Προσωπικά δεδομένα gdpr
Ο νέος κανονισμός προστασίας προσωπικών δεδομένων επηρεάζει σχεδόν όλες τις επιχειρήσεις, θα τεθεί σε ισχύ τον Μάιο του 2018 και οι συνέπειές του είναι περίπλοκες.
Με το νέο σχέδιο νόμου προστίθεται άλλη μία περίπτωση υποχρεωτικού ορισμού Υπευθύνου Προστασίας Δεδομένων, με βάση κατάλογο που θα καταρτιστεί από την ΑΠΔΠΧ όπου θα καταγράφονται πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους.
Διευκρινίζεται ότι ο ορισμός του Υπευθύνου Προστασίας Δεδομένων πρέπει να γίνεται γραπτώς και για ορισμένο χρόνο, ενώ μπορεί να ανανεώνεται.
Τι είναι τα προσωπικά δεδομένα gdpr;
Κάθε δεδομένο που σχετίζεται με ένα άτομο εν ζωή και παράγεται στο πεδίο της δημόσιας, της επαγγελματικής και της ιδιωτικής ζωής.
Μπορεί δε να είναι σε έντυπη ή ηλεκτρονική μορφή.
Ενδεικτικά, προσωπικά δεδομένα είναι στοιχεία ατομικά, φορολογικά, τραπεζικά, κατοικίας, ιατρικά, αναρτήσεις σε social media, ιστορικό περιήγησης κλπ.
Επομένως γίνεται εύκολα αντιληπτό ότι ο Κανονισμός αφορά τους πάντες.
Σε κάθε περίπτωση απαιτείται η ρητή και ειδική συναίνεση των φυσικών προσώπων στην επεξεργασία των προσωπικών τους δεδομένων.
Μάλιστα θα πρέπει να αναφέρεται με σαφήνεια ο λόγος της τήρησης των δεδομένων καθώς και ο χρόνος τήρησης τους.
Το φυσικό πρόσωπο διατηρεί σε κάθε περίπτωση το δικαίωμα ανάκλησης της παραπάνω συναίνεσης.
Ειδικά για τους ανήλικους απαιτείται συναίνεση από αυτόν που ασκεί τη γονική μέριμνα.
Για τη συμμόρφωση με το GDPR, οι επιχειρήσεις θα πρέπει να διαθέτουν εκτός των άλλων, πιστοποιημένες διαδικασίες για:
Τη λήψη της συγκατάθεσης του πελάτη για την αποθήκευση και τη χρήση των προσωπικών στοιχείων του.
Την άμεση διακοπή της συγκέντρωσης των προσωπικών δεδομένων του όπως και την οριστική διαγραφή όσων έχουν συγκεντρωθεί, εάν αυτό ζητηθεί από τους πελάτες τους.
Την άμεση διαγραφή του συνόλου των προσωπικών δεδομένων και των προσωπικών στοιχείων με τη χρήση του δικαιώματος της ολικής διαγραφής, το λεγόμενο <Right to be Forgotten> εφόσον ζητηθεί.
Την ορθή τήρηση αναλυτικών αρχείων με τις δραστηριότητες επεξεργασίας δεδομένων.
Την συνεχή εκπαίδευση των εργαζομένων τους στις βέλτιστες πρακτικές προστασίας των προσωπικών δεδομένων και της ασφάλειας.
Πιθανά Βήματα προς τη συμμόρφωση με την προστασία προσωπικών δεδομένων GDPR
- Διαγνωστική Υπάρχουσας Κατάστασης
- Αναθεώρηση πολιτικών ασφαλείας
- Ανάγκη Συμμόρφωσης προς τεχνικά πρότυπα (ISO/IEC)
- Ανασχεδιασμός πληροφοριακών συστημάτων
- Διαδικασίες και λογισμικά εργαλεία ανωνυμοποίησης και κρυπτογράφησης
- Εκπαίδευση προσωπικού
- Διορισμός Data Protection Officer (DPO) ο οποίος μπορεί να είναι εξωτερικός συνεργάτης και θα συνεργάζεται άμεσα με το IT Department της Εταιρίας.
- Διαδικασίες αναφοράς συμβάντων υποκλοπής δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)
- Ανάγκη Ασφαλιστικής κάλυψης κινδύνων
