You are here

Πρόσφατα σχόλια

  • Απάντηση σε: General Data Protection Regulation (GDPR): Ενημέρωση και πρωτοβουλία κοινότητας   Πριν 6 ημέρες 17 ώρες

    Χρήσιμο live webinar σχετικά με το θέμα: https://www.pluralsight.com/resource-center/webinars/how-general-protect....

  • Απάντηση σε: General Data Protection Regulation (GDPR): Ενημέρωση και πρωτοβουλία κοινότητας   Πριν 1 εβδομάδα 5 ημέρες

    Ξεκίνησε και η Google να στέλνει σχετικό email στους πελάτες της.

    On May 25, 2018, the most significant piece of European data protection legislation in 20 years will come into force when the European Union's (EU) General Data Protection Regulation (GDPR) replaces the 1995 Data Protection Directive. We know that preparing for this regulatory change is a priority for many of our customers. It is a priority for us, too.

    Today, we are pleased to roll out version 2.0 of our Data Processing Amendment (DPA), which has been specifically updated to reflect the GDPR.

    How opting in to DPA version 2.0 works
    If you opt in to DPA version 2.0, the updated terms will take effect with the GDPR on May 25, 2018. If you opt in before May 25, you will benefit from DPA version 1.6 until then.

    Details Google is required to obtain from you
    The GDPR requires Google to maintain records of certain information, including the contact details of your EU representative (if your organization is not established in the EU) and Data Protection Officer (DPO), where applicable.

    What you need to do
    - Sign in to the Google Admin console.
    - Go to Company profile > Profile.
    - Opt in to DPA version 2.0.
    - In the Legal & compliance section, enter details for your EU representative and DPO as needed.
    - You might need to click Show more to see Legal & compliance.
    - Click Save.

    Where to find information or direct questions
    Further information regarding Google Cloud and the GDPR is available on our Cloud GDPR website. If you're also a Google Cloud Platform (GCP) customer, you will receive a separate communication concerning the rollout of updated terms for the relevant GCP products to reflect the GDPR. You might also receive similar communications concerning any other Google products you are using.

    If you have any questions, sign in to the Admin console and contact Google's Cloud Data Protection Team.

    Sincerely,

    The G Suite Team

    --

    FAQ

    Why are you rolling out DPA version 2.0 now? Why aren't you waiting until May 25, 2018?
    Google is committed to GDPR compliance and to helping its customers with their own compliance journey. We are rolling out DPA version 2.0 well in advance to facilitate your compliance assessment and GDPR readiness when using G Suite services.

    DPA version 2.0 takes effect on May 25, 2018, but what happens in the meantime?
    DPA version 1.6 will apply in the meantime.

    My company already opted in to an earlier version of the DPA. Do we need to opt in again to benefit from the new terms?
    Yes. Earlier versions of the DPA don't mention the GDPR. DPA version 2.0 specifically addresses GDPR changes. For more information about the GDPR and how you should begin preparing for it, see the Cloud GDPR website. You can opt in to version 2.0 in the Google Admin console (see directions above).

    My company already opted in to G Suite Model Contract Clauses (MCCs). Will those remain in force if we opt in to DPA version 2.0?
    Yes. If you previously opted in to G Suite MCCs, they'll remain in force whether or not you opt in to DPA version 2.0.

    What is a data controller? What is a data processor?
    A data controller determines the purposes and means of processing of personal data. A data processor processes personal data on behalf of a data controller. G Suite customers will typically act as the data controller for any personal data they provide to Google in connection with their use of G Suite. Google is a data processor and processes personal data on behalf of the data controller when the data controller is using G Suite.

