Προστασία Προσωπικών Δεδομένων GDPR2019-05-02T15:51:53+00:00

ΥΠΗΡΕΣΙΕΣ GDPR / DPO

Κρυπτογράφηση Δεδομένων

Η κρυπτογράφηση δεδομένων χρησιμοποιείται παντού, και είναι η “κλειδαριά” που κρατάει την ψηφιακή μας ζωή ασφαλή.
Η βασική λογική πίσω από την κρυπτογράφηση δεδομένων είναι εξαιρετικά απλή.
Αφορά το πώς να “μεταμφιέσουμε” μια πληροφορία (ένα κείμενο, έναν αριθμό, ένα αρχείο), έτσι ώστε να μην βγαίνει κανένα απολύτως νόημα στα μάτια τρίτων.
Μόνο όποιος έχει το “κλειδί” της κρυπτογράφησης θα μπορεί να διαβάσει την αρχική πληροφορία.

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer-DPO)

Οι εταιρείες και οι οργανισμοί οφείλουν να ορίσουν έναν Υπεύθυνο Προστασίας Δεδομένων. Ο ρόλος του είναι να παρακολουθεί τη διαρκή και επαρκή συμμόρφωση της εταιρείας ή του οργανισμού με τον νόμο, ενώ παράλληλα είναι ο ΜΟΝΑΔΙΚΟΣ σύνδεσμος επικοινωνίας της εταιρείας ή του οργανισμού με την αρμόδια εποπτική Αρχή
Ποιοι υποχρεούνται να διορίσουν DPO;
Όλες οι εταιρείες και οι δημόσιοι οργανισμοί και ΔΕΚΟ, εκτός δικαστηρίων, που ενεργούν στα πλαίσια της δικαιοδοσίας τους.
Κάθε εταιρεία ή οργανισμός του οποίου η βασική δραστηριότητα συνιστά: Τακτική και συστηματική παρακολούθηση φυσικών προσώπων (Υποκειμένων των δεδομένων) σε μεγάλη κλίμακα, ή μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων: φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή και τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή μεγάλης κλίμακας επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα.
Ο DPO μπορεί να είναι μέλος του προσωπικού υπό προϋποθέσεις, ή εξωτερικός Συνεργάτης, με δελτίο παροχής υπηρεσιών (Άρθρα 37-38-39).
Παραδείγματα εταιρειών και οργανισμών που έχουν υποχρέωση διορισμού DPO:
Εταιρείες Τηλεπικοινωνιών
Πάροχοι ηλεκτρονικού ταχυδρομείου
Εταιρείες Μισθοδοσίας
Ασφαλιστικές
Τράπεζες
Εταιρείες Υπηρεσιών Υγείας
Εμπορικές εταιρείες
E-shop
Διαφημιστικές εταιρείες
Σωματεία, σύλλογοι και κόμματα
Όλες οι εταιρείες που έχουν προσωπικά δεδομένα υπαλλήλων, προμηθευτών, κ.α
Μπορεί μια εταιρεία να ορίσει ως DPO έναν από τους υπαλλήλους της;
Ναι, αλλά υπό την προϋπόθεση ότι ΔΕΝ θα υπάρχει σύγκρουση συμφερόντων.
Αν ο ρόλος ενός υπαλλήλου στην εταιρεία περιλαμβάνει και το να ορίζει τον σκοπό ή την μέθοδο επεξεργασίας προσωπικών δεδομένων, τότε αυτός ο υπάλληλος δεν μπορεί να διορισθεί DPO της εταιρείας.
Μερικά ενδεικτικά παραδείγματα σύγκρουσης συμφερόντων παρατηρούνται στις εξής θέσεις – αλλά όχι μόνο: CEO, COO,
Επικεφαλής IT, HR, Οικονομικών, Marketing, κ.α.. Στην πραγματικότητα, η σύγκρουση συμφερόντων, σε όποιες βαθμίδες και σε όποιες θέσεις υπάρχει, εξαρτάται από την οργανωτική δομή της εκάστοτε εταιρείας.

