GDPR - Συμβουλευτικές Υπηρεσίες Προστασίας Προσωπικών Δεδομένων

Εισαγωγή

Η θέση σε ισχύ του Γενικού Κανονισμού Προστασίας Δεδομένων 2016/679 (ΕΕ), γνωστού και ως «GDPR» ή «ΓΚΠΔ», σε συνδυασμό με τον εθνικό νόμο Ν.4624/2019 και τις Οδηγίες, Αποφάσεις και Γνωμοδοτήσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συναπαρτίζουν το υφιστάμενο νομοθετικό πλαίσιο, με το οποίο θα πρέπει να συμμορφωθεί κάθε επιχείρηση που κατά την άσκηση των δραστηριοτήτων της, συλλέγει και επεξεργάζεται προσωπικά δεδομένα.

Ως «προσωπικό δεδομένο», θεωρείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Για παράδειγμα, προσωπικά δεδομένα νοούνται το όνομα, επώνυμο, διεύθυνση κατοικίας, ηλικία, επάγγελμα, ΑΦΜ, κλπ. ενός φυσικού προσώπου και οι επιχειρήσεις κατά κανόνα συλλέγουν προσωπικά δεδομένα των πελατών, των συνεργατών και των εργαζομένων τους.

Η νομοθεσία για την προστασία προσωπικών δεδομένων εισάγει νέες, αυξημένες απαιτήσεις και υποχρεώσεις για επιχειρήσεις και οργανισμούς, με σκοπό τη συμμόρφωση στα νέα δεδομένα. Η συμμόρφωση με τη νομοθεσία για την προστασία προσωπικών δεδομένων αποτελεί πλέον ζήτημα υψίστης σημασίας, καθώς τυχόν παράβασή της μπορεί να οδηγήσει πέρα από την επιβολή βαρύτατων διοικητικών προστίμων ύψους έως 10 ή και 20 εκατομμυρίων ευρώ (ανάλογα με τη βαρύτητα της παράβασης), ποινικών κυρώσεων, αποζημιώσεων, δικαστικών μαχών κλπ., στη βλάβη της φήμης του Πελάτη και στη δυσπιστία του καταναλωτικού κοινού, ως προς τη νόμιμη και ασφαλή επεξεργασία των προσωπικών του δεδομένων.

Η νομοθεσία για την προστασία προσωπικών δεδομένων αφορά κάθε επιχείρηση ή φορέα, δημόσιου και ιδιωτικού δικαίου που, είτε διατηρεί εγκατάσταση εντός της Ευρωπαϊκής Ένωσης (ΕΕ), είτε επεξεργάζεται προσωπικά δεδομένα εντός αυτής (της Ένωσης) για την προσφορά αγαθών και υπηρεσιών ή την παρακολούθηση της συμπεριφοράς τους.

Επειδή οι δραστηριότητες, ο κύκλος εργασιών, το κόστος εφαρμογής, οι επεξεργασίες προσωπικών δεδομένων και οι αντίστοιχοι κίνδυνοι που προκύπτουν, διαφέρουν με βάση τα ιδιαίτερα χαρακτηριστικά και τις ανάγκες του εκάστοτε πελάτη, η Revival προσφέρει στον Πελάτη τις εξής εναλλακτικές, όπως περιγράφονται διεξοδικά στη συνέχεια:

Α) Πλήρες Έργο Συμμόρφωσης  - GDPR Compliance

Β) Βασικά Παραδοτέα Έργου Συμμόρφωσης - GDPR Compliance

Γ) Αναμόρφωση επιγραμμικής (online) παρουσίας (Web Compliance)

Δ) Εκπόνηση Μελέτης Εκτίμησης Αντικτύπου (DPIA)

 

Α) Πλήρες Έργο Συμμόρφωσης - GDPR Compliance

1. Κατάρτιση Αρχείου Δραστηριοτήτων (Data Inventory)

Το Αρχείο Δραστηριοτήτων Επεξεργασίας, καταρτίζεται κατόπιν διενέργειας συνεντεύξεων-συναντήσεων με τα στελέχη ή τα επιμέρους Τμήματα / Διευθύνσεις του Πελάτη, με στόχο την χαρτογράφηση των προσωπικών δεδομένων που συλλέγονται και την καταγραφή των σκοπών, της νόμιμης βάσης της επεξεργασίας, των αποδεκτών, των υφιστάμενων μέτρων ασφάλειας, κλπ. Η κατάρτιση Αρχείου Δραστηριοτήτων Επεξεργασίας, πέρα από νομική υποχρέωση, επιτρέπει στον Πελάτη να έχει μια συγκεντρωτική εικόνα για τη ροή των δεδομένων, αλλά και να εντοπίζει τυχόν κενά ασφαλείας κατά την επεξεργασία προσωπικών δεδομένων. Στη συγκεκριμένη περίπτωση, υλοποιούνται οι κατωτέρω ενέργειες:

  • Διενέργεια συνεντεύξεων για τη δημιουργία του Αρχείου Δραστηριοτήτων Επεξεργασίας
  • Παροχή συμβουλών για τη συνεχή επικαιροποίηση του Αρχείου Δραστηριοτήτων Επεξεργασίας.

2. Μελέτη Αποκλίσεων (Gap Analysis) - Πλάνο Προτεινόμενων (Τεχνικών και Οργανωτικών) Μέτρων

Σύμφωνα με τα στοιχεία που συλλέγονται κατά την κατάρτιση του Αρχείου Δραστηριοτήτων Επεξεργασίας, θα διερευνηθούν οι αποκλίσεις και τα «κενά» της επιχείρησης, σε σχέση με τις επιταγές της νομοθεσίας για την προστασία των προσωπικών δεδομένων, ώστε να δρομολογηθούν οι απαιτούμενες ενέργειες συμμόρφωσης. Εν συνεχεία, συντάσσεται η «Μελέτη Αποκλίσεων (GAP ANALYSIS) – Πλάνο Προτεινόμενων (Τεχνικών και Οργανωτικών) Μέτρων», στην οποία αναλύονται τα κενά που εντοπίστηκαν για κάθε δραστηριότητα επεξεργασίας και διατυπώνονται οι αντίστοιχες προτάσεις αντιμετώπισής τους. Οι προτάσεις που διατυπώνονται με γνώμονα τις ειδικότερες ανάγκες του Πελάτη, αφορούν σε τεχνικά και οργανωτικά μέτρα, το οποία προβλέπονται στη νομοθεσία για την προστασία των προσωπικών δεδομένων ή/και αποτελούν βέλτιστες πρακτικές στο οικείο επιστημονικό πεδίο.

3. Αποτίμηση Κινδύνων (Risk Assessment)

Αφού εντοπιστούν τα κενά ανά δραστηριότητα επεξεργασίας, πραγματοποιείται μία αποτίμηση των κινδύνων, που τα εντοπισθέντα κενά  συνεπάγονται για την προστασία των προσωπικών δεδομένων. Η αποτίμηση των κινδύνων ερείδεται στην εκτίμηση της πιθανότητας επέλευσης ενός περιστατικού ασφαλείας σε σχέση με τα προσωπικά δεδομένα, λαμβάνοντας υπόψη τη βαρύτητα των επιπτώσεων επέλευσης ενός τέτοιου περιστατικού. 

4. Μελέτη Εκτίμησης Αντικτύπου (DPIA)

Στις περιπτώσεις που κατά την Αποτίμηση Κινδύνων εντοπιστούν δραστηριότητες επεξεργασίας, οι οποίες ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εκπονείται Μελέτη Εκτίμησης Αντικτύπου (DPIA), σύμφωνα με το άρθρο 35 του ΓΚΠΔ, τις σχετικές κατευθυντήριες Γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (πρώην Ομάδα Εργασίας του Άρθρου 29) και το σχετικό κατάλογο της επικεφαλής εποπτικής Αρχής.

