GDPR Compliance

Η εταιρεία μας παρέχει υπηρεσίες  :

  • GDPR Consulting / Compliance (Συμμόρφωση του οργανισμού με το GDPR 2016/679, Data Protection Impact Assessments)
  • Designing and Implementing Effective Privacy and Security Plans
  • DPO (Data Protection Officer) services
  • GDPR Auditing services

 

H μεθοδολογία και η προσέγγιση που ακολουθούμε κατά την συμμόρφωση (GDPR Compliance) του οργανισμού  περιλαμβάνει τα παρακάτω στάδια (βήματα)  :

  1. Eυαισθητοποίηση και δέσμευση της ανώτατης διοίκησης (εξασφαλίζοντας και τον σχετικό προυπολογισμό)  για την συμμόρφωση του οργανισμού (GDPR Compliance)
  2. Ενημέρωση του σύνολου του προσωπικού για τον νέο κανονισμό (GDPR Awareness )
  3. Σύσταση Ομάδας Εργασίας (GDPR Team)
  4. Ορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer), εφ’όσον απαιτείται
  5. Χαρτογράφηση της ροής των δεδομένων (Data mapping, Data Flow)
  6. Εντοπισμός και ανάλυση κινδύνων και ελλείψεων (Risk Assessment, Gap Analysis)
  7. Εκπόνηση Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (Data Protection Impact Assessment), εφ’όσον απαιτείται
  8. Αναθεώρηση πολιτικών και διαδικασιών (Security Policy, Process Re-Engineering)
  9. Αξιοποίηση της τεχνολογίας και των εργαλείων πληροφορικής (Firewalls/AVs, CRMs/Work Flow Applications, Encryption, Cloud…)
  10. Ανάπτυξη διαδικασιών γνωστοποίησης εποπτικής Αρχής και ανακοίνωσης στα υποκείμενα των δεδομένων (Notification Procedures)
  11. Δοκιμαστικοί έλεγχοι συστημάτων και διαδικασιών (GDPR Audit)
  12. Διαρκής παρακολούθηση και επικαιροποίηση των διαδικασιών και των συστημάτων (Monitoring, Review)
  13. Εκπαίδευση προσωπικού 

 

Στα πλαίσια , ευαισθητοποίσης των επιχειρήσεων και των επαγγελματιών , σχετικά με τις απαιτήσεις και τα νέα δεδομένα που δημιουργεί ο Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR 2016/679) , η εταιρεία μας διενεργεί (Τρίτη & Πέμπτη 18:00-21:00) σεμινάρια (χωρίς χρέωση) με την παρακάτω θεματολογία :

  • Ενημέρωση για τον Νεό Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR 2016/679)
  • Τα βήματα που πρέπει να ακολουθήσει ένας οργανισμός προς την συμμόρφωση με το GDPR (GDPR Compliance)
  • GDPR Compliance Case Studies

Επικοινωνήστε μαζί μας για να μάθετε περισσότερα σχετικά με την προσέγγισή μας και να λάβετε συμβουλές από τους ειδικούς του GDPR

Σημείωση
Για την συμμετοχή σας στα απογευματινά σεμινάρια της Winsolv για το GDPR είναι απαραίτητη η εκ των προτέρων επικοινωνία μαζί μας για την κράτηση θέσης

 

Ακολουθεί συνοπτική παρουσίαση του Ευρωπαικού Κανονισμού Προστασίας Προσωπίκών Δεδομένων καθώς και συχνές ερωτο-απαντήσεις (FAQs)

Συνοπτική Παρουσίαση του Ευρωπαικού Κανονισμού
Προστασίας Προσωπικών Δεδομένων GDPR 2016/679 – FAQs

Ποια η διαφορά του νέου Ευρωπαϊκού Κανονισμού 2016/679 από την ισχύουσα μέχρι σήμερα Ευρωπαϊκή Οδηγία (95/46/ΕΚ);

 

Πότε τίθεται σε ισχύ o Κανονισμός 2016/679;

Ο GDPR εγκρίθηκε και υιοθετήθηκε από την Ευρωπαϊκή Ένωση τον Απρίλιο του 2016. Η περίοδος μετάβασης έχει ορισθεί σε 2 έτη, πράγμα που σημαίνει ότι ο Κανονισμός θα τεθεί σε πλήρη ισχύ τον Μάιο του 2018.

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation 2016/679) δεν είναι ένας εντελώς καινούργιος νόμος. Αποτελεί μια ισχυρότερη και εκσυγχρονισμένη εκδοχή της Οδηγίας του 1995 (Data Protection Directive 95/46/EC), με τη διαφορά ότι τώρα ο Κανονισμός έχει καθολική ισχύ στα κράτη μέλη, ορίζει αυστηρότερες απαιτήσεις και προβλέπει υψηλά πρόστιμα για τους παραβάτες.

 

Ποια η διαφορά του νέου Ευρωπαϊκού Κανονισμού 2016/679 από την ισχύουσα μέχρι σήμερα Ευρωπαϊκή Οδηγία (95/46/ΕΚ);

Κατ’ αρχήν, ένας Κανονισμός έχει δεσμευτική ισχύ για όλα τα κράτη μέλη, ενώ μια Οδηγία είναι απλώς μια οδηγία, δηλαδή ένας «στόχος σύγκλισης» τον οποίο τα κράτη μέλη καλούνται να επιτύχουν, το καθένα όμως με την δική του, επιμέρους νομοθεσία.

Είναι φανερό ότι μέχρι σήμερα, η Οδηγία άφηνε περιθώρια για επιμέρους ερμηνείες. Τώρα όμως, ο Γενικός Κανονισμός έχει καθολική ισχύ, ακόμη και στα πρόστιμα. Καταργεί την προηγούμενη και μέχρι τώρα ισχύουσα Οδηγία 95/46/ΕΚ (Άρθρο 94).

Συνοπτικά, ο νέος Κανονισμός διαφέρει στα εξής βασικά σημεία από την Οδηγία:

  •  Έχει καθολική ισχύ σε όλα τα κράτη μέλη, χωρίς να απαιτείται έγκριση από τα κοινοβούλιά τους
  •  Είναι πιο αυστηρός και πιο σαφής με στόχο την αποτελεσματική προστασία των προσωπικών δεδομένων. Ενδεικτικά, εισάγει και ρυθμίζει με πολύ αυστηρό τρόπο την συγκατάθεση του ατόμου.
  •  Προβλέπει υψηλά πρόστιμα, που θα επιβάλλονται από 25.05.2018 στους παραβάτες.
  •  Εισάγει νέα δικαιώματα για τα φυσικά πρόσωπα (Υποκείμενα των δεδομένων):
GDPR - Δικαίωμα διόρθωσης (Άρθρο 16) Δικαίωμα  διόρθωσης (Άρθρο 16),
 GDPR - Δικαίωμα στη Λήθη (Άρθρο 17) Δικαίωμα  στην Λήθη (Άρθρο 17),
 GDPR - Δικαίωμα περιορισμού της επεξεργασίας (Άρθρο 18) Δικαίωμα περιορισμού της επεξεργασίας (Άρθρο 18),
 GDPR - Υποχρέωση γνωστοποίησης διόρθωσης ή τη διαγραφή δεδομένων ή τον πειρορισμό της επεξεργασίας (Άρθρο 19) Υποχρέωση γνωστοποίησης διόρθωσης ή τη διαγραφή δεδομένων ή τον πειρορισμό της επεξεργασίας (Άρθρο 19),
 GDPR - Δικαίωμα Φορητότητας (Άρθρο 20) Δικαίωμα Φορητότητας (Άρθρο 20).

 

Ποιον προστατεύει;

Ο Κανονισμός 2016/679 έχει σκοπό να προστατεύσει τα φυσικά πρόσωπα έναντι της επεξεργασίας των προσωπικών τους δεδομένων και την ελεύθερη κυκλοφορία των δεδομένων αυτών και να καταργήσει την οδηγία 95/46/ΕΚ.

Ρυθμίζει επίσης θέματα μεταβίβασης δεδομένων εκτός Ευρωπαϊκών συνόρων. Προστατεύει τα εν ζωή φυσικά πρόσωπα που βρίσκονται στην Ένωση, ανεξαρτήτως τόπου διαμονής και ιθαγένειας.

