GDPR READY ΣΕ ΔΕΚΑ ΒΗΜΑΤΑ

Στις 25 Μαΐου 2018 θα τεθεί σε εφαρμογή ο Κανονισμός του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών.

Κάθε Οργανισμός που χειρίζεται προσωπικά δεδομένα τα οποία αφορούν σε άτομα εντός της Ευρωπαϊκής Ένωσης, θα είναι υποχρεωμένος να συμμορφωθεί πλήρως με το νέο Κανονισμό, επανεξετάζοντας ή και αναθεωρώντας όλες τις διαδικασίες διαχείρισης των πληροφοριών του.

Ο Οδηγός αυτός στοχεύει στην ενημέρωση των ελληνικών επιχειρήσεων για τις απαιτήσεις του νέου πλαισίου και την προετοιμασία της έγκαιρης συμμόρφωσής τους εντός του σύντομου αυτού σταδίου μετάβασης στα νέα δεδομένα.

Βήμα 1.Προσδιορίστε τα προσωπικά δεδομένα που πρέπει να επεξεργαστείτε

Αξιολογήσετε τις δραστηριότητές της επιχείρησής σας και τον τρόπο που διαχειρίζεστε τα προσωπικά δεδομένα. Το «Security Policy» και οι λοιπές ρυθμιστικές διαδικασίες που οργανώνουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα εντός της επιχείρησής σας πρέπει να προσαρμοστούν στους νέους κοινοτικούς και εθνικούς κανόνες προστασίας των προσωπικών δεδομένων. Το «Security Plan» της επιχείρησής σας πρέπει να προβλέπει με σαφήνεια τον τύπο των πληροφοριών που πρέπει να υποβάλλονται σε επεξεργασία, τον ακριβή χρόνο διατήρησής τους, τα άτομα που έχουν σύννομη πρόσβαση στα προσωπικά δεδομένα, και τις κατάλληλες εγγυήσεις  για την προστασία των δικαιωμάτων των πελατών, των οποίων τα δεδομένα επεξεργάζεστε.

Βήμα 2. Καθορίστε το σκοπό για την επεξεργασία προσωπικών πληροφοριών

Αυτό το βήμα αποσκοπεί στην εξασφάλιση της συμμόρφωσης με την αρχή του «καθορισμένου σκοπού» της επεξεργασίας, που σημαίνει ότι τα προσωπικά δεδομένα μπορούν να συλλέγονται και να αποθηκεύονται μόνο για «συγκεκριμένους, σαφείς και νόμιμους σκοπούς» και δεν μπορούν να μεταβιβαστούν περαιτέρω, διότι κάτι τέτοιο δεν συνάδει με τους σκοπούς του Νέου Κανονισμού.

Βήμα 3.Ύπαρξη νομικής βάσης για την επεξεργασία δεδομένων 

Ο Κανονισμός ορίζει ότι η επεξεργασία προσωπικών πληροφοριών είναι νόμιμη μόνο όταν γίνεται με τη ρητή συγκατάθεση του ενδιαφερομένου ή με κάποια άλλη νόμιμη βάση που προβλέπεται από το νόμο. Η υπογραφή σύμβασης είναι η πλέον ασφαλής οδός, καθότι η σιωπηρή συγκατάθεση δεν μπορεί εφεξής να δικαιολογήσει την επεξεργασία των προσωπικών δεδομένων.

Βήμα 4. Αξιολογήστε την περίοδο διατήρησης των προσωπικών δεδομένων

Το βήμα αυτό είναι ζωτικής σημασίας για κάθε επιχείρηση που εμπλέκεται στην επεξεργασία προσωπικών δεδομένων. Οι προσωπικές πληροφορίες θα πρέπει να διαγράφονται από τα συστήματά σας μόλις δεν είναι πλέον απαραίτητες για τους σκοπούς επεξεργασίας που έχετε καθορίσει με το «Security Plan» της εταιρείας σας. Κατ’ εξαίρεση μόνο στην περίπτωση που ισχύουν συγκεκριμένοι κοινοτικοί ή εθνικοί κανόνες (πχ. φορολογική νομοθεσία) επεκτείνεται η αποθήκευση των δεδομένων σε μεγαλύτερο χρονικό διάστημα.

Βήμα 5. Προσδιορίστε ποιος μπορεί να έχει πρόσβαση στις προσωπικές πληροφορίες που διατηρείτε

Η μεταφορά και η ανταλλαγή προσωπικών πληροφοριών μεταξύ ιδιωτικών και δημόσιων φορέων είναι σημείο ιδιαίτερης προσοχής στον νέο Κανονισμό. Οι μεταφορές δεδομένων θεωρούνται  ως «επεξεργασία προσωπικών δεδομένων» σύμφωνα με τον Κανονισμό. Θα πρέπει να καθορίσετε τις αρχές, τους φορείς και τις επιχειρήσεις που μπορεί να έχουν δικαίωμα πρόσβασης στα προσωπικά δεδομένα που διατηρείτε και το σκοπό της πρόσβασης. Η μεταβίβαση των προσωπικών δεδομένων πρέπει να γίνεται με τρόπο σύννομο, συνάδοντας δηλαδή με τις προβλέψεις του GDPR.

