ΕΡΩΤΗΜΑΤΟΛΟΓΙΟ ΕΤΟΙΜΟΤΗΤΑΣ ΑΝΤΙΜΕΤΩΠΙΣΗΣ ΠΑΡΑΒΙΑΣΗΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Συμπληρώστε τα στοιχεία σας για να ξεκινήσετε!

1) Διαθέτετε πλάνο αντιμετώπισης ενδεχόμενων παραβιάσεων προσωπικών δεδομένων;

2) Γνωρίζετε τον ακριβή αριθμό και το είδος των προσωπικών δεδομένων που επεξεργάζεστε;

3) Σε περίπτωση παραβίασης είστε σε θέση να αναγνωρίσετε τον αριθμό των αρχείων που περιέχουν προσωπικά δεδομένα που μπορεί να επηρεαστούν από την παραβίαση, καθώς και το είδος αυτών των δεδομένων;

4) Έχετε καταγράψει τους πιθανούς κινδύνους που μπορεί να επέλθουν στα υποκείμενα δεδομένων σε περίπτωση πιθανής παραβίασης προσωπικών δεδομένων;

5) Γνωρίζετε πόσο χρονικό διάστημα θα χρειαστεί η επιχείρηση σας για να ανακτήσει τις βασικές-κύριες λειτουργίες της μετά από μια παραβίαση δεδομένων;

6) Έχετε εκπαιδεύσει το ανθρώπινο δυναμικό της επιχείρησης σας σχετικά με το τι μπορεί να αποτελεί παραβίαση προσωπικών δεδομένων;

7) Έχετε εκπαιδεύσει το ανθρώπινο δυναμικό της επιχείρησης σας σχετικά με τα βήματα που πρέπει να ακολουθήσει σε περίπτωση παραβίασης προσωπικών δεδομένων;

8) Η Πολιτική Ασφαλείας της επιχείρησής σας βασίζεται σε κάποιο διεθνώς αναγνωρισμένο πρότυπο (π.χ. ISO 27001);

9) Έχετε λάβει συγκεκριμένα μέτρα, ώστε να περιορίσετε ενδεχόμενη ζημία σε περίπτωση παραβίασης προσωπικών δεδομένων;

10) Ο GDPR επιβάλλει να αναφέρονται ορισμένα περιστατικά παραβίασης προσωπικών δεδομένων στην Αρχή Προστασίας Προσωπικών Δεδομένων εντός 72 ωρών από τη γνώση τους. Είστε σε θέση να τηρήσετε αυτή την προθεσμία;

11) Διαθέτετε πλάνο ενημέρωσης των υποκειμένων των οποίων τα προσωπικά δεδομένα παραβιάστηκαν, στις περιπτώσεις που μία τέτοια ενημέρωση καθίσταται απαραίτητη;

12) Επιθυμώ η Privacy Advocate να επικοινωνήσει μαζί μου, χρησιμοποιώντας τα στοιχεία που έχω συμπληρώσει ανωτέρω, με στόχο την αξιολόγηση των απαντήσεων που δόθηκαν

Ερωτηματολόγιο Συμμόρφωσης προς το νέο Κανονισμό

Παρακαλούμε όπως συμπληρώσετε τα ακόλουθα στοιχεία της εταιρείας σας:

Επωνυμία εταιρείας
Έδρα εταιρείας
Υποκαταστήματα
Τομέας δραστηριότητας
Πρόσωπα διοίκησης
Συνολικός αριθμός εργαζομένων
Τεχνολογικές υποδομές εταιρείας
E-mail
Τηλέφωνο
Υπεύθυνος Επικοινωνίας

ΕΝΗΜΕΡΩΣΗ & ΔΙΟΙΚΗΣΗ


1) Η Διοίκηση γνωρίζει τις προβλέψεις του νέου Κανονισμού GDPR;

2) Η επιχείρησή σας έχει εντοπίσει τομείς που θα μπορούσαν να προκαλέσουν προβλήματα συμμόρφωσης με τον GDPR;

3) Η επιχείρησή σας εξέτασε τις τρέχουσες πολιτικές απορρήτου και έχει προγραμματίσει να πραγματοποιήσει τις απαραίτητες αλλαγές εγκαίρως για την συμμόρφωση προς τον GDPR;

4) Έχετε καταγράψει ενδεχόμενα προβλήματα στην διαχείριση των προσωπικών δεδομένων στην εταιρεία σας;