 

Ποιον δεν καλύπτει:
  • Τα νομικά πρόσωπα και ιδίως επιχειρήσεις συσταθείσες ως νομικά πρόσωπα, περιλαμβανομένων της επωνυμίας, του τύπου και των στοιχείων επικοινωνίας του νομικού προσώπου.
  • Την επεξεργασία προσωπικών δεδομένων η οποία διενεργείται από φυσικά πρόσωπα και αποκλειστικά στα πλαίσια προσωπικής ή οικιακής δραστηριότητας και χωρίς σύνδεση με κάποια επαγγελματική ή εμπορική δραστηριότητα.
  • Τους θανόντες.

 

 

Ποιον αφορά;

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (EU GDPR) αφορά κάθε οργανισμό που διατηρεί ή επεξεργάζεται προσωπικά δεδομένα Ευρωπαίων πολιτών, ανεξαρτήτως εθνικότητας ή τόπου κατοικίας τους.

Το GDPR δεν ισχύει μόνο για οργανισμούς εγκατεστημένους εντός της ΕΕ, αλλά θα ισχύει και για οργανισμούς που βρίσκονται εκτός της ΕΕ εάν προσφέρουν αγαθά ή υπηρεσίες ή καταγράφουν τη συμπεριφορά των υποκειμένων των δεδομένων της ΕΕ.

Αφορά εξίσου όλους τους οργανισμούς, από τις πιο μικρές εταιρίες έως τους πιο μεγάλους ομίλους, δημοσίου και ιδιωτικού δικαίου. Αφορά τόσο τους υπευθύνους επεξεργασίας(Data Controllers), όσο και τους εκτελούντες (Data Processors) την επεξεργασία δεδομένων.

 

 

Τι ορίζεται ως προσωπικό δεδομένο;

Οποιοδήποτε στοιχείο πληροφορίας συνδέεται με ένα άτομο (Το Υποκείμενο των δεδομένων) και μπορεί να χρησιμοποιηθεί άμεσα ή έμμεσα στην ταυτοποίησή του, αποτελεί σύμφωνα με το νόμο προσωπικό δεδομένο .

Αναφέρουμε ενδιεκτικά παραδείγματα προσωπικών δεδομένων :

 Στοιχεία Ταυτότητας Φυσικού Προσώπου:  Χρηματο-οικονομικά Στοιχεία :
 Ονομα  Στοιχεία τραπεζών / αριθμοί λογαριασμού
 Διεύθυνση σπιτιού, εργασίας  Αριθμός φορολογικού μητρώου
 Αριθμός τηλεφώνου,κινητού  Αριθμοί πιστωτικών / χρεωστικών καρτών
 Διεύθυνση ηλεκτρονικού ταχυδρομείου  Ηλεκτρονικά Μέσα :
 Αριθμός διαβατηρίου, ταυτότητας  Διεύθυνση IP (περιοχή της ΕΕ)
 Αριθμός κοινωνικής ασφάλισης  Θέση / δεδομένα GPS

 

Τι σημαίνει “επεξεργασία” προσωπικών δεδομένων;

Επεξεργασία σημαίνει κάθε εργασία, τόσο με αυτοματοποιημένα ή ψηφιακά μέσα, όσο και με χειροκίνητα ή φυσικά μέσα που αφορά σε προσωπικά δεδομένα, όπως:

 Συλλογή  Ολική ή μερική διόρθωση  Μεταβίβαση
 Καταγραφή  Ενημέρωση  Διάδοση
 Οργάνωση  Τροποποίηση  Συσχετισμός
 Διατήρηση  Εξαγωγή  Διασύνδεση
 Αποθήκευση  Χρήση  Δέσμευση
Διαγραφή Καταστροφή

 

Υπεύθυνος Επεξεργασίας (Data Controller)

Ο Υπεύθυνος Επεξεργασίας (Data Controller) είναι η οντότητα (το φυσικό ή νομικό πρόσωπο δημοσίου ή ιδιωτικού δικαίου) που καθορίζει το σκοπό, τις προϋποθέσεις και τον τρόπο επεξεργασίας προσωπικών δεδομένων.

