O νέος Ευρωπαϊκός Κανονισμός για την Προστασία των Δεδομένων (GDPR)

Πως ο GDPR θα επηρεάσει την πολιτική προστασίας των δεδομένων σας

ΚΑΝΤΕ ΤΟ ΤΕΣΤ ΣΥΜΜΟΡΦΩΣΗΣ
ΚΑΤΕΒΑΣΤΕ ΤΟΝ ΔΩΡΕΑΝ ΟΔΗΓΟ

Κατά πόσον συμμορφώνεστε με τον νέο κανονισμό;

Το Μάιο 2018 ξεκινά η εφαρμογή του νέου Ευρωπαϊκού Κανονισμού για την Προστασία των Δεδομένων.

Εάν ο κανονισμός σας επηρεάζει, θα πρέπει από τώρα να ξεκινήσει να σας απασχολεί η συμμόρφωση της εταιρείας σας. Το συγκεκριμένο site έχει δημιουργηθεί για να σας βοηθήσει να καταλάβετε τον Ευρωπαϊκό Κανονισμό για την Προστασία των Δεδομένων, να ποσοτικοποιήσετε τις απαιτήσεις σας και να σας προσφέρει λύσεις.
Ο GDPR θα επηρεάσει κάθε οργανισμό και εταιρεία στην Ευρώπη, η οποία διαχειρίζεται με οποιονδήποτε τρόπο προσωπικά δεδομένα κάθε μορφής. Επιπλέον, θα επηρεάσει κάθε εταιρεία που συναλλάσσεται στην επικράτεια της Ευρωπαϊκής Ένωσης. Οι κανόνες είναι πολύπλοκοι και τα πρόστιμα για μη συμμόρφωση πολύ αυστηρά (μπορούν να φτάσουν έως τα 20 εκατομμύρια Ευρώ).

Εάν θέλετε να μάθετε περισσότερα βρίσκεστε στο σωστό μέρος!

https://encryption.eset.com/gr/wp-content/uploads/sites/22/2016/11/calendar.png

Αποκτήστε τώρα τον δωρεάν οδηγό

Η ESET σε συνεργασία με τους νομικούς συμβούλους της, δημιούργησαν έναν αναλυτικό οδηγό που θα σας βοηθήσει να εξετάσετε κατά πόσον και με ποιον τρόπο σας επηρεάζει ο νέος Ευρωπαϊκός Κανονισμός.

https://encryption.eset.com/gr/wp-content/uploads/sites/22/2016/11/guide_general_data_protection_regulation.png

Online compliance check

This site is designed to help you understand the GDPR, quantify the requirements, and offer solutions.

Συμμόρφωση με τον GDPR, βήμα προς βήμα

Οι επιπτώσεις του νέου Κανονισμού είναι αρκετά πολύπλοκες. Έτσι, έχουμε χωρίσει τη διαδικασία συμμόρφωσης σε τρεις ομάδες μέτρων που θα πρέπει να λάβετε υπόψη. Η κάθε ομάδα διαθέτει αρκετές υποκατηγορίες που καλύπτουν διάφορες περιπτώσεις και περισσότερες σχετικές λεπτομέρειες. Απλά κάντε κλικ στις μπάρες του παρακάτω διαγράμματος για να ερευνήσετε τις περιοχές που καλύπτονται ανάλογα με τις ανάγκες σας.

+Περιληπτικά

Κάποιοι από τους κανόνες του GDPR αποτελούν συνέχεια αυτών που υπάρχουν ήδη στην υφιστάμενη ντιρεκτίβα Προστασίας Προσωπικών Δεδομένων, όπως για παράδειγμα τα εξής: δικαιοσύνη, νομιμότητα, διαφάνεια, περιορισμός σκοπού, περιορισμός δεδομένων, ποιότητα δεδομένων, ασφάλεια, ακεραιότητα και εμπιστευτικότητα.

