MENU

GDPR

Προσωπικά δεδομένα, είναι η κάθε πληροφορία η οποία αναφέρεται στο πρόσωπο του κάθε ατόμου ξεχωριστά, όπως για παράδειγμα το όνομα, η διεύθυνση, η διεύθυνση ηλεκτρονικού ταχυδρομείου, ο αριθμός ταυτότητας, οι πληροφορίες τοποθεσίας, καθώς και η διεύθυνση IP.

Προσωπικά δεδομένα
PERSONAL DATA

Design with purpose, create with responsibility

GDPR

Τι είναι το GDPR

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR – General Data Protection Regulation) είναι ο νέος νόμος περί προστασίας δεδομένων της Ευρωπαϊκής Ένωσης. Έχει σχεδιαστεί για να επιτρέπει σε μεμονωμένα άτομα να έχουν μεγαλύτερο έλεγχο των προσωπικών τους δεδομένων και επιβάλλει νέες υποχρεώσεις σε επιχειρήσεις που συλλέγουν, διαχειρίζονται ή αναλύουν τέτοιου είδους δεδομένα, συμπεριλαμβανομένων των οργανισμών εκτός της ΕΕ.

Ο κανονισμός προστασίας GDPR ψηφίστηκε στις 27 Απριλίου 2016 από το Ευρωπαϊκό Κοινοβούλιο – Συμβούλιο και τέθηκε σε πλήρη ισχύ στις 25 Μαΐου 2018 με πολύ αυστηρές κυρώσεις σε περίπτωση μη συμμόρφωσης από τις επιχειρήσεις.

Η εφαρμογή του κανονισμού αφορά επιχειρήσεις εντός Ευρωπαϊκής Ένωσης, κάθε μεγέθους, ανεξαρτήτως κλάδου καθώς και σε όλες τις επιμέρους λειτουργίες όπου συλλέγονται δεδομένα. Μια βασική λειτουργία που συλλέγονται δεδομένα από μια επιχείρησή είναι μέσα από τις ιστοσελίδες ή το ηλεκτρονικό της κατάστημα.

Κανονισμός GDPR

Προσωπικό απόρρητο

Τα άτομα που επισκέπτονται την ιστοσελίδα σας έχουν τα εξής δικαιώματα:
• Να αποκτούν πρόσβαση στα προσωπικά δεδομένα τους και να μπορούν να τα εξάγουν σε αρχείο
• Να τροποποιούν ή να διορθώνουν σφάλματα στα προσωπικά τους δεδομένα
• Να διαγράφουν τα προσωπικά τους δεδομένα
• Να μην αποδέχονται την επεξεργασία των προσωπικών τους δεδομένων
• Να αποδέχονται ή να αρνούνται την λήψη cookies από την ιστοσελίδα


Έλεγχοι και γνωστοποιήσεις

Οι ιστοσελίδες πρέπει:
• Να προστατεύουν τα προσωπικά δεδομένα των χρηστών τους, λαμβάνοντας τα κατάλληλα μέτρα ασφαλείας
• Να λαμβάνουν συγκατάθεση για την συλλογή και τον τρόπο επεξεργασίας των προσωπικών δεδομένων
• Να τηρούν αρχεία με αναλυτικές πληροφορίες για τις δραστηριότητες επεξεργασίας των προσωπικών δεδομένων
• Να γνωστοποιούν στις αρχές τις παραβιάσεις προσωπικών δεδομένων

 

Πολιτικές Διαφάνειας

Οι πολιτικές που εφαρμόζουν οι ιστοσελίδες προς τους χρήστες πρέπει:
• Να παρέχουν σαφή γνωστοποίηση για τη συλλογή προσωπικών δεδομένων
• Να περιγράφουν το λόγο και τις όποιες περιπτώσεις επεξεργασίας προσωπικών δεδομένων
• Να ορίζουν πολιτικές χρονικής διατήρησης και διαγραφής προσωπικών δεδομένων

ΠΟΣΟ ΣΩΣΤΗ ΕΙΝΑΙ Η ΑΠΟΣΤΟΛΗ ΣΥΓΚΑΤΑΘΕΣΗΣ EMAIL;

Το τελευταίο διάστημα, email και τα κινητά τηλέφωνα γέμισαν με μηνύματα που μας ζητούσαν επιβεβαίωση ότι επιθυμούμε να συνεχίσουμε να λαμβάνουμε νέα ή προσφορές από eshop και υπηρεσίες. Είναι αυτή η μέθοδος σωστή και συνάδει με τις οδηγίες του GDPR; Θα εκπλαγείτε από την απάντηση!!!

Εναρμόνιση μιας ιστοσελίδας με το GDPR

Εγκατάσταση πιστοποιητικού SSL

Το HTTPS (Hypertext Transfer Protocol Secure) χρησιμοποιείται για να δηλώσει μία ασφαλή δικτυακή σύνδεση HTTP. Σχεδιάστηκε για την κρυπτογράφηση και την ασφαλή μεταφορά των δεδομένων από τους χρήστες προς την ιστοσελίδα ή το ηλεκτρονικό κατάστημα. Σήμερα χρησιμοποιείται ευρέως στο διαδίκτυο όπου χρειάζεται αυξημένη ασφάλεια διότι διακινούνται ευαίσθητες πληροφορίες αλλά είναι απαραίτητο και για την Google η οποία εμφανίζει μήνυμα «Μη ασφαλούς ιστοσελίδας» σε όσα website δεν λειτουργούν με πιστοποιητικό ασφαλείας.


Διαχείριση δεδομένων χρήστη

Ο χρήστης μιας ιστοσελίδας ή ενός ηλεκτρονικού καταστήματος θα πρέπει να είναι σε θέση να δει ποια δεδομένα έχουν καταγραφεί από μια ιστοσελίδα, να εξάγει τα δεδομένα αυτά σε αρχείο δεδομένων και να είναι σε θέση να αιτηθεί την διαγραφή τους από το σύστημα (Δικαίωμα Στη Λήθη).


Επικαιροποίηση της πολιτικής απορρήτου και όρων χρήσης

Επικαιροποιήση στην πολιτική απορρήτου των ιστοσελίδων ή του ηλεκτρονικού καταστήματος με λεπτομερή αναφορά και διαφάνεια στον τρόπο συλλογής, επεξεργασίας και αποθήκευσης των προσωπικών δεδομένων των χρηστών. Θα πρέπει να αναφέρεται ο χρόνος διατήρησης των δεδομένων, αν καταγράφεται η IP των χρηστών καθώς και να παρέχετε η δυνατότητα στους χρήστες να δουν, να τροποποιήσουν αλλά και να διαγράψουν τα δεδομένα τους.


Συναίνεση σε Φόρμες Επικοινωνίας

Σε όλες τις φόρμες (π.χ. Επικοινωνίας, Εγγραφής, Υποστήριξης κ.α.) ο χρήστης πρέπει να έχει την δυνατότητα συναίνεσης ανάλογα με τον τύπο ή τον σκοπό επεξεργασίας των δεδομένων. Θα πρέπει να προστεθούν επιλογές με κουτάκια (check boxes) τα οποία δεν θα πρέπει να είναι προ-συμπληρωμένα καθώς αυτό δεν θεωρείται ελεύθερη συναίνεση. Αν τα προσωπικά δεδομένα του χρήστη μεταβιβάζονται σε τρίτους συνεργάτες (πχ συστήματα ERP) θα πρέπει να υπάρχει ξεκάθαρη αναφορά μαζί με κουτάκι επιλογής για την συναίνεση του χρήστη.


Καταγραφή Διεύθυνσης IP

Στην περίπτωση που γίνεται καταγραφή των IP διευθύνσεων των επισκεπτών στην ιστοσελίδα ή στο ηλεκτρονικό κατάστημα, θα πρέπει να γίνεται αναφορά μέσα στην πολιτική απορρήτου καθώς οι διευθύνσεις IP αποτελούν προσωπικά δεδομένα και μπορούν να χρησιμοποιηθούν σε συνδυασμό με άλλα δεδομένα για την άμεση ή έμμεση αναγνώριση του χρήστη.


Ενημέρωση Χρήσης Cookies

Τα Cookies είναι μικρά αρχεία κειμένου τα οποία αποθηκεύονται στον browser σας κατά την πλοήγησή στο διαδίκτυο και παρέχουν πολλές πληροφορίες σχετικά με τη δραστηριότητα και τις προτιμήσεις σας και μπορούν να χρησιμοποιηθούν για να σας ταυτοποιήσουν χωρίς τη ρητή συναίνεση σας. Στην περίπτωση αυτή, πρέπει οι χρήστες να ενημερώνονται κατά την είσοδο τους στις ιστοσελίδες ή το ηλεκτρονικό κατάστημα, να τους παρέχεται η δυνατότητα αποδοχής η απόρριψης της λήψης Cookies καθώς και να μπορούν να ανατρέψουν την αρχική τους επιλογή σε ύστερο χρόνο. Αν γίνεται χρήση Cookies τρίτων (π.χ. google analytics, facebook pixel κ.α.) θα πρέπει να αναφέρεται στην πολιτική απορρήτου.


Διαγραφή ή Ανάκληση Άδειας Newsletter

Καθώς δίνεται ιδιαίτερη σημασία στο θέμα της συναίνεσης οι επιχειρήσεις δεν θα μπορούν πλέον να προσθέτουν νέες διευθύνσεις στις λίστες ηλεκτρονικού ταχυδρομείου τους ή να στέλνουν μη στοχευμένες επικοινωνίες σε όλους τους εγγεγραμμένους χρήστες. Οι χρήστες θα πρέπει έχουν την δυνατότητα διαγραφής ή ανάκλησης της συγκατάθεσης τους από αυτές τις διαδικασίες με εύκολο τρόπο και οποιαδήποτε στιγμή το επιθυμούν.


