Εισαγωγή – Με δυο λόγια
Ο «GDPR», είναι κανονισμός της Ευρωπαϊκής ‘Ένωσης περί επεξεργασίας – προστασίας προσωπικών δεδομένων, αφορά τις επιχειρήσεις που με οποιοδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών, ή άλλων φυσικών προσώπων και τίθεται σε εφαρμογή από τις 25 Μαΐου 2018. Οι επιχειρήσεις που εμπίπτουν στον κανονισμό πρέπει να εφαρμόσουν μια σειρά από πολιτικές προστασίας, η μη εφαρμογή των οποίων ενδέχεται να επιφέρει υψηλά πρόστιμα.
Τι είναι ο «GDPR»;
Ο GDPR (General Data Protection Regulation General Data Protection Regulation)-«Γενικός Κανονισμός για την Προστασία Δεδομένων» [Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016-] (εφεξής «Κανονισμός»), αφορά στην διαμόρφωση ενός ενιαίου νομοθετικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης και αντικαθιστά την προηγούμενη Νομοθεσία «Οδηγία 95/46/ΕΚ). Δεν πρόκειται δηλαδή, για κάτι εντελώς νέο.
Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
Ο «κανονισμός» είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος (δηλαδή δεν απαιτείται ειδική προσαρμογή της Εθνικής Νομοθεσίας). (άρθρο 83 του «Κανονισμού»).
«Δεδομένα προσωπικού χαρακτήρα»
Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων») ·το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας.
Ποιους αφορά;
Αφορά όλες τις επιχειρήσεις, (ιδιωτικού και δημόσιου τομέα) που με οποιοδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών, ή άλλων φυσικών προσώπων. Δηλαδή αφορά σχεδόν το σύνολο των επιχειρήσεων.
Ωστόσο, κάποιες δραστηριότητες θα επηρεαστούν σε μεγαλύτερο βαθμό λόγω της φύσης τους, όπως:
• Υπηρεσίες Υγείας
• Χρηματοοικονομικές Υπηρεσίες
• Υπηρεσίες Ανθρώπινου Δυναμικού
• Υπηρεσίες Φιλοξενίας και Μετακινήσεων
• Υπηρεσίες Διαδικτυακών/Προσωποποιημένων Πωλήσεων
• Παροχή Τηλεπικοινωνιακών Υπηρεσιών
• Παροχή Υπηρεσιών Ενέργειας
• Κρατικός Τομέας
Από πότε τίθεται σε εφαρμογή;
Ο «Κανονισμός», τίθεται σε εφαρμογή από τις 25 Μαΐου 2018 (άρθρο 99 του «Κανονισμού»)
Καθιερώνεται ένα ενιαίο νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων σε όλα τα κράτη μέλη της ΕΕ.
Τι υποχρεούνται να κάνουν;
Οι εταιρείες πλέον καλούνται να ασχοληθούν και επίσημα με την προστασία των πληροφοριακών τους συστημάτων, κάνοντας τακτικά ελέγχους ασφάλειας δικτύων και υποδομών, υλοποιώντας πολιτικές ασφάλειας και διαδικασίες, αλλά και εκπαιδεύοντας τους χρήστες πληροφοριακών συστημάτων για την ορθή χρήση των πληροφοριακών συστημάτων τους.
Ο Κανονισμός επιβάλλει μια σειρά νέων υποχρεώσεων στους υπευθύνους επεξεργασίας:
Κάθε υπεύθυνος επεξεργασίας (άρθρο 30) και, κατά περίπτωση, ο εκπρόσωπός του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:
α) το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας
β) τους σκοπούς της επεξεργασίας,
γ) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα,
δ) τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς,
ε) όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων,
στ) όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων,
ζ) όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 παράγραφος 1.
Λαμβάνοντας υπόψη (άρθρο 24) τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό.
«Υπεύθυνος Επεξεργασίας»
Είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
«Εκτελών Επεξεργασία»
Είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
Πρόστιμα
• Πρόστιμο ύψους έως 4% του τζίρου ή €20 εκατομμύρια, αν διαπιστωθεί παραβίαση δεδομένων προσωπικού χαρακτήρα
• Πρόστιμο ύψους 2% του τζίρου στην περίπτωση που τα αρχεία δεν είναι σύμφωνα με το άρθρο 28 του κανονισμού , ή δεν ενημερωθούν η Αρχή και το Υποκείμενο Δεδομένων για παραβίαση δεδομένων εντός 72 ωρών , ή δεν έχει διεξαχθεί εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων.