Ο GDPR καθιερώνει μια νέα αρχή λογοδοσίας, καθιστώντας τα άτομα μέσα στην εταιρεία που διαχειρίζονται και επεξεργάζονται τα προσωπικά δεδομένα, ως υπεύθυνους για την απόδειξη της συμμόρφωσης με τις αρχές. Επίσης, ο GDPR προσθέτει νέες πτυχές στις υφιστάμενες αρχές προστασίας των δεδομένων, ως εξής:

Δικαιοσύνη, νομιμότητα και διαφάνεια – Τα δεδομένα προσωπικού χαρακτήρα πρέπει πλέον να υποβάλλονται σε επεξεργασία με τρόπο διαφανή σε σχέση με το υποκείμενο των δεδομένων.

Περιορισμός σκοπού – Με κάποιες επιφυλάξεις, η αρχειοθέτηση των δεδομένων προσωπικού χαρακτήρα, τα οποία είναι προς το δημόσιο συμφέρον δεν θα θεωρείται ασυμβίβαστη με τον αρχικό σκοπό της επεξεργασίας.

Αποθήκευση – Τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρούνται σε μορφή που να επιτρέπει την αναγνώριση των υποκειμένων των δεδομένων για διάστημα όχι μεγαλύτερο από ό, τι είναι αναγκαίο για τους σκοπούς για τους οποίους γίνεται η επεξεργασία τους.

Λογοδοσία – Ο ελεγκτής επεξεργασίας των δεδομένων προσωπικού χαρακτήρα καθίσταται υπεύθυνος και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τις αρχές.

+Οργανωτικές απαιτήσεις

Σύμφωνα με τον GDPR, θα πρέπει να εφαρμόσετε ένα ευρύ φάσμα μέτρων, προκειμένου να διασφαλίσετε ότι θα μειωθεί ο κίνδυνος υπέρβασης του Κανονισμού και να σας επιτρέψει να αποδείξετε ότι λαμβάνετε τη διαχείριση των δεδομένων προσωπικού χαρακτήρα πολύ σοβαρά.
Μεταξύ των αναγκαίων μέτρων λογοδοσίας είναι: αξιολόγηση των επιπτώσεων προσωπικών δεδομένων, έλεγχος, αξιολόγηση της πολιτικής, διατήρηση αρχείων δραστηριότητα και (ενδεχομένως) διορισμός υπεύθυνου προστασίας δεδομένων (DPO).

Σε ορισμένες περιπτώσεις, ο GDPR εισάγει την υποχρέωση διορισμού ενός υπευθύνου προστασίας δεδομένων (DPO). Για τη συγκεκριμένη θέση, οι οργανισμοί θα πρέπει να ορίσουν ένα μέλος του προσωπικού ή έναν εξωτερικό σύμβουλο.

Αν δραστηριοποιείστε στον εμπορικό κλάδο και διαθέτετε μια μεγάλη βάση δεδομένων καταναλωτών, κατά πάσα πιθανότητα θα χρειαστεί να διορίσετε έναν υπεύθυνο προστασίας δεδομένων. Οι εθνικές αρχές προστασίας δεδομένων αναμένεται να παράσχουν σχετική καθοδήγηση σχετικά με το ποιος θα πρέπει να προβεί στη συγκεκριμένη διαδικασία.

Ο DPO θα είναι υπεύθυνος για την παρακολούθηση της συμμόρφωσης με τον GDPR, θα σας ενημερώνει για τις υποχρεώσεις σας, θα παράσχει συμβουλές σχετικά με το πότε και πώς θα πρέπει να διεξαχθεί αξιολόγηση των επιπτώσεων της διαχείρισης των προσωπικών δεδομένων και θα αποτελεί το άτομο στο οποίο θα απευθύνονται τόσο οι εθνικές αρχές προστασίας δεδομένων, όσο και οι ιδιώτες.

Η έννοια της υπηρεσίας μίας στάσης, επιτρέπει σε έναν οργανισμό που δραστηριοποιείται σε αρκετές χώρες της ΕΕ να συνδιαλλαγεί με μία μόνο εθνική αρχή προστασίας δεδομένων , αν και σε ορισμένες περιπτώσεις, οι κανόνες για τον προσδιορισμό του ποια αρχή θα πρέπει να αναλάβει αυτόν τον ρόλο, είναι αρκετά πολύπλοκες.

