ΑΡΧΙΚΗ
GDPR Compliance – Υπηρεσίες συμμόρφωσης με το νέο Κανονισμό
excellence-lean-model-managment-site
GDPR_EXCELLENCE

Ο Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679 του Ευρωπαϊκού Κοινοβουλίου και Συμβουλίου (General Data Protection Regulation, GDPR) για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία αυτών, έχει ως στόχο τη θέσπιση κανόνων σύννομης επεξεργασίας προσωπικών δεδομένων στον Ευρωπαϊκό Οικονομικό Χώρο.

Ο νέος Κανονισμός αφορά σε κάθε υπεύθυνο επεξεργασίας, και, φυσικά, όλες τις επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα, ανεξαρτήτως κλάδου οικονομικής δραστηριότητας και μεγέθους.

Καλέστε τώρα για να βρούμε λύσεις στις δικές σας ανάγκες σχετικά με τoν Κανονισμό.

Υπηρεσίες GDPR Compliance της Excellence Lean Management Consultants

• Διάγνωση υφιστάμενης κατάστασης
Αφορά στην αξιολόγηση του βαθμού συμμόρφωσης της επιχείρησης, με επισκόπηση του χειρισμού των δεδομένων προσωπικού χαρακτήρα με πληροφορίες που αντλούνται από όλες τις οργανωτικές μονάδες της επιχείρησης. Η επισκόπηση πραγματοποιείται μέσω ερωτηματολογίου, συναντήσεων και συνεντεύξεων.

• Χαρτογράφηση της επιχείρησης (Data Flow Mapping)
Γίνεται πλήρης απογραφή των προσωπικών δεδομένων που διαχειρίζεται ο οργανισμός με χάρτη ροής και διαδικασίες. Στη χαρτογράφηση εντοπίζονται:
– οι κατηγορίες των προσώπων των οποίων τα δεδομένα επεξεργάζεται η επιχείρηση (π.χ.προσωπικό, πελάτες-ασφαλισμένους, ασφαλισμένους ομαδικών ασφαλίσεων, προμηθευτές), 
– τα δεδομένα των ανωτέρω προσώπων που επεξεργάζεται η επιχείρηση (προσωπικά στοιχεία, φορολογικά, οικογενειακή κατάσταση, δεδομένα υγείας, κ.α.) 
– οι χρήσεις αυτών, καθώς και η νομική βάση της επεξεργασίας τους. 
Η χαρτογράφηση οδηγεί στον πλήρη νομικό και τεχνικό έλεγχο της επιχείρησης (Legal & IT Audit).

• Εντοπισμός των αποκλίσεων 
Αφορά στην λεπτομερή αξιολόγηση και έλεγχο των προσωπικών δεδομένων της επιχείρησης με βάση τον Κανονισμό και κυρίως με τις βασικές αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία δείχνει την τρέχουσα συμμόρφωση του οργανισμού με τον GDPR. 
Ανάδειξη των κενών και κάθε ασυμβατότητας με την νέα νομοθεσία και πρόταση σχεδίων πρόληψης, αντιμετώπισης και αποκατάστασης κενών και κινδύνων μέσω εκπόνησης σχετικής μελέτης (Gap Analysis).

• Έκθεση Εκτίμησης Αντικτύπου (Privacy Impact Assessment)
Αφορά στην Αξιολόγηση κινδύνων ανά κατηγορία. Εκτιμάται η πιθανότητα εμφάνισης, η αξιολόγηση κρισιμότητας, εμπλεκόμενων μερών, προληπτικής διαχείρισης / πρόληψης και θεραπείας/αποκατάστασης μέσω εκπόνησης Έκθεσης Εκτίμησης Αντικτύπου (Privacy Impact Assessment).

• Σχεδιασμός Πλάνου συμμόρφωσης
Αφορά στην Δημιουργία και εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, διαδικασιών και υπηρεσιών πλήρους συμμόρφωσης με βάση τον Κανονισμό, με συνεχή υποστήριξη, έλεγχο και παροχή συμβουλευτικού έργου στην υλοποίησή τους.

