Προετοιμασία για τον Κανονισμό Προστασίας Προσωπικών Δεδομένων σε 12 βήματα

BLUE VALUE - εκπαίδευση και παροχή σύγχρονων και αποτελεσματικών υπηρεσιών, Εσωτερικός Έλεγχος > Νέα > Νέα > Προετοιμασία για τον Κανονισμό Προστασίας Προσωπικών Δεδομένων σε 12 βήματα
  • Δημοσιεύτηκε από: dgiannakis
gdpr

Στις 25 Μαΐου 2018 τέθηκε σε εφαρμογή ο νέος Κανονισμός της Ευρωπαϊκής Ένωσης 2016/679 ο οποίος κατήργησε την Οδηγία 95/46/ΕΚ  και αφορά στην Προστασία Προσωπικών Δεδομένων των φυσικών προσώπων. Πρόκειται για τη σημαντικότερη αλλαγή στη ρύθμιση απορρήτου των προσωπικών δεδομένων τα τελευταία έτη και έχει ως συνέπεια τον αποτελεσματικότερο έλεγχο επί της χρήσης των προσωπικών δεδομένων των υποκειμένων καθώς και την ανάληψη ευθυνών των εταιριών ή των οργανισμών που επεξεργάζονται προσωπικά δεδομένα.

Μια εκ των πλέον γνωστών εποπτικών αρχών της Ευρωπαϊκής Ένωσης, η Βρετανική Εποπτική Αρχή για την Προστασία των Προσωπικών Δεδομένων(ICO) συνέταξε έναν οδηγό βασισμένο σε έγγραφο οδηγιών του Γραφείου της Επιτρόπου για την Προστασία των Προσωπικών Δεδομένων με σκοπό την ενημέρωση των πολιτών και των επιχειρήσεων αναφορικά με τον Κανονισμό. Ο οδηγός περιλαμβάνει 12 βήματα τα οποία πρέπει να κάνουν οι επιχειρήσεις με σκοπό τη συμμόρφωση τους με τον ισχύοντα κανονισμό.

  1. Ενημέρωση

Το πρώτο βήμα αφορά στην ενημέρωση όλων όσων λαμβάνουν αποφάσεις σε έναν οργανισμό. Είναι σημαντικό να γνωρίζουν τις αλλαγές που θα επιφέρει ο Κανονισμός στον οργανισμό τους, καθώς και στους τομείς που ενδεχομένως να αντιμετωπίσουν πρόβλημα συμμόρφωσης. Η βρετανική εποπτική αρχή προτείνει να ανατρέξετε στο αρχείο καταγραφής και διαχείρισης κινδύνων ως πρώτη ενέργεια, αν φυσικά διαθέτει ο οργανισμός ή επιχείρησή σας.

 

  1. Πληροφορίες που κατέχετε

Σε αυτό το βήμα θα πρέπει να καταγραφούν οι πληροφορίες που αφορούν προσωπικά δεδομένα φυσικών προσώπων και έχετε στη διάθεση σας, πως συλλέχθηκαν  καθώς επίσης και με ποιους τις μοιράζεστε, καθώς ο κανονισμός επιβάλει την τήρηση αρχείου με όλες τις πράξεις επεξεργασίας.

 

  1. Πληροφορίες που αφορούν την προστασία δεδομένων

Για να αρχίσει να εφαρμόζεται ο Κανονισμός, είναι απαραίτητο να γίνει έλεγχος των υπαρχόντων πολιτικών απορρήτου του οργανισμού και να προβείτε στις απαραίτητες αλλαγές. Με την εφαρμογή του κανονισμού, θα πρέπει να παρέχετε και κάποιες επιπλέον πληροφορίες στα υποκείμενα όπως για παράδειγμα τη νομική βάση που έχετε για την επεξεργασία των δεδομένων τους, την περίοδο αποθήκευσης των δεδομένων του καθώς και το δικαίωμα προσφυγής που έχουν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

 

  1. Δικαιώματα Υποκειμένων

Σύμφωνα με τον Κανονισμό, τα υποκείμενα των δεδομένων έχουν κάποια  δικαιώματα που αφορούν το δικαίωμα της ενημέρωσης, το δικαίωμα πρόσβασης, το δικαίωμα διόρθωσης, το δικαίωμα διαγραφής ή δικαίωμα στην λήθη, το δικαίωμα περιορισμού της επεξεργασίας, το δικαίωμα στην φορητότητα των δεδομένων, το δικαίωμα εναντίωσης και τέλος το δικαίωμα να μην λαμβάνεται καμία απόφαση που τα αφορά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ.

 

  1. Αιτήματα πρόσβασης των Υποκειμένων

Λαμβάνοντας υπόψιν τους νέους κανόνες, θα πρέπει να προβείτε σε αναβάθμιση των διαδικασιών σας με σκοπό τον χειρισμό των νέων αιτημάτων για άσκηση δικαιωμάτων εκ μέρους των υποκειμένων των δεδομένων. Στη διάθεσή σας θα έχετε ένα μήνα για να ανταποκριθείτε στα αιτήματα ενώ πλην εξαιρέσεων δε θα μπορείτε να επιβάλετε κάποια χρέωση προκειμένου να ανταποκριθείτε στα αιτήματα. Επιπλέον, έχετε το δικαίωμα να αρνηθείτε να παράσχετε πρόσβαση, μόνο εάν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά.