Προσαρμογή Ηλεκτρονικού Καταστήματος

Αν στο ηλεκτρονικό σας κατάστημα γίνεται αποθήκευση προσωπικών στοιχείων των πελατών σας, θα πρέπει να επικαιροποιήσετε την πολιτική απορρήτου και τις διεργασίες ώστε να αφαιρέσετε τυχόν προσωπικά στοιχεία μετά από εύλογο χρονικό διάστημα, καθώς και να παρέχετε ή και να αφαιρέσετε όλες τις πληροφορίες που διατηρείτε για τον πελάτη. Μεριμνήστε εξ’ αρχής για την συλλογή των απαραίτητων προσωπικών δεδομένων που χρειάζονται για την ολοκλήρωση μιας συναλλαγής και εξηγήστε πως αυτά θα χρησιμοποιηθούν κατά την διαδικασία εγγραφής του χρήστη στο ηλεκτρονικό κατάστημα.

 

Παραβίαση και Διαρροή Δεδομένων

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων εισάγει στις επιχειρήσεις ή τους οργανισμούς, μεταξύ άλλων, την υποχρέωση γνωστοποίησης τυχόν παραβιάσεων προσωπικών δεδομένων (data breaches). Η γνωστοποίηση απευθύνεται προς την αρμόδια εθνική Αρχή Προστασίας Προσωπικών Δεδομένων εντός 72 ωρών ενώ η παραβίαση πρέπει να ανακοινώνεται και στα πληγέντα άτομα, των οποίων τα προσωπικά δεδομένα έχουν επηρεαστεί από αυτήν την παραβίαση.

ΔΕΙΤΕ ΤΗΝ ΕΠΙΣΗΜΗ ΠΑΡΟΥΣΙΑΣΗ ΤΗΣ ΕΥΡΩΠΑΙΚΗΣ ΕΠΙΤΡΟΠΗΣ

Δικαίωμα στη Λήθη

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) είναι ένας κανονισμός σχετικά με το απόρρητο, που αποσκοπεί στην προστασία των προσωπικών δεδομένων των πολιτών της Ευρωπαϊκής Ένωσης. Ένας από τους τρόπους με τους οποίους το επιτυγχάνει αυτό είναι να παρέχει σε άτομα (υποκείμενα των δεδομένων) ορισμένα δικαιώματα, συμπεριλαμβανομένου του “δικαιώματος στη λήθη“.

Σε αυτό το άρθρο, θα συζητήσουμε τα ακόλουθα σχετικά με αυτό το δικαίωμα:

  • Πότε το υποκείμενο των δεδομένων μπορεί να εξασκήσει αυτό το δικαίωμα.
  • Εξαιρέσεις σε αυτό το δικαίωμα.
  • Οι υποχρεώσεις των χειριστών που έχουν δημοσιοποιήσει τα δεδομένα και
  • Χρονοδιάγραμμα για την απάντηση στα αιτήματα (των υποκείμενων).

  

 Εξασκώντας το “δικαίωμα στη λήθη”

Σύμφωνα με το άρθρο 17 του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), τα άτομα έχουν το “δικαίωμα στη λήθη”, πράγμα που σημαίνει ότι δικαιούνται να ζητήσουν τη διαγραφή των προσωπικών δεδομένων που τηρούνται σχετικά με τα άτομα αυτά. Αυτό το δικαίωμα μπορεί να ασκηθεί στις ακόλουθες περιπτώσεις:

  • τα προσωπικά δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν σε άλλη επεξεργασία.
  • το υποκείμενο των δεδομένων αποσύρει τη συγκατάθεση στην οποία βασίζεται η επεξεργασία και δεν υπάρχει άλλος νομικός λόγος τήρησης και επεξεργασίας.
  • το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21(1) και δεν υπάρχουν υπερισχύοντες νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21(2).
  • τα προσωπικά δεδομένα υποβλήθηκαν σε παράνομη επεξεργασία.
  • τα προσωπικά δεδομένα πρέπει να διαγραφούν για τη συμμόρφωση με νομική υποχρέωση στο πλαίσιο της Ευρωπαϊκής Ένωσης ή του δικαίου των κρατών μελών στην οποία υπόκεινται.
  • τα προσωπικά δεδομένα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας της πληροφορίας που αναφέρονται στο άρθρο 8(1).

