Παρασκευή, 15 Μαΐου 2020

Σεμινάριο Δια Βίου Μάθησης: Εκπαίδευση DPO




«Εκπαίδευση Υπευθύνων Προστασίας Δεδομένων: συμμόρφωση με τον γενικό κανονισμό για την προστασία δεδομένων»
Στο πλαίσιο του Κέντρου Επιμόρφωσης και Δια Βίου Μάθησης, ΚΕΔΙΒΙΜ του Α.Π.Θ. θα υλοποιηθεί πρόγραμμα με τίτλο «Εκπαίδευση Υπευθύνων Προστασίας Δεδομένων: συμμόρφωση με τον γενικό κανονισμό για την προστασία δεδομένων».
 Σκοπός

Σκοπός του συγκεκριμένου προγράμματος είναι η εκπαίδευση Υπευθύνων Προστασίας Δεδομένων (DPO) στον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων 2016/679/ΕΕ και τον νέο εθνικό εφαρμοστικό νόμο (Ν. 4624/2019) και επίσης, στην κανονιστική συμμόρφωση μικρομεσαίων επιχειρήσεων και φορέων του δημοσίου με το νομικό πλαίσιο της προστασίας δεδομένων. Το πρόγραμμα επιμόρφωσης είναι εστιασμένο σε δύο βασικούς άξονες: α) την εμβάθυνση στα νομικά και τεχνικά ζητήματα του νομικού πλαισίου της προστασίας δεδομένων β) και την εφαρμογή του σε μικρομεσαίες επιχειρήσεις και φορείς του δημοσίου. Η επιμόρφωση περιλαμβάνει διαβαθμισμένες ενότητες διδασκαλίας. Η κοινή ενότητα περιλαμβάνει την εκπαίδευση σε θεμελιώδεις έννοιες του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων και του εφαρμοστικού νόμου. Η ειδική ενότητα περιλαμβάνει δύο κατευθύνσεις: Την εξειδίκευση σε ειδικά νομικά, οργανωτικά και τεχνικά ζητήματα που μπορεί να απασχολήσουν τον Υπεύθυνο προστασίας δεδομένων και αντίστοιχα την εξειδίκευση στη διαδικασία κανονιστικής συμμόρφωσης.

Το εφαρμοσμένο πρόγραμμα επιμόρφωσης είναι συνολικής διάρκειας 44 ωρών και περιλαμβάνει τις παρακάτω ενότητες:

Ενότητα 1:
Εισαγωγή στις βασικές έννοιες του Γενικού Κανονισμού Προστασίας Δεδομένων: Βασικές Αρχές και ορισμοί της νομοθεσίας, νομιμότητα της επεξεργασίας και η ερμηνεία τους σύμφωνα με αποφάσεις εθνικών και Ευρωπαϊκών Ανεξάρτητων Αρχών και Δικαστηρίων. Συνοπτική παρουσίαση του Ευρωπαϊκού και του νέου εθνικού νομικού πλαισίου.

Ενότητα 2:
Συνοπτική παρουσίαση των ρόλων και των καθηκόντων του Υπεύθυνου Επεξεργασίας (Data Controller), του από Κοινού Υπεύθυνου Επεξεργασίας, του Εκτελούντος την επεξεργασία (Για την κατανόηση των ρόλων και καθηκόντων θα χρησιμοποιηθούν παραδείγματα και ερμηνευτικά κείμενα). Στην ενότητα περιλαμβάνεται επίσης ειδική αναφορά στην τεχνική του ελέγχου των συμβατικών κειμένων που ρυθμίζουν τις υποχρεώσεις των μερών.

Ενότητα 3:
Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) και οι υποχρεώσεις του. Ενημέρωση του Υπεύθυνου επεξεργασίας ή του εκτελούντα την επεξεργασία, η παρακολούθηση της συμμόρφωσης και εφαρμογής της νομοθεσίας σχετικά με την προστασία δεδομένων, η ενημέρωση των υπαλλήλων και η πραγματοποίηση ελέγχων, παρακολούθηση υλοποίησης, και η επικοινωνία και συνεργασία με εποπτικές αρχές, η πραγματοποίηση διαβούλευσης (πρακτικές ασκήσεις μέσω ειδικά διαμορφωμένων σεναρίων προσομοίωσης).

Ενότητα 4:
Η διενέργεια μελέτης εκτίμησης αντικτύπου (Μεθοδολογία CNIL, ENISA και πρακτικά υποδείγματα) και κινδύνων που συνδέονται με δραστηριότητες επεξεργασίας- Η διασυνοριακή μεταβίβαση δεδομένων (Γενικές αρχές για διαβιβάσεις- Δεσμευτικοί εταιρικοί κανόνες- Παρεκκλίσεις για ειδικές καταστάσεις).

Ενότητα 5:
Αντιμετώπιση και Διαχείριση περιστατικών παραβίασης προσωπικών δεδομένων (Data breaches).
 Γνωστοποίηση παραβίασης στην ΑΠΔΧ και ανακοίνωση παραβίασης στο υποκείμενο. Σχέδιο/Διαδικασία  για την αντιμετώπιση κ διαχείριση περιστατικών παραβίασης προσωπικών δεδομένων (Incident Response Plan). Μελέτες περίπτωσης (case studies) και υποθετικές παραβιάσεις προσωπικών δεδομένων-προσομοίωση συμβάντων και περιστατικών ( με  ενεργητική συμμετοχή εκπαιδευομένων/ συμμετεχόντων).

Ενότητα 6:
Ασφάλεια Πληροφοριών κ Δεδομένων προσωπικού χαρακτήρα (IT Security).
Βασικές Αρχές - Θέματα Cyber Security and Safety.  Αξιολόγηση κινδύνων ασφάλειας πληροφοριών (risk assessment- Μεθοδολογίες κ εργαλεία).

