περαιτέρω και τα στοιχεία επικοινωνίας του ατόμου θα πρέπει να προστεθούν σε ένα τοπικό προς διαγραφή αρχείο. Οι οργανισμοί πρέπει να ενημερώνουν τον κόσμο σχετικά με το δικαίωμα να αρνηθούν την επεξεργασία των δεδομένων τους με τρόπο που να είναι σαφές και ξεχωριστό από άλλα στοιχεία τα οποία πρέπει επίσης να παρέχουν σε αυτούς.

Ο GDPR, πιθανώς θα αυξήσει το εύρος των στοιχείων που θα πρέπει να δηλώσετε προς τα υποκείμενα των δεδομένων , όπως για παράδειγμα τη νομική σας βάση για την επεξεργασία των δεδομένων τους, τις περιόδους διατήρησης των δεδομένων και το δικαίωμά τους να διαμαρτυρηθούν στην εθνική αρχή προστασίας δεδομένων, εάν θεωρούν ότι υπάρχει κάποιο πρόβλημα με το τρόπο που χειρίζονται τα δεδομένα τους. Σημειώστε ότι ο GDPR απαιτεί αυτές πληροφορίες να παρέχονται σε συνοπτική και σαφή γλώσσα.

+Ασφάλεια των δεδομένων (ακεραιότητα και εμπιστευτικότητα)

Ο GDPR καθορίζει κανόνες ασφάλειας των δεδομένων παρόμοιους με εκείνους της ισχύουσας οδηγίας, στους οποίους συμπεριλαμβάνονται: η δικαιοσύνη, η νομιμότητα και η διαφάνεια, o περιορισμός του σκοπού, η ελαχιστοποίηση και η ποιότητα των δεδομένων, η ασφάλεια, η ακεραιότητα και η εμπιστευτικότητα.

Θα πρέπει να διασφαλιστεί ότι τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που να κατοχυρώνει την ασφάλειά τους, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά: «Ο οργανισμός και οποιοσδήποτε τρίτος πάροχος υπηρεσιών θα πρέπει να εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, για να εξασφαλιστεί επίπεδο ασφάλειας ανάλογο προς τον κίνδυνο».

Ο κανονισμός προτείνει μια σειρά από μέτρα ασφαλείας τα οποία μπορούν να χρησιμοποιηθούν για την επίτευξη της προστασίας των δεδομένων, συμπεριλαμβανομένων των: ψευδή ταυτότητα και κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα, η δυνατότητα να εξασφαλιστεί η συνεχής εμπιστευτικότητα, η ακεραιότητα, η διαθεσιμότητα και η ανθεκτικότητα των συστημάτων και των υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η δυνατότητα αποκατάστασης της διαθεσιμότητας και η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού περιστατικού και η διαδικασία για την τακτική δοκιμή, την αξιολόγηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Ο GDPR καθορίζει την κρυπτογράφηση ως μια προσέγγιση που μπορεί να βοηθήσει να εξασφαλιστεί η συμμόρφωση με κάποιες από τις υποχρεώσεις του. Παραθέτουμε ένα απόσπασμα από τον κανονισμό:

Άρθρο 32 – Ασφάλεια της επεξεργασίας

“1. Λαμβάνοντας υπόψη την εξέλιξη της τεχνολογίας, το κόστος εφαρμογής και τη φύση, το πεδίο, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τις ποικίλες πιθανότητες της σοβαρότητας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων, ο ελεγκτής και αυτός που επεξεργάζεται τα δεδομένα θα πρέπει να υιοθετήσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να εξασφαλίσει επίπεδο ασφάλειας ανάλογο προς τον κίνδυνο, συμπεριλαμβανομένων, μεταξύ άλλων, ανάλογα με την περίπτωση: (α) η χρήση ψευδωνύμου και την κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα […] »

Article 34 – Ανακοίνωση της παραβίασης προσωπικών δεδομένων στο υποκείμενο των δεδομένων

