Περιεχόμενα Σεμιναρίου
ΕΝΟΤΗΤΑ 1η
1) Εκπαιδευτική εισαγωγή
2) Ιστορική αναδρομή
3) Γενική επισκόπηση των βασικών σημείων του GDPR
- Νέος ευρωπαϊκός κανονισμός προσωπικών δεδομένων 2016/679
- Ευρωπαϊκή οδηγία 2016/680
- Διάρθρωση κανονισμού
4) Πεδίο εφαρμογής του Κανονισμού.
5) Βασικές έννοιες του Κανονισμού
- Τι νοείται επεξεργασία κατά τον ευρωπαϊκό κανονισμό 2016/679
- Προσωπικά δεδομένα και ευαίσθητα προσωπικά δεδομένα.
- Έννοιες του Υπεύθυνου Επεξεργασίας και του Εκτελούντα την Επεξεργασία
- Ο ρόλος του Υπεύθυνου προστασίας δεδομένων (DPO). Πότε απαιτείται; Αρμοδιότητες
6) Νεωτερισμοί του κανονισμού
7) Νομιμότητα της επεξεργασίας
8) Συγκατάθεση παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριών
9) Οι 3 διαστάσεις της συμμόρφωσης στον ευρωπαϊκό κανονισμό GDPR
- Νομική διάσταση
- Ψηφιακή ασφάλεια
- Φυσική ασφάλεια
10) Ευθύνη
11) Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού
12) Ασφάλεια επεξεργασίας
13) Βήματα προετοιμασίας (Οδηγίες της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα)
14) CCTV, GPS
ΕΝΟΤΗΤΑ 2η
ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ
1) Φυσική ασφάλεια προσωπικών δεδομένων και οργανωτικά θέματα.
2) Περιβαντολογική ασφάλεια προσωπικών δεδομένων (Κίνδυνοι φυσικού αρχείου από πυρκαγιά , πλημμύρα κ.τ.λ.)
3) Awareness το πρώτο βήμα της συμμόρφωσης
4) Πολιτική φυσικής Ασφάλειας και πως αυτή εμπλέκεται στην συμμόρφωση (Compliance) των προσωπικών δεδομένων του Κανονισμού.
5) Τεχνικά και οργανωτικά μέτρα φυσικής ασφάλειας.
6) Τι νοείται συμμόρφωση συμφώνα με τον κανονισμό.
7) Διαδικασίες συμμόρφωσης φυσικού αρχείου επιχειρήσεων ως προς τον Ευρωπαϊκό κανονισμό.
8) Μελέτη τρωτότητας- εκτίμηση επικινδυνότητας. Πότε απαιτείται;
9) Αξιολόγηση κινδύνων ασφάλειας προσωπικών δεδομένων ένεκα φυσικού η τεχνικού συμβάντος.
10) Σχέδιο φυσικής Ασφάλειας ως τμήμα του γενικότερου σχεδίου για την ασφάλεια των προσωπικών δεδομένων.
11) Σχέδιο έκτακτης ανάγκης
12) Βιωματικές Ασκήσεις και Μελέτες περίπτωσης σχετικές με την συμμόρφωση στον τομέα του Physical security της επιχείρησης.
Διεθνές πρότυπο ISO/IEC 27001
1) Συνοπτική περιγραφή – ενότητες του διεθνές πρότυπου ISO 27001
2) Μεθοδολογία
- Ανασκόπηση λειτουργιάς επιχείρησης.
- Οργάνωση και εφαρμογή συστήματος ασφαλούς διαχείρισης πληροφοριών.
