Ο General Data Protection Regulation (Γενικός Κανονισμός για την Προστασία Δεδομένων) ή GDPR είναι ο νέος νόμος της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων, που θα εφαρμοστεί από τις 25 Μαΐου 2018 ενώ έχει ψηφιστεί από τις 27 Απριλίου του 2016.
- Είναι σχεδιασμένος για να επιτρέπει στα φυσικά πρόσωπα να μπορούν να ελέγχουν με μεγαλύτερη ασφάλεια τα προσωπικά τους δεδομένα.
- Αυξάνει σημαντικά τις υποχρεώσεις των επιχειρήσεων και των οργανισμών που διαχειρίζονται τέτοιου είδους δεδομένα, συμπεριλαμβανομένων των οργανισμών εκτός της Ε.Ε.
Επίσης οργανισμοί που παραβιάζουν το νόμο αυτό θα επωμιστούν σημαντικά πρόστιμα από τους εθνικούς νομοθέτες
Απευθύνεται σε:
Όλες τις ιδιωτικές, δημόσιες επιχειρήσεις, Μ.Κ.Ο, και κρατικές αρχές που αναλαμβάνουν τη διαχείριση προσωπικών δεδομένων πελατών, εργαζομένων ή φυσικών προσώπων.
Ουσιαστικά, ο GDPR απευθύνεται σε όλες τις επιχειρήσεις εντός και εκτός της Ε.Ε, αρκεί τα δεδομένα να αφορούν Ευρωπαίους πολίτες.
Πλεονεκτήματα του GDPR για το άτομο:
Το άτομο του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία αποκτά ενισχυμένα δικαιώματα που του παρέχουν μεγαλύτερο έλεγχο επί των προσωπικών του δεδομένων:
- συγκατάθεση του ενδιαφερομένου για την επεξεργασία των προσωπικών του δεδομένων
- ευκολότερη πρόσβαση του ενδιαφερομένου στα προσωπικά του δεδομένα
- δικαίωμα διόρθωσης και διαγραφής
- δικαίωμα εναντίωσης, στη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα
- διατήρησης των προσωπικών δεδομένων του ατόμου, στο ενδεχόμενο νέου παρόχου
- μεγαλύτερο έλεγχο των προσωπικών δεδομένων τους
- δικαίωμα στον ίδιο να τα διορθώσει και να τα επεξεργαστεί
Δυσκολίες του GDPR για τις επιχειρήσεις:
- πρέπει να λαμβάνουν συγκατάθεση των ατόμων πριν προβούν σε οποιαδήποτε επεξεργασία των προσωπικών δεδομένων τους.
- τακτικός έλεγχος για την κάλυψη των απαιτήσεων του GDPR σε κάθε στάδιο επεξεργασίας των δεδομένων
- βαρύτατες οικονομικές κυρώσεις και επιπτώσεις στην εταιρική φήμη σε περίπτωση παραβίασης των κανονισμών
- επιχειρηματικό σχέδιο που να συμβαδίζει με τον κανονισμό, δίχως να θίγονται τα συμφέροντα της επιχείρησης
Υποχρεώσεις των επιχειρήσεων:
- να ακολουθούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, να συλλέγουν τα απαραίτητα δεδομένα για συγκεκριμένο νόμιμο σκοπό, δίχως να υποβληθούν σε περεταίρω επεξεργασία με σκοπό την επικαιροποίησή τους, να τα αποθηκεύουν για το ελάχιστο χρονικό διάστημα που απαιτείται, να διασφαλίζουν την συγκατάθεση των φυσικών προσώπων
- μεταφορά δεδομένων σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις
- εξασφάλιση ηλεκτρονικών εργαλείων για την άμεση και δωρεάν ανταπόκριση σε αιτήματα για:
-
- ανάκληση της συγκατάθεσης
- πρόσβαση στα δεδομένα
- διόρθωση των δεδομένων ή διαγραφή
- παράδοση των δεδομένων σε ηλεκτρονική μορφή
- μεταφορά των δεδομένων σε άλλο φορέα
- γνωστοποίηση των δικαιωμάτων στα φυσικά πρόσωπα
- διατήρηση αρχείου και κοινοποίηση κάθε παραβίασης των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα
-
Οι οχτώ βασικές αρχές που επιβάλλει ο νόμος:
- Διαφάνεια, αντικειμενικότητα και νομιμότητα ως προς το χειρισμό και τη χρήση των προσωπικών δεδομένων.
- Περιορισμός της επεξεργασίας των προσωπικών δεδομένων για καθορισμένους, ρητούς και νόμιμους σκοπούς.
- Συλλογή και αποθήκευση μόνο προσωπικών δεδομένων που απαιτούνται για έναν σκοπό.
- Διασφάλιση της ακρίβειας των δεδομένων, συμπεριλαμβανομένης της δυνατότητας διαγραφής και επεξεργασίας τους.