• Ανάπτυξη και εφαρμογή συστημάτων ασφάλειας δεδομένων και πληροφοριών
Αφορά στην εφαρμογή του ISO 27001-2013 που αφορά στην ασφάλεια δεδομένων και πληροφοριών καθώς και στο ISO 22301-2012 που αφορά στο Business Continuity, εφόσον κριθεί σκόπιμο

• Υπηρεσίες νομικής συνδρομής
Προετοιμασία με υπηρεσίες νομικής συνδρομής για την προσαρμογή συμβάσεων, συμβολαίων και φορμών συναίνεσης.

• Υπηρεσίες εκπαίδευσης
Αφορά στην ενημέρωση, ευαισθητοποίηση και εκπαίδευση ειδικά προσαρμοσμένη για τις απαιτήσεις του οργανισμού.

• Επιθεωρήσεις συμμόρφωσης 
Αφορά σε επιθεωρήσεις μετά την εφαρμογή των μέτρων
ΟΜΑΔΑ ΕΡΓΟΥ

Η ομάδα έργου αποτελείται από συμβούλους δικηγόρους, τεχνικούς (ΙΤ) και συμβούλους ανάπτυξης συστημάτων (ISO κλπ) με μεγάλη εμπειρία και εξειδίκευση στο συγκεκριμένο κανονισμό με υλοποίηση πλήθους σχετικών έργων.

Λίγα λόγια για τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679 (General Data Protection Regulation, GDPR) και πώς επηρεάζει τις επιχειρήσεις

Ο Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679 του Ευρωπαϊκού Κοινοβουλίου και Συμβουλίου (General Data Protection Regulation, GDPR) για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία αυτών, δημοσιεύτηκε στην επίσημη εφημερίδα της Ε.Ε. στις 27.04.2016, θέτοντας υποχρεωτική εφαρμογή για όλα τα Κράτη Μέλη της Ευρωπαϊκής Ένωσης την 25η Μαίου 2018.

Στόχος του Κανονισμού (που αποτελεί ένα πολύπλοκο νομικό κείμενο τεχνικού χαρακτήρα με 99 συνολικά άρθρα) είναι η θέσπιση κανόνων σύννομης επεξεργασίας προσωπικών δεδομένων στον Ευρωπαϊκό Οικονομικό Χώρο (ήτοι στα 28 κράτη-μέλη της ΕΕ – συμπεριλαμβανομένου του Ηνωμένου Βασιλείου που δεν θα εξαιρεθεί λόγω Brexit συν τρεις επιπλέον χώρες, ήτοι Ισλανδία, Λιχτενστάιν και Νορβηγία).

Ο νέος Κανονισμός αφορά σε κάθε υπεύθυνο επεξεργασίας, και, φυσικά, όλες τις επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα, ανεξαρτήτως κλάδου οικονομικής δραστηριότητας και μεγέθους.

Επομένως, κάθε οργανισμός, είτε του ιδιωτικού είτε του δημοσίου τομέα, που χειρίζεται προσωπικά δεδομένα πελατών, εργαζομένων, συνεργατών και οποιονδήποτε εν γένει φυσικών προσώπων εντός της Ε.Ε., υποχρεούται να συμμορφωθεί πλήρως με τις διατάξεις του ανωτέρω κανονισμού, επανεξετάζοντας ή και ακόμη αναθεωρώντας τις διαδικασίες διαχείρισης και επεξεργασίας των δεδομένων του.

Κανονισμός GDPR
• Καταργεί τον Ν.2472/1997
• Θεσπίζει αυστηρές κυρώσεις για την παραβίασή του

Έναρξη ισχύος: Ενεργοποιείται στις 25/5/2018

Ποιους αφορά
• Αφορά κάθε επιχείρηση που διαχειρίζεται προσωπικά δεδομένα (πελατών, προσωπικού, προμηθευτών, βάσεις δεδομένων κ.α.)
• Επιχειρήσεις που εδρεύουν στην ΕΕ
• Επιχειρήσεις που προσφέρουν υπηρεσίες/αγαθά σε πολίτες της ΕΕ
• Επιχειρήσεις που παρακολουθούν την συμπεριφορά πολιτών της ΕΕ.

