Κατά πόσον συμμορφώνεστε με τον νέο κανονισμό;
Το Μάιο 2018 ξεκινά η εφαρμογή του νέου Ευρωπαϊκού Κανονισμού για την Προστασία των Δεδομένων.
Εάν ο κανονισμός σας επηρεάζει, θα πρέπει από τώρα να ξεκινήσει να σας απασχολεί η συμμόρφωση της εταιρείας σας. Το συγκεκριμένο site έχει δημιουργηθεί για να σας βοηθήσει να καταλάβετε τον Ευρωπαϊκό Κανονισμό για την Προστασία των Δεδομένων, να ποσοτικοποιήσετε τις απαιτήσεις σας και να σας προσφέρει λύσεις.
Ο GDPR θα επηρεάσει κάθε οργανισμό και εταιρεία στην Ευρώπη, η οποία διαχειρίζεται με οποιονδήποτε τρόπο προσωπικά δεδομένα κάθε μορφής. Επιπλέον, θα επηρεάσει κάθε εταιρεία που συναλλάσσεται στην επικράτεια της Ευρωπαϊκής Ένωσης. Οι κανόνες είναι πολύπλοκοι και τα πρόστιμα για μη συμμόρφωση πολύ αυστηρά (μπορούν να φτάσουν έως τα 20 εκατομμύρια Ευρώ).
Εάν θέλετε να μάθετε περισσότερα βρίσκεστε στο σωστό μέρος!
Αποκτήστε τώρα δωρεάν τον οδηγό
Η ESET σε συνεργασία με τους νομικούς συμβούλους της, δημιούργησαν έναν αναλυτικό οδηγό που θα σας βοηθήσει να εξετάσετε κατά πόσον και με ποιον τρόπο σας επηρεάζει ο νέος Ευρωπαϊκός Κανονισμός.
Online compliance check
This site is designed to help you understand the GDPR, quantify the requirements, and offer solutions.
Συμμόρφωση με τον GDPR, βήμα προς βήμα
Οι επιπτώσεις του νέου Κανονισμού είναι αρκετά πολύπλοκες. Έτσι, έχουμε χωρίσει τη διαδικασία συμμόρφωσης σε τρεις ομάδες μέτρων που θα πρέπει να λάβετε υπόψη. Η κάθε ομάδα διαθέτει αρκετές υποκατηγορίες που καλύπτουν διάφορες περιπτώσεις και περισσότερες σχετικές λεπτομέρειες. Απλά κάντε κλικ στις μπάρες του παρακάτω διαγράμματος για να ερευνήσετε τις περιοχές που καλύπτονται ανάλογα με τις ανάγκες σας.
+-Περιληπτικά
Κάποιοι από τους κανόνες του GDPR αποτελούν συνέχεια αυτών που υπάρχουν ήδη στην υφιστάμενη ντιρεκτίβα Προστασίας Προσωπικών Δεδομένων, όπως για παράδειγμα τα εξής: δικαιοσύνη, νομιμότητα, διαφάνεια, περιορισμός σκοπού, περιορισμός δεδομένων, ποιότητα δεδομένων, ασφάλεια, ακεραιότητα και εμπιστευτικότητα.
Ο GDPR καθιερώνει μια νέα αρχή λογοδοσίας, καθιστώντας
τα άτομα μέσα στην εταιρεία
Ένας ελεγκτής είναι ένα πρόσωπο ή οργανισμός που, αποκλειστικά ή συλλογικά, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των προσωπικών δεδομένων. Ο GDPR καθορίζει τον ελεγκτή ως: "το φυσικό ή νομικό πρόσωπο, τη δημόσια αρχή, την υπηρεσία ή οποιονδήποτε άλλο φορέα που, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των προσωπικών δεδομένων.
Οι σκοποί και τα μέσα της επεξεργασίας αυτής καθορίζονται από το δίκαιο της ΕΕ ή το δίκαιο των Κρατών Μελών. Επιπροσθέτως, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για την υποψηφιότητά του, ενδέχεται να παρέχονται από το δίκτυο της ΕΕ ή των Κρατών Μελών".
που διαχειρίζονται και επεξεργάζονται τα προσωπικά δεδομένα, ως υπεύθυνους για την απόδειξη της συμμόρφωσης με τις αρχές. Επίσης, ο GDPR προσθέτει νέες πτυχές στις υφιστάμενες αρχές προστασίας των δεδομένων, ως εξής:
Δικαιοσύνη, νομιμότητα και διαφάνεια – Τα δεδομένα προσωπικού χαρακτήρα πρέπει πλέον να υποβάλλονται σε επεξεργασία με τρόπο διαφανή σε σχέση με το υποκείμενο των δεδομένων.
