Κατηγορία: Κανονισμός 2016/679 (GDPR)

Συστήματα βιντεοεπιτήρησης σε χώρους εργασίας

On By pikramenoslawIn Κανονισμός 2016/679 (GDPR)Σχολιάστε

«Όταν οι πράξεις επεξεργασίας ενδέχεται να έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας θα πρέπει να ευθύνεται για τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων, ώστε να αξιολογήσει, ιδίως, την προέλευση, τη φύση, την πιθανότητα και τη σοβαρότητα του εν λόγω κινδύνου».

Η εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) είναι μια διαδικασία που περιγράφει την επεξεργασία των δεδομένων, αξιολογεί την αναγκαιότητα και την αναλογικότητά της και συνδράμει στη διαχείριση των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

Η εκτίμηση αντικτύπου αποτελεί σημαντικό εργαλείο για την πλήρωση της υποχρέωσης λογοδοσίας, καθώς παρέχει συνδρομή στους υπεύθυνους επεξεργασίας για να αποδεικνύουν ότι έχουν ληφθεί τα ενδεδειγμένα μέτρα. Η εκτίμηση αντικτύπου, δηλαδή, είναι μια διαδικασία εμπέδωσης και απόδειξης της συμμόρφωσης.

Βάσει του GDPR, η παράλειψη διενέργειας εκτίμησης αντικτύπου σε επεξεργασία που υπόκειται σε απαίτηση διενέργειας εκτίμηση αντικτύπου ή η διενέργεια εκτίμησης αντικτύπου με εσφαλμένο τρόπο μπορούν να επιφέρουν διοικητικό πρόστιμο ύψους έως 10 εκατ. ευρώ ή, σε περίπτωση επιχείρησης, έως 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

Τα ελάχιστα στοιχεία μιας έκθεσης αντικτύπου σύμφωνα με τον GDPR είναι:

  • H συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, κατά περίπτωση, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας,
  • H εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς,
  • H εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 και
  • Tα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων·

Εκτίμηση αντικτύπου και συστήματα βιντεοεπιτήρησης σε χώρους εργασίας

Η λειτουργία συστήματος βιντεοεπιτήρησης σε χώρους εργασίας διέπεται από ιδιαίτερα αυστηρές προϋποθέσεις, αφού μπορεί να έχει σημαντικές επιπτώσεις τόσο στα δικαιώματα των εργαζομένων της επιχείρησης όσο και των συναλλασσομένων με την επιχείρηση. Κατά το μέρος, που δεν έρχεται σε αντίθεση με τον GDPR εξακολουθεί να έχει εφαρμογή η υπ’ αρίθμ. 1/2011 Οδηγίας της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

Σύμφωνα με το άρθρο 7 της εν λόγω Οδηγίας το σύστημα βιντεοεπιτήρησης δεν θα πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων εντός των χώρων εργασίας, εκτός από ειδικές εξαιρετικές περιπτώσεις όπου αυτό δικαιολογείται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων ή την προστασία κρίσιμων χώρων εργασίας. Υπενθυμίζεται πως μετά μετά τις 25 Μαΐου 2018 δεν υφίσταται πλέον υποχρέωση γνωστοποίησης βιντεοεπιτήρησης στην Αρχή.

Το μόνο μέσο, λοιπόν, που διαθέτει ο υπεύθυνος επεξεργασίας προκειμένου να αποδείξει την σύννομη δράση του και την συμμόρφωσή του με τις απαιτήσεις του GDPR είναι η εκπόνηση εκτίμησης αντικτύπου. Σημειώνεται, μάλιστα, πως η ΑΠΔΠΧ έχει ήδη επιδείξει μεγάλη αυστηρότητα απέναντι σε συστήματα βιντεοεπιτήρησης, τα οποία λειτουργούν παρανόμως. Με την απόφαση της υπ’ αρίθμ. 41/2018, η οποία εκδόθηκε στις 9-5-2018, ήτοι πριν από την εφαρμογή του GDPR, η Αρχή επέβαλε πρόστιμο 50.000 ευρώ σε δικηγορική εταιρία, για την λειτουργία παρανόμου συστήματος βινετοεπιτήρης.

Μικρές & Μεσαίες Επιχειρήσεις: Συμμόρφωση με τον GDPR

On By pikramenoslawIn Κανονισμός 2016/679 (GDPR)Σχολιάστε

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (εφεξής Κανονισμός, GDPR) τέθηκε σε εφαρμογή στις 25 Μαΐου 2018. Κατ΄αρχάς να υπογραμμιστεί ότι δεν υπάρχει κανένας λόγος για πανικό. Η ίδια η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει, και ορθώς, επισημάνει ότι η 25 Μαΐου 2018 δεν αποτελεί το τέλος αλλά την αρχή μιας διαδικασίας προσαρμογής. Επομένως, τα πρόστιμα που προβλέπει ο Κανονισμός μπορούν να περιμένουν, προς ώρας τουλάχιστον. Εντούτοις, ο εφησυχασμός αντενδείκνυται.

Το συγκεκριμένο άρθρο απευθύνεται στις μικρές και μεσαίες επιχειρήσεις οι οποίες ως υπεύθυνοι επεξεργασίας δεν έχουν συνήθως τη δυνατότητα να επενδύσουν σε πόρους, υλικούς και ανθρώπινους, όπως οι μεγάλες επιχειρήσεις, προκειμένου να συμμορφωθούν προς τις απαιτήσεις του Κανονισμού. Σε δώδεκα απλά βήματα αναλύουμε τον «οδικό χάρτη» που συστήνουμε να ακολουθήσουν προκειμένου να αποφύγουν «περιπέτειες» σε περίπτωση που τους γίνει έλεγχος από την αρμόδια εποπτική αρχή ή υπάρξουν καταγγελίες σε βάρος τους.

