10/05/2018

Οδηγός επτά φάσεων της Ευρωπαϊκής Επιτροπής για τον Κανονισμό Γενικής Προστασίας Δεδομένων

Λιγότερο από 20 ημέρες έμειναν για την έναρξη της εφαρμογής του GDPR, και η Ευρωπαϊκή Επιτροπή εξακολουθεί να προσφέρει καθοδήγηση και εργαλεία στους πολίτες και τις επιχειρήσεις, ώστε να εξασφαλίζεται το υψηλότερο δυνατό επίπεδο συμμόρφωσης.
Το πιο πρόσφατο εργαλείο που δημοσιεύτηκε είναι ένας οδηγός επτά βημάτων για τις επιχειρήσεις.
Ο οδηγός , ο οποίος καθορίζει τις βασικές απαιτήσεις που πρέπει να ακολουθήσει μια επιχείρηση για να προετοιμαστεί για τον κανονισμό, απευθύνεται κυρίως σε εταιρείες που δεν χειρίζονται τα προσωπικά δεδομένα ως βασική επιχειρηματική δραστηριότητα και ιδίως στα ΜΜΕ.


Η Ευρωπαϊκή Επιτροπή εντοπίζει 7 βασικά βήματα στον πρόσφατα δημοσιευμένο οδηγό της, στον οποίο μπορείτε να βρείτε μια περίληψη παρακάτω:


Βήμα 1: Ελέγξτε τα προσωπικά δεδομένα που συλλέγετε και επεξεργάζεστε, τον σκοπό για τον οποίο το κάνετε και σε ποια νομική βάση στηρίζεστε

Έχετε εργαζόμενους και επεξεργάζεστε τα προσωπικά τους δεδομένα βάσει της σύμβασης εργασίας που έχετε συνάψει και βάσει νομικών υποχρεώσεων (π.χ. υποβολή εκθέσεων στις φορολογικές αρχές / κοινωνικό σύστημα). Μπορείτε να διαχειριστείτε μια λίστα με μεμονωμένους πελάτες, για παράδειγμα, να τους στείλετε ειδοποίηση σχετικά με ειδικές προσφορές / διαφημίσεις εάν έχετε λάβει τη συγκατάθεση τους. Δεν χρειάζεται πάντα συναίνεση. Υπάρχουν περιπτώσεις στις οποίες τα άτομα αναμένουν να επεξεργαστείτε τα δεδομένα τους. Για παράδειγμα, ως έμπορος πίτσας μπορείτε να επεξεργαστείτε τη διεύθυνση παράδοσης για να διαφημίσετε ένα από τα νέα προϊόντα σας. Αυτό ονομάζεται έννομο συμφέρον. Πρέπει να ενημερώσετε τα άτομα σχετικά με την προβλεπόμενη χρήση σας και να διακόψετε την επεξεργασία αυτών των δεδομένων, αν σας το ζητήσουν. Εάν διαχειρίζεστε μια λίστα προμηθευτών ή επιχειρηματικών πελατών, τότε το κάνετε με βάση τις συμβάσεις που έχετε μαζί τους. Οι συμβάσεις δεν είναι υποχρεωτικά γραπτές.


Βήμα 2: Ενημερώστε τους πελάτες σας, τους υπαλλήλους σας και άλλα άτομα όταν συλλέγετε τα προσωπικά τους δεδομένα 

Τα άτομα πρέπει να γνωρίζουν ότι επεξεργάζεστε τα προσωπικά τους δεδομένα και για ποιο σκοπό το κάνετε. Ωστόσο, δεν χρειάζεται να τους ενημερώσετε όταν έχουν ήδη πληροφορίες για το πώς θα χρησιμοποιήσετε τα δεδομένα τους, για παράδειγμα, όταν ένας πελάτης σας ζητά να κάνετε μια παράδοση στο σπίτι. Πρέπει επίσης να ενημερώσετε τα άτομα για τα προσωπικά δεδομένα τους που έχετε στην κατοχή σας  και να τους δώσετε πρόσβαση σε αυτά, εάν το επιθυμούν. Διατηρήστε τα δεδομένα σας έτσι ώστε, όταν π.χ. ο υπάλληλός σας σας ρωτά ποιο είδος προσωπικών δεδομένων έχετε, μπορείτε να το παρέχετε εύκολα χωρίς καμία πρόσθετη ταλαιπωρία.

Βήμα 3: Διατηρήστε τα προσωπικά σας δεδομένα μόνο για όσο χρειάζεται

Όσον αφορά τα δεδομένα σχετικά με τους υπαλλήλους σας: όσο η εργασιακή σχέση και οι σχετικές νομικές υποχρεώσεις. Όσον αφορά τα δεδομένα για τους πελάτες σας: όσο διαρκεί η σχέση πελατείας και για συναφείς νομικές υποχρεώσεις (για παράδειγμα για φορολογικούς σκοπούς). 