Για παράδειγμα, Υπεύθυνος Επεξεργασίας είναι κάθε νομικό πρόσωπο που τηρεί προσωπικά δεδομένα τουλάχιστον ενός φυσικού προσώπου:

  • Των Υπαλλήλων ή των υποψηφίων Υπαλλήλων του,
  • Των Μελών,
  • Πελατών,
  • Προμηθευτών,
  • Συνεργατών και Συμβούλων του

 

 

Εκτελών την Επεξεργασία (Data Processor)

Ο Εκτελών την Επεξεργασία (Data Processor) είναι αντίστοιχα η οντότητα (το φυσικό ή νομικό πρόσωπο δημοσίου ή ιδιωτικού δικαίου) που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Υπευθύνου Επεξεργασίας.

Παράδειγματα «Εκτελών την Επεξεργασία» (Data Processor) :

  • Ανάθεση της μισθοδοσίας υπαλλήλων σε άλλη οντότητα
    (π.χ. λογιστικό γραφείο, εταιρεία παροχής υπηρεσιών μισθοδοσίας).
  • Ανάθεση σε εταιρεία marketing της ενημέρωσης του πελατολογίου μας μέσω αποστολής ενημερωτικού υλικού με e-mail.

 

 

Ποια δικαιώματα πρέπει να επιτρέπουν οι εταιρείες βάσει του GDPR ;

O GDPR παρέχει στους κατοίκους της ΕΕ τον έλεγχο των προσωπικών τους δεδομένων μέσω ενός συνόλου «δικαιωμάτων υποκειμένων των δεδομένων».
Αυτά περιλαμβάνουν τα παρακάτω:

Ποια δικαιώματα πρέπει να επιτρέπουν οι εταιρείες βάσει του GDPR
•Πρόσβαση σε πληροφορίες σχετικά με τον τρόπο χρήσης των προσωπικών δεδομένων των υποκειμένων
•Πρόσβαση σε προσωπικά δεδομένα του υποκειμένου που διατηρεί ένας οργανισμός
•Δικαίωμα διαγραφής ή διόρθωσης εσφαλμένων προσωπικών δεδομένων
•Δικαίωμα διορθωσής και διαγραφής προσωπικών δεδομένων σε ορισμένες περιπτώσεις (“το δικαίωμα στη λήθη“)
•Περιορισμός ή αντίθεση στην αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων
•Λήψη αντίγραφου προσωπικών δεδομένων

 

 

Ποιά είναι τα ελάχιστα Απαιτούμενα Συγκατάθεσης Χρήσης / Επεξεργασίας Προσωπικών Δεδομένων στο GDPR

Για να υπάρχει ορθή συναίνεση χρήσης / επεξεργασίας δεδομένων, είναι απαραίτητο να ενημερωθεί το υποκείμενο των δεδομένων για ορισμένα στοιχεία που είναι σημαντικό ώστε να κάνει μια σωστή επιλογή.

GDPR Consent - τα ελάχιστα Απαιτούμενα Συγκατάθεσης Χρήσης / Επεξεργασίας Προσωπικών Δεδομένων
  • Ταυτότητα του Υπεύθυνου επεξεργασίας (Controller),
  • Σκοπός καθεμίας από τις εργασίες επεξεργασίας για τις οποίες ζητείται συγκατάθεση
  • Είδος δεδομένων που θα συλλεχθούν και θα χρησιμοποιηθούν,
  • Ύπαρξη του δικαιώματος υπαναχώρησης,
  • Πληροφορίες σχετικά με τη χρήση των δεδομένων για αποφάσεις που βασίζονται αποκλειστικά σε αυτοματοποιημένες διαδικασίες συμπεριλαμβανομένου του profiling
  • Εάν η συγκατάθεση αφορά μεταφορές δεδομένων καθώς και ενημέρωση σχετικά με τους πιθανούς κινδύνους μεταφοράς δεδομένων σε τρίτους

 

 

Ποια είναι τα πρόστιμα; 

Τα πρόστιμα που ορίζει ο Γενικός Κανονισμός είναι υψηλά: 4% του παγκόσμιου ετήσιου κύκλου εργασιών του οργανισμού ή 20.000.000 € ,όποιο είναι υψηλότερο (Άρθρο 83).

