Παρουσίαση της κα. Χρυσούλας Μιχαηλίδου στην εκδήλωση που πραγματοποίησε ο Κύκλος Ιδεών για την Εθνική Ανασυγκρότηση σε συνεργασία με το Ίδρυμα Διεθνών Νομικών Μελετών- Καθηγητού Ηλία Κρίσπη και με την υποστήριξη της Ελληνοαμερικανικής Ένωσης, με θέμα: «Προστασία Προσωπικών Δεδομένων - Ηλεκτρονική Ταυτοποίηση» Διαχείριση Προσωπικών Δεδομένων μετά την υιοθέτηση του νέου Γενικού Κανονισμού (GDPR) και Ηλεκτρονική Ταυτοποίηση με τη χρήση του δικτύου eIDAS (eID_EU): Επιχειρησιακές, τεχνικές και θεσμικές συνέπειες την Τετάρτη 14 Μαρτίου 2018, στο Θέατρο της Ελληνοαμερικανικής Ένωσης Στη συζήτηση συμμετείχαν: Λίλιαν Μήτρου, Πανεπιστήμιο Αιγαίου - Πολυτεχνική Σχολή Κωνσταντίνος Χριστοδούλου, Πανεπιστήμιο Αθηνών - Νομική Σχολή Αντώνης Στασής, Υπουργείο Διοικητικής Ανασυγκρότησης - Διεύθυνση Ηλεκτρονικής Διακυβέρνησης Χρυσούλα Μιχαηλίδου, ΕΕΤΤ, Νομική Υπηρεσία Γιώργος Παπασταματίου, FORTH-CRS Κώστας Γκρίτσης, MICROSOFT Φερενίκη Παναγοπούλου-Κουτνατζή, Πάντειο Πανεπιστήμιο – Σχολή Δημόσια Διοίκησης Συντόνισε ο Πέτρος Καβάσαλης, Πανεπιστήμιο Αιγαίου - Πολυτεχνική Σχολή & Κύκλος Ιδεών για την Εθνική Ανασυγκρότηση https://ekyklos.gr/ev/581-14-3-2018-prostasia-dedomenon-ilektroniki-taftopoiisi.html

1. Προστασία Προσωπικών Δεδομένων -
Ηλεκτρονική Ταυτοποίηση
Δρ. Χρυσούλα Μιχαηλίδου
Νομικό Τμήμα
ΕΕΤΤ
14/03/2018

2. Αντικείμενο του Κανονισμού eIDAS
Κανονισμός (ΕΕ) 910/2014 σχετικά με την ηλεκτρονική ταυτοποίηση και τις
υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική
αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (εφεξής: Καν. eIDAS)
 Ηλεκτρονική ταυτοποίηση (Κεφ. ΙΙ Καν. eIDAS)
 Ν. 3979/2011 περί Ηλεκτρονικής Διακυβέρνησης
 Συστήματα ταυτοποίησης
 Something you Know (SYK)
 Something you Have (SYH)
 Something you Are (SYA)
 Σύστημα ταυτοποίησης (όχι σύστημα εντοπισμού θέσης ή βιομετρικά
στοιχεία, άρθρ. 32 ν. 3979/2011)
 Εξ αποστάσεως ταυτοποίηση (Remote identification)?
 Υπηρεσίες εμπιστοσύνης-Trust Services (Κεφ. ΙΙΙ Καν. eIDAS)
 Ηλεκτρονικές υπηρεσίες για ενίσχυση εμπιστοσύνης ΜΜΕ & καταναλωτών

3. Κατηγορίες Υπηρεσιών Εμπιστοσύνης
 Υπηρεσίες Εμπιστοσύνης
Ηλεκτρονική υπογραφή: δημιουργία, επικύρωση, διαφύλαξη
Ηλεκτρονική σφραγίδα: δημιουργία, επικύρωση, διαφύλαξη
Ηλεκτρονική χρονοσφραγίδα
Ηλεκτρονικές υπηρεσίες συστημένης παράδοσης
Πιστοποίηση για επαλήθευση γνησιότητας ιστοτόπων