    What are my obligations as a customer and data controller?
    Data controllers are responsible for implementing appropriate technical and organizational measures to ensure and demonstrate that any data processing is performed in compliance with the GDPR. Controllers' obligations relate to principles such as lawfulness, fairness and transparency, purpose limitation, data minimisation, and accuracy, as well as fulfilling data subjects' rights with respect to their data. You can find guidance related to your responsibilities under the GDPR by regularly checking the website of your national or lead data-protection authority under the GDPR (as applicable), as well as by reviewing publications by data-privacy associations, such as the International Association of Privacy Professionals (IAPP). You should also seek independent legal advice relating to your status and obligations under the GDPR, as only a lawyer can provide you with legal advice specifically tailored to your situation.

    What is a Data Protection Officer or DPO?
    A Data Protection Officer (DPO) is the person designated, where applicable, to facilitate compliance with the provisions of the GDPR. The GDPR defines the criteria and the conditions under which a DPO must be designated.

    What is a Customer EU Representative?
    A Customer EU Representative is the person designated, where applicable, to represent customers not established in the EU with regard to their obligations under the GDPR.

  • Απάντηση σε: Wordpress 4 to Drupal 8 migration   Πριν 1 εβδομάδα 5 ημέρες

    Ευχαριστώ. Θα τα δω άμεσα.

  • Απάντηση σε: Wordpress 4 to Drupal 8 migration   Πριν 1 εβδομάδα 5 ημέρες

    Το αρχείο μπορεί να είναι UTF-8 αλλά το περιεχόμενο των xml tags είναι μάλλον σε κωδικοποίηση τύπου ISO-8859-7. Δες μερικές προτάσεις εδώ:

    1. https://stackoverflow.com/a/39789830/1365264
    2. https://stackoverflow.com/q/2507608/1365264

  • Απάντηση σε: General Data Protection Regulation (GDPR): Ενημέρωση και πρωτοβουλία κοινότητας   Πριν 2 εβδομάδες 45 λεπτά

    Καλημέρα σε όλους!

    Για να βοηθήσουμε την κουβέντα γύρω από το GDPR και για την ενημέρωση των πελατών μας γύρω απο αυτό φτιάξαμε 10 σημεία που συνοψίζουν περιεκτικά τις αλλαγές. Η επεξεργασία των σημείων έγινε από τον συνεργάτη μας Βαγγέλη Καμαράκη (info@kamarakis.com) ο οποίος είναι από τους πρώτους που ασχολήθηκαν με το θέμα στην Ελλάδα, ο οποίος μάλιστα έχει την σχετική πιστοποίηση CIPP/E στο Ευρωπαϊκό δίκαιο προστασίας προσωπικών δεδομένων και είναι μέλος της IAPP (International Association of Privacy Professionals)

    Τα σημεία είναι τα εξής:

    1. Συνέπειες μη συμμόρφωσης : σε αυστηρά επιχειρηματικό επίπεδο, η κρισιμότερη αλλαγή που επιφέρει το νέο θεσμικό πλαίσιο είναι η αυστηροποίηση των συνεπειών μη συμμόρφωσης με αυτό. Ανάλογα με το είδος του παραπτώματος, τη βαρύτητα αυτού, αλλά και την εν γένει συμπεριφορά του παραβάτη, σε αυτόν μπορεί να καταλογισθεί πρόστιμο έως 4% του παγκόσμιου τζίρου του ή έως 20 εκατομμύρια ευρώ. Μάλιστα το ανώτατο κατώφλι ορίζεται το μεγαλύτερο εκ δύο πιθανών μεθόδων υπολογισμού.

    2. Συναίνεση: H συναίνεση είναι η συνηθέστερη νομική βάση επεξεργασίας προσωπικών δεδομένων τρίτων. Ο κανονισμός GDPR αυστηροποιεί τις προϋποθέσεις κάτω από τις οποίες η λήψη της συναίνεσης θεωρείται έγκυρη. Ως συνέπεια, κάποιες μέθοδοι λήψης αυτής που έως τώρα θεωρούνταν νόμιμες ή πως άνηκαν σε γκρίζες ζώνες (πχ προσημειωμένο κουτάκι αποδοχής της Πολιτική Απορρήτου) δε θα αρκούν για να δικαιολογήσουν τη νομιμότητα της επεξεργασίας δεδομένων.

