• Υπηρεσίες υποστήριξης συστημάτων πληροφορικής
  • info@natigon.gr
  • 2321 321 516

Συμμόρφωση GDPR

  • Home / Συμμόρφωση GDPR

Compliance GDPR

Ένα ολοκληρωμένο σύστημα για τη συμμόρφωση με τον Κανονισμό GDPR

Για ποιο λόγο θα πρέπει να σας απασχολεί σοβαρά το θέμα της προστασίας δεδομένων GDPR – και πως η Natigon Πληροφορική μπορεί να σας βοηθήσει.

Εάν δραστηριοποιείστε στην Ε.Ε., ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων θα σας επηρεάσει σίγουρα.

Το GDPR έχει γίνει μόδα και business opportunity σχεδόν για κάθε ελεύθερο επαγγελματία ή εταιρεία παροχής συμβουλευτικών υπηρεσιών.

Σύμβουλοι, φορείς πιστοποίησης, δικηγόροι και μηχανογράφοι ασχολούνται με αυτό. Ο καθένας υπερβάλλοντας τόσο για τον Κανονισμό όσο και για τη σύνδεση του με το έργο.

Οι μηχανογράφοι λέγοντας ότι 80% είναι δικό μας, οι σύμβουλοι λέγοντας ότι 67% είναι ISO27001 οπότε το καλύπτουμε εμείς, οι δικηγόροι λέγοντας ότι εάν δεν έχεις νομικό είσαι καταδικασμένος και οι φορείς πιστοποίησης λέγοντας ότι αν δεν έχεις DPO εκπαιδευμένο από εμάς και πιστοποιημένο με εξετάσεις έχεις πρόβλημα.

Και όλοι βάζουν μπροστά τον μπαμπούλα για το πρόστιμο. Ποια όμως η αλήθεια και ποιος ο μύθος ?

H Natigon Πληροφορική σας επιτρέπει να ανταποκριθείτε στις υποχρεώσεις της ασφάλειας των δεδομένων με εύκολη εφαρμογή πολιτικών κρυπτογράφησης και ασφάλειας, επισημαίνοντας τα «κενά ασφαλείας» στο σύστημά σας, προτείνοντας την διατηρώντας παράλληλα την παραγωγικότητα σε υψηλά επίπεδα.

Πιθανά Βήματα προς τη συμμόρφωση

  • Διαγνωστική Υπάρχουσας Κατάστασης
  • Αναθεώρηση πολιτικών ασφαλείας
  • Ανάγκη Συμμόρφωσης προς τεχνικά πρότυπα (ISO/IEC)
  • Ανασχεδιασμός πληροφοριακών συστημάτων
  • Διαδικασίες και λογισμικά εργαλεία ανωνυμοποίησης και κρυπτογράφησης
  • Εκπαίδευση προσωπικού
  • Διορισμός Data Protection Officer (DPO) ο οποίος μπορεί να είναι εξωτερικός συνεργάτης και θα συνεργάζεται άμεσα με το IT Department της Εταιρίας.
  • Διαδικασίες αναφοράς συμβάντων υποκλοπής δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)

Η εταιρεία μας παρέχει υπηρεσίες  :

  • GDPR Consulting / Compliance (Συμμόρφωση του οργανισμού με το GDPR 2016/679, Data Protection Impact Assessments)
  • Designing and Implementing Effective Privacy and Security Plans
  • DPO (Data Protection Officer) services
  • GDPR Auditing services

 

H μεθοδολογία και η προσέγγιση που ακολουθούμε κατά την συμμόρφωση (GDPR Compliance) του οργανισμού  περιλαμβάνει τα παρακάτω στάδια (βήματα)  :

