Άρθρα
20
Φεβ
Συμμόρφωση και Απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων 2016/679
Επιμέλεια: Χρίστος Κόζιαρης, Σύμβουλος Επιχειρήσεων με πτυχίο Μηχανικού Πληροφορικής και μεταπτυχιακές σπουδές στη Διοίκηση Επιχειρήσεων (ΜΒΑ) και στην Ασφάλεια και Διαχείριση Κινδύνων Ηλεκτρονικής Επικοινωνίας. Είναι μέλος του ΔΣ του ISACA και πιστοποιημένος στον Έλεγχο Κινδύνων και Πληροφοριακών Συστημάτων (CRISC). Πιστοποιημένος Data Protection Officer (DPO).
Από την 25η Μαΐου 2018 τέθηκε σε Εφαρμογή ο Ευρωπαϊκός Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679 (GDPR - General Data Protection Regulation) που αφορά την Προστασία των Προσωπικών Δεδομένων (ισχύει σε όλα τα Κράτη - Μέλη χωρίς να απαιτείται η αντίστοιχη Εθνική Νομοθεσία) και αφορά όλες τις Εταιρείες και τους Οργανισμούς. Η μη Συμμόρφωση με τις απαιτήσεις του Κανονισμού επιφέρει, σε Ευρωπαϊκό επίπεδο, ανώτατα πρόστιμα που αγγίζουν ακόμα και το 4% του Κύκλου Εργασιών του Ομίλου ή τα 20.000.000 € (όποιο είναι μεγαλύτερο). Στα άρθρα του ο Κανονισμός αναφέρει τις απαιτήσεις Συμμόρφωσης, για όσες Εταιρείες ή Οργανισμούς επεξεργάζονται Προσωπικά Δεδομένα.
Ποιες είναι οι απαιτήσεις του Κανονισμού για την συμμόρφωση των Εταιρειών/Οργανισμών;
Οι απαιτήσεις του Κανονισμού για την Συμμόρφωση των Εταιρειών / Οργανισμών συνοψίζονται στις εξής ενέργειες:
- Χαρτογράφηση Προσωπικών Δεδομένων. Η χαρτογράφηση των Δεδομένων δεν είναι υποχρεωτική από τον Κανονισμό όμως είναι ένας μεθοδικός και αποτελεσματικός τρόπος να συγκεντρωθεί η απαιτούμενη πληροφορία, ώστε να οδηγηθεί η Συμμόρφωση στο επόμενο βήμα της καταγραφής των Δραστηριοτήτων επεξεργασίας Προσωπικών Δεδομένων. Στη χαρτογράφηση συγκεντρώνονται πληροφορίες, όπως τα βήματα κάθε δραστηριότητας, σημεία αποθήκευσης πληροφορίας, καθώς και η αποτύπωση της ροής της πληροφορίας.
- Αρχείο Δραστηριοτήτων (Επεξεργασίας Προσωπικών Δεδομένων). Η υποχρέωση βαραίνει Οργανισμούς που ενεργούν ως Υπεύθυνοι Επεξεργασίας ή ως Εκτελούντες την επεξεργασία. Η απαίτηση διατήρησης αυτού του Αρχείου δεν ισχύει για Επιχείρηση ή Οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει Κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των Δεδομένων, η Επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες Δεδομένων π.χ. Δεδομένα για την υγεία ή βιομετρικά Δεδομένα [2016/679 ΕΕ, (2016), άρθρο 30].
- Ανά Δραστηριότητα / Επεξεργασία απαιτούνται Νομικά και Τεχνικά μέτρα ώστε να καλύψουν τα εξής:
- Εφαρμογή Αρχών επεξεργασίας [2016/679 ΕΕ, (2016), άρθρα 5-11]
- Διασφάλιση Δικαιωμάτων των Υποκειμένων [2016/679 ΕΕ, (2016), άρθρα 12-22]
- Εφαρμογή Ειδικών μέτρων Ασφάλειας Δεδομένων [2016/679 ΕΕ, (2016), άρθρο 32]
- Εφαρμογή Οριζόντιων Νομικών και Τεχνικών Μέτρων (Πολιτικές, ΔΙαιδκάσιες και Μέτρα Ασφαλείας). Για την Εφαρμογή των μέτρων της προηγούμενης παραγράφου, είναι επίσης απαραίτητο να εφαρμόζονται συνδυαστικά και οριζόντια μέτρα Ασφαλείας και πολιτικές σε όλο τον Οργανισμό ή την Εταιρεία, ανεξάρτητα Επεξεργασίας, όπως για παράδειγμα η πολιτική Ασφάλειας προσωπικών δεομένων που εφαρμόζεται σε όλο τον Κανονισμό.
- Διενέργεια Εκτίμησης Αντικτύπου. Η εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων είναι μια Διαδικασία που βοηθά τους Οργανισμούς να εντοπίσουν και να μετριάσουν τους Κινδύνους Προστασίας των δικαιωμάτων και ελευθεριών των Υποκειμένων, αλλά και των Δεδομένων μιας Δραστηριότητας. Συστήνεται να διενεργείται για ορισμένα είδη επεξεργασίας που ενδέχεται να επιφέρει υψηλό Κίνδυνο στα συμφέροντα των φυσικών προσώπων [WP248 (2017)].
