Galaxy Bookshop

, , ,

THE GDPR HANDBOOK Για DPOs, Eπιχειρήσεις & Οργανισμούς

100,00

Συγγραφές / Author: Κανέλλος Λεωνίδας
ISBN: 9786180800807
Εκδότης / Publisher: Νομική Βιβλιοθήκη
Ημ. Εκδοσης / Date of Publish: 2η 2023
Βιβλιοδεσία / Format: Σκληρόδετη

Η πρώτη έκδοση του παρόντος εγχειριδίου κανονιστικής συμμόρφωσης με τον Ευρωπαϊκό Γενικό Κανονισμό περί προστασίας προσωπικών δεδομένων (2016/679) και την Οδηγία επιβολής του νόμου (2016/680) συνάντησε ενθουσιώδη υποδοχή από ένα τετραψήφιο αριθμό αναγνωστών.

Με στόχο να συνεχίσει να συνδράμει, με χρήση πρακτικών παραδειγμάτων και 50 υποδειγμάτων, DPOs, οργανισμούς και επιχειρήσεις στο δύσκολο έργο τους, το παρόν επικαιροποιημένο έργο “THE GDPR HANDBOOK” εξετάζει τις προκλήσεις πρακτικής εφαρμογής, σε δημόσιο και ιδιωτικό τομέα, του τροποποιημένου Ν 4624/2019 από τις Αρχές Ιδιωτικότητας και τα δικαστήρια.

Μεταξύ άλλων, η θεματολογία του περιλαμβάνει ζητήματα προστασίας δικαιωμάτων υποκειμένων, προστασίας ανηλίκων, εργαζομένων, επεξεργασίας δεδομένων υγείας, βιομετρικής ταυτοποίησης πελατών, χρήσης συστημάτων βιντεοεπιτήρησης και τεχνητής νοημοσύνης.

Αναλύονται επίσης οι υποχρεώσεις σεβασμού της ιδιωτικότητας μαρτύρων, υπόπτων και κατηγορουμένων από τις διωκτικές αρχές κατά την ποινική διαδικασία, το νέο πλαίσιο περί άρσης του απορρήτου (Ν 5002/2022), η επεξεργασία διαβαθμισμένων δεδομένων εθνικής ασφάλειας, η χρήση κατασκοπευτικών λογισμικών, καθώς και το νέο καθεστώς διεθνών διαβιβάσεων δεδομένων προσωπικού χαρακτήρα, μετά την απόφαση Schrems II του ΔΕΕ.

Εκτός από τα πρόστιμα και τις κυρώσεις, ο συγγραφέας προσεγγίζει, με κριτική σκέψη, τις νεότερες ρυθμίσεις για τις αναδυόμενες τεχνολογίες (Ν 4961/2022), τις ευρωπαϊκές πρωτοβουλίες για τις ψηφιακές αγορές και υπηρεσίες, τις κρυπτοσυναλλαγές, την κυβερνοασφάλεια, το Διαδίκτυο των Πραγμάτων, την ψηφιακή ανθεκτικότητα, τα πρότυπα και την πιστοποίηση αλλά και το αναδυόμενο Μετασύμπαν (Metaverse).

Περιεχόμενα

Πρόλογος 2ης έκδοσης XI

Σημείωμα Συγγραφέα 1ης έκδοσης XV

Περιεχόμενα XXIII

Συντομογραφίες XLIII

Εισαγωγή 1

Μέρος Πρώτο

H ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΨΗΦΙΑΚΗ ΟΙΚΟΝΟΜΙΑ ΚΑΙ ΚΟΙΝΩΝΙΑ