+Διεργασίες, διαδικασίες και πολιτικές

Ο GDPR επαναπροσδιορίζει την παραβίαση των δεδομένων ως “παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που διαβιβάζονται, αποθηκεύονται ή επεξεργάζονται με οποιονδήποτε τρόπο”.

Πρόκειται για ένα ευρύτερο ορισμό σε σχέση με το παρελθόν, ο οποίος δεν λαμβάνει υπόψη εάν η παράβαση προκαλεί οποιαδήποτε βλάβη στο άτομο. Εάν τα προσωπικά σας δεδομένα έχουν παραβιαστεί, θα πρέπει να ενημερώσετε την εθνική αρχή προστασίας δεδομένων αμέσως, ή το αργότερο 72 ώρες μετά την ανακάλυψη του συμβάντος.

Ωστόσο, εάν έχετε εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα, όπως για παράδειγμα την κρυπτογράφησή τους, απαλλάσσεστε από την υποχρέωση γνωστοποίησης.

Ένα σημαντικό μέρος της συμμόρφωσης με τον GDPR είναι εκ σχεδιασμού προστασία των δεδομένων προσωπικού χαρακτήρα. Aυτό σημαίνει ότι κάθε νέα διαδικασία ή προϊόν θα πρέπει να σχεδιάζεται λαμβάνοντας υπόψη τις απαιτήσεις προστασίας των προσωπικών δεδομένων. Αυτή η προσέγγιση, ενώ προηγουμένως αποτελούσε βέλτιστη πρακτική, πλέον είναι ρητή απαίτηση.

Η εκτίμηση των επιπτώσεων της προστασίας δεδομένων, επίσης γνωστή ως εκτίμηση των επιπτώσεων της ιδιωτικής ζωής (privacy impact assessment -PIA), έχει ως στόχο τον εντοπισμό και την ελαχιστοποίηση των κινδύνων μη συμμόρφωσης.

Το PIA στο πλαίσιο του GDPR καθίσταται επίσημη απαίτηση. Συγκεκριμένα, οι ελεγκτές πρέπει να διασφαλίσουν ότι έχει καθοριστεί ο παράγοντας PIA σε οποιαδήποτε δραστηριότητα επεξεργασίας “υψηλού κινδύνου”.

Εάν δραστηριοποιείστε διεθνώς, οι κανόνες και οι διαδικασίες για τη μεταφορά δεδομένων σε χώρες εκτός δικαιοδοσίας της ΕΕ θα αποτελέσουν έναν σημαντικό παράγοντα, καθώς οι κυρώσεις για τη μη συμμόρφωση ή τη μεταφορά των δεδομένων σε δικαιοδοσίες που δεν αναγνωρίζονται (από την Ευρωπαϊκή Επιτροπή) ως έχουσες επαρκή νομοθεσία για την προστασία δεδομένων θα είναι πολύ πιο αυστηρές κάτω από τον νέο Κανονισμό GDPR.

+Ευαισθητοποίηση της ασφάλειας των δεδομένων

Τώρα είναι η ώρα να ενημερώσετε τους υπαλλήλους σας σχετικά με την ανάγκη συμμόρφωσης με τον GDPR. Μπορείτε να ξεκινήσετε από τώρα να σχεδιάζετε την αναθεώρηση των διαδικασιών για την αντιμετώπιση των νέων διατάξεων περί διαφάνειας και ατομικών δικαιωμάτων του GDPR. Κάτι τέτοιο θα μπορούσε να έχει σημαντικές οικονομικές επιπτώσεις. Επίσης, θα επηρεάσει και το τμήμα ΙΤ σας, ενώ ενδεχομένως θα απαιτηθεί και εκπαίδευση του προσωπικού.