Συνιστούμε στις μικρές και μεσαίες επιχειρήσεις ως υπεύθυνους επεξεργασίας να προβούν στα εξής:

1) Διαμόρφωση συνείδησης προστασίας προσωπικών δεδομένων στην επιχείρηση (awareness). Τούτο προϋποθέτει ενημέρωση όχι μόνο της διοίκησης (management) αλλά και όλου του προσωπικού για το ότι ο Κανονισμός επιφέρει αλλαγές στην προστασία των δεδομένων και κατ’ επέκταση, ενδεχομένως, και στη λειτουργία της επιχείρησης. Συνεπώς, όλοι οι εργαζόμενοι επιβάλλεται να γνωρίζουν, στο βαθμό που είναι αναγκαίο για την ορθή άσκηση των καθηκόντων τους,  τί επιτρέπεται και τί απαγορεύεται, τί είναι υποχρεωτικό και τί προαιρετικό, με βάση τον Κανονισμό. Ακόμη και αν όλα τα τεχνικά μέτρα προστασίας που η επιχείρηση εφαρμόζει είναι άψογα, εφόσον δεν υπάρξει ευαισθητοποίηση και κινητοποίηση του ανθρώπινου δυναμικού της, θα ανακύπτουν συνεχώς προβλήματα συμμόρφωσης.

2) Χαρτογράφηση των προσωπικών δεδομένων τα οποία η επιχείρηση επεξεργάζεται, τις πηγές από τις οποίες τα αντλεί και τους αποδέκτες τους. Ανάλογα με την περίπτωση, είναι πιθανό να απαιτείται ένας ενδελεχής πληροφορικός έλεγχος (information audit).

3) Αναθεώρηση της πολιτικής απορρήτου (γνωστή και ως πολιτική προστασίας δεδομένων, privacy notice) ώστε να είναι συμβατή με τις διατάξεις του Κανονισμού. Προκειμένου η πολιτική απορρήτου να καταστεί όσο γίνεται περισσότερο προσπελάσιμη και ευρύτερα γνωστή, συνιστάται η ανάρτησή της στην αρχική ιστοσελίδα της επιχείρησης. Oι υπεύθυνοι επεξεργασίας, εκτός της ταυτότητάς τους και του τρόπου με τον οποίο σκοπεύουν να χρησιμοποιήσουν τα προσωπικά δεδομένα που συλλέγουν, υποχρεώνονται πλέον από τον Κανονισμό να γνωστοποιούν στο υποκείμενο των δεδομένων τη νόμιμη βάση επεξεργασίας των δεδομένων του, το χρόνο τήρησής τους και το δικαίωμά του για  υποβολή καταγγελίας στην αρμόδια εποπτική αρχή. Η πληροφόρηση πρέπει πάντα να γίνεται σε ύφος “λακωνικό” (όχι υπερπληροφόρηση) και σε γλώσσα σαφή και εύκολα κατανοητή στο μέσο πολίτη.ικ

4) Έλεγχος των υφιστάμενων διαδικασιών της επιχείρησης ώστε να εξακριβωθεί αν και κατά πόσο διασφαλίζουν την υλοποίηση των νέων καθώς και των ήδη υφιστάμενων αλλά ενισχυμένων πλέον από τον Κανονισμό δικαιωμάτων των υποκειμένων των δεδομένων. Πρόκειται για τα:

  • δικαίωμα ενημέρωσης
  • δικαίωμα πρόσβασης
  • δικαίωμα διόρθωσης
  • δικαίωμα διαγραφής (“δικαίωμα στη λήθη”)
  • δικαίωμα στον περιορισμό της επεξεργασίας
  • δικαίωμα στη φορητότητα των δεδομένων
  • δικαίωμα εναντίωσης
  • δικαίωμα στην ανθρώπινη παρέμβαση

Ας δώσουμε δύο παραδείγματα.

Σε περίπτωση που ένα υποκείμενο δεδομένων ζητά από μια επιχείρηση να διαγράψει τα προσωπικά του δεδομένα από τα αρχεία της,  προκύπτουν οι εξής ερωτήσεις:

  • Έχει λάβει η επιχείρηση τα κατάλληλα οργανωτικά και τεχνικά μέτρα ώστε να είναι σε θέση κατ’ αρχάς να εντοπίσει και στη συνέχεια να διαγράψει τα δεδομένα του συγκεκριμένου υποκειμένου;
  • Έχει ορίσει το άτομο ή την ομάδα που θα έχει την αποφασιστική αρμοδιότητα περί διαγραφής ή μη;

Το  δεύτερο παράδειγμα αφορά στο νέο δικαίωμα στη φορητότητα των δεδομένων. Αν η επιχείρηση προβαίνει σε αυτοματοποιημένη επεξεργασία δεδομένων με βάση σύμβαση ή τη συγκατάθεση του υποκειμένου, οφείλει να ελέγξει και αναλόγως να αναθεωρήσει τις διαδικασίες της, ώστε να είναι σε θέση να παρέχει στο υποκείμενο τα δεδομένα του σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα διαλειτουργικό μορφότυπο, δωρεάν και μέσα σε προθεσμία ενός μηνός.

5) Έλεγχος αν έχουν υιοθετηθεί τα κατάλληλα οργανωτικά και τεχνικά μέτρα προκειμένου η επιχείρηση να μπορεί αμέσως και ευχερώς να ανταποκρίνεται σε αιτήματα των υποκειμένων των δεδομένων για πρόσβαση σ’ αυτά, ιδίως μάλιστα αν αναμένονται πολλά τέτοια αιτήματα. Εφιστάται η προσοχή στην άσκηση του δικαιώματος πρόσβασης του υποκειμένου διότι στις πλείστες περιπτώσεις το δικαίωμα πρόσβασης παρέχεται δωρεάν, ενώ η προθεσμία απάντησης είναι μόνο ένας μήνας. Σε περίπτωση άρνησης ικανοποίησης του δικαιώματος πρόσβασης ο υπεύθυνος επεξεργασίας οφείλει να εξηγήσει στο υποκείμενο των δεδομένων χωρίς αναίτια καθυστέρηση και το αργότερο σε έναν μήνα το λόγο άρνησης, και ταυτόχρονα να ενημερώσει το υποκείμενο για το δικαίωμά του να υποβάλει καταγγελία στην αρμόδια εποπτική αρχή και να προσφύγει δικαστικά κατά του υπευθύνου επεξεργασίας. Στο μέτρο του δυνατού ή του επιθυμητού, αποτελεί “καλή πρακτική” η εγκατάσταση IT συστήματος που επιτρέπει την επιγραμμική (online) πρόσβαση του υποκειμένου στα προσωπικά του δεδομένα.