Κεφάλαιο 1

ΟΙ ΒΑΣΙΚΕΣ ΑΠΑΙΤΗΣΕΙΣ ΤΗΣ ΚΑΝΟΝΙΣΤΙΚΗΣ ΣΥΜΜΟΡΦΩΣΗΣ

Α. ΝΟΜΙΜΟΤΗΤΑ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 24

1. Έννοια δεδομένων προσωπικού χαρακτήρα 24

i. Τα φυσικά πρόσωπα εν ζωή ως υποκείμενα επεξεργασίας 24

ii. Τα νομικά πρόσωπα εκτός πεδίου εφαρμογής ΓΚΠΔ 25

2. Επεξεργασία δεδομένων προσωπικού χαρακτήρα 26

i. Διασυνοριακή επεξεργασία 27

ii. Κατάρτιση Προφίλ 28

iii. Ένταξη σε οργανωμένο σύστημα αρχειοθέτησης 28

iv. Υπεύθυνος επεξεργασίας 29

v. Από κοινού υπεύθυνοι επεξεργασίας 31

vi. Εκτελών επεξεργασία 33

vii. Αποδέκτης των δεδομένων 35

viii. Τρίτος 36

3. Όροι νόμιμης επεξεργασίας 36

4. Δεδομένα ειδικών κατηγοριών 38

5. Ειδικοί όροι επεξεργασίας 41

6. Κύρια εγκατάσταση 43

i. Έδρα στον Ευρωπαϊκό Οικονομικό Χώρο: αυτοδίκαια υπαγωγή 43

ii. Έδρα εκτός Ευρωπαϊκού Οικονομικού Χώρου : διορισμός εκπροσώπου στην Ένωση 44

Β. ΑΣΦΑΛΕΙΑ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 45

1. Εμπιστευτικότητα, Ακεραιότητα και Διαθεσιμότητα 45

i. Εκτίμηση Αντικτύπου Προστασίας Δεδομένων 46

α. Μεθοδολογία εκπόνησης 47

β. Ομαδοποίηση πράξεων επεξεργασίας υψηλού κινδύνου 50

ii. Προστασία ιδιωτικότητας εξ ορισμού και από το σχεδιασμό 51

XXIV

2. Τεχνικά και οργανωτικά μέτρα ασφαλείας 52

i. Ψευδωνυμοποίηση 53

ii. Ανωνυμοποίηση 54

iii. Tokenisation 56

iv. Κρυπτογράφηση 58

3. Παραβίαση ασφάλειας δεδομένων 61

i. Πότε συντρέχει παραβίαση 61

ii. Αναφορά παραβιάσεων εντός 72 ωρών 63

iii. Πρόστιμα επί παραβιάσεων 64

4. Εποπτικές Αρχές 66

i. Εθνικές Αρχές 66

ii. Επικεφαλής Εποπτική Αρχή – Ενδιαφερόμενη Εποπτική Αρχή 67

iii. Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων 68

α. Μηχανισμός συνεργασίας και συνεκτικότητας 69

β. Επίλυση διαφορών μεταξύ εθνικών αρχών 70

γ. Προσβολή αποφάσεων του ΕΣΠΔ ενώπιον του ΔΕΕ 71

δ. Προσβολή αποφάσεων του ΕΣΠΔ ενώπιον εθνικού δικαστηρίου 71

ε. Δεσμευτικές αποφάσεις ΕΣΠΔ 71

στ. Ακυρωτικός έλεγχος αποφάσεων διασυνοριακής εποπτείας της αγοράς 72

iv. Ευρωπαίος Επόπτης Προστασίας Δεδομένων 74

Κεφάλαιο 2

ΓΕΝΙΚΟ ΟΡΓΑΝΩΤΙΚΟ ΠΛΑΙΣΙΟ ΔΙΑΧΕΙΡΙΣΗΣ ΙΔΙΩΤΙKΟΤΗΤΑΣ ΚΑΙ ΑΣΦΑΛΕΙΑΣ

1. Ενημέρωση και ευαισθητοποίηση 77

i. Εκπαίδευση προσωπικού 77

ii. Πρόγραμμα εκπαίδευσης 77

2. Ανάλυση ελλείψεων 79

i. Μεθοδολογία εκτέλεσης 79

ii. Αναθεώρηση εσωτερικών διαδικασιών 79

3. Ανάθεση υπηρεσιακών ρόλων Ασφάλειας και Ιδιωτικότητας 81

i. Υπεύθυνος Διασφάλισης Απορρήτου 81

ii. Υπεύθυνος Ασφάλειας Δεδομένων 81

iii. Υπεύθυνος Ασφάλειας Πληροφοριών και Δικτύων 82

iv. Υπεύθυνος Προστασίας Δεδομένων 83

v. Υπεύθυνος Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών 84

vi. Υπεύθυνος Παραλαβής και Παρακολούθησης Αναφορών 85

4. Διακυβέρνηση, Διαχείριση Κινδύνου και Κανονιστική Συμμόρφωση 87

5. Καταγραφή επεξεργασιών 89

i. Αρχείο επεξεργασιών 89

ii. Χαρτογράφηση ροής δεδομένων 90

XXV

6. Υλοποίηση Ιδιωτικότητας εξ Αρχής και από τον Σχεδιασμό 91

7. Ανάλυση κινδύνων – Εκτίμηση αντικτύπου ιδιωτικότητας 91

i. Φάσεις εκπόνησης 92

ii. Έλεγχος πληρότητας 92

8. Διαβούλευση με την Εποπτική Αρχή 94

9. Διαχείριση ασφάλειας πληροφοριών – Πολιτική ασφάλειας 95

10. Διαχείριση δικαιωμάτων υποκειμένων 96

i. Πολιτική Ιδιωτικότητας 96

ii. Βέλτιστες πρακτικές διαφανούς επικοινωνίας 98

11. Διαχείριση κινδύνου από τρίτα μέρη 99

i. Σύμβαση επεξεργασίας δεδομένων 99

ii. Δομή και περιεχόμενο 99

12. Αντιμετώπιση και μεταφορά κινδύνου 101

i. Κυβερνοασφάλιση 102

ii. Ασφαλιζόμενοι κίνδυνοι 103

13. Διεθνείς Δραστηριότητες – Μηχανισμοί διασυνοριακών διαβιβάσεων 103

14. Σύστημα διασφάλισης συμμόρφωσης 104

i. Περιοδικοί έλεγχοι συμμόρφωσης 104

ii. Είδη ελέγχων 105

iii. Διαρκής παρακολούθηση 105

Κεφάλαιο 3

ΙΔΙΩΤΙΚΟΤΗΤΑ, ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

Α. ΝΟΜΙΚΗ ΠΡΟΣΤΑΣΙΑ ΙΔΙΩΤΙΚΗΣ ΖΩΗΣ 107

1. Δικαίωμα στην ιδιωτικότητα 107

2. Ιδιωτικότητα στον κυβερνοχώρο 109

3. Κίνδυνοι και απειλές 110

4. Aνάγκη προστασίας 112

5. Στάθμιση συνταγματικών δικαιωμάτων 114

Β. ΦΥΣΙΚΗ ΚΑΙ ΛΟΓΙΚΗ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ 115

1. Διασφάλιση απορρήτου και εμπιστευτικότητας 116

2. Εμπιστευτικές πληροφορίες και προσωπικά δεδομένα 118

3. Νομική προστασία απορρήτου 119

i. Μορφές και είδη απορρήτου 119

ii. Ποινική προστασία απορρήτου 121

4. Προστασία απορρήτου των επικοινωνιών 122

i. Περιεχόμενο και έκταση προστασίας 124

XXVI

ii. Ρόλος της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών 125

iii. Ανάγκη ολιστικής προσέγγισης του επικοινωνιακού απορρήτου 127

iv. Εξουδετέρωση απόκρυψης επί κακόβουλων κλήσεων 132

v. Ελεγκτικές εξουσίες ΑΠΔΠΧ και εξαιρέσεις 133

vi. Αυτοπιστοποίηση υποχρέων συμμόρφωσης 134

5. Άρση απορρήτου επικοινωνιών 135

i. Το νέο νομοθετικό πλαίσιο του Ν 5002/2022 136

α. Άρση απορρήτου επικοινωνιών για λόγους εθνικής ασφάλειας 138

β. Άρση απορρήτου επικοινωνιών προς διακρίβωση σοβαρών εγκλημάτων 139

γ. Άρση απορρήτου επικοινωνιών πολιτικών προσώπων 142

δ. Γνωστοποίηση παρακολούθησης στον θιγόμενο 143

ε. Διαγραφή δεδομένων 146

ii. Λογισμικά και συσκευές παρακολούθησης 147

iii. Νομοτεχνικές αδυναμίες N 5002/2022 149

6. Συνέπειες απώλειας δεδομένων 151

7. Μάρτυρες δημοσίου συμφέροντος (whistleblowers) 152

i. Έννοια μαρτύρων δημοσίου συμφέροντος 152

ii. Νομική προστασία μαρτύρων δημοσίου συμφέροντος 153

iii. Ενσωμάτωση Οδηγίας 2019/1937 154

iv. Υπόχρεοι συμμόρφωσης 154

8. Παραδείγματα παραβιάσεων ασφάλειας, διαθεσιμότητας και ιδιωτικότητας 155

Κεφάλαιο 4

ΤΟ ΘΕΣΜΙΚΟ ΠΛΑΙΣΙΟ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΚΑΙ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ

Α. ΔΙΕΘΝΕΙΣ ΣΥΜΒΑΣΕΙΣ ΚΑΙ ΕΥΡΩΠΑΪΚΕΣ ΣΥΝΘΗΚΕΣ 158

1. Αναθεωρημένη Διεθνής Σύμβαση 108+ Συμβουλίου της Ευρώπης 158

2. Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου 159

3. Συνθήκη Λειτουργίας Ευρωπαϊκής Ένωσης 160

4. Χάρτης Θεμελιωδών Δικαιωμάτων Ευρωπαϊκής ΄Ένωσης 160

Β. ΕΥΡΩΠΑΪΚΟΙ ΚΑΝΟΝΙΣΜΟΙ 161

1. Κανονισμός 2018/1725 για την προστασία δεδομένων από τα θεσμικά όργανα της ΕΕ 162

2. Κανονισμός 2018/1807 για την ελεύθερη ροή μη προσωπικών δεδομένων 163

3. Πράξη για τις ψηφιακές υπηρεσίες – Πράξη για την ψηφιακή αγορά 166

4. Σχέδιο Κανονισμού προστασίας ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες 168

i. Σχέση GDPR με κανονισμό ePrivacy 168

ii. Κατοχύρωση του soft opt-in ως υποκατάστατου της συγκατάθεσης 170

iii. Εξέλιξη νομοθετικής διαδικασίας 171

XXVII

iv. Εφαρμογή σε υπηρεσίες ηλεκτρονικών επικοινωνιών 171

v. Εμπιστευτικότητα επικοινωνιών – Προστασία τερματικού εξοπλισμού χρηστών 172

vi. Χρήση cookies με συναίνεση χρήστη 172

vii. Αυτόκλητη εμπορική επικοινωνία 173

5. Πρόταση Κανονισμού για τις απαιτήσεις κυβερνοασφάλειας 175

6. Σχέδιο Κανονισμού για εναρμονισμένους κανόνες δίκαιης πρόσβασης και χρήσης δεδομένων 175

