Νέα απο το blog

GDPR

Πώς θα επηρεάσει ο κανονισμός GDPR την επιχείρησή σας;

Γενικές οδηγίες & τι πρέπει να προσέξετε

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) είναι ο νέος νόμος περί προστασίας δεδομένων της Ευρωπαϊκής Ένωσης. Έχει σχεδιαστεί για να επιτρέπει σε μεμονωμένα άτομα να έχουν μεγαλύτερο έλεγχο των προσωπικών τους δεδομένων και επιβάλλει νέες υποχρεώσεις σε οργανισμούς που συλλέγουν, διαχειρίζονται ή αναλύουν τέτοιου είδους δεδομένα, συμπεριλαμβανομένων των οργανισμών εκτός της ΕΕ.

Ο κανονισμός GDPR θα τεθεί σε ισχύ στις 25 Μαΐου 2018, επομένως πρέπει να ξεκινήσετε να προετοιμάζεστε τώρα. Προετοιμαστείτε για το GDPR ακολουθώντας τα παρακάτω βήματα και ανακαλύψτε απαντήσεις σε μερικές πολύ σημαντικές ερωτήσεις σχετικά με τον κανονισμό GDPR και τη σημασία που μπορεί να έχει για εσάς.

 

Τι είναι ο κανονισμός GDPR;
Ποιες είναι οι βασικές απαιτήσεις του κανονισμού GDPR;
Ο κανονισμός GDPR ισχύει και για τον οργανισμό μου;
Ο οργανισμός μου επεξεργάζεται δεδομένα. Πώς θα γνωρίζω αν καλύπτονται από τον κανονισμό GDPR;
Τι θα συμβεί αν ο οργανισμός μου δεν συμμορφωθεί με τον κανονισμό GDPR;
Τι προβλέπεται για την ασφάλεια σύμφωνα με τον κανονισμό GDPR;
Αναφέρεται ότι οι οργανισμοί πρέπει να είναι «διαφανείς». Τι σημαίνει αυτό;
Τι είναι ο κανονισμός GDPR;

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) είναι ο νέος νόμος περί προστασίας δεδομένων της Ευρωπαϊκής Ένωσης. Αντικαθιστά την Οδηγία για την προστασία των δεδομένων, η οποία εφαρμόζεται από το 1995. Παρόλο που ο κανονισμός GDPR διατηρεί πολλές από τις αρχές που θεσπίστηκαν με την Οδηγία, είναι πολύ πιο φιλόδοξος.

Μεταξύ των πιο αξιοσημείωτων αλλαγών του, ο κανονισμός GDPR παρέχει τη δυνατότητα σε μεμονωμένα άτομα να έχουν μεγαλύτερο έλεγχο στα προσωπικά δεδομένα τους και επιβάλλει πολλές νέες υποχρεώσεις στους οργανισμούς που συλλέγουν, χειρίζονται ή αναλύουν προσωπικά δεδομένα.

Ο κανονισμός GDPR παρέχει επίσης στους εθνικούς νομοθέτες νέες εξουσίες για την επιβολή σημαντικών προστίμων σε οργανισμούς που παραβιάζουν το νόμο.

Ποιες είναι οι βασικές απαιτήσεις του κανονισμού GDPR;

Ο κανονισμός GDPR επιβάλλει ένα ευρύ φάσμα απαιτήσεων στους οργανισμούς που συλλέγουν ή επεξεργάζονται προσωπικά δεδομένα, καθώς και την υποχρέωση να συμμορφώνονται με έξι βασικές αρχές:

Διαφάνεια, αντικειμενικότητα και νομιμότητα ως προς το χειρισμό και τη χρήση των προσωπικών δεδομένων

• Περιορισμός της επεξεργασίας των προσωπικών δεδομένων για καθορισμένους, ρητούς και νόμιμους σκοπούς

• Συλλογή και αποθήκευση μόνο των ελάχιστων προσωπικών δεδομένων που απαιτούνται για έναν σκοπό

• Διασφάλιση της ακρίβειας των δεδομένων, συμπεριλαμβανομένης της δυνατότητας διαγραφής και επεξεργασίας τους

• Περιορισμός της περιόδου αποθήκευσης των προσωπικών δεδομένων

• Διασφάλιση της ασφάλειας, της ακεραιότητας και της εμπιστευτικότητας των προσωπικών δεδομένων

Ο κανονισμός GDPR ισχύει και για τον οργανισμό μου;

Ο κανονισμός GDPR ισχύει για οργανισμούς κάθε μεγέθους, ανεξαρτήτως κλάδου. Ειδικότερα, ο κανονισμός GDPR ισχύει για τα εξής:

• την επεξεργασία των προσωπικών δεδομένων κάθε ατόμου, αν η επεξεργασία πραγματοποιείται στο πλαίσιο των δραστηριοτήτων ενός οργανισμού εγκατεστημένου στην ΕΕ (ανεξάρτητα από το πού πραγματοποιείται η επεξεργασία),

• την επεξεργασία των προσωπικών δεδομένων ατόμων που κατοικούν στην ΕΕ από έναν οργανισμό εγκατεστημένο εκτός της ΕΕ, εφόσον η επεξεργασία σχετίζεται με την παροχή προϊόντων ή υπηρεσιών σε αυτά τα άτομα ή την παρακολούθηση της συμπεριφοράς τους.

Ο οργανισμός μου επεξεργάζεται δεδομένα. Πώς θα γνωρίζω αν καλύπτονται από τον κανονισμό GDPR;

Ο κανονισμός GDPR διέπει τη συλλογή, την αποθήκευση, τη χρήση και την κοινή χρήση των “προσωπικών δεδομένων”.

Τα προσωπικά δεδομένα ορίζονται ευρέως στα πλαίσια του κανονισμού GDPR ως οποιαδήποτε δεδομένα σχετίζονται με ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.

Σε αυτά ενδέχεται να περιλαμβάνονται πληροφορίες, όπως διευθύνσεις IP, βάσεις δεδομένων πωλήσεων, δεδομένα εξυπηρέτησης πελατών, φόρμες παρατηρήσεων και άλλα.

Τι θα συμβεί αν ο οργανισμός μου δεν συμμορφωθεί με τον κανονισμό GDPR;

Το πρόστιμο για σοβαρές παραβιάσεις θα αγγίζει τα 20 εκατομμύρια ευρώ το μέγιστο ή το 4% των παγκόσμιων εσόδων ενός οργανισμού, όποιο είναι μεγαλύτερο. Επίσης, ο κανονισμός GDPR δίνει στους καταναλωτές (και στους οργανισμούς που ενεργούν για λογαριασμό τους) τη δυνατότητα να κινήσουν αστικές δικαστικές διαδικασίες κατά οργανισμών που παραβιάζουν τον κανονισμό GDPR.

Τι προβλέπεται για την ασφάλεια σύμφωνα με τον κανονισμό GDPR;

Σύμφωνα με τον κανονισμό GDPR, ο οργανισμός σας υποχρεούται να λαμβάνει μέτρα για τη διατήρηση της ασφάλειας των προσωπικών δεδομένων σας. Σε αυτά τα μέτρα περιλαμβάνονται “οργανωτικά μέτρα”, όπως ο περιορισμός του αριθμού των ατόμων εντός του οργανισμού σας που μπορούν να αποκτούν πρόσβαση στα προσωπικά δεδομένα και “τεχνικά μέτρα”, όπως η κρυπτογράφηση.

Ο κανονισμός GDPR δεν καθορίζει ούτε επιβάλλει τα ακριβή μέτρα ασφαλείας που πρέπει να λαμβάνουν οι οργανισμοί. Αντίθετα, εσείς υποχρεούστε να καθορίσετε ποια μέτρα ασφαλείας πρέπει να λάβετε με βάση παράγοντες, όπως η φύση των προσωπικών δεδομένων που συλλέγετε, η ευαισθησία τους και οι κίνδυνοι τους οποίους ενέχει η επεξεργασία.

Υπάρχουν πολλοί τύποι κινδύνων ασφαλείας που πρέπει να ληφθούν υπόψη. Στους συνήθεις κινδύνους περιλαμβάνονται η φυσική εισβολή, η παραπλανητική συμπεριφορά υπαλλήλων, η τυχαία απώλεια δεδομένων και οι εισβολείς στο διαδίκτυο. Η ανάπτυξη ενός προγράμματος διαχείρισης κινδύνων και η λήψη βημάτων μετριασμού των κινδύνων, όπως η προστασία κωδικών πρόσβασης, τα αρχεία καταγραφής ελέγχου και η υλοποίηση διαδικασιών κρυπτογράφησης, μπορούν να βοηθήσουν στη διασφάλιση της συμμόρφωσης.