GDPR ευχή ή κατάρα για τις επιχειρήσεις; 

Ένα εργαλείο που μας παρέχει ασφάλεια

Μετά από πολλές συζητήσεις που είχαν ξεκινήσει το 2012, έρχεται τελικά σήμερα ο GDPR.
Με απλά λόγια, πρόκειται για ένα σύνολο κανονισμών της Ευρωπαϊκής Επιτροπής το οποίο παρέχει τη δυνατότητα στους πολίτες να έχουν μεγαλύτερο έλεγχο στα προσωπικά τους δεδομένα και επιβάλλει παράλληλα πιο αυστηρούς κανόνες χρησιμοποίησής τους από τις επιχειρήσεις.
Το Ευρωπαϊκό Κοινοβούλιο ενέκρινε τον GDPR τον Απρίλιο του 2016 και από τις 25 Μαϊου 2018 οι επιχειρήσεις οφείλουν να τον εφαρμόσουν στην λειτουργία τους, με τον έναν ή τον άλλον τρόπο.
Αυτό σημαίνει αυστηρά, πως οι επιχειρήσεις οφείλουν να είναι απολύτως σίγουρες πως όλες οι πληροφορίες-δεδομένα που συγκεντρώνουν, συλλέγονται με νόμιμο τρόπο ο οποίος εναρμονίζεται με τον Κανονισμό.
Οι επιχειρήσεις οφείλουν να σέβονται τα προσωπικά δεδομένα των κατόχων τους, να μπορούν να τα προστατεύουν καθώς και να δίνουν πρόσβαση ανάκλησης και διαγραφής αυτών από τον ίδιο τον χρήστη όταν το ζητήσει αυτός.
Σε περίπτωση αποτυχίας της προστασίας ή παράνομης συλλογής δεδομένων, θα υπάρχουν πολύ βαριά πρόστιμα.
Είναι πολύ σημαντικό να επισημάνουμε πως ο GDPR υποχρεώνει όλες τις εταιρείες εντός και εκτός της ΕΕ να συμμορφωθούν, καθώς εαν μια εταιρεία βρίσκεται εκτός της ΕΕ αλλά έχει πελάτες-υπαλλήλους εντός
Ευρώπης, ή προσφέρει αγαθά-υπηρεσίες εντός ΕΕ, πρέπει και αυτή να συμμορφωθεί στον νέο Κανονισμό. Επομένως, ο GDPR έρχεται να αλλάξει την παγκόσμια αγορά.
Για το εαν και πώς ο GDPR θα επηρεάσει τις επιχειρήσεις, η Ευρωπαϊκή Επιτροπή αναφέρει ότι “με την ενοποίηση των κανόνων της Ευρώπης για την προστασία των δεδομένων, οι νομοθέτες δημιουργούν μια επιχειρηματική ευκαιρία και ενθαρρύνουν την καινοτομία”.
Στην πραγματικότητα είναι μια εξαιρετική ευκαιρία για τις εταιρείες να ξανασκεφτούν τη στρατηγική τους και να υλοποιήσουν καμπάνιες με πολύ στοχευμένο και πιστό κοινό, το οποίο θα τις ακολουθεί και θα θέλει να μαθαίνει για/από αυτές.
Με τον τρόπο αυτό, κατηγοριοποιούμε όλοι, ευκολότερα, το κοινό μας και εστιάζουμε την επικοινωνία μας σε συγκεκριμένα ενδιαφέροντα, πληροφορίες και δεδομένα.
Το ίδιο marketing και email marketing για όλους δεν πουλάει πια. Δίνοντας το δικαίωμα στον χρήστη, βάσει ρυθμίσεων, να δηλώνει από μόνος του τι θέλει να λαμβάνει και τι όχι, έχουμε ακόμα ένα δεδομένο στα χέρια μας για το χρησιμοποιήσουμε κατάλληλα σε μελλοντικές μας καμπάνιες.
Τελευταίο αλλά εξίσου σημαντικό είναι η διαφάνεια, η οποία πρέπει να αποτελεί το Α και το Ω των αλλαγών που θα γίνουν.
Η σχέση επικοινωνίας πρέπει να χτίζεται πάνω στην εμπιστοσύνη και ακριβώς αυτό πρέπει να αποπνέει η νέα πολιτική που θα ακολουθήσει μια εταιρεία με τους πελάτες της. Πρέπει να είναι ειλικρινής σχετικά με το ποιά είναι, τι κάνει και να κάνει τον χρήστη να αισθάνεται ασφαλής μέσα στην επιχείρησή δίνοντάς της τα στοιχεία του. 