6) Απαντήσεις στα ακόλουθα ερωτήματα:

  • Έχει προσδιοριστεί και καταγραφεί η νόμιμη βάση επεξεργασίας των προσωπικών δεδομένων και έχει συνδεθεί με συγκεκριμένο και ρητό σκοπό ή σκοπούς επεξεργασίας;
  • Τηρείται η αρχή της «ελαχιστοποίησης των δεδομένων», δηλαδή γίνεται επεξεργασία των απολύτως αναγκαίων δεδομένων για την επίτευξη του εκάστοτε σκοπού επεξεργασίας, και όχι περισσότερων δεδομένων απ’ ότι χρειάζεται;

Οι απαντήσεις στα παραπάνω ερωτήματα πρέπει να συμπεριληφθούν και να επεξηγηθούν στην πολιτική απορρήτου της επιχείρησης (βλέπε υπό 3).

Υπό το παλιό νομικό καθεστώς της Οδηγίας 95/46/ΕΚ η νόμιμη βάση επεξεργασίας δεν είχε ιδιαίτερες πρακτικές επιπτώσεις. Με τον Κανονισμό η κατάσταση αλλάζει. Τα υποκείμενα αποκτούν πλέον επισήμως ισχυρό δικαίωμα διαγραφής των δεδομένων τους στις περιπτώσεις όπου η συγκατάθεση αποτελεί τη νόμιμη βάση επεξεργασίας.

7) Αναθεώρηση της πολιτικής της επιχείρησης αναφορικά με τη λήψη της συγκατάθεσης ώστε να είναι σύμφωνη προς τις επιταγές του Κανονισμού. Η συγκατάθεση καθίσταται πλέον ρητή, το λεγόμενο optin. Με άλλα λόγια, δήλωση συγκατάθεσης δεν συνάγεται από την αδράνεια ή τη σιωπή του υποκειμένου ή τις προεπιλογές (πχ. προσυμπληρωμένα τετραγωνίδια) του υπευθύνου επεξεργασίας.  Επιπλέον πρέπει:

  • το αίτημα για συγκατάθεση του υποκειμένου να τίθεται κατά τρόπο σαφώς διακριτό από άλλα θέματα,
  • η παροχή της συγκατάθεσης να είναι χωριστή από άλλους όρους και προϋποθέσεις,
  • αν η επεξεργασία αφορά πολλαπλούς σκοπούς, τότε να λαμβάνεται συγκατάθεση για όλους τους σκοπούς,
  • η ανάκληση της συγκατάθεσης να μπορεί να γίνεται ευχερώς.

8) Έλεγχος αν υπάρχει ανάγκη υιοθέτησης μέτρων επαλήθευσης της ηλικίας των υποκειμένων των δεδομένων καθώς και μέτρων λήψης της συγκατάθεσης των γονέων ή κηδεμόνων για κάθε επεξεργασία δεδομένων παιδιών.

9) Έλεγχος αν ήδη υφίστανται ή πρέπει να υιοθετηθούν κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων καθώς και κατάλληλες διαδικασίες για τον εντοπισμό και διερεύνηση των περιπτώσεων παραβίασης προσωπικών δεδομένων και τη γνωστοποίησή τους, ανάλογα με την περίπτωση παραβίασης, στην αρμόδια εποπτική αρχή ή και στο υποκείμενο των δεδομένων. Η επιβολή προστίμου ελλοχεύει ακριβώς στις περιπτώσεις παραβίασης προσωπικών δεδομένων που ο υπεύθυνος επεξεργασίας ήταν υποχρεωμένος να ανακοινώσει στο υποκείμενο ή στην αρμόδια εποπτική αρχή και παραταύτα παρέμεινε αδρανής. Επομένως, κάθε επιχείρηση οφείλει να καταρτίσει εκ των προτέρων σχέδιο αντιμετώπισης περιστατικών παραβίασης προσωπικών δεδομένων.

Υιοθέτηση, ακόμη και από τις μικρομεσαίες επιχειρήσεις, της προστασίας της ιδιωτικότητας εξ ορισμού[1] (Privacy by Default) καθώς και εκ σχεδίου και δια σχεδιασμού[2] (Privacy by Design). 

Παραδείγματα ιδιωτικότητας εξ ορισμού:

  • η ελαχιστοποίηση των υπό επεξεργασία δεδομένων ως προς τον όγκο τους καθώς και ως προς την ένταση και έκταση της επεξεργασίας και τη διάρκεια τήρησης αυτών,
  • η παροχή στο χρήστη της δυναtότητας ο ίδιος ενεργά να προσδιορίζει την «ορατότητα» του προφίλ του.

Παραδείγματα της προστασίας εκ σχεδίου και δια σχεδιασμού (Privacy by Design) που αναφέρονται στο ίδιο το Προοίμιο του Κανονισμού:

  • πάλι η ελαχιστοποίηση της επεξεργασίας δεδομένων,
  • η ψευδωνυμοποίηση το συντομότερο δυνατόν,
  • η διαφάνεια όσον αφορά την επεξεργασία, ώστε να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία των δεδομένων του και να είναι σε θέση ο υπεύθυνος επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφαλείας.

Υπογραμμίζουμε ωστόσο ότι η λήψη μέτρων προστασίας εκ σχεδίου και δια σχεδιασμού θα πρέπει να γίνεται λαμβάνοντας υπόψη όχι μόνο τις τελευταίες τεχνολογικές εξελίξεις αλλά και το κόστος εφαρμογής των μέτρων αυτών καθώς και την πιθανότητα και σοβαρότητα των κινδύνων που μπορεί να προκύψουν (risk assessment). 

Όπου απαιτείται από τον Κανονισμό, η επιχείρηση οφείλει να προχωρεί σε εκπόνηση εκτίμησης αντικτύπου στην προστασία των προσωπικών δεδομένων, τη γνωστή πλέον Data Protection Impact Assessement (DPIA). Επομένως κάθε επιχείρηση οφείλει να διερευνήσει

  • αν της επιβάλλεται από τον Κανονισμό να εκπονήσει DPΙA (πχ. περιπτώσεις επεξεργασιών υψηλού κινδύνου),
  • ποιος θα τη διενεργήσει και ποιοι ακόμη χρειάζεται να εμπλακούν (πχ. υπεύθυνος επεξεργασίας, χρήστες του συστήματος, ειδικοί νομικοί και πληροφορικοί),
  • ποια θα είναι η μεθοδολογία και τα τεχνικά πρότυπα (πχ. ISOs) που θα ακολουθηθούν.

