Εφαρμογή του ΓΚΠΔ Στις Μικρομεσαίες Επιχειρήσεις
Published by D.D.Garbis in GDPR Compliance · 28 March 2021
Tags: #GDPR, #Compliance, #PersonalData, #PrivateData, #DataProtection
Tags: #GDPR, #Compliance, #PersonalData, #PrivateData, #DataProtection
Στις 18 Μάιου 2021 συμπληρώνονται 3 χρόνια από την ημερομηνία εφαρμογή του Ευρωπαϊκού Κανονισμού για την προστασία προσωπικών δεδομένων (“ΓΚΠΔ” ή “GDPR“). Η πλειοψηφία των μικρών και μικρομεσαίων επιχειρήσεων θα έπρεπε ήδη να έχουν υλοποιήσει μια σειρά από ενέργειες προς την κατεύθυνση της προστασίας των (προσωπικών) δεδομένων που διαχειρίζονται.
Μια επιχείρηση οφείλει να εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων που διαχειρίζεται Η έκταση και το εύρος εφαρμογής αυτών των μέτρων διαφοροποιούνται ανάλογα:
- Με το μέγεθος, κύκλο εργασιών της εταιρίας,
- Το επιχειρηματικό αντικείμενο της εταιρίας, και
- Με τον όγκο των δεδομένων που διαχειρίζεται η εταιρία
Ο ενδεικτικός αλλά όχι περιοριστικός προτεινόμενος κατάλογος προληπτικών μέτρων και ενεργειών περιλαμβάνει:
Διαδικασίες

Διορισμός DPO επιβάλλεται όταν:
- Υπάρχει τακτική και συστηματική παρακολούθηση δεδομένων πελατών, προσωπικού, προμηθευτών, και συνεργατών σε μεγάλη κλίμακα (> 5Κ ή 3Κ εγγραφών)
- Λαμβάνει χώρα μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών, ευαίσθητων δεδομένων

Δημιουργία προγράμματα εκπαίδευσης του προσωπικού περί του ΓΚΠΔ και την νόμιμη και ορθή χρήση των εταιρικών δεδομένων

Στην περίπτωση λειτουργίας κλειστού κυκλώματος τηλεόρασης (CCTV) η εταιρία έχει υποχρέωση κατά τον ΓΚΠΔ και την κείμενη σχετική νομοθεσία για (α) την ενημέρωση των υποκειμένων (φυσικών προσώπων) με εμφανείς σημάνσεις για την ύπαρξη του συστήματος βιντεοεπιτήρησης και για τους σκοπούς αυτού, (β) την τοποθέτηση καμερών σε σημεία εισόδου και εξόδου, σε χώρους ταμείων ή χώρους κρίσιμων εγκαταστάσεων, (γ) την προστασία των μονάδων καταγραφής και διαγραφή του καταγεγραμμένου υλικού εντός δέκα πέντε (15) ημερών.

Στην περίπτωση ηλεκτρονικής παρουσίαση της εταιρίας στο διαδίκτυο – ιστοσελίδας θα πρέπει να δημιουργηθούν ηλεκτρονικά έγγραφα τα οποία να περιγράφουν (α) τους όρους και προϋποθέσεων χρήσης της ιστοσελίδας, (β) την δυνατότητα στον επισκέπτη να αποδεχθεί ή να απορρίψει την εγκατάσταση cookies (πέραν των «αυστηρώς απαραίτητων»), (γ) της πολιτικής λήψης και προστασίας δεδομένων και επεξεργασίας προσωπικών δεδομένων της επιχείρησης από το διαδίκτυο και από άλλες πηγές,

Δημιουργία μηχανισμού ξεκάθαρης και ρητής συγκατάθεσης αλλά και τερματισμού αυτής (opt-out) περί της αποδοχής των πελατών και των συνεργατών για την λήψη επικοινωνιών και ενημερώσεων τύπου newsletter, SMS, push notifications (Viber, Skype, WhatsApp, Telegram Messenger …) και emails.

Ενδεικτικά μέτρα φυσικής ασφάλειας τα οποία προτείνονται να ληφθούν: (α) χρήση πυρασφαλών φωριαμών προστατευμένων και με κλειδαριές ασφαλείας, (β) εγκατάσταση συστήματος φυσικής πρόσβασης ασφαλείας (physical access control) με διαγραφόμενο μέσο ταυτοποίησης, (γ) εγκατάσταση συστήματος κλειστού κυκλώματος τηλεόρασης (CCTV), (δ) δημιουργία διαδικασίας στην περίπτωση αποχώρησης προσωπικού το οποίο ανήκει στο προσωπικό ασφαλείας (διαχείριση, κλειδιών, κωδικών συνθηματικών κλπ.) και (ε) δημιουργία διαδικασιών κατά την αποχώρηση του προσωπικού από τις εγκαταστάσεις της εταιρίας.