Γ. ΕΥΡΩΠΑΪΚΕΣ ΟΔΗΓΙΕΣ 177

1. Οδηγία 2006/24/ΕΚ για τη διατήρηση δεδομένων 178

2. Οδηγία 2016/680 για την επιβολή του νόμου 181

3. Οδηγία (EE) 2016/681 για τις υποχρεώσεις των αερομεταφορέων 183

4. Οδηγία 2022/2555 για την ασφάλεια δικτύων και πληροφοριών (NIS II) 184

i. Διαφορές μεταξύ Οδηγιών Κυβερνοασφάλειας 185

ii. Διαφορές μεταξύ Οδηγιών Κυβερνοασφάλειας και Γενικού Κανονισμού 186

iii. Υποχρεώσεις αναφοράς συμβάντων 187

iv. Νομοθεσία για αναδυόμενες τεχνολογίες 188

v. Συγκεντρωτικός πίνακας νομοθετημάτων ασφάλειας και ιδιωτικότητας 190

Κεφάλαιο 5

ΤΗΡΗΣΗ ΑΡΧΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΣΕΒΑΣΜΟΣ ΔΙΚΑΙΩΜΑΤΩΝ ΥΠΟΚΕΙΜΕΝΟΥ

Α. Η ΕΛΕΥΘΕΡΗ ΚΥΚΛΟΦΟΡΙΑ ΔΕΔΟΜΕΝΩΝ ΩΣ ΑΝΑΠΤΥΞΙΑΚΗ ΣΤΡΑΤΗΓΙΚΗ 191

1. Κατάργηση προληπτικού ελέγχου 191

2. Αυτοπιστοποίηση υποχρέων συμμόρφωσης 192

3. Συνοπτική αξιολόγηση περιεχομένου άρθρων 193

Β. ΡΥΘΜΙΣΕΙΣ ΜΕ ΠΡΑΚΤΙΚΟ ΕΝΔΙΑΦΕΡΟΝ ΓΙΑ ΤΟ ΧΡΗΣΤΗ 200

1. Κοινή ευθύνη υπευθύνου και εκτελούντος επεξεργασία 200

2. Νόθος αντικειμενική ευθύνη και απαλλαγή ανυπαίτιου μέρους 201

Γ. ΤΗΡΗΣΗ ΑΡΧΩΝ ΣΥΝΝΟΜΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 202

1. Αρχή νομιμότητας, αντικειμενικότητας και διαφάνειας 203

2. Αρχή σκοπού 204

3. Αρχή ελαχιστοποίησης δεδομένων 205

4. Αρχή ακρίβειας 206

5. Αρχή περιορισμού περιόδου αποθήκευσης 206

6. Αρχή ακεραιότητας και εμπιστευτικότητας 207

7. Αρχή αναλογικότητας 207

8. Αρχή λογοδοσίας 208

XXVIII

Δ. ΣΕΒΑΣΜΟΣ ΔΙΚΑΙΩΜΑΤΩΝ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ 209

1. Δικαίωμα ενημέρωσης 209

2. Δικαίωμα πρόσβασης 209

3. Δικαίωμα διόρθωσης 210

4. Δικαίωμα διαγραφής («δικαίωμα στη λήθη») 210

i. Διαγραφή αποτελεσμάτων από μηχανές αναζήτησης 211

ii. Γεωγραφική έκταση δικαιώματος στη διαγραφή 211

5. Δικαίωμα περιορισμού της επεξεργασίας 213

6. Δικαίωμα φορητότητας δεδομένων 213

7. Δικαίωμα εναντίωσης 215

8. Δικαίωμα μη αυτοματοποιημένης λήψης αποφάσεων 215

i. Δικαίωμα υποκειμένου στην παροχή ατομικών εξηγήσεων; 216

ii. Εκτελεστή νομική υποχρέωση επεξεργαστή δεδομένων ; 217

iii. Η αυθεντία του αλγόριθμου 218

Ε. ΔΙΑΣΥΝΟΡΙΑΚΕΣ ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ 219

1. Αποφάσεις Επάρκειας 220

2. Κατάλληλες εγγυήσεις 221

i. Δεσμευτικοί εταιρικοί κανόνες 221

ii. Τυποποιημένες συμβατικές ρήτρες 222

iii. Εγκεκριμένοι κώδικες δεοντολογίας 223

iv. Διαβίβαση βάσει παρεκκλίσεων για ειδικές καταστάσεις 223

v. Διαβιβάσεις δεδομένων βάσει πιστοποίησης 224

vi. Πρακτικά παραδείγματα 224

3. Διαβιβάσεις δεδομένων μεταξύ ΕΕ και Ηνωμένου Βασιλείου 225

i. Αναγνώριση επάρκειας UK GDPR 226

ii. Προτεινόμενες αλλαγές UK GDPR 227

4. Διαβιβάσεις προσωπικών δεδομένων μεταξύ ΕΕ-ΗΠΑ 228

i. Η υπόθεση Schrems I : ακύρωση νομοθεσίας περί «Ασφαλούς Λιμένα» 228

ii. Η υπόθεση Schrems II : ακύρωση νομοθεσίας περί «Ασπίδας Ιδιωτικότητας» 229

iii. Η απόφαση της Ιρλανδικής Αρχής κατά της Meta Ireland 230

5. Διατλαντικό Πλαίσιο Ιδιωτικότητας 231

i. Απόφαση Επάρκειας της 13ης Ιουλίου 2023 (EU-U.S Data Privacy Framework) 232

ii. Αξιολόγηση επιπτώσεων νέου πλαισίου διαβιβάσεων 233

iii. Δεδομένα εθνικής ασφάλειας – US Cloud Act 234

iv. Οι επιπτώσεις της Συμφωνίας στις ποινικές υποθέσεις 235

6. Νέα πλαίσια απορρήτου και κοινής χρήσης δεδομένων 237

7. Εκτιμήσεις Αντικτύπου Διεθνών Διαβιβάσεων 237

XXIX

Κεφάλαιο 6

ΟΡΟΙ ΥΠΑΓΩΓΗΣ ΥΠΕΥΘΥΝΩΝ ΚΑΙ ΕΚΤΕΛΟΥΝΤΩΝ ΣΤΟΝ ΓΚΠΔ

Α. ΕΙΔΟΣ ΚΑΙ ΣΚΟΠΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ 239

1. Επεξεργασία για επαγγελματικές δραστηριότητες 239

2. Επεξεργασία για προσωπικές ή οικιακές δραστηριότητες 240

Β. ΟΡΓΑΝΩΜΕΝΟ ΣΥΣΤΗΜΑ ΑΡΧΕΙΟΘΕΤΗΣΗΣ 241

1. Έννοια αρχείου 242

2. Αθέμιτη πρόσβαση σε αρχείο 243