«3. Η επικοινωνία με το υποκείμενο των δεδομένων που αναφέρονται στην παράγραφο 1 δεν απαιτείται εάν ισχύει οποιαδήποτε από τις ακόλουθες προϋποθέσεις: (α) O ελεγκτής έχει εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας και ότι τα μέτρα αυτά εφαρμόσθηκαν για τα προσωπικά δεδομένα που θίγονται από την προσωπική παραβίαση των δεδομένων, ιδίως εκείνων που καθιστούν τα προσωπικά δεδομένα ακατανόητα σε οποιοδήποτε πρόσωπο που δεν είναι εξουσιοδοτημένοι, όπως η κρυπτογράφηση […] »

+Τεκμηρίωση δεδομένων, νομική βάση και έλεγχος

Θα πρέπει να τεκμηριώσετε τι προσωπικά δεδομένα κατέχετε, από πού προήλθαν και με ποιους τα μοιράζεστε.

Εάν έχετε ανακριβή δεδομένα προσωπικού χαρακτήρα και τα έχετε μοιραστεί με κάποιον άλλον οργανισμό ο GDPR απαιτεί να του επισημάνετε την ανακρίβεια, έτσι ώστε να μπορεί να διορθώσει τα δικά του αρχεία. Για να το κάνετε αυτό μπορεί να απαιτηθεί έλεγχος των πληροφοριών σε ολόκληρη την επιχείρησή σας ή σε συγκεκριμένες επιχειρηματικές περιοχές. Αυτό θα σας βοηθήσει επίσης να συμμορφωθείτε με την αρχή της λογοδοσίας του GDPR.

Σύμφωνα με τον GDPR θα πρέπει να εξετάσετε πώς πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα και να προσδιορίσετε τη νομική βάση επί της οποίας θα πραγματοποιήσετε και θα τεκμηριώσετε αυτές τις διαδικασίες.

Αυτό είναι απαραίτητο διότι τα δικαιώματα κάποιων ατόμων θα τροποποιηθούν από τον GDPR ανάλογα με τη νομική βάση για την επεξεργασία των προσωπικών τους δεδομένων. Για παράδειγμα οι άνθρωποι θα έχουν ισχυρότερο δικαίωμα σε ότι αφορά τη διαγραφή των δεδομένων τους σε όποιες περιπτώσεις χρησιμοποιήσετε τη συγκατάθεση ως νομική βάση για την επεξεργασία. Ωστόσο, η συναίνεση είναι μόνο μία από μια σειρά διαφορετικών τρόπων νομιμοποίηση της δραστηριότητας επεξεργασίας και μπορεί να μην είναι η καλύτερη (καθώς μπορεί να ανακληθεί).

Οι πληροφορίες που παρέχονται σε αυτήν τη σελίδα δεν συνιστούν νομική γνωμοδότηση, και οι χρήστες δεν θα πρέπει να βασίζονται στην ακρίβειά της κατά τη λήψη οικονομικών και επιχειρηματικών αποφάσεων. Η ESET δεν μπορεί να καταστεί υπεύθυνη για τα αποτελέσματα που προκύπτουν από τέτοιες ενέργειες. Σε κάθε περίπτωση επιδιώξτε ανεξάρτητη νομική συμβουλή.

Join our GDPR webinar

Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.

Η κρυπτογράφηση ως λύση

Τι είναι η κρυπτογράφηση

Κρυπτογράφηση ονομάζουμε τη διαδικασία κωδικοποίησης της πληροφορίας με τέτοιο τρόπο ώστε να εμποδίζει την ανάγνωσή της από μη εξουσιοδοτημένα μέρη.

Μήκος κλειδιού και ισχύς κωδικοποίησης

Η ισχύς της κρυπτογράφησης συχνά ταυτίζεται με το μήκος του κλειδιού (bits) και τον αλγόριθμο κρυπτογράφησης που χρησιμοποιείται. Ο απλούστερος τρόπος για να “σπάσει” η κρυπτογράφηση είναι να δοκιμαστούν όλα τα πιθανά κλειδιά. Η τεχνική αυτή είναι γνωστή ως επίθεση brute-force, αλλά πλέον το μήκος των κλειδιών κρυπτογράφησης έχει κάνει αυτή την προσέγγιση αναποτελεσματική.

Για να “σπάσει” ένα κλειδί 128-bit AES, θα πρέπει κάθε ένας από τους περίπου 7 δισεκατομμύρια ανθρώπους που βρίσκονται επάνω στη Γη να ελέγχει 1 δις κλειδιά το δευτερόλεπτο. Ο συνολικός χρόνος για να ελεγχθούν όλοι οι πιθανοί συνδυασμοί αγγίζει τα περίπου 1,5 τρις έτη.