- Περιορισμός της περιόδου αποθήκευσης των προσωπικών δεδομένων.
- Διασφάλιση της ασφάλειας, της ακεραιότητας και της εμπιστευτικότητας των προσωπικών δεδομένων.
- Μεταφορά δεδομένων σε χώρες εκτός της Ευρωπαϊκής ένωσης μόνο υπό συγκεκριμένες προϋποθέσεις.
- Εξασφάλιση ηλεκτρονικών εργαλείων για την διεκπεραίωση των κανονισμών που επιβάλλει ο νόμος.
Ποινές λόγω παράβασης του GDPR:
- Το πρόστιμο μπορεί να φτάσει μέχρι 20 εκ. ευρώ για σοβαρές παραβιάσεις του κανόνα ή το 4% των παγκόσμιων εσόδων ενός οργανισμού, ανάλογα σε κάθε περίπτωση ποιο είναι το μεγαλύτερο.
- Επίσης ο GDPRπαρέχει τη δυνατότητα στους καταναλωτές και στους οργανισμούς που δρουν για λογαριασμό τους τη δυνατότητα να ασκήσουν αστικές δικαστικές διαδικασίες κατά οργανισμών που παραβιάζουν τον κανονισμό GDPR.
Η διαδικασία συμμόρφωσης με τον GDPR, χωρίζεται σε τρία στάδια και έχει ως εξής:
ΣΤΑΔΙΟ 1ο:
- Αρχικά συντάσσεται το χρονοδιάγραμμα, το οποίο περιλαμβάνει τις καταλυτικές ημερομηνίες, την σκοπιμότητα, τα σημαντικά σημεία, το κεφάλαιο που θα χρησιμοποιηθεί και φυσικά τα παραδοτέα που προκύπτουν σε κάθε στάδιο. Επιπλέον επιλέγονται και τα κατάλληλα (με την απαραίτητη εξειδίκευση) άτομα, ώστε να διεξαχθεί ομαλά η διαδικασία.
- Έπεται ο έλεγχος στον τρόπο με τον οποίο χειριζόταν μέχρι τώρα η επιχείρηση τα προσωπικά δεδομένα. Ο έλεγχος αυτός επεκτείνεται και στα πληροφοριακά συστήματα της επιχείρησης, καθώς και σε νομικό επίπεδο.
- Γίνεται καταγραφή των δεδομένων που προκύπτουν από τους παραπάνω ελέγχους. Στη συνέχεια συντάσσονται δύο εκθέσεις μία αναλυτική και μια περίληψη της, όπου καταγράφονται τα κενά στην προστασία των προσωπικών δεδομένων, σύμφωνα με το GDPR, που προέκυψαν από τους ελέγχους και γίνεται εκτίμηση των κενών αυτών, ώστε να αποφασιστούν τα μέτρα που πρέπει να παρθούν και η στρατηγική που θα ακολουθηθεί για να διορθωθούν τα κενά, μέσα στο χρονικό περιθώριο που υπάρχει.
- Συντάσσεται ο σχετικός οδηγός, που θα περιλαμβάνει το σχέδιο δράσης.
ΣΤΑΔΙΟ 2ο:
- Ακολουθεί η υλοποίηση και εφαρμογή του παραπάνω σχεδίου δράσης.
- Σε περίπτωση που δεν διορθωθούν τα παραπάνω κενά, γίνεται επαναπροσδιορισμός του σχεδίου δράσης, και γίνεται εκ νέου η εφαρμογή, ώστε να επιτευχθούν τα επιθυμητά αποτελέσματα μέσα στο απαιτούμενο χρονικό διάστημα. Τροποποιούνται και τα παραδοτέα αντίστοιχα.
ΣΤΑΔΙΟ 3ο:
- Παρακολούθηση της εξέλιξης της διαδικασίας, και μετά την συμμόρφωση, με σκοπό την διατήρηση, και αν χρειαστεί επιδιόρθωση.
- Διοργάνωση σεμιναρίων, ώστε να εκπαιδευτεί το προσωπικό ανάλογα, για να μπορεί να ανταπεξέλθει στα πρότυπα του GDPR.
- Παροχή εξειδικευμένου συμβουλευτικού προσωπικού, ώστε να παρέχεται συνεχής υποστήριξη, για να συνεχιστεί ομαλά η συμμόρφωση με τα πρότυπα του GDPR.
Η Plan με την μακρόπνοη εμπειρία της στον χώρο των συμβουλευτικών υπηρεσιών, σας εγγυάται, πως μπορεί να αναλάβει με επιτυχία και τα τρία στάδια ώστε να επιτευχθεί η συμμόρφωση με τον GDPR. Για περισσότερες πληροφορίες, μπορείτε να επικοινωνήσετε με την εταιρεία μας.