Περιορισμός σκοπού – Με κάποιες επιφυλάξεις, η αρχειοθέτηση των δεδομένων προσωπικού χαρακτήρα, τα οποία είναι προς το δημόσιο συμφέρον δεν θα θεωρείται ασυμβίβαστη με τον αρχικό σκοπό της επεξεργασίας.
Αποθήκευση – Τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρούνται σε μορφή που να επιτρέπει την αναγνώριση των υποκειμένων των δεδομένων Το υποκείμενο των δεδομένων είναι ένα φυσικό πρόσωπο, που μπορεί να προσδιοριστεί, ή να είναι αναγνωρίσιμο, με άμεσο ή έμμεσο τρόπο. Ο GDPR ορίζει ένα υποκείμενο των δεδομένων ως εξής: "ένα αναγνωρίσιμο φυσικό πρόσωπο είναι εκείνο το οποίο μπορεί να προσδιοριστεί με άμεσο ή έμμεσο τρόπο με ένα αναγνωριστικό, όπως ένα όνομα, έναν αριθμό αναγνώρισης, δεδομένα θέσης, ένα on-line αναγνωριστικό ή έναν ή περισσότερους παράγοντες σε σχέση με τη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου". για διάστημα όχι μεγαλύτερο από ό, τι είναι αναγκαίο για τους σκοπούς για τους οποίους γίνεται η επεξεργασία τους.
Λογοδοσία – Ο ελεγκτής επεξεργασίας των δεδομένων προσωπικού χαρακτήρα καθίσταται υπεύθυνος και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τις αρχές.
+-Οργανωτικές απαιτήσεις
Σύμφωνα με τον GDPR, θα πρέπει να εφαρμόσετε ένα ευρύ φάσμα μέτρων, προκειμένου να διασφαλίσετε ότι θα μειωθεί ο κίνδυνος υπέρβασης του Κανονισμού και να σας επιτρέψει να αποδείξετε ότι λαμβάνετε τη διαχείριση των δεδομένων προσωπικού χαρακτήρα πολύ σοβαρά.
Μεταξύ των αναγκαίων μέτρων λογοδοσίας είναι: αξιολόγηση των επιπτώσεων προσωπικών δεδομένων, έλεγχος, αξιολόγηση της πολιτικής, διατήρηση αρχείων δραστηριότητα και (ενδεχομένως) διορισμός υπεύθυνου προστασίας δεδομένων (DPO).
Σε ορισμένες περιπτώσεις, ο GDPR εισάγει την υποχρέωση διορισμού ενός υπευθύνου προστασίας δεδομένων (DPO). Για τη συγκεκριμένη θέση, οι οργανισμοί θα πρέπει να ορίσουν ένα μέλος του προσωπικού ή έναν εξωτερικό σύμβουλο.
Αν δραστηριοποιείστε στον εμπορικό κλάδο και διαθέτετε μια μεγάλη βάση δεδομένων καταναλωτών, κατά πάσα πιθανότητα θα χρειαστεί να διορίσετε έναν υπεύθυνο προστασίας δεδομένων. Οι εθνικές αρχές προστασίας δεδομένων αναμένεται να παράσχουν σχετική καθοδήγηση σχετικά με το ποιος θα πρέπει να προβεί στη συγκεκριμένη διαδικασία.
Ο DPO θα είναι υπεύθυνος για την παρακολούθηση της συμμόρφωσης με τον GDPR, θα σας ενημερώνει για τις υποχρεώσεις σας, θα παράσχει συμβουλές σχετικά με το πότε και πώς θα πρέπει να διεξαχθεί αξιολόγηση των επιπτώσεων της διαχείρισης των προσωπικών δεδομένων και θα αποτελεί το άτομο στο οποίο θα απευθύνονται τόσο οι εθνικές αρχές προστασίας δεδομένων, όσο και οι ιδιώτες.
