GDPR Consulting

GDPR-General Data Protection Regulation

Γενικός Κανονισμός Πρoστασίας Προσωπικών Δεδομένων

Τι είναι ο GDPR-Γενικός Κανονισμός Πρoστασίας Προσωπικών Δεδομένων ?

Στις 27 Απριλίου 2016 ψηφίσθηκε από το Ευρωπαϊκό Κοινόβουλιο ο Κανονισμός 679/2016 ή Γενικός Κανονισμός Πρoστασίας Προσωπικών Δεδομένων (General Data Protection Regulation).

Ο Κανονισμός τέθηκε σε ισχύ στις 5 Μαίου 2016 με μεταβατική περίοδο 2 ετών και θα εφαρμοσθεί άμεσα, ως νομοθέτημα άμεσης εφαρμογής (όχι Οδηγία) σε όλες τις χώρες μέλη της Ευρωπαικής Ενωσης στις 25 Μαίου 2018.

Ο Κανονισμός ρυθμίζει τα δικαιώματα των φυσικών προσώπων σχετικά με:

1.Τα προσωπικά τους δεδομένα

2.Την επεξεργασία των προσωπικών τους δεδομένων

3.Την ελεύθερη και ανεμπόδιστη κυκλοφορία και μεταβίβαση των προσωπικών τους δεδομένων εντός των ορίων της Ευρωπαϊκής Ένωσης

4.Τις διαδικασίες μεταφοράς προσωπικών δεδομένων εκτός Ευρωπαϊκής Ένωσης

GDPR HMER

Ποιους αφορά

Αφορά όλους τους οργανισμούς & εταιρίες («υπεύθυνους επεξεργασίας» & «εκτελούντες την επεξεργασία») ανεξάρτητα από το γεωγραφικό τόπο δηλ. εντός και εκτός της Ευρωπαϊκής Ένωσης, εφόσον η επεξεργασία αφορά προσωπικά δεδομένα Ευρωπαίων Πολιτών.

Στην πράξη αφορά εταιρίες σε όλους τους κλάδους καθώς και οργανισμούς & εταιρίες του Δημοσίου.

Όλες οι εταιρίες & οργανισμοί θα πρέπει να είναι συμμορφωμένες μέχρι την 25η Μαΐου 2018.

Με το νέο κανονισμό εισάγεται η αρχή της «Λογοδοσίας» θέτοντας τις ευθύνες των εταιριών και την υποχρέωση τους για την εφαρμογή μεθοδολογιών όπως το Privacy Impact Assessment (PIA), το Privacy by Design, το Privacy by Default και η εφαρμογή κατάλληλων οργανωτικών & τεχνικών μέτρων για τη διασφάλιση των προσωπικών δεδομένων.

GDPR PERSONAL

Τι είναι προσωπικά δεδομένα ?

Προσωπικά δεδομένα θεωρούνται:

στοιχεία αναγνώρισης (ΑΦΜ, ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κλπ.)
φυσικά χαρακτηριστικά, εκπαίδευση, εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κλπ)
οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά)
ενδιαφέροντα, Δραστηριότητες, Συνήθειες
IP Address, e-mail, internet cookies
GPS location
τα ιατρικά, τα θρησκευτικά, τα πολιτικά, οι ερωτικές προτιμήσεις, η συνδικαλιστική δραστηριότητα, κ.ά, θεωρούνται ευαίσθητα προσωπικά δεδομένα, οι ερωτικές προτιμήσεις, η συνδικαλιστική δραστηριότητα, κ.ά, θεωρούνται ευαίσθητα προσωπικά δεδομένα

Τι είναι Παραβίαση Προσωπικών Δεδομένων ?

Οποιαδήποτε παραβίαση η οποία οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή επιτρέπει αθέμιτη πρόσβαση σε προσωπικά δεδομένα τρίτου.

Ορισμοί

Το άτομο (φυσικό πρόσωπο) στο οποίο αναφέρονται τα δεδομένα ονομάζεται υποκείμενο των δεδομένων
Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα που τηρεί και επεξεργάζεται προσωπικά δεδομένα ονομάζεται υπεύθυνος επεξεργασίας
Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα που επεξεργάζεται δεδομένα για λογαριασμό κάποιου υπεύθυνου επεξεργασίας ονομάζεται εκτελών την επεξεργασία
Ο εκτελών την επεξεργασία υποχρεούται να αναφέρει την παραβίαση προσωπικών δεδομένων στην αρμόδια Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εντός 72 ωρών από τότε που έλαβε γνώση της παραβίασης
Ο υπεύθυνος επεξεργασίας υποχρεούται να αναφέρει την παραβίαση προσωπικών δεδομένων στην αρμόδια Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εντός 72 ωρών από τότε που έλαβε γνώση της παραβίασης

GDPR 87logo

Σε περίπτωση παραβίασης / απώλειας δεδομένων τότε πιθανόν να προκύψουν οι παρακάτω κίνδυνοι :

Πιθανή Απώλεια Πελατών & Επιδείνωση του Δείκτη Ικανοποίησης Πελατών
Μεγάλο πλήγμα στη φήμη και το όνομα της εταιρίας
Προβλήματα με την πιστοληπτική αξιολόγηση (Credit Rating)
Αδυναμία πρόσβασης σε σημαντικά & κρίσιμα δεδομένα
Προσωρινή αδυναμία εκτέλεσης συναλλαγών
Αύξηση ασφαλιστηρίων από τις ασφαλιστικές εταιρίες
Πρόστιμα & αποζημιώσεις

Ποια είναι τα Πρόστιμα Περιστατικών Παραβίασης Προσωπικών Δεδομένων ?

Τα Διοικητικά Πρόστιμα που προβλέπονται, θα επιβάλλονται σε κάθε περίπτωση αναλογικά και λαμβάνοντας υπόψη τα οργανωτικά και τεχνικά μέτρα που έχει λάβει κατά περίπτωση η εταιρία

1. 10.000.000 € ή έως 2% του τζίρου που πραγματοποίησε το προηγούμενο οικονομικό έτος και όποιο εξ αυτών είναι το υψηλότερο

2. 20.000.000 € ή έως το 4% του παγκόσμιου τζίρου του προηγούμενου οικονομικού έτους εφόσον πρόκειται για επιχείρηση με διεθνή παρουσία - όποιο εξ αυτών είναι υψηλότερο

GDPR KYKLOI

Ποιος είναι υπεύθυνος μέσα στην εταιρία για την εφαρμογή του Κανονισμού ?

Ένας νέος ρόλος προσδιορίζεται, αυτός του Υπεύθυνου Προστασίας Δεδομένων – Data Protection Officer (DPO).

Ο Data Protection Officer αναλαμβάνει:

Να εκπροσωπήσει την Εταιρία έναντι των Αρχών, Εθνικών και Ευρωπαϊκών
Να διασφαλίσει την εναρμόνιση της λειτουργίας της επιχείρησης σε ότι αφορά τις πολιτικές πρακτικές και μεθοδολογία επεξεργασίας, αποθήκευσης και μεταφοράς Δεδομένων Προσωπικού Χαρακτήρα με το νέο αυστηρό νομοθετικό πλαίσιο
Να προστατέψει την επιχείρηση από τους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμων που προβλέπει ο Κανονισμός
Μια εταιρία μπορεί να ορίσει σαν DPO ένα στέλεχός της, αλλά έχει και τη δυνατότητα να συνεργαστεί με άλλη εξειδικευμένη εταιρία (outsource) που θα της παρέχει τις υπηρεσίες του DPO

GDPR DOMIKES

Το GDPR επηρεάζει όλες τις λειτουργίες της επιχείρησης

GDPR puzzle

Ο Νέος Γενικός Κανονισμός απαιτεί από τις εταιρίες:

• να ενσωματώσουν στις διαδικασίες τους, τα δικαιώματα των υποκειμένων των δεδομένων

• να έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer)

• να έχουν τα κατάλληλα μέτρα ασφαλείας και τις αναγκαίες πολιτικές για την προστασία των πληροφοριών

• να έχουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα που θα διασφαλίζουν τη διαθεσιμότητα της Πληροφορίας (Σχέδιο Επιχειρησιακής Συνέχειας)

• να κάνουν αναλύσεις των επιπτώσεων που μπορούν να προκύψουν λόγω παραβίασης ιδιωτικότητας (Privacy Impact Assessment)

• να σχεδιάζουν προϊόντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας (Privacy by Design, Privacy by Default)

• να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων

• να έχουν εκπαιδεύσει κατάλληλα το προσωπικό τους

• να έχουν σχέδιο αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων (Incident Response Plan)

GDPR EPIXEIRHSEIS

GDPR flow

Επιλέξτε μια ολοκληρωμένη λύση που ταιριάζει στις ανάγκες σας

GDPR Risk Self evaluation*

Αυτοαξιολόγηση μέσω ερωτηματολογίου, των υπαρχόντων μέτρων της επιχείρησης και αν αυτά εξασφαλίζουν την πλήρη συμμόρφωση προς τον νέο κανονισμό

GDPR Data Flow Mapping

Καταγραφή Ροής Δεδομένων, ακτινογραφία των υφιστάμενων μηχανισμών και μέτρων της επιχείρησης , καταγραφή των διαδικασιών συλλογής δεδομένων (Policies Mapping) και των διαδικασιών τήρησης δεδομένων (Filing Mapping)

GDPR Assessment

Αξιολόγηση , Ανάλυση Ελλείψεων (Gap Analysis) και λήψη των κατάλληλων μέτρων ασφάλειας για την προστασία των δεδομένων προσωπικού χαρακτήρα. Σχεδιασμός και υλοποίηση των αναγκαίων πολιτικών

GDPR Implementation

Σχεδιασμός και υλοποίηση των αναγκαίων πολιτικών. Δημιουργία ολοκληρωμένου σχεδίου για την αντιμετώπιση περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα (Incident Response Plan). Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων (Privacy Impact Assessment - PIA)

GDPR Ready

Πλήρης ανάληψη του έργου των τεχνικών και δομικών αλλαγών της εταιρίας σας σύμφωνα με τις απαιτήσεις του νέου κανονισμού GDPR

GDPR Ready

Για το φυλλάδιο General Data Protection Regulation πατήστε εδώ

*Συμπληρώστε εντελώς δωρεάν το ερωτηματολόγιο του GDPR Risk Self evaluation για να σας στείλουμε (χωρίς καμία υποχρέωση από πλευράς σας) οικονομική πρόταση για τη μελέτη ενεργειών συμμόρφωσης με τον GDPR κανονισμό

Κατεβάστε τον κανονισμό ΕΔΩ