4. Ισχύς & διακρίσεις ηλεκτρονικών υπογραφών
 Νομική ισχύς Ηλεκτρονικών υπογραφών
 Διάκριση Ηλεκτρονικών υπογραφών
Απλή (λ.χ. αποδοχή με κλικ ή σκαναρισμένη υπογραφή)
Προηγμένη
 βασίζεται σε τεχνολογία ασσύμετρης κρυπτογραφίας
 ιδιωτική κλείδα (δεδομένα δημιουργίας υπογραφής)
 δημόσια κλείδα (δεδομένα επαλήθευσης υπογραφής)
 συνδέεται κατά τρόπο μοναδικό με υπογράφοντα
 είναι ικανή να ταυτοποιεί τον υπογράφοντα
Εγκεκριμένη
 προηγμένη ηλεκτρονική υπογραφή
 δημιουργείται από εγκεκριμένη διάταξη δημιουργίας Η.Υ.
 βασίζεται σε εγκεκριμένο πιστοποιητικό
 Αντίστοιχη διάκριση για Ηλεκτρονικές σφραγίδες &
χρονοσφραγίδες

5. Πλεονεκτήματα Υπηρεσιών Εμπιστοσύνης

6. Πάροχοι υπηρεσιών εμπιστοσύνης (TSPs)
 Κανονισμός Παροχής Υπηρεσιών Εμπιστοσύνης (ΕΕΤΤ)
 Ηλεκτρονικό Αρχείο εγκατεστημένων στην Ελλάδα ΠΥΕ
 Μη εγκεκριμένοι ΠΥΕ (TSPs)
 Εγκεκριμένοι ΠΥΕ (QTSPs)
 Εθνικός Κατάλογος Εμπιστοσύνης (National Trust List) για τους QTSPs
 Προαιρετική χρήση του ενωσιακού σήματος εμπιστοσύνης
 Γενικές υποχρεώσεις ΠΥΕ (εγκεκριμένων και μη)
 Απαιτήσεις ασφαλείας / αναφορά συμβάντων (Incident Reporting)
 Ειδικές υποχρεώσεις των εγκεκριμένων ΠΥΕ
 Συμμόρφωση με απαιτήσεις Καν.eIDAS για εγκεκριμένα
πιστοποιητικά
 Σχέδιο Τερματισμού εργασιών (Termination Plan) λ.χ. πτώχευση
 Ανάκληση εγκεκριμένων πιστοποιητικών
 Τήρηση αρχείου εγκεκριμένων πιστοποιητικών

7. Τι αλλάζει με τον Καν. eIDAS για QTSPs
 Qualified Trust Service Providers (Adacom, XAA, ΑΠΕΔ, Byte,
GuNET)
 Δυνατότητα εξ αποστάσεως υπογραφής (remote signing) με τη
χρήση μέσων ηλεκτρονικής ταυτοποίησης
συμπεριλαμβανομένης της εξ αποστάσεως (remote
identification)
 Έλεγχος των QTSPs κάθε 24 μήνες, με ίδιες δαπάνες, από
διαπιστευμένο οργανισμό αξιολόγησης συμμόρφωσης
(accredited Conformity Assessment Body: ACAB)
 Υποβολή από QTSPs στην ΕΕΤΤ έκθεσης αξιολόγησης
συμμόρφωσης (Conformity Assessment Report: CAR) με
eIDAS εντός 3 ημερών από την παραλαβή της από ACAB

8. ΠΥΕ ως υπεύθυνος επεξεργασίας ή/και εκτελών
την επεξεργασία δεδομένων ?
 Υποχρεώσεις για ΠΥΕ (εγκεκριμένους & μη) βάσει άρθρ.
19 Καν. eIDAS & άρθρ. 4 Καν. ΕΕΤΤ
 Να λαμβάνουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα
διαχείρισης των κινδύνων για την ασφάλεια των υπηρεσιών
εμπιστοσύνης
 Διαθέσιμη αναφορά εκτίμησης κινδύνων & αντιμετώπισης
περιστατικών ασφάλειας (λ.χ. παραβίαση προσωπικών
δεδομένων)
 Πρόσθετες υποχρεώσεις για εγκεκριμένους ΠΥΕ βάσει
άρθρ. 24 παρ. 2 Καν. eIDAS & άρθρ. 6-12 Καν. ΕΕΤΤ
 Να λαμβάνουν κατάλληλα μέτρα κατά κλοπής δεδομένων
 Να εξασφαλίζουν τη νόμιμη επεξεργασία των δεδομένων
προσωπικού χαρακτήρα βάσει πλέον του ΓΚΠΔ (GDPR)

