ΠΩΣ ΜΠΟΡΟΥΜΕ ΝΑ ΣΑΣ ΒΟΗΘΗΣΟΥΜΕ (FAQ);

Η παροχή ‘’συγκατάθεσης’’ είναι ένα από τα μεγαλύτερα ζητήματα που προκύπτουν από την εισαγωγή του GDPR. Ειδικότερα δε η συγκατάθεση για το marketing. Η συγκατάθεση, βάσει του GDPR, πρέπει να παρέχεται ελεύθερα και να είναι ξεκάθαρη μέσω πχ μιας «συμμετοχής» με την οποία το υποκείμενο των δεδομένων επιλέγει ένα ‘’κουτί’’ για να συμφωνήσει (tick) να λάβει υλικό marketing. Συνεπώς, η επιχείρηση πρέπει να επανεξετάσει τις βάσεις δεδομένων ώστε να έχει σωστή συγκατάθεση. Έχει διαπιστωθεί ότι το ποσοστό ανταπόκρισης σε τέτοια αιτήματα είναι ιστορικά χαμηλό. Οποιαδήποτε μη απάντηση σε αυτά τα αιτήματα σημαίνει μη παροχή συγκατάθεσης και διακοπή επικοινωνίας με αυτά τα φυσικά πρόσωπα.

Πρακτικά, η επιχείρηση πρέπει να το δει ως μια ευκαιρία για να «καθαρίσει» τις βάσεις δεδομένων marketing και να διασφαλίσει ότι οι βάσεις δεδομένων είναι πιο στοχευμένες σε όσους ενδιαφέρονται πραγματικά να λαμβάνουν τις πληροφορίες marketing.

Ο GDPR είναι μια πρωτοβουλία της Ευρωπαϊκής Ένωσης. Κάθε κράτος μέλος χειρίζεται την επιβολή της νομοθεσίας και έχει ρυθμιστικό όργανο που ονομάζεται Εποπτική Αρχή (DPA) που είναι υπεύθυνη για τον έλεγχο και την επιβολή. Στην Ελλάδα την ευθύνη έχει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (dpa.gr). Σε ευρωπαϊκό επίπεδο το European Board for Data Protection ‘’επιβλέπει’’ τις εθνικές εποπτικές αρχές.

Οι κυρώσεις μπορούν να είναι από μια απλή σύσταση για συμμόρφωση έως πρόστιμο ύψους € 20 εκατομμύρια ή το 4% των ετήσιων εσόδων μιας επιχείρησης . Η εποπτική αρχή αποφασίζει το ποσό του προστίμου βάσει των συνθηκών και του επιπέδου παραβίασης.

Ο GDPR αναφέρεται στο χρονικό διάστημα μεταξύ της ανίχνευσης μιας παραβίασης και της χρονικής στιγμής της ειδοποίησης των εμπλεκομένων μερών σχετικά με αυτό, που είναι 72 ώρες. Εντούτοις, μέρος της έννοιας της ασφάλειας και της προστασίας της ιδιωτικότητας είναι να υπάρχει στην επιχείρηση μεθοδολογία ανίχνευσης παραβιάσεων καθώς και εργαλεία και διαδικασίες για την καλύτερη διαχείριση.

Οι κυρώσεις μπορούν να είναι από μια απλή σύσταση για συμμόρφωση έως πρόστιμο ύψους  € 20 εκατομμύρια ή το 4% των ετήσιων εσόδων μιας επιχείρησης . Η εποπτική αρχή αποφασίζει το ποσό του προστίμου βάσει των συνθηκών και του επιπέδου παραβίασης.

Ο GDPR δεν διευκρινίζει ποιοι έλεγχοι και διαδικασίες πρέπει να τεθούν σε εφαρμογή. Απαιτεί να υπάρχουν  “τα κατάλληλα τεχνικά & οργανωτικά μέτρα” και αφήνει περιθώρια να κρίνουμε τι σημαίνει κατάλληλα για τη συγκεκριμένη επιχείρηση.Οι κυρώσεις μπορούν να είναι από μια απλή σύσταση για συμμόρφωση έως πρόστιμο ύψους  € 20 εκατομμύρια ή το 4% των ετήσιων εσόδων μιας επιχείρησης . Η εποπτική αρχή αποφασίζει το ποσό του προστίμου βάσει των συνθηκών και του επιπέδου παραβίασης.

Ναι. Οι αρμοδιότητες του ΥΠΔ (DPO) περιλαμβάνουν την ευαισθητοποίηση και την κατάρτιση των εργαζομένων σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα και τις σχετικές απαιτήσεις του GDPR. Αν δεν υπάρχει DPO, την ευθύνη έχει ο Υπεύθυνος Επεξεργασίας (δηλαδή η επιχείρηση).