  1. Eυαισθητοποίηση και δέσμευση της ανώτατης διοίκησης (εξασφαλίζοντας και τον σχετικό προυπολογισμό)  για την συμμόρφωση του οργανισμού (GDPR Compliance)
  2. Ενημέρωση του σύνολου του προσωπικού για τον νέο κανονισμό (GDPR Awareness )
  3. Σύσταση Ομάδας Εργασίας (GDPR Team)
  4. Ορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer), εφ’όσον απαιτείται
  5. Χαρτογράφηση της ροής των δεδομένων (Data mapping, Data Flow)
  6. Εντοπισμός και ανάλυση κινδύνων και ελλείψεων (Risk Assessment, Gap Analysis)
  7. Εκπόνηση Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (Data Protection Impact Assessment), εφ’όσον απαιτείται
  8. Αναθεώρηση πολιτικών και διαδικασιών (Security Policy, Process Re-Engineering)
  9. Αξιοποίηση της τεχνολογίας και των εργαλείων πληροφορικής (Firewalls/AVs, CRMs/Work Flow Applications, Encryption, Cloud…)
  10. Ανάπτυξη διαδικασιών γνωστοποίησης εποπτικής Αρχής και ανακοίνωσης στα υποκείμενα των δεδομένων (Notification Procedures)
  11. Δοκιμαστικοί έλεγχοι συστημάτων και διαδικασιών (GDPR Audit)
  12. Διαρκής παρακολούθηση και επικαιροποίηση των διαδικασιών και των συστημάτων (Monitoring, Review)
  13. Εκπαίδευση προσωπικού 

Επικοινωνήστε μαζί μας για να μάθετε περισσότερα σχετικά με την προσέγγισή μας και να λάβετε συμβουλές από τους ειδικούς του GDPR

 

Ακολουθεί συνοπτική παρουσίαση του Ευρωπαικού Κανονισμού Προστασίας Προσωπίκών Δεδομένων καθώς και συχνές ερωτο-απαντήσεις (FAQs)

Συνοπτική Παρουσίαση του Ευρωπαικού Κανονισμού
Προστασίας Προσωπικών Δεδομένων GDPR 2016/679 – FAQs

Πότε τίθεται σε ισχύ o Κανονισμός 2016/679;
Ποια η διαφορά του νέου Ευρωπαϊκού Κανονισμού 2016/679 από την ισχύουσα μέχρι σήμερα Ευρωπαϊκή Οδηγία (95/46/ΕΚ);
Ποιον προστατεύει;
Ποιον δεν καλύπτει;
Ποιον αφορά;
Τι ορίζεται ως προσωπικό δεδομένο;
Τι σημαίνει “επεξεργασία” προσωπικών δεδομένων;
Υπεύθυνος Επεξεργασίας (Data Controller)
Εκτελών την Επεξεργασία (Data Processor)
Ποια δικαιώματα πρέπει να επιτρέπουν οι εταιρείες βάσει του GDPR ;
Ποιά είναι τα ελάχιστα Απαιτούμενα Συγκατάθεσης Χρήσης / Επεξεργασίας Προσωπικών Δεδομένων στο GDPR
Ποια είναι τα πρόστιμα;
Ποιες είναι οι κυριότερες απαιτήσεις;
Εκπαίδευση προσωπικού
Περιορισμός του σκοπού
Ελαχιστοποίηση των δεδομένων
Χρονική διάρκεια
Ρητή συγκατάθεση
Σαφής Πολιτική Απορρήτου
Σεβασμός στα Ατομικά δικαιώματα
Ευθύνη και Λογοδοσία
Προστασία ήδη από τον αρχικό σχεδιασμό και εξ’ ορισμού
Ασφάλεια Επεξεργασίας
Γνωστοποίηση παραβίασης εντός 72 ωρών
Εκτίμηση αντικτύπου
Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer-“DPO”)
Ποιοι υποχρεούνται να διορίσουν DPO;
Παραδείγματα οργανισμών που έχουν υποχρέωση διορισμού DPO
Μπορεί μια εταιρία να ορίσει ως DPO έναν από τους υπαλλήλους της;

 

 

Πότε τίθεται σε ισχύ o Κανονισμός 2016/679;

Ο GDPR εγκρίθηκε και υιοθετήθηκε από την Ευρωπαϊκή Ένωση τον Απρίλιο του 2016. Η περίοδος μετάβασης έχει ορισθεί σε 2 έτη, πράγμα που σημαίνει ότι ο Κανονισμός θα τεθεί σε πλήρη ισχύ τον Μάιο του 2018.