Η έννοια της υπηρεσίας μίας στάσης, επιτρέπει σε έναν οργανισμό που δραστηριοποιείται σε αρκετές χώρες της ΕΕ να συνδιαλλαγεί με μία μόνο εθνική αρχή προστασίας δεδομένων Σύμφωνα με τον GDPR, a μία DPA - εποπτική αρχή είναι "μια ανεξάρτητη δημόσια αρχή που έχει συσταθεί από ένα Κράτος Μέλος σύμφωνα με το άρθρο 51". Η έννοια της υπηρεσίας μίας στάσης σημαίνει ότι, όταν μια επιχείρηση είναι εγκατεστημένη σε περισσότερα από ένα κράτη μέλη, προτεραιότητα θα έχει η αρχή που καθορίζεται από τον τόπο της κύριας έδρας της μέσα στην ΕΕ (ωστόσο, οι υπόλοιπες τοπικές εποπτικές αρχές, οι οποίες δεν αποτελούν την κεντρική αρχή, μπορεί να εξακολουθούν να έχουν ρυθμιστικό ρόλο). , αν και σε ορισμένες περιπτώσεις, οι κανόνες για τον προσδιορισμό του ποια αρχή θα πρέπει να αναλάβει αυτόν τον ρόλο, είναι αρκετά πολύπλοκες.
+-Διεργασίες, διαδικασίες και πολιτικές
Ο GDPR επαναπροσδιορίζει την παραβίαση των δεδομένων ως “παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που διαβιβάζονται, αποθηκεύονται ή επεξεργάζονται με οποιονδήποτε τρόπο”.
Πρόκειται για ένα ευρύτερο ορισμό σε σχέση με το παρελθόν, ο οποίος δεν λαμβάνει υπόψη εάν η παράβαση προκαλεί οποιαδήποτε βλάβη στο άτομο. Εάν τα προσωπικά σας δεδομένα έχουν παραβιαστεί, θα πρέπει να ενημερώσετε την εθνική αρχή προστασίας δεδομένων αμέσως, ή το αργότερο 72 ώρες μετά την ανακάλυψη του συμβάντος.
Ωστόσο, εάν έχετε εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα, όπως για παράδειγμα την κρυπτογράφησή τους, απαλλάσσεστε από την υποχρέωση γνωστοποίησης.
Ένα σημαντικό μέρος της συμμόρφωσης με τον GDPR είναι εκ σχεδιασμού προστασία των δεδομένων προσωπικού χαρακτήρα. Aυτό σημαίνει ότι κάθε νέα διαδικασία ή προϊόν θα πρέπει να σχεδιάζεται λαμβάνοντας υπόψη τις απαιτήσεις προστασίας των προσωπικών δεδομένων. Αυτή η προσέγγιση, ενώ προηγουμένως αποτελούσε βέλτιστη πρακτική, πλέον είναι ρητή απαίτηση.
Η εκτίμηση των επιπτώσεων της προστασίας δεδομένων, επίσης γνωστή ως εκτίμηση των επιπτώσεων της ιδιωτικής ζωής (privacy impact assessment -PIA), έχει ως στόχο τον εντοπισμό και την ελαχιστοποίηση των κινδύνων μη συμμόρφωσης.
Το PIA στο πλαίσιο του GDPR καθίσταται επίσημη απαίτηση. Συγκεκριμένα,
οι ελεγκτές
Ένας ελεγκτής είναι ένα πρόσωπο ή οργανισμός που, αποκλειστικά ή συλλογικά, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των προσωπικών δεδομένων. Ο GDPR καθορίζει τον ελεγκτή ως: "το φυσικό ή νομικό πρόσωπο, τη δημόσια αρχή, την υπηρεσία ή οποιονδήποτε άλλο φορέα που, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των προσωπικών δεδομένων.
Οι σκοποί και τα μέσα της επεξεργασίας αυτής καθορίζονται από το δίκαιο της ΕΕ ή το δίκαιο των Κρατών Μελών. Επιπροσθέτως, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για την υποψηφιότητά του, ενδέχεται να παρέχονται από το δίκτυο της ΕΕ ή των Κρατών Μελών".
πρέπει να διασφαλίσουν ότι έχει καθοριστεί ο παράγοντας PIA σε οποιαδήποτε δραστηριότητα επεξεργασίας “υψηλού κινδύνου”.
