GDPR: Οδηγός σε 12 βήματα για καλύτερη προετοιμασία

GDPR: Οδηγός σε 12 βήματα για καλύτερη προετοιμασία

Σκοπός του Οδηγού GDPR είναι να σας προετοιμάσει έγκαιρα, με 12 απλά βήματα για να έχετε καλύτερη συμμόρφωση με τον GDPR πριν μπεί σε πλήρη εφαρμογή στις 25 Μαϊου 2018.

Πέραν του οδηγού, πρέπει να τονιστεί οτι η πλήρης συμμόρφωση με τον GDPR δεν βεβαιώνεται στο σύνολο της από ανεξάρτητους φορείς. Αν επιθυμείτε πιστοποιημένες διαδικασίες, προτείνουμε να ξεκινήσετε με το ISO 27001. Όμως, επειδή ο GDPR διατρέχει το σύνολο ενός οργανισμού από την διοίκηση μέχρι τις εξωτερικές συνεργασίες καλό είναι να διασφαλίσετε σωστές συνεργασίες σε κάθε επίπεδο.

Οδηγός GDPR Βήμα 1: Επίγνωση

Βεβαιωθείτε ότι οι υπεύθυνοι λήψης αποφάσεων, η διοίκηση και οι βασικοί άνθρωποι στον οργανισμό σας γνωρίζουν ότι ο νόμος περι προσωπικών δεδομένων μεταβάλλεται στο GDPR (Μπορείτε εδώ να δείτε τις Βασικές Αλλαγές σε σχέση με την υφιστάμενη νομοθεσία ).

Ένας πολύ βασικός και άμεσος τρόπος προετοιμασίας είναι να γίνει μια μελέτη εκτίμησης κινδύνου. (GDPR: Μελέτη Εκτίμησης Κινδύνου σε 5 στάδια )

Η εφαρμογή του GDPR θα μπορούσε να έχει σημαντικές επιπτώσεις σε οικονομικούς και εργασιακούς πόρους, ειδικά για μεγαλύτερους και πιο σύνθετους οργανισμούς. Μπορεί να βρείτε δυσκολία εάν αφήσετε τις προετοιμασίες σας μέχρι την τελευταία στιγμή.

Οδηγός GDPR Βήμα 2: Δεδομένα

Θα πρέπει να τεκμηριώσετε ποια προσωπικά δεδομένα διατηρείτε, από πού προήλθαν
και με ποιούς τα μοιράζεστε. Μπορεί να χρειαστεί να οργανώσετε έναν έλεγχο πληροφοριών σε ολόκληρο τον οργανισμό ή σε συγκεκριμένους επιχειρηματικούς τομείς.
Το GDPR απαιτεί να διατηρείτε αρχεία των δραστηριοτήτων επεξεργασίας σας.

Για παράδειγμα, αν έχετε ανακριβή προσωπικά δεδομένα και τα μοιραστήκατε με έναν άλλο οργανισμό, θα πρέπει να ενημερώσετε τον άλλο οργανισμό για την ανακρίβεια, έτσι ώστε να μπορεί να διορθώσει τα δικά του αρχεία.

Δεν θα μπορείτε να το κάνετε αυτό εκτός αν ξέρετε ποια προσωπικά δεδομένα έχετε κρατήσει, από πού προήλθαν και πως τα έχετε μοιραστεί.

Κάνοντας αυτό θα σας βοηθήσει να συμμορφωθείτε με την αρχή της λογοδοσίας του GDPR, η οποία απαιτεί από τους οργανισμούς να είναι σε θέση να δείξουν πώς συμμορφώνονται με τις αρχές προστασίας δεδομένων, για παράδειγμα εφαρμόζοντας αποτελεσματικές πολιτικές και διαδικασίες.

Για να δείτε τι χαρακτηρίζεται ως προσωπικό δεδομένο μπορείτε να δείτε εδώ: GDPR: Συχνές Ερωτήσεις / Απαντήσεις

Οδηγός GDPR Βήμα 3: Πολιτική Διασφάλισης Απορρήτου (Privacy Information Policy)

Θα πρέπει να αναθεωρήσετε τις τρέχουσες ειδοποιήσεις διασφάλισης απορρήτου και να θέσετε σε εφαρμογή ένα σχέδιο κάνοντας οποιεσδήποτε αλλαγές στο χρόνο για την υλοποίηση του GDPR.