Εξαιρέσεις από το δικαίωμα στη διαγραφή

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) έχει προβλέψει τις ακόλουθες εξαιρέσεις από το δικαίωμα διαγραφής, πράγμα που σημαίνει ότι εάν ισχύει μια εξαίρεση, μπορείτε να αρνηθείτε τη διαγραφή των δεδομένων. Μπορείτε να αρνηθείτε αυτό το δικαίωμα όταν η επεξεργασία προσωπικών δεδομένων είναι απαραίτητη για έναν ή περισσότερους από τους παρακάτω λόγους:

  • να εξασκήσετε το δικαίωμα της ελευθερίας έκφρασης και πληροφόρησης
  • να συμμορφωθείτε με μια νομική υποχρέωση
  • για την εκτέλεση καθηκόντων που σχετίζονται με το δημόσιο συμφέρον ή για την άσκηση επίσημου ελέγχου
  • για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, επιστημονική έρευνα, ιστορική έρευνα ή στατιστικούς σκοπούς όπου η διαγραφή είναι πιθανό να καταστήσει αδύνατη ή να βλάψει σοβαρά την επίτευξη αυτού του σκοπού ή
  • για τη στοιχειοθέτηση, άσκηση ή προβολή νομικών αξιώσεων.

Εάν επεξεργάζεστε ειδικές κατηγορίες προσωπικών δεδομένων, μπορείτε να απορρίψετε ένα αίτημα διαγραφής στις ακόλουθες περιπτώσεις:

  • εάν η επεξεργασία είναι απαραίτητη για λόγους δημόσιας υγείας προς το δημόσιο συμφέρον ή
  • εάν η επεξεργασία είναι απαραίτητη για λόγους πρόληψης ή άσκησης ιατρικής πράξης.

Τέλος, μπορείτε επίσης να απορρίψετε ένα αίτημα διαγραφής εάν είναι προφανώς αβάσιμο ή/και καταχρηστικό. Εάν απορρίπτετε το αίτημα για οποιονδήποτε λόγο, πρέπει να ενημερώσετε το υποκείμενο για την εν λόγω άρνηση και να του παρέχετε τις ακόλουθες πληροφορίες:

  • το λόγο (ή του λόγους) για τους οποίους απορρίπτετε το αίτημα.
  • το δικαίωμα (του υποκειμένου) για υποβολή καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και
  • τη δυνατότητα διεκδίκησης επιβολής αυτού του δικαιώματος μέσω δικαστικής προσφυγής.

Υποχρεώσεις των χειριστών που έχουν δημοσιοποιήσει τα δεδομένα

Εάν ένα άτομο (υποκείμενο) σας ζήτησε να διαγράψετε τα προσωπικά του δεδομένα και στο μεταξύ αυτά τα έχετε προηγουμένως δημοσιοποιήσει, πρέπει να ακολουθήσετε κάποια λογικά βήματα, συμπεριλαμβανομένων τεχνικών μέτρων ώστε να ενημερώσετε όλους τους υπεύθυνους επεξεργασίας που χειρίζονται αυτά τα δεδομένα για το γεγονός ότι το υποκείμενο έχει ζητήσει τη διαγραφή τους από όλους όσους τα χειρίζονται είτε μέσω συνδέσμων (παραπομπών) είτε μέσω τυχόν αντιγράφων τους. Για να αποφασίσετε τα βήματα που πρέπει να ακολουθηθούν, θα πρέπει να λάβετε υπόψη τη διαθέσιμη τεχνολογία και το κόστος υλοποίησης αυτής της διαδικασίας (διαγραφής).

Χρονοδιάγραμμα για την ανταπόκριση στα αιτήματα

Όταν ένα άτομο σας ζητά να διαγράψετε τα δεδομένα του, πρέπει να συμμορφωθείτε με το αίτημά του χωρίς αδικαιολόγητη καθυστέρηση και, μέσα σε ένα (1) μήνα από την παραλαβή του αιτήματος:

  • πρέπει να ζητήσετε τις απαραίτητες πληροφορίες ώστε να επιβεβαιωθεί η ταυτότητα του αιτούντος ατόμου
  • σε ορισμένες δε περιπτώσεις πιθανώς να απαιτηθεί αμοιβή (για την ολοκλήρωση της διαδικασίας διαγραφής).

Μπορείτε να παρατείνετε αυτήν την περίοδο κατά δύο (2) επιπλέον μήνες εάν το αίτημα είναι περίπλοκο ή έχετε λάβει πλήθος αιτημάτων από το ίδιο άτομο. Εάν κάνετε χρήση αυτής της χρονικής επέκτασης, πρέπει να ενημερώσετε το άτομο μέσα σε ένα (1) μήνα από την λήψη του αιτήματός του και να εξηγήσετε γιατί είναι απαραίτητη αυτή η χρονική παράταση.