Αναφέρεται ότι οι οργανισμοί πρέπει να είναι «διαφανείς». Τι σημαίνει αυτό;

Σημαίνει ότι πρέπει να παρέχετε ειλικρινείς και σαφείς διευκρινίσεις για τον λόγο και τον τρόπο επεξεργασίας των δεδομένων των ατόμων. Ο κανονισμός GDPR περιλαμβάνει αναλυτικές πληροφορίες σχετικά με την ενημέρωση που πρέπει να παρέχετε στα άτομα για την επεξεργασία των προσωπικών δεδομένων και σε αυτές περιλαμβάνονται, μεταξύ άλλων, πληροφορίες για τα εξής:

• Το λόγο για τον οποίο επεξεργάζεστε τα προσωπικά δεδομένα,

• Τη διάρκεια αποθήκευσης αυτών των δεδομένων (ή τα κριτήρια για τον καθορισμό της διάρκειας αποθήκευσης των δεδομένων),

• Τα άτομα ή τους οργανισμούς με τους οποίους θα γίνει κοινή χρήση των προσωπικών δεδομένων και

• Εάν θα πραγματοποιείται διαβίβαση των προσωπικών δεδομένων εκτός του Ευρωπαϊκού Οικονομικού Χώρου.

Οφείλετε να παρουσιάζετε αυτές τις πληροφορίες με σαφή και εύκολα προσβάσιμο τρόπο. Για αυτόν το λόγο, είναι καλή ιδέα να ελέγχετε προσεκτικά τις γνωστοποιήσεις σας αναφορικά με τις απαιτήσεις του κανονισμού GDPR.

Τεχνικές αλλαγές που ίσως χρειαστούν

  • Ελέγξτε ότι δεν είναι προεπιλεγμένη η ρύθμιση για αυτόματη λήψη ενημερωτικών δελτίων από την ιστοσελίδα/e-shop σας.
  • Εάν δεν υπάρχει κείμενο που να αναφέρεται στην πολιτική απορρήτου, συμπληρώστε το έτσι ώστε να χρησιμοποιηθεί κατά την αποδοχή των cookies.
  • Εάν δεν έχετε ειδοποίηση για ενημέρωση καταγραφής των cookies εγκαταστήστε κάποιο. Για WordPress δείτε εδώ, ενώ για Opencart εδώ.
  • Στο κείμενο της πολιτικής απορρήτου αναφέρετε ρητά τη δυνατότητα επικοινωνίας με το διαχειριστή της ιστοσελίδας/e-shop για ενδεχόμενη επεξεργασία ή διαγραφή στοιχείων του χρήστη.

GDPR Extensions

Σε περίπτωση που θέλετε κάποια αυτοματοποιημένη λύση, υπάρχουν ήδη extensions που μπορεί να σας βοηθήσουν.

Εάν έχετε ιστοσελίδα σε WordPress κάνετε κλικ εδώ.

Εάν έχετε e-shop σε Opencart κάνετε κλικ εδώ.

Προσωπικό απόρρητο

Τα άτομα έχουν τα εξής δικαιώματα:

-Να αποκτούν πρόσβαση και να εξάγουν τα προσωπικά τους δεδομένα

-Να διαγράφουν τα προσωπικά τους δεδομένα

-Να διορθώνουν σφάλματα στα προσωπικά τους δεδομένα

-Να εναντιώνονται στην επεξεργασία

Έλεγχοι

Οι εταιρείες και οι οργανισμοί πρέπει:

-Να προστατεύουν τα προσωπικά δεδομένα λαμβάνοντας κατάλληλα μέτρα ασφαλείας

-Να γνωστοποιούν στις αρχές τις παραβιάσεις προσωπικών δεδομένων

-Να λαμβάνουν συγκατάθεση για τη συλλογή και την επεξεργασία προσωπικών δεδομένων

-Να τηρούν αρχεία που θα παρέχουν αναλυτικές πληροφορίες για τις δραστηριότητες επεξεργασίας δεδομένων

IT και εκπαίδευση

Οι εταιρείες και οι οργανισμοί θα πρέπει:

-Να εκπαιδεύουν τους εργαζομένους στις βέλτιστες πρακτικές για την προστασία των προσωπικών δεδομένων και ασφάλειας

-Να ελέγχουν και να ενημερώνουν για τις πολιτικές προστασίας δεδομένων

-Να ορίζουν έναν Υπεύθυνο προστασίας δεδομένων, εφόσον χρειάζεται

-Να συνάπτουν και να διαχειρίζονται συμβάσεις με προμηθευτές που συμμορφώνονται με τον κανονισμό

Διαφάνεια

Οι εταιρείες και οι οργανισμοί πρέπει να εφαρμόζουν πολιτικές οι οποίες:

-Θα παρέχουν σαφή γνωστοποίηση για τη συλλογή δεδομένων

-Θα περιγράφουν το λόγο και τις περιπτώσεις επεξεργασίας των προσωπικών δεδομένων

-Θα ορίζουν πολιτικές διατήρησης και διαγραφής δεδομένων