Ενδεικτικά μέτρα ασφάλειας αποθηκευμένων δεδομένων σε ηλεκτρονική μορφή τα οποία προτείνονται να ληφθούν: (α) εγκατάσταση εφαρμογών λογισμικού anti-virus, anti-malware, anti-ransomware, end-point protection, data linkage protection, data encryption, firewall κλπ, (β) δημιουργία διαδικασιών για την λήψη αντιγραφών ασφαλείς (backup) με χρονοπρογραμματισμό και αποθήκευση αυτών σε απομακρυσμένη γεωγραφική θέση ή στο cloud, (γ) έλεγχος και περιορισμός στην χρήση και διασύνδεση αποσπωμένων αποθηκευτικών μέσων, (δ) αυστηρή διαχείριση των λογαριασμών χρηστών με μηχανισμούς ελέγχου πρόσβασης (access control), διαχείρισης κωδικών πρόσβαση και διαχείριση δικαιωμάτων πρόσβασης (access user rights)και (ε) δημιουργία πολιτικών ασφαλείας και διαδικασιών για την προστασία δεδομένων σε ηλεκτρονική μορφή (data security policy).

Ενδεικτικές διαδικασίες και μέτρα ασφαλείας για την διαβίβαση δεδομένων και πληροφοριών σε τρίτες νομικές οντότητες τα οποία προτείνονται να ληφθούν (α) προστασία των ηλεκτρονικών αρχείων με κωδικούς ασφαλείας και κρυπτογράφηση, (β) αποστολή κωδικών ασφαλείας και κλειδιών αποκρυπτογράφησης σε διαφορετικό τηλεπικοινωνιακό κανάλι, (γ) δημιουργία διαδικασιών για την αυστηρή ταυτοποίηση ατόμων πριν την διαβίβαση δεδομένων σε αυτά.
Έγγραφα

Δημιουργία εγγράφου πολιτικής προστασίας δεδομένων προσωπικού χαρακτήρα.

Δημιουργία αρχείου δραστηριοτήτων επί των προσωπικών δεδομένων (Registry of Processing Activities - ROPA)με (α) με όλες τις κατηγορίες επεξεργασίας των προσωπικών δεδομένων για τις οποίες είναι υπεύθυνη η επιχείρηση (ως υπεύθυνος επεξεργασίας) και (β) με αναφορά στις βασικές πληροφορίες που απαιτούνται από τον ΓΚΠΔ.

Δημιουργία εγγράφου περιγραφής των διαδικασιών με τους τρόπους επεξεργασίας των προσωπικών δεδομένων από την επιχείρηση.

Δημιουργία εγγράφου (έντυπο & ηλεκτρονικό αρχείο) ενημέρωσης πελατών για την χρήση των προσωπικών δεδομένων τους με αναφορά (α) στους σκοπούς χρήσης των δεδομένων, (β) την νομική βάση επεξεργασίας, (γ) την χρονική διάρκεια αποθήκευσες, (δ) στις άλλες νομικές οντότητες στις οποίες αυτά μπορεί να κοινοποιηθούν (ε) στα βασικά δικαιώματα των πελατών σε καταγγελία, τερματισμός της εμπορικής σχέσης, παραλαβής αντιγράφου των διαχειριζόμενων προσωπικών δεδομένων κλπ.

• Δημιουργία εγγράφου (έντυπο & ηλεκτρονικό αρχείο) ενημέρωσης προσωπικού με ακριβή και αναλυτική περιγραφή της επεξεργασίας των προσωπικών τους δεδομένων. Δημιουργία έγγραφου και υπογραφή αυτού από το σύνολο του προσωπικού περί εμπιστευτικότητας και μη αποκάλυψης εταιρικών δεδομένων

Δημιουργία εγγράφου (έντυπο & ηλεκτρονικό αρχείο) επέκτασης τυχόν συμβάσεων με εξωτερικούς συνεργάτες, προμηθευτές, και εργολάβους το οποίο να περιλαμβάνει, κατά περίπτωση, συνθήκες και όρους σχετικές με τν ΓΚΠΔ, την επεξεργασία προσωπικών δεδομένων και τις υποχρεώσεις αυτών (των εξωτερικών συνεργατών) που αφορούν την διαχείριση προσωπικών δεδομένων.
Συμπέρασμα
Μικρές και μικρομεσαίες επιχειρήσεις αφενός μεν θα πρέπει να κατανοούν τον ΓΚΠΔ και να αντιλαμβάνονται τον σκοπό και την σημαντικότητα της προστασίας των προσωπικών δεδομένων που διαχειρίζονται, αφετέρου δε πρέπει και να υιοθετούν τεχνικά και οργανωτικά μέτρα προστασίας των προσωπικών δεδομένων όπως ορίζεται από τον ΓΚΠΔ και την σχετική κείμενη νομοθεσία.
Η CubeIQ και η KontakosMC, διαθέτοντας ομάδα εξειδικευμένων συμβούλων και δικηγόρων και σε συνεργασία με τους καλύτερους επαγγελματίες στον τομέα του ΙΤ βρίσκεται στη διάθεσή σας για να αναλάβει πλήρως ή μερικώς το Έργο Συμμόρφωσης με τον ΓΚΠΔ (GDPR) καθώς και να παράσχει διευκρινίσεις και κατευθύνσεις σχετικά με τις υποχρεώσεις που επιβάλλει ο νέος Κανονισμός με την διαχείριση δεδομένων Προσωπικού Χαρακτήρα.
####