+Λογοδοσία - τεχνικά μέτρα

Ο GDPR καθιστά  τους αρμόδιους ελεγκτές υπεύθυνους για την απόδειξη της συμμόρφωσης με τις αρχές προστασίας δεδομένων. Έτσι, θα πρέπει να βεβαιωθείτε ότι έχετε υιοθετήσει σαφείς πολιτικές, οι οποίες σε περίπτωση ελέγχου να μπορεί να αποδειχθεί ότι πληρούν τα απαιτούμενα πρότυπα. Επιπλέον, θα πρέπει να έχετε διασφαλίσει ότι το προσωπικό σας είναι εκπαιδευμένο και κατανοεί τις υποχρεώσεις του και μάλιστα να είναι έτοιμο να το αποδείξει ανά πάσα στιγμή, όταν απαιτηθεί κάτι τέτοιο από την εθνική αρχή προστασίας δεδομένων.

+Παραβίαση των δεδομένων - τεχνικά μέτρα

Θα πρέπει να προετοιμαστείτε κατάλληλα για την πιθανότητα παραβίασης της ασφάλειας των δεδομένων (που ορίζεται ως “παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που διαβιβάζονται, αποθηκεύονται ή επεξεργάζονται με οποιονδήποτε τρόπο”) θέτοντας σαφείς πολιτικές και δοκιμασμένες διαδικασίες, έτσι ώστε να διασφαλιστεί ότι θα μπορείτε να αντιδράσετε και να γνωστοποιήσετε κάθε παραβίαση δεδομένων, όπου απαιτείται.

Κυρώσεις ενδέχεται να επιφέρει τόσο η αποτυχία της αναφοράς παράβασης προσωπικών δεδομένων, όσο και η ίδια η παράβαση.

+Διασφάλιση των δικαιωμάτων των δεδομένων υποκειμένου - τεχνικά ζητήματα

Ο GDPR ενισχύει τα δικαιώματα που έχουν τα υποκείμενα των οποίων τα προσωπικά δεδομένα διαχειρίζεστε , Για παράδειγμα προσθέτει το δικαίωμα σε κάποιον να ζητήσει πληροφορίες σχετικά με τα δεδομένα που υποβάλλονται σε επεξεργασία, την πρόσβαση στα δεδομένα σε ορισμένες περιπτώσεις, καθώς και τη διόρθωση των λανθασμένων δεδομένων.

Ένας από τους κύριους στόχους του GDPR είναι να ενισχύσει τα δικαιώματα των ατόμων. Ως εκ τούτου, οι κανόνες για την αντιμετώπιση των αιτήσεων σχετικά με την πρόσβαση στα προσωπικά δεδομένα θα μεταβληθούν. Επομένως, θα πρέπει να ενημερώσετε τις δικές σας διαδικασίες ανάλογα.

Στις περισσότερες περιπτώσεις δεν θα χρειαστεί να χρεώσετε για τη συμμόρφωση με το αίτημα και σε κανονικές συνθήκες θα έχετε στη διάθεσή σας έναν μόνο ένα μήνα για να συμμορφωθείτε, αντί των 30 ημερών που ισχύει τώρα.

Το δικαίωμα στη λήθη («διαγραφή» στην ορολογία του GDPR) επιτρέπει σε ιδιώτες να απαιτούν τη διαγραφή των προσωπικών τους δεδομένων από τους υπευθύνους επεξεργασίας χωρίς καθυστέρηση σε ορισμένες περιπτώσεις, όπως για παράδειγμα όταν υπάρχει πρόβλημα με τη νομιμότητα της επεξεργασίας των δεδομένων, ή όταν το υποκείμενο αποσύρει τη συγκατάθεσή του.

Τα τρίτα μέρη με τους οποίους μοιράζονται τα προσωπικά δεδομένα, καλύπτονται επίσης από τους συγκεκριμένους κανόνες.