9. Δικαιώματα τελικού χρήστη ως υποκειμένου
δεδομένων
 Δικαιώματα τελικού χρήστη υπηρεσιών εμπιστοσύνης ως
υποκειμένου δεδομένων
 δικαίωμα πρόσβασης στα δεδομένα του που τηρεί ο ΠΥΕ (άρθρ. 12.3.
Καν. ΕΕΤΤ)
 δικαίωμα διόρθωσης των δεδομένων του (άρθρ. 12.3. Καν. ΕΕΤΤ)
 δικαίωμα στη λήθη (διαγραφή)?: κάθε καταχώρηση εγκεκριμένου
πιστοποιητικού διατηρείται στο αρχείο για τουλάχιστον επτά έτη από τη
λήξη ισχύος του (άρθρ. 12.6. Καν. ΕΕΤΤ)
 Υποχρέωση QTSPs για φορητότητα (μεταφορά των δεδομένων) σε
περίπτωση τερματισμού των εργασιών του (άρθρ. 8 &12 Καν. ΕΕΤΤ)
 δικαίωμα ψευδωνυμοποίησης (άρθρ. 12.5 Καν. ΕΕΤΤ)

10. Συμβάντα παραβίασης προσωπικών δεδομενων
 ΠΥΕ (εγκεκριμένοι & μη) βάσει άρθρ. 19 παρ. 2 Καν. eIDAS &
άρθρ. 5-6 Καν. ΕΕΤΤ
 Υποχρέωση να ενημερώνουν την ΕΕΤΤ χωρίς αδικαιολόγητη
καθυστέρηση & σε κάθε περίπτωση εντός 24 ωρών αφότου έλαβαν
γνώση
 για παραβίαση της ασφάλειας ή απώλεια της ακεραιότητας που έχει
αντίκτυπο στα δεδομένα προσωπικού χαρακτήρα
 τα προσωπικά δεδομένα που επηρεάστηκαν και περιγραφή αυτών
 αριθμός και ποσοστό πελατών που επηρεάστηκαν
 Ειδοποίηση του τελικού χρήστη σε περίπτωση αθέτησης της
επαρκούς προστασίας της ασφάλειας και των προσωπικών
δεδομένων
 Lex specialis σε σύγκριση με άρθρ. 33-34 ΓΚΠΔ (GDPR) για
γνωστοποίηση παραβίασης δεδομένων στην εποπτική αρχή
(ΑΠΔΠΧ) και ανακοίνωση παραβίασης στο υποκείμενο των
δεδομένων

11. Συνεργασία ΕΕΤΤ & ΑΠΔΠΧ
 Αιτιολογική σκέψη αρ. 31 & άρθρ. 19 παρ. 2 Καν. eIDAS:
 Συνεργασία εποπτικού φορέα (ΕΕΤΤ) με αρχή προστασίας δεδομένων (ΑΠΔΠΧ) όταν
υπάρχουν ενδείξεις για παραβίαση κανόνων προστασίας δεδομένων προσωπικού
χαρακτήρα
 Παροχή πληροφοριών για παραβιάσεις δεδομένων προσωπικού χαρακτήρα
 Ν. 4070/2012 άρθρ. 12 αρ. ζ (αρμοδιότητες ΕΕΤΤ)
 Συνεργασία ΕΕΤΤ & ΑΠΔΠΧ
 Ανταλλαγή πληροφοριών
 Άρθρ. 60 ΓΚΠΔ (GDPR)
 Συνεργασία μεταξύ της επικεφαλής εποπτικής αρχή ΑΠΔΠΧ με άλλες ενδιαφερόμενες
εποπτικές αρχές
 Αμοιβαία συνδρομή