Όταν συλλέγετε προσωπικά δεδομένα, πρέπει να δώσετε στους ανθρώπους συγκεκριμένες πληροφορίες, όπως η ταυτότητά σας και πώς σκοπεύετε να χρησιμοποιήσετε τις δικές τους πληροφορίες.

Αυτό γίνεται συνήθως μέσω μιας ειδοποίησης απορρήτου (Privacy Information Policy). Σύμφωνα με το GDPR υπάρχουν μερικά επιπλέον πράγματα που θα πρέπει να πείτε. Για παράδειγμα, θα πρέπει να εξηγήσετε τη νόμιμη βάση σας για την επεξεργασία των δεδομένων, τις περιόδους αποθήκευσης δεδομένων σας και, εάν πιστεύουν ότι υπάρχει κάποιο πρόβλημα με τον τρόπο που χειρίζεστε τα δεδομένα τους τους τρόπους αντίδρασης.

Το GDPR απαιτεί η παροχή των πληροφοριών να γίνεται συνοπτικά, εύκολα και με σαφή γλώσσα.

Οδηγός GDPR Βήμα 4: Δικαιώματα

Θα πρέπει να ελέγξετε τις διαδικασίες σας για να βεβαιωθείτε ότι καλύπτουν όλα τα ατομικά δικαιώματα, συμπεριλαμβανομένου του τρόπου με τον οποίο θα διαγράψετε προσωπικά δεδομένα ή θα τα παράσχετε ηλεκτρονικά και σε μορφή που είναι συνήθης.
Το GDPR περιλαμβάνει τα ακόλουθα δικαιώματα για τους ιδιώτες:

  • το δικαίωμα ενημέρωσης ·
  • το δικαίωμα πρόσβασης.
  • το δικαίωμα διόρθωσης ·
  • το δικαίωμα διαγραφής ·
  • το δικαίωμα περιορισμού της επεξεργασίας,
  • το δικαίωμα μεταφοράς δεδομένων ·
  • το δικαίωμα ένστασης · και
  • το δικαίωμα να μην υπόκεινται σε αυτοματοποιημένες διαδικασίες λήψης αποφάσεων στη δημιουργία προφίλ.

Σε γενικές γραμμές, τα δικαιώματα που τα άτομα θα απολαμβάνουν υπό το GDPR είναι τα
ίδια με εκείνα της ισχύουσας νομοθεσίας, αλλά με κάποιες σημαντικές βελτιώσεις.

Αυτή είναι μια καλή στιγμή για να ελέγξετε τις διαδικασίες και να εξετάσετε πώς θα αντιδρούσατε αν κάποιος ζητούσε διαγραφή των δεδομένων του. Τα συστήματά σας θα βοηθήσουν να εντοπίσετε και να διαγράψετε δεδομένα κατόπιν αιτήματος; Ποιος θα κάνει τις ενέργειες σχετικά με τη διαγραφή;

Το δικαίωμα μεταφοράς δεδομένων είναι νέο. Ισχύει:

  • στα προσωπικά δεδομένα που έχει υποβάλει ένα άτομο σε υπεύθυνο επεξεργασίας.
  • όταν η επεξεργασία βασίζεται στη συγκατάθεση του ατόμου ή για την
    εκτέλεση μιας σύμβασης ·
  • και όταν η επεξεργασία πραγματοποιείται με αυτοματοποιημένα μέσα.

Θα πρέπει να εξετάσετε αν πρέπει να αναθεωρήσετε τις διαδικασίες σας και
πραγματοποιήστε οποιεσδήποτε αλλαγές.

Οδηγός GDPR Βήμα 5: Θέματα αιτήσεων πρόσβασης

Θα πρέπει να ενημερώσετε τις διαδικασίες σας και να σχεδιάσετε πώς θα χειριστείτε τα αιτήματα για να ληφθούν υπόψη οι νέοι κανόνες:

  • Στις περισσότερες περιπτώσεις δεν θα μπορείτε να χρεώνετε για τη συμμόρφωση με ένα αίτημα.
  • Θα έχετε ένα μήνα συμμόρφωσης.
  • Μπορείτε να αρνηθείτε ή να χρεώσετε αιτήσεις που είναι προδήλως αβάσιμες
    ή υπερβολικές.
  • Εάν απορρίψετε ένα αίτημα, πρέπει να πείτε στο άτομο γιατί και οτι έχουν το δικαίωμα να υποβάλλουν καταγγελία στην εποπτική αρχή και σε ένδικα μέσα. Πρέπει να το κάνετε αυτό χωρίς αδικαιολόγητη καθυστέρηση και το
    αργότερα, μέσα σε ένα μήνα.
  • Εάν ο οργανισμός σας χειρίζεται μεγάλο αριθμό αιτήσεων πρόσβασης, σκεφτείτε
    τις υλικοτεχνικές συνέπειες της ταχύτερης αντιμετώπισης των αιτημάτων.
  • Θα μπορούσατε να εξετάσετε εάν είναι εφικτό ή επιθυμητό να αναπτύξετε συστήματα που επιτρέπουν στα άτομα να έχουν εύκολη πρόσβαση στις πληροφορίες τους.

Νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα
Θα πρέπει να προσδιορίσετε τη νόμιμη βάση για τη δραστηριότητα επεξεργασίας σας στο
GDPR, τεκμηρίξτε το και ενημερώστε την ειδοποίησή σας για την προστασία της ιδιωτικής ζωής,
Πολλοί οργανισμοί δεν θα έχουν σκεφτεί τη νόμιμη βάση τους
επεξεργασία προσωπικών δεδομένων. Σύμφωνα με τον ισχύοντα νόμο αυτό δεν έχει πολλά
πρακτικές επιπτώσεις. Ωστόσο, αυτό θα είναι διαφορετικό στο πλαίσιο του GDPR
επειδή ορισμένα δικαιώματα των ατόμων θα τροποποιηθούν ανάλογα με το δικό σας
νομική βάση για την επεξεργασία των προσωπικών τους δεδομένων. Το πιο προφανές παράδειγμα
είναι ότι οι άνθρωποι θα έχουν μεγαλύτερο δικαίωμα να διαγράψουν τα δεδομένα τους
χρησιμοποιείτε τη συναίνεση ως νόμιμη βάση για την επεξεργασία σας.
Θα πρέπει επίσης να εξηγήσετε τη νόμιμη βάση σας για την επεξεργασία των προσωπικών σας δεδομένων
δεδομένα στην ειδοποίησή σας περί απορρήτου και όταν απαντάτε σε μια πρόσβαση στο θέμα
αίτηση. Οι νόμιμες βάσεις στο GDPR είναι σε γενικές γραμμές οι ίδιες με τις
συνθήκες επεξεργασίας στην DPA. Θα πρέπει να είναι δυνατή η αναθεώρηση του
τύπους δραστηριοτήτων επεξεργασίας που πραγματοποιείτε και να προσδιορίσετε το νόμιμο σας
να το πράξουν. Θα πρέπει να τεκμηριώσετε τις νόμιμες βάσεις σας προκειμένου να
Προετοιμασία για τον Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR): 12 βήματα για λήψη τώρα
V2.0 20170525
6
σας βοηθά να συμμορφώνεστε με τις απαιτήσεις της «υποχρέωσης λογοδοσίας» του GDPR.
7 Συναίνεση
Θα πρέπει να ελέγξετε τον τρόπο που αναζητάτε, καταγράφετε και διαχειριστείτε τη συγκατάθεσή σας και
αν πρέπει να κάνετε αλλαγές. Ανανεώστε τις υπάρχουσες συγκαταθέσεις τώρα εάν
δεν πληρούν το πρότυπο GDPR.
Θα πρέπει να διαβάσετε τις λεπτομερείς οδηγίες που έχει εκδώσει η ICO σχετικά με τη συγκατάθεση
στο GDPR και χρησιμοποιήστε τη λίστα ελέγχου της συγκατάθεσής σας για να ελέγξετε τις πρακτικές σας.
Η συγκατάθεση πρέπει να παρέχεται ελεύθερα, συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη. Εκεί
πρέπει να είναι ένα θετικό opt-in – η συναίνεση δεν μπορεί να συναχθεί από τη σιωπή, προτίμησε
κουτιά ή αδράνεια. Πρέπει επίσης να είναι ξεχωριστή από άλλους όρους και
συνθήκες, και θα χρειαστεί να έχετε απλούς τρόπους για να αποσύρετε τους ανθρώπους
συγκατάθεση. Οι δημόσιες αρχές και οι εργοδότες θα πρέπει να λάβουν ιδιαίτερη προσοχή
Φροντίδα. Η συγκατάθεση πρέπει να είναι επαληθεύσιμη και τα άτομα γενικά έχουν περισσότερα
δικαιώματα που βασίζεστε στη συναίνεση για τη διεκπεραίωση των δεδομένων σας.
Δεν είστε υποχρεωμένοι να αναδιοργανώσετε αυτόματα ή να ανανεώσετε όλα τα υπάρχοντα DPA
συναινεί στην προετοιμασία του GDPR. Αλλά εάν βασίζεστε σε ένα άτομο,
συγκατατεθεί να επεξεργαστούν τα δεδομένα τους, βεβαιωθείτε ότι θα πληροί το πρότυπο GDPR
με συγκεκριμένο, κοκκώδες, σαφές, προεξέχον, opt-in, δεόντως τεκμηριωμένο
και αποσύρονται εύκολα. Αν όχι, αλλάξτε τους μηχανισμούς συγκατάθεσής σας και αναζητήστε
νέα συγκατάθεση συμβατή με το GDPR, ή να βρείτε εναλλακτική λύση στη συγκατάθεση.
8 Παιδιά
Θα πρέπει να αρχίσετε να σκέφτεστε τώρα αν πρέπει να βάλετε συστήματα
θέση για την επαλήθευση των ηλικιών των ατόμων και για την απόκτηση γονέων ή κηδεμόνων
συγκατάθεση για οποιαδήποτε δραστηριότητα επεξεργασίας δεδομένων.
Για πρώτη φορά, το GDPR θα προσφέρει ειδική προστασία για τα παιδιά
προσωπικά δεδομένα, ιδίως στο πλαίσιο εμπορικών υπηρεσιών διαδικτύου
όπως η κοινωνική δικτύωση. Εάν η εταιρεία σας προσφέρει υπηρεσίες online
(«Υπηρεσίες της κοινωνίας της πληροφορίας») σε παιδιά και βασίζεται στη συναίνεση για τη συλλογή
πληροφορίες σχετικά με αυτές, τότε μπορεί να χρειαστείτε γονέα ή κηδεμόνα
συγκατάθεση για τη νόμιμη επεξεργασία των προσωπικών τους δεδομένων. Το GDPR ορίζει
την ηλικία κατά την οποία το παιδί μπορεί να δώσει τη συγκατάθεσή του για την επεξεργασία αυτή στις 16
(αν και αυτό μπορεί να μειωθεί σε τουλάχιστον 13 στο Ηνωμένο Βασίλειο). Εάν είναι παιδί
τότε θα χρειαστεί να πάρετε τη συγκατάθεσή σας από άτομο που έχει γονική μέριμνα
ευθύνη’.

7
Αυτό θα μπορούσε να έχει σημαντικές επιπτώσεις εάν ο οργανισμός σας προσφέρει online
υπηρεσίες για τα παιδιά και συλλέγει τα προσωπικά τους δεδομένα. Να θυμάστε ότι
η συναίνεση πρέπει να είναι επαληθεύσιμη και ότι κατά τη συλλογή των δεδομένων των παιδιών σας
η ειδοποίηση περί απορρήτου πρέπει να είναι γραμμένη σε γλώσσα που τα παιδιά θα κατανοήσουν.
9 Παραβιάσεις δεδομένων
Θα πρέπει να βεβαιωθείτε ότι έχετε τις σωστές διαδικασίες για να ανιχνεύσετε,
να αναφέρει και να διερευνήσει την παραβίαση προσωπικών δεδομένων.
Ορισμένες οργανώσεις είναι ήδη υποχρεωμένες να ενημερώσουν το ICO (και ενδεχομένως
ορισμένοι άλλοι οργανισμοί) όταν υποφέρουν από παραβίαση προσωπικών δεδομένων. Το GDPR
εισάγει καθήκον σε όλες τις οργανώσεις να αναφέρουν ορισμένους τύπους δεδομένων
παραβίαση του ICO, και σε ορισμένες περιπτώσεις, ατόμων. Πρέπει μόνο
ενημερώνει τον ICO για μια παραβίαση όταν είναι πιθανό να προκαλέσει κίνδυνο για τα δικαιώματα
και τις ελευθερίες των ατόμων – αν, για παράδειγμα, θα μπορούσε να έχει ως αποτέλεσμα
διάκριση, βλάβη της φήμης, οικονομική ζημία, απώλεια εμπιστευτικότητας
ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα.
Όταν μια παραβίαση είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες
των ατόμων, θα πρέπει επίσης να ενημερώσετε άμεσα τους ενδιαφερομένους
περισσότερες περιπτώσεις.
Θα πρέπει να τεθούν σε εφαρμογή διαδικασίες για την αποτελεσματική ανίχνευση, αναφορά και
να διερευνήσει την παραβίαση προσωπικών δεδομένων. Μπορεί να θέλετε να αξιολογήσετε τους τύπους
τα προσωπικά σας δεδομένα που διατηρείτε και τεκμηριώνετε όπου θα σας ζητηθεί
να ενημερώσετε το ICO ή τα θιγόμενα άτομα σε περίπτωση παραβίασης. Μεγαλύτερος
οι οργανώσεις θα πρέπει να αναπτύξουν πολιτικές και διαδικασίες διαχείρισης
παραβιάσεις δεδομένων. Παράλειψη αναφοράς παραβίασης όταν