    3. Ευθύνη των Processors: Η βασική διάκριση ανάμεσα σε αυτούς που προβαίνουν σε επεξεργασία προσωπικών δεδομένων είναι μεταξύ Controllers (υπευθύνων επεξεργασίας) και Processors (εκτελούντες την επεξεργασία). Η διαφορά τους είναι ότι οι πρώτοι καθορίζουν τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων, ενώ οι δεύτεροι λειτουργούν υπό τις οδηγίες τους. H διαφορά είναι συχνά λεπτή, ενώ ακόμα και μια πολύ απλή λειτουργία μπορεί να καταστήσει μια εταιρεία processor (πχ φιλοξενία προσωπικών δεδομένων στους servers της). Εντούτοις οι processors έως τώρα ευθύνονταν μόνο έναντι των controllers για τις πράξεις και τις παραλείψεις τους. Πλέον όμως θα ευθύνονται ευθέως και έναντι οποιουδήποτε , όταν επεξεργάζονται τα δεδομένα τους, στις περιπτώσεις που δεν τηρούν την υφιστάμενη νομοθεσία ή εάν λειτούργησαν αντίθετα με τις οδηγίες των controllers.

    4. Δικαίωμα στη φορητότητα των δεδομένων: Δίπλα στα υφιστάμενα δικαιώματα των υποκειμένων των δεδομένων (δικαίωμα ενημέρωσης, πρόσβασης, αντίρρησης, προσωρινής προστασίας) ο GDPR ιδρύει νέα δικαιώματα. Εκ των σημαντικότερων είναι το δικαίωμα στη φορητότητα των δεδομένων, το δικαίωμα δηλαδή του υποκειμένου δεδομένων να ζητήσει από υπεύθυνο επεξεργασίας να διαβιβάσει στον ίδιο ή σε άλλο υπεύθυνο επεξεργασίας αρχείο με όλα τα προσωπικά δεδομένα που τηρεί. Μάλιστα το αρχείο αυτό πρέπει να είναι έτσι δομημένο ώστε να μπορεί να αναγνωσθεί από τα συνήθη μηχανήματα και την τεχνολογία που χρησιμοποιούνται για αυτού του είδους τα δεδομένα.

    5. Δικαίωμα στη διαγραφή: Το έτερο σημαντικό δικαίωμα που εγκαθιδρύει ο GDPR για τα υποκείμενα των προσωπικών δεδομένων είναι το δικαίωμα τους στη διαγραφή, ή το “δικαίωμα στη λήθη” όπως το έχει διαμορφώσει η νομολογία των δικαστηρίων. Το δικαίωμα αυτό σημαίνει πως το υποκείμενο των δεδομένων μπορεί να ζητήσει τη διαγραφή τους αν όσοι επεξεργάζονται τα προσωπικά δεδομένα τα διατηρούν για μεγαλύτερο χρονικό διάστημα από ότι απαιτείται για να πραγματοποιηθούν οι σκοποί για τους οποίους ελήφθησαν, ή αν έχουν εκλείψει οι νομιμοποιητικές βάσεις (πχ συναίνεση) δυνάμει των οποίων αυτά συνελέγησαν. Όταν δε αυτά έχουν δημοσιοποιηθεί, ο υπεύθυνος επεξεργασίας οφείλει να τα διαγράψει και άνευ σχετικής αιτήσεως του υποκειμένου των δεδομένων. Ως εκ τούτου οι επιχειρήσεις οφείλουν να ελέγξουν τις ντουλάπες τους για “σκελετούς” προσωπικών δεδομένων που συνελέγησαν πριν από πολλά χρόνια και τα οποία μπορούν εκ του μηδενός να τους δημιουργήσουν ρίσκο μη συμμόρφωσης.

