Scroll Top

GDPR: 10 βήματα για την ασφαλή οργάνωση της επιχείρησης

gdpr-10-steps

Ποιους αφορά ο Γενικός Κανονισμός για την Προστασία των Δεδομένων GDPR;

Με την εφαρμογή του νόμου GDPR, οι Ευρωπαίοι χρήστες του internet έχουν περισσότερο έλεγχο στη συλλογή και χρήση των δεδομένων τους καθώς και καλύτερη προστασία σε περίπτωση διάρρευσης των πληροφοριών.

Ο κάθε χρήστης που είναι Ευρωπαίος πολίτης μπορεί να απαιτήσει τον πλήρη έλεγχο των δεδομένων του από οποιαδήποτε εταιρεία τα διαχειρίζεται.

Μπορεί επίσης από 25/05/2018 να απαιτεί από κάθε νομικό πρόσωπο που κατέχει τα προσωπικά του δεδομένα να μάθει:

  • πώς χρησιμοποιούνται,
  • αν διοχετεύονται σε τρίτους και
  • αν αυτοί οι τρίτοι βρίσκονται εκτός της Ε.Ε.

Όλοι οι χρήστες του διαδικτύου (πολίτες της ΕΕ) μπορούν επιπλέον να ζητήσουν το λεγόμενο «δικαίωμα στη λήθη», το οποίο πρακτικά διαγράφει, υπό όρους τα προσωπικά τους δεδομένα από ένα νομικό πρόσωπο, για πάντα.

Εταιρείες οι οποίες δεν θα συμμορφωθούν και  παραβιάσουν τα δικαιώματα των Ευρωπαίων πολιτών ενδέχεται να αντιμετωπίσουν κυρώσεις ίσες με το 4% του ετήσιου τζίρου τους.

***

Όλη αυτή η έξαρση με την ανταλλαγή δεδομένων προσωπικού χαρακτήρα – αναγκαστικά – δημιούργησε την ανάγκη για ένα αυστηρότερο νομοθετικό πλαίσιο το οποίο να το εφαρμόζουν όλοι και αφορά τα προσωπικά δεδομένα.

Εκ των πραγμάτων, το Ευρωπαϊκό Κοινοβούλιο δημιούργησε και ψήφισε το νέο Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR), ο οποίος τέθηκε σε εφαρμογή στις 25 Μαΐου του 2018.

Ο νόμος εφαρμόζεται και αφορά όλες τις εταιρίες οι οποίες επεξεργάζονται και διαχειρίζονται προσωπικά δεδομένα Ευρωπαίων πολιτών, είτε η έδρα τους βρίσκεται εντός Ευρωπαϊκής Ένωσης είτε εκτός.

Τρία κύρια σημεία του νόμου GDPR

  1. Δίνει στους πολίτες τον έλεγχο σχετικά με την προστασία των προσωπικών τους δεδομένων.
  2. Απλοποιεί τις νομικές διαδικασίες για τα προσωπικά δεδομένα σε ευρωπαϊκό επίπεδο, αφού πλέον θα λειτουργούν όλες οι εταιρίες στο πλαίσιο ενός κανονισμού.
  3. Επιβάλει σημαντικά πρόστιμα τα οποία, ανάλογα με το είδος της παραβίασης, μπορούν να φτάσουν τα €20.000.000 ή το 4% του συνολικού ετησίου κύκλου εργασιών μιας επιχείρησης.

Τι ορίζονται ως Προσωπικά Δεδομένα;

O GDPR δίνει ιδιαίτερη βαρύτητα στον καθαυτό ορισμό των προσωπικών δεδομένων σήμερα. Το επίσημο έγγραφο το οποίο μπορείς να βρεις εδώ, ορίζει τα προσωπικά δεδομένα ως οποιαδήποτε πληροφορία που συνδέεται με ένα φυσικό πρόσωπο έμμεσα ή άμεσα.

Για παράδειγμα:

  • Όνομα
  • Διεύθυνση email
  • Πληροφορίες Τοποθεσίας
  • Διεύθυνση IP

Τι ορίζονται ως Ευαίσθητα Προσωπικά Δεδομένα;

Τα ευαίσθητα προσωπικά δεδομένα είναι κατηγορίες που χρήζουν ειδικής προστασίας, καθότι η επεξεργασία τους μπορεί να κρύβει κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες του ατόμου.