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation 2016/679) δεν είναι ένας εντελώς καινούργιος νόμος. Αποτελεί μια ισχυρότερη και εκσυγχρονισμένη εκδοχή της Οδηγίας του 1995 (Data Protection Directive 95/46/EC), με τη διαφορά ότι τώρα ο Κανονισμός έχει καθολική ισχύ στα κράτη μέλη, ορίζει αυστηρότερες απαιτήσεις και προβλέπει υψηλά πρόστιμα για τους παραβάτες.

 

 

Ποια η διαφορά του νέου Ευρωπαϊκού Κανονισμού 2016/679 από την ισχύουσα μέχρι σήμερα Ευρωπαϊκή Οδηγία (95/46/ΕΚ);

Κατ’ αρχήν, ένας Κανονισμός έχει δεσμευτική ισχύ για όλα τα κράτη μέλη, ενώ μια Οδηγία είναι απλώς μια οδηγία, δηλαδή ένας «στόχος σύγκλισης» τον οποίο τα κράτη μέλη καλούνται να επιτύχουν, το καθένα όμως με την δική του, επιμέρους νομοθεσία.

Είναι φανερό ότι μέχρι σήμερα, η Οδηγία άφηνε περιθώρια για επιμέρους ερμηνείες. Τώρα όμως, ο Γενικός Κανονισμός έχει καθολική ισχύ, ακόμη και στα πρόστιμα. Καταργεί την προηγούμενη και μέχρι τώρα ισχύουσα Οδηγία 95/46/ΕΚ (Άρθρο 94).

Συνοπτικά, ο νέος Κανονισμός διαφέρει στα εξής βασικά σημεία από την Οδηγία:

  •  Έχει καθολική ισχύ σε όλα τα κράτη μέλη, χωρίς να απαιτείται έγκριση από τα κοινοβούλιά τους
  •  Είναι πιο αυστηρός και πιο σαφής με στόχο την αποτελεσματική προστασία των προσωπικών δεδομένων. Ενδεικτικά, εισάγει και ρυθμίζει με πολύ αυστηρό τρόπο την συγκατάθεση του ατόμου.
  •  Προβλέπει υψηλά πρόστιμα, που θα επιβάλλονται από 25.05.2018 στους παραβάτες.
  •  Εισάγει νέα δικαιώματα για τα φυσικά πρόσωπα (Υποκείμενα των δεδομένων):
Δικαίωμα  διόρθωσης (Άρθρο 16),
Δικαίωμα  στην Λήθη (Άρθρο 17),
Δικαίωμα περιορισμού της επεξεργασίας (Άρθρο 18),
Υποχρέωση γνωστοποίησης διόρθωσης ή τη διαγραφή δεδομένων ή τον πειρορισμό της επεξεργασίας (Άρθρο 19),
Δικαίωμα Φορητότητας (Άρθρο 20).

 

 

Ποιον προστατεύει;

Ο Κανονισμός 2016/679 έχει σκοπό να προστατεύσει τα φυσικά πρόσωπα έναντι της επεξεργασίας των προσωπικών τους δεδομένων και την ελεύθερη κυκλοφορία των δεδομένων αυτών και να καταργήσει την οδηγία 95/46/ΕΚ.

Ρυθμίζει επίσης θέματα μεταβίβασης δεδομένων εκτός Ευρωπαϊκών συνόρων. Προστατεύει τα εν ζωή φυσικά πρόσωπα που βρίσκονται στην Ένωση, ανεξαρτήτως τόπου διαμονής και ιθαγένειας.

 

 

Ποιον δεν καλύπτει:
  • Τα νομικά πρόσωπα και ιδίως επιχειρήσεις συσταθείσες ως νομικά πρόσωπα, περιλαμβανομένων της επωνυμίας, του τύπου και των στοιχείων επικοινωνίας του νομικού προσώπου.
  • Την επεξεργασία προσωπικών δεδομένων η οποία διενεργείται από φυσικά πρόσωπα και αποκλειστικά στα πλαίσια προσωπικής ή οικιακής δραστηριότητας και χωρίς σύνδεση με κάποια επαγγελματική ή εμπορική δραστηριότητα.
  • Τους θανόντες.

 

 

 

Ποιον αφορά;

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (EU GDPR) αφορά κάθε οργανισμό που διατηρεί ή επεξεργάζεται προσωπικά δεδομένα Ευρωπαίων πολιτών, ανεξαρτήτως εθνικότητας ή τόπου κατοικίας τους.

Το GDPR δεν ισχύει μόνο για οργανισμούς εγκατεστημένους εντός της ΕΕ, αλλά θα ισχύει και για οργανισμούς που βρίσκονται εκτός της ΕΕ εάν προσφέρουν αγαθά ή υπηρεσίες ή καταγράφουν τη συμπεριφορά των υποκειμένων των δεδομένων της ΕΕ.

Αφορά εξίσου όλους τους οργανισμούς, από τις πιο μικρές εταιρίες έως τους πιο μεγάλους ομίλους, δημοσίου και ιδιωτικού δικαίου. Αφορά τόσο τους υπευθύνους επεξεργασίας(Data Controllers), όσο και τους εκτελούντες (Data Processors) την επεξεργασία δεδομένων.

 

 

 

Τι ορίζεται ως προσωπικό δεδομένο;

Οποιοδήποτε στοιχείο πληροφορίας συνδέεται με ένα άτομο (Το Υποκείμενο των δεδομένων) και μπορεί να χρησιμοποιηθεί άμεσα ή έμμεσα στην ταυτοποίησή του, αποτελεί σύμφωνα με το νόμο προσωπικό δεδομένο .

Αναφέρουμε ενδιεκτικά παραδείγματα προσωπικών δεδομένων :

 Στοιχεία Ταυτότητας Φυσικού Προσώπου: Χρηματο-οικονομικά Στοιχεία :
 Ονομα Στοιχεία τραπεζών / αριθμοί λογαριασμού
 Διεύθυνση σπιτιού, εργασίας Αριθμός φορολογικού μητρώου
 Αριθμός τηλεφώνου,κινητού Αριθμοί πιστωτικών / χρεωστικών καρτών
 Διεύθυνση ηλεκτρονικού ταχυδρομείου Ηλεκτρονικά Μέσα :
 Αριθμός διαβατηρίου, ταυτότητας Διεύθυνση IP (περιοχή της ΕΕ)
 Αριθμός κοινωνικής ασφάλισης Θέση / δεδομένα GPS

 

 

Τι σημαίνει “επεξεργασία” προσωπικών δεδομένων;

Επεξεργασία σημαίνει κάθε εργασία, τόσο με αυτοματοποιημένα ή ψηφιακά μέσα, όσο και με χειροκίνητα ή φυσικά μέσα που αφορά σε προσωπικά δεδομένα, όπως:

 Συλλογή Ολική ή μερική διόρθωση Μεταβίβαση
 Καταγραφή Ενημέρωση Διάδοση
 Οργάνωση Τροποποίηση Συσχετισμός
 Διατήρηση Εξαγωγή Διασύνδεση
 Αποθήκευση Χρήση Δέσμευση
ΔιαγραφήΚαταστροφή

 

 

Υπεύθυνος Επεξεργασίας (Data Controller)

Ο Υπεύθυνος Επεξεργασίας (Data Controller) είναι η οντότητα (το φυσικό ή νομικό πρόσωπο δημοσίου ή ιδιωτικού δικαίου) που καθορίζει το σκοπό, τις προϋποθέσεις και τον τρόπο επεξεργασίας προσωπικών δεδομένων.