GDPR - Penalties - Ποια είναι τα πρόστιμα

Το πρόστιμο αυτό δύναται να επιβληθεί σε σοβαρές παραβιάσεις του Κανονισμού, όπως:

  • παραβιάσεις που αφορούν την συγκατάθεση του ατόμου,
  • τις βασικές αρχές προστασίας δεδομένων,
  • τη μεταφορά δεδομένων Ευρωπαίων πολιτών εκτός Ευρώπης,
  • τη μη συμμόρφωση με τις υποδείξεις των Εποπτικών Αρχών.

Υπάρχουν και περιπτώσεις όπου προβλέπεται πρόστιμο 2% του παγκόσμιου ετήσιου κύκλου εργασιών, ή €10.000.000 ,όποιο είναι υψηλότερο (Άρθρο 83) :

GDPR - Penalties - Ποια είναι τα πρόστιμα

Το πρόστιμο αυτό δύναται να επιβληθεί σε παραβιάσεις του Κανονισμού, όπως:

  • μη τήρηση οργανωμένων αρχείων,
  • μη γνωστοποίηση για παραβίαση ασφαλείας,
  • μη διορισμός DPO στις περιπτώσεις που επιβάλλεται,
  • παράλειψη διενέργειας Εκτίμησης Αντικτύπου,
  • ατελής εφαρμογή ή απουσία τεχνικών και οργανωτικών μέτρων για την εξασφάλιση της προστασίας δεδομένων από το σχεδιασμό και εξ’ ορισμού – Data Privacy by Design and by Default

 

Ποιες είναι οι κυριότερες απαιτήσεις;
GDPR - Training Εκπαίδευση προσωπικού
GDPR - Process Limitation Περιορισμός του σκοπού
GDPR - Minimization Ελαχιστοποίηση των δεδομένων
GDPR - Time Limitation Χρονική διάρκεια
GDPR - Consent Ρητή συγκατάθεση
GDPR - Policy Σαφής Πολιτική Απορρήτου
GDPR - Rights Σεβασμός στα Ατομικά δικαιώματα
GDPR - Responsibility Ευθύνη και Λογοδοσία
GDPR - By Default - By Design Προστασία ήδη από τον αρχικό σχεδιασμό και εξ’ ορισμού
GDPR - Secure Processing Ασφάλεια Επεξεργασίας
GDPR - Notify Γνωστοποίηση παραβίασης εντός 72 ωρών
GDPR - DPIA Εκτίμηση αντικτύπου
GDPR - Data Protection Office - DPO Υπεύθυνος Προστασίας Δεδομένων
 (Data Protection Officer – “DPO”)

 

 

Εκπαίδευση προσωπικού

Για να υπάρχει ορθή συναίνεση χρήσης / επεξεργασίας δεδομένων, είναι απαραίτητο να ενημερωθεί το υποκείμενο των δεδομένων για ορισμένα στοιχεία που είναι σημαντικό ώστε να κάνει μια σωστή επιλογή.

GDPR - Training Οι οργανισμοί οφείλουν να εκπαιδεύσουν το προσωπικό τους στο πως να εφαρμόζει καθημερινά την πολιτική προστασίας προσωπικών δεδομένων.

 

Περιορισμός του σκοπού
GDPR - Process Limitation Kάθε οργανισμός οφείλει να προσδιορίζει ρητά τους νόμιμους σκοπούς, για τους οποίους συλλέγει και επεξεργάζεται προσωπικά δεδομένα.
Οφείλει να μην διενεργεί περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς  (Άρθρο 5).

Ελαχιστοποίηση των δεδομένων
GDPR - Minimization Tα δεδομένα που συλλέγονται οφείλουν να είναι κατάλληλα, συναφή και απολύτως αναγκαία για τους συγκεκριμένους σκοπούς που ορίστηκαν
(Άρθρο 5).

 

Χρονική διάρκεια
GDPR - Time Limitation Kάθε οργανισμός οφείλει να τηρεί δεδομένα μόνο για όσο χρονικό διάστημα αυτό απαιτείται, σύμφωνα με το νόμιμο σκοπό (Άρθρο 5).