3. Αρχειοθέτηση για επιστημονικούς, ερευνητικούς και στατιστικούς σκοπούς 247

4. Δικαίωμα πρόσβασης του κοινού σε αρχεία 248

Γ. ΕΓΚΑΤΑΣΤΑΣΗ ΣΤΗΝ ΕΕ Ή ΣΤΟΧΕΥΣΗ ΕΥΡΩΠΑΙΩΝ ΠΟΛΙΤΩΝ 249

1. Κριτήριο Εγκατάστασης στην ΕΕ 249

i. Έννοια εγκατάστασης στην ΕΕ 249

ii. Ορισμός εκπροσώπου στην Ένωση 250

iii. Η Ευρωπαϊκή νομολογία περί εγκατάστασης 250

2. Κριτήριο στόχευσης Ευρωπαίων πολιτών 251

i. Έννοια στόχευσης 251

ii. Η Ευρωπαϊκή νομολογία περί στόχευσης 252

iii. Οι εμπορικές επιπτώσεις του ΓΚΠΔ 252

iv. Διάγραμμα εφαρμογής ΓΚΠΔ σε οργανισμούς και εταιρίες 253

Δ. Ο ΡΟΛΟΣ ΤΩΝ ΕΠΟΠΤΙΚΩΝ ΑΡΧΩΝ: ΕΞΟΥΣΙΕΣ, ΚΥΡΩΣΕΙΣ ΚΑΙ ΠΡΟΣΤΙΜΑ 254

1. Ελεγκτικές και διορθωτικές εξουσίες 255

2. Διαχείριση καταγγελιών 255

3. Χρηματοδότηση Εποπτικών Αρχών 256

4. Διοικητικά πρόστιμα 259

i. Κλίμακες διοικητικών προστίμων 259

ii. Μοντέλα υπολογισμού διοικητικών προστίμων 261

iii. Αυξητική τάση διοικητικών προστίμων 263

α. Κυρώσεις κατά μεγάλων τεχνολογικών εταιριών 264

β. Κυρώσεις κατά λοιπών παραβατών 265

iv. Κατανομή προστίμων ανά κλάδο 267

v. Κυρώσεις και πρόστιμα στην Ελλάδα 268

5. Αστική και ποινική ευθύνη παραβατών 270

6. Ερωτήσεις κατανόησης και πρακτικά θέματα 271

XXX

Κεφάλαιο 7

Η ΕΥΡΩΠΑΪΚΗ ΕΜΠΕΙΡΙΑ ΕΝΣΩΜΑΤΩΣΗΣ ΤΟΥ ΓΚΠΔ

Α. ΕΙΣΑΓΩΓΗ ΡΗΤΡΩΝ ΕΥΕΛΙΞΙΑΣ ΓΚΠΔ 274

1. Ειδικές επεξεργασίες δεδομένων 274

2. Ψηφιακή ενηλικίωση παιδιών 275

3. Δεδομένα ειδικών κατηγοριών 275

4. Εξαιρέσεις και περιορισμοί δικαιωμάτων 275

5. Όρια προστίμων κατά δημόσιων αρχών 276

Β. ΟΙ ΑΠΟΚΛΙΣΕΙΣ ΜΕΤΑΞΥ ΕΥΡΩΠΑΪΚΩΝ ΝΟΜΩΝ 276

1. Ευνοϊκή μεταχείριση δημόσιου τομέα 278

2. Προστασία μικρομεσαίων επιχειρήσεων και μη κερδοσκοπικών φορέων 278

3. Προσωπικά δεδομένα εργαζομένων 279

4. Περιορισμοί δικαιωμάτων υποκειμένων 280

5. Νόμιμη ηλικία συναίνεσης ανηλίκων 281

6. Όροι διορισμού Υπευθύνου Προστασίας Δεδομένων 281

7. Marketing και εμπορική επικοινωνία 282

8. Προστασία προσωπικών δεδομένων θανόντων 284

9. Ελευθερία έκφρασης, ακαδημαϊκοί και καλλιτεχνικοί σκοποί 287

Μέρος Δεύτερο

Η ΚΑΝΟΝΙΣΤΙΚΗ ΣΥΜΜΟΡΦΩΣΗ ΣΤΟ ΕΡΓΑΣΙΑΚΟ ΚΑΙ ΕΠΙΧΕΙΡΗΣΙΑΚΟ ΠΕΡΙΒΑΛΛΟΝ

Κεφάλαιο 8

ΕΘΝΙΚΑ ΜΕΤΡΑ ΕΦΑΡΜΟΓΗΣ ΓΚΠΔ – Ν 4624/2019

Α. ΓΕΝΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ ΕΠΙ ΤΟΥ ΝΟΜΟΥ 294

1. Ο τροποποιητικός νόμος 5002/2022 295

i. Πίνακας τροποποιήσεων Ν 4624/2019 297

ii. Δομή και θεματικά περιεχόμενα κεφαλαίων 301

2. Νομοτεχνικές αδυναμίες 305

i. Δομική ασυνέχεια άρθρων 306

ii. Διατήρηση προγενεστέρων διατάξεων 306

iii. Aδόκιμη διάκριση μεταξύ δημοσίων και ιδιωτικών φορέων 308

iv. Λανθασμένη θέσπιση νέων εθνικών νομικών βάσεων επεξεργασίας 308

v. Έλλειψη συμβατότητας με το Γενικό Κανονισμό 309

vi. Έλλειψη ελέγχου πράξεων επεξεργασίας δικαστικών αρχών 310

XXXI

vii. Πλημμελής εναρμόνιση με τη νομοθεσία περί τύπου 311

viii. Έλλειψη οργάνου ελέγχου διαβαθμισμένων δεδομένων εθνικής ασφάλειας 312

ix. Απουσία ενός συνεκτικού πλαισίου κυρώσεων 312

x. Ανάγκη ενοποίησης των Εποπτικών Αρχών 313

Β. ΕΙΔΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ ΕΠΙ ΑΡΘΡΩΝ 315

1. Ουσιαστικό πεδίο εφαρμογής σε δημόσιους και ιδιωτικούς φορείς 315

i. Οριοθέτηση δημοσίου τομέα 316

ii. Ανάγκη αποφυγής διακριτικής μεταχείρισης 317

iii. Δευτερογενείς επεξεργασίες δεδομένων πέραν του αρχικού σκοπού συλλογής 318

α. Δευτερογενείς επεξεργασίες εκ μέρους δημοσίων φορέων 319

β. Δευτερογενείς επεξεργασίες εκ μέρους ιδιωτικών φορέων 320

2. Εδαφικό πεδίο εφαρμογής 321

3. Ορισμός ΥΠΔ σε δημόσιους φορείς 322

i. Yποχρεωτικός διορισμός 323

ii. Διασφάλιση ανεξαρτησίας 323

Γ. ΝΟΜΙΜΟΤΗΤΑ ΕΠΕΞΕΡΓΑΣΙΑΣ 324

1. Επεξεργασία βάσει δημοσίου συμφέροντος 325

i. Νομικές βάσεις επεξεργασίας 325

