.jpg)
Καθώς στις 25 Μαΐου 2018 τίθεται σε εφαρμογή ο νέος κανονισμός προστασίας προσωπικών δεδομένων (GDPR), λαμβάνουμε συχνά από πελάτες μας ερωτήσεις για το τι πρέπει να κάνουν. Η απάντηση είναι μία: Για να είναι πλήρως καλυμμένοι, πρέπει να απευθυνθούν σε δικηγόρο ή δικηγορική εταιρεία που θα τους ετοιμάσει όλες τις διαδικασίες. Η δικηγορική εταιρεία "Αρχοντούλα Παπαπαναγιώτου και Συνεργάτες" μας παρέχει τις παρακάτω βασικές πληροφορίες:
Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ: ΘΕΣΗ ΣΕ ΕΦΑΡΜΟΓΗ & ΚΥΡΩΣΕΙΣ
Ο νέος Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (Κανονισμός 2016/679) πρόκειται να τεθεί σε εφαρμογή στις 25/5/2018 ρυθμίζοντας έτσι την επεξεργασία προσωπικών δεδομένων κατά ενιαίο τρόπο σε όλη την Ευρωπαϊκή Ένωση.
- Ο νέος κανονισμός αντικαθιστά από 25/5/2018 την εθνική νομοθεσία περί προσωπικών δεδομένων (Ν. 2472/1997) και καθιερώνει αυστηρότερες ή και νέες υποχρεώσεις για τις επιχειρήσεις.
- Έως την ως άνω ημερομηνία, οι επιχειρήσεις οφείλουν να έχουν συμμορφωθεί με τις απαιτήσεις του Κανονισμού.
- Ο Νέος Κανονισμός καθιερώνει πρόστιμα που μπορούν να φθάσουν έως και το 4% του συνολικού παγκόσμιου ετήσιου τζίρου της επιχείρησης.
ΠΟΙΕΣ ΕΠΙΧΕΙΡΗΣΕΙΣ ΑΦΟΡΑ Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ
Όλες οι επιχειρήσεις, ανεξαρτήτως δραστηριότητας και μεγέθους, οφείλουν να συμμορφωθούν με τον νέο Κανονισμό. Όλες οι επιχειρήσεις επεξεργάζονται, σε μεγαλύτερο ή μικρότερο βαθμό, προσωπικά δεδομένα καθώς όλες, ή σχεδόν όλες, προβαίνουν σε επεξεργασίες όπως οι εξής:
- Επεξεργασία προσωπικών δεδομένων πελατών-προμηθευτών (εμπορικό/οικονομικό τμήμα επιχειρήσεων).
- Επεξεργασία προσωπικών δεδομένων εργαζομένων και συνεργατών (τμήμα Διαχείρισης Ανθρωπίνων Πόρων).
- Επεξεργασία προσωπικών δεδομένων επισκεπτών και πελατών εταιρικής ιστοσελίδας ή ιστοσελίδας παροχής υπηρεσιών/πώλησης προϊόντων (e-service, e-commerce, e-shops).
- Επεξεργασία προσωπικών δεδομένων ή προφίλ φυσικών προσώπων-πελατών-παραληπτών υλικού μάρκετινγκ και διαφήμισης.
- Επεξεργασία προσωπικών δεδομένων μέσω συνεργασίας με τρίτες εταιρείες οι οποίες παρέχουν υπηρεσίες αποθήκευσης δεδομένων (συνεργασία με εταιρείες cloud) ή επεξεργασίας (CRM systems) ή ανάλυσης (analytics).
- Επεξεργασία προσωπικών δεδομένων μέσω συνεργασίας (και διαμοιρασμού δεδομένων) με τρίτες εταιρείες παροχής υπηρεσιών όπως εξωτερικά Λογιστικά Γραφεία, Εταιρείες Ορκωτών Λογιστών κλπ.
- Επεξεργασία προσωπικών δεδομένων μέσω χρήσης συστημάτων εξωτερικής ασφάλειας (π.χ. κάμερες/CCTV) ή εσωτερικής, οργανωτικής ασφάλειας (π.χ. σύστημα γεωεντοπισμού αυτοκινήτων ή προσώπων που εργάζονται εκτός εγκαταστάσεων εταιρείας, σύστημα monitoring ενδοεταιρικής ηλεκτρονικής αλληλογραφίας κλπ.).