Για παράδειγμα, Υπεύθυνος Επεξεργασίας είναι κάθε νομικό πρόσωπο που τηρεί προσωπικά δεδομένα τουλάχιστον ενός φυσικού προσώπου:

  • Των Υπαλλήλων ή των υποψηφίων Υπαλλήλων του,
  • Των Μελών,
  • Πελατών,
  • Προμηθευτών,
  • Συνεργατών και Συμβούλων του

 

 

 

Εκτελών την Επεξεργασία (Data Processor)

Ο Εκτελών την Επεξεργασία (Data Processor) είναι αντίστοιχα η οντότητα (το φυσικό ή νομικό πρόσωπο δημοσίου ή ιδιωτικού δικαίου) που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Υπευθύνου Επεξεργασίας.

Παράδειγματα «Εκτελών την Επεξεργασία» (Data Processor) :

  • Ανάθεση της μισθοδοσίας υπαλλήλων σε άλλη οντότητα
    (π.χ. λογιστικό γραφείο, εταιρεία παροχής υπηρεσιών μισθοδοσίας).
  • Ανάθεση σε εταιρεία marketing της ενημέρωσης του πελατολογίου μας μέσω αποστολής ενημερωτικού υλικού με e-mail.

 

 

 

Ποια δικαιώματα πρέπει να επιτρέπουν οι εταιρείες βάσει του GDPR ;

O GDPR παρέχει στους κατοίκους της ΕΕ τον έλεγχο των προσωπικών τους δεδομένων μέσω ενός συνόλου «δικαιωμάτων υποκειμένων των δεδομένων».
Αυτά περιλαμβάνουν τα παρακάτω:

•Πρόσβαση σε πληροφορίες σχετικά με τον τρόπο χρήσης των προσωπικών δεδομένων των υποκειμένων
•Πρόσβαση σε προσωπικά δεδομένα του υποκειμένου που διατηρεί ένας οργανισμός
•Δικαίωμα διαγραφής ή διόρθωσης εσφαλμένων προσωπικών δεδομένων
•Δικαίωμα διορθωσής και διαγραφής προσωπικών δεδομένων σε ορισμένες περιπτώσεις (“το δικαίωμα στη λήθη“)
•Περιορισμός ή αντίθεση στην αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων
•Λήψη αντίγραφου προσωπικών δεδομένων

 

 

 

Ποιά είναι τα ελάχιστα Απαιτούμενα Συγκατάθεσης Χρήσης / Επεξεργασίας Προσωπικών Δεδομένων στο GDPR

Για να υπάρχει ορθή συναίνεση χρήσης / επεξεργασίας δεδομένων, είναι απαραίτητο να ενημερωθεί το υποκείμενο των δεδομένων για ορισμένα στοιχεία που είναι σημαντικό ώστε να κάνει μια σωστή επιλογή.

  • Ταυτότητα του Υπεύθυνου επεξεργασίας (Controller),
  • Σκοπός καθεμίας από τις εργασίες επεξεργασίας για τις οποίες ζητείται συγκατάθεση
  • Είδος δεδομένων που θα συλλεχθούν και θα χρησιμοποιηθούν,
  • Ύπαρξη του δικαιώματος υπαναχώρησης,
  • Πληροφορίες σχετικά με τη χρήση των δεδομένων για αποφάσεις που βασίζονται αποκλειστικά σε αυτοματοποιημένες διαδικασίες συμπεριλαμβανομένου του profiling
  • Εάν η συγκατάθεση αφορά μεταφορές δεδομένων καθώς και ενημέρωση σχετικά με τους πιθανούς κινδύνους μεταφοράς δεδομένων σε τρίτους

 

 

 

Ποια είναι τα πρόστιμα;

Τα πρόστιμα που ορίζει ο Γενικός Κανονισμός είναι υψηλά: 4% του παγκόσμιου ετήσιου κύκλου εργασιών του οργανισμού ή 20.000.000 € ,όποιο είναι υψηλότερο (Άρθρο 83).