ii. Τεκμηρίωση ύπαρξης δημοσίου συμφέροντος 326

α. Ανταλλαγή πληροφοριών μεταξύ δημόσιων αρχών 327

β. Τεκμηρίωση νομιμότητας κάθε επιμέρους επεξεργασίας 328

2. Επεξεργασία δεδομένων εργαζομένων 330

i. Γενικές αρχές συλλογής και επεξεργασίας 332

ii. Συγκατάθεση στη σχέση απασχόλησης 333

iii. Έλεγχος και ηλεκτρονική επιτήρηση εργαζομένων 335

α. Καταγραφή τηλεφωνικών κλήσεων και ηλεκτρονικών μηνυμάτων 335

β. Χρήση συστημάτων βιντεοεπιτήρησης 336

γ. Ορισμός συστημάτων βιντεοεπιτήρησης 338

δ. Εγκατάσταση καμερών σε δημόσιο χώρο 339

ε. Εγκατάσταση καμερών σε ιδιωτικό χώρο 340

στ. Εγκατάσταση καμερών σε χώρους εργασίας 342

ζ. Διαχείριση στόλου οχημάτων 343

η. Η θέση της ΑΠΔΠΧ και των δικαστηρίων 344

iv. Η νομιμότητα της επεξεργασίας βιντεοληπτικού υλικού 347

α. Ενημέρωση των υποκειμένων 347

β. Επιλογή κατάλληλης νομικής βάσης επεξεργασίας 347

γ. Εκτίμηση αντικτύπου χρήσης καμερών 349

δ. Απαγόρευση χρήσης βιντεοεπιτήρησης προς αξιολόγηση εργαζομένων 350

ε. Χρήση καμερών οχημάτων για καταγραφή τροχαίων ατυχημάτων 351

στ. Χρόνος διατήρησης δεδομένων εικόνας και ήχου 352

ζ. Χρήση κοινωνικών δικτύων ως εργαλείων παρακολούθησης 354

XXXII

v. Yγειονομική κρίση και τηλεργασία 354

α. Όροι εφαρμογής ΓΚΠΔ στο πλαίσιο της τηλεργασίας 356

β. Υποχρεώσεις εργοδότη και εργαζομένου 357

γ. Επαρκής ενημέρωση τηλεαπασχολούμενων 358

δ. Ασφαλής χρήση προσωπικών συσκευών 359

ε. Καταγραφή τηλεδιάσκεψης με τρίτα πρόσωπα 360

3. Χρήση τεχνητής νοημοσύνης στη διαδικασία πρόσληψης 361

i. Εισαγωγή ΤΝ σε προσλήψεις στο ελληνικό Δημόσιο 361

ii. Υποχρεώσεις εργοδότη σε δημόσιο και ιδιωτικό τομέα 362

4. Ταυτοποίηση υποκειμένων από απόσταση 363

i. Διαδικασία ταυτοποίησης 363

ii. Ισχυρή βιομετρική ταυτοποίηση πελάτη 364

iii. Νομιμότητα επεξεργασίας βιομετρικών δεδομένων 365

iv. Σχέση 2 Οδηγίας Πληρωμών με ΓΚΠΔ 366

v. Επεξεργασία δεδομένων «σιωπηλά μετεχόντων» σε υπηρεσίες πληρωμών 368

vi. Βιομετρική εμφύτευση μικροτσίπ σε εργαζομένους 368

α. Οι υπέρμαχοι της εμφύτευσης μικροτσίπ σε ανθρώπους 369

β. Οι πολέμιοι της εμφύτευσης μικροτσίπ σε ανθρώπους 371

5. Γονικός έλεγχος πρόσβασης παιδιών σε ψηφιακές υπηρεσίες 372

i. Έννοια υπηρεσιών Κοινωνίας της Πληροφορίας 372

ii. Διασυνδεδεμένα παιχνίδια 373

iii. Εγκυρότητα λήψης συγκατάθεσης από παιδιά 375

iv. Παροχή υπηρεσιών σε παιδικό κοινό ή και σε ενηλίκους 377

v. Τεχνικές ελέγχου και λήψης γονικής συγκατάθεσης 379

Δ. ΕΞΑΙΡΕΣΕΙΣ ΚΑΙ ΠΕΡΙΟΡΙΣΜΟΙ ΔΙΚΑΙΩΜΑΤΩΝ 380

1. Εθνική ασφάλεια και δίωξη ποινικών αδικημάτων 381

i. Εθνική ασφάλεια και προστασία ιδιωτικής και οικογενειακής ζωής 382

ii. Ειδικοί όροι επεξεργασίας δεδομένων εθνικής ασφάλειας 383

iii. Έλεγχος εκτελούντων επεξεργασία για κρατικές υπηρεσίες 384

2. Επεξεργασία υγειονομικών, κοινωνικοασφαλιστικών και γενετικών δεδομένων 385

3. Επεξεργασία στατιστικών δεδομένων 386

4. Ελευθερία έκφρασης και ΜΜΕ 387

i. Η εφαρμογή του ΓΚΠΔ στα μέσα μαζικής επικοινωνίας 387

ii. H δημοσιογραφία υπό το πρίσμα του GDPR 388

iii. Η νομολογία της ΑΠΔΠΧ και των δικαστηρίων 389

5. Μη ζητηθείσα πολιτική επικοινωνία 392

Ε. ΕΛΕΓΧΟΣ ΕΦΑΡΜΟΓΗΣ, ΠΡΟΣΤΙΜΑ ΚΑΙ ΚΥΡΩΣΕΙΣ 393

1. Διοικητικά πρόστιμα κατά του Δημοσίου 393

i. Nομοθετικός περιορισμός ύψους προστίμων 394

ii. Ακυρωτικός έλεγχος ΑΠΔΠΧ από το ΣτΕ 395

XXXIII

2. Αστική ευθύνη υπευθύνου επεξεργασίας 396

i. Αποζημίωση υποκειμένου 396

ii. Εκπροσώπηση του υποκειμένου από τρίτο φορέα 397

3. Ποινική ευθύνη παραβατών 399

i. Η νομολογία των ποινικών δικαστηρίων 400

ii. Ηπιότερη ποινική μεταχείριση εγκλημάτων κατά της ιδιωτικότητας 402

Κεφάλαιο 9

ΠΡΟΣΤΑΣΙΑ ΥΠΟΚΕΙΜΕΝΩΝ ΚΑΤΑ ΤΗΝ ΠΟΙΝΙΚΗ ΔΙΑΔΙΚΑΣΙΑ (ΟΔΗΓΙΑ 680/2016)