    6. Υποχρεωτικός ορισμός DPO: Η δυνατότητα ορισμού εκπροσώπου του υπευθύνου επεξεργασίας, γνωστού κατά τη διεθνή ορολογία ως DPO (data protection officer) προϋπηρχε και μάλιστα σε κάποιες χώρες (πχ Γερμανία) ήταν υποχρέωση των επιχειρήσεων. Πλέον ο ορισμός αυτός καθίσταται για πολλές επιχειρήσεις υποχρεωτικός. Ο DPO οφείλει να έχει ειδικές γνώσεις στο αντικείμενο των προσωπικών δεδομένων, ενώ λειτουργεί εν είδει εσωτερικής αρχής προστασίας προσωπικών δεδομένων για την εταιρεία που τα διαχειρίζεται, συμβουλεύοντας την ως προς τα ζητήματα συμμόρφωσης της με το ισχύον νομικό πλαίσιο και επιβλέποντας σημαντικές λειτουργίες της και ενέργειες της, ιδίως σε περίπτωση παραβίασης προσωπικών δεδομένων. Μπορεί να είναι υπάλληλος της εταιρείας ή τρίτος που συνδέεται μαζί της με σύμβαση άλλου είδους (πχ δικηγόρος, ελεύθερος επαγγελματίας κλπ)

    7. Privacy by Design- DPIA: H έννοια του privacy by design, του σχεδιασμού δηλαδή μιας υπηρεσίας ή επιχειρηματικού μοντέλου έτσι ώστε η βέλτιστη εφαρμογή του θεσμικού πλαισίου για την προστασία των προσωπικών δεδομένων να λαμβάνεται υπόψιν προληπτικά ,ήδη από τη φάση, αυτή και όχι εκ των υστέρων, αποτελεί μια φράση κλειδί τα τελευταία χρόνια. Πλέον καθίσταται υποχρέωση των επιχειρήσεων και δημιουργεί αστική ευθύνη τους σε περίπτωση που αποδειχθεί πως δεν λειτούργησαν κατά τον τρόπο αυτό. Συναφής με τα παραπάνω είναι η υποχρέωση για διεξαγωγή εκτίμησης αντίκτυπού σχετικά με την προστασία προσωπικών δεδομένων ,αλλιώς DPIA (Data Protection Impact Assessment), ιδίως σε περιπτώσεις μεγάλης κλίμακας επεξεργασίας, παρακολούθησης δημοσίως προσβάσιμου χώρου (CCTV) ή profiling.

    8 Γνωστοποίηση παραβίασης προσωπικών δεδομένων: Η παραβίαση δεδομένων (data breach), ιδίως αν αυτά είναι προσωπικά αποτελούν εφιάλτη για κάθε επιχείρηση, που δυστυχώς αποτελεί όλο και συχνότερα στις μέρες μας ρεαλιστική πιθανότητα. Οι επιχειρήσεις πλέον θα κριθούν όχι μόνο για την επάρκεια των μέτρων που έλαβαν ώστε να αποτρέψουν την πιθανότητα μιας τέτοιας παραβίασης αλλά και τις ενέργειες τους αφού αυτή έλαβε χώρα. Ανάμεσα σε άλλα, όταν αυτές είναι υπεύθυνοι επεξεργασίας (data controllers), υπέχουν υποχρέωση γνωστοποίησης της παραβίασης στην αρμόδια ανεξάρτητη αρχή, βάσει συγκεκριμένου πρωτοκόλλου , εντός 72 ωρών το αργότερο, ενώ στις περισσότερες των περιπτώσεων πρέπει να ανακοινωθεί και αμελητι και στα υποκείμενα των δεδομένων. Όταν η επιχείρηση είναι εκτελούσα την επεξεργασία (data processor) η σχετική υποχρέωση αμελητι γνωστοποίησης ισχύει έναντι του υπευθύνου επεξεργασίας.