ΕΝΟΤΗΤΑ 3η
ΝΟΜΙΚΑ ΘΕΜΑΤΑ - Επεξεργασία δεδομένων προσωπικού χαρακτήρα
1) Πότε ο νομός επιτρέπει την επεξεργασία (αρχή του σκοπού, αρχή της ελαχιστοποίησης);
2) Τρόποι με τους οποίους γίνεται η επεξεργασία - Παραδείγματα
3) Επεξεργασία «μεγάλης κλίμακας», ποιες είναι οι συνέπειες της;
4) Ποιες προϋποθέσεις ισχύουν για την συγκατάθεση (πως λαμβάνεται και πως αποδεικνύεται);
5) Δημόσια δεδομένα, τι ισχύει;
Τα Δικαιώματα των Φυσικών Προσώπων
Πώς γίνονται οι Εφαρμογές των δικαιωμάτων και ποίες είναι οι υποχρεώσεις του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία
1) Νέα-ανανεωμένα δικαιώματα για τους πολίτες, εννοιολογική ανάλυση, παραδείγματα
- Δικαίωμα πρόσβασης
- Δικαίωμα διόρθωσης
- Δικαίωμα διαγραφής και Δικαίωμα στη λήθη
- Δικαίωμα περιορισμού ης επεξεργασίας
- Δικαίωμα στη φορητότητα
- Πότε απαιτείται γνωστοποίηση για συμβάν παραβίασης;
- Ποιος είναι ο υπεύθυνος για τη γνωστοποίηση;
- Τι πρέπει να περιλαμβάνει η γνωστοποίηση;
- Τεκμηρίωση συμβάντων – συνέπειες και μέτρα
- Πώς γίνεται η ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων - Πότε απαιτείται ανακοίνωση - Ποιος είναι ο υπεύθυνος για την ανακοίνωση
4) Μεταφορά προσωπικών δεδομένων- Πότε επιτρέπεται η Διαβίβαση- Πώς γίνεται
5) Πώς διαχειριζόμαστε τα Δεδομένα Προσωπικού Χαρακτήρα για τους εργαζόμενους μιας επιχείρησης /Μ.Κ.Ο. / Δημοσίου φορέα
6) Παραδείγματα αυτών
Λογοδοσία
2) Υποχρέωση ενημερώσεως εποπτικής αρχής και υποκειμένου δεδομένων, πως γίνεται
3) Τήρηση των αρχείων δραστηριοτήτων
4) Εκτίμηση αντίκτυπου στην προστασία προσωπικών δεδομένων
- Ποιος οφείλει να διενεργεί την ΕΑΠΔ
- Συνέπειες από την παράλειψη διενέργειας εκτίμησης αντικτύπου
- Προϋποθέσεις
- Περιπτώσεις όπου απαιτείται η εκτίμηση αντικτύπου
- Υποχρεωτικότητα
7) Παραδείγματα
8) Η ασφάλεια και η διαφάνεια της παραβίασης δεδομένων
ΕΝΟΤΗΤΑ 4η
ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΚΑΙ IT ΔΙΑΔΙΚΑΣΙΕΣ - ΘΕΜΑΤΑ
1) Εισαγωγή στην Τεχνολογία Πληροφοριών - θέματα Cyber Security και Ασφάλειας Δεδομένων.
2) Λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων και ασφάλεια Συστημάτων (ορισμοί, διαδικασίες, παραδείγματα)
Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων
- Περιεχόμενο Πολιτικών Ασφάλειας ΠΣ
- Ζητήματα Προσωπικού
- Έλεγχος Πρόσβασης
- Διαχείριση Υλικού και Λογισμικού
- Νομικές και Κανονιστικές Απαιτήσεις
- Διαδικασίες Διαχείρισης της Πολιτικής Ασφάλειας
- Οργανωτική Δομή
- Σχέδιο Συνέχισης Λειτουργίας
- Σχέδιο ασφάλειας πληροφοριακών συστημάτων
Διαχείριση Ασφάλειας ΠΣ: Διαδικασίες και Πρακτικές
Διαχείριση δεδομένων (καταγραφή, ανάκτηση, mapping, ταξινόμηση)
- Κρυπτογράφηση δεδομένων
- Monitoring/IDS/IPS
- Κρυπτογράφηση και διαχείριση δεδομένων που διακινούνται μέσω Email
- Διαχείριση κινητών και άλλων συναφών συσκευών
- Καθήκοντα των υπεύθυνων επεξεργασίας και των βοηθών επεξεργασίας για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων και την παροχή ειδοποίησης σε περίπτωση παραβίασης δεδομένων.
3) Website & Privacy Notices – Πώς πρέπει να διαμορφωθεί το Privacy Notice για να συμμορφώνεται με τον Κανονισμό:
- Profiling & GDPR
- Ελάχιστο περιεχόμενο Privacy Notice για να συμμορφώνεται με τον Γενικό Κανονισμό Προσωπικών Δεδομένων
4) Πώς αποδεικνύεται η Ασφάλεια και η Διαφάνεια των δεδομένων;
5) Αξιολόγηση κινδύνων ασφάλειας πληροφοριών (risk assesement)
6) Τι σημαίνει Privacy by design και Privacy by default;
7) Αντιμετώπιση και Διαχείριση περιστατικών παραβίασης δεδομένων (data breaches)
8) Πρακτικές εφαρμογές - Μελέτες περίπτωσης (Case Studies) και υποθετικές περιπτώσεις παραβίασης Προσωπικών Δεδομένων (προσομοίωση συμβάντων - περιστατικών).
