ΥΠΗΡΕΣΙΕΣ GDPR

  • Home
  • /
  • ΥΠΗΡΕΣΙΕΣ GDPR

Η 25-05-2018 είναι η ημερομηνία της υποχρέωσης όλων των επιχειρήσεων του δημόσιου και του ιδιωτικού τομέα που εδρεύουν στις χώρες της Ευρωπαϊκής Ένωσης να συμμορφωθούν με τις απαιτήσεις του Γενικού Κανονισμού 679/2016 Προστασίας Δεδομένων (General Data Protection Regulation – GDPR,) ο οποίος ψηφίστηκε από το Ευρωπαϊκό Κοινοβούλιο τον Απρίλιο του 2016.

GDPR COMPLIANCE

Η TRUST-IT με τους εξειδικευμένους τεχνικούς και με τη συνδρομή νομικών συμβούλων και δικηγόρων ειδικής εμπειρογνωσίας είναι σε θέση να συνδράμει με την παροχή συμβουλευτικών υπηρεσιών εταιρείες και Οργανισμούς με σκοπό την επίτευξη της συμμόρφωσης τους σύμφωνα με τις απαιτήσεις του GDPR.

Overview

Με τον νέο κανονισμό αυξάνονται οι υποχρεώσεις των επιχειρήσεων και επιβάλλονται πολύ υψηλά πρόστιμα σε περιπτώσεις μη συμμόρφωσης με αυτόν.

Η ψήφιση και εφαρμογή του GDPR έχει σαν σκοπό:

  • Την ενδυνάμωση των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων που αφορούν την προστασία των προσωπικών δεδομένων τους.
  • Την ανάγκη ομοιόμορφης εφαρμογής των κανόνων προστασίας των προσωπικών δεδομένων στην Ευρωπαϊκή Ένωση.

Σύμφωνα με τον GDPR:

  • Εξειδικεύεται η έννοια των απλών προσωπικών δεδομένων (δεδομένα θέσης, αναγνωριστικά στοιχεία ταυτότητας του υποκειμένου που διευκολύνουν τον εντοπισμό του καθώς και η έννοια των ευαίσθητων προσωπικών δεδομένων (γενετικά και βιομετρικά).
  • Προστίθενται έννοιες όπως «περιορισμός της επεξεργασίας», «κατάρτιση προφίλ», «ψευδωνυμοποίηση».
  • Θεσμοθετείται ο ορισμός «υπευθύνου επεξεργασίας» ο οποίος έχει την ευθύνη και πρέπει να είναι σε θέση να αποδεικνύει ανα πάσα στιγμή οτι εφαρμόζει τον ΓΚΠΠΔ.
  • Θεσμοθετείται ο ορισμός «υπευθύνου προστασίας δεδομένων» ο οποίος ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται προσωπικά δεδομένα, για τις υποχρεώσεις τους που απορρέουν από τον ΓΚΠΠΔ σχετικά με την προστασία δεδομένων,
  • Προβλέπεται η υποχρέωση από τον εκτελούντα την επεξεργασία των προσωπικών δεδομένων για:
    • Δημιουργία και τήρηση αρχείου καταγραφών των ενεργειών επεξεργασίας δεδομένων.
    • Εφαρμογή κατάλληλων μέτρων για διασφάλιση της επεξεργασίας των προσωπικών δεδομένων.
    • Ενημέρωση του υπευθύνου επεξεργασίας σε περίπτωση παραβίασης δεδομένων.
  • Εφαρμόζονται μέτρα προστασίας προσωπικών δεδομένων από τον σχεδιασμό (privacy by design) και εξ’ ορισμού (privacy by default)
  • Γνωστοποιούνται παραβιάσεις δεδομένων στην εποπτική αρχή εντός 72 ωρών
  • Δημιουργούνται αυξημένες απαιτήσεις διαχείρισης κινδύνου συμπεριλαμβανομένης της αξιολόγησης των επιπτώσεων στην ιδιωτικότητα (Data Privacy Impact Analysis – DPIA)
  • Θεσπίζονται μηχανισμοί πιστοποίησης, και σημάτων προστασίας των προσωπικών δεδομένων
  • Επιβάλλονται, σε περιπτώσεις μη συμμόρφωσης με τις απαιτήσεις του GDPR διοικητικά πρόστιμα σε βάρος του υπευθύνου ή του εκτελούντος την επεξεργασία έως 20.000.000,00 ευρώ ή σε περίπτωση επιχειρήσεων έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους.

