Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR)


English Version of the GDPR Comliance

Τι είναι ο Γενικός Κανονισμός;
Ο Γενικός Κανονισμός (General Data Protection Regulation, GDPR) είναι ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων. Αντικαθιστά τις τοπικές εθνικές νομοθεσίες (οδηγίες) σχετικά με τα προσωπικά δεδομένα (π.χ. στο Ηνωμένο Βασίλειο το "νόμο περί προστασίας δεδομένων"). Τίθεται σε ισχύ στις 25 Μαΐου 2018.

Ποιος υπόκειται στον Γενικό Κανονισμό;
Οργανισμοί που συλλέγουν και επεξεργάζονται προσωπικά δεδομένα των υποκειμένων εντός της ΕΕ - ανεξαρτήτως του όγκου των δεδομένων. Ο Γενικός Κανονισμός δεν ισχύει μόνο για οργανισμούς με έδρα εντός της ΕΕ. Έχει διευρυμένο πεδίο εφαρμογής και εφαρμόζεται στους εκτελούντες την επεξεργασία δεδομένων καθώς και στους υπεύθυνους επεξεργασίας δεδομένων.

Ποιες είναι οι κυρώσεις;
Οι κυρώσεις ανέρχονται μέχρι του ποσού των 20.000.000 ευρώ ή του 4% του παγκόσμιου ετήσιου κύκλου εργασιών (τζίρου) ενός οργανισμού, ανάλογα με το ποιο είναι υψηλότερο (γεγονός που διασφαλίζει πλέον την προσοχή των νομίμων εκπροσώπων π.χ. του Διοικητικού Συμβουλίου του εκάστοτε οργανισμού). Τα υποκείμενα των δεδομένων μπορούν να διεκδικήσουν αποζημίωση για ζημιές που υπέστησαν λόγω παραβίασης του Γενικού Κανονισμού από έναν οργανισμό.