5) Η επιχείρησή σας εξετάζει τακτικά την αποτελεσματικότητα και την ασφάλεια των διαδικασιών επεξεργασίας δεδομένων;

6) Η επιχείρησή σας έχει αναπτύξει κάποιο πρόγραμμα κατάρτισης του προσωπικού αναφορικά με την προστασία των δεδομένων προσωπικού χαρακτήρα;

ΔΙΑΧΕΙΡΙΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ


7) Παρακαλούμε περιγράψτε συνοπτικά τις δραστηριότητες της επιχείρησής σας που εμπεριέχουν τήρηση ή επεξεργασία προσωπικών δεδομένων.

8) Παρακαλούμε προσδιορίστε τις μεθόδους που χρησιμοποιείτε για τη συλλογή των δεδομένων προσωπικού χαρακτήρα.

9) Παρακαλούμε προσδιορίστε μας ποια τμήματα της επιχείρησής σας τηρούν και επεξεργάζονται προσωπικά δεδομένα;

10) Παρακαλούμε προσδιορίστε αν τηρείτε ευαίσθητα προσωπικά δεδομένα (π.χ. δεδομένα που αφορούν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά, βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία ή τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό).

11) Τι είδους δεδομένα προσωπικού χαρακτήρα από αυτά που τηρεί η επιχείρησή σας διακινούνται σε τρίτους; (π.χ. δημόσιους οργανισμούς, δικαστικές αρχές, ασφαλιστικές εταιρείες, φορείς κοινωνικής ασφάλισης, εισπρακτικές εταιρείες, τράπεζες, διαφημιστικές εταιρείες κ.λπ.)

12) Σε ποιο πλαίσιο και με ποια συχνότητα διακινείτε δεδομένα προσωπικού χαρακτήρα σε τρίτους (συστηματικά ή κατά περίπτωση);

13) Ποια από τα δεδομένα προσωπικού χαρακτήρα που τηρεί η επιχείρησή σας δεν αφορούν το σκοπό για τον οποίο συλλέγονται;

14) Έχουν οι πελάτες της επιχείρησής σας πρόσβαση στα προσωπικά τους δεδομένα; Αν ναι με ποιο τρόπο;

15) Επιτρέπει η εταιρεία σας πρόσβαση στα προσωπικά δεδομένα των πελατών σας σε αντιπροσώπους τους και υπό ποιες προϋποθέσεις;

16) Χρησιμοποιείτε μόνοι σας ή σε συνεργασία με άλλες εταιρείες/φορείς οποιουδήποτε είδους προωθητικές ενέργειες που βασίζονται σε αυτοματοποιημένα συστήματα;

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ (SECURITY POLICY)


17) Χρησιμοποιεί η επιχείρησή σας αυτοματοποιημένα μέσα για τη συλλογή προσωπικών δεδομένων;

18) Αν ναι, εφαρμόζονται συγκεκριμένες διαδικασίες ελέγχου της ακρίβειας των προσωπικών δεδομένων που συλλέγονται με αυτοματοποιημένα μέσα;

19) Υπάρχει έγγραφη πολιτική ασφαλείας της επιχείρησής σας για την προστασία των δεδομένων προσωπικού χαρακτήρα;

20) Η επιχείρησή σας τηρεί συγκεκριμένες διαδικασίες ανωνυμοποίησης ή ψευδωνυμοποίησης των προσωπικών δεδομένων;

21) Ποια στοιχεία ανωνυμοποιεί ή ψευδωνυμοποιεί;

22) Η επιχείρησή σας τηρεί συγκεκριμένη διαδικασία όσον αφορά την ασφαλή διαγραφή ή την ηθελημένη καταστροφή προσωπικών δεδομένων;

23) Η επιχείρησή σας τηρεί συγκεκριμένη πολιτική όσον αφορά τον χειρισμό αιτημάτων φορητότητας προσωπικών δεδομένων;

24) Διατηρεί η εταιρεία σας οποιαδήποτε ασφαλιστική σύμβαση που να καλύπτει περιστατικά επιθέσεων στο διαδίκτυο;

25) Η επιχείρησή σας έχει εφαρμόσει τις κατάλληλες διαδικασίες για να διασφαλίσει ότι οι παραβιάσεις προσωπικών δεδομένων εντοπίζονται, αναφέρονται και αντιμετωπίζονται αποτελεσματικά;