Εάν δραστηριοποιείστε διεθνώς, οι κανόνες και οι διαδικασίες για τη
μεταφορά δεδομένων
Η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε χώρες εκτός του Ευρωπαϊκού Οικονομικού Χώρου ή σε διεθνείς οργανισμούς υπόκεινται σε διάφορους περιορισμούς, οι οποίοι ορίζονται στο κεφάλαιο V του GDPR. Όπως συμβαίνει και με την υφιστάμενη οδηγία, τα δεδομένα δεν χρειάζεται να μεταφερθούν με φυσικό τρόπο για να θεωρηθούν ότι έχουν διαβιβαστεί. Έτσι, για τους σκοπούς του GDPR η προβολή των δεδομένων που φιλοξενούνται σε άλλες τοποθεσίες, νοούνται ως μεταφερθέντα.Ο GDPR ορίζει τη διασυνοριακή επεξεργασία είτε ως:
"(α) η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο των δραστηριοτήτων των οργανισμών σε περισσότερα από ένα Κράτη Μέλη ενός ελεγκτή ή επεξεργαστή, στην περίπτωση που αυτός είναι εγκατεστημένος σε περισσότερα από ένα Κράτη Μέλη της ΕΕ, (β) η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο των δραστηριοτήτων ενός ελεγκτή ή επεξεργαστή μέσα στην ΕΕ, αλλά που επηρεάζει ουσιωδώς ή ενδέχεται να επηρεάσει ουσιαστικά τα υποκείμενα των δεδομένων σε περισσότερα από ένα Κράτη Μέλη."
σε χώρες εκτός δικαιοδοσίας της ΕΕ θα αποτελέσουν έναν σημαντικό παράγοντα, καθώς οι κυρώσεις για τη μη συμμόρφωση ή τη μεταφορά των δεδομένων σε δικαιοδοσίες που δεν αναγνωρίζονται (από την Ευρωπαϊκή Επιτροπή) ως έχουσες επαρκή νομοθεσία για την προστασία δεδομένων θα είναι πολύ πιο αυστηρές κάτω από τον νέο Κανονισμό GDPR.
+-Ευαισθητοποίηση της ασφάλειας των δεδομένων
Τώρα είναι η ώρα να ενημερώσετε τους υπαλλήλους σας σχετικά με την ανάγκη συμμόρφωσης με τον GDPR. Μπορείτε να ξεκινήσετε από τώρα να σχεδιάζετε την αναθεώρηση των διαδικασιών για την αντιμετώπιση των νέων διατάξεων περί διαφάνειας και ατομικών δικαιωμάτων του GDPR. Κάτι τέτοιο θα μπορούσε να έχει σημαντικές οικονομικές επιπτώσεις. Επίσης, θα επηρεάσει και το τμήμα ΙΤ σας, ενώ ενδεχομένως θα απαιτηθεί και εκπαίδευση του προσωπικού.
+-Λογοδοσία - τεχνικά μέτρα
Ο GDPR καθιστά
τους αρμόδιους ελεγκτές
Ένας ελεγκτής είναι ένα πρόσωπο ή οργανισμός που, αποκλειστικά ή συλλογικά, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των προσωπικών δεδομένων. Ο GDPR καθορίζει τον ελεγκτή ως: "το φυσικό ή νομικό πρόσωπο, τη δημόσια αρχή, την υπηρεσία ή οποιονδήποτε άλλο φορέα που, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των προσωπικών δεδομένων.
Οι σκοποί και τα μέσα της επεξεργασίας αυτής καθορίζονται από το δίκαιο της ΕΕ ή το δίκαιο των Κρατών Μελών. Επιπροσθέτως, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για την υποψηφιότητά του, ενδέχεται να παρέχονται από το δίκτυο της ΕΕ ή των Κρατών Μελών".
υπεύθυνους για την απόδειξη της συμμόρφωσης με τις αρχές προστασίας δεδομένων. Έτσι, θα πρέπει να βεβαιωθείτε ότι έχετε υιοθετήσει σαφείς πολιτικές, οι οποίες σε περίπτωση ελέγχου να μπορεί να αποδειχθεί ότι πληρούν τα απαιτούμενα πρότυπα. Επιπλέον, θα πρέπει να έχετε διασφαλίσει ότι το προσωπικό σας είναι εκπαιδευμένο και κατανοεί τις υποχρεώσεις του και μάλιστα να είναι έτοιμο να το αποδείξει ανά πάσα στιγμή, όταν απαιτηθεί κάτι τέτοιο από την εθνική αρχή προστασίας δεδομένων.
+-Παραβίαση των δεδομένων - τεχνικά μέτρα
Θα πρέπει να προετοιμαστείτε κατάλληλα για την πιθανότητα παραβίασης της ασφάλειας των δεδομένων (που ορίζεται ως “παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που διαβιβάζονται, αποθηκεύονται ή επεξεργάζονται με οποιονδήποτε τρόπο”) θέτοντας σαφείς πολιτικές και δοκιμασμένες διαδικασίες, έτσι ώστε να διασφαλιστεί ότι θα μπορείτε να αντιδράσετε και να γνωστοποιήσετε κάθε παραβίαση δεδομένων, όπου απαιτείται.
