Ερωτηματολόγιο Συμμόρφωσης προς το νέο Κανονισμό

Παρακαλούμε όπως συμπληρώσετε τα ακόλουθα στοιχεία της εταιρείας σας:

Επωνυμία εταιρείας
Έδρα εταιρείας
Υποκαταστήματα
Τομέας δραστηριότητας
Πρόσωπα διοίκησης
Συνολικός αριθμός εργαζομένων
Τεχνολογικές υποδομές εταιρείας
E-mail
Τηλέφωνο
Υπεύθυνος Επικοινωνίας

ΕΝΗΜΕΡΩΣΗ & ΔΙΟΙΚΗΣΗ


1) Η Διοίκηση γνωρίζει τις προβλέψεις του νέου Κανονισμού GDPR;

2) Η επιχείρησή σας έχει εντοπίσει τομείς που θα μπορούσαν να προκαλέσουν προβλήματα συμμόρφωσης με τον GDPR;

3) Η επιχείρησή σας εξέτασε τις τρέχουσες πολιτικές απορρήτου και έχει προγραμματίσει να πραγματοποιήσει τις απαραίτητες αλλαγές εγκαίρως για την συμμόρφωση προς τον GDPR;

4) Έχετε καταγράψει ενδεχόμενα προβλήματα στην διαχείριση των προσωπικών δεδομένων στην εταιρεία σας;

5) Η επιχείρησή σας εξετάζει τακτικά την αποτελεσματικότητα και την ασφάλεια των διαδικασιών επεξεργασίας δεδομένων;

6) Η επιχείρησή σας έχει αναπτύξει κάποιο πρόγραμμα κατάρτισης του προσωπικού αναφορικά με την προστασία των δεδομένων προσωπικού χαρακτήρα;

ΔΙΑΧΕΙΡΙΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ


7) Παρακαλούμε περιγράψτε συνοπτικά τις δραστηριότητες της επιχείρησής σας που εμπεριέχουν τήρηση ή επεξεργασία προσωπικών δεδομένων.

8) Παρακαλούμε προσδιορίστε τις μεθόδους που χρησιμοποιείτε για τη συλλογή των δεδομένων προσωπικού χαρακτήρα.

9) Παρακαλούμε προσδιορίστε μας ποια τμήματα της επιχείρησής σας τηρούν και επεξεργάζονται προσωπικά δεδομένα;

10) Παρακαλούμε προσδιορίστε αν τηρείτε ευαίσθητα προσωπικά δεδομένα (π.χ. δεδομένα που αφορούν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά, βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία ή τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό).

11) Τι είδους δεδομένα προσωπικού χαρακτήρα από αυτά που τηρεί η επιχείρησή σας διακινούνται σε τρίτους; (π.χ. δημόσιους οργανισμούς, δικαστικές αρχές, ασφαλιστικές εταιρείες, φορείς κοινωνικής ασφάλισης, εισπρακτικές εταιρείες, τράπεζες, διαφημιστικές εταιρείες κ.λπ.)

12) Σε ποιο πλαίσιο και με ποια συχνότητα διακινείτε δεδομένα προσωπικού χαρακτήρα σε τρίτους (συστηματικά ή κατά περίπτωση);

13) Ποια από τα δεδομένα προσωπικού χαρακτήρα που τηρεί η επιχείρησή σας δεν αφορούν το σκοπό για τον οποίο συλλέγονται;

14) Έχουν οι πελάτες της επιχείρησής σας πρόσβαση στα προσωπικά τους δεδομένα; Αν ναι με ποιο τρόπο;

15) Επιτρέπει η εταιρεία σας πρόσβαση στα προσωπικά δεδομένα των πελατών σας σε αντιπροσώπους τους και υπό ποιες προϋποθέσεις;

16) Χρησιμοποιείτε μόνοι σας ή σε συνεργασία με άλλες εταιρείες/φορείς οποιουδήποτε είδους προωθητικές ενέργειες που βασίζονται σε αυτοματοποιημένα συστήματα;

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ (SECURITY POLICY)


17) Χρησιμοποιεί η επιχείρησή σας αυτοματοποιημένα μέσα για τη συλλογή προσωπικών δεδομένων;

18) Αν ναι, εφαρμόζονται συγκεκριμένες διαδικασίες ελέγχου της ακρίβειας των προσωπικών δεδομένων που συλλέγονται με αυτοματοποιημένα μέσα;

19) Υπάρχει έγγραφη πολιτική ασφαλείας της επιχείρησής σας για την προστασία των δεδομένων προσωπικού χαρακτήρα;