26) Η επιχείρησή σας διαθέτει μηχανισμούς για την έγκαιρη και σύννομη αναφορά τυχόν παραβιάσεων στην αρμόδια εποπτική αρχή;

27) Η επιχείρησή σας διαθέτει μηχανισμούς για την ενημέρωση των υποκειμένων των δεδομένων, σε περίπτωση παραβίασης των δεδομένων τους;

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (DATA PROTECTION OFFICER-DPO)


28) Η επιχείρησή σας έχει αναθέσει την ευθύνη για τη συμμόρφωσή της με τον νέο Κανονισμό GDPR, όσον αφορά την επεξεργασία προσωπικών δεδομένων, σε ένα κατάλληλο άτομο εντός (ή εκτός) του οργανισμού;

29) Η επιχείρησή σας γνωρίζει πώς να διορίσει υπεύθυνο προστασίας δεδομένων (DPO), με τα περισσότερα δυνατά πλεονεκτήματα;

30) Η επιχείρησή σας υποστηρίζει την παροχή κατάλληλων μηχανισμών κατάρτισης;

31) Η επιχείρησή σας έχει καθορίσει διαδικασίες αναφοράς προς τα ανώτερα διοικητικά στελέχη της για ζητήματα σχετικά με την διαχείριση των προσωπικών δεδομένων;

32) Υπάρχει σαφής κατανομή των αρμοδιοτήτων του προσωπικού σχετικά με την προστασία των δεδομένων;

33) Υπάρχει ομάδα εργαζομένων βοηθητική για την υλοποίηση των καθηκόντων του DPO;

34) Έχουν γίνει οι απαραίτητες κοινοποιήσεις σχετικά με το προσωπικό της επιχείρησης στην αρμόδια εποπτική αρχή;

ΣΥΝΑΙΝΕΣΗ ΥΠΟΚΕΙΜΕΝΟΥ ΚΑΙ ΠΛΗΡΟΦΟΡΗΣΗ


35) Η επιχείρησή σας έχει εξετάσει τον τρόπο με τον οποίο αναζητάτε, καταγράφετε και διαχειρίζεστε τη συναίνεση του υποκειμένου, του οποίου τα προσωπικά δεδομένα υφίστανται την επεξεργασία;

36) Η επιχείρησή σας έχει εξετάσει τα συστήματα που χρησιμοποιούνται μέχρι σήμερα για την καταγραφή της συναίνεσης;

37) Αν η επιχείρησή σας προσφέρει υπηρεσίες απευθείας σε παιδιά, η επικοινωνία με τα παιδιά διεξάγεται με τρόπο που να διασφαλίζει ότι τα παιδιά έχουν πλήρη επίγνωση του περιεχομένου της;

38) Εάν η επιχείρησή σας προσφέρει υπηρεσίες μέσω διαδικτύου άμεσα σε παιδιά, η επιχείρησή σας διαθέτει συστήματα για την επαλήθευση των ηλικιών των ατόμων και για τη λήψη συγκατάθεσης από τους γονείς ή τον κηδεμόνα, όπου απαιτείται;

39) Εξασφαλίζεται η συναίνεση του υποκειμένου ξεκάθαρα;

40) Ζητάτε από τους πελάτες να συναινέσουν θετικά;

41) Τους δίνετε επαρκείς πληροφορίες για να κάνουν μια επιλογή;

42) Εξηγείτε τους διαφορετικούς τρόπους με τους οποίους θα χρησιμοποιήσετε τις πληροφορίες τους, αν εσείς ή εκείνοι έχουν περισσότερους από έναν στόχους επεξεργασίας;

43) Ζητάτε από τα υποκείμενα με σαφή και απλό τρόπο να παρέχουν συναίνεση για την επεξεργασία των δεδομένων τους;

44) Είναι πιθανή μία μη αναμενόμενη χρήση των πληροφοριών των υποκειμένων;

45) Οι πληροφορίες θα μοιραστούν σε κάποιον άλλο οργανισμό που τα υποκείμενα δεν αναμένουν;

Επίσης, συμπεριλαμβάνετε στην σύμβαση συναίνεσης:

46) Την υποχρέωση παροχής προσωπικών πληροφοριών από το υποκείμενο και τις ενδεχόμενες συνέπειες αν δεν τις παράσχει;

47) Πληροφορίες σχετικά με τις ενέργειες σας για την ασφάλεια των προσωπικών δεδομένων;