Τα παραπάνω ισχύουν τόσο για τους υπεύθυνους επεξεργασίας (controllers) όσο και τους εκτελούντες την επεξεργασία (processors).
Πιθανές αποζημιώσεις προς τα υποκείμενα των δεδομένων που αποδεδειγμένα υπέστησαν βλάβη.
Υπηρεσίες που μπορούμε να σας παρέχουμε σε συνεργασία με εξωτερικό συνεργάτη.
1.Καταγραφή των διαδικασιών συλλογής, ροής, διακίνησης, αποθήκευσης και διαγραφής των προσωπικών δεδομένων εντός της επιχείρησης και των πολιτικών που ακολουθεί η επιχείρηση(data and policy mapping).
2. Επισήμανση και αναλυτική καταγραφή των κενών προστασίας και υπόδειξη λύσεων συμμόρφωσης προς τις απαιτήσεις του Κανονισμού περί Προστασίας Προσωπικών Δεδομένων(ΓΚΠΠΔ) με την παράδοση αναλυτικής μελέτης ( GAP Analysis).
3. Αξιολόγηση και εκτίμηση κινδύνων και σύνταξη σχετικής μελέτης αντικτύπου επιπτώσεων κινδύνο(DPIA), όπου απαιτείται από τον GDPR.
4. Καθοδήγηση στην σύνταξη αναλυτικού Πλάνου Συμμόρφωσης(Compliance Plan) με τον GDPR για την επιχείρηση ώστε η τελευταία να είναι νομικά και πρακτικά θωρακισμένη απέναντι σε κάθε είδους παράβαση ή καταγγελία τρίτου αναφορικά με την τήρηση της σχετικής νομοθεσίας. Στα πλαίσια αυτού του βήματος συμπεριλαμβάνονται επιπρόσθετα μεταξύ άλλων τα κάτωθι:
• Αναθεώρηση και επικαιροποίηση όλων των υφιστάμενων συμβάσεων με εργαζομένους, προμηθευτές και λοιπά τρίτα πρόσωπα σύμφωνα με τις προβλέψεις του Κανονισμού.
• Κατάρτιση συμβάσεων με τα άτομα που εκτελούν την επεξεργασία προσωπικών δεδομένων σύμφωνα με τις προβλέψεις του Κανονισμού.
• Αναθεώρηση και επικαιροποίηση των συμβατικών όρων και της οργάνωσης των site της εταιρίας, της επικοινωνίας μέσω e-mail και κάθε άλλου είδους επικοινωνίας και αντιμετώπιση θεμάτων που μπορεί να προκύψουν από την λειτουργία ενός π.χ. e-shop.
• Κατάρτιση διαδικασίας για την διαχείριση της διαδικασίας υποβολής αιτημάτων και παραπόνων από τα υποκείμενα των προσωπικών δεδομένων προς την επιχείρηση αναφορικά με τα δικαιώματα που τους παρέχει ο Κανονισμός για τα δεδομένα τους.
• Κατάρτιση διαδικασίας για τον αποτελεσματικό χειρισμό περίπτωσης διαρροής ή απώλειας προσωπικών δεδομένων από την επιχείρηση( Data breach).
• Αντιμετώπιση ειδικότερων ζητημάτων όπως η χρήση και εγκατάσταση καμερών και θέματα clouding storage.
5. Παροχή υπηρεσιών Υπευθύνου Προστασίας Προσωπικών Δεδομένων – DPO( Data protection Officer), οι οποίες μεταξύ άλλων περιλαμβάνουν:
• Εποπτεία όλων των διαδικασιών συμμόρφωσης της εταιρίας με τις προδιαγραφές του Κανονισμού και της εν γένει νομοθεσίας προστασίας των προσωπικών δεδομένων.
• Εισηγήσεις προς το Δ.Σ. της εταιρίας για λήψη μέτρων συμμόρφωσης προς τις απαιτήσεις του Κανονισμού.
• Διαχείριση καταγγελιών και αιτημάτων των υποκειμένων-φυσικών προσώπων των οποίων τα προσωπικά δεδομένα έχουν καταστεί αντικείμενο επεξεργασίας.
• Περιοδική εκπαίδευση και ενημέρωση του προσωπικού της επιχείρησης ώστε να ανταποκρίνεται στις απαιτήσεις του Κανονισμού.
• Επίσημος σύνδεσμος μεταξύ της επιχείρησης και της Αρχής Προστασίας Προσωπικών Δεδομένων για θέματα που αφορούν την προστασία προσωπικών δεδομένων εντός της επιχείρησης.
Για να δείτε τον Κανονισμό 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016, πατήστε εδώ |