ΕΝΟΤΗΤΑ 5η
Παροχή πληροφοριών- Πότε πρέπει να παρέχεται-πώς παρέχεται και ποίες είναι οι εξαιρέσεις
1) Υποχρεώσεις του υπεύθυνου επεξεργασίας για την παροχή πληροφοριών
2) Η ειδοποίηση προς το υποκείμενο
3) Συναίνεση (ορισμός, χαρακτηριστικά, σκοπός επεξεργασίας, τρόπος λήψης, παιδιά, εξαιρέσεις)
4) Η υποχρέωση προς τις εποπτικές αρχές
5) Πρακτικές εφαρμογές
Μεταφορές δεδομένων εκτός Ευρωπαϊκής Ένωσης
1) Γενικά
- Η υποχρέωση μεταφοράς δεδομένων εκτός του Ευρωπαϊκού Οικονομικού Χώρου
- Αποφάσεις επάρκειας και των κατάλληλων διασφαλίσεων και παρεκκλίσεων
- Μεταφορές δεδομένων εντός και εκτός ΕΕΖ
- Κατάλληλα μέτρα
- Αποφάσεις Ευρωπαϊκής Επιτροπής
- Ο ρόλος της Εποπτικής Αρχής
- Το εσωτερικό δίκαιο τρίτων χωρών
- Εκτέλεση συμβολαίου
- Οι διεθνείς συνθήκες
- Ο ρόλος του εκτελούντος την επεξεργασία σε τρίτη χώρα
2) Ενδοεταιρικες/Εντός του ίδιου ομίλου
- Εταιρικοί Δεσμευτικοί Κανόνες
- Εταιρική Πολιτική Διακυβέρνησης
- Χρήση δεδομένων
- Φύση δεδομένων
Συμμόρφωση προς τις Εποπτικές Αρχές
1) Οι Εποπτικές Αρχές (αναλυτικά)
- Ρόλος και τοπική αρμοδιότητα
- Οι ανεξάρτητες εποπτικές αρχές και η «συνεκτικότητα» του ελέγχου
- Οι ανεξάρτητες αρχές στις ρυθμίσεις του Κανονισμού
- Εξουσίες και καθήκοντα
- Συνεργασία και συνεκτικότητα
- One-Stop-Shop και μηχανισμός συνεκτικότητας
2) Παραβίαση δεδομένων
3) Πρόστιμα και κυρώσεις
4) Εφαρμογές της ευρωπαϊκής νομοθεσίας για την προστασία των δεδομένων
- Βάσεις δεδομένων
- Επεξεργασία των δεδομένων προσωπικού χαρακτήρα στην πράξη-Εργοδότες και εργαζόμενοι
- Η συναίνεση του εργαζομένου στην επεξεργασία των προσωπικών του δεδομένων και στα συστήματα παρακολούθησης
- Direct Marketing
- Δημιουργία προφίλ
ΕΝΟΤΗΤΑ 6η
Υπεύθυνος Προστασίας Προσωπικών Δεδομένων
1) Ο Θεσμός
- Ποιες είναι οι βασικές δραστηριότητες του
- Η υποχρεωτική θητεία του ΥΠΔ στα κοινοτικά όργανα
- Ο ρόλος του Ευρωπαίου Επόπτη Προστασίας Δεδομένων
- Ευθύνες και Απαιτήσεις
- Διαφοροποιήσεις από τον «Υπεύθυνο Προστασίας Απορρήτου»
2) Είναι υποχρεωτικός o Ορισμός Υπευθύνου Προστασίας Δεδομένων;
- Ποιοι δημόσιοι οργανισμοί και επιχειρήσεις οφείλουν να ορίσουν υποχρεωτικά ΥΠΔ
- Ποια πρέπει να είναι τα προσόντα του ΥΠΔ
- Πώς επιλέγεται ο ΥΠΔ και ποια η σχέση απασχόλησής του
3) Τα καθήκοντα και οι αρμοδιότητες του ΥΠΔ
- Ενημερωτικός και συμβουλευτικός ρόλος
- Παρακολούθηση συμμόρφωσης προς τις διατάξεις προστασίας προσωπικών δεδομένων
- Συμβολή του ΥΠΔ στην εκτίμηση αντίκτυπου
- Συνεργασία και διαβούλευση με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
4) Τα πρώτα βήματα για τη λειτουργία του ΥΠΔ
- Η διαδικασία επιλογής του ΥΠΔ
- Ίδρυση γραφείου ΥΠΔ
- Καταστατικά κείμενα (κανονισμός, πιθανές τροποποιήσεις καταστατικών κ.τ.λ.)
- Χαρτογράφηση επεξεργασιών δεδομένων
- Συμμετοχή σε συσκέψεις στελεχών
- Ετήσιο πρόγραμμα εργασιών και ετήσια απολογιστική έκθεση
5) Πρακτικές ασκήσεις για εξοικείωση με την εφαρμογή του Κανονισμού
ΤΟ ΠΡΟΓΡΑΜΜΑ ΠΕΡΙΛΑΜΒΑΝΕΙ ΠΡΟΕΤΟΙΜΑΣΙΑ ΓΙΑ ΕΞΕΤΑΣΕΙΣ ΠΙΣΤΟΠΟΙΗΣΗΣ