Α. Η ΕΥΡΩΠΑΪΚΗ ΠΡΟΣΕΓΓΙΣΗ 403

1. Ομοιότητες και διαφορές μεταξύ Αστυνομικής Οδηγίας και Γενικού Κανονισμού 404

i. Ταύτιση βασικών αρχών νόμιμης επεξεργασίας 405

ii. Αποκλίσεις της Οδηγίας από τις αρχές νόμιμης επεξεργασίας 406

2. Πεδίο εφαρμογής της Οδηγίας επιβολής του νόμου 407

i. Γεωγραφικό πεδίο εφαρμογής 407

ii. Ουσιαστικό πεδίο εφαρμογής 408

3. Καθυστέρηση ενσωμάτωσης και εθνικές αποκλίσεις 410

i. Έννοια ποινικού αδικήματος 411

ii. Έννοια δημόσιας αρχής 412

iii. Δημόσια ασφάλεια και εθνική ασφάλεια 412

iv. Κατηγοριοποίηση παραβάσεων 413

4. Παράλληλη εφαρμογή Κανονισμού και Οδηγίας 415

i. Ειδικοί κανόνες επεξεργασίας Οδηγίας 415

ii. Μελέτη περίπτωσης 416

iii. Νομική προστασία καταγγέλλοντος και καταγγελλομένου 417

5. Διεθνείς διαβιβάσεις ποινικών δεδομένων 418

i. Διαβιβάσεις προς τρίτες χώρες ή διεθνείς οργανισμούς 418

ii. Διαβιβάσεις μεταξύ Ευρώπης και ΗΠΑ 418

iii. Διαβιβάσεις μεταξύ Ηνωμένου Βασιλείου και ΗΠΑ 420

Β. Η ΕΝΣΩΜΑΤΩΣΗ ΤΗΣ ΟΔΗΓΙΑΣ 2016/680 ΣΤΟ ΕΛΛΗΝΙΚΟ ΔΙΚΑΙΟ 422

1. Οριοθέτηση ελληνικών «αρμόδιων αρχών» 422

i. Τήρηση αρχών επεξεργασίας της Οδηγίας 423

ii. Δημοσιοποίηση στοιχείων ταυτότητας κατηγορουμένου 425

iii. Περιεχόμενο εισαγγελικής διάταξης 426

iv. Προσφυγή κατηγορουμένου ή καταδίκου κατά εισαγγελικής διάταξης 427

2.Τρόπος άσκησης δικαιωμάτων υποκειμένου 428

i. Άμεση άσκηση δικαιωμάτων έναντι του υπευθύνου επεξεργασίας 428

ii. Έμμεση άσκηση δικαιωμάτων μέσω της Εποπτικής Αρχής 429

XXXIV

iii. Διασυνοριακή άσκηση δικαιωμάτων 430

iv. Εξαίρεση άσκησης δικαιωμάτων επί εθνικής ασφάλειας 431

3. Θεσμικός έλεγχος όρων επεξεργασίας εκ μέρους διωκτικών αρχών 432

i. Νομιμότητα διαβίβασης σε αλλοδαπές μυστικές υπηρεσίες 432

ii. Νομιμότητα επεξεργασίας ποινικών και εγκληματολογικών δεδομένων 433

4. Συγκατάθεση υποκειμένου στην ποινική διαδικασία 434

i. Συμμόρφωση προς νομική υποχρέωση 435

ii. Υποχρεωτική λήψη γενετικού υλικού 436

iii. Όροι νόμιμης χρήσης βιομετρικών δεδομένων στην ποινική διαδικασία 438

iv. Hλεκτρονική επιτήρηση κατ’ οίκον κρατουμένων 439

v. Η ανάκληση της συγκατάθεσης στην ποινική διαδικασία 441

Γ. ΕΙΔΙΚΕΣ ΥΠΟΧΡΕΩΣΕΙΣ ΔΙΩΚΤΙΚΩΝ ΑΡΧΩΝ 442

1. Aσφάλεια επεξεργασίας και καταγραφή εισόδου σε συστήματα 443

2. Aπαγόρευση αποκλειστικής χρήσης αυτοματοποιημένων εργαλείων 445

i. Ασφαλιστικές δικλείδες υπέρ του υποκειμένου 446

ii. Απαγόρευση κατάρτισης εγκληματολογικού προφίλ 446

iii. Απαγόρευση κατάρτισης εθνοτικού προφίλ 447

3. Υποχρέωση αντικειμενικής κατηγοριοποίησης των υποκειμένων 448

4. Απευθείας διαβιβάσεις σε αποδέκτες τρίτων χωρών 449

5. Αποζημίωση θιγομένων, κυρώσεις και πρόστιμα κατά διωκτικών αρχών 450

Κεφάλαιο 10

ΠΡΑΚΤΙΚΑ ΘΕΜΑΤΑ ΕΦΑΡΜΟΓΗΣ ΝΟΜΟΥ 4624/2019

1. Δημόσιος τομέας, φορολογικές αρχές, ηλεκτρονική διακυβέρνηση 452

2. Τοπική αυτοδιοίκηση, πολεοδομίες, ληξιαρχεία, δημοτικά κοιμητήρια 454

3. Διωκτικές αρχές, λιμενικό σώμα, τελωνεία, δίωξη ηλεκτρονικού εγκλήματος 456

4. Τράπεζες, Πιστωτικά ιδρύματα, Φορείς Ηλεκτρονικών πληρωμών 459

5. Διαφήμιση, marketing, εμπορική και πολιτική επικοινωνία 461

6. Ατομικές επιχειρήσεις, Φορολογικά μητρώα 465

7. Ναυτιλιακές εταιρίες 466

8. Ηλεκτρονικά καταστήματα, προγράμματα επιβράβευσης πελατών 467

9. Υγεία, κλινικές δοκιμές φαρμάκων, ιατρικώς υποβοηθούμενη αναπαραγωγή 468

10. Εκπαίδευση 478

11. Δικηγόροι και δικηγορικές εταιρίες 479

12. Δικαστήρια και Εισαγγελίες 482

13. Κοινωνικά δίκτυα, μηχανές αναζήτησης, ιδιωτικά ιστολόγια 486

XXXV

14. Προστασία προσωπικών δεδομένων σε δίκτυα κατανεμημένων κόμβων (blockchain) 491

15. Μηχανισμός μιας στάσης σε διασυνοριακές επεξεργασίες 492

Κεφάλαιο 11

ΤΕΧΝΟΛΟΓΙΚΟΙ ΚΙΝΔΥΝΟΙ ΚΑΙ ΠΡΟΚΛΗΣΕΙΣ

Α. ΚΡΑΤΙΚΗ ΚΑΙ ΙΔΙΩΤΙΚΗ ΠΑΡΑΚΟΛΟΥΘΗΣΗ 495

1. Επιτήρηση και τιμωρία: Ο ψηφιακός Μεγάλος Αδελφός 496

i. Σύστημα κοινωνικού ελέγχου στην Κίνα 497

ii. Βιομετρικό προφίλ των Ινδών πολιτών 498

iii. Παρακολούθηση πελατών αμερικανικών ταχυδρομείων 499

iv. Συμπράξεις δημόσιου και ιδιωτικού τομέα για κοινές παρακολουθήσεις 500

2. Αυθεντικοποίηση μέσω βιομετρικών χαρακτηριστικών 501

3. Είδη βιομετρικών συστημάτων 501

i. Αναγνώριση βάσει φυσιολογίας 502

ii. Αναγνώριση βάσει ψυχολογίας 503

iii. Συστήματα αναγνώρισης προσώπου 504

iv. Μια χρυσοφόρα διεθνής αγορά 505

4. Οι κίνδυνοι της προληπτικής αστυνόμευσης για τις ατομικές ελευθερίες 506

i. Απειλές και καταχρήσεις 508

ii. Η νομολογία του ΕΔΔΑ περί κρατικών παρακολουθήσεων 510

iii. Οι παρακολουθήσεις υπό το πρίσμα της ΕΣΔΑ 511

Β. ΤΕΧΝΟΛΟΓΙΕΣ ΤΑΥΤΟΠΟΙΗΣΗΣ ΧΡΗΣΤΩΝ 513

1. Bιομετρική ταυτοποίηση 513

2. Ταυτοποίηση μέσω ραδιοσυχνοτήτων 517

3. Ταυτοποίηση μέσω ηλεκτρονικών συσκευών 519

4. Ταυτοποίηση μέσω εξοπλισμού τηλεπικοινωνιών 521

5. Εκτίμηση επιπτώσεων ταυτοποίησης 522

Γ. ΕΓΚΛΗΜΑΤΙΚΟΤΗΤΑ ΣΤΟΝ ΚΥΒΕΡΝΟΧΩΡΟ 524

1. Κυβερνοεπιθέσεις και κυβερνοεγκλήματα 525

2. Ποινική δίωξη κυβερνοεγκλημάτων 529

Δ. ΟΙ ΤΕΧΝΟΛΟΓΙΚΕΣ ΠΡΟΚΛΗΣΕΙΣ 531

1. Υπολογιστικό νέφος (cloud computing) και ιδιωτικότητα 531

i. Πρότυπα χρήσης των νεφοϋπολογιστικών υποδομών 533

ii. Πλεονεκτήματα νεφοϋπολογιστικής τεχνολογίας 534

iii. Μειονεκτήματα νεφοϋπολογιστικής τεχνολογίας 534

iv. Παραβίαση ιδιωτικότητας στο cloud 534

XXXVI

v. Φορητότητα δεδομένων στο cloud 536

vi. Συμφωνίες επιπέδου υπηρεσιών (Cloud SLAs) 536

2. Διαδίκτυο των Πραγμάτων (ΔτΠ) 537

3. Μη επανδρωμένα αεροσκάφη (drones) 540

4. Τεχνολογία αλυσίδας κόμβων (blockchain) 541

i. Πρακτικές εφαρμογές 542

ii. «Έξυπνες συμβάσεις» (smart contracts) 543

iii. Πλεονεκτήματα και μειονεκτήματα blockchain 544

iv. Blockchain και GDPR 545

5. Τεχνητή νοημοσύνη 548

i. Σύγκρουση τεχνητής νοημοσύνης και ΓΚΠΔ 548

α. Αναστροφή ανωνυμοποίησης 550

β. Αδυναμία λήψης συγκατάθεσης υποκειμένου 550

γ. Αδυναμία επεξηγησιμότητας και λογοδοσίας 551

δ. Εγκληματική προσβολή ασφάλειας δεδομένων 552

ii. Πρόταση Κανονισμού Τεχνητής Νοημοσύνης 553

iii. Υποχρεώσεις παρόχων εφαρμογών τεχνητής νοημοσύνης 554

iv. Προς μια ηθική και αξιόπιστη χρήση της τεχνητής νοημοσύνης 555

v. Αναμνήσεις από το μέλλον 556

6. Μετασύμπαν 558

i. Ένα τεχνολογικό χωνευτήρι 559

ii. Νέες προοπτικές κερδών 559

iii. Οι μετασυμπαντικές υποδομές 560

iv. Προκλήσεις και απειλές 561

v. Το τέλος της ιδιωτικότητας; 561

vi. Οι ηθικές προκλήσεις 563

Κεφάλαιο 12

ΕΠΙΧΕΙΡΗΜΑΤΙΚΕΣ ΚΑΙ ΠΟΛΙΤΙΚΕΣ ΑΠΕΙΛΕΣΚΑΤΑ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ

Α. Η ΕΜΠΟΡΙΚΗ ΕΚΜΕΤΑΛΛΕΥΣΗ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 566

