General Data Protection Regulation 2016/679

Ο Νέος Ευρωπαϊκός Κανονισμός 2016/679 (General Data Protection Regulation – GDPR) είναι ο νέος νόμος για την προστασία των δεδομένων των πολιτών της Ευρωπαϊκής Ένωσης. Σε έναν μεγάλο βαθμό αφορά τις διαδικασίες ασφάλειας και τη διαχείριση κινδύνου σε μια επιχείρηση – οργανισμό. Είναι κατανοητό ότι δημιουργήθηκε για να επιτρέπει στους πολίτες  να έχουν μεγαλύτερο έλεγχο των προσωπικών τους δεδομένων και να ενθαρρύνει τις επιχειρήσεις – οργανισμούς να κινηθούν προς την ισχυρή προστασία των προσωπικών δεδομένων που έχουν στην κατοχή τους.

Ο Νέος Ευρωπαϊκός Κανονισμός GDPR 2016/679 ψηφίσθηκε από το Ευρωπαϊκό Κοινοβούλιο στις 16 Απριλίου 2016. Από  τις 25 Μαΐου 2018, θα εφαρμόζεται ως νομοθέτημα αμέσου εφαρμογής από  όλες τις χώρες μέλη της Ευρωπαϊκής Ένωσης.

Ο Κανονισμός ρυθμίζει τα δικαιώματα των φυσικών προσώπων σχετικά με:

  • τα προσωπικά τους δεδομένα,
  • την επεξεργασία των προσωπικών τους δεδομένων,
  • την ελεύθερη και ανεμπόδιστη κυκλοφορία και μεταβίβαση των προσωπικών τους δεδομένων εντός των ορίων της Ευρωπαϊκής Ένωσης,
  • τις διαδικασίες διαβίβασης προσωπικών δεδομένων εκτός Ευρωπαϊκής Ένωσης.

Ο Νέος Ευρωπαϊκός Κανονισμός GDPR 679/2016 αντικαθιστά  την Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Άλλα κρίσιμα σημεία που επηρεάζουν την φήμη και την ρευστότητα της επιχείρησης αποτελούν:

  • η υποχρέωση ενημέρωσης των Αρχών και πελατών σε συγκεκριμένο χρονικό διάστημα,
  • η δημοσίευση των περιστατικών διαρροής προσωπικών δεδομένων,
  • οι αποζημιώσεις στα Υποκείμενα των δεδομένων που υπέστησαν ζημιά.

Κάποια από βασικά μέτρα που μπορείτε να λάβετε για την εναρμόνιση με τον GDPR είναι:

  • Προσδιορισμός του πού υπάρχουν και πού βρίσκονται τα προσωπικά δεδομένα που έχει στην κατοχή της η επιχείρηση – οργανισμός σας.
  • Δημιουργία πολιτικών που να περιγράφουν με σαφήνεια τον τρόπο και τον λόγο που η επιχείρηση σας συλλέγει και επεξεργάζεται προσωπικά δεδομένα.
  • Διαμόρφωση ενός προγράμματος διαχείρισης κινδύνων για την προστασία των δεδομένων σας.
  • Συμμόρφωση στα πρότυπα του κανονισμού σχετικά με την διαφάνεια, την απόδοση των ευθυνών και την τήρηση αρχείων. Πραγματοποίηση αιτημάτων δεδομένων και διατήρηση της απαιτούμενης τεκμηρίωσης.

Το φάσμα απαιτήσεων που αφορούν τις επιχειρήσεις και τους οργανισμούς που συλλέγουν ή επεξεργάζονται προσωπικά δεδομένα είναι ευρύ, με τις έξι βασικές αρχές να παρουσιάζονται παρακάτω:

  • Διαφάνεια, αντικειμενικότητα και νομιμότητα ως προς το χειρισμό και τη χρήση των προσωπικών δεδομένων.
  • Περιορισμός της επεξεργασίας των προσωπικών δεδομένων για καθορισμένους, ρητούς και νόμιμους σκοπούς.
  • Συλλογή και αποθήκευση του ελάχιστου δυνατού όγκου προσωπικών δεδομένων που απαιτούνται για έναν σκοπό.
  • Διασφάλιση της ακρίβειας των δεδομένων, συμπεριλαμβανομένης της δυνατότητας διαγραφής και επεξεργασίας τους.
  • Περιορισμός της περιόδου αποθήκευσης των προσωπικών δεδομένων.
  • Διασφάλιση της ασφάλειας, της ακεραιότητας και της εμπιστευτικότητας των προσωπικών δεδομένων.

Ο κανονισμός GDPR είναι υποχρεωτικός για όλους τους οργανισμούς που επεξεργάζονται προσωπικά δεδομένα και είναι εγκατεστημένοι στην Ε.Ε. (ανεξάρτητα από το πού πραγματοποιείται η επεξεργασία), καθώς και για τους οργανισμούς που είναι εγκατεστημένοι εκτός της Ε.Ε. και επεξεργάζονται δεδομένα πολιτών που κατοικούν εντός αυτής. Οποιαδήποτε μη συμμόρφωση με τον κανονισμό οδηγεί στην επιβολή προστίμων.