 

Ρητή συγκατάθεση
GDPR Consent - τα ελάχιστα Απαιτούμενα Συγκατάθεσης Χρήσης / Επεξεργασίας Προσωπικών Δεδομένων Aπαιτείται ρητή, σαφής και συγκεκριμένη συγκατάθεση του ατόμου για την συλλογή, επεξεργασία και τήρηση των προσωπικών του δεδομένων.
Για προσωπικά δεδομένα ανηλίκων κάτω των 16 ετών, απαιτείται σαφής συγκατάθεση γονέα ή κηδεμόνα.
Ο οργανισμός οφείλει να τηρεί αρχείο και να επιτρέπει στο άτομο να διαφοροποιήσει τη συγκατάθεση που έδωσε για μια συγκεκριμένη χρήση, όσες φορές αλλάξει γνώμη. (Άρθρα 6-7-8)

 

Σαφής Πολιτική Απορρήτου
GDPR - Privacy Policy Οι οργανισμοί απαιτούνται να δηλώνουν με διαφάνεια, σαφή γλώσσα και κατανοητό τρόπο την πολιτική απορρήτου που εφαρμόζουν.
Δηλαδή, να δηλώνουν αναλυτικά ποια δεδομένα συλλέγουν, για ποιο νόμιμο σκοπό, πώς τα διαχειρίζονται, για πόσο χρονικό διάστημα τα διατηρούν, με ποιες μεθόδους ασφαλείας τα προστατεύουν κλπ (Άρθρο 12).

 

Σεβασμός στα Ατομικά δικαιώματα
GDPR - Privacy Rights Όλα τα άτομα έχουν δικαίωμα να επεμβαίνουν στα δεδομένα τους προκειμένου να τα διορθώσουν (Δικαίωμα Διόρθωσης), να ζητήσουν την παραλαβή των δεδομένων τους, σε δομημένο, συμβατό και διαλειτουργικό μορφότυπο, αναγνώσιμο από μηχανήματα, προκειμένου να τα διαβιβάσουν σε άλλον υπεύθυνο επεξεργασίας (Δικαίωμα στη Φορητότητα), ακόμη και τη διαγραφή (Δικαίωμα στη Λήθη) των προσωπικών τους δεδομένων υπό προϋποθέσεις. (Άρθρα 13 έως 23)

 

Ευθύνη και Λογοδοσία
GDPR - Responsibility Οι οργανισμοί είναι διαρκώς υπόλογοι στα άτομα και στις Αρχές.
Οφείλουν, όχι απλώς να εφαρμόζουν το νέο Κανονισμό, αλλά και να είναι κάθε στιγμή σε θέση να αποδείξουν ότι συμμορφώνονται με όλες τις απαιτήσεις του.
(Άρθρο 24)

 

Προστασία ήδη από τον αρχικό σχεδιασμό και εξ’ ορισμού
GDPR - By Default - By Design Ο οργανισμός οφείλει να εφαρμόζει αποτελεσματικά, τα κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, η ελαχιστοποίηση των δεδομένων και η ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία τους, κατά τρόπο ώστε να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων. (Άρθρο 25)

 

Ασφάλεια Επεξεργασίας
GDPR - Secure Processing Ο οργανισμός που τηρεί και διαχειρίζεται προσωπικά δεδομένα οφείλει να εφαρμόζει τα απαραίτητα συστήματα, πολιτικές και διαδικασίες που εξασφαλίζουν τα απαιτούμενα επίπεδα προστασίας των δεδομένων αυτών, συμπεριλαμβανομένης της προστασίας από την παράνομη πρόσβαση κι επεξεργασία, τόσο από το προσωπικό του οργανισμού, όσο και από τρίτους, την κατά λάθος απώλεια, καταστροφή ή αλλοίωσή τους.
Οφείλει επίσης να διασφαλίζει ότι τα δεδομένα που τηρεί είναι ορθά και επίκαιρα. (Άρθρο 32)

 

Γνωστοποίηση παραβίασης εντός 72 ωρών
GDPR - Notify Σε περίπτωση παραβίασης ασφαλείας που αφορά προσωπικά δεδομένα, οι οργανισμοί οφείλουν να ενημερώνουν εντός 72 ωρών (από τη στιγμή που λαμβάνουν γνώση του γεγονότος) τις αρμόδιες Αρχές.
Υπό προϋποθέσεις, οφείλουν να ενημερώνουν και τα ίδια τα άτομα (Υποκείμενα) των οποίων τα προσωπικά δεδομένα έχουν τεθεί σε κίνδυνο.
Οφείλουν επίσης να τηρούν αρχείο με όλα τα περιστατικά παραβίασης ασφαλείας προσωπικών δεδομένων. (Άρθρα 33, 34 ).