- Ειδικά οι επιχειρήσεις που προσφέρουν υπηρεσίες που βασίζονται σε επεξεργασία δεδομένων ή προβαίνουν, εξ αντικειμένου, σε επεξεργασία μεγάλης κλίμακας ή επεξεργάζονται συστηματικά ευαίσθητα δεδομένα απαιτείται να λάβουν έγκαιρα και άμεσα μέτρα συμμόρφωσης "ευρέως φάσματος".
- Στις επιχειρήσεις αυτές συγκαταλέγονται, ενδεικτικά, οι εξής:
- Επιχειρήσεις Τηλεπικοινωνιών.
- Εταιρείες τεχνολογίας, οι οποίες διατηρούν ιστοσελίδα ή/και παρέχουν λογισμικό που διαχειρίζεται ή επεξεργάζεται, στοχευμένα ή παρεμπιπτόντως, προσωπικά δεδομένα φυσικών προσώπων.
- Εταιρείες τεχνολογίας που παρέχουν υπηρεσίες αποθήκευσης και διαχείρισης δεδομένων μεγάλου όγκου.
- Εταιρείες που απασχολούνται με τη διαφήμιση, το μάρκετινγκ και την μέτρηση ή ανάλυση ικανοποίησης και σχηματισμού προφίλ πελατών.
- Εταιρείες δημοσκοπήσεων.
- Επιχειρήσεις κοινωνικής δικτύωσης, φυσικής και ηλεκτρονικής.
- Επιχειρήσεις που δραστηριοποιούνται στον τομέα της Υγείας.
- Τραπεζικά Ιδρύματα και επιχειρήσεις που διαχειρίζονται χρηματικές συναλλαγές.
- Ασφαλιστικές Εταιρείες.
- Έντυπα και Ηλεκτρονικά Media (τηλεόραση, ραδιόφωνο, εφημερίδες) και όλες οι ηλεκτρονικές πλατφόρμες αυτών (webtv, συνδρομητική τηλεόραση, ιστοσελίδα, mobile-app).
ΠΟΙΕΣ ΠΡΟΣΘΕΤΕΣ Ή ΝΕΕΣ ΥΠΟΧΡΕΩΣΕΙΣ, ΣΕ ΣΧΕΣΗ ΜΕ ΤΗΝ ΙΣΧΥΟΥΣΑ ΝΟΜΟΘΕΣΙΑ, ΕΙΣΑΓΕΙ Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ
Ο νέος Κανονισμός εισάγει νέες υποχρεώσεις ή/και αυστηροποιεί, σε αρκετά σημεία, πολλές από τις υποχρεώσεις που ίσχυαν στο υπό αντικατάσταση νομοθετικό καθεστώς.
Ενδεικτικά, ο νέος Κανονισμός καθιερώνει:
- Αυστηρότερο σύστημα ως προς τους τρόπους απόδοσης συγκατάθεσης των υποκειμένων για την επεξεργασία των δεδομένων τους (affirmative action του υποκειμένου ως προς την απόδοση συγκατάθεσης).
- Νέα δικαιώματα υποκειμένων των δεδομένων (δικαίωμα διόρθωσης και διαγραφής-«δικαίωμα στη λήθη», δικαίωμα περιορισμού της επεξεργασίας, δικαίωμα φορητότητας, δικαίωμα ενημέρωσης και πρόσβασης, δικαίωμα εναντίωσης σε σχηματισμό προφίλ) και τρόπους νόμιμης ανταπόκρισης των επιχειρήσεων στα δικαιώματα αυτά.
- Δικαίωμα (και αντίστοιχη υποχρέωση εκ μέρους του Υπευθύνου Επεξεργασίας) προς πληροφόρηση των υποκειμένων για το εύρος, το σκοπό και το πλαίσιο επεξεργασίας των δεδομένων.
- Συνεκτικό πλαίσιο αυτορρύθμισης των επιχειρήσεων, οι οποίες οφείλουν πλέον να εφαρμόζουν τις διατάξεις του Κανονισμού ήδη από τον σχεδιασμό των προϊόντων και των υπηρεσιών τους (προστασία δεδομένων «ήδη από το σχεδιασμό και εξ ορισμού»).
