 Καλησπέρα και από μένα. Κατ' αρχάς να ευχαρίσω πάρα πολύ την ομάδα του WorldCam για την πολύτιμητική πρόσκληση και να τους χαρώ για μια εξαιρετική διοργάνωση για όσοι την έχω παρακολουθήσει μέχρι στιγμής και πόσο έχω καταλάβει. Να σας στιφθώ, ονομάζουμε Βασίλης Αργαντζούννης, είμαι δικηγόρος με η δίκη στο δίκαιο των νέων τεχνολογιών και μαζί με μια ομάδα προγραμματιστών και δικηγόρων έχουμε ιδρύσει και τρέχουμε τα τελευταία χρόνια το LOSPO.gr για τους περισσότερους από εσάς που πιθανόντον δεν θα γνωρίζουν τι είναι, πρόκειται για ένα open hub νομικών πληροφοριών και ένα online εργαλείο αναζήτησης δικηγόρων. Όπως καταλαβαίνετε στο πλόδιο της εργασίας μας συνδυάζουμε πολύ την επιστήμη της συνομικής με την πληροφορική. Είχα την ευκυρία να δουλέψουμε αρκετούς και πολύ καλούς developers όλα αυτά τα χρόνια και είχα και την χαρά λόγω του LOSPO να προακολουθείς από κοντά την εξέλιξη του GDPR, του Γενικού Κανονισμού Προστασίας Δεδομένων, από την αρχή, από τις αρχικές επραγματεύσεις μέχρι την τελική κατάρτησή του. Είναι πολύ της μόδας με GDPR, είμαι σίγουρος ότι όλοι έχετε ακούσει κάποια πράγματα για αυτών, υπάρχουν πολλές ομιλίες, πολλά συμμινάρια τα οποία γίνονται σχετικά, είναι πρακτικά αδύνατο να αναλύσουμε τον κανονισμό στο χρόνο τον οποίο έχουμε διαθέσουμε για την παρουσίαση και ο κ. λόγος είναι ότι πρόκειται για ένα νομοθέτημα το οποίο αγκίζει όλες τις πτυχές της σύγχρονης οικονομίας και της σύγχρονης κοινωνίας και εσάς τόσο σε επαγγελματίες οι οποίοι δουλεύουν με δεδομένα όσο και σαν υποκείμενα δεδομένων δηλαδή δεδομένον τα δεδομένα σας, τα επεξεργάζεται κάποιος τρίτος. Αυτό που θα κάνουμε λοιπόν είναι μία συνοπτική επισκόπιση των βασικών διατάξειων του κανονισμού και θα εμβαθύνουμε σε κάποια σημεία τα οποία έχω κρίνει ότι είναι πιο σημαντικά δεδομένον τον ιδιωτητόν των περισσότερων από εσάς. Προκειμένου να καταστεί εφικτή τόσο η ερμηνία του γενικού κανονισμού όσο και η σημερινή παρουσία πρέπει να έχουμε ορισμένα βασικά πράγματα στο νυαλό μας. Το πρώτο από αυτά είναι ότι δεν πρόκειται για ένα ουρανοκατέβατο νομοθέτημα το οποίο αποτελεί επανάσταση που λάζει τον κατυνάο ψήμου τόσο στην αγορά όσο και στο δίκαιο. Η προστασία δεδομένων είναι κάθε άλλο παρά παλιά έννοια, κάτι παρανέα έννοια στην νομική επιστήμη. Η περισσότερη από εμάς έχουμε μάθει την προστασία δεδομένων μέσα από την οδηγία την 95-46 του Ευρωπαϊκού Κοινοβουλίου, η οποία ανσοματόθηκε στην Ελλάδα με το νόμο 2772. Ξέρω ότι αυτά είναι κάπως βαριτά, αλλά χρειάζεται να υποθούν. Ο GDPR αποτελεί ένα μόλις κομμάτι, μιας συνολικής μεταρύθμις η οποία επιχειρείται σε ευρωπαϊκό επίπεδο σε όσο αναφοράς την προστασία δεδομένων. Ένας ακόμα κανονισμός ο οποίος επίκειται να εκδοθεί εντός των επόμενων μηνών και σε διαφέρει άμεσα είναι η πράιβαση, ο οποίος αφοράς την προστασία της ιδιωτικής ζωής συγκεκριμένας ηλεκτρονικές επικοινωνίες, ρυθμίζει ζητήματα όπως με τα data, cookies και τέτοιες εχολογίες, οι οποίες είμαι σίγουρος ότι σαν προγραμματισίας σε διαφέρει πολύ περισσότερο. Για μια σειρά από λόγους κρήθηκε αναγκαίω γιατί το πλαίσιο της Ευρωπαϊκής Ένωσης δεν ήταν πλέον επαρκές για την προστασία δεδομένων και είναι λογικό, αν φανταστεί κανείς ότι δημιουργήθηκε το 1995 και η τεχνολογία 20 χρόνια μετά βρίσκεται σε ένα εντελώς διαφορητικό επίπεδο. Ο νομοθέτης έχει δεχτεί πάρα πολλές επικρίσεις ως προσογεγονός ότι η τεχνολογία εξελίστε πιο γρήγορα από αυτόν, φυσικά αυτό είναι αδύνατο να προληφθεί, αλλά αυτό που γίνεται και προσπαθεί να γίνει με τη μεταρύθμιση είναι ο νόμος να αρχίσει να κάνει κάτσαπ με τις τεχνολογικές εξελίξεις και με μία σύγχρονη οικονομία, όπου τα δεδομένα πλέον έχουν αφωτελία αξία. Το δεύτερο το οποίο πρέπει να έχουμε στο μυαλό μας είναι ότι ο γεννικός καρονισμός αποτελεί ένα προϊόν συμβιβασμού. Είναι στην ουσία πάρα πολύ η παράγοντας η οποία είναι πλάξαν στις διαπραγμάτες για την κατάρηση του GDPR, από εταιρίες Google, Facebook, πανίσχυρο Λόμπινκ, από οργανισμούς καταναλωτών, από εθνικές κυβερνήσεις, από όργανα της Ευρωπαϊκής Ένωσης, που είχαν τελείως διαφορετικές οπτικές για το ζήτημα της προστασίας. Συνεπώς, ο γεννικός καρονισμός αποτελεί ένα κοινό έδαφος, ένα συμβιβασμό μεταξύ όλων αυτών των συνιστοσών και αυτό αποτελεί τη δύναμή του, αλλά ταυτόχρονα και τη δυναμία του. Η τελευταία σκέψη που θέλω να κρατάτε κάτι διάρκεια της παρουσίασης είναι ότι ο GDPR είναι ένα ευρίδιο νομικής και πληροφορικής. Γι' αυτό θεωρώ ότι είναι εξαιρετικά ενδιαφέρον και για έναν άνθρωπο που έχει τεχνολογικό και όχι νομικό background να το παρακολουθήσει. Αναγωρίζει σε πολύ μεγάλο βαθμό την πρακτική επίροή που έχει τεχνολογία στη στις ηχρονοικοινωνία και στην οικονομία και προσπαθεί στην ουσία να συγκαιράσει νομικές έννοιες μαζί με τις τεχνολογικές εξελίξεις και τις απετήσεις της οικονομίας των δωμένων. Για να περάσουμε σε μία πρώτη αποδικοποίηση του GDPR νομίζω ότι τα αρχικά του είναι αρκετά αντιπροσωπευτικά. Κατ' αρχάς, το G, το γενικός, σημαίνει γενικός general σημαίνει ότι ο γενικός κανονιμπισμός επιχειρεί να πετύχει ένα όσο το δυνατόν μεγαλύτερο παιδίου εφαρμογής. Πολύ συχνάς αυτοικηγόρος δεν έχουμε την ερώτηση. Το Facebook έχει έδρα στην Ελλανδία, στην Αμερική, Google έχει έδρα εκεί, Amazon έχει έδρα εκεί. Κατά πόσο είναι η επεξεργασία δεδομένων εντός Ευρωπαϊκής Ένωσης καλύτε από την Ευρωπαϊκή νομοθεσία. Πολύ κατηγορούν τον νέο κανονισμό για