Επεξήγηση όρου «Προσωπικά Δεδομένα»
Ο Κανονισμός διευρύνει την έννοια των προσωπικών δεδομένων καλύπτοντας κάθε δεδομένο που σχετίζεται με ένα άτομο εν ζωή και παράγεται στη δημόσια σφαίρα, στον επαγγελματικό τομέα αλλά και στην ιδιωτική του ζωή, αποθηκεύεται δε σε χαρτί είτε σε ηλεκτρονικό μέσο. Στα προσωπικά δεδομένα περιλαμβάνονται ενδεικτικά στοιχεία όπως:
• Προσωπικά στοιχεία (ονοματεπώνυμο, τηλέφωνο, διεύθυνση, φωτογραφίες, ΑΦΜ, AMΚΑ, φυσικές και ηλεκτρονικές διευθύνσεις, τραπεζικά στοιχεία, αγορές μέσω καρτών, συναλλαγές κλπ)
• Ευαίσθητα δεδομένα (υγείας, συνδικαλιστικά, φυλή, σεξουαλικές προτιμήσεις κ.τ.λ.)
• Γενετικά δεδομένα
• Βιομετρικά δεδομένα
• Συμπεριφορά (προφίλ -αναρτήσεις σε κοινωνικά δίκτυα, χρήση “έξυπνων” διασυνδεμένων συσκευών, δικτύων wifi, αρχείων επισκεψιμότητας διαδικτυακών ιστοσελίδων (cookies) κοκ. 
Η νομιμότητα κάθε επεξεργασίας από τον οργανισμό που συλλέγει και επεξεργάζεται προσωπικά δεδομένα απαιτεί τη ρητή και ειδική συναίνεση των υποκειμένων, τα οποία μπορούν ελεύθερα να την ανακαλέσουν οποτεδήποτε. Η χρήση δεδομένων ανηλίκων απαιτεί συναίνεση του ασκούντος τη γονική μέριμνα.

Τι είναι «Επεξεργασία»
• Κάθε πράξη που αφορά τα δεδομένα όπως:
• Αποθήκευση
• Καταχώριση στο λογιστήριο
• Marketing
• Έκδοση Κάρτας μέλους (φαρμακεία, ξεονοδοχεία κ.τ.λ.)
• Διαγραφή
• Διαβίβαση σε τρίτους (π.χ. Ασφαλιστικά ταμεία, νοσοκομεία κ.τ.λ.)

Νέα Δικαιώματα υποκειμένου
Διατηρώντας τα παραδοσιακά δικαιώματα των υποκειμένων που προβλέπει σήμερα ο ισχύων στη χώρα μας ν. 247^1997 (δικαίωμα ενημέρωσης, πρόσβασης, αντίρρησης, προσωρινής δικαστικής προστασίας κλπ.) και αρχές επεξεργασίας (νομιμότητα, αντικειμενικότητα, διαφάνεια, ακρίβεια, ακεραιότητα, αναλογικότητα, περιορισμός σκοπού και χρονικής διάρκειας διατήρησης κλπ.) η Ευρωπαϊκή νομοθεσία προβλέπει και νέα δικαιώματα των πολιτών. 
Σε αυτά ανήκουν η λογοδοσία του υπευθύνου επεξεργασίας, το δικαίωμα στη λήθη με τη διαγραφή δεδομένων καθώς και η φορητότητα δεδομένων, όταν το υποκείμενο αλλάζει προμηθευτή (π.χ. πάροχο υπηρεσιών υγείας, εταιρία τηλεπικοινωνιών, χρηματοπιστωτικό η ασφαλιστικό φορέα).

