Παρουσίαση της κα. Χρυσούλας Μιχαηλίδου στην εκδήλωση που πραγματοποίησε ο Κύκλος Ιδεών για την Εθνική Ανασυγκρότηση σε συνεργασία με το Ίδρυμα Διεθνών Νομικών Μελετών- Καθηγητού Ηλία Κρίσπη και με την υποστήριξη της Ελληνοαμερικανικής Ένωσης, με θέμα:
«Προστασία Προσωπικών Δεδομένων - Ηλεκτρονική Ταυτοποίηση»
Διαχείριση Προσωπικών Δεδομένων μετά την υιοθέτηση του νέου Γενικού Κανονισμού (GDPR) και Ηλεκτρονική Ταυτοποίηση με τη χρήση του δικτύου eIDAS (eID_EU): Επιχειρησιακές, τεχνικές και θεσμικές συνέπειες
την Τετάρτη 14 Μαρτίου 2018, στο Θέατρο της Ελληνοαμερικανικής Ένωσης
Στη συζήτηση συμμετείχαν:
Λίλιαν Μήτρου, Πανεπιστήμιο Αιγαίου - Πολυτεχνική Σχολή
Κωνσταντίνος Χριστοδούλου, Πανεπιστήμιο Αθηνών - Νομική Σχολή
Αντώνης Στασής, Υπουργείο Διοικητικής Ανασυγκρότησης - Διεύθυνση Ηλεκτρονικής Διακυβέρνησης
Χρυσούλα Μιχαηλίδου, ΕΕΤΤ, Νομική Υπηρεσία
Γιώργος Παπασταματίου, FORTH-CRS
Κώστας Γκρίτσης, MICROSOFT
Φερενίκη Παναγοπούλου-Κουτνατζή, Πάντειο Πανεπιστήμιο – Σχολή Δημόσια Διοίκησης
Συντόνισε ο Πέτρος Καβάσαλης, Πανεπιστήμιο Αιγαίου - Πολυτεχνική Σχολή & Κύκλος Ιδεών για την Εθνική Ανασυγκρότηση
https://ekyklos.gr/ev/581-14-3-2018-prostasia-dedomenon-ilektroniki-taftopoiisi.html
2. Αντικείμενο του Κανονισμού eIDAS
Κανονισμός (ΕΕ) 910/2014 σχετικά με την ηλεκτρονική ταυτοποίηση και τις
υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική
αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (εφεξής: Καν. eIDAS)
Ηλεκτρονική ταυτοποίηση (Κεφ. ΙΙ Καν. eIDAS)
Ν. 3979/2011 περί Ηλεκτρονικής Διακυβέρνησης
Συστήματα ταυτοποίησης
Something you Know (SYK)
Something you Have (SYH)
Something you Are (SYA)
Σύστημα ταυτοποίησης (όχι σύστημα εντοπισμού θέσης ή βιομετρικά
στοιχεία, άρθρ. 32 ν. 3979/2011)
Εξ αποστάσεως ταυτοποίηση (Remote identification)?
Υπηρεσίες εμπιστοσύνης-Trust Services (Κεφ. ΙΙΙ Καν. eIDAS)
Ηλεκτρονικές υπηρεσίες για ενίσχυση εμπιστοσύνης ΜΜΕ & καταναλωτών
6. Πάροχοι υπηρεσιών εμπιστοσύνης (TSPs)
Κανονισμός Παροχής Υπηρεσιών Εμπιστοσύνης (ΕΕΤΤ)
Ηλεκτρονικό Αρχείο εγκατεστημένων στην Ελλάδα ΠΥΕ
Μη εγκεκριμένοι ΠΥΕ (TSPs)
Εγκεκριμένοι ΠΥΕ (QTSPs)
Εθνικός Κατάλογος Εμπιστοσύνης (National Trust List) για τους QTSPs
Προαιρετική χρήση του ενωσιακού σήματος εμπιστοσύνης
Γενικές υποχρεώσεις ΠΥΕ (εγκεκριμένων και μη)
Απαιτήσεις ασφαλείας / αναφορά συμβάντων (Incident Reporting)
Ειδικές υποχρεώσεις των εγκεκριμένων ΠΥΕ
Συμμόρφωση με απαιτήσεις Καν.eIDAS για εγκεκριμένα
πιστοποιητικά
Σχέδιο Τερματισμού εργασιών (Termination Plan) λ.χ. πτώχευση
Ανάκληση εγκεκριμένων πιστοποιητικών
Τήρηση αρχείου εγκεκριμένων πιστοποιητικών
7. Τι αλλάζει με τον Καν. eIDAS για QTSPs
Qualified Trust Service Providers (Adacom, XAA, ΑΠΕΔ, Byte,
GuNET)
Δυνατότητα εξ αποστάσεως υπογραφής (remote signing) με τη
χρήση μέσων ηλεκτρονικής ταυτοποίησης
συμπεριλαμβανομένης της εξ αποστάσεως (remote
identification)
Έλεγχος των QTSPs κάθε 24 μήνες, με ίδιες δαπάνες, από
διαπιστευμένο οργανισμό αξιολόγησης συμμόρφωσης
(accredited Conformity Assessment Body: ACAB)
Υποβολή από QTSPs στην ΕΕΤΤ έκθεσης αξιολόγησης
συμμόρφωσης (Conformity Assessment Report: CAR) με
eIDAS εντός 3 ημερών από την παραλαβή της από ACAB
8. ΠΥΕ ως υπεύθυνος επεξεργασίας ή/και εκτελών
την επεξεργασία δεδομένων ?