Τις ενέργειες στις οποίες πρέπει να προβεί μια επιχείρηση για να επιτύχει την συμμόρφωση της σύμφωνα με τις απαιτήσεις του GDPR τις διακρίνουμε στις εξής φάσεις:

ΦΑΣΗ 1 Αναγνώριση των προσωπικών δεδομένων και ανάλυση της ροής αυτών (Identification, data mapping & data flow analysis)
ΦΑΣΗ 2 Ανάλυση των ελλείψεων (GAP Analysis)
ΦΑΣΗ 3 Εκτίμηση αντικτύπου στην ιδιωτικότητα (Data Privacy Impact Assessment – DPIA)
ΦΑΣΗ 4 Εφαρμογή των σχεδίων δράσης
ΦΑΣΗ 5 Εκπόνηση σχεδίου έκτακτης ανάγκης
ΦΑΣΗ 6 Έλεγχοι ετοιμότητας
ΦΑΣΗ 7 Ευαισθητοποίηση – Εκπαίδευση
ΦΑΣΗ 8 Συνεχής διαχείριση και παρακολούθηση της συμμόρφωσης

Η φάση αυτή αποτελείται από δύο μέρη. Το πρώτο μέρος είναι η αναγνώριση  και η αποτύπωση των προσωπικών δεδομένων. Στο μέρος αυτό καταγράφουμε, αποτυπώνουμε και χαρτογραφούμε μέσω συνεντεύξεων με στελέχη των προαναφερθέντων Διευθύνσεων της επιχείρησης το που, πως και σε τι μορφή βρίσκονται τα προσωπικά δεδομένα καθώς  και τις διαδικασίες που ακολουθεί η εταιρεία όσον αφορά την συλλογή, καταχώριση,  οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή, μεταβολή, ανάκτηση, αναζήτηση, χρήση, κοινολόγηση,  διαγραφή ή καταστροφή των προσωπικών δεδομένων. Στην φάση αυτή περιλαμβάνεται η χαρτογράφηση των προσωπικών δεδομένων των εργαζομένων, πελατών και προμηθευτών της επιχείρησης.

Καταγράφουμε:

  • Τι προσωπικά δεδομένα συλλέγονται και επεξεργάζονται σε κάθε φάση των δραστηριοτήτων της επιχείρησης.
  • Ποιος έχει πρόσβαση σε αυτά τα δεδομένα.
  • Ποιος εμπλέκεται στην επεξεργασία των προσωπικών δεδομένων.
  • Ποια είναι τα εργαλεία που χρησιμοποιούνται στην επεξεργασία των προσωπικών δεδομένων.
  • Που βρίσκονται τα προσωπικά δεδομένα.
  • Για ποιο σκοπό χρησιμοποιούνται τα προσωπικά δεδομένα.

Έτσι θα δημιουργήσουμε το Αρχείο Καταγραφής των Προσωπικών Δεδομένων της επιχείρησης σύμφωνα με τις απαιτήσεις του GDPR.

Το δεύτερο μέρος  της φάσης αυτής είναι  η διενέργεια της Ανάλυσης Ροής Δεδομένων (Data Flow Analysis) κάτι που απαιτείται από τον GDPR.

Η Ανάλυση της Ροής Δεδομένων παρέχει μια επισκόπηση όσον αφορά:

  • Ποιες είναι οι διαδικασίες με τις οποίες η επιχείρησης επεξεργάζεται τα δεδομένα και
  • Πώς ανταλλάσσονται τα δεδομένα μεταξύ των συστημάτων.

Το αποτέλεσμα της φάσης αυτής θα είναι μια πλήρης επισκόπηση των δεδομένων προσωπικού χαρακτήρα των υποκειμένων της εταιρείας, καθώς και των συστημάτων, των διαδικασιών και των ανθρώπων που τα χειρίζονται.

Στη φάση αυτή, τα αποτελέσματα της φάσης 1 συγκρίνονται με τις απαιτήσεις που ορίζονται στον  GDPR έτσι ώστε να είναι σαφές ποια κενά έχει η επιχείρηση όσον αφορά τη συμμόρφωση της με τις απαιτήσεις του GDPR. Αυτή η διαδικασία είναι επίσης γνωστή ως ανάλυση GAP (GAP Analysis).