Το δικαίωμα του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) στη “λήθη” δεν πρέπει να θεωρείται αμελητέο, καθώς μπορεί να επιβληθούν βαριά πρόστιμα λόγω μη συμμόρφωσης. Θα πρέπει να έχετε απόλυτη γνώση του που αποθηκεύετε τα δεδομένα που τηρείτε, ποιος στην επιχείρηση ή τον οργανισμό σας είναι υπεύθυνος για την αποθήκευση των δεδομένων αυτών και επιπλέον να ορίσετε διαδικασίες για την καλύτερη ανταπόκριση και τη διεκπεραίωση τυχόν αιτημάτων διαγραφής από υποκείμενα αυτών των δεδομένων.

Ερωτήσεις και Απαντήσεις για το GDPR

Η παροχή ‘’συγκατάθεσης’’ είναι ένα από τα μεγαλύτερα ζητήματα που προκύπτουν από την εισαγωγή του GDPR. Ειδικότερα δε η συγκατάθεση για το marketing. Η συγκατάθεση, βάσει του GDPR, πρέπει να παρέχεται ελεύθερα και να είναι ξεκάθαρη μέσω πχ μιας «συμμετοχής» με την οποία το υποκείμενο των δεδομένων επιλέγει ένα ‘’κουτί’’ για να συμφωνήσει (tick) να λάβει υλικό marketing. Συνεπώς, η επιχείρηση πρέπει να επανεξετάσει τις βάσεις δεδομένων ώστε να έχει σωστή συγκατάθεση. Έχει διαπιστωθεί ότι το ποσοστό ανταπόκρισης σε τέτοια αιτήματα είναι ιστορικά χαμηλό. Οποιαδήποτε μη απάντηση σε αυτά τα αιτήματα σημαίνει μη παροχή συγκατάθεσης και διακοπή επικοινωνίας με αυτά τα φυσικά πρόσωπα.

Πρακτικά, η επιχείρηση πρέπει να το δει ως μια ευκαιρία για να «καθαρίσει» τις βάσεις δεδομένων marketing και να διασφαλίσει ότι οι βάσεις δεδομένων είναι πιο στοχευμένες σε όσους ενδιαφέρονται πραγματικά να λαμβάνουν τις πληροφορίες marketing.

Ο GDPR είναι μια πρωτοβουλία της Ευρωπαϊκής Ένωσης. Κάθε κράτος μέλος χειρίζεται την επιβολή της νομοθεσίας και έχει ρυθμιστικό όργανο που ονομάζεται Εποπτική Αρχή (DPA) που είναι υπεύθυνη για τον έλεγχο και την επιβολή. Στην Ελλάδα την ευθύνη έχει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (dpa.gr). Σε ευρωπαϊκό επίπεδο το European Board for Data Protection ‘’επιβλέπει’’ τις εθνικές εποπτικές αρχές.

Οι κυρώσεις μπορούν να είναι από μια απλή σύσταση για συμμόρφωση έως πρόστιμο ύψους € 20 εκατομμύρια ή το 4% των ετήσιων εσόδων μιας επιχείρησης . Η εποπτική αρχή αποφασίζει το ποσό του προστίμου βάσει των συνθηκών και του επιπέδου παραβίασης.

Ο GDPR αναφέρεται στο χρονικό διάστημα μεταξύ της ανίχνευσης μιας παραβίασης και της χρονικής στιγμής της ειδοποίησης των εμπλεκομένων μερών σχετικά με αυτό, που είναι 72 ώρες. Εντούτοις, μέρος της έννοιας της ασφάλειας και της προστασίας της ιδιωτικότητας είναι να υπάρχει στην επιχείρηση μεθοδολογία ανίχνευσης παραβιάσεων καθώς και εργαλεία και διαδικασίες για την καλύτερη διαχείριση.

Οι κυρώσεις μπορούν να είναι από μια απλή σύσταση για συμμόρφωση έως πρόστιμο ύψους  € 20 εκατομμύρια ή το 4% των ετήσιων εσόδων μιας επιχείρησης . Η εποπτική αρχή αποφασίζει το ποσό του προστίμου βάσει των συνθηκών και του επιπέδου παραβίασης.

Ο GDPR δεν διευκρινίζει ποιοι έλεγχοι και διαδικασίες πρέπει να τεθούν σε εφαρμογή. Απαιτεί να υπάρχουν  “τα κατάλληλα τεχνικά & οργανωτικά μέτρα” και αφήνει περιθώρια να κρίνουμε τι σημαίνει κατάλληλα για τη συγκεκριμένη επιχείρηση.Οι κυρώσεις μπορούν να είναι από μια απλή σύσταση για συμμόρφωση έως πρόστιμο ύψους  € 20 εκατομμύρια ή το 4% των ετήσιων εσόδων μιας επιχείρησης . Η εποπτική αρχή αποφασίζει το ποσό του προστίμου βάσει των συνθηκών και του επιπέδου παραβίασης.

Ναι. Οι αρμοδιότητες του ΥΠΔ (DPO) περιλαμβάνουν την ευαισθητοποίηση και την κατάρτιση των εργαζομένων σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα και τις σχετικές απαιτήσεις του GDPR. Αν δεν υπάρχει DPO, την ευθύνη έχει ο Υπεύθυνος Επεξεργασίας (δηλαδή η επιχείρηση).