Όχι απαραίτητα.

Μεταξύ των περιπτώσεων όπου ο GDPR απαιτεί ορισμό DPO είναι όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή γίνεται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.

Η Ομάδα εργασίας του άρθρου 29 (WP29 – μια ομάδα που απαρτιζόταν από εθνικές αρχές προστασίας δεδομένων κρατών της ΕΕ) έχει εκδώσει σχετική κατευθυντήρια οδηγία με τη σύσταση ότι είναι χρήσιμος ο ορισμός ΥΠΔ σε εθελοντική βάση.

Στην επιχείρηση που εκτιμά ότι δεν χρειάζεται ΥΠΔ, το WP29 συνιστά να διενεργηθεί αξιολόγηση κινδύνου της απόφασης αυτής και να τεκμηριωθεί ότι όλοι οι σχετικοί παράγοντες έχουν ληφθεί σωστά υπόψη.

Όχι, ο GDPR επιβάλει υποχρεώσεις συμμόρφωσης στον data controller (ΥΕ) και στον data processor (ΕτΕ). Είναι ευθύνη του ΥΕ (υπεύθυνου επεξεργασίας) να συμπεριλάβει συγκεκριμένους όρους στη σύμβαση συνεργασίας του με τον ΕτΕ (εκτελούντα την επεξεργασία). Ενδεικτικοί όροι που πρέπει να λαμβάνονται σε συμφωνίες προμηθευτών τρίτων μερών για συμμόρφωση με το GDPR είναι:

• Συνολική συμμόρφωση με GDPR
• Παραβιάσεις δεδομένων – υποχρέωση του ΕτΕ να ενημερώσει τον ΥΕ
• Ασφάλεια δεδομένων – συγκεκριμένα μέτρα ασφαλείας του ΕτΕ
• Συνεργασία – σε περιπτώσεις παραβίασης ή αιτήματος πρόσβασης SAR
• Έλεγχος αν ο ΕτΕ πρέπει να ορίσει Υπεύθυνο Προστασίας Δεδομένων

Πολιτική Απορρήτου που να δείχνει πώς η ιδιωτικότητα και η ασφάλειά της αποτελεί μέρος των καθημερινών επιχειρηματικών διαδικασιών. Διαγράμματα ροής δεδομένων και διαδικασίες / πολιτικές / οδηγίες / έντυπα που δείχνουν πώς μπορούν να υποβάλλονται και να αντιμετωπίζονται ερωτήματα φυσικών προσώπων που σχετίζονται με τα δεδομένα τους. Κατά περίπτωση, χρειάζεται αξιολόγηση κινδύνων και επιπτώσεων στην ασφάλεια των δεδομένων (risk assessment, data protection impact assessment).

Ο GDPR δεν κάνει διάκριση μεταξύ του μεγέθους των οργανισμών. Αναφέρει ότι οι οργανισμοί μπορούν να συμμορφωθούν με τον Κανονισμό χρησιμοποιώντας τους εξωτερικούς συνεργάτες αντί να χειρίζονται τη συμμόρφωση με ίδιους πόρους.

Ο GDPR, περιγράφοντας την ευθύνη του ΥΕ (υπεύθυνου επεξεργασίας), επιτρέπει κάποια ευελιξία βασισμένη στην ‘’risk-based προσέγγιση’’. Ο ΥΕ υποχρεούται να εφαρμόζει “κατάλληλα” τεχνικά και οργανωτικά μέτρα για να εξασφαλίζει και να είναι σε θέση να αποδείξει τη συμμόρφωσή του. Για να προσδιοριστεί τι θεωρείται “κατάλληλο”, ο ΥΕ πρέπει να λαμβάνει υπόψη τη φύση, το πεδίο, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους και τη σοβαρότητά τους, σε σχέση με τα δικαιώματα και τις ελευθερίες των ατόμων. Με άλλα λόγια, για την επεξεργασία υψηλού κινδύνου θα απαιτηθούν αυστηρά μέτρα συμμόρφωσης, ενώ λιγότερο αυστηρά μέτρα μπορούν να εφαρμοστούν σε επεξεργασίες που είναι απίθανο να δημιουργήσουν κίνδυνο.

Για παράδειγμα, ο ΥΕ μπορεί να απαλλαγεί από την υποχρέωση γνωστοποίησης παραβίασης δεδομένων εάν ο κίνδυνος είναι πολύ χαμηλός και η διεξαγωγή μιας εκτίμησης επιπτώσεων για την προστασία των δεδομένων απαιτείται μόνο για μια επεξεργασία που ενέχει υψηλό κίνδυνο.