Ο GDPR ορίζει την έννοια του προφίλ ως “κάθε μορφή αυτοματοποιημένης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνει τη χρήση των προσωπικών δεδομένων για την αξιολόγηση ορισμένων πτυχών της προσωπικότητάς σε ένα φυσικό πρόσωπο, ιδίως για την ανάλυση ή την πρόβλεψη στοιχείων που αφορούν στην απόδοση του φυσικού προσώπου στην εργασία, την οικονομική κατάσταση , την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή την κίνηση”;. Ωστόσο, παρατηρείται κάποια ασάφεια σχετικά με το πως θα διασφαλιστεί το δικαίωμα των υποκειμένων να μην υπόκειται σε αποφάσεις που βασίζονται σε προσωπικά προφίλ.

Ο GDPR εισάγει ένα νέο δικαίωμα στη φορητότητα των δεδομένων, το οποίο υπερβαίνει το δικαίωμα στην απαίτηση της παροχής των προσωπικών δεδομένων τους σε μια ευρέως χρησιμοποιούμενη ηλεκτρονική μορφή. Συγκεκριμένα, απαιτείται από τον ελεγκτή να παρέχει τις σχετικές πληροφορίες σε μια δομημένη, κοινή και αναγνώσιμη από μηχανή μορφή.

Ωστόσο, υπάρχουν κάποια όρια σε αυτόν τον κανόνα. Για παράδειγμα, ισχύει μόνο για τα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία με αυτοματοποιημένα μέσα.

Στο πλαίσιο του στόχου της να ενισχύσει τα δικαιώματα των ιδιωτών, η Ευρωπαϊκή Επιτροπή παραχωρεί το δικαίωμα περιορισμών συγκεκριμένων διεργασιών, όπως επίσης και το δικαίωμα αντίρρησης στην υποβολή των δεδομένων προσωπικού χαρακτήρα σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης.

Μόλις ένα άτομο αρνηθεί, τα στοιχεία του δεν θα πρέπει να υποβάλλονται σε επεξεργασία για άμεση εμπορική προώθηση περαιτέρω και τα στοιχεία επικοινωνίας του ατόμου θα πρέπει να προστεθούν σε ένα τοπικό προς διαγραφή αρχείο.

Οι οργανισμοί πρέπει να ενημερώνουν τον κόσμο σχετικά με το δικαίωμα να αρνηθούν την επεξεργασία των δεδομένων τους με τρόπο που να είναι σαφές και ξεχωριστό από άλλα στοιχεία τα οποία πρέπει επίσης να παρέχουν σε αυτούς.

+Σχετικά με την επικοινωνία των δεδομένων προσωπικού χαρακτήρα (συναινέσεις, ανακοινώσεις θεμιτή επεξεργασία)

Μπορεί να χρειαστεί να αναθεωρήσετε τον τρόπο με τον οποίο αναζητάτε, λαμβάνετε και καταγράφετε τη συγκατάθεση των ατόμων. Η συγκατάθεση του υποκειμένου των δεδομένων για την επεξεργασία των προσωπικών του δεδομένων πρέπει να είναι το ίδιο εύκολη να την αποσύρει, όσο το να την δώσει. Επιπλέον, η συγκατάθεση θα πρέπει να προέρχεται από μια θετική ένδειξη συμφωνίας για τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και δεν μπορεί να συναχθεί από τη σιωπή του υποκειμένου, την αδράνειά του ή από προσημειωμένα πλαίσια ελέγχου..

Στο πλαίσιο του στόχου της να ενισχύσει τα δικαιώματα των ιδιωτών, η Ευρωπαϊκή Επιτροπή παραχωρεί το δικαίωμα περιορισμών συγκεκριμένων διεργασιών, όπως επίσης και το δικαίωμα αντίρρησης στην υποβολή των δεδομένων προσωπικού χαρακτήρα σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης.

Μόλις ένα άτομο αρνηθεί, τα στοιχεία του δεν θα πρέπει να υποβάλλονται σε επεξεργασία για άμεση εμπορική προώθηση περαιτέρω και τα στοιχεία επικοινωνίας του ατόμου θα πρέπει να προστεθούν σε ένα τοπικό προς διαγραφή αρχείο. Οι οργανισμοί πρέπει να ενημερώνουν τον κόσμο σχετικά με το δικαίωμα να αρνηθούν την επεξεργασία των δεδομένων τους με τρόπο που να είναι σαφές και ξεχωριστό από άλλα στοιχεία τα οποία πρέπει επίσης να παρέχουν σε αυτούς.

