Ασφάλεια Προσωπικών Δεδομένων GDPR

Ασφάλεια Προσωπικών Δεδομένων GDPR

by filiosgab_j647c827

Ο Νέος Ευρωπαϊκός Κανονισμός για την Ασφάλεια Προσωπικών Δεδομένων GDPR 679/2016 ψηφίσθηκε από το Ευρωπαϊκό Κοινοβούλιο στις 16 Απριλίου 2016 και θα εφαρμόζεται ως νομοθέτημα αμέσου εφαρμογής από όλες τις χώρες μέλη της Ευρωπαϊκής Ένωσης.

Ο Κανονισμός ρυθμίζει τα δικαιώματα των φυσικών προσώπων σχετικά με:

  • τα προσωπικά τους δεδομένα,
  • την επεξεργασία των προσωπικών τους δεδομένων,
  • την ελεύθερη και ανεμπόδιστη κυκλοφορία και μεταβίβαση των προσωπικών τους δεδομένων εντός των ορίων της Ευρωπαϊκής Ένωσης,
  • τις διαδικασίες διαβίβασης προσωπικών δεδομένων εκτός Ευρωπαϊκής Ένωσης.

Αντικείμενο του Γενικού Κανονισμού

Αντικείμενο του νέου κανονισμού αποτελεί η διαμόρφωση ενός ενιαίου νομικού πλαισίου για την επεξεργασία προσωπικών δεδομένων (αυτά μπορεί να αποκαλύπτουν την ταυτότητα του ατόμου, το φύλο του, την ηλικία του, τον τόπο διαμονής, την οικογενειακή του κατάσταση, την εργασιακή του σχέση, την ηλεκτρονική του ταυτότητα, πληροφορίες για την υγεία, το εισόδημα, το πολιτιστικό προφίλ αλλά και ακόμη πιο προσωπικές πληροφορίες όπως τις συνήθειές του, και τις προτιμήσεις του) στα κράτη μέλη της Ευρωπαϊκής Ένωσης.

Ο νέος Κανονισμός θέτει μία σειρά περιορισμών και νέων υποχρεώσεων στις επιχειρήσεις σχετικά με:

  • την επεξεργασία των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους, από τη συλλογή έως και την καταστροφή τους,
  • τη δυνατότητα μεταφοράς τους σε άλλες χώρες,
  • την προστασία των δικαιωμάτων των φυσικών προσώπων,
  • την ασφάλεια (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα) των προσωπικών δεδομένων και τις ενέργειες γνωστοποίησης που οφείλει να κάνει η επιχείρηση σε περίπτωση παραβίασης.

Εφαρμογή

Ο Γενικός Κανονισμός GDPR 2016/679 έχει εφαρμογή σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις, κρατικές αρχές, συλλόγους, κλπ.) που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα, είτε έχουν έδρα και δραστηριότητα σε χώρα της Ευρωπαϊκής Ένωσης είτε όχι, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς Ευρωπαίους πολίτες. Ειδικότερα εφαρμόζεται στις περιπτώσεις που εκτελείται μερική ή ολική, αυτοματοποιημένη ή μη αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

Ο νέος γενικός ευρωπαϊκός κανονισμός, επηρεάζει πρακτικά όλες τις επιχειρήσεις και οργανισμούς ανεξάρτητα με τον τομέα που δραστηριοποιούνται, και σε γενικές γραμμές καθιστά την προστασία των προσωπικών δεδομένων δική τους ευθύνη απαιτώντας παράλληλα την πλήρη συμμόρφωση τους έως στις 25 Μαΐου του 2018.

Υποχρεώσεις επιχειρήσεων/οργανισμών

Οι επιχειρήσεις/ οργανισμοί θα πρέπει να αναλύουν και να γνωρίζουν τι είδους δεδομένα συλλέγουν και διαχειρίζονται, πού αποθηκεύονται αυτά τα δεδομένα, καθώς και να έχουν τη συγκατάβαση των χρηστών σχετικά με το αν επιθυμούν τα δεδομένα τους να διαμοιράζονται με τρίτους.

Ειδικότερα θα πρέπει να:

  • να ορίσουν Υπεύθυνο για την Προστασία των Δεδομένων (Data Protection Officer)
  • να εφαρμόσουν τα κατάλληλα μέτρα ασφάλειας και τις αναγκαίες πολιτικές, ώστε να κατοχυρώνεται ο συστηματικός έλεγχος της διαδικασίας επεξεργασίας των προσωπικών δεδομένων από την συλλογή τους ως και την οριστική διαγραφή τους,
  • να προσαρμόσουν ή να αναβαθμίσουν τα υπάρχοντα ηλεκτρονικά συστήματα ή να εγκαταστήσουν νέα και να εκπαιδεύσουν κατάλληλα τους εργαζομένους που χειρίζονται προσωπικά δεδομένα στα εργαλεία αυτά, ώστε να είναι σε θέση να δώσουν εγκαίρως λύσεις σε ποικίλα αιτήματα όπως:

                ανάκληση της συγκατάθεσης
                διαγραφή ή διόρθωση των δεδομένων
                περιορισμό επεξεργασίας των δεδομένων
                μεταφορά των δεδομένων σε τρίτους
                παράδοση των δεδομένων σε ηλεκτρονική μορφή

  • να απεικονίζουν και να αποδεικνύουν το επίπεδο συμμόρφωσης τους με τις απαιτήσεις του Κανονισμού
  • να απεικονίζουν τις επιπτώσεις από την μη ορθή τήρηση των αρχών ασφάλειας και προστασίας προσωπικών δεδομένων
  • να γνωρίζουν τους περιορισμούς που διέπουν την μεταφορά των προσωπικών δεδομένων σε άλλες χώρες
  • να ειδοποιούν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων, σύμφωνα με τις οδηγίες που επιφέρει ο Κανονισμός (ΕΕ) 2016/679
  • να μπορούν να υπολογίζουν τις επενέργειες που ενδέχεται να προκύψουν λόγω παραβίασης της ιδιωτικότητας και να δημιουργήσουν πλάνο αντιμετώπισης περιστατικών παραβίασης των συστημάτων φύλαξης προσωπικών δεδομένων
  • να σχεδιάζουν στο εξής προϊόντα και υπηρεσίες που θα διασφαλίζουν την προστασία των δεδομένων που χρησιμοποιούν σύμφωνα με τον Κανονισμό
  • να αποζημιώνουν εκείνους των οποίων τα δεδομένα απέτυχαν να προστατεύσουν

Υπεύθυνος Προστασίας Δεδομένων DPO (Data Protection Officer)

Ο Υπεύθυνος Προστασίας Δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων.

Ο Υπεύθυνος Προστασίας Δεδομένων μπορεί να είναι μέλος του προσωπικού της επιχείρησης/ οργανισμού ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών. Οι επιχειρήσεις/ οργανισμοί δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή.

Οι επιχειρήσεις/ οργανισμοί διασφαλίζουν ότι ο Υπεύθυνος Προστασίας Δεδομένων ότι συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.

Οι επιχειρήσεις/ οργανισμοί διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον οργανισμό επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο.

Οι πολίτες (υποκείμενα)μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους.

Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους.

Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Πρέπει να διασφαλίζεται ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.

Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.

Διεργασίες Εναρμόνισης με το GDPR

Τα βήματα για την εφαρμογή του Κανονισμού στις επιχειρήσεις/οργανισμούς είναι τα ακόλουθα:

Βήμα 1: Οργάνωση & Εντοπισμός των σημείων που υπάρχουν προσωπικά δεδομένα στον οργανισμό.

Βήμα 2: Gap Analysis ώστε να διευρυνθούν τα σημεία απόκλισης της λειτουργίας της εταιρείας-οργανισμού από τον κανονισμό GDRP.
Μετά από συνεντεύξεις, ερωτηματολόγια και workshops με Υπευθύνους και αρμόδια στελέχη αντλούμε πληροφορίες για:

  • ποια προσωπικά δεδομένα/ποιων προσώπων
  • πώς συλλέγονται
  • για ποιο λόγο-συναινέσεις, πληροφόρηση
  • πού και πώς μεταφέρονται (εντός και εκτός εταιρείας και ΕΕ)
  • πού αποθηκεύονται– λογισμικά και μέσα αποθήκευσης
  • χρόνος διαγραφής
  • έξω-συστημικά αρχεία
  • είδη επεξεργασίας

Βήμα 3: Privacy Impact Assessment –Αξιολόγηση επιπτώσεων σχετικών με την προστασία δεδομένων για τον εντοπισμό των σημαντικότερων κινδύνων.

  • αξιολόγηση κινδύνων ανά κατηγορία προσωπικών δεδομένων
  • ανά έργο/προϊόν
  • ποσοτικοποίηση ή εκτίμηση επίπτωσης και πιθανότητας
  • για κινδύνους ασφάλειας και άλλους (βασικές αρχές προστασίας προσωπικών δεδομένων)
  • με έγκυρη μεθοδολογία
  • τακτική επανάληψη, επικαιροποίηση
  • σχέση με άλλα risk assessments

Βήμα 4: Compliance Action Plan με προτάσεις για την λήψη απαραίτητων μέτρων, υποστήριξη και καθοδήγηση για την υλοποίηση τους.

  • νέοι μηχανισμοί εξασφάλισης δικαιωμάτων φυσικών προσώπων
  • παρακολούθησης, ελέγχου και βελτίωσης
  • αναβάθμιση υποδομών ασφάλειας
  • αναθεώρηση και σύνταξη πολιτικών και διαδικασιών

Βήμα 5: Ανάπτυξη όλων των απαιτούμενων πολιτικών και διαδικασιών Προστασίας προσωπικών δεδομένων, Σύστημα Διαχείρισης Προσωπικών Δεδομένων.

Βήμα 6: Δημιουργία του αρχείου δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων.

Βήμα 7: Εκπαίδευση προσωπικού σε θέματα ευθύνης τους που απορρέουν από την εφαρμογή του GDPR

 

 Κανονισμός (ΕΕ) 2016/679 για την Ασφάλεια Προσωπικών Δεδομένων

Top