Τα πρόστιμα για σοβαρές παραβιάσεις θα αγγίζουν μέχρι και τα 20 εκατομμύρια ευρώ ή το 4% του ετήσιου κύκλου εργασιών μιας επιχείρησης – οργανισμού, όποιο είναι μεγαλύτερο. Επίσης, ο κανονισμός GDPR δίνει στους καταναλωτές (και στους οργανισμούς που ενεργούν για λογαριασμό τους) τη δυνατότητα να κινήσουν αστικές δικαστικές διαδικασίες κατά οργανισμών που παραβιάζουν τον κανονισμό GDPR.

Στις 29 Αυγούστου 2019 το Ελληνικό Κοινοβούλιο ενσωμάτωσε τον Ευρωπαϊκό Κανονισμό στην ελληνική νομοθεσία με τον νόμο 4624/2019.

Χαρακτηριστικά Εφαρμογής GDPR/DPO

Διαχείριση Προσωπικού

  • Προσθήκη και διαχείριση προσωπικού.
  • Δυναμικά κριτήρια αξιολόγησης για την αξιολόγηση του προσωπικού ως προς την ασφάλεια των προσωπικών δεδομένων .
  • Διενέργεια Εκπαιδεύσεων προσωπικού στην μεθοδολογία και στις καλύτερες πρακτικές που ακολουθούνται διεθνώς στο GDPR.
  • Εξαγωγή στατιστικών στοιχείων των εκπαιδεύσεων του Προσωπικού για ενημέρωση σε πραγματικό χρόνο το επίπεδο γνώσης του προσωπικού.

Τεχνικά & Οργανωτικά Μέτρα

  • Επιλογή Μέτρων από ένα ευρύ φάσμα προτεινόμενων οργανωτικών & τεχνικών μέτρων από μια γκάμα επιλογών
  • Δυνατότητα προσθήκης επιπλέον μέτρων, ανάλογα με τις απαιτήσεις της Επιχείρησης.

Αρχείο Δραστηριοτήτων

  • Δημιουργία του αρχείου δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων, σύμφωνα με τις απαιτήσεις του Ευρωπαϊκού Κανονισμού GDPR 2016/679.

Διαγράμματα Ροής Διαδικασιών

  • Δημιουργία Διαγράμματα Ροής Διαδικασιών σύμφωνα με το Αρχείο Δραστηριοτήτων.

Διαχείριση Αιτημάτων Υποκειμένων

  • Δυνατότητα αποστολής φόρμας συμπλήρωσης αιτήματος υποκειμένου( SAR- Subject Access Request)
  • Κεντρική διαχείριση των αιτημάτων από το ανάλογο Τμήμα ή τον DPO ( Data Protection Officer )

Δυναμικό Οργανόγραμμα

  • Δημιουργία,επεξεργασία και προβολή δυναμικού γραφικού οργανογράμματος της δομής της Επιχείρησης.

Διαχείριση Προμηθευτών

  • Καταγραφή και διαχείριση προμηθευτών
  • Αξιολόγηση προμηθευτών με χρήση δυναμικών φορμών αξιολόγησης βάση της ασφάλειας των προσωπικών δεδομένων καθώς και επιλογή εγκεκριμένων προμηθευτών

Διαχείριση Εγγράφων

  • Καταχώριση και συγκεντροποίηση εγγράφων
  • Δυνατότητα ανανέωσης version

Διαχείριση Πολιτικών/Οδηγιών

  • Δυνατότητα σύνταξης πολιτικών/οδηγιών από τον DPO για την εκάστοτε επιχείρηση
  • Διακίνηση πολιτικών/οδηγιών στο προσωπικό της επιχείρησης από το DPO

Inventory of Assets

  • Προσθήκη και διαχείριση των assets της Επιχείρησης.
  • Καταγραφή αλλαγών και πληροφοριών για τα εκάστοτε assets.

Κεντρική Διαχείριση Ασφαλείας

  • Προσθήκη και διαχείριση των πληροφοριών για την ασφάλεια των assets.
  • Διαχείριση ζητημάτων ασφάλειας της Επιχείρησης.

Χρήστες

  • Δυνατότητα για δημιουργία πολλαπλών Χρηστών με τα δικαιώματα που αποφασίζει ο Υπεύθυνος

Gap Analysis

  • Ενημέρωση του DPO και της Διοίκησης, σε πραγματικό χρόνο, του επιπέδου συμμόρφωσης της εταιρείας με χρήση διαγραμμάτων και αναλυτικής τεκμηρίωσης για κάθε άρθρο του Κανονισμού.
  • Διαχείριση ζητημάτων ασφάλειας της Επιχείρησης.