20) Η επιχείρησή σας τηρεί συγκεκριμένες διαδικασίες ανωνυμοποίησης ή ψευδωνυμοποίησης των προσωπικών δεδομένων;

21) Ποια στοιχεία ανωνυμοποιεί ή ψευδωνυμοποιεί;

22) Η επιχείρησή σας τηρεί συγκεκριμένη διαδικασία όσον αφορά την ασφαλή διαγραφή ή την ηθελημένη καταστροφή προσωπικών δεδομένων;

23) Η επιχείρησή σας τηρεί συγκεκριμένη πολιτική όσον αφορά τον χειρισμό αιτημάτων φορητότητας προσωπικών δεδομένων;

24) Διατηρεί η εταιρεία σας οποιαδήποτε ασφαλιστική σύμβαση που να καλύπτει περιστατικά επιθέσεων στο διαδίκτυο;

25) Η επιχείρησή σας έχει εφαρμόσει τις κατάλληλες διαδικασίες για να διασφαλίσει ότι οι παραβιάσεις προσωπικών δεδομένων εντοπίζονται, αναφέρονται και αντιμετωπίζονται αποτελεσματικά;

26) Η επιχείρησή σας διαθέτει μηχανισμούς για την έγκαιρη και σύννομη αναφορά τυχόν παραβιάσεων στην αρμόδια εποπτική αρχή;

27) Η επιχείρησή σας διαθέτει μηχανισμούς για την ενημέρωση των υποκειμένων των δεδομένων, σε περίπτωση παραβίασης των δεδομένων τους;

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (DATA PROTECTION OFFICER-DPO)


28) Η επιχείρησή σας έχει αναθέσει την ευθύνη για τη συμμόρφωσή της με τον νέο Κανονισμό GDPR, όσον αφορά την επεξεργασία προσωπικών δεδομένων, σε ένα κατάλληλο άτομο εντός (ή εκτός) του οργανισμού;

29) Η επιχείρησή σας γνωρίζει πώς να διορίσει υπεύθυνο προστασίας δεδομένων (DPO), με τα περισσότερα δυνατά πλεονεκτήματα;

30) Η επιχείρησή σας υποστηρίζει την παροχή κατάλληλων μηχανισμών κατάρτισης;

31) Η επιχείρησή σας έχει καθορίσει διαδικασίες αναφοράς προς τα ανώτερα διοικητικά στελέχη της για ζητήματα σχετικά με την διαχείριση των προσωπικών δεδομένων;

32) Υπάρχει σαφής κατανομή των αρμοδιοτήτων του προσωπικού σχετικά με την προστασία των δεδομένων;

33) Υπάρχει ομάδα εργαζομένων βοηθητική για την υλοποίηση των καθηκόντων του DPO;

34) Έχουν γίνει οι απαραίτητες κοινοποιήσεις σχετικά με το προσωπικό της επιχείρησης στην αρμόδια εποπτική αρχή;

ΣΥΝΑΙΝΕΣΗ ΥΠΟΚΕΙΜΕΝΟΥ ΚΑΙ ΠΛΗΡΟΦΟΡΗΣΗ


35) Η επιχείρησή σας έχει εξετάσει τον τρόπο με τον οποίο αναζητάτε, καταγράφετε και διαχειρίζεστε τη συναίνεση του υποκειμένου, του οποίου τα προσωπικά δεδομένα υφίστανται την επεξεργασία;

36) Η επιχείρησή σας έχει εξετάσει τα συστήματα που χρησιμοποιούνται μέχρι σήμερα για την καταγραφή της συναίνεσης;

37) Αν η επιχείρησή σας προσφέρει υπηρεσίες απευθείας σε παιδιά, η επικοινωνία με τα παιδιά διεξάγεται με τρόπο που να διασφαλίζει ότι τα παιδιά έχουν πλήρη επίγνωση του περιεχομένου της;

38) Εάν η επιχείρησή σας προσφέρει υπηρεσίες μέσω διαδικτύου άμεσα σε παιδιά, η επιχείρησή σας διαθέτει συστήματα για την επαλήθευση των ηλικιών των ατόμων και για τη λήψη συγκατάθεσης από τους γονείς ή τον κηδεμόνα, όπου απαιτείται;

39) Εξασφαλίζεται η συναίνεση του υποκειμένου ξεκάθαρα;

40) Ζητάτε από τους πελάτες να συναινέσουν θετικά;

41) Τους δίνετε επαρκείς πληροφορίες για να κάνουν μια επιλογή;