    9. Ψευδωνυμοποίηση: Για πρώτη φορά η Ευρωπαϊκή Νομοθεσία Προσωπικών Δεδομένων αναφέρεται ευθέως στην ψευδωνυμοποιηση ως μέθοδο προστασίας των προσωπικών δεδομένων. Μάλιστα η μέθοδος αυτή ενθαρρύνεται και αποτελεί από τους παράγοντες που θα ληφθούν υπόψιν σε σειρά ζητημάτων όπως η χρήση των δεδομένων για άλλο σκοπό, το privacy by design, η ευθύνη υπευθύνου επεξεργασίας σε περίπτωση παραβίασης κλπ. Ωστόσο πρέπει να τονιστεί πως η ψευδωνυμοποίηση των δεδομένων δεν ταυτίζεται με την ανωνυμοποίηση ,η οποία καθιστά τα δεδομένα μη προσωπικά, ενώ προφανώς κάποιοι μέθοδοι ψευδωνυμοποίησης δεδομένων θεωρούνται ισχυρότεροι από άλλους. Ως εκ τούτου δεν αρκεί μόνο να ψευδωνυμοποιηθούν τα δεδομένα, αλλά αυτό να γίνει με τρόπο ώστε δύσκολα θα μπορεί να γίνει αποκωδικοποίηση της μεθόδου ψευδωνυμοποιησης από τρίτους.

    10. One stop shop : Μεγάλο πρόβλημα στην εφαρμογή της υφιστάμενης ευρωπαϊκής νομοθεσίας αποτελούσε το γεγονός πως οι επιχειρήσεις που δραστηριοποιούνταν σε πολλές χώρες της ΕΕ όφειλαν να προσαρμοστούν στις απαιτήσεις κάθε τοπικής νομοθεσίας και να συνεργαστούν με τις αντίστοιχες ανεξάρτητες αρχές προστασίας προσωπικών δεδομένων. Η δύσκαμπτη αυτή πρακτική επιχειρείται να παρακαμφθεί με το νέο θεσμικό πλαίσιο, καθώς για κάθε επιχείρηση που δραστηριοποιείται στην ΕΕ ορίζεται μια ανεξάρτητη αρχή ως προεξάρχουσα (lead authority) η οποία φέρει και το κύριο βάρος του ελέγχου και της συνεργασίας για την εν λόγω επιχείρηση. Η ανεξάρτητη αυτή αρχή, είναι η αρχή της χώρας στην οποία η επιχείρηση έχει την κύρια εγκατάσταση της. Αξίζει να σημειωθεί ωστόσο πως η παραπάνω πρόβλεψη δεν ισχύει για επιχειρήσεις είναι εγκατεστημένες σε τρίτες χώρες και οι οποίες παρέχουν τις υπηρεσίες τους σε χώρες της ΕΕ, και οι οποίες θα είναι πάλι αντιμέτωπες με το φάσμα της πολυνομίας και της πολλαπλής διάδρασης με διάφορες εθνικές ανεξάρτητες αρχές.

    Συνοψίζοντας, μπορεί να ειπωθεί πως το νέο νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων που εγκαθιδρύει ο GDPR δημιουργεί σημαντικές υποχρέωσεις για τις περισσότερες επιχειρήσεις και πρώτα από όλα την ανάγκη για ενδοσκόπηση και αυτοέλεγχο. Η αλήθεια είναι πως και με το υφιστάμενο καθεστώς, οι υποχρεώσεις για τις επιχειρήσεις δεν ήταν λίγες, αλλά συχνά δεν λαμβανόντουσαν σοβαρά υπόψιν. Σε ένα περιβάλλον όμως διαρκούς αύξησης της ευαισθητοποίησης της κοινής γνώμης γύρω από ζητήματα προσωπικών δεδομένων, η ανάγκη προσαρμογής στις απαιτήσεις του GDPR, δημιουργεί και ένα κίνητρο προληπτικού ελέγχου της λειτουργίας μιας επιχείρησης ώστε να αποφευχθούν σοβαρές δυσάρεστες επιπτώσεις ως συνέπεια αμέλειας, άγνοιας ή υποβάθμισης των σχετικών κινδύνων.