- Υποχρέωση σύνταξης εκτίμησης αντικτύπου που μπορεί να προκύψει από τις σχεδιαζόμενες πράξεις επεξεργασίας (Data Protection Impact Assessment), σε περιπτώσεις επεξεργασίας δεδομένων μεγάλης κλίμακας ή δεδομένων υψηλού κινδύνου για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων.
- Πρόσληψη/Ορισμός ατόμου επιφορτισμένου με καθήκοντα «Υπευθύνου Προστασίας των Δεδομένων» (Data Protection Officer- DPO), σε περιπτώσεις επεξεργασίας δεδομένων «ειδικών κατηγοριών» μεγάλης κλίμακας ή/και σε περίπτωση πράξεων επεξεργασίας που απαιτούν τακτική και συστηματική παρακολούθηση υποκειμένων μεγάλης κλίμακας.
- Νέες διαδικασίες άμεσης ανταπόκρισης και συνεργασίας με την Αρμόδια Εποπτική Αρχή (π.χ. data breach notification processes).
- Ύπαρξη συνεκτικού πλαισίου τεχνικών και οργανωτικών μέτρων προστασίας των δεδομένων, περιλαμβανομένων πολιτικών ασφαλείας, οργανωτικού καθορισμού ρόλων πρόσβασης στα δεδομένα σε need to know βάση, πρακτικών ανωνυμοποίησης ή κρυπτογράφησης δεδομένων και σχεδίων ανάκαμψης από καταστροφές, παραβιάσεις συστημάτων και απώλεια δεδομένων (Disaster recovery and Contingency Plan).
- Αυστηροποίηση του πλαισίου λειτουργίας Εκτελούντων την Επεξεργασία» (και συνεργασίας των «Υπευθύνων Επεξεργασίας» μαζί τους), δηλαδή επιχειρήσεων που επεξεργάζονται δεδομένα για λογαριασμό πελατών τους (π.χ. λογιστικά γραφεία, τεχνολογικές εταιρείες παροχής λογισμικού ή αποθηκευτικών μέσων), και καθορισμός ελάχιστων συμβατικών προβλέψεων στις καταρτιζόμενες συμβάσεις.
- Νέες διαδικασίες πιστοποίησης (Certification) και υιοθέτησης κωδίκων δεοντολογίας.
- Συνεκτική ρύθμιση των κανόνων που διέπουν τη Διαβίβαση Δεδομένων σε τρίτες χώρες, περιλαμβανομένων δεσμευτικών εταιρικών κανόνων για πολυεθνικούς ομίλους.
ΤΙ ΠΡΕΠΕΙ ΝΑ ΚΑΝΕΙ Η ΕΠΙΧΕΙΡΗΣΗ ΜΟΥ ΓΙΑ ΝΑ ΣΥΜΜΟΡΦΩΘΕΙ ΜΕ ΤΟΝ ΝΕΟ ΚΑΝΟΝΙΣΜΟ ΚΑΙ ΠΟΙΑ ΕΙΝΑΙ Η ΥΠΟΣΤΗΡΙΞΗ ΠΟΥ ΜΠΟΡΩ ΝΑ ΛΑΒΩ
Η ειδικευμένη ομάδα της Εταιρείας μας, που απαρτίζεται από έμπειρους νομικούς και τεχνικούς συμβούλους, σας παρέχει τις εξής υπηρεσίες:
1. DATA PROTECTION AUDIT/DUE DILIGENCE.
Η ομάδα μας αναλαμβάνει τη διενέργεια πλήρους νομικού και τεχνικού ελέγχου ως προς το είδος των προσωπικών δεδομένων που τηρείτε και τους τρόπους επεξεργασίας στους οποίους προβαίνετε, σε όλες τις εκφάνσεις λειτουργίας της επιχείρησής σας. Η χαρτογράφηση αυτή περιλαμβάνει καταγραφή των οργανωτικών δομών ροής δεδομένων καθώς επίσης και των τεχνικών συστημάτων που υποστηρίζουν τέτοιες ροές.