Ενότητα 7:
Φυσική Ασφάλεια εγκαταστάσεων κ δεδομένων σε σχέση με τον ΓΚΠΔ. Κίνδυνοι, Αξιολόγηση και εκτίμηση κινδύνων, μέτρα φυσικής ασφάλειας, Πολιτική  φυσικής κ περιβαλλοντικής ασφάλειας. Χρήσης συστημάτων ασφάλειας (κάμερες / cctv) και συμμόρφωση με ΓΚΠΔ.

Ενότητα 8:
Τεχνικά κ οργανωτικά μέτρα ασφάλειας επεξεργασίας προσωπικών δεδομένων.
Σχέδιο Ασφάλειας του Συστήματος Επεξεργασίας Προσωπικών Δεδομένων. Πολιτικές ασφάλειας πληροφοριακών συστημάτων. Επίδειξη τεχνικών και μεθοδολογιών κρυπτογράφησης και ψευδωνυμοποίησης στην πράξη με ενεργητική συμμετοχή εκπαιδευομένων κ πρακτική άσκηση Συμμόρφωση  με Βέλτιστες Πρακτικές και Διεθνή πρότυπα ασφάλειας πληροφοριών ( ISO 27001, ISO 27002, CobIT), NIST/SP 800-53).

Ενότητα 9:
Επιχειρησιακή συνέχεια και πλάνο ανάκαμψης συστημάτων, πληροφοριών κ δεδομένων  μετά από καταστροφή (Business continuity plan and disaster recovery plan). 
Βέλτιστες πρακτικές στη Διαχείριση επιχειρησιακής συνέχειας  σύμφωνα και με το Διεθνές Πρότυπο ISO 22301.

Ενότητα 10:
Κυρώσεις (Πειθαρχικές Κυρώσεις και Πρόστιμα).


Δεύτερο Μέρος Εκπαίδευσης (Ειδικό)  12 ώρες

Κατεύθυνση: Ειδικά ζητήματα κανονιστικής συμμόρφωσης

Ενότητα 1:
Η Οδηγία 2016/680/ΕΕ («Αστυνομική οδηγία») και η ενσωμάτωση της στο εθνικό δίκαιο με Ν. 4624/2019: Πεδίο εφαρμογής, Βασικές αρχές. Υποχρεώσεις διωκτικών και δικαστικών αρχών. Διαφορές με τον  ΓΚΠΔ.

Ενότητα 2:
Βασικές αρχές και υποχρεώσεις του Δημοσίου Τομέα στο πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679)-Ειδικότερη εφαρμογή των αρχών του Κανονισμού (ΕΕ) 2016/679 στο Δημόσιο Τομέα. Ορισμοί και καθορισμός των ρόλων που θέτει ο Κανονισμός στο Δημόσιο Τομέα: Πότε το Δημόσιο είναι Υπεύθυνος Επεξεργασίας, Εκτελών ή Από Κοινού Υπεύθυνος Επεξεργασίας;
Οι βασικές  Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο Δημόσιο Τομέα και η νομική βάση των επεξεργασιών που πραγματοποιούνται από το Δημόσιο. Ο διορισμός ΥΠΔ στο Δημόσιο και οι υποχρεώσεις του.


Ενότητα 3:
Ειδικότερες εκφάνσεις των δικαιωμάτων των υποκειμένων των δεδομένων στο Δημόσιο.  Η διαχείριση αιτημάτων πρόσβασης σε στοιχεία τρίτων και η εφαρμογή των ειδικών κανόνων του Διοικητικού  Δικαίου.  Τα δικαιώματα των υποκείμενων των δεδομένων (διοικούμενοι, εργαζόμενοι, προμηθευτές) στο Δημόσιο και οι υποχρεώσεις του τελευταίου. Η διαμόρφωση ενημερωτικών εντύπων και Πολιτικών που διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα.

Ενότητα 4:
Η κοινοποίηση των δεδομένων προσωπικού χαρακτήρα σε τρίτους. Το Πρόγραμμα Δι@υγεια και η εφαρμογή του Κανονισμού ΕΕ 2016/679. Η δημοσίευση των δεδομένων προσωπικού χαρακτήρα στις Διοικητικές πράξεις. Η ανάρτηση δεδομένων προσωπικού χαρακτήρα στις ιστοσελίδες των Δημοσίων Φορέων

Ενότητα 5:
Η διαχείριση ειδικών κατηγοριών δεδομένων υγείας στον Δημόσιο (Νοσοκομεία- Κοινωνικές Υπηρεσίες Περιφερειών- Φορείς κοινωνικής Ασφάλισης) και στον Ιδιωτικό Τομέα (Ασφαλιστικές Εταιρείες, Ιδιωτικά Νοσοκομεία, Διαγνωστικά Κέντρα) Η διαχείριση ειδικών κατηγοριών δεδομένων- Νομιμότητα της επεξεργασίας- Συγκατάθεση και δικαιώματα του υποκειμένου- Υποχρεώσεις Υπεύθυνου Επεξεργασίας, Υπεύθυνου προστασίας δεδομένων, Εκτελούντων την επεξεργασία (πρακτικές ασκήσεις σεναρίων προσομοίωσης από μελέτες περιπτώσεων)

Ενότητα 6:
Ειδικές επεξεργασίες δεδομένων σε Χρηματοπιστωτικά ιδρύματα – (Διαδικασία AML, Τειρεσίας)- Συγκατάθεση και δικαιώματα του υποκειμένου- Πρόσβαση σε έγγραφα και διαχείριση καταγγελιών- Υποχρεώσεις Υπεύθυνου Επεξεργασίας, Υπεύθυνου προστασίας δεδομένων, Εκτελούντων την επεξεργασία(πρακτικές ασκήσεις σεναρίων προσομοίωσης από μελέτες περιπτώσεων)

