Συμμόρφωση GDPR


Τι είναι ο GDPR;

Ο GDPR (General Data Protection Regulation) «Γενικός Κανονισμός για την Προστασία Δεδομένων» (Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016), αφορά στην διαμόρφωση ενός ενιαίου νομοθετικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης και αντικαθιστά την προηγούμενη Νομοθεσία «Οδηγία 95/46/ΕΚ».

Ο GDPR είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος (δηλαδή δεν απαιτείται ειδική προσαρμογή της Εθνικής Νομοθεσίας). Ο Κανονισμός είναι ιδιαίτερα απαιτητικός όσον αφορά τις υποχρεώσεις των επιχειρήσεων, ιδιαίτερα αν αναλογιστεί κάποιος  το μέγεθος των προβλεπόμενων προστίμων.

Ποιους Οργανισμούς Αφορά;

Ο GDPR αφορά το σύνολο των Οργανισμών οι οποίες διαχειρίζονται με οποιοδήποτε τρόπο δεδομένα προσωπικού χαρακτήρα πελατών, πελατών των πελατών τους, εργαζομένων, συνεργατών ή άλλων φυσικών προσώπων. Επιπρόσθετα, αφορά το σύνολο των οργανισμών που συνδιαλέγονται με κράτη – μέλη της Ε.Ε., εντός και εκτός Ευρωπαϊκής Ένωσης, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες.

Δεδομένα Προσωπικού Χαρακτήρα

1) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως ονοματεπώνυμο, αριθμό ταυτότητας, δεδομένα θέσης ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,

2) Όσο αφορά τα ευαίσθητα προσωπικά δεδομένα, αλλάζει η ονομασία τους, καθώς ονομάζονται πλέον «προσωπικά δεδομένα ειδικής κατηγορίας» και διευρύνεται ο ορισμός τους, καθώς συμπεριλαμβάνονται τα γενετικά και βιομετρικά δεδομένα. Για τους οργανισμούς που χειρίζονται προσωπικά δεδομένα ειδικής κατηγορίας προβλέπονται επιπλέον απαιτήσεις

Επεξεργασία

Επεξεργασία είναι κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως :

  • Συλλογή
  • Καταχώρηση
  • Οργάνωση
  • Διάρθρωση
  • Αποθήκευση
  • Μεταβολή
  • Ανάκτηση
  • Αναζήτηση
  • Διαβίβαση
  • Διάδοση
  • Συσχέτιση
  • Συνδυασμός
  • Περιορισμός
  • Διαγραφή
  • Καταστροφή

Υποχρεώσεις για τις επιχειρήσεις

Οι εταιρείες πλέον καλούνται να ασχοληθούν και επίσημα με την προστασία των πληροφοριακών τους συστημάτων και την ασφάλεια των δεδομένων τους, κάνοντας τακτικά ελέγχους ασφάλειας δικτύων και υποδομών, υλοποιώντας πολιτικές και διαδικασίες ασφάλειας, αλλά και εκπαιδεύοντας τους χρήστες πληροφοριακών συστημάτων για την ορθή χρήση τους.

  • να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ’ αυτών είναι απαραίτητα, να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν, να τα αποθηκεύουν για το ελάχιστο χρονικό διάστημα που απαιτείται, να λαμβάνουν κατά περίπτωση την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων
  • να τα μεταφέρουν σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις
  • να επιτρέπεται η πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και με την βασική προϋπόθεση ότι αυτοί αποδεικνύουν, αντίστοιχα, τη συμμόρφωσή τους με τον νέο Κανονισμό,
  • να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα του υποκειμένου για:
  • ανάκληση της συγκατάθεσης
  • πρόσβαση στα δεδομένα
  • διόρθωση ή διαγραφή των δεδομένων
  • περιορισμό της επεξεργασίας
  • παράδοση των δεδομένων σε ηλεκτρονική μορφή
  • μεταφορά των δεδομένων σε άλλο φορέα
  • να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους
  • να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους
  • να τηρούν σε αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση
  • να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.

