Για να διασφαλίσουμε την καλύτερη εμπειρία πλοήγησης, στο site μας χρησιμοποιούμε cookies.
close
μήνυμα συστήματος

Εσείς είστε έτοιμοι για το GDPR; Νέος Ευρωπαϊκός κανονισμός για τη προστασία προσωπικών δεδομένων

Εσείς είστε έτοιμοι για το GDPR; Νέος Ευρωπαϊκός κανονισμός για τη προστασία προσωπικών δεδομένων
Κοινοποιηση στα social
26.07.2018

Στις 25 Μαίου 2018 ξεκίνησε η εφαρμογή του νέου Ευρωπαϊκού Κανονισμού για την Προστασία Δεδομένων (GDPR) σε όλες τις Εταιρείες και Οργανισμούς που δραστηριοποιούνται στην ΕΕ.

Εφόσον η Εταιρεία σας διαχειρίζεται με οποιονδήποτε τρόπο προσωπικά δεδομένα, τότε η συμμόρφωση στον νέο Κανονισμό σας αφορά άμεσα.

Τι είναι ο «GDPR»

Ο GDPR (General Data Protection Regulation) - «Γενικός Κανονισμός για την Προστασία Δεδομένων» Κανονισμός (ΕΕ) 2016/679 (http://eur-lex.europa.eu/legal-content/EL/TXT/?uri=celex%3A32016R0679) τίθεται σε εφαρμογή απ’ τις 25/5/2018και αφορά στην διαμόρφωση ενός ενιαίου νομοθετικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης και αντικαθιστά την προηγούμενη Νομοθεσία «Οδηγία 95/46/ΕΚ».

Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

Ο «κανονισμός» είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος (δηλαδή δεν απαιτείται ειδική προσαρμογή της Εθνικής Νομοθεσίας). (άρθρο 83 του «Κανονισμού»).

Ποια θεωρούνται «δεδομένα προσωπικού χαρακτήρα» και τι θεωρείται επεξεργασία αυτών

  • «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως σε όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, ή σε έναν ή περισσότερους παράγοντες που προσιδιορίζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
  • «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.

Τι είναι ο «Υπεύθυνος επεξεργασίας» και τι ο «Εκτελών την επεξεργασία»

  • «Υπεύθυνος επεξεργασίας»: Το φυσικό ή νομικό πρόσωπο, ή δημόσια αρχή, ή υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της ένωσης ή το δίκαιο κράτους μέλους. Ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για το διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους
  • «Εκτελών την επεξεργασία»: Το φυσικό ή νομικό πρόσωπο, ή δημόσια αρχή, ή υπηρεσία, ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου της επεξεργασίας.

Ορισμός Υπεύθυνου Προστασίας Δεδομένων (DPO)

  • Ο κανονισμός προβλέπει και τον ορισμό ενός Υπεύθυνου Προστασίας Δεδομένωνσε κάθε επιχείρηση που διαχειρίζεται προσωπικά δεδομένα.
  • Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων.
  • Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.

Ο υπεύθυνος προστασίας δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα (άρθρο 39):

  • ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων,
  • παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων,
  • παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35,
  • συνεργάζεται με την εποπτική αρχή,
  • ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.

Ποιες επιχειρήσεις αφορά

Αφορά όλες τις επιχειρήσεις, (ιδιωτικού και δημόσιου τομέα) που με οποιοδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών, ή άλλων φυσικών προσώπων. Δηλαδή αφορά σχεδόν το σύνολο των επιχειρήσεων.

Τι υποχρεούνται να κάνουν οι επιχειρήσεις

Οι εταιρείες πλέον καλούνται να ασχοληθούν και επίσημα με την προστασία των πληροφοριακών τους συστημάτων και την προάσπιση των δεδομένων τους, κάνοντας τακτικά ελέγχους ασφάλειας δικτύων και υποδομών, υλοποιώντας πολιτικές ασφάλειας και διαδικασίες, αλλά και εκπαιδεύοντας τους χρήστες πληροφοριακών συστημάτων για την ορθή χρήση των πληροφοριακών συστημάτων τους.

Ο Κανονισμός επιβάλλει μια σειρά νέων υποχρεώσεων στους υπευθύνους επεξεργασίας, οι οποίες απορρέουν από τις βασικές αρχές και ιδίως την ενισχυμένη αρχή της διαφάνειας στον τρόπο συλλογής, επεξεργασίας και τήρησης δεδομένων και τη νέα αρχή της λογοδοσίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωσή του με όλες τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων.

Ποιες είναι οι ποινές σε περίπτωση μη εφαρμογής του «Κανονισμού»

Το άρθρο 58 καθορίζει τις εξουσίες κάθε αρχής ελέγχου και το άρθρο 83 τις ποινές που περιλαμβάνονται στις εξουσίες αυτές.

Οι εξουσίες που διαθέτει η αρχή ελέγχου είναι μέτρα διορθωτικού χαρακτήρα όπως προειδοποιήσεις, επιπλήξεις, περιορισμούς και εντολές διόρθωσης καθώς και επιβολή διοικητικών προστίμων ανάλογα με τις περιστάσεις, σύμφωνα με το άρθρο 83 του Κανονισμού.