Όχι απαραίτητα.

Μεταξύ των περιπτώσεων όπου ο GDPR απαιτεί ορισμό DPO είναι όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή γίνεται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.

Η Ομάδα εργασίας του άρθρου 29 (WP29 – μια ομάδα που απαρτιζόταν από εθνικές αρχές προστασίας δεδομένων κρατών της ΕΕ) έχει εκδώσει σχετική κατευθυντήρια οδηγία με τη σύσταση ότι είναι χρήσιμος ο ορισμός ΥΠΔ σε εθελοντική βάση.

Στην επιχείρηση που εκτιμά ότι δεν χρειάζεται ΥΠΔ, το WP29 συνιστά να διενεργηθεί αξιολόγηση κινδύνου της απόφασης αυτής και να τεκμηριωθεί ότι όλοι οι σχετικοί παράγοντες έχουν ληφθεί σωστά υπόψη.

Όχι, ο GDPR επιβάλει υποχρεώσεις συμμόρφωσης στον data controller (ΥΕ) και στον data processor (ΕτΕ). Είναι ευθύνη του ΥΕ (υπεύθυνου επεξεργασίας) να συμπεριλάβει συγκεκριμένους όρους στη σύμβαση συνεργασίας του με τον ΕτΕ (εκτελούντα την επεξεργασία). Ενδεικτικοί όροι που πρέπει να λαμβάνονται σε συμφωνίες προμηθευτών τρίτων μερών για συμμόρφωση με το GDPR είναι:

  • Συνολική συμμόρφωση με GDPR
  • Παραβιάσεις δεδομένων – υποχρέωση του ΕτΕ να ενημερώσει τον ΥΕ
  • Ασφάλεια δεδομένων – συγκεκριμένα μέτρα ασφαλείας του ΕτΕ
  • Συνεργασία – σε περιπτώσεις παραβίασης ή αιτήματος πρόσβασης SAR
  • Έλεγχος αν ο ΕτΕ πρέπει να ορίσει Υπεύθυνο Προστασίας Δεδομένων

Πολιτική Απορρήτου που να δείχνει πώς η ιδιωτικότητα και η ασφάλειά της αποτελεί μέρος των καθημερινών επιχειρηματικών διαδικασιών. Διαγράμματα ροής δεδομένων και διαδικασίες / πολιτικές / οδηγίες / έντυπα που δείχνουν πώς μπορούν να υποβάλλονται και να αντιμετωπίζονται ερωτήματα φυσικών προσώπων που σχετίζονται με τα δεδομένα τους. Κατά περίπτωση, χρειάζεται αξιολόγηση κινδύνων και επιπτώσεων στην ασφάλεια των δεδομένων (risk assessment, data protection impact assessment).

Ο GDPR δεν κάνει διάκριση μεταξύ του μεγέθους των οργανισμών. Αναφέρει ότι οι οργανισμοί μπορούν να συμμορφωθούν με τον Κανονισμό χρησιμοποιώντας τους εξωτερικούς συνεργάτες αντί να χειρίζονται τη συμμόρφωση με ίδιους πόρους.

Ο GDPR, περιγράφοντας την ευθύνη του ΥΕ (υπεύθυνου επεξεργασίας), επιτρέπει κάποια ευελιξία βασισμένη στην ‘’risk-based προσέγγιση’’. Ο ΥΕ υποχρεούται να εφαρμόζει “κατάλληλα” τεχνικά και οργανωτικά μέτρα για να εξασφαλίζει και να είναι σε θέση να αποδείξει τη συμμόρφωσή του. Για να προσδιοριστεί τι θεωρείται “κατάλληλο”, ο ΥΕ πρέπει να λαμβάνει υπόψη τη φύση, το πεδίο, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους και τη σοβαρότητά τους, σε σχέση με τα δικαιώματα και τις ελευθερίες των ατόμων. Με άλλα λόγια, για την επεξεργασία υψηλού κινδύνου θα απαιτηθούν αυστηρά μέτρα συμμόρφωσης, ενώ λιγότερο αυστηρά μέτρα μπορούν να εφαρμοστούν σε επεξεργασίες που είναι απίθανο να δημιουργήσουν κίνδυνο.

Για παράδειγμα, ο ΥΕ μπορεί να απαλλαγεί από την υποχρέωση γνωστοποίησης παραβίασης δεδομένων εάν ο κίνδυνος είναι πολύ χαμηλός και η διεξαγωγή μιας εκτίμησης επιπτώσεων για την προστασία των δεδομένων απαιτείται μόνο για μια επεξεργασία που ενέχει υψηλό κίνδυνο.