Ειδικότερα θα ελέγξουμε:

  • Αν υπάρχουν διαδικασίες επεξεργασίας των προσωπικών δεδομένων.
  • Αν υπάρχουν διαδικασίες ενημέρωσης του προσωπικού, πελατών και προμηθευτών για τα προσωπικά δεδομένα, πως αποτυπώνονται αυτές και αν είναι σύμφωνες με τον GDPR.
  • Αν υπάρχουν διαδικασίες για την άσκηση των δικαιωμάτων των υποκειμένων των προσωπικών δεδομένων.
  • Αν οι διαδικασίες επεξεργασίας των προσωπικών δεδομένων που ακολουθεί η επιχείρηση είναι σύμφωνες με τον GDPR.
  • Αν ακολουθούνται οι νόμιμες διαδικασίες που αφορούν την συναίνεση των υποκειμένων προσωπικών δεδομένων σχετικά με την συγκατάθεση των υποκειμένων για την επεξεργασία των προσωπικών τους δεδομένων.
  • Αν σε περιπτώσεις παραβίασης προσωπικών δεδομένων η επιχείρηση διαθέτει τις απαραίτητες διαδικασίες ενημέρωσης της Ρυθμιστικής Αρχής και συγκεκριμένα της Αρχής Προστασίας Προσωπικών Δεδομένων εντός 72 ωρών για τα συμβάντα αυτά.
  • Αν το επίπεδο ασφαλείας των πληροφοριακών συστημάτων της επιχείρησης μέσω των οποίων γίνεται η επεξεργασία των προσωπικών δεδομένων ανταποκρίνεται στις απαιτήσεις του GDPR. Σε αυτό θα μας βοηθήσει η διενέργεια Αξιολόγησης Κινδύνου (Risk Assessment) στο δίκτυο πληροφοριακών συστημάτων της επιχείρησης και σύμφωνα με τα αποτελέσματα της θα είμαστε σε θέση να γνωρίζουμε  αν απαιτείται η λήψη περαιτέρω μέτρων για την βελτίωση του επιπέδου ασφάλειας των πληροφοριακών συστημάτων.

Αφού ολοκληρωθούν οι παραπάνω έλεγχοι θα είμαστε σε θέση να γνωρίζουμε τα κενά της υπάρχουσας κατάστασης όσον αφορά την επεξεργασία των προσωπικών δεδομένων των εργαζομένων, πελατών και προμηθευτών της επιχείρησης σε σχέση με τις απαιτήσεις του GDPR.

Η ανάλυση των ελλείψεων (GAP Analysis) θα συμβάλει επίσης στην ιεράρχηση της λήψης μέτρων έτσι ώστε οι πρωτοβουλίες να ακολουθούν μια λογική εξέλιξη.

Μία από τις απαιτήσεις του GDPR  είναι  η διεξαγωγή της λεγόμενης Εκτίμησης Αντικτύπου (Data Privacy Impact Assessment – DPIA) πριν από την εφαρμογή συγκεκριμένων μέτρων.

Η εκτίμηση αντικτύπου στην ιδιωτικότητα θα γίνει με βάση το Αρχείο Καταγραφής των Προσωπικών Δεδομένων το οποίο θα δημιουργηθεί κατά την φάση 1.

Η εκτίμηση αντικτύπου στην ιδιωτικότητα θα γίνει για κάθε τύπο προσωπικών δεδομένων και θα διεξαχθεί σε 4 βήματα:

ΒΗΜΑ Α: Καθορισμός των απειλών (Definition of threats)

ΒΗΜΑ Β: Αξιολόγηση του αντίκτυπου (Evaluation of impact)

ΒΗΜΑ Γ: Αξιολόγηση των τρωτοτήτων (Evaluation of vulnerabilities)

ΒΗΜΑ Δ: Αντιμετώπιση διακινδύνευσης (Risk treatment)

Η DPIA θεωρείται σαν μια βασική αξιολόγηση του επιπέδου προστασίας των προσωπικών δεδομένων  τα οποία επεξεργάζεται η επιχείρηση. Με την DPIA η επιχείρηση εξετάζει και καταγράφει τις πιθανές συνέπειες, όταν αυτή επεξεργάζεται προσωπικά δεδομένα μέσω των διαδικασιών και των συστημάτων της.