1. Τα προσωπικά δεδομένα ως νέο νόμισμα 567

2. Ο έλεγχος της διαδικτυακής κάλυψης ως επιχειρηματική στρατηγική 568

3. Η ολιγοπωλιακή πρόσβαση στο διαδίκτυο 569

4. Τα προσωπικά δεδομένα ως αμοιβή για ηλεκτρονικές υπηρεσίες 570

Β. Η ΧΡΗΣΗ COOKIES ΩΣ ΑΝΑΓΝΩΡΙΣΤΙΚΩΝ ΤΟΥ ΧΡΗΣΤΗ 572

1. Είδη cookies και προσωπικά δεδομένα 573

i. Cookies αναδυομένου ιστοτόπου 573

ii. Cookies τρίτων μερών 574

iii. Mόνιμα cookies 574

XXXVII

iv. Cookies συνεδρίας 574

v. Cookies παρακολούθησης κίνησης 574

vi. Supercookies 575

vii. Deep Packet Inspection 575

2. Οι νομικές συνέπειες της χρήσης cookies 576

i. Ρητή συγκατάθεση υποκειμένου 576

ii. Πολιτική cookies 577

3. Νομιμότητα πρακτικών ιχνηλάτησης των χρηστών 578

i. Δημοπρασίες διαφημίσεων σε πραγματικό χρόνο 578

ii. Όροι χρήσης ιχνηλατών cookies 581

iii. H ευρωπαϊκή νομολογία περί cookies 582

iv. Τα cookies ως αντίτιμο πρόσβασης στο περιεχόμενο των εφημερίδων 584

v. Οδηγίες χρήσης cookies 585

α. Οι οδηγίες των ευρωπαϊκών Αρχών 585

β. Οι οδηγίες της Ελληνικής Αρχής 587

γ. Ιχνηλάτες για σκοπούς διαδικτυακής διαφήμισης 588

δ. Τρόπος λήψης της συγκατάθεσης του χρήστη 588

Γ. ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΚΑΙ ΑΝΤΑΓΩΝΙΣΜΟΣ 589

1. Οι μεγάλες ψηφιακές πλατφόρμες στο εδώλιο 590

2. Τα προσωπικά δεδομένα ως βασική διευκόλυνση 594

3. Το φαινόμενο δικτύου (network effect) 594

4. Καταχρηστική εκμετάλλευση δεσπόζουσας θέσης 596

5. Η δράση των Ευρωπαϊκών Αρχών Ανταγωνισμού 597

6. Η στάση των αμερικανικών Ρυθμιστικών Αρχών 598

Δ. Η ΑΝΥΠΑΡΚΤΗ ΟΥΔΕΤΕΡΟΤΗΤΑ ΤΩΝ ΜΗΧΑΝΩΝ ΑΝΑΖΗΤΗΣΗΣ 600

1. Oι υπέρμαχοι της αντικειμενικότητας και της αμεροληψίας 601

2. Oι πολέμιοι της αντικειμενικότητας και της αμεροληψίας 602

Ε. Η ΧΕΙΡΑΓΩΓΗΣΗ ΤΟΥ ΚΑΤΑΝΑΛΩΤΗ ΣΤΟ ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ 603

1. Θεμιτές και αθέμιτες εμπορικές πρακτικές 604

2. Υποχρεώσεις των ρυθμιστών πρόσβασης 606

3. Νέα Συμφωνία για τους Καταναλωτές 607

ΣΤ. Η ΠΟΛΙΤΙΚΗ ΕΚΜΕΤΑΛΛΕΥΣΗ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 608

1. Η υπερσυγκέντρωση πληροφοριών ως νέα μορφή εξουσίας 608

2. H δυνατότητα επηρεασμού του εκλογικού αποτελέσματος 610

3. Προς νέα ψηφιακά μονοπώλια ; 611

XXXVIII

Κεφάλαιο 13

ΠΙΣΤΟΠΟΙΗΣΗ ΣΥΜΜΟΡΦΩΣΗΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΠΑΡΑΒΙΑΣΕΩΝ

Α. ΕΘΕΛΟΝΤΙΚΗ ΠΙΣΤΟΠΟΙΗΣΗ, ΣΦΡΑΓΙΔΕΣ ΚΑΙ ΣΗΜΑΤΑ ΙΔΙΩΤΙΚΟΤΗΤΑΣ 614

1. Έννοια τεχνικών προτύπων 614

2. Διαπίστευση και Πιστοποίηση 615

3. Συμμόρφωση με πρότυπα ασφάλειας και προστασίας δεδομένων 616

4. Ρόλος εθελοντικής πιστοποίησης 616

5. Ρόλος κωδίκων δεοντολογίας 616

6. Νομική ευθύνη πιστοποιημένου φορέα 618

Β. ΑΝΤΙΚΕΙΜΕΝΑ ΠΙΣΤΟΠΟΙΗΣΗΣ 618

1. Μηχανισμός και διαδικασία διαπίστευσης και πιστοποίησης 619

2. Κριτήρια πιστοποίησης 620

3. Συνολικό Σχήμα Εποπτείας, Διαπίστευσης και Πιστοποίησης κατά ΓΚΠΔ 620

Γ. ΠΡΟΤΥΠΑ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 623

1. Σχέση τεχνικών προτύπων και Κανονισμού 2016/679 623

i. Σχέση προτύπου ISO 27001 και GDPR 623

ii. Tο νέο πρότυπο ISO/IEC 27701:2019 624

iii. Ομάδες προτύπων διαχείρισης Ιδιωτικότητας και Ασφάλειας 625

Δ. ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ ΚΑΙ ΠΑΡΕΜΠΟΔΙΣΗ ΕΙΣΒΟΛΩΝ 625

1. Συστήματα ανίχνευσης εισβολών 626

i. Εργαλεία Δικτυακής Ασφάλειας 627

ii. Πρόληψη απώλειας δεδομένων 627

2. Παρακολούθηση και έλεγχος ροής πληροφοριών 628

3. Μέτρα έγκαιρης ανίχνευσης κυβερνοεπιθέσεων 628

i. Έλεγχος ιστοσελίδας σε μόνιμη βάση 628

ii. Τακτική παρακολούθηση συναγερμών χρήσης 628

iii. Χρήση λογισμικού ανίχνευσης εισβολών 629

iv. Χρήση της τεχνικής του «βάζου με το μέλι» 629

v. Διδάγματα από το παρελθόν για να πρόβλεψη μελλοντικής επίθεσης 629

vi. Εκπαίδευση προσωπικού 629

4. Πιθανές πηγές διαρροής δεδομένων και τρόποι αποτροπής 629

i. Εντοπισμός διαρροών σε επίπεδο συστημάτων και εφαρμογών 629

ii. Ανταπόκριση σε διαρροές δεδομένων 630

5. Aπλά βήματα για την αντιμετώπιση διαρροών 630

XXXIX

6. Γνωστοποίηση παραβιάσεων στην Εποπτική Αρχή και στα υποκείμενα 631

i. Συλλογή αποδεικτικών στοιχείων και κατηγοριοποίηση παραβίασης 631

α. Τύπος του συμβάντος 631

β. Συνέπειες του συμβάντος 631

γ. Ποιοτικές μεταβλητές του κινδύνου 632

ii. Λήψη διορθωτικών μέτρων περιορισμού του αντικτύπου 632

α. Ενημέρωση της Διοίκησης του Οργανισμού για την παραβίαση 633

β. Καθορισμός της πιθανότητας και του επιπέδου του κινδύνου 633

iii. Στοιχεία αναφοράς 634

iv. Περιεχόμενο αναφοράς 635

7. Επικοινωνία με τα υποκείμενα των δεδομένων 636

8. Επικοινωνιακή διαχείριση παραβιάσεων 637

Κεφάλαιο 14

Ο DPO ΩΣ ΚΑΤΑΛΥΤΗΣ ΚΑΝΟΝΙΣΤΙΚΗΣ ΣΥΜΜΟΡΦΩΣΗΣ

Α. Ο ΘΕΣΜΟΣ ΤΟΥ ΥΠΕΥΘΥΝΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ 638