Συνήθως η διαγραφή ψηφιακών δεδομένων (delete / erase) δεν γίνεται με το απλό πάτημα ενός κουμπιού.

Μια προσέγγιση μπορεί να είναι ο σχεδιασμός ‘’διαδικασίας διαγραφής ψηφιακών δεδομένων που η επιχείρηση δεν είναι απαραίτητο να διατηρεί’’. Σε αυτό το πλαίσιο το τμήμα ΙΤ δημιουργεί ένα αρχείο, με αυστηρούς περιορισμούς πρόσβασης, ώστε τα αρχειοθετημένα δεδομένα να θεωρούνται ’’νεκρά δεδομένα’’ που δεν είναι πλέον προσβάσιμα.

Για παράδειγμα, ο ΥΕ μπορεί να απαλλαγεί από την υποχρέωση γνωστοποίησης παραβίασης δεδομένων εάν ο κίνδυνος είναι πολύ χαμηλός και η διεξαγωγή μιας εκτίμησης επιπτώσεων για την προστασία των δεδομένων απαιτείται μόνο για μια επεξεργασία που ενέχει υψηλό κίνδυνο.

Το δικαίωμα στη λήθη επιτρέπει στα φυσικά πρόσωπα να ζητούν τη διαγραφή των προσωπικών τους δεδομένων και, αν ο ΥΕ έχει δημοσιοποιήσει τα δεδομένα, να απαιτήσει από τους άλλους ΥΕ να κάνουν το ίδιο. Το δικαίωμα αυτό βασίζεται σε απόφαση του Δικαστηρίου της ΕΕ (CJEU), στις υποθέσεις Google Spain v AEPD και Mario Costeja Gonzales το 2014. Το Δικαστήριο απαίτησε οι μηχανές αναζήτησης να καταργήσουν συνδέσμους σε ιστοσελίδες που εμφανίζονται κατά την αναζήτηση ονόματος ατόμου, κατόπιν αιτήματος του συγκεκριμένου προσώπου. Το GDPR κωδικοποίησε αυτό το δικαίωμα, το οποίο ισχύει για όλους τους ΥΕ (και όχι μόνο για τις μηχανές αναζήτησης). Σύμφωνα με τον GDPR, οι ΥΕ πρέπει να διαγράψουν τα δεδομένα «χωρίς αδικαιολόγητη καθυστέρηση», εάν τα δεδομένα δεν χρειάζονται πλέον, το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία ή η επεξεργασία δεν ήταν νόμιμη. Ωστόσο, το δικαίωμα αυτό θα πρέπει να εξισορροπείται με την ελευθερία έκφρασης, τα συμφέροντα της δημόσιας υγείας, την επιστημονική και ιστορική έρευνα και την άσκηση ή υπεράσπιση νομικών αξιώσεων.

Το βασικό βήμα είναι η κατανόηση (απεικόνιση) των ροών δεδομένων στα εταιρικά συστήματα (που/πως αποθηκεύονται δεδομένα, είδη δεδομένων, πώς προστατεύονται, κλπ). Το επόμενο βήμα είναι η ανάλυση χάσματος (detailed gap analysis) ώστε να σχεδιαστούν τα επόμενα μέτρα που μπορεί να περιλαμβάνουν απλές δράσεις, όπως σύμφωνο εμπιστευτικότητας (non disclosure agreement), ή πιο σύνθετες, όπως οι δεσμευτικοί εταιρικοί κανόνες (corporate binding rules).

Δεν υπάρχει σχετική νομική απαίτηση. Παρ ‘όλα αυτά, σύμφωνα με την αρχή της λογοδοσίας (δες επόμενη ερώτηση), ο ΥΕ (υπεύθυνος επεξεργασίας) υποχρεούνται ρητά να “επιδεικνύει τη συμμόρφωση” βάσει του GDPR. Τέτοια εργαλεία που βοηθούν στην απόδειξη της συμμόρφωσης είναι κώδικες δεοντολογίας, σφραγίδες (seals / shields) ή πιστοποίηση.

Ο GDPR εισάγει την αρχή της “λογοδοσίας” ως βασική αρχή για την προστασία δεδομένων στην ΕΕ. Αυτό απαιτεί οι ΥΕ να εφαρμόσουν ένα πρόγραμμα συμμόρφωσης που είναι σε θέση να παρακολουθεί τη συμμόρφωση σε ολόκληρη την επιχείρηση και να αποδεικνύει, προς την Εποπτική Αρχή και τα φυσικά πρόσωπα, ότι διαχειρίζεται τα προσωπικά δεδομένα σύμφωνα με τις απαιτήσεις του GDPR.
Ενδεικτικές ενέργειες του ΥΕ για τη συμμόρφωση με την αρχή της λογοδοσίας περιλαμβάνουν: (α) την εφαρμογή εσωτερικών και εξωτερικών πολιτικών και διαδικασιών συμμόρφωσης, (β) τήρηση λεπτομερών και επικαιροποιημένων εγγράφων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, (γ) διενέργεια εκτιμήσεων επιπτώσεων για την προστασία των δεδομένων για εργασίες επεξεργασίας υψηλού κινδύνου, (δ) τη διασφάλιση της ασφάλειας και της εμπιστευτικότητας από όλα τα εσωτερικά και εξωτερικά μέρη που συμμετέχουν στις διαδικασίες επεξεργασίας δεδομένων, (ε) διενέργεια επιθεωρήσεων / πιστοποίησης, (στ) τον διορισμό ενός υπεύθυνου προστασίας δεδομένων (DPO).
Ανάλογα με την επιχείρηση οι παραπάνω ενέργειες μπορεί να είναι υποχρεωτικές βάσει του GDPR.