Σε περίπτωση που οι υπεύθυνοι/εκτελούντες επεξεργασία δεδομένων παραβιάζουν τους κανόνες για την προστασία προσωπικών δεδομένων προβλέπονται αυστηρές κυρώσεις. Συγκεκριμένα μπορεί να επιβληθεί πρόστιμο μέχρι 20 εκατ. € ή στο 4% του συνολικού ετήσιου κύκλου εργασιών τους πέρα των άλλων κυρώσεων (αστικών και ποινικών).

Υπηρεσίες Συμμόρφωσης Επιχειρήσεων και Σεμινάρια GDRP, DPO από το dp studies

o Γενικός Κανονισμός Προστασίας Προσωπικών δεδομένων 2016/679 (GDPR), όπως προαναφέρθηκε, υποχρεώνει όλους τους οργανισμούς ή επιχειρήσεις που διαχειρίζονται ή επεξεργάζονται προσωπικά δεδομένα, να συμμορφωθούν με τις πρόνοιες και τις απαιτήσεις του.

Η συμμόρφωση απαιτεί εξειδικευμένη επιστημονική γνώση και εμπειρογνωμοσύνη επί του αντικειμένου αυτού.

Η ομάδα μας

  • Η Task Force «Symmorfosis-GDPR Services» αποτελείται από εγνωσμένου επιστημονικού κύρους και εμπειρογνωμοσύνης στελέχη με ειδίκευση στη συμμόρφωση με τις απαιτήσεις του GDPR (2016/679), οργανισμών, φορέων και επιχειρήσεων του δημόσιου και ιδιωτικού τομέα. Επιστημονικά υπεύθυνος τελεί ο κος Ιωάννης Ιγγλεζάκης, αναπ. Καθηγητής του τμήματος της Νομικής του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης. (πληροφορίες: http://www.gdprsimorfosi.gr) 
  • Η INTERACTIVE, δραστηριοποιείται ως εταιρεία παροχής συμβουλευτικών υπηρεσιών και έχει την ευθύνη του συντονισμού της ομάδας έργου, της ολοκλήρωσης και παράδοσης του έργου.
  • Το dp studies, εξειδικευμένο Κέντρο Εκπαίδευσης & Ανάπτυξης ανθρώπινου δυναμικού και επιχειρήσεων από το 1995, μπορεί να συντονίσει την ομάδα έργου με την προς συμμόρφωση επιχείρηση ή οργανισμό στην Κρήτη (πληροφορίες www.dpstudies.gr).
  • Η ACTA, τεχνοβλαστός του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης είναι φορέας πιστοποιήσεων, επιθεωρήσεων και ελέγχων και θα αναλάβει τη πιστοποίηση ολοκλη-ρωμένου συστήματος συμμόρφωσης (data management privacy system) ως third party εφόσον το επιθυμείτε.

Αν επιθυμείτε την συμμόρφωση στο νέο γενικό κανονισμό GDPR, επικοινωνήστε μαζί μας και θα σας επισκεφτουμε για να σας ενημερώσουμε!

Τα στάδια των υπηρεσιών μας εξειδικεύονται σε κάθε επιχείρηση και σε γενικές γραμμές είναι τα εξής:

  • Ενημέρωση, εκπαίδευση, σχεδιασμός και χάραξη στρατηγικής.
  • Αναλυτική καταγραφή και χαρτογράφηση των προσωπικών δεδομένων (Data Mapping)
  • Μελέτη εκτίμησης αποκλίσεων (Gap Analysis)
  • Μελέτη τρωτότητας φυσικών εγκαταστάσεων, όσο αφορά την προστασία των προσωπικών δεδομένων, από φυσικά συμβάντα ή απειλές.
  • Μελέτη εκτίμησης αντίκτυπου σχετικά με την προστασία δεδομένων (Data Protection Impact Assessment)
  • Τελική αναφορά και σχεδιασμός πλάνου ενεργειών και σχεδίου δράσης, προς συμμόρφωση με το GDPR (Compliance Plan)
  • Εκπαίδευση του εμπλεκομένου προσωπικού στο σύστημα συμμόρφωσης του οργανισμού με το GDPR.
  • Υποστήριξη στην υλοποίηση και παρακολούθηση της εφαρμογής ενός ολοκληρωμένου συστήματος διαχείρισης προσωπικών δεδομένων (Data Privacy System Management) σύμφωνα με τις απαιτήσεις του κανονισμού GDPR (2016/679) κατά τη διάρκεια του πρώτου χρόνου από την υπογραφή της σύμβασης.
  • Προετοιμασία για την επιθεώρηση και πιστοποίηση της συμμόρφωσης (σύμφωνα με τις πρόνοιες των άρθρων 42 και 43 του GDPR).
  • Υπηρεσίες DPO μέσω εξωτερικής ανάθεσης

Διαβάστε περισσότερα πατώντας: Συμμόρφωση GDPR.

Επίσης στο dp studies διενεργείται το Σεμινάριο "DPO training & Certification" - 40 ωρών, με το οποίο ο ενδιαφερόμενος μπορεί να εκπαιδευτεί και να πιστοποιηθεί ως Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer).

Διαβάστε περισσότερα πατώντας: Σεμινάρια DPO.

Εκτός του σεμιναρίου "DPO training & Certification” στο dp studies διενεργείται το Σεμινάριο «GDPR” - 8 ωρών, με το οποίο ο ενδιαφερόμενος μπορεί να ενημερωθεί για τις απαιτήσεις του νέου κανονισμού.

Διαβάστε περισσότερα πατώντας: Σεμινάρια GDPR.

H 25η Μαΐου πλησιάζει. Η επιχείρηση σου ετοιμάστηκε;