της ΣΟΦΙΑΣ ΤΣΙΠΣΕ
Το GDPR ή ελληνιστί ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων ισχύει από την 25η Μαϊου του τρέχοντος έτους. Παρά τον καταιγισμό επιμορφωτικών σεμιναρίων και την ισχύ του Κανονισμού ήδη πλέον του ενός μήνα, σχεδόν οι μισές επιχειρήσεις δεν έχουν ξεκινήσει καν την προσπάθεια εναρμόνισης και συμμόρφωσης με τον Κανονισμό, για ένα κυρίως λόγο: Δεν γνωρίζουν τι πρέπει να κάνουν!
Τα βήματα που είναι αναγκαίο να πράξει μια επιχείρηση προκειμένου να χαρακτηριστεί εναρμονισμένη με τον Κανονισμό (GDPR compliant) είναι τα εξής:
– Να αναθέσει σε μια ομάδα συνεργατών που είναι ειδικευμένη με το GDPR τη συμμόρφωσή της με τον Κανονισμό. Η ομάδα αυτή συνήθως αποτελείται από δικηγόρους για την συμμόρφωση της εταιρίας σε νομικό επίπεδο και τεχνικούς για τα ζητήματα τεχνικής ασφάλειας.
Κατά τη συμμόρφωση πραγματοποιείται :
1. Χαρτογράφηση της Επιχείρησης: στο στάδιο αυτό γίνονται συνεντεύξεις με το προσωπικό και καταγράφεται η εργασία που κάνει ο καθένας, τα προσωπικά δεδομένα που επεξεργάζεται, τα αρχεία που τηρεί. Πραγματοποιείται ουσιαστικά μια ακτινογράφηση της επιχείρησης.
2. Gap analysis : Στο σημείο αυτό τα στοιχεία που έχουν προκύψει από τη χαρτογράφηση της εταιρίας αναλύονται με βάση τις επιταγές του Κανονισμού και εντοπίζονται τα κενά, τα οποία κενά θα πρέπει να απαλειφτούν, κατόπιν εισήγησης μέτρων ασφαλείας από τη συμβουλευτική ομάδα συμμόρφωσης και εφόσον η Διοίκηση της επιχείρησης εγκρίνει τα μέτρα αυτά. Θα πρέπει βέβαια προηγουμένως να έχει λάβει χώρα η προαπαιτούμενη ανάλυση ρίσκου- εκτίμηση επικινδυνότητας- αξιολόγηση κινδύνου. (risk assessment) .
3. Κατόπιν των ανωτέρω , αναγκαίο είναι να συνταχθούν κάποιες πολιτικές λειτουργίας του προσωπικού και της Διοίκησης. Πιο συγκεκριμένα να δημιουργηθεί ένα εγχειρίδιο που να περιγράφει με πάσα λεπτομέρεια το τι χρειάζεται να κάνει ο κάθε υπάλληλος, ποιες είναι οι αρμοδιότητές του, σε ποιους λογοδοτεί, με ποιον τρόπο υλοποιεί τις αρμοδιότητές του, που έχει πρόσβαση, για ποιον λόγο, με ποιον τρόπο, για πόσο χρονικό διάστημα, προκειμένου να γίνουν ξεκάθαροι οι ρόλοι του κάθε ενός και να ελαχιστοποιηθεί ο κίνδυνος διαρροής προσωπικών δεδομένων.
4. Εκπαίδευση προσωπικού : Με βάση τις πολιτικές λειτουργίας , οι οποίες έχουν προσαρμοστεί στην εργασία του κάθε υπαλλήλου, με βάση όμως τις επιταγές του Κανονισμού, θα πρέπει η ομάδα συμμόρφωσης να προχωρήσει σε εκπαίδευση του προσωπικού στο πως θα υλοποιήσει τις πολιτικές αυτές.
5. Στο πλαίσιο της συμμόρφωσης θα πρέπει ο Υπεύθυνος Επεξεργασίας , δηλαδή η επιχείρηση να προσαρμόσει όλες τις συμβάσεις (και με τους εσωτερικούς συνεργάτες και με τους εξωτερικούς) στις επιταγές του Κανονισμού (δήλωση εμπιστευτικότητας, εχεμύθειας κα).
6. Επίσης θα πρέπει να ελέγχει τους σκοπούς επεξεργασίας δεδομένων, να εντοπίσει τη νομική βάση της επεξεργασίας. Αν η νομική βάση είναι κάποιος νόμος, ή σύμβαση τότε δεν χρειάζεται η λήψη συγκατάθεσης. Σε περίπτωση που δεν υπάρχει κάποιος νόμος που να επιβάλει τη συλλογή προσωπικών δεδομένων, ή αν δεν υπάρχει σύμβαση, τότε αναγκαίο είναι να ληφθεί συγκατάθεση , η οποία πρέπει να είναι σαφής και ορισμένη.
7. Απαραίτητη επίσης είναι η ενημέρωση των υποκειμένων των προσωπικών δεδομένων για το που χρησιμοποιούνται τα δεδομένα του και για ποιο χρονικό διάστημα.
8. Αν υπάρχει κάποιο ηλεκτρονικό site της επιχείρησης θα πρέπει να συνταχθούν κάποιοι όροι χρήσης , ενημέρωση για την προστασία προσωπικών δεδομένων και πολιτική cookies ,εφόσον χρησιμοποιούνται.
– Ορισμός Υπευθύνου Προστασίας Προσωπικών Δεδομένων – D.P.O. : Οι επιχειρήσεις , ανεξάρτητα από το αν είναι μικρές ή μεγάλες, εφόσον επεξεργάζονται τακτικά, συστηματικά και σε μεγάλη κλίμακα προσωπικά δεδομένα ΥΠΟΧΡΕΟΥΝΤΑΙ να ορίσουν Υπεύθυνο Προστασίας Προσωπικών Δεδομένων και μάλιστα από 25 -5- 2018 οφείλουν να ενημερώσουν στο site της Αρχής Προστασίας Δεδομένων τα στοιχεία του , μέσω συμπλήρωσης μια ειδικής φόρμας.
Ο Κανονισμός ξεκίνησε, η περίοδος χάριτος για την εναρμόνιση με τον Κανονισμό τελείωσε. Οι επιχειρήσεις θα πρέπει να ενημερωθούν σωστά και να ξεκινήσουν άμεσα την συμμόρφωσή τους, ειδεμή τα διοικητικά πρόστιμα είναι προ των πυλών.
{Η κυρία Σοφία Ν. Τσιπτσέ είναι
Δικηγόρος παρ’ Εφέταις (ΑΜ ΔΣΘ 9872)
Διαπιστ. Διαμεσολαβήτρια ΥΔΔΑΔ
(αστική, εμπορική, ηλεκτρονική
τραπεζική Διαμεσολάβηση)
Υπεύθυνη Προστασίας Δεδομένων /
D.P.O. exec.}