 

Βήμα 4: Ασφαλίστε τα προσωπικά δεδομένα που επεξεργάζεστε 

Εάν αποθηκεύσετε αυτά τα δεδομένα σε ένα σύστημα πληροφορικής, περιορίστε την πρόσβαση στα αρχεία που περιέχουν τα δεδομένα, π.χ. με έναν κωδικό πρόσβασης. Ενημερώστε τακτικά τις ρυθμίσεις ασφαλείας του συστήματός σας. Αν αποθηκεύετε φυσικά έγγραφα με προσωπικά δεδομένα, βεβαιωθείτε ότι δεν είναι προσβάσιμα από μη εξουσιοδοτημένα άτομα. Κλειδώστε τα σε χρηματοκιβώτιο ή σε ντουλάπι


Βήμα 5: Διατηρήστε τεκμήρια σχετικά με τις δραστηριότητες επεξεργασίας δεδομένων σας 

Προετοιμάστε ένα σύντομο έγγραφο που εξηγεί τι προσωπικά δεδομένα συλλέγετε και για ποιους λόγους. Ενδέχεται να σας ζητηθεί να διαθέσετε την τεκμηρίωση στην εθνική αρχή προστασίας δεδομένων. 


Βήμα 6: Βεβαιωθείτε ότι ο υπεργολάβος σας σέβεται τους κανόνες

Εάν υποβάλετε την επεξεργασία προσωπικών δεδομένων σε άλλη εταιρεία, χρησιμοποιήστε μόνο έναν πάροχο υπηρεσιών που εγγυάται την επεξεργασία σύμφωνα με τις απαιτήσεις του GDPR (για παράδειγμα, μέτρα ασφαλείας). Πριν υπογράψετε μια σύμβαση, ελέγξτε αν έχουν ήδη αλλάξει και προσαρμοστεί στο GDPR. Βάλτε το στο συμβόλαιο.


Βήμα 7: Ελέγξτε αν σας ενδιαφέρουν οι παρακάτω διατάξεις 

Προκειμένου να προστατευθούν καλύτερα τα προσωπικά δεδομένα, οι οργανώσεις ενδέχεται να πρέπει να διορίσουν έναν υπεύθυνο προστασίας δεδομένων (DPO). Ωστόσο, δεν χρειάζεται να ορίσετε υπεύθυνο προστασίας δεδομένων εάν η επεξεργασία των προσωπικών δεδομένων δεν αποτελεί βασικό μέρος της επιχείρησής σας, δεν είναι μια επικίνδυνη επεξεργασία και η δραστηριότητά σας δεν είναι σε μεγάλη κλίμακα.
Για παράδειγμα, αν η επιχείρησή σας συλλέγει μόνο δεδομένα σχετικά με τους πελάτες σας για παράδοση στο σπίτι, δεν χρειάζεται να ορίσετε κάποιον DPO.
Ακόμη και αν πρέπει να χρησιμοποιήσετε έναν ΥΠΔ, θα μπορούσε να είναι ένας υφιστάμενος υπάλληλος επιφορτισμένος με αυτή τη λειτουργία εκτός από τα άλλα καθήκοντά του. Ακόμη θα μπορούσε να είναι ένας εξωτερικός σύμβουλος. όπως πολλοί οργανισμοί χρησιμοποιούν εξωτερικούς λογιστές.
Κατά κανόνα δεν χρειάζεται να πραγματοποιείτε μια αξιολόγηση των επιπτώσεων για την προστασία των δεδομένων. Μια τέτοια εκτίμηση επιπτώσεων επιφυλάσσεται για εκείνους που δημιουργούν μεγαλύτερο κίνδυνο για τα προσωπικά δεδομένα, για παράδειγμα, πραγματοποιούν ευρεία παρακολούθηση ενός δημόσιου προσβάσιμου χώρου ( παρακολούθηση βίντεο).
Εάν είστε μια μικρή επιχείρηση που διαχειρίζεται τους μισθούς των εργαζομένων και έναν κατάλογο πελατών, δεν χρειάζεται να πραγματοποιήσετε αξιολόγηση των επιπτώσεων για την προστασία δεδομένων.


Πηγή :  European Commission

Πού θα βρείτε περισσότερες πληροφορίες σχετικά με το GDPR

Εάν επιθυμείτε να λάβετε περισσότερες πληροφορίες, μπορείτε επίσης:

  • Επισκεφθείτε την ηλεκτρονική καθοδήγηση της Ευρωπαϊκής Επιτροπής σχετικά με τη μεταρρύθμιση της προστασίας δεδομένων - διαθέσιμη σε όλες τις γλώσσες της ΕΕ.
  •  Συμβουλευτείτε την εθνική αρχή προστασίας δεδομένων.


Αυτό το ενημερωτικό δελτίο είναι το τελευταίο σε μια σειρά εγγράφων καθοδήγησης που έχει δημιουργήσει η Ευρωπαϊκή Επιτροπή, τα οποία μπορείτε να βρείτε στην ιστοσελίδα του GDPR.