Το G.D.P.R. είναι ο ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της
27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας
των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των
δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την
Προστασία Δεδομένων).

Ο κανονισμός πραγματεύεται την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και της ελεύθερης κυκλοφορίας τους. Ο κανονισμός εκδόθηκε στις 27/4/2016 και θα εφαρμοστεί άμεσα σε όλους τους οργανισμούς και επιχειρήσεις των κρατών μελών στις 25/5/2018. Ισχύει δε αυτόματα και δεν απαιτείται ενσωμάτωση στο εθνικό δίκαιο.
Όλες τις ιδιωτικές και δημόσιες επιχειρήσεις, καθώς και τις κρατικές αρχές που με οποιοδήποτε τρόπο Επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πολιτών της ΕΕ ή νομίμως κατοικούντων στην ΕΕ.

• Σαφή κατανομή ρόλων, αρμοδιότητων και ευθυνών του ανθρώπινου δυναμικού για την
επεξεργασία των προσωπικών δεδομένων
• Πολιτικές & διαδικασίες προστασίας προσωπικών δεδομένων
• Εκπαιδεύσει κατάλληλα το ανθρώπινο δυναμικό τους επί των πολιτικών και των
διαδικασιών
• Λάβει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για να διασφαλίσουν το απόρρητο των
δεδομένων προσωπικού χαρακτήρα
• Πλάνα Data Recovery & Business Continuity, τα οποία μπορούν να εξασφαλίσουν τη
διαθεσιμότητα της πληροφορίας
• Πλάνο Αντιμετώπισης Περιστατικών Ασφάλειας & Παραβίασης προσωπικών δεδομένων
(Incident Response Plan & Data Breach Response Plan), το οποίο θα επιτρέπει την
οργανωμένη και συστηματική αντιμετώπιση οποιουδήποτε περιστατικού
• Ορίσει Data Protection Officer (DPO), όταν αυτό χρειάζεται.

Σε περίπτωση παράβασης προβλέπονται σημαντικά αυξημένα πρόστιμα, που ανάλογα με το είδος και το μέγεθος της, φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών.

  1. Να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ’ αυτών είναι απαραίτητα, να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν, να τα αποθηκεύουν για το ελάχιστο χρονικό διάστημα που απαιτείται, να λαμβάνουν κατά περίπτωση την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων.
  2. Να τα μεταφέρουν σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις.
  3. Να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με τον ΰϋΡΡ.
  4. Να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα για:
    1. Ανάκληση της συγκατάθεσης
    2. Πρόσβαση στα δεδομένα
    3. Διόρθωση των δεδομένων ή διαγραφή των δεδομένων
    4. Περιορισμό της επεξεργασίας
    5. Παράδοση των δεδομένων σε ηλεκτρονική μορφή
    6. Μεταφορά των δεδομένων σε άλλο φορέα Να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους.
  5. Να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους.
  6. Να τηρούν σε αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση.
  7. Να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.



Για να ικανοποιήσουν όλα τα ανωτέρω οι επιχειρήσεις οφείλουν:

Να λαμβάνουν τα απαιτούμενα τεχνικά και οργανωτικά μέτρα που περιλαμβάνονται σε διεθνή πρότυπα, σε κώδικες δεοντολογίας και σε συστάσεις αρμοδίων κοινοτικών και εθνικών οργάνων.

Να δημιουργήσουν και να επικαιροποιούν το μητρώο επεξεργασίας, όπου θα απεικονίζουν τη ροή, τους αποδέκτες και το είδος των προσωπικών δεδομένων που διαχειρίζονται.

Να διενεργούν μελέτη εκτίμησης των επιπτώσεων (Ρπνθογ Ιππρθ^ Α55θ55ΓΠθηΙ;), στην οποία θα αξιολογούν τους κινδύνους για τα προσωπικά δεδομένα που διαχειρίζονται και θα οδηγούνται στη λήψη των απαραίτητων μέτρων περιορισμού των κινδύνων.

Να αναπτύξουν πολιτικές και διαδικασίες προστασίας και ασφάλειας των προσωπικών δεδομένων Να ορίσουν Υπεύθυνο Προστασίας Δεδομένων (ΟβΕβ ΡγοΕθοΕιοπ ΟΡΡκθγ)

Να συμμορφώνονται με κώδικες δεοντολογίας ή να διαθέτουν πιστοποιήσεις που αποδεικνύουν τη συμμόρφωσή τους με τον Κανονισμό.

Αλλάζει η ονομασία τους, καθώς ονομάζονται πλέον προσωπικά δεδομένα ειδικής κατηγορίας και διευρύνεται ο ορισμός τους, καθώς συμπεριλαμβάνονται τα γενετικά και βιομετρικά δεδομένα. Για τους οργανισμούς που χειρίζονται προσωπικά δεδομένα ειδικής κατηγορίας προβλέπονται επιπλέον απαιτήσεις.