Συνήθως η διαγραφή ψηφιακών δεδομένων (delete / erase) δεν γίνεται με το απλό πάτημα ενός κουμπιού.

Μια προσέγγιση μπορεί να είναι ο σχεδιασμός ‘’διαδικασίας διαγραφής ψηφιακών δεδομένων που η επιχείρηση δεν είναι απαραίτητο να διατηρεί’’. Σε αυτό το πλαίσιο το τμήμα ΙΤ δημιουργεί ένα αρχείο, με αυστηρούς περιορισμούς πρόσβασης, ώστε τα αρχειοθετημένα δεδομένα να θεωρούνται ’’νεκρά δεδομένα’’ που δεν είναι πλέον προσβάσιμα.

Για παράδειγμα, ο ΥΕ μπορεί να απαλλαγεί από την υποχρέωση γνωστοποίησης παραβίασης δεδομένων εάν ο κίνδυνος είναι πολύ χαμηλός και η διεξαγωγή μιας εκτίμησης επιπτώσεων για την προστασία των δεδομένων απαιτείται μόνο για μια επεξεργασία που ενέχει υψηλό κίνδυνο.

Το δικαίωμα στη λήθη επιτρέπει στα φυσικά πρόσωπα να ζητούν τη διαγραφή των προσωπικών τους δεδομένων και, αν ο ΥΕ έχει δημοσιοποιήσει τα δεδομένα, να απαιτήσει από τους άλλους ΥΕ να κάνουν το ίδιο. Το δικαίωμα αυτό βασίζεται σε απόφαση του Δικαστηρίου της ΕΕ (CJEU), στις υποθέσεις Google Spain v AEPD και Mario Costeja Gonzales το 2014. Το Δικαστήριο απαίτησε οι μηχανές αναζήτησης να καταργήσουν συνδέσμους σε ιστοσελίδες που εμφανίζονται κατά την αναζήτηση ονόματος ατόμου, κατόπιν αιτήματος του συγκεκριμένου προσώπου. Το GDPR κωδικοποίησε αυτό το δικαίωμα, το οποίο ισχύει για όλους τους ΥΕ (και όχι μόνο για τις μηχανές αναζήτησης). Σύμφωνα με τον GDPR, οι ΥΕ πρέπει να διαγράψουν τα δεδομένα «χωρίς αδικαιολόγητη καθυστέρηση», εάν τα δεδομένα δεν χρειάζονται πλέον, το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία ή η επεξεργασία δεν ήταν νόμιμη. Ωστόσο, το δικαίωμα αυτό θα πρέπει να εξισορροπείται με την ελευθερία έκφρασης, τα συμφέροντα της δημόσιας υγείας, την επιστημονική και ιστορική έρευνα και την άσκηση ή υπεράσπιση νομικών αξιώσεων.

Το βασικό βήμα είναι η κατανόηση (απεικόνιση) των ροών δεδομένων στα εταιρικά συστήματα (που/πως αποθηκεύονται δεδομένα, είδη δεδομένων, πώς προστατεύονται, κλπ). Το επόμενο βήμα είναι η ανάλυση χάσματος (detailed gap analysis) ώστε να σχεδιαστούν τα επόμενα μέτρα που μπορεί να περιλαμβάνουν απλές δράσεις, όπως σύμφωνο εμπιστευτικότητας (non disclosure agreement), ή πιο σύνθετες, όπως οι δεσμευτικοί εταιρικοί κανόνες (corporate binding rules).

Δεν υπάρχει σχετική νομική απαίτηση. Παρ ‘όλα αυτά, σύμφωνα με την αρχή της λογοδοσίας (δες επόμενη ερώτηση), ο ΥΕ (υπεύθυνος επεξεργασίας) υποχρεούνται ρητά να “επιδεικνύει τη συμμόρφωση” βάσει του GDPR. Τέτοια εργαλεία που βοηθούν στην απόδειξη της συμμόρφωσης είναι κώδικες δεοντολογίας, σφραγίδες (seals / shields) ή πιστοποίηση.