- Ορισμός DPO. Ορίζεται το φυσικό πρόσωπο το οποίο θα αναλάβει τον Ρόλο του Υπεύθυνου Προστασίας Δεδομένων για τον Υπεύθυνο ή τον Εκτελούντα την επεξεργασία. Το ζήτημα του ορισμού του Ρόλου DPO αναφέρεται στο άρθρο 37, παρ. 1:
«Ο Υπεύθυνος ή / και ο Εκτελών την επεξεργασία ορίζουν Υπεύθυνο Προστασίας Δεδομένων σε περίπτωση στην οποία οι βασικές Δραστηριότητες συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου Εφαρμογής και / ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των Υποκειμένων των Δεδομένων σε μεγάλη κλίμακα».
- Ενημέρωση, Ευαισθητοποίηση και Εκπαίδευση Προσωπικού. Ένα πολύ σημαντικό κομμάτι της Συμμόρφωσης είναι η διαμόρφωση της κουλτούρας του Οργανισμού ή της Επιχείρησης. Ένας από τους πιο αποτελεσματικούς τρόπους είναι η τακτική ενημέρωση, εκπαίδευση και ευαισθητοποίηση του προσωπικού μέσα από διάφορες ημερίδες ή σχετικές εκδηλώσεις.
Αξίζει να σταθεί κανείς στον πυρήνα της Συμμόρφωσης του Κανονισμού, εκεί όπου βρίσκεται το Αρχείο Δραστηριοτήτων. Πρόκειται για ένα Πίνακα, τα περιεχόμενα του οποίου αναφέρονται αναλυτικότερα στη συνέχεια του άρθρου.
Τι είναι το Αρχείο Δραστηριοτήτων και τι πληροφορίες περιλαμβάνει;
Η διατύπωση του άρθρου 30, παράγραφος 5, [ 2016/679 ΕΕ, (2016) ], καθιστά σαφές ότι οι τρεις μορφές επεξεργασίας στις οποίες δεν εφαρμόζεται είναι εναλλακτικές ("ή") και το ότι εάν ισχύει μια μόνο από αυτές, οδηγεί στην υποχρέωση τήρησης του αρχείου δραστηριοτήτων. Δηλαδή, αν ένας Οργανισμός έχει λιγότερους από 250 υπαλλήλους, αλλά οι επεξεργασίες που εκτελεί ενδέχεται να προκαλέσουν Κίνδυνο (όχι μόνο υψηλό Κίνδυνο) για τα δικαιώματα και τις ελευθερίες του Υποκειμένου των Δεδομένων ή επεξεργάζεται Προσωπικά Δεδομένα σε μη περιστασιακή βάση, ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες Δεδομένων σύμφωνα με το άρθρο 9, παράγραφος 1 (π.χ. δεδομένα για την υγεία ή βιομετρικά Δεδομένα ή Δεδομένα σχετικά με ποινικές καταδίκες δυνάμει του άρθρου 10), τότε ο Οργανισμός υποχρεούται να τηρεί το Αρχείο Δραστηριοτήτων. Το Αρχείο Δραστηριοτήτων πρέπει να περιλαμβάνει τουλάχιστον τις εξής πληροφορίες [2016/679 ΕΕ, (2016), άρθρο 30]:
- Τη Νομική βάση της επεξεργασίας
- Τα Στοιχεία του Υπεύθυνου ή / και του Εκτελούντα την επεξεργασία
- Το Σκοπό της επεξεργασίας
- Τις Κατηγορίες των Υποκειμένων των Δεδομένων
- Τις Κατηγορίες των Προσωπικών Δεδομένων
- Τις Κατηγορίες των αποδεκτών
- Τη Διαβίβαση σε τρίτες χώρες / διεθνή Οργανισμό
- Τον Χρόνο Διατήρησης των Δεδομένων
- Τα Τεχνικά και Οργανωτικά μέτρα Ασφάλειας
Συμπερασματικά, κάθε Επιχείρηση ή Οργανισμός οφείλει να κατανοήσει ότι η Συμμόρφωση είναι μια διαρκής αρκετά σύνθετη Διαδικασία, δεν περιορίζεται στην ολοκλήρωση ενός Έργου και απαιτεί την ενεργή συμμετοχή τόσο της Διοίκησης όσο και του Προσωπικού. Σε αυτή ακριβώς τη Διαδικασία η AQS μπορεί να συμβάλλει αποτελεσματικά εφαρμόζοντας την εμπειρία της τόσο από τα δεκάδες 'Εργα Συμμόρφωσης GDPR, όσο και από τις Εκπαιδευτικές Δραστηριότητές της στο σχετικό πεδίο.
Αναφορές
- 2016/679 ΕΕ, (2016) "Γενικός Κανονισμός Προστασίας Δεδομένων"
- WP248 (2017), "Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679"