Ο Κώδικας Δεοντολογίας περιέχει κανόνες αυτοδέσμευσης επαγγελματικών ομάδων, που περιλαμβάνουν τον τρόπο χειρισμού προσωπικών δεδομένων. Ο κώδικας αυτός πρέπει να είναι δεσμευτικός ως προς την τήρησή του από τους υπαλλήλους σας ή τα μέλη της επαγγελματικής ομάδας στην οποία ανήκετε.

Η Πολιτική Ασφαλείας (Security Policy) είναι έγγραφο στο οποίο περιγράφονται οι στόχοι της ασφάλειας και οι αντίστοιχοι κανόνες/διαδικασίες που πρέπει να ακολουθούνται για την επίτευξη των στόχων αυτών. Καθορίζει τη δέσμευση της Διοίκησης και την προσέγγιση ενός οργανισμού ή μιας επιχείρησης αναφορικά με την ασφάλεια και την προστασία προσωπικών δεδομένων. Στην πολιτική ασφαλείας θα πρέπει, κατ’ ελάχιστο, να περιγράφονται οι βασικές αρχές προστασίας προσωπικών δεδομένων και ασφαλείας που εφαρμόζονται. Ειδικότερα η πολιτική ασφαλείας πρέπει να θέτει τις βασικές αρχές για α) οργανωτικά μέτρα ασφαλείας αναφορικά με τους ρόλους και τις αρμοδιότητες του προσωπικού και των εξωτερικών συνεργατών–εκτελούντων την επεξεργασία, τον καθορισμό και τις αρμοδιότητες του υπευθύνου ασφαλείας, την εκπαίδευση του προσωπικού, τη διαχείριση περιστατικών ασφαλείας, καθώς και την καταστροφή των προσωπικών δεδομένων, β) τα τεχνικά μέτρα ασφαλείας αναφορικά με τη διαχείριση των χρηστών του πληροφοριακού συστήματος, την αναγνώριση και αυθεντικοποίηση των χρηστών, την ασφάλεια των επικοινωνιών, τη λειτουργία των αρχείων καταγραφής του πληροφοριακού συστήματος, την εξαγωγή αντιγράφων ασφαλείας, γ) τα μέτρα φυσικής ασφαλείας.

Περισσότερες πληροφορίες μπορείτε να βρείτε εδώ.

Το Σχέδιο Ασφαλείας (Security Plan) είναι το έγγραφο στο οποίο περιγράφονται τα οργανωτικά και τεχνικά μέτρα, καθώς και τα μέτρα φυσικής ασφαλείας που εφαρμόζονται ή πρόκειται να εφαρμοστούν για την κάλυψη των βασικών αρχών και κανόνων που αναφέρονται στην πολιτική ασφαλείας, όπως επίσης και οι απαραίτητες ενέργειες για την υλοποίησή τους.

Περισσότερες πληροφορίες μπορείτε να βρείτε εδώ.

Το Σχέδιο Ανάκαμψης από καταστροφές (Disaster Recovery and Contingency Plan) είναι το έγγραφο που αναφέρεται στα μέτρα προστασίας, ανάκαμψης και αποκατάστασης πληροφοριακών συστημάτων και τεχνολογικών υποδομών σε περιπτώσεις έκτακτης ανάγκης, όπως φυσικές καταστροφές, εξωτερικές επιθέσεις/εισβολές, κ.λπ. Το Σχέδιο αυτό συμπληρώνει το Σχέδιο Ασφαλείας.

Περισσότερες πληροφορίες μπορείτε να βρείτε εδώ.

Η εκτίμηση του επιπέδου του κινδύνου των προσωπικών δεδομένων επιτυγχάνεται με την ανάλυση επικινδυνότητας (risk analysis). Η ανάλυση επικινδυνότητας έχει ως στόχο την εκτίμηση των κινδύνων και των απειλών στις οποίες είναι εκτεθειμένο το πληροφοριακό σύστημα στο οποίο λαμβάνει χώρα η επεξεργασία των προσωπικών δεδομένων. Βασιζόμενος στα αποτελέσματα της ανάλυσης επικινδυνότητας, ο υπεύθυνος επεξεργασίας μπορεί να εκτιμήσει τα μέτρα ασφαλείας που πρέπει να λάβει ώστε να μειώσει τον κίνδυνο σε ένα αποδεκτό επίπεδο.

Ζητήστε Μία Δωρεάν Μελέτη

Συμπληρώστε τα παρακάτω στοιχεία και ένας συνεργάτης μας θα έρθει σε επικοινωνία μαζί σας.
Κανονισμός Προστασίας Προσωπικών Δεδομένων
Γενικός Κανονισμός για την Προστασία Προσωπικών Δεδομένων
Προστασία Δεδομένων

Γενικός Κανονισμός για την Προστασία Προσωπικών Δεδομένων

Ο νέος Γενικός Κανονισμός για την Προστασία Προσωπικών Δεδομένων (Κανονισμός 2016/679) έχει τεθεί σε εφαρμογή στις 25/5/2018. Με τον νέο Κανονισμό, ρυθμίζεται η επεξεργασία προσωπικών …

Διαβάστε Περισσότερα →