Ποιους αφορά ο GDPR;
Η εφαρμογή του GDPR είναι υποχρεωτική για όλους τους δημόσιους και ιδιωτικούς φορείς και επιχειρήσεις, ανεξαρτήτως νομικής μορφής (ατομικές, ΕΕ, ΟΕ, ΕΠΕ, ΙΚΕ, ΑΕ) που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. Με τον όρο «Επεξεργασία» εννοούμε τη συλλογή, διατήρηση, οργάνωση, διαβίβαση πληροφοριών που αφορούν φυσικά πρόσωπα (ταυτοποιημένα ή ταυτοποιήσιμα). Οι υποχρεώσεις αυτές διαφοροποιούνται ανάλογα με τη φύση της επεξεργασίας.
Ποιες είναι οι δυο βασικές καινοτομίες του GDPR;
Η Αρχή της λογοδοσίας δεν επιβάλλει απλά στους υπευθύνους επεξεργασίας να είναι διαρκώς συμμορφωμένοι με τον GDPR, αλλά να μπορούν ταυτόχρονα και να το αποδεικνύουν. Δηλαδή, να διαθέτουν το φυσικό ή ψηφιακό υλικό που αποδεικνύει ότι τηρούν τις υποχρεώσεις τους.
Ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ) είναι υπεύθυνος για την παρακολούθηση της συμμόρφωσης ενός οργανισμού με τον GDPR και ο ρόλος του είναι συμβουλευτικός. Eπιπλέον, ο GDPR αναβάθμισε προϋπάρχουσες υποχρεώσεις, δικαιώματα των υποκειμένων των δεδομένων και έθεσε υψηλότερο επίπεδο και αξιώσεις προστασίας.
Ποιες είναι οι πηγές των κινδύνων και οι κίνδυνοι από τη μη συμμόρφωση;
- Εργαζόμενοι-συνεργάτες:
- Μη ομαλή εξέλιξη σχέσεων (καταγγελία για παραβίαση ΓΚΠΔ)
- Συχνή εναλλαγή προσωπικού
- Σφάλματα κατά τη διαχείριση δεδομένων
- Δυσαρεστημένοι πελάτες
- Κακόβουλοι τρίτοι
- Συμβάντα ασφαλείας
- Μεταβολή νομοθεσίας
- Παράνομη κοινοποίηση δεδομένων
- Παράνομη επεξεργασία
- Επιβολή υψηλών διοικητικών προστίμων
- Αγωγές αποζημίωσης υποκειμένων
- Βλάβη φήμης
- Επιπλοκές σε συνεργασίες
Τι κυρώσεις προβλέπονται σε περιπτώσεις μη συμμόρφωσης;
Πώς αποδεικνύεται η συμμόρφωση με τον GDPR;
Τα κύρια στοιχεία του Συστήματος Διαχείρισης Δεδομένων
- Πολιτικές προστασίας δεδομένων (Πολιτική Απορρήτου) για όλες τις επεξεργασίες
- Διαδικασίες ελέγχου εφαρμογής των πολιτικών προστασίας
- Διαδικασία ελέγχου τήρησης αρχών επεξεργασίας και νομίμων βάσεων επεξεργασίας
- Διαδικασίες ανταπόκρισης στα αιτήματα των υποκειμένων
- Πολιτική Ασφαλείας – Σχέδιο Ασφαλείας
- Σχέδιο για την περίπτωση παραβίασης δεδομένων
- Συμβάσεις (DPAs) με εκτελούντες την επεξεργασία
- Ρήτρες εμπιστευτικότητας για εργαζόμενους/συνεργάτες
- Στοιχεία Εκπαίδευσης προσωπικού
Εκτίμηση αντικτύπου προστασίας δεδομένων (DPIA)
Καθήκοντα του Υπευθύνου Προστασίας Δεδομένων (DPO)
Ο DPO προάγει την κουλτούρα της προστασίας προσωπικών δεδομένων εντός του οργανισμού ή φορέα. Τα ελάχιστα καθήκοντα του DPO είναι τα ακόλουθα:
- Να ενημερώνει και να συμβουλεύει τον οργανισμό και τους υπαλλήλους του σχετικά με τις υποχρεώσεις τους που απορρέουν από τον Κανονισμό και άλλες διατάξεις περί προστασίας δεδομένων.
- Να παρακολουθεί την εσωτερική συμμόρφωση με τον Κανονισμό και άλλες διατάξεις περί προστασίας δεδομένων (π.χ. προσδιορισμός και διαχείριση δραστηριοτήτων επεξεργασίας, εκπαίδευση προσωπικού, διενέργεια εσωτερικών ελέγχων).
- Να παρέχει συμβουλές για την εκτίμηση αντικτύπου και να παρακολουθεί την υλοποίησή της.
- Να είναι το πρώτο σημείο επαφής για τις εποπτικές αρχές και τα υποκείμενα των δεδομένων (εργαζόμενοι, πελάτες κ.λπ.).
- Να συνεργάζεται με την εποπτική αρχή και ενεργεί ως σημείο επικοινωνίας για αυτή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης.