Συμβουλές και "κόλπα" για τη συμμόρφωση με τον GDPR

  1. Ξεκίνα Προετοιμασία!

Αν δεν το έχετε κάνει ήδη, αρχίστε να προετοιμάζεστε αμέσως.

  1. Πλαίσιο

Ο κανονισμός βασίζεται σε τρεις βασικές ιδέες: την προστασία των δεδομένων προσωπικού χαρακτήρα, την προστασία των ανθρωπίνων δικαιωμάτων και ελευθεριών κατά την προστασία των δεδομένων τους, τον περιορισμό της κυκλοφορίας δεδομένων προσωπικού χαρακτήρα εντός της Ευρωπαϊκής Ένωσης.

  1. Αύξηση της ευαισθητοποίησης στον οργανισμό σας

Το GDPR παρότρυνε τους οργανισμούς να αρχίσουν να προετοιμάζονται γι' αυτό το συντομότερο δυνατό. Τώρα είναι ήδη σε ισχύ, ωστόσο πολλοί δεν είναι προετοιμασμένοι ή δεν προετοιμάστηκαν επαρκώς. Αργότερα μπορεί να φανεί από τις κυρώσεις μη συμμόρφωσης που εκδίδονται από τον Επίτροπο Πληροφοριών.

Τα βασικά άτομα και οι υπεύθυνοι λήψης αποφάσεων πρέπει να γνωρίζουν τη νομοθεσία GDPR, ώστε να μπορούν να κατανοήσουν τις πιθανές επιπτώσεις και να εντοπίσουν τους τομείς που απαιτούν προσοχή για τη συμμόρφωση. Ξεκινήστε εξετάζοντας το μητρώο κινδύνων σας, εάν έχετε

  1. Έλεγχος προσωπικών δεδομένων

Καταγράψτε ποια προσωπικά δεδομένα έχετε στην κατοχή σας, από πού προέρχονται και με ποιον τα μοιράζεστε. Ο ΓΚΠΔ καθιστά τους οργανισμούς υπεύθυνους για την απόδειξη της συμμόρφωσής τους με τις αρχές προστασίας δεδομένων, για παράδειγμα με την εφαρμογή αποτελεσματικών πολιτικών και διαδικασιών.

Εάν αντιληφθείτε ότι έχετε μοιραστεί ανακριβή προσωπικά δεδομένα με άλλους οργανισμούς, είναι δική σας ευθύνη να ενημερώσετε τον άλλο οργανισμό για την ανακρίβεια αυτή, ώστε να μπορέσει και αυτός να διορθώσει τα δικά του αρχεία.

Οποιαδήποτε δεδομένα που μπορούν να χρησιμοποιηθούν για την ταυτοποίηση ενός ατόμου, ή σύνδεσμοι με πληροφορίες ταυτοποίησης, θεωρούνται "δεδομένα προσωπικού χαρακτήρα" και εμπίπτουν στον κανονισμό ΓΚΠΔ.

  1. Απαλλαγείτε από δεδομένα που δεν χρειάζεστε πλέον

Ο "καθαρισμός" των δεδομένων σας βοηθά στην εστίαση στις σημαντικές πληροφορίες και μετρήσεις που χρησιμοποιούνται για τη δημιουργία αξίας μεταξύ μιας επιχείρησης και των καταναλωτών της.

Η διαδικασία θα σας βοηθήσει επίσης να παραμείνετε συμβατοί με την απαίτηση του ΓΚΠΔ για περιορισμένη περίοδο αποθήκευσης και συγκατάθεση επεξεργασίας.

  1. Ενημέρωση της δήλωσης απορρήτου σας

Όταν συλλέγετε προσωπικά δεδομένα, πιθανότατα χρησιμοποιείτε ένα σημείωμα απορρήτου που περιέχει πληροφορίες όπως η ταυτότητά σας και ο τρόπος με τον οποίο σκοπεύετε να χρησιμοποιήσετε τις πληροφορίες τους. Σύμφωνα με τον ΓΚΠΔ πρέπει να λέτε στους ανθρώπους ορισμένα επιπλέον πράγματα, όπως:

  • τη νομική σας βάση για την επεξεργασία των δεδομένων
  • τις περιόδους διατήρησης των δεδομένων σας
  • το δικαίωμά τους να καταγγείλουν στην ICO εάν πιστεύουν ότι υπάρχει πρόβλημα με τον τρόπο με τον οποίο χειρίζεστε τα δεδομένα τους
  1. Αναθεωρήστε τις διαδικασίες σας που υποστηρίζουν τα δικαιώματα των ατόμων

Το βασικό εδώ είναι να βεβαιωθείτε ότι διαθέτετε τις διαδικασίες ώστε να μπορείτε να συμμορφωθείτε, για παράδειγμα, με το αίτημα ενός ατόμου να του παράσχετε τα δεδομένα που έχετε γι' αυτό ηλεκτρονικά και σε ευρέως χρησιμοποιούμενο μορφότυπο.

Τα κύρια δικαιώματα των ατόμων βάσει του ΓΚΠΔ είναι:

  • επιτρέπουν την πρόσβαση του υποκειμένου
  • να διορθωθούν οι ανακρίβειες
  • να διαγραφούν οι πληροφορίες
  • να αποτρέψετε την απευθείας εμπορική προώθηση
  • αποτροπή αυτοματοποιημένης λήψης αποφάσεων και κατάρτισης προφίλ
  • να επιτρέπει τη φορητότητα των δεδομένων (σύμφωνα με την παραπάνω παράγραφο)
  1. Επανεξέταση των διαδικασιών σας που υποστηρίζουν τα αιτήματα πρόσβασης των υποκειμένων

Τα αιτήματα πρόσβασης θα μπορούσαν να δημιουργήσουν έναν λογιστικό/διοικητικό πονοκέφαλο για πολλές επιχειρήσεις.

Δεν μπορείτε να χρεώσετε για τη συμμόρφωση με εύλογα αιτήματα και θα έχετε μόλις ένα μήνα για να συμμορφωθείτε. Υπάρχουν επίσης διάφοροι λόγοι για την άρνηση συμμόρφωσης με ένα αίτημα πρόσβασης υποκειμένου, και αν αρνηθείτε ένα αίτημα θα πρέπει να έχετε πολιτικές και διαδικασίες για να αποδείξετε γιατί το αίτημα πληροί αυτά τα κριτήρια.

  1. Προσδιορίστε και τεκμηριώστε τη νομική σας βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα

Πρέπει να κατανοήσετε τους διάφορους τύπους επεξεργασίας δεδομένων που πραγματοποιείτε, να προσδιορίσετε τη νομική σας βάση για την εκτέλεσή της και να την τεκμηριώσετε.

  1. Επανεξέταση του τρόπου με τον οποίο ζητάτε, λαμβάνετε και καταγράφετε τη συγκατάθεση

Εάν βασίζεστε στη συγκατάθεση των ατόμων για την επεξεργασία των δεδομένων τους, βεβαιωθείτε ότι αυτή πληροί τα πρότυπα που απαιτούνται από τον ΓΚΠΔ. Εάν όχι, τροποποιήστε τους μηχανισμούς συγκατάθεσής σας ή βρείτε μια εναλλακτική λύση στη συγκατάθεση. Ο ΓΚΠΔ είναι σαφές ότι οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να είναι σε θέση να αποδείξουν ότι δόθηκε η συγκατάθεση.

Ίσως χρειαστεί να επανεξετάσετε τα συστήματα που διαθέτετε για την καταγραφή της συγκατάθεσης και να διασφαλίσετε ότι διαθέτετε αποτελεσματική διαδρομή ελέγχου.

  1. Η "σαφής συγκατάθεση" θα επηρεάσει το μάρκετινγκ

Μία από τις κυριότερες αποφάσεις του ΓΚΠΔ είναι η εισαγωγή της "σαφέστατης συγκατάθεσης" προτού τα προσωπικά δεδομένα ή τα δεδομένα συμπεριφοράς του χρήστη χρησιμοποιηθούν για σκοπούς μάρκετινγκ. Στο πλαίσιο της αρχικής επαφής με τα άτομα, είναι σημαντικό να κατανοούν κάθε πτυχή του τι συμφωνούν όταν δίνουν πληροφορίες για τον εαυτό τους.

  1. Επανεξέταση των δεδομένων που διατηρείτε για τα παιδιά

Ο ΓΚΠΔ προβλέπει ειδική προστασία για τα προσωπικά δεδομένα των παιδιών. Εάν ο οργανισμός σας συλλέγει πληροφορίες για παιδιά κάτω των 13 ετών, χρειάζεστε τη συγκατάθεση των γονέων/κηδεμόνων σας για να επεξεργαστείτε τα δεδομένα τους νόμιμα.

  1. Καθιέρωση διαδικασιών για τον εντοπισμό, την αναφορά και τη διερεύνηση παραβίασης δεδομένων προσωπικού χαρακτήρα

Ο ΓΚΠΔ απαιτεί από όλους τους οργανισμούς να ενημερώνουν την ICO για όλες τις παραβιάσεις δεδομένων στις οποίες το άτομο είναι πιθανό να υποστεί κάποιας μορφής ζημία, όπως μέσω κλοπής ταυτότητας ή παραβίασης της εμπιστευτικότητας.

Πρέπει να δημιουργήσετε διαδικασίες για τον εντοπισμό, την αναφορά και τη διερεύνηση των παραβιάσεων.

Η παράλειψη αναφοράς μιας παραβίασης μπορεί να οδηγήσει σε πρόστιμο, καθώς και σε πρόστιμο για την ίδια την παραβίαση.

  1. Δοκιμή διαδικασιών αντιμετώπισης παραβίασης δεδομένων

Υπάρχει μια προθεσμία 72 ωρών για την κοινοποίηση σε μια τοπική αρχή προστασίας δεδομένων (ΑΠΔ) μιας παραβίασης δεδομένων που θα μπορούσε να οδηγήσει σε βλάβη των υποκειμένων των δεδομένων. Ο ΓΚΠΔ ορίζει ότι τα θιγόμενα υποκείμενα πρέπει να ειδοποιούνται "χωρίς αδικαιολόγητη καθυστέρηση". Δοκιμάστε τακτικά τις διαδικασίες διαχείρισης παραβιάσεων και τις απαντήσεις σε αιτήματα υποκειμένων δεδομένων, ώστε να διασφαλίσετε ότι οι εργαζόμενοι μπορούν να τηρήσουν αυτές τις προθεσμίες. Θα πρέπει να γνωρίζουν πώς να εντοπίζουν και να αναφέρουν μια παραβίαση δεδομένων εσωτερικά και θα πρέπει να είναι σαφές ποιανού ευθύνη είναι η επικοινωνία με την ΑΠΔΠΧ και τους πελάτες.

  1. Δεν υπάρχουν όρια

Εάν η επιχείρησή σας συλλέγει δεδομένα στην ΕΕ σχετικά με πολίτες της ΕΕ, εφαρμόζεται ο κανονισμός ΓΚΠΔ, ανεξάρτητα από τον τόπο εγκατάστασής σας.

  1. Μεταφορά εκτός ΕΕ

Σοβαροί περιορισμοί για τη διαβίβαση δεδομένων σε τρίτες χώρες. Η Ευρωπαϊκή Επιτροπή καθορίζει σε ποιες "τρίτες" χώρες ή σε ποιους τομείς ή οργανισμούς των χωρών αυτών επιτρέπεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα.

  1. Επανεξετάστε τις διαδικασίες σας σχετικά με τις εκτιμήσεις αντικτύπου σχετικά με το απόρρητο των δεδομένων (DPIA)

Σε μια κατάσταση υψηλού κινδύνου, όπως η ανάπτυξη νέας τεχνολογίας, ή όταν οι λειτουργίες ενδέχεται να επηρεάσουν σημαντικά τα άτομα, μπορεί να σας ζητηθεί να διενεργήσετε εκτίμηση αντικτύπου στην ιδιωτική ζωή (ΠΙΑ).

Σκεφτείτε σε ποιες περιπτώσεις μπορεί να είναι απαραίτητη η διενέργεια ΕΠΕΑ στον οργανισμό σας. Ποιος θα την κάνει; Ποιος άλλος πρέπει να συμμετέχει; Θα πρέπει η διαδικασία να διεξαχθεί κεντρικά ή τοπικά;

  1. Ορισμός Υπεύθυνου Προστασίας Δεδομένων (DPO)

Εάν ο οργανισμός σας απασχολεί 250 ή περισσότερα άτομα, είναι δημόσια αρχή ή ασχολείται με την τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, θα πρέπει να ορίσετε έναν υπεύθυνο προστασίας δεδομένων. Ο ΥΠΔ θα πρέπει να αναλαμβάνει την κατάλληλη ευθύνη για τη συμμόρφωση με την προστασία δεδομένων και να διαθέτει τις γνώσεις, την υποστήριξη και την εξουσία για να το κάνει αποτελεσματικά.

  1. Συμμόρφωση GDPR μέσω σχεδιασμού

Εάν σχεδιάσετε όλες τις διαδικασίες του GDPR ώστε να ταιριάζουν με τον κανονισμό, θα χρειαστεί να το κάνετε μόνο μία φορά για να είναι σωστό. Ο ΓΚΠΔ είναι μια μακροπρόθεσμη προοπτική για τις εταιρείες όσον αφορά τη ρύθμιση των δεδομένων που συλλέγονται από τους πελάτες. Το Διαδίκτυο των πραγμάτων και τα μεγάλα δεδομένα δεν είναι ένα κίνημα, είναι μια εξέλιξη του τρόπου με τον οποίο οι άνθρωποι συνδέονται και εμπλέκονται μεταξύ τους και με το φυσικό τους περιβάλλον. Η συμμόρφωση με τον ΓΚΠΔ από τον σχεδιασμό από την αρχή διασφαλίζει ότι θα χρειαστεί να διαβάσετε συμβουλές μόνο μία φορά και να προετοιμάσετε την επιχείρησή σας για τον ΓΚΠΔ.

  1. Χρήση λογισμικού συμβατού με τον GDPR

Πολλά λογισμικά, ιδίως οι πάροχοι υπηρεσιών cloud, έχουν ασχοληθεί με την ενημέρωση των εφαρμογών και του λογισμικού τους ώστε να συμμορφώνονται με τη νομοθεσία GDPR. Βεβαιωθείτε ότι έχετε μιλήσει με τον τρέχοντα ή τον επιλεγμένο πάροχό σας για να δείτε πώς λειτουργεί το λογισμικό τους με τη συμμόρφωση με τον GDPR και να δείτε τι συμβουλές έχουν για να σας βοηθήσουν να διαχειριστείτε αποτελεσματικά τα δεδομένα σας.

Σημαντικό ερώτημα για τους παρόχους cloud είναι πού αποθηκεύουν τα δεδομένα σας (έχουν datacenter) - εντός ή εκτός ΕΕ

Πρακτικές εφαρμογές για τη συμμόρφωση με τον GDPR

Δημόσιες σελίδες

Πολιτική απορρήτου - βασικό έγγραφο στο οποίο παρουσιάζετε τη συμμόρφωσή σας με τον GDPR, όπως:

Ποιες προσωπικές και μη προσωπικές πληροφορίες συλλέγετε

Γιατί τις συλλέγετε

Πόσο καιρό αποθηκεύονται (δεν πρέπει να αποθηκεύονται περισσότερο από όσο είναι απαραίτητο για τους σκοπούς για τους οποίους συλλέχθηκαν)

Διεθνής διαβίβαση σε άλλες χώρες

Τα δικαιώματα των χρηστών όσον αφορά τα δεδομένα τους

Πώς προστατεύονται τα δεδομένα

Νομική διεύθυνση, στοιχεία επικοινωνίας και στοιχεία επικοινωνίας για τον ΥΠΔ

Όροι και προϋποθέσεις

Σελίδα εγγραφής

Ελαχιστοποίηση των δεδομένων - τα πεδία για τη συλλογή δεδομένων πρέπει να είναι ελάχιστα και μόνο για τις απαραίτητες πληροφορίες

Σαφής επιλογή συγκατάθεσης

Πλαίσιο ελέγχου των όρων και προϋποθέσεων και της πολιτικής απορρήτου

Πλαίσιο ελέγχου μάρκετινγκ, εάν σχεδιάζετε δραστηριότητα μάρκετινγκ

Σελίδα προφίλ χρήστη

  • Ο χρήστης θα πρέπει να μπορεί να αλλάζει/διορθώνει τα δεδομένα του (άμεσα ή έμμεσα).
  • Ο χρήστης να έχει το δικαίωμα να διαγράψει το λογαριασμό του (άμεσα ή έμμεσα)
  • Δικαίωμα περιορισμού της επεξεργασίας. Όταν το ζητήσει ο χρήστης, τα προσωπικά του στοιχεία δεν θα πρέπει να είναι πλέον διαθέσιμα σε δημόσια πρόσβαση, για άλλους χρήστες, ακόμη και για τους διαχειριστές του συστήματος.
  • Ο χρήστης έχει το δικαίωμα εξαγωγής ή/και διαβίβασης των δεδομένων του σε άλλον υπεύθυνο επεξεργασίας.
  • Κοκκώδης συγκατάθεση. Ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει τη συγκατάθεση που έλαβε.
  • Δυνατότητα παροχής/ανάκλησης της συγκατάθεσης για συγκεκριμένες ενέργειες (π.χ. αλληλογραφία μάρκετινγκ).

Πρόσθετη λειτουργικότητα

  • Όταν τα δεδομένα δεν χρειάζονται πλέον, πρέπει να διαγράφονται ή να ανωνυμοποιούνται.
  • Ο υπεύθυνος επεξεργασίας πρέπει να ενημερώνει όλους τους άλλους επεξεργαστές των δεδομένων του χρήστη για τις ενέργειες που αναφέρονται ανωτέρω (αίτημα αλλαγής, διαγραφής, περιορισμού της επεξεργασίας κ.λπ.)

Οργανωτικά μέτρα για την προστασία των δεδομένων

  • Σημαντικές πολιτικές και έγγραφα
    • Πολιτική προστασίας δεδομένων
    • Αρχεία δραστηριοτήτων επεξεργασίας
    • Πολιτική αντιμετώπισης περιστατικών ασφαλείας
    • Πολιτική διατήρησης δεδομένων

Πολιτικές που είναι καλό να έχετε (μπορούν να συνδυαστούν σε ένα ή περισσότερα έγγραφα)

  • Ανάκαμψη από καταστροφές και επιχειρησιακή συνέχεια
  • Πολιτική διάθεσης δεδομένων
  • Πολιτική δημιουργίας αντιγράφων ασφαλείας
  • Διαδικασία απασχόλησης
  • Πολιτική ελέγχου πρόσβασης στο σύστημα
  • SLA
  • Πολιτική κύκλου ζωής ανάπτυξης λογισμικού
  • Διαδικασίες κλιμάκωσης
  • Πολιτική κρυπτογραφικού ελέγχου
  • Πρότυπα κωδικοποίησης
  • Διαδικασία εξάπλωσης

Τεχνικά μέτρα για την προστασία των δεδομένων

Ο ΓΚΠΔ δεν αναφέρει συγκεκριμένα ποια μέτρα πρέπει να εφαρμόσετε, ωστόσο απαιτεί από τον υπεύθυνο επεξεργασίας να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα.

  • Έλεγχος πρόσβασης (φυσικός και τεχνικός)
  • Κρυπτογράφηση
  • δεδομένων σε κατάσταση ηρεμίας (ολόκληρος δίσκος, κρυπτογράφηση βάσεων δεδομένων)
  • Δεδομένα κατά τη μεταφορά (HTTPS, IPSec, TLS, PPTP, SSH)
  • Δημιουργία αντιγράφων ασφαλείας
  • Τείχη προστασίας
  • Πρόσβαση VPN
  • Ανίχνευση εισβολής
  • Πρόληψη εισβολών
  • Παρακολούθηση υγείας
  • Απαιτήσεις κωδικού πρόσβασης
  • Έλεγχος ταυτότητας 2 παραγόντων
  • Antivirus
  • Άλλα μέτρα, ανάλογα με το χρησιμοποιούμενο σύστημα

Ειδικά σημεία, τα οποία ενδέχεται να απαιτούν τη συμμετοχή δικηγόρων

  • Ο ΓΚΠΔ απαγορεύει την προεπιλεγμένη επεξεργασία ειδικών δεδομένων. Ωστόσο, εάν πληροίτε μία από τις δηλώσεις του άρθρου 9 παράγραφος 2, μπορείτε να συνεχίσετε να τα επεξεργάζεστε.
  • Πρέπει να οριστεί εξουσιοδοτημένος εκπρόσωπος για τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που δεν είναι εγγεγραμμένοι στην περιοχή της ΕΕ.
  • Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για τους υπεργολάβους του. Αυτοί πρέπει να συμμορφώνονται με τον ΓΚΠΔ, ανεξάρτητα από το πού βρίσκονται.
  • Ο υπεργολάβος δεν πρέπει να χρησιμοποιεί υπηρεσίες άλλου χωρίς τη γραπτή συγκατάθεση του υπεύθυνου επεξεργασίας. Φυσικά, αυτό ισχύει μόνο για το πεδίο εφαρμογής της συνεργασίας των υπευθύνων επεξεργασίας.
  • Σοβαροί περιορισμοί στη διαβίβαση δεδομένων. Αυτό ισχύει και για την αποθήκευση δεδομένων στην περίπτωση παρόχων υπηρεσιών νέφους.
  • Υπεύθυνος προστασίας δεδομένων (DPO)