Ενότητα 7:
Η εφαρμογή του Κανονισμού σε πολύ μικρές, μικρές και μεσαίες επιχειρήσεις. Η υιοθέτηση πολιτικών συμμόρφωσης με τον Κανονισμό (Πρακτικά υποδείγματα)


Σε ποιους απευθύνεται

Το πρόγραμμα απευθύνεται σε απασχολούμενους του ιδιωτικού και του δημόσιου τομέα, που θέλουν να εμβαθύνουν σε εξειδικευμένα νομικά και τεχνικά ζητήματα του Κανονισμού προκειμένου να λάβουν την πιστοποίηση του Υπεύθυνου προστασίας δεδομένων, σε Υπεύθυνους προστασίας δεδομένων που θέλουν να εξειδικευτούν σε ειδικές περιπτώσεις εφαρμογής του ΓΚΠΔ και όσους θέλουν αν αποκτήσουν ειδικές γνώσεις επάνω στη συμμόρφωση μικρομεσαίων επιχειρήσεων και δημοσίων φορέων με το νομικό καθεστώς της προστασίας προσωπικών δεδομένων.

Ως προς τους απασχολούμενους στην κατεύθυνση του Δημοσίου, οι κατηγορίες εκπαιδευόμενων μπορεί να προέρχονται από διαφορετικές ειδικότητες (Νομική, Οικονομία και Διοίκηση, Πληροφορική, Ασφάλεια Πληροφοριακών Συστημάτων και Διαχείρισης Κινδύνων, Διαχείριση Ανθρώπινου Δυναμικού, Στελέχη Σχολής Δημόσιας Διοίκησης, Ελεγκτές, ή πρόσωπα που λόγω της εργασίας τους διαχειρίζονται ειδικές κατηγορίες δεδομένων όπως Ψυχολόγοι, Κοινωνικοί λειτουργοί, πρόσωπα που λόγω της επαγγελματικής τους ιδιότητας διαχειρίζονται καταγγελίες κλπ).

Ως προς τους απασχολούμενους στον ιδιωτικό χώρο, απευθύνεται σε πτυχιούχους ΑΕΙ ή ΤΕΙ των τομέων που προαναφέρθηκαν και οι οποίοι διαχειρίζονται προσωπικά δεδομένα σε επιχειρήσεις που δραστηριοποιούνται στους τομείς της υγείας, των τηλεπικοινωνιών, της  πληροφορικής, τράπεζες και χρηματοπιστωτικές εταιρείες, εταιρείες ασφάλισης, και ελεύθερους επαγγελματίες που λόγω της φύσης της εργασίας τους, διαχειρίζονται ειδικές κατηγορίες δεδομένων. Επίσης σε πτυχιούχους, που ενδιαφέρονται για την απασχόληση σε συγκεκριμένες θέσεις.


Μεθοδολογία υλοποίησης του προγράμματος

Οι θεματικές ενότητες θα αναπτυχθούν με την αξιοποίηση της ηλεκτρονικής πλατφόρμας εξ αποστάσεως διδασκαλίας, e-learning του Α.Π.Θ.

Για κάθε μία από τις ενότητες εκπαίδευσης και μάθησης οι εκπαιδευόμενοι/ες θα παρακολουθούν σε ζωντανό χρόνο βιντεοδιαλέξεις και θα συμμετέχουν σε ασκήσεις και μελέτες περιπτώσεων.

Μέσω της σχετικής πλατφόρμας, θα εξασφαλίζεται η διαρκής πρόσβαση σε κατάλληλα προσαρμοσμένο στις αρχές της ανοιχτής και εξ αποστάσεως εκπαίδευσης εκπαιδευτικό υλικό καθώς και  στη σχετική βιβλιογραφία.

Επίσης προβλέπεται η λειτουργία ομάδων συζητήσεων (forum), για αλληλεπίδραση των εκπαιδευομένων με τους εκπαιδευτές τους και μεταξύ τους και για καθοδήγηση και επίλυση αποριών.

Στο πρόγραμμα διδάσκουν Πανεπιστημιακοί, επαγγελματίες με εμπειρία Υπεύθυνου επεξεργασίας σε δημόσιους και ιδιωτικούς φορείς καθώς και εξωτερικοί συνεργάτες, με εξειδικευμένοι στις επιμέρους θεματικές ενότητες.


 Στους συμμετέχοντες στο πρόγραμμα επιμόρφωσης, θα χορηγηθούν:
α) Βεβαίωση συμμετοχής ή
β) Πιστοποιητικό κατάρτισης-επιμόρφωσης με 3 Μόρια Συνεχιζόμενης Εκπαίδευσης (ΕCTS).

Μπορεί να γίνει επιδότηση του προγράμματος επιμόρφωσης μέσω του πόρου ΛΑΕΚ ΟΑΕΔ 0,24%.
Επί υπεράριθμων αιτήσεων θα τηρηθεί σειρά προτεραιότητας.
Η αίτηση θα πρέπει να συνοδεύεται από τα ακόλουθα δικαιολογητικά:
1. Σύντομο βιογραφικό σημείωμα στην Ελληνική γλώσσα
2. Τίτλοι Σπουδών

Το κόστος συμμετοχής ανέρχεται στο ποσό των 250€. Υπάρχει η δυνατότητα τμηματικής πληρωμής μέσω 2 δόσεων με εξόφληση της 2ης πριν από την έναρξη του προγράμματος. Αποτυχία πληρωμής κάποιας δόσης συνεπάγεται τον εξ ολοκλήρου αποκλεισμό του συμμετέχοντα από το υπόλοιπο του προγράμματος. Για τα στοιχεία κατάθεσης του ποσού θα ενημερωθείτε από τον Επιστημονικά Υπεύθυνο.
Έναρξη Προγράμματος: 01/05/2020 και Λήξη Προγράμματος: 31/12/2020
Ο Επιστημονικά Υπεύθυνος του Προγράμματος