1. Προϋποθέσεις διορισμού 641

2. Κατοχύρωση ανεξαρτησίας και ουδετερότητας 642

i. Αυξημένη νομική προστασία 642

ii. Καταγγελία σύμβασης εργασίας 643

iii. Σύγκρουση συμφερόντων 643

iv. Τήρηση εμπιστευτικότητας 645

3. Συμβουλευτικά καθήκοντα και νομική ευθύνη 645

4. Προσόντα πρόσληψης 646

i. Εσωτερικός ή εξωτερικός DPO; 647

ii. Επαγγελματική ιδιότητα 648

iii. Πίνακας επιθυμητών προσόντων 650

iv. Σχέση με την Εποπτική Αρχή 652

5. Ασυμβίβαστα 653

6. Πιστοποίηση επαγγελματικών προσόντων 654

7. Συμμετοχή στη λήψη αποφάσεων και ένταξη στο οργανόγραμμα 657

Β. Ο ΡΟΛΟΣ ΤΟΥ ΥΠΔ ΣΤΗΝ ΠΡΑΞΗ 659

1. Διορισμός σε ομίλους επιχειρήσεων 659

2. Διορισμός σε συλλογικούς φορείς και ενώσεις 659

3. Διορισμός υπαλλήλων 660

4. Διορισμός δικηγόρων 660

5. Διορισμός υπευθύνων κανονιστικής συμμόρφωσης 662

6. Διορισμός τεχνικών πληροφορικής και υπευθύνου ασφαλείας 663

XL

7. Διορισμός του DPO ως whistleblowing officer 663

8. Εργαλεία του DPO 666

9. Ερωτήσεις πιστοποίησης DPOs 667

Επίλογος 669

Πρόσφατη Βιβλιογραφία (Βιβλία, Άρθρα, Μονογραφίες) 673

Ελληνική 673

Αγγλική 675

Γαλλική 676

Γερμανική 677

ΠΑΡΑΡΤΗΜΑ

ΠΡΟΤΥΠΑ ΚΑΙ ΥΠΟΔΕΙΓΜΑΤΑ

I. Αρχεία – Πίνακες 681

01 Αρχείο Δραστηριοτήτων Επεξεργασίας (Υπεύθυνος) 683

02 Αρχείο Δραστηριοτήτων Επεξεργασίας (Εκτελών) 687

03 Πίνακας Διαχείρισης Ιδιωτικότητας – Λογοδοσίας 690

04 Εκτίμηση έννομου συμφέροντος επεξεργασίας 694

05 Μητρώο Διαγραφής/Καταστροφής Δεδομένων 697

06 Εκτίμηση Αντικτύπου προστασίας δεδομένων (ΕΑΠΔ, DPIA) 698

Έλεγχος συμμόρφωσης 701

Ανάλυση – Διαχείριση Κινδύνων 706

07 Κατηγορίες και χρόνοι διατήρησης δεδομένων 708

Νομοθεσία 712

II. Πολιτικές 715

08 Πολιτική ιδιωτικότητας και προστασίας προσωπικών δεδομένων 717

09 Πολιτική Cookies 724

10 Πολιτική ασφαλείας, σχέδιο ασφαλείας και ανάκαμψης από καταστροφές 727

11 Πολιτική βιντεοεπιτήρησης μέσω καμερών 735

12 Πολιτική χρήσης ηλεκτρονικού ταχυδρομείου 740

13 Πολιτική Διακυβέρνησης Εταιρικών Δεδομένων 744

14 Πολιτική επεξεργασίας προσωπικών δεδομένων επισκεπτών (Wi-f i, CCTV) 748

XLI

III. Συμβάσεις 751

15 Σύμβαση υπευθύνου και εκτελούντος επεξεργασία 753

16 Σύμβαση από κοινού υπευθύνων επεξεργασίας 764

17 Παράρτημα ατομικής σύμβασης εργασίας – Συμμόρφωση προς τον ΓΚΠΔ 771

18 Σύμβαση πρόσληψης εσωτερικού Υπευθύνου Προστασίας Δεδομένων 776

19 Σύμβαση πρόσληψης εξωτερικού Υπευθύνου Προστασίας Δεδομένων 783

IV. Διαχείριση αιτημάτων υποκειμένου 791

20 Αίτηση πρόσβασης στα προσωπικά δεδομένα 793

21 Αίτηση διόρθωσης προσωπικών δεδομένων 795

22 Αίτηση διαγραφής προσωπικών δεδομένων 797

23 Αίτηση φορητότητας προσωπικών δεδομένων 799

24 Αίτηση εναντίωσης στην επεξεργασία προσωπικών δεδομένων 801

25 Αίτηση ανάκλησης συγκατάθεσης για επεξεργασία προσωπικών δεδομένων 803

26 Απάντηση ΥΕ/ΕΕ σε αίτημα υποκειμένου 805

27 Αρχείο διαχείρισης αιτημάτων υποκειμένων 806

V. Παραβιάσεις προσωπικών δεδομένων 807

28 Αρχείο περιστατικών παραβιάσεων προσωπικών δεδομένων 809

29 Ενημέρωση υποκειμένου για περιστατικό παραβίασης δεδομένων 811

VI. Έντυπα ΑΠΔΠΧ / ΑΔΑΕ 815

30 Καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 817

31 Γνωστοποίηση στην Αρχή περιστατικού παραβίασης δεδομένων 822

32 Αίτημα προηγούμενης διαβούλευσης για ΕΑΠΔ 834

33 Έντυπο Ορισμού Υπευθύνου Προστασίας Δεδομένων (DPO) 840

34 Κοινοποίηση παραβίασης από πάροχο ηλεκτρονικών επικοινωνιών 843

VII. Διεθνείς Διαβιβάσεις Δεδομένων 847

35 Δεσμευτικoί Εταιρικοί Κανόνες (BCRs) (Υπεύθυνος) 849

36 Δεσμευτικoί Εταιρικοί Κανόνες (BCRs) (Εκτελών) 863

37 Νέες Τυποποιημένες Συμβατικές Ρήτρες 875

38 Cloud Computing : Εκτίμηση κινδύνου πρόσβασης αλλοδαπών αρχών στα δεδομένα 877

39 Εκτίμηση Αντικτύπου Διαβίβασης Δεδομένων – Τυποποιημένες συμβατικές ρήτρες 880

40 Έντυπο υποβολής διασυνοριακής καταγγελίας 884

XLII

VIII. Κατάλογοι αυτοαξιολόγησης & ελέγχου (Compliance Checklists) 889

41 Έλεγχος συμμόρφωσης μικρομεσαίων επιχειρήσεων 891

42 Έλεγχος Νομιμότητας άμεσης εμπορικής προώθησης 894

43 Έλεγχος Ασφάλειας Προσωπικών Δεδομένων 896

IX. Πανόραμα Αποφάσεων Εποπτικών Αρχών και Νομολογίας 901

44 Θεματικός κατάλογος πρόσφατων αποφάσεων ΑΠΔΠΧ 903

45 Κατάλογος Νομολογίας ΑΠ για προσωπικά δεδομένα 912

46 Προδικαστικές παραπομπές στο ΔΕΕ για ερμηνεία ΓΚΠΔ 917

47 Αυτοματοποιημένη λήψη αποφάσεων – Τεχνητή Νοημοσύνη Αποφάσεις Ρυθμιστικών Αρχών και Δικαστηρίων 926

X. Λοιπά θέματα 933

48 Προστασία Δεδομένων – Σχήματα πιστοποίησης 935

49 Αλγοριθμική εκτίμηση Αντικτύπου (άρθρου 5 Ν 4961/2022) 937

50 Εκτίμηση Αντικτύπου Ιδιωτικότητας από τη χρήση αλγορίθμου 939

Αλφαβητικό Ευρετήριο 941