Κυρώσεις ενδέχεται να επιφέρει τόσο η αποτυχία της αναφοράς παράβασης προσωπικών δεδομένων, όσο και η ίδια η παράβαση.
+-Διασφάλιση των δικαιωμάτων των δεδομένων υποκειμένου - τεχνικά ζητήματα
Ο GDPR ενισχύει τα δικαιώματα που έχουν τα υποκείμενα των οποίων τα προσωπικά δεδομένα διαχειρίζεστε Το υποκείμενο των δεδομένων είναι ένα φυσικό πρόσωπο, που μπορεί να προσδιοριστεί, ή να είναι αναγνωρίσιμο, με άμεσο ή έμμεσο τρόπο. Ο GDPR ορίζει ένα υποκείμενο των δεδομένων ως εξής: "ένα αναγνωρίσιμο φυσικό πρόσωπο είναι εκείνο το οποίο μπορεί να προσδιοριστεί με άμεσο ή έμμεσο τρόπο με ένα αναγνωριστικό, όπως ένα όνομα, έναν αριθμό αναγνώρισης, δεδομένα θέσης, ένα on-line αναγνωριστικό ή έναν ή περισσότερους παράγοντες σε σχέση με τη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου". , Για παράδειγμα προσθέτει το δικαίωμα σε κάποιον να ζητήσει πληροφορίες σχετικά με τα δεδομένα που υποβάλλονται σε επεξεργασία, την πρόσβαση στα δεδομένα σε ορισμένες περιπτώσεις, καθώς και τη διόρθωση των λανθασμένων δεδομένων.
Ένας από τους κύριους στόχους του GDPR είναι να ενισχύσει τα δικαιώματα των ατόμων. Ως εκ τούτου, οι κανόνες για την αντιμετώπιση των αιτήσεων σχετικά με την πρόσβαση στα προσωπικά δεδομένα θα μεταβληθούν. Επομένως, θα πρέπει να ενημερώσετε τις δικές σας διαδικασίες ανάλογα.
Στις περισσότερες περιπτώσεις δεν θα χρειαστεί να χρεώσετε για τη συμμόρφωση με το αίτημα και σε κανονικές συνθήκες θα έχετε στη διάθεσή σας έναν μόνο ένα μήνα για να συμμορφωθείτε, αντί των 30 ημερών που ισχύει τώρα.
Το δικαίωμα στη λήθη («διαγραφή» στην ορολογία του GDPR) επιτρέπει σε ιδιώτες να απαιτούν τη διαγραφή των προσωπικών τους δεδομένων
από τους υπευθύνους επεξεργασίας
Ένας ελεγκτής είναι ένα πρόσωπο ή οργανισμός που, αποκλειστικά ή συλλογικά, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των προσωπικών δεδομένων.
Ο GDPR καθορίζει τον ελεγκτή ως: "το φυσικό ή νομικό πρόσωπο, τη δημόσια αρχή, την υπηρεσία ή οποιονδήποτε άλλο φορέα που, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των προσωπικών δεδομένων.
Οι σκοποί και τα μέσα της επεξεργασίας αυτής καθορίζονται από το δίκαιο της ΕΕ ή το δίκαιο των Κρατών Μελών. Επιπροσθέτως, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για την υποψηφιότητά του, ενδέχεται να παρέχονται από το δίκτυο της ΕΕ ή των Κρατών Μελών".
χωρίς καθυστέρηση σε ορισμένες περιπτώσεις, όπως για παράδειγμα όταν υπάρχει πρόβλημα με τη νομιμότητα της επεξεργασίας των δεδομένων, ή όταν το υποκείμενο αποσύρει τη συγκατάθεσή του.
Τα τρίτα μέρη με τους οποίους μοιράζονται τα προσωπικά δεδομένα, καλύπτονται επίσης από τους συγκεκριμένους κανόνες.
Ο GDPR ορίζει την έννοια του προφίλ ως “κάθε μορφή αυτοματοποιημένης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνει τη χρήση των προσωπικών δεδομένων για την αξιολόγηση ορισμένων πτυχών της προσωπικότητάς σε ένα φυσικό πρόσωπο, ιδίως για την ανάλυση ή την πρόβλεψη στοιχείων που αφορούν στην απόδοση του φυσικού προσώπου στην εργασία, την οικονομική κατάσταση , την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή την κίνηση”;. Ωστόσο, παρατηρείται κάποια ασάφεια σχετικά με το πως θα διασφαλιστεί το δικαίωμα των υποκειμένων να μην υπόκειται σε αποφάσεις που βασίζονται σε προσωπικά προφίλ.