2. STATUS ASSESSMENT & GAP ANALYSIS.
Κατόπιν αναλυτικής χαρτογράφησης του συστήματος, τρόπου, είδους και σκοπού επεξεργασίας δεδομένων από την επιχείρησή σας, η ομάδα μας υπάγει τα ευρήματα σε νομικό έλεγχο συμμόρφωσης με τον Κανονισμό και εντοπίζει σφάλματα ή/και κενά που πρέπει να καλυφθούν.
3. DATA PROTECTION ACTION PLAN.
Έχοντας εντοπίσει τα κενά ή τις διαδικασίες που χρήζουν αναθεώρησης, η ομάδα μας, σε στενή συνεργασία με τα αρμόδια στελέχη της επιχείρησής σας, και με γνώμονα τις ειδικές ανάγκες και πολιτικές της επιχείρησής σας, προτείνει την υιοθέτηση των κατάλληλων νομικών και τεχνικών-οργανωτικών μέτρων για τη συμμόρφωση της επιχείρησής σας με τον Κανονισμό.
4. ACTION PLAN IMPLEMENTATION & TRAINING.
H ομάδα μας συντάσσει και αναθεωρεί όλα τα απαραίτητα νομικά έγγραφα για τη συμμόρφωσή σας με τον Κανονισμό, περιλαμβανομένων των εξής:
- Σύνταξη ρητρών προστασίας δεδομένων σε εργασιακές συμβάσεις.
- Σύνταξη εγγράφων (ή ηλεκτρονικών «εγγράφων»-φορμών) απόδοσης συγκατάθεσης υποκειμένων.
- Σύνταξη ή/και αναθεώρηση Terms of Use και Privacy Policies.
- Σύνταξη εγγράφων συμβάσεων με «Εκτελούντες την Επεξεργασία» (Data Processing Agreements) σύμφωνα με τους νόμιμους όρους.
- Σύνταξη συμβάσεων εταιρικών δεσμευτικών κανόνων και διαχείριση διαδικασιών για νόμιμη Διαβίβαση Δεδομένων σε Τρίτες Χώρες (όπως π.χ. Η.Π.Α.)
- Σύνταξη (σε συνεργασία με τους τεχνικούς μας συμβούλους) εγγράφων impact assessment, security policy, Disaster recovery and Contingency Plan κλπ.
Παράλληλα, οι τεχνικοί μας σύμβουλοι, σε συνεργασία με το αρμόδιο τμήμα της επιχείρησής σας, εποπτεύουν τις διαδικασίες υλοποίησης της τυχόν αναγκαίας αναθεώρησης ή/και εμπλουτισμού των τεχνικό-οργανωτικών δομών ροής των δεδομένων σας.
Η ομάδα μας, τέλος, προσφέρει, εφόσον ζητηθεί, υπηρεσίες ενημέρωσης και εκπαίδευσης του προσωπικού σας σε όλο το φάσμα διαχείρισης προσωπικών δεδομένων.
5. DPO SERVICES, AFTER-SERVICE CONSULTING & REVIEWING.
Αναλαμβάνουμε να παρέχουμε «Υπηρεσίες Υπευθύνου Προστασίας Δεδομένων» (DPO) στην περίπτωση που η επιχείρησή σας υπάγεται στις διατάξεις του Κανονισμού που επιβάλλουν την πρόσληψη/ορισμό DPO. O DPO είναι επιφορτισμένος με την ευθύνη επίλυσης προβλημάτων κατά τη λειτουργία της επιχείρησης, διαρκούς εποπτείας των δομών προστασίας και επικοινωνίας με την Εποπτική Αρχή.
Η Δικηγορική Εταιρεία "Αρχοντούλα Παπαπαναγιώτου και Συνεργάτες" προσφέρει υπηρεσίες συμβουλευτικής υποστήριξης κατά τη λειτουργία της επιχείρησής σας, περιλαμβανομένης νομικής υποστήριξης ενώπιον Αρχών, και περιλαμβανομένης κατάρτισης νομικών και τεχνικών διαδικασιών τακτικών Επιθεωρήσεων Συμμόρφωσης για συστηματικό έλεγχο και επανέλεγχο συμμόρφωσης της Εταιρείας σας με τις διατάξεις του Κανονισμού. Μπορείτε να επικοινωνείτε μαζί της στο 2103633662.