Μετά την εκπόνηση της DPIA η επιχείρηση συμμορφώνεται προς τις συστάσεις της και εφαρμόζει τα μέτρα προστασίας προσωπικών δεδομένων που προτείνει.

Υπογραμμίζεται ότι σε κάθε περίπτωση και ανεξάρτητα από το αν η εκπόνηση DPIA είναι υποχρεωτική ή όχι, κάθε επιχείρηση είναι υποχρεωμένη να καταρτίσει και να υλοποιήσει σχέδιο ενεργειών συμμόρφωσης προς τον Κανονισμό, στο μέτρο που ο Κανονισμός την αφορά.

11) Ορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer) στις περιπτώσεις που επιβάλλεται από τον Κανονισμό.[3] Πχ. σε μια επιχείρηση όπου η επεξεργασία προσωπικών δεδομένων γίνεται με σκοπό τη μισθοδοσία των εργαζομένων, η επεξεργασία δεδομένων θα μπορούσε να μην χαρακτηριστεί βασική δραστηριότητα του υπευθύνου ή του εκτελούντος την επεξεργασία αλλά παρεπόμενη ή βοηθητική, επομένως να μην απαιτείται διορισμός Υπεύθυνου Προστασίας Δεδομένων (ΥΠΟ). Αντίθετα, ακόμη και σε μικρές και μεσαίες επιχειρήσεις που παρέχουν ηλεκτρονικές επικοινωνίες ή προβαίνουν σε διαδικτυακή επεξεργασία δεδομένων με σκοπό την εμπορική προώθηση-διαφήμιση ή σε profiling, επιβάλλεται ο διορισμός ΥΠΟ. Σημειώνεται ότι ο ΥΠΟ μπορεί να είναι και εξωτερικός συνεργάτης με σύμβαση παροχής υπηρεσιών.

Για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας πρέπει να λαμβάνονται υπόψη: α) ο αριθμός των εμπλεκομένων υποκειμένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του πληθυσμού, β) ο όγκος και το εύρος των δεδομένων, γ) η διάρκεια ή ο μόνιμος χαρακτήρας της επεξεργασίας, δ) η γεωγραφική έκταση της επεξεργασίας.

Ανεξάρτητα αν ο διορισμός ΥΠΟ είναι υποχρεωτικός ή προαιρετικός, η επιχείρηση οφείλει να ορίσει φυσικό πρόσωπο ή ομάδα προσώπων που να είναι αρμόδια για τη συμμόρφωση με τον Κανονισμό και να ενσωματώσει αυτή τη νέα αρμοδιότητα στη δομή και λειτουργία της.

12) Αν η επιχείρηση δραστηριοποιείται σε περισσότερα από ένα κράτη μέλη της Ευρωπαϊκής Ένωσης, υποχρεούται να αποφασίσει και να καταγράψει ποια είναι η επικεφαλής εποπτική της αρχή. Για τον καθορισμό της επικεφαλής εποπτικής αρχής το κριτήριο είναι πού βρίσκεται η κύρια ή η μόνη εγκατάσταση του υπευθύνου επεξεργασίας. Αν μια επιχείρηση δεν είναι σίγουρη για το πού βρίσκεται η κύρια εγκατάστασή της, τότε ενδείκνυται μέσω χαρτογράφησης να εντοπίσει τη χώρα όπου λαμβάνονται οι σημαντικότερες αποφάσεις αναφορικά με τις πράξεις επεξεργασίας προσωπικών δεδομένων ώστε βάσει αυτού του κριτηρίου να καθοριστεί η κύρια εγκατάστασή της. Ιδιαίτερη σημασία έχει ο σωστός καθορισμός της επικεφαλής εποπτικής αρχής όταν η επιχείρηση προβαίνει σε διασυνοριακή επεξεργασία προσωπικών δεδομένων πχ. διαβιβάσεις δεδομένων σε περισσότερες από μία χώρες της ΕΕ.

Εν κατακλείδι, τα παραπάνω δώδεκα βήματα δεν είναι εξαντλητικά των ενεργειών στις οποίες οι μικρές και μεσαίες επιχειρήσεις οφείλουν ή ενδείκνυται να προβούν προκειμένου να συμμορφωθούν προς τον Κανονισμό. Εντούτοις, όπως επισημάνθηκε στην αρχή του άρθρου,  συνιστούν έναν «οδικό χάρτη», ο οποίος, εφόσον κατά την εφαρμογή του ληφθούν υπόψη οι ιδιαιτερότητες και οι ειδικές ανάγκες της κάθε επιχείρησης και στο μέτρο που θα υλοποιηθεί, εξασφαλίζει στην επιχείρηση ομαλή προσαρμογή στις απαιτήσεις του Κανονισμού και επαρκές, βάσει του Κανονισμού, επίπεδο προστασίας προσωπικών δεδομένων.

[1] Privacy by default: η επιταγή του Κανονισμού για διασφάλιση της πληροφορικής ιδιωτικότητας ως βασική και κατά κανόνα επιλογή ενός συστήματος ή μιας εφαρμογής.

[2] Privacy by design: η επιταγή του Κανονισμού ο υπεύθυνος επεξεργασίας να λαμβάνει τόσο κατά το στάδιο του προσδιορισμού των μέσων επεξεργασίας όσο και κατά την επεξεργασία αυτή τα κατάλληλα τεχνικά και οργανωτικά μέτρα που έχουν σχεδιαστεί για την προστασία των δεδομένων καθώς και να ενσωματώνει τις απαραίτητες εγγυήσεις στην επεξεργασία.

[3] Για τις ιδιωτικές επιχειρήσεις, μεγάλες αλλά και μεσαίες και μικρές, ο ορισμός ΥΠΟ είναι υποχρεωτικός όταν:

  • Απαιτείται τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα (π.χ. ασφαλιστικές ή τραπεζικές υπηρεσίες, υπηρεσίες τηλεφωνίας ή διαδικτύου, παροχή υπηρεσιών ασφαλείας, όλες οι μορφές παρακολούθησης  και διαμόρφωσης «προφίλ» στο διαδίκτυο, όπως  για σκοπούς συμπεριφορικής διαφήμισης).
  • Διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων (πχ. επεξεργασία δεδομένων υγείας από νοσοκομεία και κλινικές) ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.