Έτσι, συνήθως οι επιτιθέμενοι δεν προσπαθούν να κάνουν reverse-engineer του αλγόριθμου κρυπτογράφησης ή να τον “σπάσουν” με brute force. Αντ’ αυτού, αυτό που κάνουν είναι να ψάχνουν για τρωτά σημεία στο λογισμικό κρυπτογράφησης, ή να προσπαθήσουν να μολύνουν το σύστημα με κακόβουλο λογισμικό, το οποίο θα προσπαθήσει να υποκλέψει τους κωδικούς πρόσβασης ή το κλειδί κρυπτογράφησης την ώρα που υποβάλλεται σε επεξεργασία.

Για να ελαχιστοποιήσετε αυτούς τους κινδύνους, θα πρέπει να χρησιμοποιήσετε κάποιο ανεξάρτητο και αναγνωρισμένο εργαλείο κρυπτογράφησης, καθώς και να διαθέτετε κάποια προηγμένη και ενημερωμένη λύση κατά των επιθέσεων και των ιών.

Πως λειτουργεί;

Συνήθως, η κρυπτογράφηση εφαρμόζεται με δύο διαφορετικούς τρόπους:

Κρυπτογραφημένη αποθήκευση – χρησιμοποιείται συνήθως για την κρυπτογράφηση ενός ολόκληρου δίσκου, drive ή συσκευή.

Κρυπτογραφημένο περιεχόμενοή τμηματική κρυπτογράφηση – είναι η κρυπτογράφηση αρχείων, ή κειμένου, σε επίπεδο εφαρμογής.

Η πιο συχνή κρυπτογράφηση είναι το e-mail. Στην περίπτωση αυτή το format του μηνύματος πρέπει να παραμείνει άθικτο, ούτως ώστε να μπορεί να διαχειριστεί από τον e-mail client. Το τμήμα που υφίσταται κρυπτογράφηση είναι το σώμα κειμένου του e-mail, όπως επίσης και τα επισυναπτόμενα σε αυτό αρχεία.

eset data encryption example

Τι χρειάζομαι;

Ενώ το μήκος του κλειδιού και οι δυνατότητες του σχετικού λογισμικού που θα χρησιμοποιηθεί είναι πολύ σημαντικές παράμετροι, δεν υποδηλώνουν το πόσο καλά ένα πρόγραμμα αποδίδει από την οπτική του χρήστη, ή του διαχειριστή.

Πιστοποίηση FIPS - 140

Η πιο γνωστή και αποδεκτή ανεξάρτητη πιστοποίηση είναι το πρότυπο FIPS-140. Εάν ένα προϊόν ακολουθεί το FIPS-140, τότε είναι ήδη πιο ασφαλές από ότι θα απαιτηθεί από τις περισσότερες περιστάσεις και θα γίνει αποδεκτό από τον GDPR και άλλους κανονισμούς.

Ευκολία χρήσης για μη τεχνικούς

Ανά πάσα στιγμή μπορεί να βρεθείτε αντιμέτωποι με την κατάσταση κατά την οποία οι υπάλληλοί σας θα πρέπει να λάβουν την απόφαση κρυπτογράφησης ενός εγγράφου, e-mail ή όχι. Είναι ζωτικής σημασίας το να μπορούν να χρησιμοποιήσουν το σχετικό λογισμικό που θα έχουν στη διάθεσή τους, έχοντας τη σιγουριά ότι ούτε θα κλειδώσει τους ίδιους απέξω, ούτε τους εξουσιοδοτημένους παραλήπτες.