Το πρόστιμο αυτό δύναται να επιβληθεί σε σοβαρές παραβιάσεις του Κανονισμού, όπως:

  • παραβιάσεις που αφορούν την συγκατάθεση του ατόμου,
  • τις βασικές αρχές προστασίας δεδομένων,
  • τη μεταφορά δεδομένων Ευρωπαίων πολιτών εκτός Ευρώπης,
  • τη μη συμμόρφωση με τις υποδείξεις των Εποπτικών Αρχών.

Υπάρχουν και περιπτώσεις όπου προβλέπεται πρόστιμο 2% του παγκόσμιου ετήσιου κύκλου εργασιών, ή €10.000.000 ,όποιο είναι υψηλότερο (Άρθρο 83) :

Το πρόστιμο αυτό δύναται να επιβληθεί σε παραβιάσεις του Κανονισμού, όπως:

  • μη τήρηση οργανωμένων αρχείων,
  • μη γνωστοποίηση για παραβίαση ασφαλείας,
  • μη διορισμός DPO στις περιπτώσεις που επιβάλλεται,
  • παράλειψη διενέργειας Εκτίμησης Αντικτύπου,
  • ατελής εφαρμογή ή απουσία τεχνικών και οργανωτικών μέτρων για την εξασφάλιση της προστασίας δεδομένων από το σχεδιασμό και εξ’ ορισμού – Data Privacy by Design and by Default

 

 

Ποιες είναι οι κυριότερες απαιτήσεις;
Εκπαίδευση προσωπικού
Περιορισμός του σκοπού
Ελαχιστοποίηση των δεδομένων
Χρονική διάρκεια
Ρητή συγκατάθεση
Σαφής Πολιτική Απορρήτου
Σεβασμός στα Ατομικά δικαιώματα
Ευθύνη και Λογοδοσία
Προστασία ήδη από τον αρχικό σχεδιασμό και εξ’ ορισμού
Ασφάλεια Επεξεργασίας
Γνωστοποίηση παραβίασης εντός 72 ωρών
Εκτίμηση αντικτύπου
Υπεύθυνος Προστασίας Δεδομένων
 (Data Protection Officer – “DPO”)

 

 

 

Εκπαίδευση προσωπικού

Για να υπάρχει ορθή συναίνεση χρήσης / επεξεργασίας δεδομένων, είναι απαραίτητο να ενημερωθεί το υποκείμενο των δεδομένων για ορισμένα στοιχεία που είναι σημαντικό ώστε να κάνει μια σωστή επιλογή.

Οι οργανισμοί οφείλουν να εκπαιδεύσουν το προσωπικό τους στο πως να εφαρμόζει καθημερινά την πολιτική προστασίας προσωπικών δεδομένων.

 

 

Περιορισμός του σκοπού
Kάθε οργανισμός οφείλει να προσδιορίζει ρητά τους νόμιμους σκοπούς, για τους οποίους συλλέγει και επεξεργάζεται προσωπικά δεδομένα.
Οφείλει να μην διενεργεί περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς  (Άρθρο 5).

 

Ελαχιστοποίηση των δεδομένων
Tα δεδομένα που συλλέγονται οφείλουν να είναι κατάλληλα, συναφή και απολύτως αναγκαία για τους συγκεκριμένους σκοπούς που ορίστηκαν
(Άρθρο 5).

 

 

Χρονική διάρκεια
Kάθε οργανισμός οφείλει να τηρεί δεδομένα μόνο για όσο χρονικό διάστημα αυτό απαιτείται, σύμφωνα με το νόμιμο σκοπό (Άρθρο 5).