Ιωάννης Δ. Ιγγλεζάκης

Καθηγητής του Τμήματος Νομικής ΑΠΘ

Παρασκευή, 24 Απριλίου 2020

Εκπαίδευση Υπευθύνων Προστασίας Δεδομένων: συμμόρφωση με τον γενικό κανονισμό για την προστασία δεδομένων

ΠΡΟΚΗΡΥΞΗ ΕΞ ΑΠΟΣΤΑΣΕΩΣ ΠΡΟΓΡΑΜΜΑΤΟΣ
«Εκπαίδευση Υπευθύνων Προστασίας Δεδομένων: συμμόρφωση με τον γενικό κανονισμό για την προστασία δεδομένων»

Στο πλαίσιο του Κέντρου Επιμόρφωσης και Διά Βίου Μάθησης, ΚΕΔΙΒΙΜ του Α.Π.Θ. θα υλοποιηθεί πρόγραμμα με τίτλο «Εκπαίδευση Υπευθύνων Προστασίας Δεδομένων: συμμόρφωση με τον γενικό κανονισμό για την προστασία δεδομένων».
Σκοπός
Σκοπός του συγκεκριμένου προγράμματος είναι η εκπαίδευση Υπευθύνων Προστασίας Δεδομένων (DPO) στον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων 2016/679/ΕΕ και τον νέο εθνικό εφαρμοστικό νόμο (Ν. 4624/2019) και επίσης, στην κανονιστική συμμόρφωση μικρομεσαίων επιχειρήσεων και φορέων του δημοσίου με το νομικό πλαίσιο της προστασίας δεδομένων. Το πρόγραμμα επιμόρφωσης είναι εστιασμένο σε δύο βασικούς άξονες: α) την εμβάθυνση στα νομικά και τεχνικά ζητήματα του νομικού πλαισίου της προστασίας δεδομένων β) και την εφαρμογή του σε μικρομεσαίες επιχειρήσεις και φορείς του δημοσίου. Η επιμόρφωση περιλαμβάνει διαβαθμισμένες ενότητες διδασκαλίας. Η κοινή ενότητα περιλαμβάνει την εκπαίδευση σε θεμελιώδεις έννοιες του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων και του εφαρμοστικού νόμου. Η ειδική ενότητα περιλαμβάνει δύο κατευθύνσεις: Την εξειδίκευση σε ειδικά νομικά, οργανωτικά και τεχνικά ζητήματα που μπορεί να απασχολήσουν τον Υπεύθυνο προστασίας δεδομένων και αντίστοιχα την εξειδίκευση στη διαδικασία κανονιστικής συμμόρφωσης.
Το εφαρμοσμένο πρόγραμμα επιμόρφωσης είναι συνολικής διάρκειας 44 ωρών και περιλαμβάνει τις παρακάτω ενότητες:
Ενότητα 1:
Εισαγωγή στις βασικές έννοιες του Γενικού Κανονισμού Προστασίας Δεδομένων: Βασικές Αρχές και ορισμοί της νομοθεσίας, νομιμότητα της επεξεργασίας και η ερμηνεία τους σύμφωνα με αποφάσεις εθνικών και Ευρωπαϊκών Ανεξάρτητων Αρχών και Δικαστηρίων. Συνοπτική παρουσίαση του Ευρωπαϊκού και του νέου εθνικού νομικού πλαισίου.
Ενότητα 2:
Συνοπτική παρουσίαση των ρόλων και των καθηκόντων του Υπεύθυνου Επεξεργασίας (Data Controller), του από Κοινού Υπεύθυνου Επεξεργασίας, του Εκτελούντος την επεξεργασία (Για την κατανόηση των ρόλων και καθηκόντων θα χρησιμοποιηθούν παραδείγματα και ερμηνευτικά κείμενα). Στην ενότητα περιλαμβάνεται επίσης ειδική αναφορά στην τεχνική του ελέγχου των συμβατικών κειμένων που ρυθμίζουν τις υποχρεώσεις των μερών.
Ενότητα 3:
Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) και οι υποχρεώσεις του. Ενημέρωση του Υπεύθυνου επεξεργασίας ή του εκτελούντα την επεξεργασία, η παρακολούθηση της συμμόρφωσης και εφαρμογής της νομοθεσίας σχετικά με την προστασία δεδομένων, η ενημέρωση των υπαλλήλων και η πραγματοποίηση ελέγχων, παρακολούθηση υλοποίησης, και η επικοινωνία και συνεργασία με εποπτικές αρχές, η πραγματοποίηση διαβούλευσης (πρακτικές ασκήσεις μέσω ειδικά διαμορφωμένων σεναρίων προσομοίωσης).
Ενότητα 4:
Η διενέργεια μελέτης εκτίμησης αντικτύπου (Μεθοδολογία CNIL, ENISA και πρακτικά υποδείγματα) και κινδύνων που συνδέονται με δραστηριότητες επεξεργασίας- Η διασυνοριακή μεταβίβαση δεδομένων (Γενικές αρχές για διαβιβάσεις- Δεσμευτικοί εταιρικοί κανόνες- Παρεκκλίσεις για ειδικές καταστάσεις).
Ενότητα 5:
Αντιμετώπιση και Διαχείριση περιστατικών παραβίασης προσωπικών δεδομένων (Data breaches).Γνωστοποίηση παραβίασης στην ΑΠΔΧ και ανακοίνωση παραβίασης στο υποκείμενο. Σχέδιο/Διαδικασία  για την αντιμετώπιση κ διαχείριση περιστατικών παραβίασης προσωπικών δεδομένων (Incident Response Plan). Μελέτες περίπτωσης (case studies) και υποθετικές παραβιάσεις προσωπικών δεδομένων-προσομοίωση συμβάντων και περιστατικών ( με  ενεργητική συμμετοχή εκπαιδευομένων/ συμμετεχόντων).
Ενότητα 6:
Ασφάλεια Πληροφοριών και Δεδομένων προσωπικού χαρακτήρα (IT Security). Βασικές Αρχές – Θέματα Cyber Security and Safety.  Αξιολόγηση κινδύνων ασφάλειας πληροφοριών (risk assessment- Μεθοδολογίες κ εργαλεία).
Ενότητα 7:
Φυσική Ασφάλεια εγκαταστάσεων και δεδομένων σε σχέση με τον ΓΚΠΔ. Κίνδυνοι, Αξιολόγηση και εκτίμηση κινδύνων, μέτρα φυσικής ασφάλειας, Πολιτική  φυσικής και περιβαλλοντικής ασφάλειας. Χρήσης συστημάτων ασφάλειας (κάμερες / cctv) και συμμόρφωση με ΓΚΠΔ.
Ενότητα 8:
Τεχνικά και οργανωτικά μέτρα ασφάλειας επεξεργασίας προσωπικών δεδομένων. Σχέδιο Ασφάλειας του Συστήματος Επεξεργασίας Προσωπικών Δεδομένων. Πολιτικές ασφάλειας πληροφοριακών συστημάτων. Επίδειξη τεχνικών και μεθοδολογιών κρυπτογράφησης και ψευδωνυμοποίησης στην πράξη με ενεργητική συμμετοχή εκπαιδευομένων και πρακτική άσκηση Συμμόρφωση  με Βέλτιστες Πρακτικές και Διεθνή πρότυπα ασφάλειας πληροφοριών ( ISO 27001, ISO 27002, CobIT), NIST/SP 800-53).
Ενότητα 9:
Επιχειρησιακή συνέχεια και πλάνο ανάκαμψης συστημάτων, πληροφοριών και δεδομένων  μετά από καταστροφή (Business continuity plan and disaster recovery plan). Βέλτιστες πρακτικές στη Διαχείριση επιχειρησιακής συνέχειας  σύμφωνα και με το Διεθνές Πρότυπο ISO 22301.
Ενότητα 10:
Κυρώσεις (Πειθαρχικές Κυρώσεις και Πρόστιμα).