Η φάση αυτή είναι η φάση υλοποίησης και εξαρτάται από το επίπεδο «ψηφιακής ωριμότητας» της επιχείρησης.

Η  φάση αυτή αφορά την υλοποίηση μέτρων για την συμμόρφωση με τον GDPR (compliance plan).

Συνίσταται τόσο στην λήψη μέτρων διαδικασιών όσο και τεχνικών μέτρων.

Τα μέτρα διαδικασιών συνίστανται στην ικανότητα της επιχείρησης να τεκμηριώνει τι γίνεται και γιατί, καλύπτοντας την ικανότητα της να αποδείξει πώς υλοποιεί, συντηρεί, ενημερώνει και εξασφαλίζει, μέσω ενός συστήματος διαχείρισης προσωπικών δεδομένων, τίς τεχνολογικές λύσεις  για την προστασία αυτών.

Λαμβάνοντας υπόψη τα αποτελέσματα της ανάλυσης ελλείψεων (GAP Analysis), της  φάσης 2, η TRUST-IT θα διορθώσει η/και θα συμπληρώσει υπάρχουσες διαδικασίες και θα συγγράψει νέες καλύπτοντας έτσι τα κενά όσον αφορά τα μέτρα διαδικασιών.

Τα τεχνικά μέτρα αφορούν επεμβάσεις στην υποδομή πληροφοριακών συστημάτων και ειδικότερα αναβάθμιση αυτών, εγκατάσταση εφαρμογών κρυπτογράφησης και ανωνυμοποίησης κλπ., για την κάλυψη των κενών, τα οποία θα έχουν καταγραφεί στην ανάλυση ελλείψεων.

Ο σκοπός της λήψης των τεχνικών μέτρων είναι να μπορούν τα πληροφοριακά συστήματα να υποστηρίζουν τις επιχειρηματικές διαδικασίες με ασφάλεια σύμφωνα με  τις απαιτήσεις που ορίζονται στον GDPR.

Η φάση αυτή περιλαμβάνει την εκπόνηση ενός σχεδίου έκτακτης ανάγκης που να μπορεί να εφαρμοστεί στις περιπτώσεις διαρροής προσωπικών δεδομένων.

Σε περιπτώσεις διαρροής πληροφοριών που αφορούν προσωπικά δεδομένα, ο GDPR  επιβάλει μια απαίτηση σύμφωνα με την οποία η επιχείρηση πρέπει να ενημερώνει την Εποπτική Αρχή  εντός 72 ωρών από την καταχώριση συμβάντος διαρροής προσωπικών δεδομένων. Στην σχετική αναφορά-έκθεση που θα συντάσσεται σε τέτοιες περιπτώσεις θα πρέπει να αναφέρονται:

  • Ποιοί τύποι δεδομένων διέρρευσαν;
  • Πόσοι συμμετέχουν στη διαρροή;
  • Ποιες είναι οι συνέπειες για αυτούς;
  • Τι έχει γίνει για να διασφαλιστεί ότι αυτό δεν θα συμβεί ξανά;

Σε αυτό το σχέδιο έκτακτης ανάγκης θα πρέπει να περιγράφονται λεπτομερώς οι διαδικασίες που θα ακολουθούνται καθώς και οι αρμοδιότητες των εμπλεκομένων σε περιπτώσεις διαρροής πληροφοριών που αφορούν σε προσωπικά δεδομένα.

Μετά την ολοκλήρωση της φάσης 5 θα διενεργηθούν έλεγχοι διαδικασιών καθώς και τεχνικοί έλεγχοι τα αποτελέσματα των οποίων θα δείξουν τον βαθμό συμμόρφωσης της επιχείρησης με τις απαιτήσεις του GDPR. Με βάση τα αποτελέσματα αυτών των ελέγχων  θα εντοπίζονται τα σημεία στα οποία θα πρέπει στη συνέχεια να γίνονται ενέργειες διόρθωσης.

Οι έλεγχοι αυτοί θα πρέπει να διενεργούνται περιοδικά και τουλάχιστον ανά εξάμηνο και αναλόγως των εκάστοτε ειδικών συνθηκών.