 

 

Ρητή συγκατάθεση
Aπαιτείται ρητή, σαφής και συγκεκριμένη συγκατάθεση του ατόμου για την συλλογή, επεξεργασία και τήρηση των προσωπικών του δεδομένων.
Για προσωπικά δεδομένα ανηλίκων κάτω των 16 ετών, απαιτείται σαφής συγκατάθεση γονέα ή κηδεμόνα.
Ο οργανισμός οφείλει να τηρεί αρχείο και να επιτρέπει στο άτομο να διαφοροποιήσει τη συγκατάθεση που έδωσε για μια συγκεκριμένη χρήση, όσες φορές αλλάξει γνώμη. (Άρθρα 6-7-8)

 

 

Σαφής Πολιτική Απορρήτου
Οι οργανισμοί απαιτούνται να δηλώνουν με διαφάνεια, σαφή γλώσσα και κατανοητό τρόπο την πολιτική απορρήτου που εφαρμόζουν.
Δηλαδή, να δηλώνουν αναλυτικά ποια δεδομένα συλλέγουν, για ποιο νόμιμο σκοπό, πώς τα διαχειρίζονται, για πόσο χρονικό διάστημα τα διατηρούν, με ποιες μεθόδους ασφαλείας τα προστατεύουν κλπ (Άρθρο 12).

 

 

Σεβασμός στα Ατομικά δικαιώματα
Όλα τα άτομα έχουν δικαίωμα να επεμβαίνουν στα δεδομένα τους προκειμένου να τα διορθώσουν (Δικαίωμα Διόρθωσης), να ζητήσουν την παραλαβή των δεδομένων τους, σε δομημένο, συμβατό και διαλειτουργικό μορφότυπο, αναγνώσιμο από μηχανήματα, προκειμένου να τα διαβιβάσουν σε άλλον υπεύθυνο επεξεργασίας (Δικαίωμα στη Φορητότητα), ακόμη και τη διαγραφή (Δικαίωμα στη Λήθη) των προσωπικών τους δεδομένων υπό προϋποθέσεις. (Άρθρα 13 έως 23)

 

 

Ευθύνη και Λογοδοσία
Οι οργανισμοί είναι διαρκώς υπόλογοι στα άτομα και στις Αρχές.
Οφείλουν, όχι απλώς να εφαρμόζουν το νέο Κανονισμό, αλλά και να είναι κάθε στιγμή σε θέση να αποδείξουν ότι συμμορφώνονται με όλες τις απαιτήσεις του.
(Άρθρο 24)

 

 

Προστασία ήδη από τον αρχικό σχεδιασμό και εξ’ ορισμού
Ο οργανισμός οφείλει να εφαρμόζει αποτελεσματικά, τα κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, η ελαχιστοποίηση των δεδομένων και η ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία τους, κατά τρόπο ώστε να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων. (Άρθρο 25)

 

 

Ασφάλεια Επεξεργασίας
Ο οργανισμός που τηρεί και διαχειρίζεται προσωπικά δεδομένα οφείλει να εφαρμόζει τα απαραίτητα συστήματα, πολιτικές και διαδικασίες που εξασφαλίζουν τα απαιτούμενα επίπεδα προστασίας των δεδομένων αυτών, συμπεριλαμβανομένης της προστασίας από την παράνομη πρόσβαση κι επεξεργασία, τόσο από το προσωπικό του οργανισμού, όσο και από τρίτους, την κατά λάθος απώλεια, καταστροφή ή αλλοίωσή τους.
Οφείλει επίσης να διασφαλίζει ότι τα δεδομένα που τηρεί είναι ορθά και επίκαιρα. (Άρθρο 32)

 

 

Γνωστοποίηση παραβίασης εντός 72 ωρών
Σε περίπτωση παραβίασης ασφαλείας που αφορά προσωπικά δεδομένα, οι οργανισμοί οφείλουν να ενημερώνουν εντός 72 ωρών (από τη στιγμή που λαμβάνουν γνώση του γεγονότος) τις αρμόδιες Αρχές.
Υπό προϋποθέσεις, οφείλουν να ενημερώνουν και τα ίδια τα άτομα (Υποκείμενα) των οποίων τα προσωπικά δεδομένα έχουν τεθεί σε κίνδυνο.
Οφείλουν επίσης να τηρούν αρχείο με όλα τα περιστατικά παραβίασης ασφαλείας προσωπικών δεδομένων. (Άρθρα 33, 34 ).