Ο GDPR εισάγει ένα νέο δικαίωμα στη φορητότητα των δεδομένων, το οποίο υπερβαίνει το δικαίωμα στην απαίτηση της παροχής των προσωπικών δεδομένων τους σε μια ευρέως χρησιμοποιούμενη ηλεκτρονική μορφή. Συγκεκριμένα, απαιτείται από τον ελεγκτή να παρέχει τις σχετικές πληροφορίες σε μια δομημένη, κοινή και αναγνώσιμη από μηχανή μορφή.
Ωστόσο, υπάρχουν κάποια όρια σε αυτόν τον κανόνα. Για παράδειγμα, ισχύει μόνο για τα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία με αυτοματοποιημένα μέσα.
Στο πλαίσιο του στόχου της να ενισχύσει τα δικαιώματα των ιδιωτών, η Ευρωπαϊκή Επιτροπή παραχωρεί το δικαίωμα περιορισμών συγκεκριμένων διεργασιών, όπως επίσης και το δικαίωμα αντίρρησης στην υποβολή των δεδομένων προσωπικού χαρακτήρα σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης.
Μόλις ένα άτομο αρνηθεί, τα στοιχεία του δεν θα πρέπει να υποβάλλονται σε επεξεργασία για άμεση εμπορική προώθηση περαιτέρω και τα στοιχεία επικοινωνίας του ατόμου θα πρέπει να προστεθούν σε ένα τοπικό προς διαγραφή αρχείο.
Οι οργανισμοί πρέπει να ενημερώνουν τον κόσμο σχετικά με το δικαίωμα να αρνηθούν την επεξεργασία των δεδομένων τους με τρόπο που να είναι σαφές και ξεχωριστό από άλλα στοιχεία τα οποία πρέπει επίσης να παρέχουν σε αυτούς.
+-Σχετικά με την επικοινωνία των δεδομένων προσωπικού χαρακτήρα (συναινέσεις, ανακοινώσεις θεμιτή επεξεργασία)
Μπορεί να χρειαστεί να αναθεωρήσετε τον τρόπο με τον οποίο αναζητάτε, λαμβάνετε και καταγράφετε τη συγκατάθεση των ατόμων. Η συγκατάθεση Ο GDPR ορίζει τη συγκατάθεση του υποκειμένου των δεδομένων ως "κάθε ελεύθερη, ρητή, ενημέρωση και σαφή ένδειξη των επιθυμιών του υποκειμένου των δεδομένων, με την οποία αυτός ή αυτή, με δήλωση ή με σαφή θετική δράση, υποδηλώνει συμφωνία με την επεξεργασία των προσωπικών δεδομένων που τον/την αφορούν". του υποκειμένου των δεδομένων για την επεξεργασία των προσωπικών του δεδομένων πρέπει να είναι το ίδιο εύκολη να την αποσύρει, όσο το να την δώσει. Επιπλέον, η συγκατάθεση θα πρέπει να προέρχεται από μια θετική ένδειξη συμφωνίας για τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και δεν μπορεί να συναχθεί από τη σιωπή του υποκειμένου, την αδράνειά του ή από προσημειωμένα πλαίσια ελέγχου..
Στο πλαίσιο του στόχου της να ενισχύσει τα δικαιώματα των ιδιωτών, η Ευρωπαϊκή Επιτροπή παραχωρεί το δικαίωμα περιορισμών συγκεκριμένων διεργασιών, όπως επίσης και το δικαίωμα αντίρρησης στην υποβολή των δεδομένων προσωπικού χαρακτήρα σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης.
Μόλις ένα άτομο αρνηθεί, τα στοιχεία του δεν θα πρέπει να υποβάλλονται σε επεξεργασία για άμεση εμπορική προώθηση περαιτέρω και τα στοιχεία επικοινωνίας του ατόμου θα πρέπει να προστεθούν σε ένα τοπικό προς διαγραφή αρχείο. Οι οργανισμοί πρέπει να ενημερώνουν τον κόσμο σχετικά με το δικαίωμα να αρνηθούν την επεξεργασία των δεδομένων τους με τρόπο που να είναι σαφές και ξεχωριστό από άλλα στοιχεία τα οποία πρέπει επίσης να παρέχουν σε αυτούς.