 

Ελένης Μαρτσούκου Δικηγόρος / Τακτικό Μέλος ΑΠΔΠΧ

πηγή: http://www.epixeiro.gr (μέρος πρώτο και δεύτερο)

Εταιρικοί κανόνες για την προστασία των προσωπικών δεδομένων

On By pikramenoslawIn Κανονισμός 2016/679 (GDPR)Σχολιάστε

Σύμφωνα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την ασφαλή επεξεργασία και προστασία των προσωπικών δεδομένων είναι απαραίτητη η κατάρτιση Πολιτικής Ασφαλείας, Σχεδίου Ασφαλείας και Σχεδίου Ανάκαμψης από Καταστροφές. Επωφελής, επίσης, είναι κατά την γνώμη μας και η κατάρτιση Πολιτικής ικανοποίησης δικαιωμάτων των υποκειμένων της επεξεργασίας.

Οι παραπάνω υποχρεώσεις πηγάζουν ευθέως από τον Κανονισμό 2016/679 (GDPR), και στην πλειοψηφία τους ήδη προβλέπονταν από την Οδηγία 95/46/ΕΚ κατ’ εφαρμογή της οποίας ψηφίστηκε και ο νόμος 2472/1997.

Με απλά λόγια και έχοντας κατά νου μια επιχείρηση, η οποία περιορίζεται στην εσωτερική επεξεργασία προσωπικών δεδομένων και δεν αποστέλλει τέτοιου είδους δεδομένα στην αλλοδαπή θα επιχειρήσουμε να προσεγγίσουμε τις παραπάνω έννοιες.

Η Πολιτική Ασφαλείας

Η Πολιτική Ασφαλείας αποτελεί ένα έγγραφο, στο οποίο περιγράφονται συνοπτικά οι στόχοι ασφαλείας του υπευθύνου επεξεργασίας και τα μέτρα, που απαιτούνται να ληφθούν για την επίτευξή τους σύμφωνα με την ισχύουσα εθνική και ευρωπαϊκή νομοθεσία και τις εγκυκλίους της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Ο υπεύθυνος επεξεργασίας καταγράφει, δηλαδή, τις βασικές αρχές ασφαλείας των προσωπικών δεδομένων, που τηρεί και με αυτόν τον τρόπο αυτοδεσμεύεται.

Στην Πολιτική Ασφαλείας προσδιορίζονται τα προστατευόμενα αγαθά και δίνονται γενικές κατευθύνσεις για τα οργανωτικά, τεχνικά και μέτρα φυσικής ασφάλειας, τα οποία θα εξειδικευτούν στο πλαίσιο του Σχεδίου Ασφαλείας. Προσδιορίζονται, ακόμα, οι επιμέρους τομείς ασφαλείας και οι βασικοί κανόνες, που πρέπει να ακολουθούνται σε αυτούς για την επίτευξη των στόχων, που θέτει η πολιτική ασφαλείας.

Η γλώσσα στην οποία είναι γραμμένη η Πολιτική Ασφαλείας πρέπει να είναι απλή και κατανοητή απ’ όλους τους εργαζόμενους της επιχείρησης, που χειρίζονται προσωπικά δεδομένα και για τους οποίους είναι δεσμευτική.

Πρέπει, τέλος, να μην υπόκειται συχνά σε τροποποιήσεις, παρά μόνο όταν λαμβάνουν χώρα ποιοτικά σημαντικές αλλαγές στην υποδομή της επιχείρησης. Είναι, με λίγα λόγια, απαραίτητο η Πολιτική Ασφαλείας να έχει μια φιλοσοφία δεκτική γενικεύσεως, ώστε να μην χρειάζεται προσθήκες σε περίπτωση ήσσονος σημασίας μεταβολών της επιχειρησιακής λειτουργίας σε τεχνικό ή οργανωτικό επίπεδο.

Το Σχέδιο Ασφαλείας

Το Σχέδιο Ασφαλείας είναι ένα έγγραφο, στο οποίο περιγράφονται λεπτομερώς τα οργανωτικά, τεχνικά και μέτρα φυσικής ασφαλείας , που λαμβάνονται προκειμένου να γίνουν πράξη οι θεμελιώδεις αρχές ασφαλείας. Αποτελεί ουσιαστικά ένα πλάνο υλοποίησης των όσων περιγράφονται σε θεωρητικό επίπεδο στην Πολιτική Ασφαλείας και πρέπει να καλύπτει όλη την τεχνολογική υποδομή και τα συστήματα επεξεργασίας προσωπικών δεδομένων της επιχείρησης. (υλικού και λογισμικού)

Εξαιτίας της φύσης του πρέπει να υπόκειται σε τακτικές επισκοπήσεις ώστε να ανταποκρίνεται πλήρως στις ενδεχόμενες τροποποιήσεις των πληροφοριακών συστημάτων και υποδομών. Πρέπει, επιπλέον, να περιλαμβάνει διαδικασίες για την εκπόνηση ετησίων ελέγχων, εσωτερικών και εξωτερικών, μέσω των οποίων θα ελέγχεται η αποτελεσματικότητα των μέτρων ασφαλείας και θα εξετάζεται η ανάγκη αναθεώρησης και συμπλήρωσης αυτών.

Οργανωτικά μέτρα ασφαλείας.

 

  1. Ορισμός Υπευθύνου Προστασίας

Ο υπεύθυνος επεξεργασίας ορίζει «υπεύθυνο προστασίας» δεδομένων, όταν , γίνεται επεξεργασία ιδιαίτερα ευαίσθητων προσωπικών δεδομένων, όπως μεταξύ άλλων βιομετρικών δεδομένων και δεδομένων που σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου.

Ο υπεύθυνος προστασίας:

  • ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους του για τις υποχρεώσεις τους που απορρέουν από τον Κανονισμό και από άλλες διατάξεις του ευρωπαϊκού ή εθνικού δικαίου σχετικά με την προστασία δεδομένων.

  • παρακολουθεί τη συμμόρφωση με τον Κανονισμό και με άλλες διατάξεις του ευρωπαϊκού ή εθνικού δικαίου σχετικά με την προστασία δεδομένων.