(10) Η προστασία των δεδομένων από τις μελέτες και τις επιπτώσεις των επιπτώσεων στην προστασία των δεδομένων. Η υιοθέτηση μιας προσέγγισης προστασίας της ιδιωτικής ζωής από το σχεδιασμό και η διεξαγωγή αξιολόγησης των επιπτώσεων στην ιδιωτική ζωή (PIA) ήταν ανέκαθεν καλή πρακτική, ως μέρος αυτού.Ωστόσο, το GDPR καθιστά την προστασία της ιδιωτικής ζωής από το σχεδιασμό ρητή νομική απαίτηση, με τον όρο «προστασία δεδομένων από το σχεδιασμό και από προεπιλογή». Το PIAs – που αναφέρονται ως «Αξιολογήσεις Επιπτώσεων Προστασίας Δεδομένων» ήDPIAs – είναι υποχρεωτικό σε ορισμένες περιπτώσεις. Προετοιμασία για τον Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR): 12 βήματα για τη λήψη nowV2.0 201705258A Η DPIA απαιτείται σε καταστάσεις όπου η επεξεργασία δεδομένων είναι πιθανό να προκύψει κίνδυνος για άτομα, για παράδειγμα:  όταν αναπτύσσεται μια νέα τεχνολογία ·  όταν μια δραστηριότητα δημιουργίας προφίλ ενδέχεται να επηρεάσει σημαντικά τα άτομα · ή • όπου υπάρχει μεγάλης κλίμακας επεξεργασία των ειδικών κατηγοριών δεδομένων. Αν μια DPIA υποδεικνύει ότι η επεξεργασία δεδομένων είναι υψηλού κινδύνου και δεν μπορείτε να αντιμετωπίσετε επαρκώς αυτούς τους κινδύνους, θα πρέπει να συμβουλευτείτε τον ICO για να διατυπώσει τη γνώμη του σχετικά με το εάν η διαδικασία επεξεργασίας συμμορφώνεται με το πρότυπο GDPR. Θα πρέπει λοιπόν να αρχίσετε να αξιολογείτε τις καταστάσεις όπου θα είναι απαραίτητο να διεξαχθεί μια DPIA. Ποιος θα το κάνει; Ποιος άλλος πρέπει να συμμετάσχει; Η διαδικασία θα διεξαχθεί κεντρικά ή τοπικά; Θα πρέπει επίσης να εξοικειωθείτε τώρα με τις οδηγίες που έχει εκπονήσει η Διεθνής Οργάνωση Τροφίμων στις PIA καθώς και με τις οδηγίες της ομάδας εργασίας του άρθρου 29 και να διερευνήσουν τον τρόπο εφαρμογής τους στον οργανισμό σας. Αυτές οι οδηγίες καθοδηγούν το πώς οι PIA μπορούν να συνδεθούν με άλλες οργανωτικές διαδικασίες, όπως η διαχείριση κινδύνου και η διαχείριση σχεδίων.11 Λειτουργοί Προστασίας Δεδομένων Θα πρέπει να ορίσετε κάποιον να αναλάβει την ευθύνη για την συμμόρφωση με την προστασία δεδομένων και να αξιολογήσει πού θα διαδραματίσει αυτός ο ρόλος στο πλαίσιο της δομής και της διακυβέρνησής σας. πρέπει να ορίσετε επισήμως έναν Υπεύθυνο Προστασίας Δεδομένων (DPO). Πρέπει να ορίσετε έναν υπεύθυνο προστασίας δεδομένων εάν είστε:  μια δημόσια αρχή (εκτός από τα δικαστήρια που ασκούν τη δικαστική τους ικανότητα) ·  έναν οργανισμό που διενεργεί τακτική και συστηματική παρακολούθηση ατόμων σε μεγάλη κλίμακα. ή  ένας οργανισμός που διεξάγει τη μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων, όπως ιατρικά αρχεία ή πληροφορίες σχετικά με καταδίκες. Η ομάδα εργασίας του άρθρου 29 έχει παράσχει κατευθυντήριες γραμμές για τις οργανώσεις σχετικά με τον ορισμό, τη θέση και τα καθήκοντα των ΜΚΟ. Προετοιμασία για τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR): 12 βήματα για να λάβετε τώρα V2.0 201705259Το σημαντικότερο είναι ότι κάποιος στον οργανισμό σας, σύμβουλος, αναλαμβάνει την κατάλληλη ευθύνη για τη συμμόρφωσή σας με την προστασία δεδομένων και έχει τη γνώση, την υποστήριξη και την εξουσία να διεκπεραιώσει αποτελεσματικά το ρόλο του. 12 Διεθνές Εάν ο οργανισμός σας δραστηριοποιείται σε περισσότερα από ένα κράτη μέλη της ΕΕ, θα πρέπει να καθορίσετε την εποπτική αρχή προστασίας δεδομένων σας και το έγγραφο αυτό. είναι η εποπτική αρχή στο κράτος όπου βρίσκεται η εγκατάστασή σας. Η κύρια εγκατάσταση σας είναι η τοποθεσία στην οποία η κεντρική διοίκηση στην ΕΕ είναι ή αλλιώς ο τόπος όπου εκδίδονται και υλοποιούνται οι αποφάσεις σχετικά με τους σκοπούς και τα μέσα επεξεργασίας. Αυτό ισχύει μόνο όταν πραγματοποιείτε διασυνοριακή επεξεργασία – δηλαδή έχετε εγκαταστάσεις σε περισσότερες από μία χώρες της ΕΕ ή εάν έχετε μια εγκατάσταση στην ΕΕ που διεξάγει επεξεργασία που επηρεάζει ουσιαστικά άτομα σε άλλα κράτη της ΕΕ. Εάν αυτό ισχύει για τον οργανισμό σας, θα πρέπει να καταγράψετε πού η οργάνωση σας λαμβάνει τις πιο σημαντικές αποφάσεις σχετικά με τις δραστηριότητες επεξεργασίας. Αυτό θα σας βοηθήσει να προσδιορίσετε την «κύρια εγκατάστασή σας» και, ως εκ τούτου, την κύρια εποπτική αρχή.

advanced-floating-content-close-btnNiriis Banner ESPA Niriis Banner ESPA
Κύλιση στην κορυφή