Απομακρυσμένη διαχείριση των κλειδιών, των ρυθμίσεων και της πολιτικής ασφαλείας

Για να αποφύγετε την κατάσταση κατά την οποία το προσωπικό σας λαμβάνει αποφάσεις που έχουν να κάνουν με την ασφάλεια, η κρυπτογράφηση θα πρέπει να επιβληθεί παντού. Ωστόσο, αυτό θα έχει ως αποτέλεσμα τον περιορισμό των νόμιμων επιχειρηματικών διαδικασιών και τον “στραγγαλισμό” της παραγωγικότητας. Η προσθήκη της δυνατότητας απομακρυσμένης διαχείρισης η οποία επιτρέπει την αλλαγή των κλειδιών κρυπτογράφησης, τη λειτουργικότητα ή την πολιτική ασφαλείας για τους απομακρυσμένους χρήστες, οι οποίοι συνήθως αντιπροσωπεύουν και το μεγαλύτερο πρόβλημα σε ότι αφορά την ασφάλεια μιας επιχείρησης, σημαίνει ότι οι προεπιλεγμένες ρυθμίσεις για την επιβολή της πολιτικής κρυπτογράφησης και ασφάλειας μπορεί να ρυθμιστεί σε πιο υψηλή ιεραρχία, χωρίς να περιορίζεται η κανονική ροή των εργασιών οπουδήποτε αλλού μέσα στην επιχείρηση.

Διαχείριση των κλειδιών κρυπτογράφησης

Μία από τις μεγαλύτερες προκλήσεις σε επίπεδο χρηστικότητας είναι το πώς οι χρήστες αναμένεται να μοιραστούν κρυπτογραφημένες πληροφορίες. Υπάρχουν δύο παραδοσιακές μέθοδοι:

Κοινόχρηστοι κωδικοί πρόσβασης: Εδώ το πρόβλημα έχει να κάνει με το ότι στην περίπτωση που είναι εύκολοι στην απομνημόνευση είναι παράλληλα και ανασφαλείς, ή όταν είναι ασφαλείς είναι αδύνατο να τους απομνημονεύσει κανείς. Στην περίπτωση αυτή είτε ξεχνιούνται, είτε γράφονται σε κάποιο χαρτί ή αρχείο, υποθάλποντας την ίδια την ασφάλειά τους.
Δημόσιο-κλειδί κρυπτογράφησης: Η μέθοδος αυτή λειτουργεί καλά σε μικρότερες ομάδες εργασίας με μηδενικό ή πολύ χαμηλό κύκλο εργασιών του προσωπικού, αλλά γίνεται περίπλοκη και προβληματική σε μεγαλύτερες ή πιο δυναμικές ομάδες.

Η χρήση κεντρικής διαχείριση των κοινόχρηστων κλειδιών κρυπτογράφησης αποφεύγει αυτά τα προβλήματα, έχοντας ως πρόσθετο πλεονέκτημα της αντιγραφής του τρόπου με τον οποίο τα φυσικά κλειδιά χρησιμοποιούνται για να κλειδώνουν τα σπίτια, τα αυτοκίνητα, κλπ. Το προσωπικό έχει ήδη κατανοήσει τη φιλοσοφία αυτή και απαιτείται η επεξήγηση του τρόπου λειτουργίας της διαδικασίας μόνο μία φορά. Σε συνδυασμό με ένα προηγμένο σύστημα απομακρυσμένης διαχείρισης, τα κοινόχρηστα κλειδιά κρυπτογράφησης αποτελούν τη βέλτιστη ισορροπία μεταξύ της ασφάλειας και της πρακτικότητας.

Δοκιμάστε το ESET DESlock+ δωρεάν

Ενώ το μήκος του κλειδιού και οι δυνατότητες του σχετικού λογισμικού που θα χρησιμοποιηθεί είναι πολύ σημαντικές παράμετροι, δεν υποδηλώνουν το πόσο καλά ένα πρόγραμμα αποδίδει από την οπτική του χρήστη, ή του διαχειριστή.

Πως μπορεί η ESET να σας βοηθήσει;

Η λύση μας:
DESlock Encryption από την ESET

Η κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα στα συστήματά σας μπορεί να σας βοηθήσει να ικανοποιήσετε πολλές απαιτήσεις του GDPR. Η λύση της ESET είναι πανίσχυρη, απλή στην εγκατάσταση και σας δίνει τη δυνατότητα να κρυπτογραφήσετε με ασφάλεια σκληρούς δίσκους, αφαιρούμενα μέσα, αρχεία και e-mail.

