Η digithink! ετοίμασε και σας παρουσιάζει ένα σύντομο οδηγό για τη συμμόρφωση της επιχείρησής σας με τον νέο κανονισμό της Ε.Ε. GDPR για την προστασία των προσωπικών δεδομένων.
Οι βασικές αλλαγές σύμφωνα με τον κανονισμό GDPR
Α. Προσωπικό απόρρητο
Τα άτομα (υποκείμενα) έχουν τα εξής δικαιώματα:
- Να αποκτούν πρόσβαση και να εξάγουν τα προσωπικά τους δεδομένα
- Να διαγράφουν τα προσωπικά τους δεδομένα
- Να διορθώνουν σφάλματα στα προσωπικά τους δεδομένα
- Να εναντιώνονται στην επεξεργασία των προσωπικών τους δεδομένων
Β. Έλεγχοι και γνωστοποιήσεις
Οι εταιρείες και οι οργανισμοί πρέπει:
- Να προστατεύουν τα προσωπικά δεδομένα λαμβάνοντας κατάλληλα μέτρα ασφαλείας
- Να γνωστοποιούν στις αρχές τις παραβιάσεις προσωπικών δεδομένων
- Να λαμβάνουν συγκατάθεση για τη συλλογή και την επεξεργασία προσωπικών δεδομένων
- Να τηρούν αρχεία που θα παρέχουν αναλυτικές πληροφορίες για τις δραστηριότητες επεξεργασίας δεδομένων
Γ. Διαφάνεια
Οι εταιρείες και οι οργανισμοί πρέπει να εφαρμόζουν πολιτικές οι οποίες:
- Θα παρέχουν σαφή γνωστοποίηση για τη συλλογή δεδομένων
- Θα περιγράφουν το λόγο και τις περιπτώσεις επεξεργασίας των προσωπικών δεδομένων
- Θα ορίζουν πολιτικές διατήρησης και διαγραφής δεδομένων
Δ. IT και εκπαίδευση
Οι εταιρείες και οι οργανισμοί θα πρέπει:
- Να εκπαιδεύουν τους εργαζομένους στις βέλτιστες πρακτικές για την προστασία των προσωπικών δεδομένων και ασφάλειας
- Να ελέγχουν και να ενημερώνουν για τις πολιτικές προστασίας δεδομένων
- Να ορίζουν έναν Υπεύθυνο προστασίας δεδομένων, εφόσον χρειάζεται
- Να συνάπτουν και να διαχειρίζονται συμβάσεις με προμηθευτές που συμμορφώνονται με τον κανονισμό
4 βήματα για τη συμμόρφωση
1. Προσδιορισμός Κανονισμού GDPR και Εφαρμογή
- Το πρώτο βήμα για τη συμμόρφωση με τον κανονισμό GDPR είναι η εξέταση της ισχύος του κανονισμού στον οργανισμό και αν ναι, σε ποια έκταση.
- Η ανάλυση ξεκινάει με την ταυτοποίηση των δεδομένων καθώς και με το που βρίσκονται. Ο κανονισμός ρυθμίζει τη συλλογή, την αποθήκευση, τη χρήση και τον διαμοιρασμό των “προσωπικών δεδομένων” (Στοιχεία Ταυτότητας Φυσικού Προσώπου, Χρηματο-οικονομικά Στοιχεία, Ηλεκτρονικά Μέσα κ.α.)
- Αν ο οργανισμός έχει τέτοιου είδους δεδομένα, σε βάσεις δεδομένων, σε φόρμες που συμπληρώνουν οι πελάτες, σε emails, φωτογραφίες, κλειστά κυκλώματα παρακολούθησης κ.α., και αν τα δεδομένα ανήκουν σε πολίτες της Ε.Ε. τότε είναι απαραίτητη η συμμόρφωση με τον κανονισμό.
- Η απογραφή των δεδομένων θα βοηθήσει στην ταυτοποίηση των δεδομένων που θεωρούνται προσωπικά ή ευαίσθητα, που συλλέγονται και φυλάγονται, γιατί συλλέγονται, πως επεξεργάζονται και διαμοιράζονται, πως προστατεύονται και πόσο καιρό διατηρούνται.