Ο GDPR, πιθανώς θα αυξήσει το εύρος των στοιχείων που θα πρέπει να δηλώσετε προς τα υποκείμενα των δεδομένων , όπως για παράδειγμα τη νομική σας βάση για την επεξεργασία των δεδομένων τους, τις περιόδους διατήρησης των δεδομένων και το δικαίωμά τους να διαμαρτυρηθούν στην εθνική αρχή προστασίας δεδομένων, εάν θεωρούν ότι υπάρχει κάποιο πρόβλημα με το τρόπο που χειρίζονται τα δεδομένα τους. Σημειώστε ότι ο GDPR απαιτεί αυτές πληροφορίες να παρέχονται σε συνοπτική και σαφή γλώσσα.

+Ασφάλεια των δεδομένων (ακεραιότητα και εμπιστευτικότητα)

Ο GDPR καθορίζει κανόνες ασφάλειας των δεδομένων παρόμοιους με εκείνους της ισχύουσας οδηγίας, στους οποίους συμπεριλαμβάνονται: η δικαιοσύνη, η νομιμότητα και η διαφάνεια, o περιορισμός του σκοπού, η ελαχιστοποίηση και η ποιότητα των δεδομένων, η ασφάλεια, η ακεραιότητα και η εμπιστευτικότητα.

Θα πρέπει να διασφαλιστεί ότι τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που να κατοχυρώνει την ασφάλειά τους, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά: «Ο οργανισμός και οποιοσδήποτε τρίτος πάροχος υπηρεσιών θα πρέπει να εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, για να εξασφαλιστεί επίπεδο ασφάλειας ανάλογο προς τον κίνδυνο».

Ο κανονισμός προτείνει μια σειρά από μέτρα ασφαλείας τα οποία μπορούν να χρησιμοποιηθούν για την επίτευξη της προστασίας των δεδομένων, συμπεριλαμβανομένων των: ψευδή ταυτότητα και κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα, η δυνατότητα να εξασφαλιστεί η συνεχής εμπιστευτικότητα, η ακεραιότητα, η διαθεσιμότητα και η ανθεκτικότητα των συστημάτων και των υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η δυνατότητα αποκατάστασης της διαθεσιμότητας και η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού περιστατικού και η διαδικασία για την τακτική δοκιμή, την αξιολόγηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Ο GDPR καθορίζει την κρυπτογράφηση ως μια προσέγγιση που μπορεί να βοηθήσει να εξασφαλιστεί η συμμόρφωση με κάποιες από τις υποχρεώσεις του. Παραθέτουμε ένα απόσπασμα από τον κανονισμό:

Άρθρο 32 – Ασφάλεια της επεξεργασίας

“1. Λαμβάνοντας υπόψη την εξέλιξη της τεχνολογίας, το κόστος εφαρμογής και τη φύση, το πεδίο, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τις ποικίλες πιθανότητες της σοβαρότητας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων, ο ελεγκτής και αυτός που επεξεργάζεται τα δεδομένα θα πρέπει να υιοθετήσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να εξασφαλίσει επίπεδο ασφάλειας ανάλογο προς τον κίνδυνο, συμπεριλαμβανομένων, μεταξύ άλλων, ανάλογα με την περίπτωση: (α) η χρήση ψευδωνύμου και την κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα […] »

Article 34 – Ανακοίνωση της παραβίασης προσωπικών δεδομένων στο υποκείμενο των δεδομένων

«3. Η επικοινωνία με το υποκείμενο των δεδομένων που αναφέρονται στην παράγραφο 1 δεν απαιτείται εάν ισχύει οποιαδήποτε από τις ακόλουθες προϋποθέσεις: (α) O ελεγκτής έχει εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας και ότι τα μέτρα αυτά εφαρμόσθηκαν για τα προσωπικά δεδομένα που θίγονται από την προσωπική παραβίαση των δεδομένων, ιδίως εκείνων που καθιστούν τα προσωπικά δεδομένα ακατανόητα σε οποιοδήποτε πρόσωπο που δεν είναι εξουσιοδοτημένοι, όπως η κρυπτογράφηση […] »

+Τεκμηρίωση δεδομένων, νομική βάση και έλεγχος

Θα πρέπει να τεκμηριώσετε τι προσωπικά δεδομένα κατέχετε, από πού προήλθαν και με ποιους τα μοιράζεστε.