Σε όλες τις διεργασίες για την συμμόρφωση με τον GDPR, υπάρχει ένας σημαντικός οργανωτικός στόχος πού είναι η εκπαίδευση των ατόμων που διαχειρίζονται προσωπικά δεδομένα έτσι ώστε να είναι ενημερωμένοι με τα συγκεκριμένα καθήκοντα τους όσον αφορά την προστασία των προσωπικών δεδομένων.

Με την διαρκή εκπαίδευση – ενημέρωση του προσωπικού θα εξασφαλίζεται και η συμμόρφωση της επιχείρησης με τις απαιτήσεις που ορίζονται στον GDPR.

Η έννοια της ευαισθητοποίησης είναι μια ανθρωποκεντρική προσέγγιση για την ασφάλεια των προσωπικών δεδομένων προκειμένου να διασφαλιστεί ότι οι υπεύθυνοι κατανοούν τα καθήκοντά τους και ότι είναι σε θέση να τα εκτελούν σωστά, αποτελεσματικά, χρησιμοποιώντας τα σωστά εργαλεία, υποστήριξης συστημάτων και αυτοματοποιημένες διεργασίες.

Στο πλαίσιο αυτής της φάσης περιλαμβάνεται και η εξειδικευμένη εκπαίδευση του προσωπικού της επιχείρησης, το οποίο θα ασχολείται με τα θέματα επεξεργασίας και προστασίας προσωπικών δεδομένων, με θεματολογία που θα καλύπτει τις απαιτήσεις του GDPR καθώς και θέματα ασφάλειας πληροφοριακών συστημάτων. Η εκπαίδευση αυτή θα γίνει από εξειδικευμένα στελέχη της TRUST-IT και τον ΥΠΔ (DPO).

Οι διαδικασίες που απαιτούνται για την συμμόρφωση επιχείρησης με τον GDPR δεν έχουν ημερομηνία λήξης. Πρόκειται για μια συνεχή διαδικασία.

Η βασική αρχή που πηγάζει από τον GDPR  όσον αφορά την υποχρέωση της επιχείρησης να είναι σε θέση ανα πάσα στιγμή να αποδεικνυει την συμμόρφωση της με τις απαιτήσεις του  και να τεκμηριώνει ότι λαμβάνει όλα τα απαραίτητα μέτρα για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων είναι μια συνεχής διαδικασία η οποία πρέπει να επικαιροποιείται όταν υπάρχουν αλλαγές στην δομή των λειτουργιών της εταιρείας.

Απαιτείται λοιπόν η εφαρμογή ενός μοντέλου διακυβέρνησης  που υποδεικνύει τα καθήκοντα των εμπλεκομένων που σχετίζονται με τον έλεγχο και την επιθεώρηση, τη διαχείριση κινδύνων, τις πολιτικές και τους πόρους, με βάση έναν ετήσιο κύκλο.

Ο ετήσιος κύκλος εξασφαλίζει, μεταξύ άλλων, ότι η επιχείρηση εκτελεί τις απαραίτητες ενέργειες στο σχέδιο δράσης και ότι μπορεί να αποδείξει ότι συμμορφώνεται με τα νέα μέτρα. Επιπλέον, ο ετήσιος κύκλος βοηθά επίσης να διασφαλιστεί ότι οι απαραίτητες ενέργειες για την συμμόρφωση με τον GDPR  δεν συγκεντρώνονται μαζί στο τέλος του έτους αλλά ότι κατανέμονται ομοιόμορφα κατά τη διάρκεια του έτους.

Τα μέτρα αυτού του μοντέλου διακυβέρνησης πρέπει να επανεξετάζονται σε τακτά χρονικά διαστήματα και όταν υπάρχουν αλλαγές στην επιχείρηση να προσαρμόζονται ανάλογα σε αυτές.

Αυτό π.χ., αφορά την αγορά νέων συστημάτων ή συσκευών, την εφαρμογή νέων διαδικασιών, τη συγχώνευση με άλλες εταιρείες ή τη σύναψη νέων εταιρικών σχέσεων με τρίτους. Όλες οι αλλαγές είναι δυνητικά σημαντικές για τον τρόπο με τον οποίο η επιχείρηση επεξεργάζεται τα προσωπικά δεδομένα και ως εκ τούτου οι αλλαγές θα πρέπει να ενσωματώνονται στο μοντέλο διακυβέρνησης.