έναν ρυθμιστικό υπερεαλισμό της ιδιωτικότητας. Δηλαδή ότι η Ευρωπαϊκή Ένωση έχει ένα υψηλότερο στάντα από ό,τι άλλες χώρες, όσοι πως στην προστασία δεδομένων, υποχρεώνει όποιον πάροχο θέλει να απευθύνει υπηρεσίες επολίτες Ευρωπαϊκής Ένωσης να εξασφαλίζουν το ίδιο ψηλό επίπεδο. Αυτό ισχύει. Η πρόβληψη του κανονισμού είναι ότι αν κάποιος οργανισμός παρέχει υπηρεσίες ή αγαθάς στην Ευρωπαϊκή Ένωση, ανεξαρτήτος αν έχει έδρα ή όχι σε αυτήν, ακόμα και χωρίς πληρωμη, ή αν παρακολουθεί τη συμπεριφορά των Χριστών στοιχείο πολύ σημαντικό για τεχνολογίες όπως τα ακούκης, υπάγεται στη διατάξη του κανονισμού. Όταν λέμε λοιπόν κανονισμός, που είναι το δεύτερο σιχείο, είναι το Άρ της εξίσωσης, πολύ συνοπτικά να πω, ότι στο δίκιο της Ευρωπαϊκής Ένωσης εκεί δίνονται διάφορα νομοθετήματα, δύο ενικαιρότες κατηγορίες. Η κανονισμή και οι οδηγίες. Ενώ ο κανονισμός είναι άμεσα εφαρμοστεός. Ο συγκεκριμένος κανονισμός μετά από πολλές διαπραγματεύσεις, ψεφίστηκε, δημοσιαίθηκε το 2016 και τι θέεται σε εφαρμογή, σύμφωνα με τις προβλέπεις του ίδιους 25 Μαΐου του 2018, αφήνει δηλαδή ένα περιθώριο δύο ειτών για προσαρμογή. Αυτό που πρέπει να σημειώσουμε ο στός είναι ότι δεν είναι αυστηρά ένας κανονισμός, έχει πάρα πολλές διατάξεις, αφήνουν ένα περιθώριο ευελυξία στον εθνικό νομοθέτη. Γι' αυτό, θα πρέπει πρωτού βγάλουμε πιο ασφαλής συμπεράσματα για ορισμένους ντομής να περιμένουμε αφαινώς τη Μονοπαρασκευαστική Επιτροπή, που θα βγάλει τον εντός αγωτικό εφαρμοστικό νόμο, ρυθμίζοντας λεπτομέρης, όπως για παράδειγμα, το όριο ηλικίας που θα μπορούν τα παιδιά να δίνουν τη συγκατάθεση τους για επεξεργασία δεδομένων και ταυτόχρονα να ρυθμίσει πιο συγκεκριμένα κάποιες προβλέπεις αναφορικά με τα πρόστιμα της εκπαιδεύσης των υπευθύνων, επεξεργασίας δεδομένων και άλλα. Το τελευταίο σημείο είναι η προστασία, διευρύνει αρκετά το σπέκτρουμ της έννοια της προστασίας ο νέος κανονισμός, διατηρεί κάποιες θεμελιώδες αρχές, οι οποίες υπήρχαν σε δίκαιο προστασίας δεδομένων, ωστόσο εμπλουτίζει πολλές έννοιες, προσπαθεί να τις επικαιροποιήσει και προσθέτει κάποιες νέες παραμέτρους. Έχει αρκετές γενοτομίες ο νέος GDPR, ωστόσο δεν νομίζω ότι είναι τέτοιες οι οποίες μπορούν να μιλήσει κανείς για πλήρη αλλαγή τους κοινικού. Μπαίνοντας στο κύριο μέρος της παρουσίασης για τα δεδομένα, τα data, γνωρίζω ότι για αρκετούς από σας αφαίνονται βαρετή ορισμή, ωστόσο είναι απαραίπτο, παρατηρώτη, πάρα πολύ άνθρωπος της τεχνολογίας, οι απορίες που τους δημιουργούν τελείνονται πολύ εύκολα με μία ανάλυση των ορισμών. Και για αυτό το λόγο ακριβώς έχω χρησιμοποιήσει κάποιες ορισμούς στην παρουσίαση, τους οποίους συνοδεύουμε από κάποιες εξαιρετικές σκέψεις. Οι βασικές έννοιες του κανονισμού, το αντικείμενο του κανονισμού κοταρχήν, είναι η προστασία των φυσικών προσώπων, η προστασία της επεξεργασίας δεδομένων, προσωπικού χαρακτήρα. Από τον ορισμό και μόνο βλέπουμε ότι υπάρχουν τρία βασικά στοιχεία, υπάρχουν τα δεδομένα προσωπικού χαρακτήρα, τι καθιστά ένα δεδομένο προσωπικό εννολίγης, η επεξεργασία δεδομένων, ποιά δραστηριότητά σας εντάσετε στην έννοια της επεξεργασίας, και η βασικότηρη ρόλη, δεδομένα προσωπική χαρακτήρα, σύμφωνα με τον κανονισμό, είναι κάθε πληροφορία που αφορά το αυτοποιημένο ή το αυτοποιησμό φυσικό πρόσωπο. Σημαντικές σκέψεις ως προσωπικό εννολισμό είναι καταρχάς, ότι ο προηγούμενος ορισμός οδηγίας έχει πολλά προβληματικά στοιχεία, χρειάζεται και να παρεμβαίνει παραδείγματος χάρητο δεκαστήριο, για να ορίσει το ανηδιεύθυνση IP, είναι προσωπικό δεδομένο ή όχι. Η έννοια του φυσικού προσωπού, στα οποία μπήπνουν στον κανονισμό, σημαίνει αυτόματο, ότι δεν υπάγονται εταιρίες, νομικά πρόσωπα, πιαδήποτε μορφή τους, και φυσικά ότι εξωρισμού, τα φυσικά πρόσωπα φέρουν ευθύνες και υποχρεώσεις, στην στιγμή που γεννήνται ζωντανά, μέχρι τη στιγμή που πεθένουν, δεν αφορά νεκρούς. Επίσης, τα προσωπικά δεδομένα μπορούν να είναι πληροφορίες, είτε οι οποίες ανάγονται απευθείας στον ιδιωτικό βίω ενός ανθρώπου, είτε είναι δημόσια προσβάσιμες, και ο νέος ορισμός σε σύγκριση με τον παλιό έχει εμπληκριστήσει σημαντικά, και υπάρχουν κάποιες ειδικές αναφορές, οι οποίες έχω κάνει μπολντ, η ταυτότητα μπορεί να εξακριβωθεί ως προσωπιήσιμο πρόσωπο, μέσω δεδομένα θέσεις, επικραμμικό, αναγνωριστικό, αναγνωριστικό, αναγνωριστικό, ταυτότητας online identifiers, όπως είναι η διαφύση της IP, και γενετικά δεδομένα. Γενικά ονομοθετής προσπαθεί, και είναι σημαντικό αυτό να διαπιστώσουμε, να κρατήσει μία επαφή με τις νέες τεχνολογίες, όπως έχουν εξεληθεί αυτή τη στιγμή, γι' αυτό ακριβώς, και προσπαθόντας να κοιτάξει στο μέλλον και να προλάβει τα λάθη του παρελθόντος, ταυτότητας συνδυασμού δεδομένων για την ταυτοποίηση ενός προσώπου από τη διαθέση μισε κάθε επίπεδο τεχνολογία. Εξίσου σημαντικός ορισμός, όμως είναι και η επεξεργασία των δεδομένων. Τι εννοούμε, τι συνειστά, ποια δράση, συνειστά επεξεργασία δεδομένων. Σύμφωνα με τον ονομοθετήμα και πάλι κάθε πράξη, η σειρά πράξιων που πραγματοποιείται σε δεδομένων μέσων, συνειστά επεξεργασία, την οποία δίνει και κάποιες συγκεκριμένες ενέργειες ο κανονισμός, οι οποίες συνειστούν επεξεργασία. Αξίζει να αναφέρουμε ότι είναι ένας ευρύσο ορισμός και είναι αυτό το οποίο χαρακτηρίζεται τεχνολογικά οδέτερος. Δηλαδή ο κανονισμός μπαίνει σε μια διαδικασία να διευρύνει όσο του δυνατόν περισσότερο το παιδί επεξεργασίας ότι υπάρχουν πάρα πολλές πράξεις