5. Εργαζόμενοι

Ως προς την επεξεργασία των προσωπικών δεδομένων των εργαζομένων του Πελάτη, ως εργοδότη, υλοποιούνται οι εξής ενέργειες:

  • Προσθήκη Συμβατικού Όρου για την προστασία των προσωπικών δεδομένων στη Σύμβαση εργασίας,
  • Κατάρτιση Συμβάσεων Εχεμύθειας και Προστασίας Προσωπικών Δεδομένων (NDA),
  • Ενημέρωση των εργαζομένων σχετικά με τη συλλογή και επεξεργασία των προσωπικών τους δεδομένων,
  • Ενημέρωση υποψήφιων εργαζομένων σχετικά με τη συλλογή και επεξεργασία των προσωπικών τους δεδομένων.

6. Έλεγχος/Τροποποίηση των Συμβάσεων με Εξωτερικούς Συνεργάτες/Προμηθευτές

Αφού μελετηθούν οι σχέσεις του Πελάτη με τρίτες οντότητες, στις οποίες διαβιβάζονται προσωπικά δεδομένα, επιχειρείται η ρύθμιση της εκάστοτε σχέσης με όρους προστασίας προσωπικών δεδομένων και συγκεκριμένα:

  • Δημιουργία Συμβατικού Όρου για την προστασία των προσωπικών δεδομένων,
  • Κατάρτιση των απαιτούμενων κατά περίπτωση Πρόσθετων Συμβάσεων Επεξεργασίας Προσωπικών Δεδομένων (Από Κοινού Υπεύθυνων Επεξεργασίας και Υπεύθυνου Επεξεργασίας– Εκτελούντος την Επεξεργασία),
  • Κατάρτιση Ιδιωτικών Συμφωνητικών Εμπιστευτικότητας (NDA).

7. Κατάρτιση Πολιτικών & Διαδικασιών για τη  Προστασία Προσωπικών Δεδομένων (GDPR)

Στο πλαίσιο  του έργου, θεσπίζονται οι απαιτούμενες Πολιτικές και Διαδικασίες Προστασίας Προσωπικών Δεδομένων, οι οποίες εξυπηρετούν την καινοφανή Αρχή της Λογοδοσίας. Συγκεκριμένα, οι Πολιτικές που εκπονούνται για λογαριασμό του Πελάτη είναι οι ακόλουθες:

  • Πολιτική Προστασίας Προσωπικών Δεδομένων: Η συγκεκριμένη Πολιτική θέτει τις αδρές γραμμές για την προστασία των προσωπικών δεδομένων εντός του Οργανισμού του Πελάτη. Μέσω της εν λόγω Πολιτικής, η οποία κοινοποιείται εσωτερικά, θεσπίζονται γενικοί κανόνες στους οποίους υπόκειται το σύνολο του προσωπικού, ενώ ταυτόχρονα διατυπώνονται οι γενικές αρχές προστασίας προσωπικών δεδομένων που, εν συνεχεία, εξειδικεύονται περαιτέρω από τον Πελάτη. 
  • Πολιτική Τήρησης των Δεδομένων Προσωπικού Χαρακτήρα: Μέσω της  συγκεκριμένης Πολιτικής, επιχειρείται ο γενικός καθορισμός του πλαισίου για την τήρηση και καταστροφή εγγράφων/αρχείων, που περιέχουν δεδομένα προσωπικού χαρακτήρα. Η εν λόγω Πολιτική θέτει γενικούς κανόνες, οι οποίοι συνιστάται να εξειδικεύονται περαιτέρω από τον Πελάτη βάσει αφενός των αναγκών κάθε τμήματος και αφετέρου του ισχύοντος νομικού πλαισίου.
  • Πολιτική και Διαδικασία Διαχείρισης των Αιτημάτων των Υποκειμένων των Δεδομένων: Mέσω των  συγκεκριμένων παραδοτέων, θεσπίζεται διαδικασία διαχείρισης των Αιτημάτων που υποβάλλουν τα Υποκείμενα για την ικανοποίηση των δικαιωμάτων τους σχετικά με τα προσωπικά τους δεδομένα. Η διαδικασία καθορίζεται βάσει των αναγκών κάθε Οργανισμού και αποσκοπεί  στη διασφάλιση της έγκαιρης ανταπόκρισης του Πελάτη στα αιτήματα των φυσικών προσώπων εντός των σύντομων προθεσμιών που προβλέπει ο ΓΚΠΔ για την ικανοποίηση των ενισχυμένων δικαιωμάτων τους. Ταυτόχρονα, παρέχονται σαφείς κατευθύνσεις, ώστε ο Πελάτης, συμμορφούμενος προς την Αρχή της Λογοδοσίας, να είναι ανά πάσα στιγμή σε θέση να αποδείξει την τήρηση των υποχρεώσεων που καθιερώνει ο Κανονισμός σχετικά με την ικανοποίηση των δικαιωμάτων των Υποκειμένων των Δεδομένων.
  • Πολιτικές Ασφάλειας των Πληροφοριακών Συστημάτων και Εφαρμογών: Πρόκειται για ένα σύνολο Πολιτικών μέσω των οποίων θεσπίζονται γενικοί κανόνες που διέπουν τη χρήση των συστημάτων και εφαρμογών του Πελάτη. Κάθε Πολιτική θεσπίζεται με γνώμονα την ασφάλεια των δεδομένων, η οποία περαιτέρω αναλύεται στις αρχές της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών.