 

  1. Νομική βάση για την επεξεργασία προσωπικών δεδομένων

Οι νομικές βάσεις επεξεργασίας στον GDPR είναι σε γενικές γραμμές οι ίδιες με αυτές προέβλεπε η έως τώρα νομοθεσία. Θα πρέπει να προσδιορίσετε την νομική βάση για τη επεξεργασία δεδομένων που πραγματοποιείτε, να την καταγράψετε και να αναβαθμίσετε την πολιτική απορρήτου σας. Με τον Κανονισμό, τα δικαιώματα των υποκειμένων θα τροποποιούνται ανάλογα με την νομική βάση που επικαλείστε για την επεξεργασία των δεδομένων τους. Για παράδειγμα, σε περίπτωση όπου η νομική βάση είναι η συγκατάθεση, τα υποκείμενα των δεδομένων έχουν το δικαίωμα διαγραφής των δεδομένων τους.

 

  1. Συγκατάθεση

Είναι απαραίτητο να επανεξετάζετε τον τρόπο με τον οποίο ζητάτε, καταγράφετε και διαχειρίζεστε τη συγκατάθεση των υποκειμένων, καθώς η συγκατάθεση θα πρέπει να είναι ελεύθερη, συγκεκριμένη, ρητή, και να παρέχεται ύστερα από ενημέρωσή τους σχετικά με την επικείμενη επεξεργασία των δεδομένων τους, ενώ θα πρέπει να προβλέπεται και η δυνατότητα ανάκλησής της.

 

  1. Παιδιά

Ο νέος Κανονισμός προσφέρει ειδική προστασία για τα προσωπικά δεδομένα που αφορούν παιδιά. Επομένως, θα πρέπει να εξετάσετε κατά πόσο διαθέτετε διαδικασίες εξακρίβωσης της ηλικίας των παιδιών, καθώς και τη λήψη συγκατάθεσης του γονέα ή του κηδεμόνα για οποιαδήποτε επεξεργασία προσωπικών δεδομένων αφορά παιδιά. Εφόσον, ο ανήλικος έχει συμπληρώσει το 16ο έτος της ηλικίας του, δεν απαιτείται συγκατάθεση γονέα ή κηδεμόνα. Στην Ελλάδα, το ηλικιακό όριο πιθανώς θα αλλάξει με τη δημοσίευση του αναμενόμενου εφαρμοστικού νόμου.

 

  1. Παραβιάσεις δεδομένων

Θα πρέπει να τεθούν σε εφαρμογή διαδικασίες για την αποτελεσματική ανίχνευση, αναφορά και διερεύνηση μιας παραβίασης προσωπικών δεδομένων. Σε περίπτωση παραβίασης, θα πρέπει να ενημερώσετε την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και εφόσον η φύση της παραβίασης ενδέχεται να οδηγήσει σε διακινδύνευση των δικαιωμάτων και των ελευθεριών των ατόμων, θα πρέπει να ενημερώσετε και τα υποκείμενα.

 

  1. Προστασία δεδομένων κατά τον σχεδιασμό και εκτιμήσεις αντικτύπου (DPIA)

Με τον νέο κανονισμό, η προστασία των δεδομένων κατά τον σχεδιασμό αποτελεί νομική υποχρέωση. Η αξιολόγηση των επιπτώσεων στην προστασία των προσωπικών δεδομένων(DPIA) απαιτείται σε περιπτώσεις όπου η επεξεργασία των δεδομένων ενδέχεται να οδηγήσει σε υψηλό κίνδυνο για τα πρόσωπα όπως για παράδειγμα όπου χρησιμοποιείται μια νέα τεχνολογία, όταν μια δραστηριότητα δημιουργίας προφίλ ενδέχεται να επηρεάσει σημαντικά τα υποκείμενα ή όπου γίνεται επεξεργασία ειδικών κατηγοριών δεδομένων σε μεγάλη κλίμακα. Σε περίπτωση που η εν λόγω διαδικασία αξιολόγησης δείχνει πως η επεξεργασία των δεδομένων έχει σημαντικό βαθμό επικινδυνότητας και είναι δύσκολο να αντιμετωπισθεί ο κίνδυνος, μπορείτε να συμβουλευτείτε και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, όπου θα λάβετε τη γνώμη της για τον εάν η εν λόγω επεξεργασία είναι συμβατή με τον Κανονισμό.

 

  1. Υπεύθυνος Προστασίας Δεδομένων (DPO)

Με βάση τον κανονισμό προβλέπεται, υπό προϋποθέσεις, ο ορισμός Υπευθύνου Προστασίας Δεδομένων. Ο καθορισμός ενός Υπευθύνου Προστασίας Δεδομένων, είναι υποχρεωτικός για μια δημόσια αρχή, για έναν οργανισμό που πραγματοποιεί συστηματική παρακολούθηση υποκειμένων σε μεγάλη κλίμακα και για έναν οργανισμό που πραγματοποιεί εκτενή επεξεργασία ειδικών κατηγοριών δεδομένων, όπως ιατρικά δεδομένα ή πληροφορίες για ποινικές καταδίκες.

 

  1. Διασυνοριακή Επεξεργασία Δεδομένων

Εάν  ο οργανισμός σας δραστηριοποιείται σε περισσότερα από ένα κράτη της Ευρωπαϊκής Ένωσης, θα πρέπει να προσδιορίσετε και να καταγράψετε ποια είναι η επικεφαλής εποπτική αρχή προστασίας προσωπικών δεδομένων.  Η επικεφαλής αρχή είναι η εποπτική αρχή του κράτους όπου έχετε την κύρια εγκατάστασή σας, δηλαδή όπου βρίσκεται η κεντρική διοίκηση του οργανισμού σας στην Ευρωπαϊκή Ένωση. Επίσης θα πρέπει να θεσπίσετε ειδικές διαδικασίες στην περίπτωση κατά την οποία διαβιβάζετε δεδομένα σε τρίτες χώρες ή διεθνείς οργανισμούς εκτός ευρωπαϊκής Ένωσης.