ο οποίες οι επέξεργασίας κάνουν πάνω στα δεδομένα. Δεύτερον υπάρχει ακόμα και 1917 επεξεργασία δεδομένο μία αυτοματοποιημένη ενωλίγης χειροκίνητη, την οποία όμως ο νομοθέτης εξαρτάν την προστασία από την υπαρξη ή την πρόθεση ένταξης σε ένα σύστημα αρχιοθέτησης και πολύ σημαντικό επίσης είναι ότι μπαίνει σε διαδικασία να αναφερθεί διακριτά τις προστασίες μορφές επεξεργασίας κάτι που δεν έκανε στο παρελθόν. Το πρώτο είναι ο περιορισμός της επεξεργασίας το δεύτερο είναι η κατάρτηση προφήλ μία εξαιρετικά σημαντική έννοια στο GDPR και η ψευδονυμοποίηση η οποία εκτιμώ ότι ενδεχομένος είναι μία μέθος που ήδη αρκετή developer από εσάς χρησιμοποιούν στην καθημερινότητά τους. Έχοντας δύο λοιπόν τι είναι δεδομένα προσυπτική χαρακτήρα Έχουμε ερχόμαστε στα δύο βασικότερα πρόσωπα τους δύο βασικούτερους ρόλους που υπάρχουν στο δίκιο προστασίας δεδομένων των υπέφτυνων επεξεργασίας και των εκτελούντας την επεξεργασία. Ποια η διαφορά υπέφτυνων επεξεργασίας μπορεί να έχει όλες αυτές οι δύο της που βλέπετε να είναι δηλαδή φυσικό, υνομικό πρόσωπο δημόσια επηρεσία και ούτε ο καθεξής ο οποίος το κρίσιμο στοιχείο ο οποίος επεξεργάζει τα δεδομένα και τα μέσα και τον τρόπο με τον οποίο η επεξεργασία λαμβάνει χώρα σε αντιπαραβολή ο εκτελνών την επεξεργασία είναι και πάλι ένα σευρήσωρισμός του ποιος μπορεί να είναι αυτό που κάνει είναι ότι επεξεργάζεται τα δεδομένα για λογαριασμό του υπευθύνου. Είναι εξαιρετικά σημαντική η διάκριση ανάμεσα στους δύο ρόλους και ειδικά σαν άνθρωποι που βρίσκει σε ένας χώρους πληφορικής είναι ακόμα πιο δύσκολη και για να σας το δώσαν το καταλάβετε με απλά παραδείγματα επιλέγοντας έναν πάροχο υπηρεσιών cloud για μια επηρεσία ή τα φορά το hosting ή τα φορά μια online εφαρμογή ή την application καθίσταται αυτός ο άνθρωπος ενοίωται εκτελών την επεξεργασία ή και υπέθνω σε επεξεργασίας. Συνεπώς, σκεφτείτε τα implication που μπορεί να έχει στην επιλογή ακριβώς επειδή είναι πολύ δύσκολη πολύ συχνά η διάκριση του αν κάποιος είναι υπέθνω σε επεξεργασίας ή εκτελών ο κανονισμός έχει μια κοινωτομία έχει η σάχη την έννοια των αποκοινού όπως βλέπετε μόνο ή αποκοινού με άλλα του αποκοινού υπέθνω σε επεξεργασίας μεταξύ των οποίων προφανώς απελείται η συμφωνία ενώ αξίζει να επισημανθεί ότι ο βασικός ρόλος και στον νέο δίκαιο προσδεδομένων παραμένει στον υπέθνω σε επεξεργασίας έχει τις περισσότερες υποχρεώσεις ταυτόχρονα όμως ενισχύονται σε πάρα πολύ μεγάλο βαθμό οι υποχρεώσεις που έχει ο εκτελών οι οποίες είναι τόσο αυτοτελείς όσο και συμπληρωματικές προς τις υποχρεώσεις που έχει ο υπέθνω σε επεξεργασίας ένα καλό παράδειγμα θα μπορούσε να είναι ένας πελάτισας ο οποίος σας δίνει μια emailing list οπότε αυτός είναι υπέθνω σε επεξεργασίας τι παρέχει σε εσάς θα σκαθείστα με την μία εκτελούντα την επεξεργασία εσείς λοιπόν θα είστε υποχρεωμένοι βάση νόμου να παρέχετε να λαμβάνετε τεχνικά μέτρα τα οποία θα διατηρούν τα συγκεκριμένα δεδομένα ασφαλή επίσης για να οριστεί ένας εκτελών από τον υπέθνω απαιτείτε να υπάρχει νομική πράξη απαιτείτε να υπάρχει σύμβαση η οποία μάλιστα θα ορίζει συγκεκριμένα πράγμα ένα πολύ μεγαλύτερο το έβρος από ότι ήταν με το προηγούμενο καθεστός και τέλος, σαν μέτρο ενίσθηση διαφάνειας, ο κανονισμός προβλέπει ότι η επιλογή του εκτελούντα εκμέρωση υπευθύνου θα πρέπει να γίνεται πάντα με βάση το ότι παρέχει διαβεβαιώσης, ότι γίνεται τυρί σε επαρκή βαθμό της προβλέπεις του κανονισμού. Έχοντας καλύψει λοιπόν κάποιες βασικές έννοια όπως είναι τα προσοπικά δεδομένα από τους κυριότερους ρόλους οι οποίοι εντάσονται σε αυτά περνάμε σε ένα επόμενο στάδιο το οποίο είναι οι βασικές αρχές οι οποίες πρέπει να τηρούνται κατά την επεξεργασία των δεδομένων. Οι αρχές επεξεργασίας αποτελούν τη ραχοκοκαλιά της προστασίας δεδομένων, είναι πολύ σημαντική πτυχή για τον όχι μόνο από νομική σκοπιά αλλά κυρίως γιατί ουσιαστικά οριοθετεί το πλαίσιο εντός του οποίου μπορεί πολύ συνοπτικά θα δούμε ότι οι αρχές αυτές είναι η νομιμότητα της επεξεργασίας ότι δεδομένα θα πρέπει να συλλέγονται να επεξεργάζονται με βάση σύνομα θεμητά και με διαφανή τρόπο ο σκοπός, η αρχή του σκοπού να συλλέγονται για καθορισμένο ρητό και νόμιμο σκοπό ότι πρέπει να είναι επικυρωποιημένα ότι θα πρέπει να ισχύει αρχή της αλλαχιστοποίησης για την επεξεργασία δεδομένα ή ακρίβεια όταν πρέπει να καρτούνται ακριβή και ή δυνατών ο χρονικός περιορισμός της αποθήκευσης και φυσικά ή αρχή της ασφάλειας η οποία συνείσταται στην ακεριότητα και την επησυφτικότητα όσοι αποσάσεις στον πληροφοριακό σύστημα να καταλαβαίνετε λίγο καλύτερα αξίδιν επισημάνουμε συνοπτικά ως προς αυτό ότι η αρχή του σκοπού είναι ξερετικά κομβική σημασίας σιλέγω ένα δεδομένο, σιλέγω μία διεύθυνση email θα χρησιμοποιήσω και πάλι σαν παράδειγμα γιατί λόγω διαδικτή το κάνετε πολύ από εσάς πρέπει να είναι σαφής καθορισμένος οκτωπροτέρον ο σκοπός για τον οποίον συλλέγεται το email του άλλου τι σκοπεύεται να κάνετε με αυτό Ωστόσο σκεφτείτε ότι τόσο η αρχή της ελαχιστοποίησης δεδομένων στα τόσο applications που έχουμε όλοι στα κινητά μας και ένα παραπάνω σε τεχνολογίες όπως είναι τα Big Data τα οποία εξορισμού προσπαθούν να βγάλουν συμπεράσματα τα οποία δεν είναι εκτοπροτέρον καθορισμένα αρχές όπως οι αρχές της κοπούου και αρχές της ελαχιστοποίησης σίγουρα θα δοκιμαστούν η αρχή της ασφάλειας είναι εξαιρετικά σημαντικό αυτό να αναφέρουμε ότι είναι νεοίσακτη δηλαδή ασφάλεια για πρώτη φορά εισάγεται σωδή και προσπαθούν σε δεδομένων ως αρχή επεξεργασίας εξαιρετικό για δύο λόγους από την μία είναι δικτικό ότι ο νομοθέτης επιδιόκει να εντάξει έχει συνέσει τους συμβαίνει γύρω του τη σημασία της ασφάλειας ετήρησης των δεδομένων γι' αυτόν ακριβώς το λόγο το εντάξει σε μια από τις βασικότερες υποχρεώσεις του υπεφθούνου επεξεργασίας και το ακόμα σημαντικότερο είναι ότι βλέπουμε την έννοια της ασφάλειας η οποία συνήσα τη συνακαιρεότητα, την επισευτικότητα είναι ένα ευρύτερο έρησμα σε όλη την ομοθεσία γιατί μακριβώς τους ίδιους όρους αποτυπώνεται και στο πιντικό δίκαιο για δικοί μάτα όπως το Hacking τέλος πάρα πολύ σημαντικής ως σημαντικότερη κοινοτομία του κανονισμού θα τη δούμε αναλυτικό τρακ και συνέχεια είναι η λογοδοσία αυτό που πρέπει να κρατάμε στο μυαλό μας είναι ότι είναι μια αρχή κομβική σημασίας ο νομοθέτης έχει κάνει την εξαιπιλογή από εκεί που μέχρι τώρα υπήρχε ένα κραφιοκρατικό δηλαδή εάν τηρούσατε κάποιο αρχείο δεδομένων θα έπρεπε να το χονοστοποιήσετε στην αρμόδη αρχή ο νομοθέτης πλέον σταματά να ακολουθεί αυτή την προσέγκηση και ακολουθά μια προσέγκηση η οποία είναι περισσότερο εσωτερικής ημόρφωσης θα πρέπει δηλαδή αυτός ο οποίος επεξεργάζεται δεδομένα να είναι σε κάθε στιγμή σε θέση να αποδείξει ότι συμμορφώνεται με τις αρχές αυτές δεν ερμηνεύεται τουλάχιστον κατνάο ψήμου στενά υποτινένει ότι φέρει το βάρος σε απόδεξη για το τιδήποτε κάνει απλά θα πρέπει σε κάθε περίπτωση να αποδεικνεί σε ενδεχόμενο έλεχο αλλά και γενικά προς τα υποκείμενα των δηδομένων ότι επεξεργάζεται τα δηδομένα τους με βάση τις αρχές του κανονισμού είναι πολύ σημαντική αρχή δεν υπήρχε προγενέστρα και τέλος και το ακόμα σημαντικότερο συγκεκριμένο slide είναι η νομιμότητα είναι λίγο κυκλικό αυτό το επιχείρημα ουσιαστικά λέμε ότι θα πρέπει τα δηδομένα για να είναι νόμι με επεξεργασία τους να δεν επεξέρεται κανείς νόμιμα τι σημαίνει αυτό για να δούμε τι εννοούμε με την έννοια της νομιμότητας θα πρέπει να αντιληφθούμε κάτι πολύ βασικό στο νομικό σύστημα τα προσωπικά δηδομένια προσασίσεις των προησηποκών δηδομένων συνηστά θεμελιώδες δικαίωμα οπότε ο ενομοθέτης λέει ότι για να είναι εφικτή θα πρέπει όπως καιδήποτε να βασίζεται σε μία νόμιμβάση η νόμιμβάση αυτή είναι περιοριστικά αναφερόμενο στον κανονισμό και είναι η συγκατάθεση η επεξεργασία οδηδομένου να αναπαραίει για την εκτέλεση σύμβασης να είναι αναπαραίει για την εκπλήρωση η έννομη της υποχρέωσης για τη διαφύλαξη οδηγούς συμφερώντος για την εκπλήρωση καθήκοντος για έννομους συμφέρον ότι υπάρχουν επεξεργασίας οι τρίτους στην ουσία όλες αυτές οι αρχές αντανακλούν το γεγονός ότι όπως τα περισσότερα δικαιώματα κάνουν δικαιώματα δεν είναι απόλυτο και οι φίστατε περιορισμούς υπέρ δικαιωμάτων είτε του ίδιου του προσώπου είτε άλλον να σημειώσουμε ότι το γεγονός ότι έχετε λάβει ότι επεξεργάσετε δεδομένα με βάση κάποια από αυτές τις βάσεις που εγγονεστε με τις εκτυνόμοι που έχετε αποτελεί απλά την νόμη μια αρχή που δοσώσε να μπορείτε να προβείτε σε επερδέρω επεξεργασία η ερμηνία της εκθέλεσης της σύμβασης το ζωτικό συμφέρον και το περίφμο δημόσιο συμφέρον που συνήθως καταλεί κάθε έννοια λοιπόν δικαιωμάτων θα πρέπει να ερμηνεύονται πάντα σε σταλτικά πάντα με αναλογικότητα και πάντα με γνώμωνα το όλο πνεύμα του κανονισμού και πρέπει να γίνεται κατάχρηση των ενηών αυτών και καταλήγουμε στο σημαντικό τερόλον ειδικά για εσάς πως χολήσει με το διαδίκτυο η συντριπτική πλειωνότητα των περιπτώσεων που προχωράτε σε επεξεργασία δεδομένων γίνεται μέσω της συγκατάθεσης ουσιαστικά ζητάτε η συγκατάθεση του Χρήστη είναι πολύ κεντρική έννοια στο δίκαιο της προστασίας δεδομένων και πολύ κεντρική έννοια και στην πληροφορική τι σημαίνει συγκατάθεση συγκατάθεση με βάση στον όμο είναι ένδειξη βουλίσεως η οποία έχει κάποια συγκεκριμένα χαρακτηριστικά είναι ελεύθερη, συγκεκριμένη, ρητή με πλήρη επίγνωση και είναι η ένδειξη αυτή ότι συμφωνεί το υποκείμενο είτε με δύλωση είτε με σαφή θετική ενέργεια να αποτελίσουν τα δεδομένα του αντικείμενου επεξεργασίας πολύ σημαντικά στοιχεία είναι ότι ο υπέθνος επεξεργασίας εσείς εινδυνάμη ή αν εις υποκείμενου δεδομένον ο αντίσκος υπέθνος θα πρέπει να είναι σε θέση να αποδείξει εκείνος την υπαρκή της συγκατάθεσης δηλαδή εάν λαβάνει τη συγκατάθεση κάποια επεξεργάσεις δεδομένα του εσείς φέρεται το βάρος για να αποδείξετε ότι έχετε λάβει τη συγκατάθεσή του υπάρχει μια αστοχία δεν ξέρω για ποιο λόγο στη μετάφραση του κανονισμού που χρησιμοποιεί στα κλεικά την ελέξη ανάμπηγουσ που είναι αδιαφισβήτητη και ουσιαστικά θέλει να δείξει την ισχύ την οποία έχει η έννοια της συγκατάθεσης Η σαφίστητική ενέργεια την έχω ξεκορήσει γιατί είναι εξαιρετικά σημαντική για τους developer για τον εξής λόγο στις αιτιολογικές σκέψεις στο κανονισμός αναφέρει ότι όσο ένα φορά διαδικτυακές εφαρμογές ή στο σελίδες και τα συναφή και η ισχυοποιή ενός χρήστη δεν συνιστούν συγκατάθεση για να μπορεί να γίνει επεξεργασία Εάν λοιπόν χρησιμοποιείτε κάποια μέθοδο συλλογής δεδομένων και ζητάτε τη συγκατάθεση του χρήσι θα πρέπει τα τετραγωνίδια να μην είναι προσυμπληρωμένα θα πρέπει αυτός να δείχνει μία σαφίθετική ενέργεια ότι ναι, δέχομαι, αποδέχομαι να γίνει επεξεργασία των δεδομένων Η έκταση της συγκατάθεσης σημαίνει ότι σωστικά θα πρέπει για κάθε αντικείμενο και το οποίο θα επεξεργασέται τα δεδομένα του ξεχωριστά να λαμβάνε τη συγκατάθεση και η συγκατάθεση μπορεί να δίνεται