8. Λήψη Τεχνικών και Οργανωτικών Μέτρων ως προς τη Χρήση των Καμερών

Η χρήση κλειστού συστήματος βιντεοεπιτήρησης (CCTV) από τον Πελάτη, ενδέχεται να συνιστά συλλογή και επεξεργασία προσωπικών δεδομένων των υπαλλήλων, πελατών, συνεργατών, κλπ. Για τη σύννομη λειτουργία του εν λόγω κλειστού συστήματος βιντεοεπιτήρησης (CCTV), υλοποιούνται οι κατωτέρω ενέργειες:

  • Κατάρτιση Πολιτικής για τη λειτουργία του κλειστού συστήματος βιντεοεπιτήρησης (CCTV), στην οποία θα προβλέπεται η τοποθεσία εγκατάστασης των καμερών, η διάρκεια τήρησης του υλικού της βιντεοεπιτήρησης και οι περιπτώσεις διαβίβασής του σε τρίτους, σύμφωνα με τις επιταγές τις ισχύουσας σχετικής νομοθεσίας,
  • Προετοιμασία των επικαιροποιημένων ενημερωτικών πινακίδων, που θα ενημερώνουν τα φυσικά πρόσωπα ότι διέρχονται σε χώρο που παρακολουθείται και θα περιλαμβάνουν περαιτέρω ενημέρωση σχετικά με την επεξεργασία των προσωπικών τους δεδομένων κατά τη χρήση κλειστού συστήματος βιντεοεπιτήρησης (CCTV),
  • Εκπόνηση Μελέτης Καμερών, όπου εξετάζεται η νόμιμη χρήση και τοποθέτηση της κάθε κάμερας ξεχωριστά και προτείνονται τα αντίστοιχα διορθωτικά μέτρα εφόσον απαιτείται.

9. Προετοιμασία Δηλώσεων Προστασίας Προσωπικών Δεδομένων και Λήψης Συγκατάθεσης

Αφού προσδιοριστούν οι κατηγορίες των Υποκειμένων των Δεδομένων στα οποία αφορούν οι δραστηριότητες επεξεργασίας, συντάσσονται κείμενα Ενημέρωσης και Λήψης Συγκατάθεσης. Ειδικότερα, διεξάγεται:

  • Έλεγχος όλων των σημείων που είναι αναγκαία η παροχή δήλωσης προστασίας προσωπικών δεδομένων και απαραίτητων Δηλώσεων Προστασίας Προσωπικών Δεδομένων (Privacy Notices), βάσει των απαιτήσεων του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και του Ν.4624/2019,
  • Έλεγχος όλων των επεξεργασιών για τις οποίες απαιτείται η λήψη συγκατάθεσης και προετοιμασία απαραίτητων Εντύπων Λήψης Συγκατάθεσης (Consent Forms), βάσει των απαιτήσεων του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και του Ν.4624/2019,
  • Έλεγχος όλων των σημείων συλλογής προσωπικών δεδομένων και δημιουργία δικλείδων ασφαλείας για διασφάλιση της περιορισμένης συλλογής προσωπικών δεδομένων.