2. Διαχείριση δεδομένων
- Το GDPR παρέχει στα υποκείμενα των δεδομένων - τα άτομα στα οποία αφορούν δεδομένα - τον έλεγχο του τρόπου συλλογής και χρήσης των προσωπικών τους δεδομένων. Η αποτελεσματική διαχείριση των δεδομένων περιλαμβάνει τη διακυβέρνηση και ταξινόμησή τους.
- Διακυβέρνηση δεδομένων. Για την κάλυψη των υποχρεώσεων απέναντι στα υποκείμενα των δεδομένων, είναι απαραίτητη η γνώση των τύπων δεδομένων που επεξεργάζεται ο οργανισμός καθώς και για ποιο σκοπό. Η ανάπτυξη και εφαρμογή ενός σχεδίου διακυβέρνησης δεδομένων θα βοηθήσει στον ορισμό πολιτικών, ρόλων και ευθυνών για την πρόσβασή τους, τη διαχείριση και τη χρήση τους, και θα διασφαλίσει τη συμμόρφωση των πρακτικών αυτών με το GDPR.
- Ταξινόμηση δεδομένων. Ένα σύστημα ταξινόμησης που ισχύει σε ολόκληρο τον οργανισμό είναι ιδιαίτερα χρήσιμο για την ανταπόκριση στα αιτήματα των υποκειμένων δεδομένων, διότι επιτρέπει την εύκολη αναγνώριση και επεξεργασία των αιτημάτων προσωπικών δεδομένων.
3. Ασφάλεια και προστασία δεδομένων
- Το GDPR αυξάνει τη σημασία της ασφάλειας των πληροφοριών και απαιτεί τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων από απώλεια ή μη εξουσιοδοτημένη πρόσβαση ή αποκάλυψη.
- Τα κέντρα δεδομένων πρέπει:
- να είναι πιστοποιημένα με διεθνώς αναγνωρισμένα πρότυπα ασφαλείας (ανάλογα το είδος και το μέγεθος του οργανισμού)
- να προστατεύονται από 24ωρη φυσική παρακολούθηση
- να διαθέτουν αυστηρούς ελέγχους πρόσβασης
- να διαθέτουν μηχανισμούς αποτροπής και προστασίας από ανεπιθύμητες προσβάσεις τόσο σε φυσικό επίπεδο (firewalls κλπ) όσο και σε επίπεδο cloud
- να καταγράφουν την ζήτηση, την πρόσβαση και την επεξεργασία των δεδομένων
4. Αναφορά
Το GDPR θέτει νέα πρότυπα στη διαφάνεια, τη λογοδοσία και την τήρηση αρχείων, για τον χειρισμό και τη διατήρηση της τεκμηρίωσης που καθορίζει τις διαδικασίες και τη χρήση των προσωπικών δεδομένων.
Οι οργανισμοί που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πρέπει να τηρούν αρχεία σχετικά με:
Είναι απαραίτητη η χρήση εργαλείων ελέγχου, για την εξασφάλιση της παρακολούθησης και καταγραφής οποιασδήποτε επεξεργασίας των δεδομένων - είτε πρόκειται για συλλογή, χρήση, κοινή χρήση ή για άλλον τρόπο.
Το GDPR θέτει νέα πρότυπα στη διαφάνεια, τη λογοδοσία και την τήρηση αρχείων, για τον χειρισμό και τη διατήρηση της τεκμηρίωσης που καθορίζει τις διαδικασίες και τη χρήση των προσωπικών δεδομένων.
Οι οργανισμοί που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πρέπει να τηρούν αρχεία σχετικά με:
- τους σκοπούς της επεξεργασίας
- τις κατηγορίες επεξεργασμένων δεδομένων προσωπικού χαρακτήρα
- την ταυτότητα των τρίτων με τους οποίους μοιράζονται τα δεδομένα
- εάν (και ποιες) τρίτες χώρες λαμβάνουν προσωπικά δεδομένα και τη νομική βάση αυτών των μεταφορών
- οργανωτικά και τεχνικά μέτρα ασφαλείας
- τους χρόνους κατακράτησης δεδομένων που ισχύουν για διάφορα σύνολα δεδομένων.
Είναι απαραίτητη η χρήση εργαλείων ελέγχου, για την εξασφάλιση της παρακολούθησης και καταγραφής οποιασδήποτε επεξεργασίας των δεδομένων - είτε πρόκειται για συλλογή, χρήση, κοινή χρήση ή για άλλον τρόπο.