Αντικειμενική ευθύνη υπευθύνου και εκτελούντος επεξεργασία
Η προβλεπόμενη νομική ευθύνη είναι αντικειμενική και δεν αφορά μόνο τον υπεύθυνο επεξεργασίας που συλλέγει και επεξεργάζεται εσωτερικά τέτοια δεδομένα. 
Οι κυρώσεις αφορούν από κοινού και τον εκτελούντα την επεξεργασία, ήτοι τους συνεργαζόμενους εξωτερικούς συνεργάτες του φορέα (π.χ. διαγνωστικά κέντρα, εταιρίες τεχνολογίας, προμήθειας εξοπλισμού, call centers, εταιρίες μισθοδοσίας, πληροφορικής, cloud providers, data centers) στην Ελλάδα και το εξωτερικό. 
Υπεύθυνος και εκτελών την επεξεργασία έχουν ο καθένας το βάρος απόδειξης της κανονιστικής τους συμμόρφωσης με τις υποχρεώσεις τους. Τυχόν παράβαση του ενός επηρεάζει και τον άλλο και τον εκθέτει σε κίνδυνο καταβολής υψηλών χρηματικών αποζημιώσεων. 
Ο Κανονισμός Προστασίας Προσωπικών Δεδομένων αποτελεί ουσιαστικά διεθνές πρότυπο επεξεργασίας. Εφεξής η συμμόρφωση προς τις αρχές και διαδικασίες του πρέπει να συμπεριληφθεί ως όρος επιλογής πιστοποιημένων προμηθευτών και συνεργατών στις οικείες διαγωνιστικές διαδικασίες των επί μέρους δημόσιων και ιδιωτικών φορέων για τη μείωση του επιχειρηματικού κινδύνου.

Διαβίβαση δεδομένων σε τρίτους
Η νέα νομοθεσία προβλέπει ακόμα ρητές διαδικασίες διαβίβασης δεδομένων σε τρίτους (π.χ. υποκαταστήματα, πολυεθνικές εταιρίες, cloud providers). Η διαβίβαση δεδομένων εντός του Ευρωπαϊκού Οικονομικού Χώρου είναι ελεύθερη, σε αντίθεση με τη διαβίβαση σε τρίτες χώρες εκτός Ευρώπης (π.χ Η ΠΑ, Ασία) η οποία υπόκειται σε συγκεκριμένες αυστηρές προϋποθέσεις (αντίστοιχο επίπεδο προστασίας, απόφαση “επάρκειας” περί του επιπέδου προστασίας της αλλοδαπής νομοθεσίας, δεσμευτικοί εταιρικοί κανόνες, τυποποιημένες συμβάσεις, κώδικες δεοντολογίας).

Υψηλά πρόστιμα σε περιπτώσεις μη συμμόρφωσης
Σε περίπτωση μη συμμόρφωσης επιβάλλονται από τις Εποπτικές Αρχές (εθνικές αρχές Προστασίας Δεδομένων) υψηλότατα πρόστιμα κατά των παραβατών, τα οποία, επί σοβαρών παραβιάσεων, μπορούν να ανέλθουν μέχρι ποσοστού 4% επί του ετήσιου κύκλου εργασιών του οργανισμού ή της επιχείρησης, ή μέχρι 20 εκ. Ευρώ, όποιο ποσό είναι υψηλότερο. 
Επί μικρότερων παραβιάσεων τα πρόστιμα είναι χαμηλότερα ανέρχονται δε μέχρι ποσοστού 2% επί του ετήσιου κύκλου εργασιών του οργανισμού ή της επιχείρησης, ή μέχρι 10 εκ. Ευρώ, όποιο ποσό είναι υψηλότερο. 
Η επιβολή διοικητικών προστίμων δεν αναιρεί τη δυνατότητα ποινικών διώξεων κατά των παραβατών καθώς και τη διεκδίκηση αποζημιώσεων με ατομικές ή συλλογικές αγωγές των θιγομένων στα πολιτικά δικαστήρια.

Προϋποθέσεις νομιμότητας – Τι είναι απαραίτητο
• Να υπάρχει νόμιμη βάση επεξεργασίας (συγκατάθεση του υποκειμένου ή νόμιμη υποχρέωση ή σύμβαση με το υποκείμενο κ.α.)
• Η διασφάλιση των δικαιωμάτων του υποκειμένου:
• Ενημέρωση, Συγκατάθεση (ως νομιμοποιητική βάση όπου είναι απαραίτητη), Πρόσβαση, Διόρθωση, Διαγραφή, Περιορισμός, Φορητότητα, Εναντίωση

Ειδικές περιπτώσεις
• Παιδιά: άνω των 16 ή συναίνεση ασκούντων την γονική μέριμνα
• Ευαίσθητα Δεδομένα: Ρητή συγκατάθεση (εκτός από ειδικές περιπτώσεις)