Ο GDPR εισάγει την αρχή της “λογοδοσίας” ως βασική αρχή για την προστασία δεδομένων στην ΕΕ. Αυτό απαιτεί οι ΥΕ να εφαρμόσουν ένα πρόγραμμα συμμόρφωσης που είναι σε θέση να παρακολουθεί τη συμμόρφωση σε ολόκληρη την επιχείρηση και να αποδεικνύει, προς την Εποπτική Αρχή και τα φυσικά πρόσωπα, ότι διαχειρίζεται τα προσωπικά δεδομένα σύμφωνα με τις απαιτήσεις του GDPR.
Ενδεικτικές ενέργειες του ΥΕ για τη συμμόρφωση με την αρχή της λογοδοσίας περιλαμβάνουν: (α) την εφαρμογή εσωτερικών και εξωτερικών πολιτικών και διαδικασιών συμμόρφωσης, (β) τήρηση λεπτομερών και επικαιροποιημένων εγγράφων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, (γ) διενέργεια εκτιμήσεων επιπτώσεων για την προστασία των δεδομένων για εργασίες επεξεργασίας υψηλού κινδύνου, (δ) τη διασφάλιση της ασφάλειας και της εμπιστευτικότητας από όλα τα εσωτερικά και εξωτερικά μέρη που συμμετέχουν στις διαδικασίες επεξεργασίας δεδομένων, (ε) διενέργεια επιθεωρήσεων / πιστοποίησης, (στ) τον διορισμό ενός υπεύθυνου προστασίας δεδομένων (DPO).
Ανάλογα με την επιχείρηση οι παραπάνω ενέργειες μπορεί να είναι υποχρεωτικές βάσει του GDPR.

Εάν μπορεί να τεκμηριωθεί ότι τα δεδομένα δεν διαβιβάστηκαν εκτός της επιχείρησης και, ως εκ τούτου, δεν έχουν κοινοποιηθεί δεδομένα σε τρίτους, αλλά έχουν μόνο καταστεί μη-διαθέσιμα, τότε η επίθεση ransomware δεν θεωρείται παραβίαση δεδομένων.
Ωστόσο, αυτή η τεκμηρίωση δεν είναι εύκολη αν δεν προυπάρχουν διαδικασίες και έλεγχοι πρόληψης απώλειας δεδομένων (data loss prevention controls).

Η εταιρεία Α, ως Υπεύθυνος Επεξεργασίας (ΥΕ), υποχρεούται βάσει του GDPR να βεβαιωθεί ότι οι συνεργάτες / υπεργολάβοι της συμμορφώνονται με τον Κανονισμό.
Η εταιρία Β είναι υπεργολάβος και έχει υποχρεώσεις έναντι της εταιρείας Α.
Η εταιρεία Γ είναι υπεργολάβος της Β και έχει υποχρεώσεις απέναντι της.
Όμως, τελικά, η εταιρεία Α είναι αυτή που βλέπει η Εποπτική Αρχή και η εταιρεία Α έχει ευθύνη να βεβαιωθεί ότι επιλέγει τους σωστούς υπεργολάβους.

Στην περίπτωση που το ξενοδοχείο συνεργάζεται με agent (εκτός Ελλάδος) στο πλαίσιο κρατήσεων δωματίων για πελάτες του που έρχονται στην Ελλάδα, είναι πιθανόν το ξενοδοχείο να χρειαστεί να διαβιβάσει δεδομένα αυτών των πελατών προς τον agent. Σε αυτήν την περίπτωση η διαβίβαση δεδομένων εκτός Ελλάδος καλύπτεται από τη νομική βάση ‘’υλοποίηση σύμβασης’’ (άρθρο 6 του Κανονισμού).

Απαγορεύεται λειτουργία CCTV σε χώρο που παίζουν ανήλικοι. Ως ηπιότερο μέτρο προτείνεται επιβλέπων ενήλικας.

O πελάτης της επιχείρησης θα πρέπει να ενημερώνεται για την περίπτωση που το σύστημα wifi ‘’παρακολουθεί’’ τις κινήσεις του στους χώρους της επιχείρησης. Ειδικά στην περίπτωση ξενοδοχείων, θα πρέπει να γνωρίζει και να ενημερώνεται για τυχόν παρακολούθηση των κινήσεων του σε χώρους του ξενοδοχείου (όπως εστιατόριο, πισίνα, bar, spa), ή την καταγραφή προτιμήσεων (profiling). Στο ίδιο ενημερωτικό έντυπο θα μπορούσαν να συμπεριληφθούν ότι: το σύστημα CRM του ξενοδοχείου ‘’κρατά’’ δεδομένα σχετικά με τις προτιμήσεις του πελάτη, για ποιο λόγο υπάρχει σύστημα CCTV, ενδεχόμενο φωτογράφισης κατά τη συμμετοχή σε εκδήλωση, κλπ.

Ο λογαριασμός του εταιρικού κινητού τηλεφώνου, του οποίου κάνει χρήση ο εργαζόμενος, πρέπει να έχει ‘’χρηματικό όριο’’ (πλαφόν) χρήσης και να μην είναι αναλυτικός.