Υποχρεώσεις για ΠΥΕ (εγκεκριμένους & μη) βάσει άρθρ.
19 Καν. eIDAS & άρθρ. 4 Καν. ΕΕΤΤ
Να λαμβάνουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα
διαχείρισης των κινδύνων για την ασφάλεια των υπηρεσιών
εμπιστοσύνης
Διαθέσιμη αναφορά εκτίμησης κινδύνων & αντιμετώπισης
περιστατικών ασφάλειας (λ.χ. παραβίαση προσωπικών
δεδομένων)
Πρόσθετες υποχρεώσεις για εγκεκριμένους ΠΥΕ βάσει
άρθρ. 24 παρ. 2 Καν. eIDAS & άρθρ. 6-12 Καν. ΕΕΤΤ
Να λαμβάνουν κατάλληλα μέτρα κατά κλοπής δεδομένων
Να εξασφαλίζουν τη νόμιμη επεξεργασία των δεδομένων
προσωπικού χαρακτήρα βάσει πλέον του ΓΚΠΔ (GDPR)
9. Δικαιώματα τελικού χρήστη ως υποκειμένου
δεδομένων
Δικαιώματα τελικού χρήστη υπηρεσιών εμπιστοσύνης ως
υποκειμένου δεδομένων
δικαίωμα πρόσβασης στα δεδομένα του που τηρεί ο ΠΥΕ (άρθρ. 12.3.
Καν. ΕΕΤΤ)
δικαίωμα διόρθωσης των δεδομένων του (άρθρ. 12.3. Καν. ΕΕΤΤ)
δικαίωμα στη λήθη (διαγραφή)?: κάθε καταχώρηση εγκεκριμένου
πιστοποιητικού διατηρείται στο αρχείο για τουλάχιστον επτά έτη από τη
λήξη ισχύος του (άρθρ. 12.6. Καν. ΕΕΤΤ)
Υποχρέωση QTSPs για φορητότητα (μεταφορά των δεδομένων) σε
περίπτωση τερματισμού των εργασιών του (άρθρ. 8 &12 Καν. ΕΕΤΤ)
δικαίωμα ψευδωνυμοποίησης (άρθρ. 12.5 Καν. ΕΕΤΤ)
10. Συμβάντα παραβίασης προσωπικών δεδομενων
ΠΥΕ (εγκεκριμένοι & μη) βάσει άρθρ. 19 παρ. 2 Καν. eIDAS &
άρθρ. 5-6 Καν. ΕΕΤΤ
Υποχρέωση να ενημερώνουν την ΕΕΤΤ χωρίς αδικαιολόγητη
καθυστέρηση & σε κάθε περίπτωση εντός 24 ωρών αφότου έλαβαν
γνώση
για παραβίαση της ασφάλειας ή απώλεια της ακεραιότητας που έχει
αντίκτυπο στα δεδομένα προσωπικού χαρακτήρα
τα προσωπικά δεδομένα που επηρεάστηκαν και περιγραφή αυτών
αριθμός και ποσοστό πελατών που επηρεάστηκαν
Ειδοποίηση του τελικού χρήστη σε περίπτωση αθέτησης της
επαρκούς προστασίας της ασφάλειας και των προσωπικών
δεδομένων
Lex specialis σε σύγκριση με άρθρ. 33-34 ΓΚΠΔ (GDPR) για
γνωστοποίηση παραβίασης δεδομένων στην εποπτική αρχή
(ΑΠΔΠΧ) και ανακοίνωση παραβίασης στο υποκείμενο των
δεδομένων
11. Συνεργασία ΕΕΤΤ & ΑΠΔΠΧ
Αιτιολογική σκέψη αρ. 31 & άρθρ. 19 παρ. 2 Καν. eIDAS:
Συνεργασία εποπτικού φορέα (ΕΕΤΤ) με αρχή προστασίας δεδομένων (ΑΠΔΠΧ) όταν
υπάρχουν ενδείξεις για παραβίαση κανόνων προστασίας δεδομένων προσωπικού
χαρακτήρα
Παροχή πληροφοριών για παραβιάσεις δεδομένων προσωπικού χαρακτήρα
Ν. 4070/2012 άρθρ. 12 αρ. ζ (αρμοδιότητες ΕΕΤΤ)
Συνεργασία ΕΕΤΤ & ΑΠΔΠΧ
Ανταλλαγή πληροφοριών
Άρθρ. 60 ΓΚΠΔ (GDPR)
Συνεργασία μεταξύ της επικεφαλής εποπτικής αρχή ΑΠΔΠΧ με άλλες ενδιαφερόμενες
εποπτικές αρχές
Αμοιβαία συνδρομή