Ο GDPR, πιθανώς θα αυξήσει το εύρος των στοιχείων που θα πρέπει να δηλώσετε προς τα υποκείμενα των δεδομένων Το υποκείμενο των δεδομένων είναι ένα φυσικό πρόσωπο, που μπορεί να προσδιοριστεί, ή να είναι αναγνωρίσιμο, με άμεσο ή έμμεσο τρόπο. Ο GDPR ορίζει ένα υποκείμενο των δεδομένων ως εξής: "ένα αναγνωρίσιμο φυσικό πρόσωπο είναι εκείνο το οποίο μπορεί να προσδιοριστεί με άμεσο ή έμμεσο τρόπο με ένα αναγνωριστικό, όπως ένα όνομα, έναν αριθμό αναγνώρισης, δεδομένα θέσης, ένα on-line αναγνωριστικό ή έναν ή περισσότερους παράγοντες σε σχέση με τη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου". , όπως για παράδειγμα τη νομική σας βάση για την επεξεργασία των δεδομένων τους, τις περιόδους διατήρησης των δεδομένων και το δικαίωμά τους να διαμαρτυρηθούν στην εθνική αρχή προστασίας δεδομένων, εάν θεωρούν ότι υπάρχει κάποιο πρόβλημα με το τρόπο που χειρίζονται τα δεδομένα τους. Σημειώστε ότι ο GDPR απαιτεί αυτές πληροφορίες να παρέχονται σε συνοπτική και σαφή γλώσσα.
+-Ασφάλεια των δεδομένων (ακεραιότητα και εμπιστευτικότητα)
Ο GDPR καθορίζει κανόνες ασφάλειας των δεδομένων παρόμοιους με εκείνους της ισχύουσας οδηγίας, στους οποίους συμπεριλαμβάνονται: η δικαιοσύνη, η νομιμότητα και η διαφάνεια, o περιορισμός του σκοπού, η ελαχιστοποίηση και η ποιότητα των δεδομένων, η ασφάλεια, η ακεραιότητα και η εμπιστευτικότητα.
Θα πρέπει να διασφαλιστεί ότι τα προσωπικά δεδομένα Ο GDPR ορίζει τα προσωπικά δεδομένα ως "κάθε πληροφορία που αναφέρεται σε αναγνωρισμένο ή αναγνωρίσιμο "υποκείμενο των δεδομένων" φυσικό πρόσωπο. Ένα αναγνωρίσιμο πρόσωπο είναι εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως σε σχέση με ένα αναγνωριστικό... ή σε σχέση με έναν ή περισσότερους παράγοντες που αφορούν ειδικά τη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω προσώπου". Αναφέρει επίσης ότι "τα φυσικά πρόσωπα μπορούν να συνδέονται με on-line αναγνωριστικά που παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις πρωτοκόλλου Internet, αναγνωριστικά cookies, ή άλλα αναγνωριστικά, όπως ετικέτες αναγνώρισης ραδιοσυχνοτήτων." Υπό το πρίσμα της νέας διατύπωσης μπορεί να χρειαστεί να εκτιμήσετε κατά πόσον τα δεδομένα από ψηφιακές πηγές που υποβάλλονται σε επεξεργασία πρόκειται για προσωπικά δεδομένα ή όχι. υποβάλλονται σε επεξεργασία κατά τρόπο που να κατοχυρώνει την ασφάλειά τους, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά: «Ο οργανισμός και οποιοσδήποτε τρίτος πάροχος υπηρεσιών θα πρέπει να εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, για να εξασφαλιστεί επίπεδο ασφάλειας ανάλογο προς τον κίνδυνο».