10. Διαβιβάσεις Προσωπικών Δεδομένων εκτός ΕΕ/ΕΟΧ

Στις περιπτώσεις που ο Πελάτης προβαίνει σε διαβίβαση προσωπικών δεδομένων σε τρίτες χώρες ή οργανισμούς εκτός ΕΕ/ΕΟΧ, ελέγχεται εάν συντρέχουν οι προϋποθέσεις για τη σύννομη διαβίβαση, όπως  θεσπίζονται στο πέμπτο κεφάλαιο (Κεφάλαιο V) του ΓΚΠΔ (π.χ. Απόφαση Επάρκειας, Τυποποιημένες Συμβατικές Ρήτρες, Δεσμευτικοί Εταιρικοί Κανόνες κλπ.). Εν συνεχεία, προτείνονται τα απαιτούμενα τεχνικά και οργανωτικά μέτρα, συμπεριλαμβανομένων  των κειμένων κανονιστικού περιεχομένου, με σκοπό τη διασφάλιση επαρκούς επιπέδου προστασίας των δεδομένων που διαβιβάζονται σε τρίτες χώρες ή διεθνείς οργανισμούς.

11. Σχεδιασμός Διαδικασίας Αναγγελίας Περιστατικών Παραβιάσεων Προσωπικών Δεδομένων:

Αφού ληφθούν υπόψη οι συνθήκες λειτουργίας του Πελάτη, σχεδιάζεται η διαδικασία γνωστοποίησης στην αρμόδια εποπτική αρχή κάθε γεγονότος παραβίασης προσωπικών δεδομένων. Στο συγκεκριμένο παραδοτέο, αποτυπώνεται βηματικά η διαδικασία που συνιστάται να ακολουθηθεί από τον Πελάτη, ώστε ο τελευταίος να είναι σε θέση να γνωστοποιήσει στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ένα περιστατικό παραβίασης προσωπικών δεδομένων εντός 72 ωρών, εφόσον κάτι τέτοιο είναι δυνατό, από τη στιγμή που θα αποκτήσει γνώση αυτού (του περιστατικού παραβίασης προσωπικών δεδομένων).

12. Εκπαίδευση σε πολιτικές GDPR

Η εκπαίδευση του προσωπικού, που επεξεργάζεται προσωπικά δεδομένα υπό την άμεση εποπτεία του Πελάτη, αποτελεί ένα από τα σημαντικότερα οργανωτικά μέτρα για την απόκτηση «κουλτούρας προστασίας προσωπικών δεδομένων» και τη συμμόρφωση του Πελάτη με τη νομοθεσία για την προστασία των προσωπικών δεδομένων. Στο πλαίσιο του έργου, πραγματοποιείται εκπαίδευση των εργαζομένων με σκοπό την παροχή κατευθύνσεων, για την εφαρμογή των κατάλληλων διαδικασιών και μεθοδολογιών ασφαλούς συλλογής και επεξεργασίας προσωπικών δεδομένων.

13. Αναμόρφωση Επιγραμμικής (Online) Παρουσίας (Web Compliance)

Για τη διασφάλιση της σύννομης λειτουργίας της ιστοσελίδας (website) του Πελάτη, σύμφωνα με τις επιταγές της νομοθεσίας για την προστασία των προσωπικών δεδομένων, την Οδηγία E-Privacy, το Ν. 3471/2006 κλπ. και τις Αποφάσεις και Γνωμοδοτήσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, υλοποιούνται οι εξής ενέργειες:

  • Site Review: Αξιολόγηση της ιστοσελίδας υπό το πρίσμα της νομοθεσίας για την προστασία των προσωπικών δεδομένων και αποτύπωση των απαιτούμενων διορθωτικών ενεργειών.
  • Κατάρτιση Πολιτικής Προστασίας Προσωπικών Δεδομένων: Η Πολιτική Προστασίας Προσωπικών Δεδομένων έχει στόχο να ενημερώσει τους χρήστες της ιστοσελίδας σχετικά με το ποια προσωπικά τους δεδομένα συλλέγονται και τυγχάνουν επεξεργασίας μέσω αυτής, ποιος είναι ο σκοπός, η νόμιμη βάση, ο τρόπος επεξεργασίας, οι πιθανοί αποδέκτες αυτών των προσωπικών δεδομένων, τα μέτρα ασφαλείας, η διάρκεια διατήρησής τους καθώς και τα δικαιώματα των χρηστών σχετικά με τα προσωπικά τους δεδομένα. Η Πολιτική Προστασίας Προσωπικών Δεδομένων, πέρα από νομική υποχρέωση του Πελάτη, ενισχύει το αίσθημα ασφάλειας  και εμπιστοσύνης  των χρηστών απέναντί του.
  • Κατάρτιση Πολιτικής Cookies: Η Πολιτική Cookies αποσκοπεί στην ενημέρωση των χρηστών της ιστοσελίδας σχετικά με το ποια Cookies είναι εγκατεστημένα στη συγκεκριμένη ιστοσελίδα, ποια προσωπικά δεδομένα των χρηστών συλλέγουν, για πόσο χρονικό  διάστημα και με ποιους αποδέκτες. Η ενημέρωση των χρηστών είναι σαφής και ακριβής, ώστε να προβούν σε μια συνειδητή επιλογή σχετικά με το ποια Cookies αποδέχονται και ποια όχι, κατά την περιήγησή τους.
  • Δημιουργία υποδείγματος Cookie Banner: To Cookie Banner εμφανίζεται στο χρήστη κατά την επίσκεψή του στην πλατφόρμα και παρέχει στο χρήστη επαρκή ενημέρωση, καθώς και τα κατάλληλα πεδία που θα τον ανακατευθύνουν στην νόμιμη διαδικασία επιλογής των cookies που αποδέχεται.
  • Οδηγίες σχεδιασμού Cookie Banner σύμφωνα με τις προδιαγραφές που θέτει η ενωσιακή και εθνική νομοθεσία και νομολογία.
  • Δημιουργία disclaimer-checkboxes στα πεδία που κρίνεται απαραίτητο: Η προσθήκη κατάλληλων disclaimers-checkboxes είναι απαραίτητη σε φόρμες εγγραφής, φόρμες επικοινωνίας, φόρμες εγγραφής σε Newsletter, φόρμες υποβολής βιογραφικών υποψηφίων, κλπ.

14. Εκτίμηση αναγκαιότητας ορισμού DPO

Στα τελευταία στάδια του έργου, διατυπώνεται τεκμηριωμένη άποψη σχετικά με την ανάγκη/υποχρέωση του Πελάτη για ορισμό Υπεύθυνου Προστασίας Δεδομένων (DPO). Συγκεκριμένα, λαμβάνοντας υπόψη τη φύση και τις συνθήκες των δραστηριοτήτων επεξεργασίας που πραγματοποιεί ο Πελάτης, ελέγχεται η συνδρομή των προϋποθέσεων υποχρεωτικού ορισμού DPO, όπως αυτές προβλέπονται στο ΓΚΠΔ και στις σχετικές κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (πρώην Ομάδα Εργασίας του Άρθρου 29). Εν συνεχεία, εκτιμάται η σημασία  της εθελοντικής πρόσληψης DPO βάσει των αναγκών κάθε Πελάτη.

15. Εκτίμηση Κόστους – Οφέλους Ασφαλιστικής Κάλυψης

Διατυπώνεται τεκμηριωμένη άποψη σχετικά με την ανάγκη ασφάλισης “Cyber Insurance”. Για την αξιολόγηση της ανάγκης, λαμβάνονται υπόψη τα αποτελέσματα της Αποτίμησης Κινδύνων και της Μελέτης Εκτίμησης Αντικτύπου (DPIA), εφόσον έχει εκπονηθεί, σε συνάρτηση με το κόστος της ασφαλιστικής κάλυψης.

Έργα GDPR
DPO Συμβάσεις
Πιστοποιημένοι Σύμβουλοι

Σχετικές Ειδήσεις

Alfred - 360°