Διάβασε

Συμμόρφωση με το νέο Γενικό Κανονισμό Προστασίας Δεδομένων σε 4 βασικά βήματα

Εν αναμονή της επικείμενης κατάθεσης του νομοσχεδίου στη Βουλή για την κωδικοποίηση των διατάξεων για τα προσωπικά δεδομένα και την ενσωμάτωση της Οδηγίας 2016/ 680 για την προστασία των δεδομένων από τις διωκτικές και προανακριτικές αρχές και τις εισαγγελίες, οι εταιρείες που δραστηριοποιούνται στην Ελλάδα καλούνται να συμμορφωθούν από τις 25 Μαΐου 2018 με το νέο Γενικό Κανονισμό Προστασίας Δεδομένων 2016/ 679 (ΓΚΠΔ - GDPR - General Data Protection Regulation), ο οποίος επιβάλλει αυστηρούς κανόνες στην επεξεργασία προσωπικών δεδομένων των κατοίκων της Ε.Ε. 

Ο ΓΚΠΔ εισάγει νέα εργαλεία και διαδικασίες με στόχο την εξασφάλιση ευρύτερης και αποτελεσματικότερης προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως ενδεικτικά μέσω της τήρησης Αρχείου Δραστηριοτήτων της επεξεργασίας και διενέργειας Εκτίμησης Αντικτύπου και –κυρίως – του ορισμού Υπευθύνου Προστασίας Δεδομένων (DPO).

Τυχόν παραβίαση του νέου Κανονισμού επισύρει διοικητικά πρόστιμα από την αρμόδια Αρχή Προστασίας Προσωπικών Δεδομένων, τα οποία μπορεί να φτάσουν έως και τα 20 εκατ. ευρώ ή έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους της επιχείρησης, ανάλογα με το ποιο ποσό είναι υψηλότερο.

Την ίδια ώρα, πρόσφατες έρευνες στην Ελλάδα αποκαλύπτουν ότι 4 στις 6 επιχειρήσεις δε γνωρίζουν ούτε ότι ο Κανονισμός ήδη επηρεάζει σημαντικά τις υπάρχουσες δομές τους, ούτε με ποιο τρόπο θα πρέπει να δρομολογήσουν την άμεση συμμόρφωσή τους.

Τι πρέπει να κάνει μια επιχείρηση

Σε αυτό το πλαίσιο, οι ειδικοί σύμβουλοι του AS Network δημιούργησαν έναν οδικό χάρτη με τα βασικά βήματα που πρέπει να ακολουθήσει κάθε εταιρεία, που δραστηριοποιείται στην Ελλάδα, προκειμένου να συμμορφωθεί με το ΓΚΠΔ:

Βήμα 1

Χαρτογράφηση ροών προσωπικών δεδομένων (data flow mapping) και διερεύνηση των παρακάτω ζητημάτων:

  • Ποια είναι τα προσωπικά δεδομένα, πώς αποκτήθηκαν, για ποιο σκοπό, σε ποιες κατηγορίες ανήκουν (απλά, ευαίσθητα, δημόσια);
  • Ποια είναι τα υποκείμενα των προσωπικών δεδομένων;
  • Πού φυλάσσονται τα προσωπικά δεδομένα (ηλεκτρονικό/ φυσικό αρχείο);
  • Ποιος έχει πρόσβαση σε αυτά και σε ποιους θα κοινοποιηθούν/ διαβιβαστούν;
  • Υπάρχει συγκατάθεση του υποκειμένου για την επεξεργασία;
  • Για πόσο χρόνο διατηρούνται τα προσωπικά δεδομένα;
  • Υπάρχει διαδικασία καταστροφής;
  • Ποια τεχνικά και οργανωτικά μέτρα έχουν ληφθεί για την προστασία των δεδομένων;


Βήμα 2

Εντοπισμός κενών/ προβλημάτων, ανάλυση των ελλείψεων (Gap analysis)

Διενέργεια εκτίμησης αντικτύπου πριν την επεξεργασία δεδομένων. Αν από την εκτίμηση προκύπτει υψηλός κίνδυνος, ο υπεύθυνος επεξεργασίας οφείλει να ζητήσει γνωμοδότηση της αρχής προστασίας δεδομένων προσωπικού χαρακτήρα.

Βήμα 3

Υιοθέτηση τεχνικών/ οργανωτικών μέτρων για την ασφάλεια των δεδομένων

Βήμα 4

Διαρκής συμμόρφωση με ΓΚΠΔ και απόδειξη - λογοδοσία:

  • Διορισμός υπεύθυνου προστασίας δεδομένων και υποστήριξή του από ομάδα ατόμων και τους απαραίτητους πόρους για την άσκηση των καθηκόντων του.
  • Διατήρηση αρχείου για κάθε μορφή επεξεργασίας δεδομένων που λαμβάνει χώρα.
  • Καταγραφή και εφαρμογή των πολιτικών προστασίας δεδομένων.
  • Υιοθέτηση πρακτικών για την αντιμετώπιση περιπτώσεων παραβίασης προσωπικών δεδομένων - έλεγχος αποτελεσματικότητας.
  • Ειδικές ρήτρες περί προσωπικών δεδομένων στις συμβάσεις με προσωπικό, πελάτες και προμηθευτές.
  • Δικαιώματα των υποκείμενων περί πρόσβασης, διόρθωσης, εναντίωσης, περιορισμού επεξεργασίας, φορητότητας δεδομένων κ.ά.
  • Εκπαίδευση – ευαισθητοποίηση του προσωπικού.


Τζ. Πάνου

Χρησιμοποιούμε cookies, τα οποία προσφέρουν μια σειρά από λειτουργίες, οι οποίες ενισχύουν την εμπειρία σας στην ιστοσελίδα μας. Χρησιμοποιώντας τη, συμφωνείτε με τη χρήση των cookies, σύμφωνα με την πολιτική μας για τα cookies.

Αποδοχή