48) Πληροφορίες σχετικά με το δικαίωμα πρόσβασης των υποκειμένων στα δεδομένα τους;

49) Δεσμεύσεις ως προς τι δεν θα κάνετε με τα δεδομένα τους;

50) Τον τρόπο αντιμετώπισης ειδικών κατηγοριών προσωπικών δεδομένων (πχ. ευαίσθητα δεδομένα υγείας);

Στις Φόρμες Ενημέρωσης πριν εξασφαλισθεί η συναίνεση του υποκειμένου:

51) Χρησιμοποιείτε σαφή και απλή γλώσσα;

52) Υιοθετείτε ένα στυλ που θα κατανοήσει το κοινό σας;

53) Αποφεύγετε τη χρήση μη κατανοητής ορολογίας ή νομικών όρων;

54) Αξιοποιείτε την έρευνα σχετικά με τα χαρακτηριστικά των αποτελεσματικών ενημερώσεων περί απορρήτου;

55) Ευθυγραμμίζετε το στυλ της φόρμας ενημέρωσης με τις αξίες και τις αρχές της επιχείρησής σας;

56) Είστε ειλικρινείς, ήτοι αποφεύγετε επιλογές που είναι αμφίσημες/ παραπλανητικές;

ΤΡΟΠΟΙ ΠΑΡΟΧΗΣ ΠΛΗΡΟΦΟΡΙΩΝ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΙΔΙΩΤΙΚΟΤΗΤΑ


57) Τηρείτε ειδοποιήσεις απορρήτου προς τα υποκείμενα;

58) Διασφαλίζετε ότι όλες οι ειδοποιήσεις σας προς το υποκείμενο είναι έγκαιρες;

59) Με ποιον τρόπο λαμβάνετε υπόψη τυχόν παράπονα σχετικά με τη διαχείριση των πληροφοριών;

60) Πώς παρέχετε πληροφορίες στα υποκείμενα;
Με:

ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ


61) Η επιχείρησή σας έχει ελέγξει την υφιστάμενη πολιτική της για να διασφαλίσει ότι μπορεί να εξασφαλίσει τα δικαιώματα των υποκειμένων, όπως προβλέπονται στον GDPR;

62) Η επιχείρησή σας έχει αναπτύξει σχέδια για το πώς θα χειριστείτε αιτήματα από ιδιώτες για πρόσβαση στα προσωπικά τους δεδομένα εντός των νέων χρονοδιαγραμμάτων που περιγράφονται στον GDPR;

63) Η επιχείρησή σας έχει αναπτύξει σχέδια για το πώς θα παράσχετε οποιεσδήποτε πρόσθετες πληροφορίες στους αιτούντες, όπως απαιτείται από τον GDPR;

ΕΠΟΠΤΙΚΗ ΑΡΧΗ & ΠΙΣΤΟΠΟΙΗΣΗ


64) Εάν η επιχείρησή σας λειτουργεί σε περισσότερα από ένα κράτη μέλη της ΕΕ, έχετε καθορίσει την κύρια εποπτική αρχή στην οποία θα υπαχθεί η επιχείρησής σας;

65) Έχει διεξαχθεί ποτέ έλεγχος από αρμόδια εποπτική αρχή στην επιχείρησή σας;

66) Έχετε πιστοποιηθεί ως προς τις πολιτικές προστασίας των δεδομένων που εφαρμόζετε;

67) Αν ναι, η πιστοποίησή σας σε ποια από τις ακόλουθες κατηγορίες εμπίπτει;

Survey

Welcome to your Survey

Test Quiz

Συμπληρώστε τα στοιχεία σας για να ξεκινήσετε!

1) Η επιχείρηση σας συλλέγει και διατηρεί δεδομένα προσωπικού χαρακτήρα;

2) Κατανόηση των Επερχόμενων Αλλαγών και Σχετική Ενημέρωση
Η Διοίκηση της επιχείρησή σας έχει κατανοήσει ότι το νομοθετικό πλαίσιο της προστασίας προσωπικών δεδομένων μεταβάλλεται με τον νέο Κανονισμό GDPR και εκτιμά τον πιθανό αντίκτυπο για την επιχείρηση σας; Η Διοίκηση έχει εντοπίσει τυχόν προβλήματα συμμόρφωσης προς τον GDPR και έχει ενημερώσει το προσωπικό για τις ενδεχόμενες αναγκαίες ενέργειες συμμόρφωσης;