σε γραπτή ηλεκτρονική ή και προφορική μορφή ενώ τέλος όσο αναφορά στο πλαίσιο εργασίας με σκορίτα ξέχασα κάτι πολύ σημαντικό η συγκατάθεση πρέπει πωςδήποτε να είναι ελεύθερα ανακλητή ανάπασα στιγμή η συγκατάθεση κάποιου είναι σε θέση να την ακαλέσει σε κάθε σημείο και ισχύουν οι δικοί κανόνες για τη συγκατάθεση που αφοράσει παιδιά. Τελευταίο πολύ σημαντικό σημείο είναι ότι ακριβώς επειδή η συγκατάθεση πρέπει να δίνεται ελεύθερα και όπως όλοι γνωρίζουμε λίγο τρόπο ή περισσότερο εντός εργασιακής σχέσης ελευθερίας δεν υπάρχει ο νομοθέτης έχει κρίνει ότι για την επεξεργασία δεδομένος η συγκατάθεση από μόνο της δεν αρκεί ο νομιβάση επεξεργασίας. Έχουμε ήδη καλύψει σας ξέρω ότι σας έχω κουράσει λίγο αλλά είναι απαραίτητο για κάποια νομικά να χρησιμοποιούμε ορισμούς έχουμε καλύψει πάρα πολύ βασικά ποια είναι ποια είναι οι βασικές έννοιες του κανονισμού και οι αρχές επεξεργασίας. Αυτό που είναι πολύ σημαντικό είναι να περάσουμε στην αντίπερα οκθή να δούμε ποια είναι τα δικαιώματα των υποκειμένων και είναι δικαιώματα ενδυνάμει όλων μας εννολίγεις. Όπως είπαμε και αρχικά ο GDPR δεν αποτελεί ένα ουρανοκατέβατο νομοθέτημα αποτελεί μια εξέλιξη του είδη εφισταμένου πλεσίου το οποίο σημαίνει αντίστοιχα ότι αυτό αποτυπώνεται και στα δικαιώματα. Τα δικαιώματα τα οποία έχουν τα εποκείμενα πολλά από αυτά είναι προηφιστάμενα. Όπως είναι το δικαιώμα της ενημέρωσης δηλαδή υπάρχει οι πληροφοριών οι οποία εξαρτάται από το ανταδομένα ή από άλλη πηγή. Το δικαιώμα πρόσβαση τα δεδομένα το δικαιώμα να διορθώνουμε τα δεδομένα μας το δικαιώμα περιορισμού της επεξεργασίας και έχουν επίπεδει με τη σειρά αυτή νέα δικαιώματα είναι το δικαιώμα εναντίωσης συγκεκριμένα και για την αυτοματοποιημένη λύψη από φάσιων αλλά και για την κατάρτηση προφύλλη όπως είπαμε είναι νέα έννοια και το δικαιώμα στη φορητότητα και το δικαιώμα στη λύθη. Κατ' αρχάς να ξεκινήσω την αρχή της διαφάνειας εσείς φερειπήν έχετε μία σωσελίδα φτιάχνετε μία σωσελίδα οποιαδήποτε δεδομένα συλλέγεται και θέλετε να αποτυπώσετε τα δικαιώματα τα οποία έχουν οι χρήστες ως προς δεδομένα τους τα οποία είναι αυτά θα πρέπει να αποτυπώνονται με ξεκάθαρο τρόπο θα πρέπει να είστε να πάσα στιγμή σε θέση να ενημερώσετε το χρήστη Ακόμα πιο συγκεκριμένα ο κανολισμός προβλέπει ότι από τη στιγμή που θα επικοινωνήσει ένα εποχείμενο δεδομένο με την πέθνη επιξεργασίας θα πρέπει να εικανοποιηθεί το ετοιμάτου εντός μινός. Δίνατε αυτή η προθεσμία να παραταθεί για κάποιο χρονικό διάστημα με ειδικούς λόγους, αλλά σε γενικές γραμμές είναι πάρα πολύ σημαντικό να γνωρίζει ότι πλέον φέρετε το βάρος να εικανοποιείτε Τα ετοίματα που υποβάλλονται τα υποχείμενα των δεδομένων. Η κατάρτηση προφή λοιπόν είναι πολύ σημαντική στον γενικό κανονισμό. Καταρχάς για να είμαστε όλοι στην ίδια σελίδα με την έννοια της κατάρτησης προφή εννοούμε επεξεργασία δεδομένων, προφανώς αυτοματοποιημένη, η οποία στην ουσία τι κάνει, χρησιμοποιεί δεδομένα για να αξιολογεί συγκεκριμένες πτυχές του κάθε χρήστη. Επίσης να αναφέρει ο κανονισμός στην εργασία, στην υγεία, στις προτιμήσεις με πολύ απλό τρόπο, profiling ειφιστάμε θα κάθε μέρα μέσω του social media για να βγαίνουν στοχευμένες αδεδιεφημήσεις και ούτου καθεξής. Γίνεται η ρητή αναφορά συγκετάρτηση προφυλής του GDPR. Είναι ένα από τα πιο εξέχουσες σημασίας και εξαιρετικά ενδιαφέροντα ζητήματα. Δυστυχώς δεν έχουμε χρόνο να το αναλύσουμε όσο πρέπει. Είναι πολύ ενδιαφέρον ζήτημα, είναι η φορητότητα και σας αφοράμεσα. Ο κανονισμός κατοχειρώνει δικαίωμα σε ένα υποκείμενο δεδομένο να πάει στον υπεύθυνο ενδιαφέροντα εξεργασίας και να το πει ότι θέλω το αδεδομένα μου σε συγκεκριμένο μορφότυπο για να τα μεταφέρω αλλού ή εσύ πρέπει να μεταφέρεις σε άλλον υπεύθυνο σε συγκεκριμένο μορφότυπο. Αυτό έχει πρακτικά implication για να χρησιμοποιούνται κοινή μορφότυποι. Θα πρέπει να υπάρχει διαλειτουργικότητα των συστημάτων, κάτι το οποίο δεν ισχύει κατά κανόνα. Δεν καθίσταται υποχρεωτικό, να πούμε, από τον κανονισμό να είναι διαλειτουργικά τα συστήματα. Ωστόσο, ο κανονισμός ριτά ενθαρήνει τους διβέλοπες να χρησιμοποιούν μορφότυπους οι οποίοι θα είναι κοινά αποδεκτή. Το περίφυμο δικαίωμα στη λύθη και τάρρωματικό. Διαφορετικά ξεκίνησε, διαφορετικά κατέληξε υποτινένει ότι γίνε πρώτα αναμολογιακά δεκτώ μέσω της απόφασης σημεσίου, θα έχει τακούσει για την περίφυμη απόφαση της Google για διαγραφή των αποτελεσμάτων. Στην ουσία, αυτό που αποτυπόθηκε στον κανονισμό είναι μια επέκταση του δικαιώματος της διαγραφής, γιατί είναι τόσοι πολύ περιορισμοί και τόσα πολλά τα δικαιώματα που μπορεί να επικαλεστεί σε προχωρή σε διαγραφή, που εκτιμώ ότι το δικαίωμα στη λύθη έχει κάπως αποδυναμοθεί από την αρχική του σύλληψη. Τέλος, αυτό το οποίο είπαμε και στην αρχή, είναι ότι όσοι πέφτουν επεξεργασίας, επιτασχετικά ετοίμα των υποκειμένων για όλα αυτά τα δικαιώματα έχετε υποχρέωση άμεσης ανταπόκρισης και φυσικά εκ των πρωτέρων, άμεσης ενημέρωσης πρώτου αρχίζετε να συλλέγεται τα δεδομένα. Πριν ότι ο νομοθέτης περνάει σε έναν καινούργιο στάδιο από την εποπτική γραφιοκρατία ότι δηλαδή για να επεξεργάζει δωμένου θα πρέπει να τελείσει συγκεκριμένες διατυπώσεις μπαίνει σε έναν νέο στάδιο της συμμόρφωσης ουσιαστικά όχι ακριβώς αυτορήθιμης αλλά στην ουσία λέει ότι κάθε οργανισμός ακόμα οργανισμός και ενός προσόπο, αν δουλεύετε μόνοι σας ή τέσσεο μάδες μεγαλύτερες θα πρέπει να επιδεικνεί συμόρφωση από μόνος