Σχέση GDPR και πολιτών

Το πιο σημαντικό στοιχείο από τον GDPR είναι πως οι πολίτες θα μπορούν να έχουν πλήρη πρόσβαση στα προσωπικά τους δεδομένα και θα μπορούν να ενημερώνονται άμεσα για το αν και πότε αυτά
παραβιάζονται, καθώς σε περίπτωση παραβίασης, η εκάστοτε επιχείρηση οφείλει να ενημερώνει τόσο τον πελάτη-κάτοχο των προσωπικών δεδομένων όσο και την Αρχή Προστασίας Δεδομένων.
Ακόμη, ο πολίτης-χρήστης διατηρεί ανελλιπώς το δικαίωμα ενημέρωσης του από την εταιρεία για την κατάσταση των προσωπικών του δεδομένων. Αν αλλάξει γνώμη, έχει Δικαίωμα στη Λήθη, όπου μπορεί να ζητήσει να διαγραφούν όλα τα προσωπικά του δεδομένα. 

Παραβίαση Προσωπικών Δεδομένων

Σε περίπτωση παραβίασης προσωπικών δεδομένων ( όνομα, διεύθυνση, ιατρικό αρχείο, τραπεζικά στοιχεία, αριθμός μητρώου ή ταυτότητας κ.α ), η κάθε επιχείρηση οφείλει να ενημερώσει τον κάτοχο των δεδομένων άμεσα ώστε να περιοριστεί η ζημιά.
Η επιχείρηση οφείλει να ενημερώσει την Αρχή Προστασίας Δεδομένων εντός 72 ωρών. Επίσης, η επιχείρηση πρέπει να ενημερώσει απευθείας τα θύματα διότι μόνο ένα δελτίο Τύπου ή μια γενική ανακοίνωση στη σελίδα της δεν την καλύπτουν και θα προκύψουν βαρύτατες κυρώσεις. 

Κυρώσεις 

Όπως καταλαβαίνουμε ο GDPR δεν είναι παιχνίδι. Είναι ένας σοβαρός Κανονισμός που επιβάλλει σημαντικές ποινές σε περίπτωση μη συμμόρφωσης, ανάλογα με το μέγεθος της ζημιάς.
Συγκεκριμένα, τα πρόστιμα κυμαίνονται από 10-20 εκατομμύρια ευρώ έως 4% του συνολικού ετήσιου κύκλου εργασιών της επιχείρησης για παραβίαση των προσωπικών δεδομένων.
Επομένως, εαν ένας πελάτης ζητήσει τα δεδομένα του και δεν τα λάβει – αν υπάρξει παράνομη συγκέντρωση πληροφοριών ή μεταφορά προσωπικών δεδομένων προς τρίτους – ο GDPR θα είναι εκεί για να τιμωρήσει αυτές τις επιχειρήσεις.
Τα αποτελέσματα του GDPR θα φανούν σε βάθος χρόνου. 