Για να ικανοποιήσουν όλα τα ανωτέρω οι επιχειρήσεις οφείλουν:

  • να λαμβάνουν τα απαιτούμενα τεχνικά και οργανωτικά μέτρα που περιλαμβάνονται σε διεθνή πρότυπα, σε κώδικες δεοντολογίας και σε συστάσεις αρμοδίων κοινοτικών και εθνικών οργάνων
  • να δημιουργήσουν και να επικαιροποιούν το μητρώο επεξεργασίας, όπου θα απεικονίζουν τη ροή, τους αποδέκτες και το είδος των προσωπικών δεδομένων που διαχειρίζονται (Data Flow – Data Mapping)
  • να διενεργούν μελέτη εκτίμησης των επιπτώσεων (Privacy Impact Assessment), στην οποία θα αξιολογούν τους κινδύνους για τα προσωπικά δεδομένα που διαχειρίζονται και θα οδηγούνται στη λήψη των απαραίτητων μέτρων περιορισμού των κινδύνων
  • να θεσπίσουν πολιτικές και διαδικασίες προστασίας και ασφάλειας των προσωπικών δεδομένων
  • να ορίσουν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer) εφόσον είναι απαραίτητο
  • να θεσπίσουν ή/και να συμμορφώνονται με κώδικες δεοντολογίας ή να διαθέτουν πιστοποιήσεις που αποδεικνύουν τη συμμόρφωσή τους με τον Κανονισμό.

Ποινές

Σε περίπτωση παράβασης προβλέπονται σημαντικά πρόστιμα, που ανάλογα με το είδος και το μέγεθός της, φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης.

Σημαντικότερες δυσκολίες

  1. Η ακριβής γνώση για το ποια προσωπικά δεδομένα συλλέγουν και επεξεργάζονται, για ποιο λόγο τα επεξεργάζονται, σε κάθε φάση της λειτουργίας τους, ποιοι είναι οι εμπλεκόμενοι και αν πρέπει να εμπλέκονται και τέλος με ποιο τρόπο γίνεται η επεξεργασία
  2. Ο καθορισμός και διαχωρισμός των επιχειρησιακών αναγκών, ώστε να διασφαλίζονται όλες οι απαιτούμενες συγκαταθέσεις του υποκειμένου και να μη γίνεται πλεονάζουσα επεξεργασία
  3. Ο συστηματικός έλεγχος για την συμμόρφωση με τις απαιτήσεις του GDPR
  4. Η διενέργεια της αξιολόγησης της επίπτωσης (privacy impact assessment), της εξεύρεσης των κινδύνων και των απειλών που ενδέχεται να οδηγήσουν σε παραβίαση των προσωπικών δεδομένων,
  5. Η δημιουργία ενός ρεαλιστικού πλάνου και προϋπολογισμού για τη συμμόρφωση με τον GDPR
  6. Η λήψη αποτελεσματικών και cost / benefit μέτρων για τον περιορισμό του κινδύνου παραβιάσεων του GDPR, χωρίς να θίγονται οι επιχειρησιακές προτεραιότητες.

Η πρότασή μας

Η εταιρεία μας έχει αναπτύξει συγκεκριμένη μεθοδολογία ανάπτυξης μηχανισμού για την κάλυψη των απαιτήσεων του General Data Protection Regulation (GDPR), ο οποίος περιλαμβάνει μεταξύ άλλων την Δημιουργία Αρχείου Δραστηριοτήτων, την Χαρτογράφηση των Δεδομένων και την Ανάπτυξη Διαδικασιών και Πολιτικών Ασφαλείας με την μέθοδο Discover – Manage – Protect – Report.

Η εταιρεία μας προτείνει την Υλοποίηση του μηχανισμού μέσω Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (Information Security Management System – ISMS) σύμφωνα με το πρότυπο ISO/IEN 27001:2013. Η εφαρμογή ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών, βοηθά τον Οργανισμό να επιτύχει και να διατηρήσει την Ασφάλεια των Πληροφοριακών Συστημάτων της καθώς επιτρέπει τον εντοπισμό, την ανάλυση και τον έλεγχο των κινδύνων. Ταυτόχρονα θα βελτιώσει την παραγωγικότητα της εταιρείας, θα την προστατεύσει από κινδύνους και απειλές που μπορούν να δυσχεράνουν ή να σταματήσουν τη λειτουργία της, θα της επιτρέψει να αξιοποιήσει πλήρως τις δυνατότητες των πληροφοριών της, θα προστατεύσει τα δεδομένα προσωπικού χαρακτήρα και θα αυξήσει την εμπιστοσύνη από τα ενδιαφερόμενα μέρη.