3) Αποτελεσματική Πολιτική Ασφαλείας (Security Policy)
Η επιχείρησή σας εφαρμόζει κάποιο σύστημα προστασίας δεδομένων/ πληροφοριών (πχ. firewalls, backups, continuity of service plan), παρακολουθεί και εξετάζει τακτικά την αποτελεσματικότητα και την ασφάλεια των δραστηριοτήτων επεξεργασίας των δεδομένων;

4) Ταξινόμηση Δεδομένων
Η επιχείρησή σας μπορεί να εντοπίσει και να τεκμηριώσει τι προσωπικά δεδομένα διατηρείτε, από πού προέρχονται αυτά τα δεδομένα και σε ποιες άλλες επιχειρήσεις/οργανισμούς μεταβιβάζονται; Η επιχείρηση διεξάγει τακτικά έλεγχο για το σύνολο των διακινούμενων πληροφοριών;

5) Μέτρα Ασφαλείας
Η επιχείρησή σας έχει εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα στις δραστηριότητες επεξεργασίας; Η επιχείρησή σας κατανοεί πότε πρέπει να διεξάγει εκτίμηση αντικτύπου (DPIA) και ποιες διαδικασίες πρέπει να εφαρμόζει για την σωστή διεξαγωγή της;

6) Διορισμός Υπευθύνου Προστασίας Δεδομένων (DPO)
Η επιχείρησή σας έχει διορίσει ή προτίθεται να διορίσει υπεύθυνο προστασίας δεδομένων (DPO), σε περίπτωση που υπάγεται σε κάποια από τις κατηγορίες που οφείλουν να προβούν στον συγκεκριμένο διορισμό, σύμφωνα με τις επιταγές του Νέου Κανονισμού;

7) Νομιμότητα και Διαφάνεια της Επεξεργασίας
Η επιχείρησή σας μπορεί να προσδιορίσει τη νόμιμη βάση (πχ. συναίνεση υποκειμένου) κάθε δραστηριότητας επεξεργασίας;

8) Ορθή Ενημέρωση και Εξασφάλιση Έγκυρης Συγκατάθεσης
Η επιχείρησή σας χρησιμοποιεί νόμιμα και διαφανή συστήματα για την ενημέρωση και την εξασφάλιση της συναίνεσης του υποκειμένου, τα δεδομένα του οποίου πρόκειται να υποστούν επεξεργασία;

9) Εξασφάλιση των Δικαιωμάτων του Υποκειμένου
Η επιχείρησή σας γνωρίζει το σύνολο των δικαιωμάτων που παρέχονται στο υποκείμενο, τα δεδομένα του οποίου υφίστανται την επεξεργασία, σύμφωνα με τον GDPR, και εφαρμόζει κατάλληλους μηχανισμούς για την αποτελεσματική άσκησή τους;

10) Ανταπόκριση σε Αιτήματα Πελατών
Η επιχείρησή σας έχει υιοθετήσει αποτελεσματικές διαδικασίες για το πώς θα απαντά σε αιτήματα υποκειμένων-πελατών, που ζητούν πρόσβαση στα προσωπικά τους δεδομένα, εντός των νέων χρονοδιαγραμμάτων που προβλέπονται στον GDPR; Η επιχείρησή σας έχει υιοθετήσει αποτελεσματικές διαδικασίες για το πώς θα παράσχει οποιεσδήποτε πρόσθετες πληροφορίες στα υποκείμενα-πελάτες, όπως απαιτείται από τον GDPR;

11) Data Breach Response Plan
Η επιχείρησή σας έχει εφαρμόσει τις κατάλληλες διαδικασίες για να διασφαλίσει ότι οι παραβιάσεις προσωπικών δεδομένων εντοπίζονται, αναφέρονται και διερευνώνται αποτελεσματικά; Η επιχείρησή σας διαθέτει μηχανισμούς για την αξιολόγηση και, στη συνέχεια, την αναφορά των σχετικών παραβάσεων στην ΑΠΔΠΧ, καθώς και για την ενημέρωση των ατόμων, τα δεδομένα των οποίων έχουν προσβληθεί;

12) Επιθυμώ η Privacy Advocate να επικοινωνήσει μαζί μου, χρησιμοποιώντας τα στοιχεία που έχω συμπληρώσει ανωτέρω, με στόχο την αξιολόγηση των απαντήσεων που δόθηκαν

Top