του. Έχει δημιουργήσει μία λίστα με εργαλεία τα οποία θα δούμε στη συνέχεια τα οποία οδηγούν εξασφαλίζουν σε έναν βαθμό ότι θα συμμορφώνεται ο υπεύθυνος επεξεργασίας με τις διατάξεις του κανονισμού. Αρχής γεννωμένης από την έννοια της λογωθοσίας την οποία αρχίσαμε να αναλύουμε λίγο περισσότερο στην προστασία από το σχεδιασμό και εξορισμό αυτό που λέμε privacy by design και privacy by default την ασφάλεια δεδομένων και τη γνωστοποίηση παραβήασης την εκτίμηση αντικτύπου στα προσωπικά δεδομένα και την προηγούμενη διαβούλευση επιφθύνεται στην Ελλάδα είναι η αρχή προστασία δεδομένων προσωπικού χαρακτήρα και στην υπάρξη κοδίκων δεοντολογίας και πιστωποιήσεων. Αξίζει να πούμε κάτι πολύ σημαντικό καταρχάς γιατί σε ανθρώπιου επίπεδο συμβέλοπερες και ανθρώπους που ασχολείται με λιμπεροφορική που είναι πάρα πολύ αγωμένη με τον νεοκανονισμό ως προς τις διατάξεις που προβλέπει και τα λειπάει δικά ως προς τα πρόστιμα ο κανονισμός ακολουθεί μια προσέγγηση με βάση τον κίνδυνο risk based approach το οποίο τι σημαίνει ότι οποιαδήποτε κύρωση οποιαδήποτε ένδειξη μόρφωσης οποιαδήποτε ένδειξη διαφάνειας που εξεργάζεστε εάν υπάρξει μια διαροή τι συνέπεζ μπορεί να έχει αυτή για το υποκείμενο των βεβομένων και ούτου καθεξής συνεπώς πρέπει να καταλάβουμε ότι είναι μια πολύ βασική αρχή καθόλη που διέπει τον GDP αρχενικά η προσέγγηση του κίνδυν η προσέγγηση με βάση τον κίνδυνο αυτό έχει και μια έκφανση διαφορετική οι οργανισμοί που είναι πάνω από 250 άτομα είναι υποχρεωμένοι πλέον να τυρούν αρχία είναι λίγη οργανισμή η οποία είναι πάνω από 250 άτομα και συγκεκριμένα αναγνωρίζοντας το αυτοκανονισμός ότι έχει αρκετές απετήσεις έχει κατεβάσει τον πίχη και λέει ότι ουσιαστικά και μέσω των Εθνικών Αρχών και μέσω του Εθνικού Νομοθέτη θα πρέπει να υπάρχουν ειδικές προβλέπεις ειδική μέρημνα για την πλειονότητα των οργανισμών που είναι κάτω από 250 άτομα τέλος από όλα αυτά θα ήθελα να ξεχωρήσω δεν ξέρω αν το έχει τακούσει αλλά στην ουσία όσο να φοράς στα data breaches είστε υποχρεωμένοι είναι υποχρεωμένοι στο υπεύθυνο της επεξεργασίας να γνωστωποιεί, αμελητή εννολίγησε εντός 72 ώρων την οποιαδήποτε παραβήαση στην εποπτική αρχή και κατά περίπτωση αν υπάρχει υψηλός κίνδυνος και κάποιες ακόμα προϋποθέσεις θα πρέπει να κοινοποιεί την παραβήαση και στα υποκείμενα των δευδωμένων που υπάρχουν και χάξ είναι σ' αφές ότι ουσιαστικά ο νομοθέτης χρησιμοποιεί την αρνητική διαφήμηση όσο μέσω συμμόρφωσης εννολίγης πρέπει να εφαρμώσεις συγκεκριμένα μέτρα σφαλίας η δάλλος θα είσαι υποχρεωμένος αν υποστίζει data breaches να το κοινοποιήσεις σε όλους τέλος, ως προς την απόδειξη συμμόρφωσης εντάσετε η έννοια της λογοδοσίας να σημειώσουμε όσον αφοράς την ασφάλεια για να αποδεκνήσω τις συμμόρφωνες με την ασφάλεια υπάρχει ένα set δεδομένων όπως είπαμε και πριν επιστουυτικότα η διαθεσιμότητα και ούτω καθεξής το σημαντικότερο είναι όμως ότι ο νομοθέτης δίνει ο ίδιος κάποια παραδείγματα στοιχίων τα οποία εξηφαλίζουν την ασφάλεια τρεις πολύ σημαντικές διαδικασίες είναι ύψευδονημοποίηση η οποία στην ουσία από μόνο μία βάση δεδομένων εάν γίνεται να τις πάτε πρακτικά το εκφράζω να τις πάτε, να τη ρίτε ότι είναι πολύ δύσκολο οι δύο βάσεις αυτές να διασταυρωθούν προκειμένου να οδηγηθούμε με βιβαιότητα στο πιο πρόσωπο αφορά ή κρυπτογράφηση η χρήση κρυπτογράφησης που είναι ούτωση άλλος best practice και φυσικά το testing στα συστήματα τα οποία έχουν πυροφορίες είναι αντιληπτό νομίζω για developers, οι οποίοι ασχολούνται με τα συγκεκριμένα αντικείμενα να μείνουμε λίγο παραπάνω στο privacy by design and by default δεδομένου ότι πολλοί από σας είναι developers ο κανονισμός ορίζει ως privacy by design την εφαρμογή κατάλληλων τεχνικών οργανωτικών μέτρων τόσο κατά τη στιγμή του καθορισμού όσο και κατά τη στιγμή της επεξεργασίας και αντίστοιχα το by default σημαίνει ότι εξορισμού θα πρέπει να αντιχάουν επεξεργασίας είναι σαφές ότι γίνεται αντιληπτή η αμφιδρομη σχέση δικαίου και τεχνολογίας προσπαθεί ουσιαστικά ο νομοθέτης να βάλει το πράγμαση, την ιδιωτικότητα στο μυαλό του κάθε προγραμματιστή ούτε σώστε να αποτελεί μία βασική παράμετρος κατά το σχεδιασμό της αρχιτεκτονικής ενός συστήματος δεν είναι υποχρεωτική ενώ υπήρξαν κάποιες κουβέντες κατά τη διάρκεια της κατάρτησης του κανονισμού και τα μέτρα δεν είναι στην ουσία υποχρεωτικά αλλά είναι πάντα αυτό που είπαμε best practice και είναι πολύ χρήσιμο για να αποδεικνεί κανείς τη συμμορφωσί του με τη διαττάξει ο κανονισμό και φυσικά παρέχει τη δυνατότητα πιστωποιήσεων προς έναν οργανισμό ο οποίος χρησιμοποιεί τέτοιες τεχνολογίες και νομίζω ότι δίνεται αν δεν κάνω λάθος και σε δημόσεις διαγωνισμούς ένα προβάδισμα σε εταιρίες πληροφορικής και είναι επιστοποιημένες με συστήματα privacy by design και privacy by default Ερχόμαστε περίφουμε σκυρώσεις ενδιαφέρεστε η περισσότερη από εσάς δεν προσωπικά δεδομένα ή τουλάχιστον ο λόγος για τον οποίον έχει γίνει τόσος δώρος είναι το βλέπω και σε σχόλια στο facebook ότι αν αυτό το κάνει από το μάλλον του 18 θα έχει δύο εκατομμύρια ευρώ πρόστιμο δεν είναι έτσι ακριβώς τα πράγματα υπάρχει ένας μηχανισμός κυρώσεων ο οποίος προσπάθησαν να το συνοψήσω εδώ υπάρχουν δύο ήδη κυρώσεων τα 10 εκατομμύρια και το 2 της εκατομμύρια και τα 20 εκατομμύρια και το 4 της εκατομμύρια ανάλογα με το πιο είναι η ψιλότερο λαίο κανονισμός προβλέπονται και διαφορετικές περιπτώσεις σε κάθε περίπτωση όμως