Εάν μπορεί να τεκμηριωθεί ότι τα δεδομένα δεν διαβιβάστηκαν εκτός της επιχείρησης και, ως εκ τούτου, δεν έχουν κοινοποιηθεί δεδομένα σε τρίτους, αλλά έχουν μόνο καταστεί μη-διαθέσιμα, τότε η επίθεση ransomware δεν θεωρείται παραβίαση δεδομένων.
Ωστόσο, αυτή η τεκμηρίωση δεν είναι εύκολη αν δεν προυπάρχουν διαδικασίες και έλεγχοι πρόληψης απώλειας δεδομένων (data loss prevention controls).

Η εταιρεία Α, ως Υπεύθυνος Επεξεργασίας (ΥΕ), υποχρεούται βάσει του GDPR να βεβαιωθεί ότι οι συνεργάτες / υπεργολάβοι της συμμορφώνονται με τον Κανονισμό.
Η εταιρία Β είναι υπεργολάβος και έχει υποχρεώσεις έναντι της εταιρείας Α.
Η εταιρεία Γ είναι υπεργολάβος της Β και έχει υποχρεώσεις απέναντι της.
Όμως, τελικά, η εταιρεία Α είναι αυτή που βλέπει η Εποπτική Αρχή και η εταιρεία Α έχει ευθύνη να βεβαιωθεί ότι επιλέγει τους σωστούς υπεργολάβους.

Στην περίπτωση που το ξενοδοχείο συνεργάζεται με agent (εκτός Ελλάδος) στο πλαίσιο κρατήσεων δωματίων για πελάτες του που έρχονται στην Ελλάδα, είναι πιθανόν το ξενοδοχείο να χρειαστεί να διαβιβάσει δεδομένα αυτών των πελατών προς τον agent. Σε αυτήν την περίπτωση η διαβίβαση δεδομένων εκτός Ελλάδος καλύπτεται από τη νομική βάση ‘’υλοποίηση σύμβασης’’ (άρθρο 6 του Κανονισμού).

Απαγορεύεται λειτουργία CCTV σε χώρο που παίζουν ανήλικοι. Ως ηπιότερο μέτρο προτείνεται επιβλέπων ενήλικας.

O πελάτης της επιχείρησης θα πρέπει να ενημερώνεται για την περίπτωση που το σύστημα wifi ‘’παρακολουθεί’’ τις κινήσεις του στους χώρους της επιχείρησης. Ειδικά στην περίπτωση ξενοδοχείων, θα πρέπει να γνωρίζει και να ενημερώνεται για τυχόν παρακολούθηση των κινήσεων του σε χώρους του ξενοδοχείου (όπως εστιατόριο, πισίνα, bar, spa), ή την καταγραφή προτιμήσεων (profiling). Στο ίδιο ενημερωτικό έντυπο θα μπορούσαν να συμπεριληφθούν ότι: το σύστημα CRM του ξενοδοχείου ‘’κρατά’’ δεδομένα σχετικά με τις προτιμήσεις του πελάτη, για ποιο λόγο υπάρχει σύστημα CCTV, ενδεχόμενο φωτογράφισης κατά τη συμμετοχή σε εκδήλωση, κλπ.

Ο λογαριασμός του εταιρικού κινητού τηλεφώνου, του οποίου κάνει χρήση ο εργαζόμενος, πρέπει να έχει ‘’χρηματικό όριο’’ (πλαφόν) χρήσης και να μην είναι αναλυτικός.

Ας δημιουργήσουμε
κάτι σπουδαίο
και ασφαλές
μαζί!

Ας μιλήσουμε:

2441 500 500

MENU
TOP

Inquiry

ΚΑΤΑΣΚΕΥΗ ΙΣΤΟΣΕΛΙΔΩΝ

ΠΡΟΣΦΟΡΕΣ

ΕΤΑΙΡΙΚΗ ΤΑΥΤΟΤΗΤΑ

PORTFOLIO

ΥΠΗΡΕΣΙΕΣ

ΥΠΟΣΤΗΡΙΞΗ

ISOTOPON