Δεύτερο Μέρος Εκπαίδευσης (Ειδικό) 
Κατεύθυνση: Ειδικά ζητήματα κανονιστικής συμμόρφωσης
Ενότητα 1:
Η Οδηγία 2016/680/ΕΕ («Αστυνομική οδηγία») και η ενσωμάτωση της στο εθνικό δίκαιο με Ν. 4624/2019: Πεδίο εφαρμογής, Βασικές αρχές. Υποχρεώσεις διωκτικών και δικαστικών αρχών. Διαφορές με τον  ΓΚΠΔ.
Ενότητα 2:
Βασικές αρχές και υποχρεώσεις του Δημοσίου Τομέα στο πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679)-Ειδικότερη εφαρμογή των αρχών του Κανονισμού (ΕΕ) 2016/679 στο Δημόσιο Τομέα. Ορισμοί και καθορισμός των ρόλων που θέτει ο Κανονισμός στο Δημόσιο Τομέα: Πότε το Δημόσιο είναι Υπεύθυνος Επεξεργασίας, Εκτελών ή Από Κοινού Υπεύθυνος Επεξεργασίας;
Οι βασικές  Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο Δημόσιο Τομέα και η νομική βάση των επεξεργασιών που πραγματοποιούνται από το Δημόσιο. Ο διορισμός ΥΠΔ στο Δημόσιο και οι υποχρεώσεις του.
Ενότητα 3:
Ειδικότερες εκφάνσεις των δικαιωμάτων των υποκειμένων των δεδομένων στο Δημόσιο.  Η διαχείριση αιτημάτων πρόσβασης σε στοιχεία τρίτων και η εφαρμογή των ειδικών κανόνων του Διοικητικού  Δικαίου.  Τα δικαιώματα των υποκείμενων των δεδομένων (διοικούμενοι, εργαζόμενοι, προμηθευτές) στο Δημόσιο και οι υποχρεώσεις του τελευταίου. Η διαμόρφωση ενημερωτικών εντύπων και Πολιτικών που διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα.
Ενότητα 4:
Η κοινοποίηση των δεδομένων προσωπικού χαρακτήρα σε τρίτους. Το Πρόγραμμα Δι@υγεια και η εφαρμογή του Κανονισμού ΕΕ 2016/679. Η δημοσίευση των δεδομένων προσωπικού χαρακτήρα στις δημοσιευτέες Διοικητικές πράξεις. Η ανάρτηση δεδομένων προσωπικού χαρακτήρα στις ιστοσελίδες των Δημοσίων Φορέων
Ενότητα 5:
Η διαχείριση ειδικών κατηγοριών δεδομένων υγείας στον Δημόσιο (Νοσοκομεία- Κοινωνικές Υπηρεσίες Περιφερειών- Φορείς κοινωνικής Ασφάλισης) και στον Ιδιωτικό Τομέα (Ασφαλιστικές Εταιρείες, Ιδιωτικά Νοσοκομεία, Διαγνωστικά Κέντρα) Η διαχείριση ειδικών κατηγοριών δεδομένων- Νομιμότητα της επεξεργασίας- Συγκατάθεση και δικαιώματα του υποκειμένου- Υποχρεώσεις Υπεύθυνου Επεξεργασίας, Υπεύθυνου προστασίας δεδομένων, Εκτελούντων την επεξεργασία (πρακτικές ασκήσεις σεναρίων προσομοίωσης από μελέτες περιπτώσεων)
Ενότητα 6:
Ειδικές επεξεργασίες δεδομένων σε Χρηματοπιστωτικά ιδρύματα – (Διαδικασία AML, Τειρεσίας)- Συγκατάθεση και δικαιώματα του υποκειμένου- Πρόσβαση σε έγγραφα και διαχείριση καταγγελιών- Υποχρεώσεις Υπεύθυνου Επεξεργασίας, Υπεύθυνου προστασίας δεδομένων, Εκτελούντων την επεξεργασία(πρακτικές ασκήσεις σεναρίων προσομοίωσης από μελέτες περιπτώσεων)
Ενότητα 7:
Η εφαρμογή του Κανονισμού σε πολύ μικρές, μικρές και μεσαίες επιχειρήσεις. Η υιοθέτηση πολιτικών συμμόρφωσης με τον Κανονισμό (Πρακτικά υποδείγματα)