  • παρέχει συμβουλές, όταν του ζητείται, όσον αφορά στην εκπόνηση μελετών εκτίμησης του κινδύνου σχετικά με ορισμένες ιδιαίτερες μορφές επεξεργασίας προσωπικών δεδομένων.

  • συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και ενεργεί ως σημείο επικοινωνίας μεταξύ αυτής και του υπευθύνου επεξεργασίας για ζητήματα που σχετίζονται με την επεξεργασία.

Όταν δεν είναι υποχρεωτικός ο ορισμός υπευθύνου προστασίας είναι δυνατόν να ορίζεται υπεύθυνος ασφαλείας. Πρόκειται για διακριτή θέση εντός της επιχείρησης με την αρμοδιότητα επίβλεψης της εφαρμογής της Πολιτικής και των επιμέρους μέτρων ασφαλείας

  1. Διάκριση και διαβάθμιση ρόλων: Οι υπάλληλοι πρέπει να έχουν πρόσβαση μόνο στα απολύτως απαραίτητα προσωπικά δεδομένα για την εκτέλεση των ρόλων τους, οι οποίοι πρέπει να σαφώς καθορισμένοι. Επίσης, τα δεδομένα πρέπει να διαβαθμίζονται βάση του είδους τους και της ιδιαίτερης ανάγκης για την προστασία τους και να υπάρχουν οι ανάλογοι περιορισμοί στην πρόσβαση σε αυτά.

Η ανάθεση καθηκόντων εκτέλεσης επεξεργασίας προσωπικών δεδομένων σε υπαλλήλους της επιχείρησης θα πρέπει να αποτυπώνεται γραπτά, όπως και η δέσμευση των εν λόγω υπαλλήλων για την τήρηση των κανόνων εμπιστευτικότητας και απορρήτου.

  1. Τοποθέτηση καταλλήλων υπαλλήλων σε σημαντικούς ρόλους: Η επεξεργασία προσωπικών δεδομένων πρέπει να γίνεται από υπαλλήλους, που διαθέτουν επαρκή προσόντα και γνώσεις για την τήρηση του απορρήτου και των εκάστοτε μέτρων ασφαλείας.

  2. Πρόβλεψη διαδικασίας, η οποία θα τηρείται, όταν ένας υπάλληλος αποχωρεί και θα στοχεύει στην προστασία των προσωπικών δεδομένων, στα οποία είχε πρόσβαση. Για παράδειγμα ενδείκνυται η κατάργηση όλων των λογαριασμών και κωδικών πρόσβασης, των εξουσιοδοτήσεων και των λογαριασμών ηλεκτρονικού ταχυδρομείου και η απαίτηση επιστροφής οποιουδήποτε εξοπλισμού έχει παρασχεθεί στον εν λόγω υπάλληλο.

  3. Τακτική τήρηση των αρχείων, που περιέχουν προσωπικά δεδομένα.

  4. Καταγραφή της μεταφοράς εξοπλισμού, που περιέχει αποθηκευμένα προσωπικά δεδομένα (λχ. ηλεκτρονικού υπολογιστή) και εξάρτηση αυτής από ιεραρχικό έλεγχο.

  5. Λήψη κατάλληλων μέτρων για την πλήρη και μόνιμη διαγραφή των προς καταστροφή εντύπων και ηλεκτρονικών αρχείων σύμφωνα και με την υπ’ αρίθμ. 1/2005 Οδηγία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Τα μέτρα αυτά θα πρέπει να εφαρμόζονται και στην περίπτωση προγραμματισμένης μαζικής καταστροφής και στην περίπτωση καθημερινής καταστροφής.

Τα προσωπικά δεδομένα πρέπει να καταστρέφονται με ευθύνη του υπεύθυνου επεξεργασίας αμέσως μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας. Όλως ενδεικτικά εντοπίζεται στην Οδηγία ο εξής πίνακας σχετικά με τις ενδεδειγμένες μεθόδους καταστροφής:

Μέσο επεξεργασίας

Ενδεικνυόμενοι τρόποι καταστροφής
Δεδομένα σε έντυπη μορφή
  1. Τεμαχισμός
  2. Πολτοποίηση-Ανακύκλωση
  3. Αποτέφρωση
Δεδομένα σε ηλεκτρονική ή άλλη μορφή
  1. Αλλοίωση δεδομένων (overwrite)
  2. Μορφοποίηση (format)
  3. Φυσική καταστροφή

  1. Αναγνώριση, αναφορά και άμεση αντιμετώπιση περιστατικών παραβίασης ασφαλείας.

Ως «παραβίαση δεδομένων προσωπικού χαρακτήρα» ορίζεται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

Σε μια τέτοια περίπτωση υπάρχει υποχρέωση αφενός γνωστοποίησης στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αμελλητί και, ει δυνατόν, εντός 72 ωρών και αφετέρου ανακοίνωσης στο υποκείμενο των δεδομένων, όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του.

Θα πρέπει να υπάρχει πρόβλεψη του προσωπικού, που στην συγκεκριμένη περίπτωση θα αναλάβει δράση, και διαδικασίας ταχείας εκτίμηση των συνεπειών της παραβίασης.

  1. Εκπαίδευση του προσωπικού της επιχείρησης σχετικά με την προστασία προσωπικών δεδομένων, ώστε να γίνει κατανοητός ο ρόλος, που καλούνται να επιτελέσουν, με βάση την Πολιτική Ασφαλείας και το ισχύον νομικό πλαίσιο. Επιπλέον, είναι απαραίτητη η υιοθέτηση ορθών πρακτικών για την διασφάλιση της ακεραιότητας του πληροφοριακού συστήματος (χρήση μη προβλέψιμων κωδικών πρόσβασης και συνθηματικών, πρόβλεψη διαδικασιών για τον εντοπισμό και την αναφορά των περιστατικών παραβίασης της ασφαλείας, σωστή χρήση των λογαριασμών email και των αποσπώμενων μέσων αποθήκευσης κ.ο.κ.).

Η εκπαίδευση του προσωπικού θα πρέπει να συνεχίζεται και μετά την πρόσληψή του, έτσι ώστε να ανταποκρίνεται στις τεχνολογικές εξελίξεις, αλλά και στις εξελισσόμενες ανάγκες της επιχείρησης.