Βήμα 6. Θεμελιώστε οποιαδήποτε μεταφορά προσωπικών πληροφοριών σε μια νόμιμη βάση

Η Ευρωπαϊκή Επιτροπή θέσπισε γενικό κανόνα που ορίζει ότι τα δεδομένα προσωπικού χαρακτήρα μπορούν να μεταφερθούν σε τρίτη χώρα μόνο εάν η δικαιούχος χώρα θεωρηθεί από την Επιτροπή ότι διαθέτει επαρκές επίπεδο προστασίας. Όταν αναμένετε τη μεταφορά δεδομένων σε τρίτες χώρες, πρέπει να προσδιορίζετε με ακρίβεια τη νομική βάση της μεταφοράς.

Βήμα 7. Παρέχετε τις κατάλληλες εγγυήσεις για την προστασία των δικαιωμάτων των πελατών σας

Οι επιχειρήσεις όταν επεξεργάζονται τις προσωπικές πληροφορίες των πελατών τους πρέπει να σέβονται τα δικαιώματά των τελευταίων. Οφείλετε να ενημερώσετε τους πελάτες για την ταυτότητα επιχείρησης που είναι υπεύθυνη για την επεξεργασία, τους σκοπούς της επεξεργασίας και για οποιεσδήποτε περαιτέρω πληροφορίες που μπορεί να είναι σχετικές με τα δικαιώματά τους. Ο πελάτης μπορεί σε τακτικά χρονικά διαστήματα να ζητήσει πληροφορίες σχετικά με τα δεδομένα που βρίσκονται υπό επεξεργασία και τις πληροφορίες γύρω από τη συγκεκριμένη επεξεργασία. Έχει επίσης το δικαίωμα να αντιταχθεί στην επεξεργασία πληροφοριών που τον αφορούν ανά πάσα στιγμή.

Βήμα 8. Εξετάστε εάν εφαρμόζετε τα κατάλληλα μέτρα ασφάλειας για την προστασία των προσωπικών δεδομένων

Όταν επεξεργάζεστε δεδομένα σε μεγάλη κλίμακα με τη βοήθεια μεγάλων συστημάτων πληροφορικής, πρέπει να εξετάσετε προσεκτικά εάν έχετε υιοθετήσει τα κατάλληλα μέτρα για να διασφαλιστεί η προστασία των προσωπικών δεδομένων. Το βήμα αυτό είναι ακόμα πιο σημαντικό για επιχειρήσεις που επεξεργάζονται ευαίσθητα δεδομένα.

Βήμα 9. Υιοθετήστε διαφορετικές μορφές μέτρων ασφαλείας

Διακρίνετε τα μέτρα ασφαλείας σε οργανωτικά:

  • Ορίστε Υπεύθυνο Ασφαλείας για την τήρηση των προδιαγραφών Security Policy της εταιρείας (πχ. IT lawyer, ΙΤ expert)
  • Οργανώστε το προσωπικό μέσω σαφούς κατανομής καθηκόντων, ανάλογων της βασικής και ειδικής εκπαίδευσης εκάστου εργαζομένου, και της πρόβλεψης αυστηρών δεσμεύσεων εμπιστευτικότητας (πχ. προβλέψεις για την εξασφάλιση εμπιστευτικότητας σε περιπτώσεις αποχώρησης υπαλλήλου).

Σε τεχνικά μέτρα, όπως:

  • Η διαχείριση των λογαριασμών των χρηστών, μηχανισμοί ελέγχου πρόσβασης στα ηλεκτρονικά συστήματα/αρχεία (πχ. αυτόματη απενεργοποίηση αδρανοποιημένου για ώρα υπολογιστή), διαχείριση των συνθηματικών (πολυπλοκότητα & συχνότητα αλλαγής τους)
  • η τήρηση αντιγράφων ασφαλείας (μέσω της επιλογής των κρίσιμων αρχείων που χρήζουν αντιγραφής) και η εξασφάλιση της ακεραιότητας των αντιγράφων σε περίπτωση απώλειας των πρωτοτύπων δεδομένων.

Σε φυσικά μέτρα, όπως είναι :

  • μέτρα ελέγχου της φυσικής πρόσβασης στις εγκαταστάσεις τις επιχείρησης και τα γραφεία/χώρους με υπολογιστικά συστήματα
  • ή η τήρηση καταλόγου ενεργειών φυσικής πρόσβασης στα αρχεία προσωπικών δεδομένων, και ο ορισμός προϋποθέσεων παραχώρησης σχετικής άδειας από τη Διοίκηση σε εντεταλμένο ειδικώς πρόσωπο για τη δυνατότητα πρόσβασης στα αρχεία αυτά.

Βήμα 10. Προβλέψετε ειδικές διαδικασίες για την εποπτεία της επεξεργασίας δεδομένων

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα εποπτεύεται από τις εθνικές αρχές προστασίας δεδομένων, όπως η ΑΠΔΠΧ και από τις  ευρωπαϊκές εποπτικές αρχές. Όταν αντιληφθείτε ουσιαστικό κίνδυνο για τα δικαιώματα των πελατών σας, πρέπει να ενημερώσετε την αρμόδια αρχή προστασίας δεδομένων. Πρέπει να τηρείτε εκ των προτέρων διαδικασίες ελέγχου της επεξεργασίας των προσωπικών δεδομένων. Η σύννομη εποπτεία της επεξεργασίας των δεδομένων απαιτεί τον διορισμό ειδικού Υπευθύνου Προστασίας των Δεδομένων (Data Protection Officer), που λειτουργεί ως «contact point» με την αρμόδια για την επιχείρησή σας εποπτική αρχή. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών, ως ανεξάρτητος συνεργάτης.

 

Leave a Reply

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.

Top