δεν ισχύουν για όλους υπάρχουν διάφοροι παράγοντες οι οποίοι λαβάνουν τα υπόψη τις βλέπετε κάτω είναι η φύση της παραβήασης η βαρύτητα, η διάρκεια, η έκταση σε κάθε περίπτωση το πλαίσιο τροποποιήθηκε επειδή ήταν ασαφές και ανεπαρκές ήταν οδηγία δηλαδή δεν έδινε σαφής κατεθύσεις ως προστοπός επιβάλοντα πρόστιμα με αποτέλεσμα το πλαίσιο να είναι πάρα πολύ ανεπαρκές και να υπάρχει ένα πολύ καλό ρόηση παραβιάσεις εννολίγης, εάν κάποιος πηγαίνει στο δικηγόρο και του έλεγε ότι σκέφτομαι να κάνω αυτό το οποίο παραβιάζει την ομοθεσία εάν το κέρδος είναι κάποια εκατομμύρια και το κόσμο στις χειρότροι για τα δικητικά πρόστιμα είναι κάποιες δεκάδες δεκάδες ευρώ γιατί να μην το κάνεις. Αυτό ακριβώς προσπαθεί να ανατρέψει το GDPR μέσα αυτής και αυστηρές προβλέψεις Δεν έχουμε χρόνο να λύσουμε πλήρους συγκυρώσεις αλλά δεν είναι τόσο τρομακτικές όσον φαίνονται Κυρίως γιατί μέσω των επιπροπτικών αρχών και του ομοθετού εθνικούν ομοθέτη δεν υπάρξει και η έννοια της επεξίγης σιωστικά να προσπαθήσει η επιπροπτική αρχή πρωτού πρωφή ή μαζί με την επιβολή κυρόσιων να φέρει να καταστήσει τον υπέθυνη επεξεργασία όπως τόσο να συμμορφώνεται με τη διατάξη του κανονισμού και σε κάθε περίπτωση είναι σαφές ότι το ύψος των κυρόσιων η διατύπωση για παγκόσμιο τζίρο και τα δυστιωρή τα πρόστιμα είναι μαπροστισίπα τόσο έπιτα από τις αποκαλύψεις νόντεν όσο και από την επεξεργασία που τυχάνουν μέσω Google και Facebook είμαι σίγουρος ότι είστε πολύ πιο γνώροι με τους κυρίους από ότι εγώ κλίνοντας κάποια Final Remax που λένε και έγιπη μου γάλωσα όσο να φοράς την προετοιμασία στο GDPR, ουσιαστικά πρακτικά πρέπει να κάνει ο καθένας από εσάς με βεβαιότητα επεξεργάζει σε δεδομένα μπορώ να σου πω με σιγουριά είτε το κάνει εκ μέρους κάποιου άλλου ως εκτελών είτε το κάνει ο ίδιος τα πρέπει για τη σεδερία σου σώσει πέφτηνος το θέμα είναι ότι σίγουρα επεξεργάζει σε δεδομένα είναι πως θα πρέπει να λάβετε κάποια μέτρα ούτε σώστε να επιδείξετε τη συμμορφωσή σας Ποιά είναι τα μέτρα αυτά πρέπει καταρχάς να το δείτε σαν μια ευκαιρία να βάλετε όσοι από όσο το έχετε κάνει την εργασία σε μια τάξη και εσύ είναι οι πηγές των δεδομένων που τις έχετε τον έλεγχω των διαδικασιών και φυσικά να επαναξετάστηκε να επιβεώσει ότι έχετε τις νόμιες βάση επεξεργασίας θα πρέπει να προετοιμαστείτε ούτε σώστε να είστε έτοιμοι να τα αποκρυφείτε σε τυχόν ετοίματα που θα έρθει να τα αποκείμενον των δεδομένων θα πρέπει να ενημερώσετε και να εκπαιδεύσετε τόσο εσάς τους ίδιους όσο και το προσωπικό σας να προβρείτε ενδεικτικά το λέω σε μία σύνταξη σε τελικού κανονισμού γιατί ακόμα και τεδομένα των εργαζόμενων που επεξεργάζεστε εμπίπτυνε στο παιδίο του ορισμού να είστε έτοιμοι για να δείτε αν υπάγεστε στις διατάξεις περίπττα τα BRITZ, DPO οι πέθυνοι προστασίας δεδομένων για υπακτασσές μεν και φυσικά για πράγμαση by design και ιδιαίτερη προσοχή σε περίπτωσης επεξεργασίας δεδομένα υβέσει τα δεδομένα υγείας γενετικά και όλα τα συναφή αν επεξεργάζεστε δεδομένα το οποίο αφορούν παιδιά και φυσικά προβέντες σε διαβάσεις δεδομένων εκτός Ευρωπαϊκής Ένωσης. Σε κάθε περίπτωση η άποψή μου είναι ότι 25 Μαΐου δεν είναι το τέλος. Αν είναι η αρχή πρέπει να αρχίσετε την προσπάθεια συμμόρφωσης με τον κανονισμό αλλά σε καμία περίπτωση δεν μπορείτε να περιμένετε να υπάρχει τάξι ενός νέου νεμοθετήματος. Κλίνοντας ξεχώρησε αυτό επειδή γνωρίζω από προσεπτική εμπειρία ότι πάρα πολύ ασχολούνται με την διαχείρηση της ελίδας στο facebook ή και όλοι μας έχουμε social media. Η προστασία δεδομένη στο social media είναι μια πολύ διάλεισσα περίπτωση για αυτό ότι ξεχώρησα. Να πούμε ότι εντηγενέση του GDPR καταρχήν τουλάχιστον δεν εφαρμόζεται στο πλαίσιο ικιακής δραστηριότητας. Όταν στο σύγχρονο περιβάλλον ερμηνεύεται και ως η συμμετοχή μας στα μέσα κοινωνικής δικτύωσης αυτό δηλαδή πολύ επηγραμματικά σημαίνει ότι το προσεπτικό σας προφύλλη στο facebook, στο οποίο έχετε μια λίστα 1500 φίλων, λοιπόν άλλες συνθήκες αν είναι ένα αρχείο προσεπτικών δεδομένων. Στα πλαίσιο, όμως, ικιακής δραστηριότητας που το ασχύτε δεν είναι πράξη οποια καλύπτεται από το GDPR. Όμως θα πρέπει να έχετε στο μυαλό σας ότι αν ασχολείστε επαγγελματικά με τη διαχείρηση και το εγγραφιασμό social media ή το facebook ή το linkedin θα πρέπει να είστε ιδιαίτα προσεπτικοί. Υπάρχει ήδη μία εκκρεμής υπόθεση στο δικασίδιο της Ευρωπαϊκής Ένωσης που δεν έχει εκβευθεί η απόφαση με την οποία όμως, αν ακολουφήσει τις προστάσεις του Ισαγγελέα, ο υπεύθυνος administrator, μιας facebook page είναι υπεύθυνος επεξεργασίας. Αυτό σημαίνει ότι έχει όλες το χρέος που έχει κυρίως στο facebook και λέω το facebook γιατί πολύ χειρίζονται τα account στα επαγγελματικά μέσα από το προσωπικό τους. Αντιλαμβάνεστε ότι η λογική του να χάσω το password στο προσωπικό μου account είναι ζημιά επιτρία ή ζημιά του να χάσω το προσωπικό μου account από το οποίο εξαρτώνται πέντε διαφορετικά facebook pages είναι επιτρακόσια. Κλίνοντας, επειδή σας είπα ότι έχω δουλέψει πολλά χρόνια με developing και τους έχω και μία ιδιαίτερη αδυναμία που παίρνεται πολύ πρακτικές συμβουλές. Η πρώτη είναι πρέπει πως δίποτε να καθορίσετε στη δουλειά σας αν είστε υπέθυνοι επεξεργασίας ή εκτελούντις στην επεξεργασία και να δείτε με βάση τα όσα είπαμε τι υποχρέωση είναι πάγεται αυτό. Θα πρέπει να εξεσφαλίσετε όπως και δίποτε την ομοιμότητα το δωμένο που επεξεργάζεστε όσον αφορά πυχή της συγκατάθεσης