  1. Εκπόνηση μελετών εκτίμησης του κινδύνου σε ορισμένες περιπτώσεις επεξεργασίας με υψηλό ρίσκο, σύμφωνα με τις ισχύουσες νομοθετικές προβλέψεις.

Η συγκεκριμένη υποχρέωση των υπευθύνων επεξεργασίας έχει ως στόχο την ενίσχυση της λογικής του προσεκτικού σχεδιασμού, της πρόληψης και της αυτοδέσμευσης.

Τεχνικά Μέτρα ασφαλείας

 

  1. Πρόβλεψη διαδικασιών για την ασφαλή διαχείριση (προσθήκη, μεταβολή και διαγραφή) των λογαριασμών των χρηστών του πληροφοριακού συστήματος, όταν αυτό απαιτείται.

  2. Διασφάλιση του ότι δεν επιτρέπεται η πρόσβαση σε ηλεκτρονικά αρχεία από μη εξουσιοδοτημένους χρήστες. Εγγύηση της ορθής ταυτοποίησης και αυθεντικοποίησης των χρηστών

  3. Διαχείριση των κωδικών ασφαλείας- συνθηματικών των χρηστών ώστε να υπάρχουν ορισμένες ελάχιστες εγγυήσεις για το μήκος, την πολυπλοκότητα και την παλαιότητα των συνθηματικών.

  4. Πρόβλεψη διαδικασιών αυτόματης αποσύνδεσης των χρηστών Η/Υ μετά από ένα εύλογο χρονικό διάστημα αδράνειας ή ενεργοποίηση της προφύλαξης οθόνης για την απενεργοποίηση της οποίας θα απαιτείται η χρήση του συνθηματικού πρόσβασης.

  5. Πρόβλεψη διαδικασίας για την τήρηση αντιγράφων ασφαλείας όλων των κρίσιμων αρχείων ανά τακτά χρονικά διαστήματα.

  6. Προστασία του πληροφοριακού συστήματος (τόσο των προσωπικών υπολογιστών όσο και των διακομιστών) από κακόβουλο λογισμικό με την χρήση καταλλήλων προγραμμάτων και τείχους ασφαλείας. Απαραίτητη κρίνεται εκ τούτου και η χρήση των πλέον πρόσφατων ενημερώσεων ασφαλείας.

  7. Πρόβλεψη δικλείδων ασφαλείας, που θα απαγορεύουν στους απλούς χρήστες ενέργειες, οι οποίες θα μπορούσαν να βλάψουν την ασφάλεια των υπολογιστών τους, όπως η απενεργοποίηση προγραμμάτων ασφαλείας.

  8. Τήρηση αρχείων καταγραφής όλων των ενεργειών στα κρίσιμα συστήματα της επιχείρησης. Στα εν λόγω αρχείο καταγράφονται κατ’ ελάχιστον το αναγνωριστικό του χρήστη που αιτήθηκε την προσπέλαση δεδομένων προσωπικού χαρακτήρα, η ημερομηνία και ώρα του σχετικού αιτήματος, το σύστημα μέσω του οποίου αιτήθηκε την πρόσβαση καθώς και αν τελικά προσπέλασε τα αρχεία που αιτήθηκε.

Προκειμένου να εξασφαλίζεται η ασφάλεια των αρχείων καταγραφής θα πρέπει να επιτρέπεται η πρόσβαση μόνο εξουσιοδοτημένων χρηστών σε αυτά.

  1. Αποφυγή ευπαθών ως προς την ασφάλειά τους πρωτοκόλλων δικτύου.

  2. Πρόβλεψη διαδικασιών για την αποτελεσματική κρυπτογράφηση αρχείων με προσωπικά δεδομένα, που τηρούνται σε φορητά αποθηκευτικά μέσα. Επιλογή σύγχρονων και ισχυρών αλγορίθμων κρυπτογράφησης.

  3. Εφαρμογή των ενημερώσεων λογισμικού, τόσο σε επίπεδο επιμέρους εφαρμογών όσο και σε επίπεδο λειτουργικού συστήματος, σε δοκιμαστικό περιβάλλον. Συνίσταται, μάλιστα, η κεντρική διαχείριση των σχετικών ενημερώσεων λογισμικού.

Μέτρα φυσικής ασφαλείας

  1. Περιορισμός και έλεγχος της φυσικής πρόσβασης σε χώρους, όπου βρίσκεται κρίσιμος εξοπλισμός της επιχείρησης. Παραχώρηση δικαιωμάτων πρόσβασης σε ορισμένους ευαίσθητους χώρους μονάχα σε εξουσιοδοτημένο προσωπικό.

  2. Τήρηση καταλόγου για τα δικαιώματα πρόσβασης και για την κατοχή κωδικών, καρτών εισόδου και κλειδιών από μέλη του προσωπικού.

  3. Μέτρα προστασίας από φυσικές καταστροφές και εγκληματικές ενέργειες (συναγερμός, πόρτες και παράθυρα ασφαλείας, πυροπροστασία, απομάκρυνση εξοπλισμού από υδροσωληνώσεις και πηγές σκόνης, ανιχνευτές υγρασίας και πλημμύρας, αδιάλειπτη παροχή ρεύματος μέσω σταθεροποιητών και γεννητριών, κ.ο.κ.)

  4. Προφύλαξη των φυσικών αρχείων, που περιέχουν προσωπικά δεδομένα. Τα σχετικά έγγραφα πρέπει να είναι τοποθετημένα σε φωριαμούς και οργανωμένα σε συγκεκριμένα γραφεία, ώστε να μην αφήνονται χωρίς επίβλεψη.

Το Σχέδιο Ανάκαμψης από Καταστροφές

Το Σχέδιο Ανάκαμψης από Καταστροφές είναι ένα έγγραφο, στο οποίο αποτυπώνονται οι διαδικασίες και τα τεχνικά μέτρα που πρέπει να εφαρμόσει ο υπεύθυνος επεξεργασίας για την προστασία των προσωπικών δεδομένων σε περίπτωση κάποιου εκτάκτου περιστατικού, όπως φυσικής καταστροφής (π.χ. σεισμός, πυρκαγιά, πλημμύρα) ή μεγάλης εμβέλειας περιστατικού ασφαλείας (π.χ. προσβολή από κακόβουλο λογισμικό). Ως εκ τούτου, συμπληρώνει το Σχέδιο Ασφαλείας ή αποτελεί μέρος του.