 

Εκτίμηση αντικτύπου
Οι οργανισμοί οφείλουν να διεξάγουν μελέτες εκτίμησης αντικτύπου (Data Protection Impact Assessment), με σκοπό την εκτίμηση των επιπτώσεων της επεξεργασίας προσωπικών δεδομένων, τον εντοπισμό των κινδύνων ασφάλειας και τον σχεδιασμό της αντιμετώπισης αυτών. (Άρθρο 35-36)

 

 

Οι οργανισμοί οφείλουν υπό προϋποθέσεις να ορίσουν έναν Υπεύθυνο Προστασίας Δεδομένων. Ο ρόλος του είναι να παρακολουθεί τη διαρκή και επαρκή συμμόρφωση του οργανισμού με τον νόμο, ενώ παράλληλα αποτελεί τον σύνδεσμο του οργανισμού με την αρμόδια εποπτική Αρχή.

 

 

 

Ποιοι υποχρεούνται να διορίσουν DPO;
  1. Δημόσιοι οργανισμοί και ΔΕΚΟ, εκτός δικαστηρίων που ενεργούν στα πλαίσια της δικαιοδοσίας τους.
  2. Κάθε οργανισμός του οποίου η βασική δραστηριότητα συνιστά:
    • τακτική και συστηματική παρακολούθηση φυσικών προσώπων (Υποκειμένων των δεδομένων) σε μεγάλη κλίμακα, ή
    • μεγάλης κλίμακας επεξεργασία Ειδικών κατηγοριών προσωπικών δεδομένων: φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή και τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή
    • μεγάλης κλίμακας επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα

Ο DPO δύναται να είναι μέλος του προσωπικού υπό προϋποθέσεις, ή εξωτερικός Συνεργάτης, με δελτίο παροχής υπηρεσιών (Άρθρα 37-38-39).

 

 

 

Παραδείγματα οργανισμών που έχουν υποχρέωση διορισμού DPO:
Eταιρίες Τηλεπικοινωνιών
Πάροχοι ηλεκτρονικού ταχυδρομείου
Εταιρίες Μισθοδοσίας
Ασφαλιστικές
Τράπεζες
Εταιρείες Υπηρεσιών Υγείας

 

Μπορεί μια εταιρία να ορίσει ως DPO έναν από τους υπαλλήλους της;

Ναι, αλλά υπό την προϋπόθεση ότι ΔΕΝ υπάρχει σύγκρουση συμφερόντων.
Αν ο ρόλος ενός υπαλλήλου στην εταιρία περιλαμβάνει και το να ορίζει το σκοπό ή την μέθοδο επεξεργασίας προσωπικών δεδομένων, τότε αυτός ο υπάλληλος δεν πρέπει να διορισθεί DPO της εταιρίας.
Συνήθως, σύγκρουση συμφερόντων παρατηρείται στις εξής θέσεις – αλλά όχι μόνο: CEO, COO, Επικεφαλής IT, HR, Οικονομικών, Marketing, κλπ. Αυτά αποτελούν ενδεικτικά μόνο παραδείγματα.
Στην πραγματικότητα, η σύγκρουση συμφερόντων, σε ποιες βαθμίδες και σε ποιες θέσεις υπάρχει, εξαρτάται από την οργανωτική διάρθρωση της εκάστοτε εταιρίας.