42) Εξηγείτε τους διαφορετικούς τρόπους με τους οποίους θα χρησιμοποιήσετε τις πληροφορίες τους, αν εσείς ή εκείνοι έχουν περισσότερους από έναν στόχους επεξεργασίας;

43) Ζητάτε από τα υποκείμενα με σαφή και απλό τρόπο να παρέχουν συναίνεση για την επεξεργασία των δεδομένων τους;

44) Είναι πιθανή μία μη αναμενόμενη χρήση των πληροφοριών των υποκειμένων;

45) Οι πληροφορίες θα μοιραστούν σε κάποιον άλλο οργανισμό που τα υποκείμενα δεν αναμένουν;

Επίσης, συμπεριλαμβάνετε στην σύμβαση συναίνεσης:

46) Την υποχρέωση παροχής προσωπικών πληροφοριών από το υποκείμενο και τις ενδεχόμενες συνέπειες αν δεν τις παράσχει;

47) Πληροφορίες σχετικά με τις ενέργειες σας για την ασφάλεια των προσωπικών δεδομένων;

48) Πληροφορίες σχετικά με το δικαίωμα πρόσβασης των υποκειμένων στα δεδομένα τους;

49) Δεσμεύσεις ως προς τι δεν θα κάνετε με τα δεδομένα τους;

50) Τον τρόπο αντιμετώπισης ειδικών κατηγοριών προσωπικών δεδομένων (πχ. ευαίσθητα δεδομένα υγείας);

Στις Φόρμες Ενημέρωσης πριν εξασφαλισθεί η συναίνεση του υποκειμένου:

51) Χρησιμοποιείτε σαφή και απλή γλώσσα;

52) Υιοθετείτε ένα στυλ που θα κατανοήσει το κοινό σας;

53) Αποφεύγετε τη χρήση μη κατανοητής ορολογίας ή νομικών όρων;

54) Αξιοποιείτε την έρευνα σχετικά με τα χαρακτηριστικά των αποτελεσματικών ενημερώσεων περί απορρήτου;

55) Ευθυγραμμίζετε το στυλ της φόρμας ενημέρωσης με τις αξίες και τις αρχές της επιχείρησής σας;

56) Είστε ειλικρινείς, ήτοι αποφεύγετε επιλογές που είναι αμφίσημες/ παραπλανητικές;

ΤΡΟΠΟΙ ΠΑΡΟΧΗΣ ΠΛΗΡΟΦΟΡΙΩΝ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΙΔΙΩΤΙΚΟΤΗΤΑ


57) Τηρείτε ειδοποιήσεις απορρήτου προς τα υποκείμενα;

58) Διασφαλίζετε ότι όλες οι ειδοποιήσεις σας προς το υποκείμενο είναι έγκαιρες;

59) Με ποιον τρόπο λαμβάνετε υπόψη τυχόν παράπονα σχετικά με τη διαχείριση των πληροφοριών;

60) Πώς παρέχετε πληροφορίες στα υποκείμενα;
Με:

ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ


61) Η επιχείρησή σας έχει ελέγξει την υφιστάμενη πολιτική της για να διασφαλίσει ότι μπορεί να εξασφαλίσει τα δικαιώματα των υποκειμένων, όπως προβλέπονται στον GDPR;

62) Η επιχείρησή σας έχει αναπτύξει σχέδια για το πώς θα χειριστείτε αιτήματα από ιδιώτες για πρόσβαση στα προσωπικά τους δεδομένα εντός των νέων χρονοδιαγραμμάτων που περιγράφονται στον GDPR;

63) Η επιχείρησή σας έχει αναπτύξει σχέδια για το πώς θα παράσχετε οποιεσδήποτε πρόσθετες πληροφορίες στους αιτούντες, όπως απαιτείται από τον GDPR;

ΕΠΟΠΤΙΚΗ ΑΡΧΗ & ΠΙΣΤΟΠΟΙΗΣΗ


64) Εάν η επιχείρησή σας λειτουργεί σε περισσότερα από ένα κράτη μέλη της ΕΕ, έχετε καθορίσει την κύρια εποπτική αρχή στην οποία θα υπαχθεί η επιχείρησής σας;

65) Έχει διεξαχθεί ποτέ έλεγχος από αρμόδια εποπτική αρχή στην επιχείρησή σας;

66) Έχετε πιστοποιηθεί ως προς τις πολιτικές προστασίας των δεδομένων που εφαρμόζετε;

67) Αν ναι, η πιστοποίησή σας σε ποια από τις ακόλουθες κατηγορίες εμπίπτει;

Επικοινωνήστε μαζί μας

Δεσμευόμαστε να βρούμε την κατάλληλη λύση για εσάς.





    Top