Αναστασία – Ινώ Τσιρίδου (Δικηγόρος): GDPR - Συμμόρφωση σε… βήματα

Αναστασία – Ινώ Τσιρίδου (Δικηγόρος): GDPR - Συμμόρφωση σε… βήματα
Αναστασία – Ινώ Τσιρίδου: GDPR - Συμμόρφωση σε… βήματα
Τι κοινό έχει ένα τηλεφώνημα από μια εισπρακτική εταιρία, η δήλωση στην Εφορία, η loyalty card ενός καταστήματος και η επιχείρησή σας;
Όλα περιλαμβάνουν επεξεργασία δεδομένων προσωπικού χαρακτήρα και όλα εμπίπτουν στο πεδίο εφαρμογής του Γενικού Κανονισμού για την προστασία Προσωπικών Δεδομένων (ΓΚΠΔ ή GDPR).
Ο Κανονισμός τέθηκε ήδη σε πλήρη εφαρμογή από την 25η Μαΐου 2018 και εφαρμόζεται άμεσα σε όλα τα κράτη μέλη της ΕΕ.
Ως κανονισμός, δεν απαιτεί να μεσολαβήσει εθνική νομοθεσία για τη μεταφορά του. Εθνικός νόμος θα ψηφιστεί, αλλά θα αφορά επιμέρους εξειδίκευση διαφόρων θεμάτων.
Ο GDPR προβλέπει βαρύτατα πρόστιμα για τη μη συμμόρφωση, που μπορεί να ανέλθουν έως και σε 20.000.000 ευρώ ή στο 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών κάθε επιχείρησης ή φορέα.
Προβλέπει επίσης και μια σειρά δικαιώματα των υποκειμένων των δεδομένων, αλλά και δυνατότητα των πολιτών να στραφούν κατά των υπευθύνων επεξεργασίας με αστικές αξιώσεις, διεκδικώντας αποζημιώσεις στα δικαστήρια.
Οι έλεγχοι αναμένεται να αρχίσουν συστηματικά σε λίγο καιρό και, προκειμένου να είναι μια επιχείρηση σε θέση να αποδείξει ότι έχει λάβει τα κατάλληλα μέτρα για την ασφάλεια και διαχείριση των προσωπικών δεδομένων, αλλά και να προστατευτεί από καταγγελίες ιδιωτών, θα πρέπει να δημιουργήσει ένα ισχυρό φάκελο τεκμηρίωσης, με τα βήματα που περιγράφονται πιο κάτω.
Τι οφείλει λοιπόν να κάνει μια επιχείρηση για να συμμορφωθεί με τον GDPR;  
Καταρχάς, να γνωρίζει τα δεδομένα της.
Για τους σκοπούς του GDPR, προσωπικά δεδομένα είναι σχεδόν τα πάντα:
-το όνομα, η διεύθυνση, η φωτογραφία
-ο αριθμός τηλεφώνου
- η διεύθυνση email
-οι προσωπικοί αριθμοί ταυτότητας, ασφάλισης κλπ
-τα βιομετρικά και γενετικά δεδομένα
- η οικονομική κατάσταση
-η πολιτισμική και κοινωνική ταυτότητα
-η διεύθυνση IP, τα στοιχεία γεωεντοπισμού
- το ID συσκευής
-τα cookies

Επιπλέον, ευαίσθητα προσωπικά δεδομένα είναι όλα όσα αναφέρονται σε τομείς όπως η υγεία, η οικονομική κατάσταση, τα θρησκευτικά ή πολιτικά πιστεύω κλπ.

Βήματα συμμόρφωσης

1. Διορισμός Υπευθύνου Προστασίας Δεδομένων (υποχρεωτικά στο δημόσιο και σε ιδιωτικές επιχειρήσεις με επεξεργασία μεγάλης κλίμακας, προαιρετικά σε άλλες περιπτώσεις)
2.  Αναγνώριση των δεδομένων που τηρεί και επεξεργάζεται η επιχείρηση
3.  Χαρτογράφηση – δημιουργία χάρτη - αρχείου δραστηριοτήτων επεξεργασίας (Data Mapping and Inventory), ο οποίος θα παρουσιάζει όλο τον κύκλο ζωής των δεδομένων μέσα στην επιχείρηση (πώς εισάγονται, που αποθηκεύονται, πόσο χρόνο διατηρούνται, πώς καταστρέφονται, που διαβιβάζονται, κ.ο.κ., με στόχο την πλήρη καταγραφή των προσωπικών δεδομένων που τηρούνται και την ανάδειξη των περιοχών υψηλού κινδύνου)
4.  Εντοπισμός επεξεργασιών υψηλού ρίσκου και διενέργεια εκτίμησης αντικτύπου ιδιωτικότητας εάν χρειάζεται (μπορεί να αναδείξει την ανάγκη κατάργησης ή ανασχεδιασμού κάποιων διαδικασιών επεξεργασίας)
5.  Προστασία των προσωπικών δεδομένων ήδη από το σχεδιασμό και εξ’ ορισμού (αναδιάρθρωση ή δημιουργία διαδικασιών για την αντιμετώπιση ζητημάτων όπως ο χρόνος τήρησης των δεδομένων, η πρόσβαση στα δεδομένα και η δημιουργία access controls, η διαδικασία καταστροφής τους, κ.ο.κ..)
6.  Αναθεώρηση ή δημιουργία προσαρτημάτων των συμβάσεων (με τους εκτελούντες την επεξεργασία δεδομένων, τους εργαζόμενους, τους προμηθευτές κλπ) καθώς και όλων των εντύπων συναίνεσης, ούτως ώστε να είναι σύμφωνα με τον Κανονισμό
7.  Οχύρωση και αναβάθμιση των πληροφοριακών συστημάτων, στα οποία αποθηκεύονται προσωπικά δεδομένα, για αποφυγή παραβίασης
8.  Λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων για την προστασία των δεδομένων προσωπικού χαρακτήρα (π.χ. ψευδωνυμοποίηση, ελαχιστοποίηση των δεδομένων, ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κ.ο.κ).
9.   Εσωτερική οργάνωση, εκπαίδευση και ευαισθητοποίηση του προσωπικού
10.  Συνεχής παρακολούθηση της συμμόρφωσης, συνεργασία με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, τήρηση κατευθυντηρίων οδηγιών
Η τήρηση των βημάτων αυτών (που μπορούν να συμπληρωθούν και από τη λήψη σχετικής πιστοποίησης) αποτυπώνει τη δυναμική προσέγγιση της επιχείρησης και μπορεί να χρησιμοποιηθεί και να προβληθεί ως παράγοντας αξιοπιστίας και αυξημένης υπεραξίας.
Ο GDPR μπορεί να αποτελέσει ευκαιρία για εξορθολογισμό και εξωστρέφεια, αν δεν αντιμετωπιστεί από τους οικονομικούς φορείς ως μια στατική διαδικασία, ως μία ακόμη υποχρέωση που πρέπει να τηρείται.

Αναστασία – Ινώ Τσιρίδου,Δικηγόρος (LLM στο Διεθνές και Ευρωπαϊκό Δίκαιο)
Associate - Δικηγορική εταιρία Χρυσόστομος Βελάκης & Συνεργάτες

www.bankingnews.gr

bankingnews.gr

BREAKING NEWS