Το Σχέδιο Ανάκαμψης από Καταστροφές πρέπει να προσδιορίζει τις σημαντικές λειτουργίες και τα αντίστοιχα συστήματα της επιχείρησης, τη στρατηγική προστασίας τους και την προτεραιότητα με την οποία θα τεθούν σε εφαρμογή οι δραστηριότητες αποκατάστασης ή εναλλακτικής λειτουργίας τους.

Στο Σχέδιο Ανάκαμψης από Καταστροφές, πρέπει να προβλέπονται μέτρα που στοχεύουν στα ακόλουθα:

  • Ελαχιστοποίηση διακοπών της κανονικής λειτουργίας.

  • Περιορισμός της έκτασης των ζημιών και καταστροφών και αποφυγή πιθανής κλιμάκωσης αυτών.

  • Εγκατάσταση εναλλακτικών μέσων λειτουργίας εκ των προτέρων,

  • Εκπαίδευση, εξάσκηση και εξοικείωση του ανθρώπινου δυναμικού της επιχείρησης με τις διαδικασίες έκτακτης ανάγκης.

  • Δυνατότητα ταχείας και ομαλής αποκατάστασης της λειτουργίας της επιχείρησης.

Εκ της φύσεώς του το Σχέδιο αυτό πρέπει να ελέγχεται περιοδικά προκειμένου να διαπιστώνεται η αποτελεσματικότητα των μεθόδων ανάκαμψης.

Πολιτική ικανοποίησης δικαιωμάτων των υποκειμένων της επεξεργασίας

Βασική αρχή του Κανονισμού 2016/679 είναι πως τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο, συλλέγονται για καθορισμένους σκοπούς, είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς της επεξεργασίας μέτρο, είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται, διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων τους μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας και υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια τους.

Με βάση τις παραπάνω αρχές προκύπτουν και τα διάφορα δικαιώματα των υποκειμένων της επεξεργασίας (λ.χ. δικαίωμα πρόσβασης, λήψης, διόρθωσης, διαγραφής κ.ο.κ.). Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε τα υποκείμενα των δεδομένων να μπορούν να ασκούν αποτελεσματικά τα δικαιώματα αυτά φροντίζοντας, ιδίως, για την κατάλληλη εκπαίδευση του προσωπικού του και για την πρόβλεψη διαδικασιών ικανοποίησης των αιτημάτων τους.

Επιπλέον, εάν η νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στηρίζεται στην συναίνεση του υποκειμένου και όχι σε κάποιον άλλο, εξαιρετικό λόγο τότε ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.

Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή μορφή και χρησιμοποιώντας απλή διατύπωση. Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια, η οποία να συνιστά ελεύθερη, συγκεκριμένη και ρητή συμφωνία του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων, που το αφορούν.

Αυτό θα μπορούσε να εξασφαλιστεί με τη συμπλήρωση ενός τετραγωνιδίου κατά την επίσκεψη σε διαδικτυακή ιστοσελίδα, με την επιλογή των επιθυμητών τεχνικών ρυθμίσεων για υπηρεσίες της κοινωνίας των πληροφοριών ή με μια δήλωση ή συμπεριφορά που δηλώνει σαφώς, στο συγκεκριμένο πλαίσιο, ότι το υποκείμενο των δεδομένων αποδέχεται την πρόταση επεξεργασίας των οικείων δεδομένων προσωπικού χαρακτήρα.

Επομένως η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση. Σε περίπτωση που το υποκείμενο αποσύρει την συγκατάθεσή του, έχει το δικαίωμα να ζητεί την διαγραφή των δεδομένων προσωπικού χαρακτήρα, που το αφορούν («δικαίωμα στην λήθη»).

Κανονισμός 2016/679 και βασικές υποχρεώσεις των επιχειρήσεων

On By pikramenoslawIn Κανονισμός 2016/679 (GDPR)Σχολιάστε

Η σύγχρονη τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Κρίθηκε, λοιπόν, από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο της Ευρωπαϊκής Ένωσης αναγκαία η δημιουργία ενός νομικού πλαισίου, το οποίο θεσπίζει κοινούς για όλα τα κράτη της Ευρωπαϊκής Ένωσης κανόνες, που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα

Αποτέλεσμα των παραπάνω ήταν η δημιουργία του Κανονισμού 2016/679, ο οποίος  τίθεται σε εφαρμογή από τις 25 Μαΐου 2018. Ο Κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

 

Από τις 25 Μαΐου 2018 ο Κανονισμός θα τεθεί σε πλήρη εφαρμογή και οι παραβάτες του θα απειλούνται με υψηλά διοικητικά πρόστιμα και αγωγές αποζημίωσης. Ήδη μεγάλα δικηγορικά γραφεία και σύνδεσμοι καταναλωτών έχουν δημιουργήσει την υποδομή για να δεχτούν το πρώτο μεγάλο κύμα καταγγελιών και να στραφούν νομικά εναντίον των επιχειρήσεων, που ηθελημένα ή αθέλητα δεν θα ανταποκρίνονται στα νέα πρότυπα. Η συμμόρφωση, λοιπόν, με τις απαιτήσεις του Κανονισμού είναι μονόδρομος και παρά τις αρχικές δυσκολίες ελπίζουμε, πως θα συμβάλλει στην περαιτέρω ανάπτυξη της επιχείρησής σας και στην λειτουργία της σύμφωνα με τα ευρωπαϊκά πρότυπα.

Στην προσπάθεια σας για την βέλτιστη δυνατή προετοιμασία της επιχείρησής σας το δικηγορικό μας γραφείο μπορεί να σταθεί αρωγός παρέχοντες εξειδικευμένες υπηρεσίες συμβουλευτικής, εκπαίδευσης και, κυρίως, προετοιμασίας και γραπτής αποτύπωσης των νέων εσωτερικών κανονισμών για την ασφαλή απόκτηση, χρήση και διατήρηση των δεδομένων προσωπικού χαρακτήρα.

Με εκτίμηση,

Μιχαήλ Πικραμένος