Για παράδειγμα:

  • η φυλετική ή εθνοτική καταγωγή
  • τα πολιτικά φρονήματα
  • οι θρησκευτικές ή φιλοσοφικές πεποιθήσεις
  • η συμμετοχή σε συνδικαλιστική οργάνωση

***

10 βήματα για να προετοιμαστείς για το νέο κανονισμό

1. Ενημερώσου σχετικά με τον GDPR

Ο GDPR θα έχει αντίκτυπο στις εταιρίες που διατηρούν και επεξεργάζονται δεδομένα, οπότε αν η επιχείρησή σου κρατάει τα δεδομένα των πελατών, είναι καλό να ενημερωθείς σχετικά. Αρχικά θα χρειαστεί να αντιληφθείς πλήρως τους ορισμούς των προσωπικών δεδομένων που αναφέραμε παραπάνω, αλλά και τους περιορισμούς του Κανονισμού και έπειτα να εντοπίσεις τις αλλαγές που πρέπει να γίνουν στην εταιρία σου, ώστε να αρχίσεις να προσαρμόζεσαι στις νέες διατάξεις.

2. Χαρτογράφησε τα δεδομένα που λαμβάνεις και επεξεργάζεσαι

Το να αντιληφθείς ποια δεδομένα ορίζονται ως προσωπικά και το να βρεις πού και πώς αποθηκεύεις αυτά τα στοιχεία είναι δυο διαφορετικά πράγματα. Οι περισσότερες εταιρίες δεν αντιλαμβάνονται τις μισές πληροφορίες που αποθηκεύουν – οι πληροφορίες αυτές χαρακτηρίζονται ως “dark” data.

Αρχικό σου μέλημα είναι η εύρεση καθώς και η χαρτογράφηση των προσωπικών δεδομένων, ώστε να γνωρίζεις ανά πάσα στιγμή πού βρίσκονται και πώς καταλήγουν εκεί.

Μπορείς να ξεκινήσεις την έρευνα από:

  • το site σου (για παράδειγμα, οι χρήστες του WordPress πρέπει να τσεκάρουν τα plugin τους όπως το Akismet και τις φόρμες επικοινωνίας)
  • τα ηλεκτρονικά αρχεία που διατηρείς, όπως βάσεις δεδομένων σε excel, πληροφορίες σε pdf, ακόμα και αρχεία που αποθηκεύονται στο cloud
  • και τέλος συνιστάται προσοχή στα: email & email marketing software, social media, messaging apps, όπως το Facebook, managment software της εταιρίας

Αφού εντοπίσεις όλα τα δεδομένα που αποθηκεύεις, οργάνωσε ένα αρχείο με αυτά και διάγραψε ό,τι δεν χρειάζεται πλέον.

3. Επικοινωνία με τον πελάτη

Επικοινώνησε την πολιτική απορρήτου με απλή γλώσσα. Δώσε στους πελάτες σου όλες τις απαραίτητες πληροφορίες όταν ζητάς τα προσωπικά τους δεδομένα:

  • τον σκοπό για τον οποίο τα επεξεργάζεσαι,
  • για πόσο καιρό θα τα κρατήσεις και
  • ποιος άλλος έχει τη δυνατότητα να τα επεξεργαστεί.

4. Δικαιώματα του πολίτη που είναι υποκείμενο επεξεργασίας δεδομένων

Τα προσωπικά δεδομένα θεωρούνται ένα πολύτιμο περιουσιακό στοιχείο και για τον λόγο αυτό ο GDPR δίνει τον έλεγχο στους πολίτες για τη διαχείριση αυτών. Τα δικαιώματα των πολιτών σχετικά με τα δεδομένα τους περιλαμβάνουν:

  • την σωστή πληροφόρηση για την επεξεργασία τους,
  • την ανεμπόδιστη πρόσβαση του ιδιοκτήτη σε αυτά,
  • την άμεση διόρθωσή τους όταν παρατηρηθεί λάθος,
  • την διαγραφή τους όταν δεν είναι πια απαραίτητα,
  • την μεταφορά τους όταν το επιθυμεί ο ιδιοκτήτης,
  • το δικαίωμα στην ένσταση όταν αυτά χρησιμοποιούνται αθέμιτα,
  • τους περιορισμούς στην επεξεργασία τους.

Η διαδικασία που επιτρέπει τις παραπάνω λειτουργίες θα πρέπει να είναι απλή και προσιτή στον πολίτη.