Το DESlock Encryption σας επιτρέπει να ανταποκριθείτε στις υποχρεώσεις της ασφάλειας των δεδομένων με εύκολη εφαρμογή πολιτικών κρυπτογράφησης, διατηρώντας παράλληλα την παραγωγικότητα σε υψηλά επίπεδα. Με χαμηλή επιβάρυνση του τμήματος μηχανογράφησης και σύντομη εγκατάσταση, κανένα άλλο δε προϊόν μπορεί να συγκριθεί με το DESlock σε ότι αφορά την ευελιξία και την ευκολία χρήσης.

Από πλευράς χρήστη απαιτείται ελάχιστη ανάμειξη, βελτιώνοντας τη συμμόρφωση με τους κανονισμούς και την ασφάλεια των δεδομένων της εταιρείας σας και αποτελείται από ένα μοναδικό αρχείο MSI. Από πλευράς server καθίσταται εύκολη η διαχείριση των χρηστών και των θέσεων εργασίας τους, όπως επίσης και η επέκταση της προστασίας της εταιρείας πέρα από το εταιρικό δίκτυο.

Τι προσφέρει το DESlock Encryption

Απλή και πανίσχυρη κρυπτογράφηση για εταιρείες κάθε μεγέθους. Κρυπτογραφεί αρχεία σε σκληρούς δίσκους, φορητές συσκευές και ηλεκτρονική αλληλογραφία.

Πιστοποίηση: Επικυρωμένη κατά FIPS 140-2, κρυπτογράφηση 256 bit AES για εξασφαλισμένη προστασία

Διαχείριση μέσω συστήματος υβριδικού cloud για πλήρως απομακρυσμένο έλεγχο της κρυπτογράφησης των κλειδιών των endpoints και της εφαρμογής πολιτικής ασφαλείας.

Υποστήριξη για Microsoft® Windows® 10, 8, 8.1 συμπεριλαμβανομένων των UEFI και GPT, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS

Αλγόριθμοι & standards: AES 256 bit, AES 128 bit, SHA 256 bit, SHA1 160 bit, RSA 1024 bit, Triple DES 112 bit, Blowfish 128 bit

DESlock+ Pro – Τα πλεονεκτήματα αναλυτικά

Πλήρης κρυπτογράφησης δίσκου
Ταχύτατη και διαφανής προστασία πριν την εκκίνηση

Προστασία αφαιρούμενων μέσων
Κρυπτογράφηση αφαιρούμενων μέσω βάση πολιτικών ασφαλείας, που ταιριάζει σε κάθε εταιρεία.

Plugin για το Outlook για e-mail & attachments
Λάβετε και αποστείλετε εύκολα κρυπτογραφημένα e-mails και αρχεία μέσα από το Outlook

Εικονικοί δίσκοι & κρυπτογραφημένοι φάκελοι
Δημιουργήστε έναν ασφαλή, κρυπτογραφημένο φάκελο στον υπολογιστή σας ή άλλη θέση, ή δημιουργήστε ένα κρυπτογραφημένο αντίγραφο ενός ολόκληρου φακέλου, συμπεριλαμβανομένων και των αρχείων που περιέχει.

Κρυπτογράφηση αρχείων & φακέλων
Ταχύτατη και διαφανής διαδικασία που προσφέρει ένα έξτρα επίπεδο προστασίας

Κρυπτογράφηση κειμένου & clipboard
Κρυπτογραφήστε όλα τα κείμενα ενός παραθύρου – web-browsers, βάσης δεδομένων, πεδία σημειώσεων ή web-mail

Συμβατό με κεντρική διαχείριση
Πλήρης έλεγχος αδειοδότησης και λειτουργιών, πολιτικών ασφαλείας και κλειδιών κρυπτογράφησης.

Φορητή κρυπτογράφηση DESlock+ Go
Εύκολο στη χρήση λογισμικό κρυπτογράφησης που εκτελείται χωρίς εγκατάσταση

Δοκιμάστε το ESET DESlock+ δωρεάν

Συμπληρώστε τα στοιχεία σας και θα σας αποστείλουμε μια δοκιμαστική έκδοση για να βιώσετε τα πλεονεκτήματα της κρυπτογράφησης που σας προσφέρει η ESET.

Χρησιμοποιούμε cookies για να διασφαλίσουμε ότι λαμβάνετε την καλύτερη εμπειρία στο website μας. Περισσότερα.

OK