Ο κανονισμός προτείνει μια σειρά από μέτρα ασφαλείας τα οποία μπορούν να χρησιμοποιηθούν για την επίτευξη της προστασίας των δεδομένων, συμπεριλαμβανομένων των: ψευδή ταυτότητα και κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα, η δυνατότητα να εξασφαλιστεί η συνεχής εμπιστευτικότητα, η ακεραιότητα, η διαθεσιμότητα και η ανθεκτικότητα των συστημάτων και των υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η δυνατότητα αποκατάστασης της διαθεσιμότητας και η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού περιστατικού και η διαδικασία για την τακτική δοκιμή, την αξιολόγηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Ο GDPR καθορίζει την κρυπτογράφηση ως μια προσέγγιση που μπορεί να βοηθήσει να εξασφαλιστεί η συμμόρφωση με κάποιες από τις υποχρεώσεις του. Παραθέτουμε ένα απόσπασμα από τον κανονισμό:
Άρθρο 32 – Ασφάλεια της επεξεργασίας
“1. Λαμβάνοντας υπόψη την εξέλιξη της τεχνολογίας, το κόστος εφαρμογής και τη φύση, το πεδίο, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τις ποικίλες πιθανότητες της σοβαρότητας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων, ο ελεγκτής και αυτός που επεξεργάζεται τα δεδομένα θα πρέπει να υιοθετήσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να εξασφαλίσει επίπεδο ασφάλειας ανάλογο προς τον κίνδυνο, συμπεριλαμβανομένων, μεταξύ άλλων, ανάλογα με την περίπτωση: (α) η χρήση ψευδωνύμου και την κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα […] »
Article 34 – Ανακοίνωση της παραβίασης προσωπικών δεδομένων στο υποκείμενο των δεδομένων
«3. Η επικοινωνία με το υποκείμενο των δεδομένων που αναφέρονται στην παράγραφο 1 δεν απαιτείται εάν ισχύει οποιαδήποτε από τις ακόλουθες προϋποθέσεις: (α) O ελεγκτής έχει εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας και ότι τα μέτρα αυτά εφαρμόσθηκαν για τα προσωπικά δεδομένα που θίγονται από την προσωπική παραβίαση των δεδομένων, ιδίως εκείνων που καθιστούν τα προσωπικά δεδομένα ακατανόητα σε οποιοδήποτε πρόσωπο που δεν είναι εξουσιοδοτημένοι, όπως η κρυπτογράφηση […] »
+-Τεκμηρίωση δεδομένων, νομική βάση και έλεγχος
Θα πρέπει να τεκμηριώσετε τι προσωπικά δεδομένα κατέχετε, από πού προήλθαν και με ποιους τα μοιράζεστε.
Εάν έχετε ανακριβή δεδομένα προσωπικού χαρακτήρα και τα έχετε μοιραστεί με κάποιον άλλον οργανισμό ο GDPR απαιτεί να του επισημάνετε την ανακρίβεια, έτσι ώστε να μπορεί να διορθώσει τα δικά του αρχεία. Για να το κάνετε αυτό μπορεί να απαιτηθεί έλεγχος των πληροφοριών σε ολόκληρη την επιχείρησή σας ή σε συγκεκριμένες επιχειρηματικές περιοχές. Αυτό θα σας βοηθήσει επίσης να συμμορφωθείτε με την αρχή της λογοδοσίας του GDPR.
Σύμφωνα με τον GDPR θα πρέπει να εξετάσετε πώς πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα και να προσδιορίσετε τη νομική βάση επί της οποίας θα πραγματοποιήσετε και θα τεκμηριώσετε αυτές τις διαδικασίες.
Αυτό είναι απαραίτητο διότι τα δικαιώματα κάποιων ατόμων θα τροποποιηθούν από τον GDPR ανάλογα με τη νομική βάση για την επεξεργασία των προσωπικών τους δεδομένων. Για παράδειγμα οι άνθρωποι θα έχουν ισχυρότερο δικαίωμα σε ότι αφορά τη διαγραφή των δεδομένων τους σε όποιες περιπτώσεις χρησιμοποιήσετε τη συγκατάθεση ως νομική βάση για την επεξεργασία. Ωστόσο, η συναίνεση είναι μόνο μία από μια σειρά διαφορετικών τρόπων νομιμοποίηση της δραστηριότητας επεξεργασίας και μπορεί να μην είναι η καλύτερη (καθώς μπορεί να ανακληθεί).
Join our GDPR webinar
Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.
Σχεδόν το 80% των εταιριών δεν είναι έτοιμες για τον GDPR
Μια νέα έρευνα που διεξήχθη από την ανεξάρτητη εταιρεία αναλύσεων IDC διαπίστωσε ότι οι περισσότερες ευρωπαϊκές μικρομεσαίες επιχειρήσεις είναι ανέτοιμες για τον GDPR. Η IDC διερεύνησε επαγγελματίες πληροφορικής σε περισσότερες από 700 επιχειρήσεις. Αυτό που διαπίστωσε είναι ότι η κατανόηση του νέου κανονισμού παραμένει χαμηλή.
Για περισσότερες πληροφορίες – και για να μάθετε περισσότερα πράγματα για τον GDPR – κατεβάστε την ολοκληρωμένη έκθεση της IDC. Μια ευγενική χορηγία της ESET:
Κατανόηση της επίπτωσης του GDPR
25% καθόλου | 52% περιορισμένη | 22% πλήρης