Σε ποιους απευθύνεται
Το πρόγραμμα απευθύνεται σε απασχολούμενους του ιδιωτικού και του δημόσιου τομέα, που θέλουν να εμβαθύνουν σε εξειδικευμένα νομικά και τεχνικά ζητήματα του Κανονισμού προκειμένου να λάβουν την πιστοποίηση του Υπεύθυνου προστασίας δεδομένων, σε Υπεύθυνους προστασίας δεδομένων που θέλουν να εξειδικευτούν σε ειδικές περιπτώσεις εφαρμογής του ΓΚΠΔ και όσους θέλουν αν αποκτήσουν ειδικές γνώσεις επάνω στη συμμόρφωση μικρομεσαίων επιχειρήσεων και δημοσίων φορέων με το νομικό καθεστώς της προστασίας προσωπικών δεδομένων.
Ως προς τους απασχολούμενους στην κατεύθυνση του Δημοσίου, οι κατηγορίες εκπαιδευόμενων μπορεί να προέρχονται από διαφορετικές ειδικότητες (Νομική, Οικονομία και Διοίκηση, Πληροφορική, Ασφάλεια Πληροφοριακών Συστημάτων και Διαχείρισης Κινδύνων, Διαχείριση Ανθρώπινου Δυναμικού, Στελέχη Σχολής Δημόσιας Διοίκησης, Ελεγκτές, ή πρόσωπα που λόγω της εργασίας τους διαχειρίζονται ειδικές κατηγορίες δεδομένων όπως Ψυχολόγοι, Κοινωνικοί λειτουργοί, πρόσωπα που λόγω της επαγγελματικής τους ιδιότητας διαχειρίζονται καταγγελίες κλπ).
Ως προς τους απασχολούμενους στον ιδιωτικό χώρο, απευθύνεται σε πτυχιούχους ΑΕΙ ή ΤΕΙ των τομέων που προαναφέρθηκαν και οι οποίοι διαχειρίζονται προσωπικά δεδομένα σε επιχειρήσεις που δραστηριοποιούνται στους τομείς της υγείας, των τηλεπικοινωνιών, της  πληροφορικής, τράπεζες και χρηματοπιστωτικές εταιρείες, εταιρείες ασφάλισης, και ελεύθερους επαγγελματίες που λόγω της φύσης της εργασίας τους, διαχειρίζονται ειδικές κατηγορίες δεδομένων. Επίσης σε πτυχιούχους, που ενδιαφέρονται για την απασχόληση σε συγκεκριμένες θέσεις.
Μεθοδολογία υλοποίησης του προγράμματος
Οι θεματικές ενότητες θα αναπτυχθούν με την αξιοποίηση της ηλεκτρονικής πλατφόρμας εξ αποστάσεως διδασκαλίας, e-learning του Α.Π.Θ.
Για κάθε μία από τις ενότητες εκπαίδευσης και μάθησης οι εκπαιδευόμενοι/ες θα παρακολουθούν σε ζωντανό χρόνο βιντεοδιαλέξεις και θα συμμετέχουν σε ασκήσεις και μελέτες περιπτώσεων.
Μέσω της σχετικής πλατφόρμας, θα εξασφαλίζεται η διαρκής πρόσβαση σε κατάλληλα προσαρμοσμένο στις αρχές της ανοιχτής και εξ αποστάσεως εκπαίδευσης εκπαιδευτικό υλικό καθώς και  στη σχετική βιβλιογραφία.
Επίσης προβλέπεται η λειτουργία ομάδων συζητήσεων (forum), για αλληλεπίδραση των εκπαιδευομένων με τους εκπαιδευτές τους και μεταξύ τους και για καθοδήγηση και επίλυση αποριών.
Στο πρόγραμμα διδάσκουν Πανεπιστημιακοί, επαγγελματίες με εμπειρία Υπεύθυνου επεξεργασίας σε δημόσιους και ιδιωτικούς φορείς καθώς και εξωτερικοί συνεργάτες, με εξειδικευμένοι στις επιμέρους θεματικές ενότητες.
Στους συμμετέχοντες στο πρόγραμμα επιμόρφωσης, θα χορηγηθούν:
α) Βεβαίωση συμμετοχής ή
β) Πιστοποιητικό κατάρτισης-επιμόρφωσης με 3 Μόρια Συνεχιζόμενης Εκπαίδευσης (ΕCTS).
Μπορεί να γίνει επιδότηση του προγράμματος επιμόρφωσης μέσω του πόρου ΛΑΕΚ ΟΑΕΔ 0,24%.
Επί υπεράριθμων αιτήσεων θα τηρηθεί σειρά προτεραιότητας.
Η αίτηση θα πρέπει να συνοδεύεται από τα ακόλουθα δικαιολογητικά:
1. Σύντομο βιογραφικό σημείωμα στην Ελληνική γλώσσα
2. Τίτλοι Σπουδών
Το κόστος συμμετοχής ανέρχεται στο ποσό των 250€. Υπάρχει η δυνατότητα τμηματικής πληρωμής μέσω 2 δόσεων με εξόφληση της 2ης πριν από την έναρξη του προγράμματος. Αποτυχία πληρωμής κάποιας δόσης συνεπάγεται τον εξ ολοκλήρου αποκλεισμό του συμμετέχοντα από το υπόλοιπο του προγράμματος. Για τα στοιχεία κατάθεσης του ποσού θα ενημερωθείτε από τον Επιστημονικά Υπεύθυνο.