5. Πρόσεξε τις νομικές σου υποχρεώσεις

Όπως είδαμε παραπάνω, ένας πελάτης έχει το δικαίωμα να ζητήσει διαγραφή των προσωπικών του δεδομένων. Ταυτόχρονα, εσύ σαν επαγγελματίας ίσως χρειάζεται να διατηρείς κάποια από αυτά. Ένα χαρακτηριστικό παράδειγμα τέτοιας περίπτωσης είναι η διατήρηση ενός αρχείου πληρωμών για φορολογικούς λόγους, για ένα συγκεκριμένο χρονικό διάστημα. Από τη στιγμή που έχεις νομική υποχρέωση απέναντι σε φορολογικούς φορείς, μπορείς να διαγράψεις όλα τα στοιχεία του πελάτη εκτός από αυτά που χρειάζεσαι για το φορολογικό σου αρχείο και τα οποία δεν μπορείς να επεξεργαστείς για άλλους σκοπούς.

Υπάρχουν διάφοροι λόγοι που σε υποχρεώνουν νομικά να διατηρείς αρχείο με προσωπικά δεδομένα, οπότε φρόντισε να ενημερωθείς γι’ αυτούς και στη συνέχεια να ενημερώσεις και τους πελάτες σου σχετικά.

6. Διαρροή δεδομένων

Σε περίπτωση παραβίασης των συστημάτων σου και διαρροής προσωπικών δεδομένων οφείλεις να γνωστοποιήσεις το γεγονός εντός 72 ωρών τις αρμόδιες Αρχές αλλά και στα ενδιαφερόμενα άτομα, εφόσον η παραβίαση αυτή μπορεί να αποτελέσει ρίσκο για τα δικαιώματα και τις ελευθερίες τους.

7. Προστάτευσε τα ευαίσθητα δεδομένα

Χρησιμοποίησε πρόσθετα μέτρα προστασίας για πληροφορίες που αφορούν την υγεία, τη φυλή, τη θρησκεία και τις πολιτικές πεποιθήσεις. Σε αυτές τις περιπτώσεις θα χρειαστεί να πάρεις ειδική συγκατάθεση για την επεξεργασία των δεδομένων. Ενημέρωσε το κοινό σου σχετικά και διαβεβαίωσέ τους για την ασφάλεια των προσωπικών τους δεδομένων.

8. Όρισε έναν Υπεύθυνο Προστασίας Δεδομένων

Σε μερικές περιπτώσεις είναι αναγκαίος ο καθορισμός ενός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer), κυρίως για τις δημόσιες αρχές, τους οργανισμούς που παρακολουθούν συστηματικά δεδομένα σε μεγάλη κλίμακα και τους οργανισμούς που παρακολουθούν ευαίσθητα δεδομένα σε μεγάλη κλίμακα ή επεξεργάζονται ποινικά μητρώα.

9. Διαβίβαση δεδομένων εκτός της Ε.Ε.

Η μεταφορά δεδομένων σε χώρες εκτός Ε.Ε. πρέπει να γίνεται υπό συγκεκριμένες προϋποθέσεις. Πριν διαβιβάσεις τα δεδομένα κάποιου πελάτη σου σε χώρα εκτός της Ε.Ε., σύναψε μαζί του μια συμφωνία, ώστε να καλυφθείς νομικά.

10. Διαμοιρασμός δεδομένων σε συνεργάτες

Οι συνεργάτες που εκτελούν εκ μέρους σου ενέργειες σχετιζόμενες με προσωπικά δεδομένα πελατών (όπως π.χ. ηλεκτρονικές πληρωμές) πρέπει να συμβαδίζουν με τους κανόνες του GDPR. Επανεξέτασε τις συνεργασίες σου, ελέγχοντας τις προθέσεις τους γύρω από τον κανονισμό και αν δεν έχουν ξεκινήσει να λαμβάνουν μέτρα για διαδικασίες συμμόρφωσης, ψάξε για άλλες εναλλακτικές.

Καταλήγοντας

Η προετοιμασία για τον GDPR είναι σημαντική και αποτελεί ένα μεγάλο βήμα προς τη νομική εξασφάλιση της εταιρίας σου. Παράλληλα, είναι μια διαδικασία που θα απαιτήσει τη συνεχή παρακολούθηση και προστασία των δεδομένων από τη στιγμή που ο νόμος θα τεθεί σε εφαρμογή.

 

πηγές: top.host gdpr-info.eu

Related Posts