Εάν έχετε ανακριβή δεδομένα προσωπικού χαρακτήρα και τα έχετε μοιραστεί με κάποιον άλλον οργανισμό ο GDPR απαιτεί να του επισημάνετε την ανακρίβεια, έτσι ώστε να μπορεί να διορθώσει τα δικά του αρχεία. Για να το κάνετε αυτό μπορεί να απαιτηθεί έλεγχος των πληροφοριών σε ολόκληρη την επιχείρησή σας ή σε συγκεκριμένες επιχειρηματικές περιοχές. Αυτό θα σας βοηθήσει επίσης να συμμορφωθείτε με την αρχή της λογοδοσίας του GDPR.

Σύμφωνα με τον GDPR θα πρέπει να εξετάσετε πώς πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα και να προσδιορίσετε τη νομική βάση επί της οποίας θα πραγματοποιήσετε και θα τεκμηριώσετε αυτές τις διαδικασίες.

Αυτό είναι απαραίτητο διότι τα δικαιώματα κάποιων ατόμων θα τροποποιηθούν από τον GDPR ανάλογα με τη νομική βάση για την επεξεργασία των προσωπικών τους δεδομένων. Για παράδειγμα οι άνθρωποι θα έχουν ισχυρότερο δικαίωμα σε ότι αφορά τη διαγραφή των δεδομένων τους σε όποιες περιπτώσεις χρησιμοποιήσετε τη συγκατάθεση ως νομική βάση για την επεξεργασία. Ωστόσο, η συναίνεση είναι μόνο μία από μια σειρά διαφορετικών τρόπων νομιμοποίηση της δραστηριότητας επεξεργασίας και μπορεί να μην είναι η καλύτερη (καθώς μπορεί να ανακληθεί).

Οι πληροφορίες που παρέχονται σε αυτήν τη σελίδα δεν συνιστούν νομική γνωμοδότηση, και οι χρήστες δεν θα πρέπει να βασίζονται στην ακρίβειά της κατά τη λήψη οικονομικών και επιχειρηματικών αποφάσεων. Η ESET δεν μπορεί να καταστεί υπεύθυνη για τα αποτελέσματα που προκύπτουν από τέτοιες ενέργειες. Σε κάθε περίπτωση επιδιώξτε ανεξάρτητη νομική συμβουλή.

Join our GDPR webinar

Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.

Σχεδόν το 80% των εταιριών δεν είναι έτοιμες για τον GDPR

Μια νέα έρευνα που διεξήχθη από την ανεξάρτητη εταιρεία αναλύσεων IDC διαπίστωσε ότι οι περισσότερες ευρωπαϊκές μικρομεσαίες επιχειρήσεις είναι ανέτοιμες για τον GDPR. Η IDC διερεύνησε επαγγελματίες πληροφορικής σε περισσότερες από 700 επιχειρήσεις. Αυτό που διαπίστωσε είναι ότι η κατανόηση του νέου κανονισμού παραμένει χαμηλή.

Για περισσότερες πληροφορίες – και για να μάθετε περισσότερα πράγματα για τον GDPR – κατεβάστε την ολοκληρωμένη έκθεση της IDC. Μια ευγενική χορηγία της ESET:

Κατανόηση της επίπτωσης του GDPR

25% καθόλου | 52% περιορισμένη | 22% πλήρης

Χρησιμοποιούμε cookies για να διασφαλίσουμε ότι λαμβάνετε την καλύτερη εμπειρία στο website μας. Περισσότερα.

OK