Υπηρεσία Outsource DPO (Outsource Data Protection Officer – Εξωτερικός συνεργάτης στη θέση του Υπεύθυνου Προστασίας Δεδομένων) απο την SBBC ΟΜΙΛΟΣ ΥΠΗΡΕΣΙΏΝ Α.Ε
O νέος Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR 679/2016) σας υποχρεώνει να έχετε έναν Υπεύθυνο Προστασίας Προσωπικών Δεδομένων ( Data Protection Officer – DPO). Αυτός μπορεί να είναι ένας εξωτερικός συνεργάτης – πάροχος υπηρεσιών (outsource DPO), που θα διασφαλίσει τα δικά σας συμφέροντα σε περίπτωση
αντιδικίας με κάποιον τρίτο. Τα οφέλη είναι πολλά για την δική σας επιχείρηση διότι καταργείται με τον τρόπο αυτό το ασυμβίβαστο στην περίπτωση που θα είχατε ως DPO έναν δικό σας υπάλληλο.
Η επιλογή της υπηρεσίας μας Outsource DPO σημαίνει για εσάς εξασφάλιση, διότι μπορείτε να βασιστείτε στην τεχνογνωσία και την εμπειρία πιστοποιημένων συνεργατών μας DPO σε θέματα ανάληψης κινδύνων.
Οι απαιτούμενοι τομείς του GDPR στους οποίους διαθέτει εμπειρία και τεχνογνωσία ο Υπεύθυνος Προστασίας Δεδομένων (DPO) είναι:
Βusiness – (λήψη και παρακολούθηση απαιτούμενων οργανωτικών μέτρων)
Technical – IT Security (λήψη και παρακολούθηση απαιτούμενων τεχνικών μέτρων)
Legal – (συμμόρφωση με τις νομικές απαιτήσεις του GDPR)
Οι υπηρεσίες Outsource DPO της SBBC ΟΜΙΛΟΣ ΥΠΗΡΕΣΙΩΝ Α.Ε περιλαμβάνουν :
1) Δημιουργία πρωτοκόλλου λειτουργίας της εταιρείας ή του οργανισμού στα πλαίσια του GDPR
2) Ενημέρωση του προσωπικού σχετικά με τις απαιτήσεις του GDPR
3) Παροχή συμβουλών προς τον οργανισμό σχετικά με την συμμόρφωσή του με το GDPR
4) Συντονισμό της ομάδας GDPR (GDPR Team) του οργανισμού
5) Αξιολόγηση και επικαιροποίηση της μελέτης συμμόρφωσης
6) Παρακολούθηση των αποκλίσεων με το GDPR
7) Ενημέρωση της Διοίκησης για τον βαθμό συμμόρφωσης
8) Αποθήκευση και φύλαξη των προσωπικών σας δεδομένων με κρυπτογραφημένο BacKup σε δικό μας χώρο
9) Προτάσεις για την λήψη διορθωτικών μέτρων (τεχνικών και οργανωτικών) για την μείωση του κινδύνου
10) Καταγραφή των συμβάντων παραβίασης και αναφοράς τους προς την Αρχή Προστασίας Προσωπικών Δεδομένων (και προς τα υποκείμενα, εφ’ όσον απαιτηθεί)
11) Συνεργασία με την Αρχή Προστασίας Προσωπικών Δεδομένων όπου και όταν αυτό απαιτείται.
Η υπηρεσία Outsource DPO περιλαμβάνει την παροχή υπηρεσιών υποστήριξης τόσο στον χώρο της εταιρείας ή του οργανισμού όσο και απομακρυσμένα, μέσω τηλεφώνου ή e-mail. Κατά διαστήματα γίνεται από την πλευρά μας μια υπενθύμιση και ενημέρωση για την σωστή λειτουργία όλων των μέτρων προστασίας που έχουν ληφθεί.
Επειδή συνήθως οι εταιρείες και οι οργανισμοί έχουν την ανάγκη μεγαλύτερης υποστήριξης στα αρχικά στάδια της συμμόρφωσης με τον κανονισμό (GDPR Compliance), μπορεί να υιοθετηθεί μια ευέλικτη προσέγγιση που να συνδυάζει περισσότερες εργατοώρες στον χώρο της εταιρείας ή του οργανισμού στην αρχή και στην συνέχεια απομακρυσμένη υποστήριξη. Κάθε χρόνο γίνεται μια επιβεβαίωση την ορθής λειτουργίας όλων των μέτρων προστασίας των προσωπικών δεδομένων και εξετάζουμε τυχόν νέες προσθήκες GDPR.

ΔΙΑΒΑΣΤΕ ΕΔΩ ΟΛΗ ΤΗΝ ΝΟΜΟΘΕΣΙΑ

ΝΟΜΟΘΕΣΙΑ
ΕΝΔΙΑΦΕΡΟΜΑΙ