να είστε βέβαιοι ότι είστε θέσουν να τα αποδείξετε. Υπάρχεται έμφαση στην ασφάλεια. Η ασφάλεια μπαίνει ως αρχή επεξεργασίας συνεπώς το έλαμο ρε και τι έγινε πιο σταμπής στη διαδικασία να δεν ισχύει πλέον. Θα πρέπει να εφαρμόζεται ακρός the board best practices. Δεν χρειάζεται να τα αποδείξω, αλλά ενδεικτικά θα πούμε το HTPS, firewalls, two step verifications όπουδήποτε απετούνται κοδικοί. Και ιδιαίτερη προσοχή ενώψει και του privacy regulation που έρχεται το επόμενο διάστημα Σε κάθε περίπτωση αυτό το οποίο θέλω να κρατήσει τη σημερινή παρουσία είναι ότι είναι πολύ σημαντικό να μην βλέπουμε σαν ένα τιμωριτικό εργαλείο τον κανονισμό αλλά μία ευκαιρία να δημιουργηθεί μια κουλτούρα προσασίας δεδομένων και γι' αυτό ακριβώς στο λόγο δεν ξέρω αν είναι κάποια παιδιά από το WordPress. Νομίζω ότι ο τρόπος που λειτουργεί το WordPress, as a community, είναι μια εξαιρετική ευκαιρία για να λειτουργήσει ως υπόδειγμα σε κάτι το οποίο στην Ελλάδα δεν είμαστε συνηθισμένοι να κάνουμε κόδικες δεδολογίας νομίζω ότι εφόσον είσαι διβέλοπρος οι οποίοι έρχονται μαζί με κοινό σκοπό και δημιουργούν θα ήταν εξαιρετική ιδέα εφόσον προβλέπεται κερειτά τον κανονισμό και λειτουργεί θετικά για όλους σας να προχωρήσετε τη συγκατάρτηση ενός κόδικα δεδολογίας για τα best practices Ευχαριστούμε πολύ το βασίλικα κατζούνου του έχουμε και ένα μικρό δωράκι για να μας θυμάται την ομιλία του στο World Cup Pathens 2017 για το γραφείο έχετε καμία ερώτηση για το βασίλι χιλιάδες αν είναι χιλιάδες παιδιά δεν τις ερωτήστε τώρα θα σας αφήσω μετά λίγο στο lobby ελεύθερος να τις ερωτήστε εκεί αν έχετε λίγες έτσι καναδιώ να τις απαντήσει τώρα βασίλεις έχουμε μικρόφωνο δώσ' μας μισό λεπτάκι να συνοψήσω λίγο όσα άκουσα σε ένα παράδειγμα για να δω αν το καταλάβα καλά κατασκευάζω μια ιστασολίδα για ένα πελάτι μου που συλλέγει στοιχεία Χριστών του Μελών του οι φόρμες μου δεν πρέπει να έχουν by default συμπληρωμένα στοιχεία για να πατήσει το okay και να μου κάνεις πρέπει να έχει αποδεχτεί όρους συγκατάθεση για τα στοιχεία που καταχωρεί και αυτά τα στοιχεία τα οποία θα κρατησούν στη databases του πελάτι μου θα πρέπει να είναι κρυπτογραφημένα μπέστ πράκτησης και να κάνει λογγή να αυτός ο άνθρωπος θα πρέπει να έχει ένα τεράστιο κοδικό δεκαψύφιας που με για να μπορέσει να είναι να μη σπάει εύκολα και να έχει two way authentication του step authentication και παράλληλα εγώ για τον πελάτι μου θα πρέπει να έχω υπογράψει μια σύμβαση ως developer που να με καθιστά τι ώστε επεξεργαστεί πώς είπατε τους δύο ρόλους εκτελών την επεξεργασία αφού δηλαδή ο πελάτις μου συλλέει στοιχεία εγώ είμαι εκτελών ως developer ή είμαι και εγώ κάνω και εγώ επεξεργασία στοιχεία θα σας πω γιατί λέει ή από κοινού είναι λίγο δύσκολο συνοπτικά να απαντήσω γιατί ουσιαστικά αυτό είναι όλο το workflow ενός developer όχι καλώς κάνετε ξεκινότησα από τα πιο απλά για μένα δεν μπορώ να καταλάβω SSL protected υπάρχουν σιγούρα παράμματα που δεν καταλαβαίνουν γιατί δεν είμαι τεχνικός αλλά το νέο για best practice με αυτήν την έννοια ότι ουσιαστικά εφόσον ζητάτα από κάποιοι να σε εμπληρώσει μια φόρμα το email το προσωπικό το όνομα του και όλα αυτά για μένα είναι δε facto δεδομένο ότι θα πρέπει η σύνδεση να ανασφαλείς τώρα όσο να φορά στα υπόλοιπα δεν υπάρχει one side feature δηλαδή κάθε ανάγκης του καθενός είναι διαφορετικές όπως είπαμε και πριν απλά η κάθε περίπτωση είναι σχετική ανάλογα με τα δεδομένα τα οποία επεξεργάζεται με τους σκοπούς όπως είπαμε που θα χρησιμοποιήσει τα δεδομένα αυτά οπότε σε γενικές γνωμάς αυτά που πάτε ισχύουν όλα Ο βασικός μου προβματισμός ότι είπατε είναι επειδή ο developer παίρνει πάρα πολλά στοιχεία από τους πελάτες του που αφορούν τον πελάτι του δηλαδή διατηρείται οι databases δεν θα πρέπει να υπάρχει βάση της κανονισμού μια σύμβαση η δική που θα πρέπει να γίνεται ανεταξύ του developer και του πελάτη για να διασφαλίζει γενικά είναι απαραίτητα από τις σύμβου που παίρνεις για δικασιά υπάρχει πιο πρώτη που θέλω να πω για αυτή τη σύμβαση θα το δειβρούμε κάπου ή θα πρέπει να τη συντάξουμε με δικηγόρο εμείς θα σας πω γενικά είναι κατατηνά όπως είμαι επειδή έχω πολλούς φίλους developers που δουλεύουν μόνοι τους εξασφαλίζει και τον ίδιο και τον άλλο δεν είναι απαραίτητο να είναι εξοχωριστή σύμβαση με την έννοια ότι αυτό που λέμε για το συμβόλιο το οποίο πρέπει να προβλέψει συγκεκριμένα στοιχεία ισχύ κατακανώνα και αυτό είναι κάτι που θα πρέπει να το κάνουν γιατί έχετε και το παπάκι έξω οι cloud service providers είναι πολύ μεγάλο νομικό ζήτημα αν είναι υπεύθυνη υπεξεργασία ή εκτελούντες γιατί σκεφτείτε ότι αν πήρχε χρησιμοποιούμε την άμαζον τι άμαζον παραδείγματος χάρη αποθηκεύεται δομένα όχι σε μία φυσική τωποθεσία μπορεί να τα δομένα σας τη δευτέρα να βρίσκονται στο τορίνο το βράδυ στον μιλάνο την τρίτη το πρόεση σε άλλη τωποθεσία αυτό έχει μεγκριθεί ότι από μόνο του δεν τον καθισά τον άλλον υπεύθυνη υπεξεργασία αλλά είναι πρακτικά και λίγο στα πλήσια της ασημετρίας, της πληροφορίας και της τα συναφή είναι αδύνατο να ξέρετε ποιος εντελει πράγματι υπεξεργάζει τα δομένα οπότε η απάντηση που έχω να σας δώσει είναι ότι σε κάθε περίπτωση χρειάζεται σύμβαση ανεξαρτήτως του GDPR μπορεί ένα τμήμα της σύμβασης αυτής να οριοθετήσει συγκεκριμένα το πλαίσιο εντός του οποίου υπεξεργάζεστε χειρίζεστε τα δομένα υπάρχει στον κανονισμό είναι σε αυτή τα πλαίσια τι πρέπει να ορίζει