Βασικά σημεία στα οποία η CareerBuilder εστιάζει για τις 25 Μαΐου 2018

  • Ειδοποίηση παραβίασης: Αναφορά παραβίασης του απορρήτου στη ρυθμιστική αρχή της ΕΕ εντός 72 ωρών και ενδεχομένως στο υποκείμενο των δεδομένων (με ορισμένες εξαιρέσεις). Θα επιτευχθεί ο στόχος να υπάρξει διαδικασία συμμόρφωσης μέχρι τις 25 Μαΐου 2018.
  • Κίνδυνος προμηθευτή: Αξιολόγηση των συμβάσεων προμηθευτών και έλεγχοι για την επάρκεια για την προστασία του υποκειμένου των δεδομένων. Ένα επίσημο πρόγραμμα κινδύνου προμηθευτών βρίσκεται υπό ανάπτυξη. Οι βασικοί προμηθευτές (Key Vendors) έχουν εντοπιστεί και πρόσθετες πράξεις για την επεξεργασία δεδομένων (Data Processing Addenda) εκδίδονται στους προμηθευτές.
  • Συγκατάθεση: Σε περίπτωση που η συγκατάθεση αποτελεί τη νομική βάση για την επεξεργασία των δεδομένων, είναι απαραίτητο να ληφθεί ρητή συγκατάθεση. Στις λίγες περιπτώσεις που στηριζόμαστε στη συγκατάθεση ως τη νομική μας βάση για την επεξεργασία, έχουμε κάνει τη συγκατάθεση ρητή και σαφή.
  • Προστασία δεδομένων κατά το σχεδιασμό (by design) και εξ ορισμού (by default): Ενημέρωση των υφιστάμενων διαδικασιών SDLC και των διαδικασιών και πολιτικών του συστήματος για την ενσωμάτωση της προστασίας των προσωπικών δεδομένων και της ασφάλειας σε κανονικές διαδικασίες. Θα επιτευχθεί ο στόχος να τεθούν τα παραπάνω σε εφαρμογή έως τις 25 Μαΐου 2018. Οι διαδικασίες SDLC επικαιροποιούνται ώστε να περιλαμβάνουν την προστασία των προσωπικών δεδομένων και την ασφάλεια σε όλες τις διαδικασίες ανάπτυξης συστημάτων και εφαρμογών.
  • Υπεύθυνος Προστασίας Δεδομένων (DPO): Επειδή η CareerBuilder δεν διεξάγει τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ούτε επεξεργάζεται Ειδικές κατηγορίες προσωπικών δεδομένων, έχουμε καθορίσει ότι δεν είναι υποχρεωτικός ο διορισμός DPO αυτή τη στιγμή. Καθώς όμως η επιχείρησή μας συνεχίζει να εξελίσσεται, θα συνεχίσουμε να αξιολογούμε την ανάγκη διορισμού DPO; Αν λοιπόν αποφασίσουμε ότι απαιτείται ο διορισμός του, θα προβούμε σε αυτόν τη χρονική στιγμή εκείνη.
  • Ασφάλεια δεδομένων: Απαιτήσεις για ασφαλή συστήματα και δεδομένα με προγράμματα ασφαλείας βέλτιστων πρακτικών. Θα επιτευχθεί ο στόχος να τεθούν σε εφαρμογή τα παραπάνω μέχρι τις 25 Μαΐου 2018. Αξιολόγηση των σχετικών ελέγχων ασφαλείας που διεξάγονται στο πλαίσιο του Γενικού Κανονισμού.
  • Δικαιώματα Υποκειμένων Προσωπικών Δεδομένων: Αναπτύσσεται η δυνατότητα αποδοχής αιτημάτων που ασκούν τα δικαιώματα πρόσβασης, διόρθωσης, διαγραφής και φορητότητας προσωπικών δεδομένων, καθώς και αιτήματα περιορισμού ή εναντίωσης της επεξεργασίας προσωπικών δεδομένων και εναντίωσης σε οποιαδήποτε απόφαση που βασίζεται αποκλειστικά στην αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων. Η πύλη (portal) για αποδοχή αιτημάτων θα τεθεί σε εφαρμογή μέχρι τις 25 Μαΐου 2018. Βρίσκεται υπό ανάπτυξη μια βραχυπρόθεσμη διαδικασία για την (μη αυτόματη) ανταπόκριση σε αιτήματα. Παράλληλα πραγματοποιούνται προσπάθειες για την ανάπτυξη μακροπρόθεσμων αυτοματοποιημένων διαδικασιών.
  • Νομική βάση για την επεξεργασία: Η Νομική βάση για όλες τις δραστηριότητες επεξεργασίας τεκμηριώνεται. Η βάση για τις βασικές μας δραστηριότητες επεξεργασίας έχει προσδιοριστεί και οι υπόλοιπες δραστηριότητες επεξεργασίας αξιολογούνται για τον προσδιορισμό της κατάλληλης νομικής βάσης. Θα επιτευχθεί ο στόχος να ολοκληρωθούν έως τις 25 Μαΐου 2018 όλες οι αποφάσεις και η απαραίτητη τεκμηρίωση.
  • Αρχεία Δραστηριότητας Επεξεργασίας: Όλες οι λεπτομέρειες των δραστηριοτήτων επεξεργασίας τεκμηριώνονται. Η ημερομηνία-στόχος που πρέπει αυτό να έχει ολοκληρωθεί είναι η 25η Μαΐου 2018.

Η εταιρεία Protiviti παρέχει εξειδικευμένες υπηρεσίες για τον Γενικό Κανονισμό. Έχει προβεί σε εντοπισμό των δεδομένων, καταγραφή δεδομένων και απογραφές δεδομένων καθώς και τα Αρχεία των Δραστηριοτήτων Επεξεργασίας. Επιπλέον, εκτελεί μια Αξιολόγηση Ετοιμότητας του Γενικού Κανονισμού για να καθορίσει τα κενά της CareerBuilder για την επίτευξη συμμόρφωσης. Τέλος, η Protiviti παρέχει πολύτιμη καθοδήγηση και συμβουλές καθώς η CareerBuilder συνεχίζει τις προσπάθειες για συμμόρφωση με τον Γενικό Κανονισμό.

Η Protiviti είναι μια παγκόσμια εταιρεία συμβούλων που προσφέρει βαθιά τεχνογνωσία, αντικειμενικές γνώσεις, προσαρμοσμένη προσέγγιση και απαράμιλλη συνεργασία με σκοπό να βοηθήσει τους ηγέτες να αντιμετωπίσουν με αυτοπεποίθηση το μέλλον. Οι λύσεις διαβούλευσης καλύπτουν κρίσιμα επιχειρησιακά προβλήματα στην τεχνολογία, τις επιχειρηματικές διαδικασίες, την ανάλυση, τον κίνδυνο, τη συμμόρφωση, τις συναλλαγές και τον εσωτερικό έλεγχο.

ΜΦΧ,

Anthony Dupree

Anthony Dupree
Chief Information & Security Officer


Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR)

Leave a Reply