 

Εκτίμηση αντικτύπου
GDPR - DPIA Οι οργανισμοί οφείλουν να διεξάγουν μελέτες εκτίμησης αντικτύπου (Data Protection Impact Assessment), με σκοπό την εκτίμηση των επιπτώσεων της επεξεργασίας προσωπικών δεδομένων, τον εντοπισμό των κινδύνων ασφάλειας και τον σχεδιασμό της αντιμετώπισης αυτών. (Άρθρο 35-36)

 

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer-“DPO”)
GDPR - Data Protection Office - DPO Οι οργανισμοί οφείλουν υπό προϋποθέσεις να ορίσουν έναν Υπεύθυνο Προστασίας Δεδομένων. Ο ρόλος του είναι να παρακολουθεί τη διαρκή και επαρκή συμμόρφωση του οργανισμού με τον νόμο, ενώ παράλληλα αποτελεί τον σύνδεσμο του οργανισμού με την αρμόδια εποπτική Αρχή.

 

 

Ποιοι υποχρεούνται να διορίσουν DPO;
  1. Δημόσιοι οργανισμοί και ΔΕΚΟ, εκτός δικαστηρίων που ενεργούν στα πλαίσια της δικαιοδοσίας τους.
  2. Κάθε οργανισμός του οποίου η βασική δραστηριότητα συνιστά:
    • τακτική και συστηματική παρακολούθηση φυσικών προσώπων (Υποκειμένων των δεδομένων) σε μεγάλη κλίμακα, ή
    • μεγάλης κλίμακας επεξεργασία Ειδικών κατηγοριών προσωπικών δεδομένων: φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή και τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή
    • μεγάλης κλίμακας επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα

Ο DPO δύναται να είναι μέλος του προσωπικού υπό προϋποθέσεις, ή εξωτερικός Συνεργάτης, με δελτίο παροχής υπηρεσιών (Άρθρα 37-38-39).

 

 

Παραδείγματα οργανισμών που έχουν υποχρέωση διορισμού DPO:
GDPR - Telecommunication Companies - DPO Eταιρίες Τηλεπικοινωνιών
GDPR - Internet Companies - DPO Πάροχοι ηλεκτρονικού ταχυδρομείου
GDPR - Payroll Companies - DPO Εταιρίες Μισθοδοσίας
GDPR - Insurance Companies - DPO Ασφαλιστικές
GDPR - Banks - DPO Τράπεζες
GDPR - Health Services - DPO Εταιρείες Υπηρεσιών Υγείας

 

 

Μπορεί μια εταιρία να ορίσει ως DPO έναν από τους υπαλλήλους της;

Ναι, αλλά υπό την προϋπόθεση ότι ΔΕΝ υπάρχει σύγκρουση συμφερόντων.
Αν ο ρόλος ενός υπαλλήλου στην εταιρία περιλαμβάνει και το να ορίζει το σκοπό ή την μέθοδο επεξεργασίας προσωπικών δεδομένων, τότε αυτός ο υπάλληλος δεν πρέπει να διορισθεί DPO της εταιρίας.
Συνήθως, σύγκρουση συμφερόντων παρατηρείται στις εξής θέσεις – αλλά όχι μόνο: CEO, COO, Επικεφαλής IT, HR, Οικονομικών, Marketing, κλπ. Αυτά αποτελούν ενδεικτικά μόνο παραδείγματα.
Στην πραγματικότητα, η σύγκρουση συμφερόντων, σε ποιες βαθμίδες και σε ποιες θέσεις υπάρχει, εξαρτάται από την οργανωτική διάρθρωση της εκάστοτε εταιρίας.

 

 

  Παρουσίαση του Ευρωπαικού Κανονισμού Προστασίας Προσωπικών Δεδομένων GDPR 2016/679 – FAQs σε αρχείο Mpeg
 GDPR Presentation Winsolv Παρουσίαση του Ευρωπαικού Κανονισμού Προστασίας Προσωπικών Δεδομένων GDPR 2016/679 – FAQs σε αρχείο PDF