Εποπτεύουσα αρχή στην Ελλάδα: Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)

Η σχέση της επιχείρησης με την αρμόδια αρχή
• Παραβίαση δεδομένων + Ειδοποίηση ΑΠΔΠΧ εντός 72 ωρών
• Ενημέρωση του Υποκειμένου
• Έλεγχος από την Αρχή
• Επιβολή προστίμων

Τι πρέπει να κάνει η επιχείρηση
• Έλεγχο της επιχείρησής για κενά συμμόρφωσης (GAP Analysis) με τον Κανονισμό
• Οργάνωση διαδικασιών για την συμμόρφωση αλλά και την απόδειξη της συμμόρφωσης της επιχείρησης με τον Κανονισμό
• Τεχνικά μέτρα ασφαλείας 
• Διαρκής επικαιροποίηση των ανωτέρω
• Συμβάσεις με προηθευτές για την ασφάλεια των δεδομένων
• Privacy by Design & by Default

Υπεύθυνος Προστασίας Δεδομένων (DPO)
• Εάν γίνεται τακτική & συστηματική Παρακολούθηση Υποκειμένων σε μεγάλη κλίμακα
• Επεξεργασία Ευαίσθητων Δεδομένων σε μεγάλη κλίμακα (νοσοκομεία, ασφαλιστικές εταιρείες, δημόσιο)
• Ο DPO παρακολουθεί όλα τα έργα που περιλαμβάνουν επεξεργασία προσωπικών δεδομένων, συμβουλεύει για την σύννομη επεξεργασία τους
• Ενημερώνει για την νομοθεσία/απαιτήσεις του Κανονισμού
• Είναι το σημείο επικοινωνίας της επιχείρησης με την Αρχή

Ευαισθητοποίηση Διοικήσεων/εκπαίδευση προσωπικού
Στο πλαίσιο αυτό, είναι ζωτικής σημασίας η ενημέρωση και η ευαισθητοποίηση των διοικήσεων κάθε οργανισμού, η αξιολόγηση της υπάρχουσας κατάστασης και η ανάλυση των επιπτώσεων στον φορέα, ανάλογα με τη δραστηριότητα και τις ανάγκες του. 
Σε συνεργασία με τους κατάλληλους συμβούλους, ο οργανισμός ή η επιχείρηση οφείλει να καθορίσει ένα χρονοδιάγραμμα ενεργειών στην πορεία προς την κανονιστική συμμόρφωση με τις νέες αυξημένες απαιτήσεις ιδιωτικότητας. Τα στάδια είναι σχηματικά : 
• ανάλυση απαιτήσεων συμβατότητας (gap analysis), 
• ανάλυση κινδύνου (risk assessment), 
• μελέτη αντίκτυπου ιδιωτικότητας (privacy impact assessment), 
• ορισμός εσωτερικής ομάδας κανονιστικής συμμόρφωσης (compliance team), 
• αναμόρφωση εσωτερικών διαδικασιών (business process reengineering), 
• ανασχεδιασμός πληροφοριακών συστημάτων, προμήθεια κατάλληλων τεχνολογικών μέσων ενίσχυσης της ασφάλειας (ανωνυμοποίηση / ψευδωνυμοποίηση, κρυπτογράφηση κλπ), 
• εκπαίδευση προσωπικού, περιοδικοί έλεγχοι συμμόρφωσης.

Με τον τρόπο αυτό όχι μόνο θα μειωθεί η έκθεση του οργανισμού σε κινδύνους, αλλά η συμμόρφωση θα αποτελέσει βέλτιστη πρακτική καθώς και εμπορικό επιχείρημα προώθησης των προϊόντων και υπηρεσιών του στην ελληνική και διεθνή αγορά.

Παρακαλούμε επικοινωνήστε μαζί μας στα
210-4838712,210-4838714,210-4838706info@excellence-lean.gr για να συζητήσουμε τις δικές σας ανάγκες σχετικά με τoν Κανονισμό.

Καλέστε τώρα για να βρούμε λύσεις στις δικές σας ανάγκες σχετικά με τoν Κανονισμό.