Ο Επιστημονικά Υπεύθυνος του Προγράμματος
Ιωάννης Δ. Ιγγλεζάκης
Καθηγητής του Τμήματος Νομικής ΑΠΘ


Παρασκευή, 17 Απριλίου 2020

Legal Issues of Mobile Apps: A Practical Guide Edited by Ioannis Iglezakis


About this book:
Legal Issues of Mobile Apps is a concise, practical guide that provides a detailed analysis of practical legal issues related to mobile apps. It also performs an extensive scrutiny of legal relationships between app developers, app stores and users. Rapidly evolving technology and cross-border issues have created a complex regulatory environment for mobile applications, affecting different areas of law. In less than ten years, touchscreen smartphones and their apps have created an unprecedented technological revolution. Yet they are rife with serious potential for breaches of privacy and security, and a lack of uniform rules makes navigation of the legal landscape extremely difficult. Addressing this unstable regulatory environment, this book for the first time provides a measure of legal certainty. It examines case law and legislation in Europe and the United States to ensure appropriate handling of legal issues that arise in the app marketplace. 
What’s in this book:
Nine experts, all versed in the latest developments in international and national laws and regulations affecting digital mobile technology, examine such key topics as the following:
  • contract law as applied to the sale and use of smartphone apps;
  • intellectual property rights in mobile apps and competition law issues;
  • data protection and protection of users;
  • European Union (EU) medical device legislation and its safety implications for app users;
  • fitness or wellness apps;
  • apps’ collection of personal data;
  • apps as hostile code and malware delivery mechanisms;
  • taxation of mobile apps;
  • liability issues for app developers and distributors; and
  • implications of the EU’s new regulatory framework on online platforms.
How this will help you:
Because it is difficult for a basic user to understand how vulnerable everyday apps can be, and because every new information technology platform delivers new risks along with its benefits, legal practitioners working in a wide variety of fields will be increasingly called upon to engage with both personal and enterprise security and privacy breach cases arising from the use of mobile apps. This deeply informed practical analysis goes a long way with the comprehensive study of rights and obligations of all actors involved in the marketing of mobile apps. Every practitioner, government official and software developer will welcome this much-needed volume.

Read More: https://lrus.wolterskluwer.com/store/product/legal-issues-of-mobile-apps-a-practical-guide/



Τετάρτη, 28 Αυγούστου 2019

Εθνικός νόμος προσαρμογής στον Γενικό Κανονισμό για την Προστασία Δεδομένων και την ενσωμάτωση της οδηγίας 2016/680




Δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως ο Ν. 4624/2019 για την εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων και την ενσωμάτωση της οδηγίας 2016/680, με πλήρη τίτλο: «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016»[1]

Έτσι, η Χώρα μας αποκτά τη νομοθεσία που έλειπε στον τομέα της προστασίας δεδομένων, ήτοι τις διατάξεις για την εφαρμογή του Γενικού Κανονισμού και την ενσωμάτωση της οδηγίας 2016/680 για την προστασία δεδομένων κατά την επεξεργασία τους από αρμόδιες αρχές στον ποινικό τομέα. Ο Γενικός Κανονισμός τέθηκε σε εφαρμογή από την 25.05.2018 και ισχύει άμεσα σε κάθε κράτος μέλος, ωστόσο, παρέχει στα κράτη μέλη της Ένωσης εξουσιοδότηση να ρυθμίσουν ειδικά ορισμένα ζητήματα και να θέσουν αυστηρότερες ρυθμίσεις ή εξαιρέσεις από την εφαρμογή των διατάξεών του. Εκτός από τον Κανονισμό, η ΕΕ θέσπισε και δύο ακόμα οδηγίες στον τομέα της προστασίας δεδομένων, την οδηγία 2016/680 και την οδηγία 2016/681. Για την ενσωμάτωση της δεύτερης, ψηφίσθηκε ο Ν. 4579/2018, ωστόσο, μέχρι πρότινος δεν είχε μεταφερθεί στο εσωτερικό δίκαιο η πρώτη και για αυτό, η Ελλάδα παραπέμφθηκε στο ΔΕΕ, καθώς η προθεσμία μεταφοράς της οδηγίας έληξε την 06.05.2018.

Θα πρέπει να αναφερθεί ότι ο εν λόγω νόμος μεταφέρει αυτούσιες πολλές από τις διατάξεις του αντίστοιχου γερμανικού νόμου (Bundesdatenschutzgesetz, BDSG), γεγονός που οδήγησε πολλούς να κάνουν λόγο για άκριτη μεταφορά ξένων δικαιϊκών ρυθμίσεων.

Κατά τη δημόσια διαβούλευση είχαν υποβληθεί πλήθος σχολίων, από τα οποία πολλά έγιναν δεκτά και βελτιώθηκε το σχέδιο νόμου που κατατέθηκε στη Βουλή, ενώ λήφθηκαν υπόψη και οι παρατηρήσεις της Επιστημονικής Υπηρεσίας της Βουλής, με συνέπεια, μετά τη συζήτηση στη Βουλή, το τελικώς ψηφισθέν κείμενο του νόμου να βελτιωθεί σημαντικά.

Σκοπός του νόμου, σύμφωνα με το άρθρο 1, είναι: α) η αντικατάσταση του νομοθετικού πλαισίου που ρυθμίζει τη συγκρότηση και λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, β) η λήψη μέτρων εφαρμογής του Κανονισμού (ΕΕ) 2016/679  (Γενικός Κανονισμός για την Προστασία Δεδομένων, εφεξής: ΓΚΠΔ), γ) η ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680.

Ο νόμος διακρίνει ανάμεσα σε δημόσιους και ιδιωτικούς φορείς και περιέχει ξεχωριστές ρυθμίσεις για κάθε μία από αυτές τις δύο κατηγορίες, όπως και ο αντίστοιχος γερμανικός νόμος.

Ως εποπτική αρχή διατηρείται η ανεξάρτητη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία συγκροτείται από τον Πρόεδρο και έξι μέλη, με αντίστοιχους αναπληρωτές, που έχουν εξαετή θητεία. Η επιλογή του Προέδρου και των μελών της Αρχής γίνεται σύμφωνα με το άρθρο 101Α του Συντάγματος, δηλ. μετά από επιλογή με απόφαση της διάσκεψης των Προέδρων της Βουλής και με επιδίωξη ομοφωνίας ή πάντως με την αυξημένη πλειοψηφία των τεσσάρων πέμπτων των μελών της. Ωστόσο, τα προσόντα τους περιγράφονται με ασάφεια στο νόμο, ο οποίος κάνει λόγο για πρόσωπα εγνωσμένου κύρους, ενώ, αντίθετα ο ν. 2472/1997 προέβλεπε ότι ο Πρόεδρος είναι δικαστικός λειτουργός βαθμού Συμβούλου της Επικρατείας ή αντίστοιχου και άνω, και τα μέλη είναι τρεις καθηγητές ΑΕΙ, και τρία πρόσωπα κύρους και εμπειρίας στον τομέα της προστασίας δεδομένων. Οι αρμοδιότητες και εξουσίες της Αρχής είναι διευρυμένες σε σχέση με τον Κανονισμό.

Το όριο για τη συγκατάθεση ανηλίκου στην επεξεργασία των προσωπικών του δεδομένων κατά την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών είναι το 15ο έτος, ενώ για νεότερα πρόσωπα προβλέπεται ότι απαιτείται η συγκατάθεση του νομίμου αντιπροσώπου τους.

Ειδικές ρυθμίσεις προβλέπονται για την επεξεργασία ειδικών κατηγοριών δεδομένων («ευαίσθητων δεδομένων»), ενώ όσον αφορά την επεξεργασία γενετικών δεδομένων, ορίζεται ότι απαγορεύεται για σκοπούς ασφάλισης υγείας και ζωής.

Κατ’ απόκλιση από την αρχή του περιορισμού του σκοπού προβλέπεται η επεξεργασία δεδομένων για διαφορετικό σκοπό από αυτόν για τον οποίο έχουν συλλεχθεί, όσον αφορά τους δημόσιους φορείς και τους ιδιωτικούς φορείς, ενώ σημαντική είναι η πρόβλεψη για τη διαβίβαση δεδομένων από δημόσιους φορείς σε δημόσιους και ιδιωτικούς φορείς.

Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των σχέσεων απασχόλησης, προβλέπεται ότι αυτή είναι νόμιμη όταν είναι απολύτως απαραίτητη για τη σύναψη και την εκτέλεση της σύμβασης εργασίας, εξαιρετικά μόνο επιτρέπεται, δε, η λήψη της συγκατάθεσης του εργαζομένου. Η εγκατάσταση συστημάτων βιντεοεπιτήρησης επιτρέπεται μόνο εάν είναι απαραίτητη για την προστασία προσώπων και αγαθών, ενώ τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος οπτικής καταγραφής δεν επιτρέπεται να χρησιμοποιηθούν ως κριτήριο για την αξιολόγηση της αποδοτικότητας των εργαζομένων.

Ειδικές διατάξεις ισχύουν για τα ΜΜΕ που καθιερώνουν εξαιρέσεις από τους κανόνες του Κανονισμού, που δεν είναι όμως ιδιαίτερα σαφείς.

Περαιτέρω, προβλέπονται μια σειρά εξαιρέσεις από τα δικαιώματα του υποκειμένου των δεδομένων, οι οποίες εν μέρει είναι εύλογες, ωστόσο, θα πρέπει να ερμηνεύονται στενά.

Ιδιαίτερα σημαντική είναι η ρύθμιση για τη διαπίστευση φορέων που χορηγούν πιστοποιήσεις, η οποία γίνεται από το ΕΣΥΔ, με βάση ορισμένο πρότυπο και σύμφωνα με συμπληρωματικές απαιτήσεις που έχουν ορισθεί από την Αρχή.

Ποινικές κυρώσεις προβλέπονται, όπως και στο ν. 2472/1997, για την επέμβαση σε αρχείο προσωπικών δεδομένων. Δεν έχει περιληφθεί διάταξη για την ποινική ευθύνη του Υπεύθυνου Προστασίας Δεδομένων, όπως στο σχέδιο νόμου. Ειδικά για το δημόσιο τομέα, προβλέπονται περιορισμοί στην επιβολή διοικητικών κυρώσεων.

Στο δεύτερο μέρος του νόμου περιέχονται διατάξεις για την ενσωμάτωση της οδηγίας 2016/680, οι οποίες ακολουθούν τη διάρθρωση του γερμανικού νόμου, αλλά αντιγράφουν τις διατάξεις της οδηγίας.

Από τις διατάξεις του ν. 2472/1997 παραμένουν όσες ρυθμίζουν τη δυνατότητα δημοσιοποίησης των στοιχείων κατηγορουμένων για σημαντικά αδικήματα και την εγκατάσταση και λειτουργία συστημάτων επιτήρησης κοκ.