Ανάλυση και Εφαρμογή GDPR

Τι είναι το GDPR και γιατί πρέπει να το εφαρμόσουμε

Η αυξημένη ανταλλαγή, χρήση και επεξεργασία δεδομένων προσωπικού χαρακτήρα, δημιούργησαν την ανάγκη για τη θέσπιση ενός αυστηρότερου νομοθετικού πλαισίου σχετικά με την προστασία των προσωπικών δεδομένων.

Κάτω από αυτές τις συνθήκες, το Ευρωπαϊκό Κοινοβούλιο προχώρησε στη δημιουργία και ψήφιση του νέου Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (General Data Protection Regulation - GDPR), 2016/679, ο οποίος τίθεται σε εφαρμογή στις 25 Μαΐου του 2018. 

Ο Κανονισμός εφαρμόζεται και αφορά όλες τις εταιρίες οι οποίες επεξεργάζονται και διαχειρίζονται προσωπικά δεδομένα Ευρωπαίων πολιτών, είτε η έδρα τους βρίσκεται εντός Ευρωπαϊκής Ένωσης είτε εκτός.

 

Ο Κανονισμός περιγράφει τα δικαιώματα του υποκειμένου των δεδομένων, δηλαδή του ατόμου του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία. Αυτά τα ενισχυμένα δικαιώματα παρέχουν στα άτομα μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων, μεταξύ άλλων μέσω:

 

  • της ανάγκης ύπαρξης σαφούς συγκατάθεσης του ενδιαφερομένου για την επεξεργασία των προσωπικών του δεδομένων

 

  • της ευκολότερης πρόσβασης του ενδιαφερομένου στα προσωπικά του δεδομένα

 

  • των δικαιωμάτων διόρθωσης, διαγραφής και «λήθης»

 

  • του δικαιώματος εναντίωσης, μεταξύ άλλων στη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα για την «κατάρτιση προφίλ»

 

  • του δικαιώματος φορητότητας των δεδομένων

 

Θεσπίζει επίσης την υποχρέωση των υπεύθυνων επεξεργασίας των δεδομένων να παρέχουν διαφανείς και εύκολα προσβάσιμες πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των δεδομένων τους.

 

Ο Νέος Κανονισμός ορίζει αναλυτικά τις γενικές υποχρεώσεις που έχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία των δεδομένων προσωπικού χαρακτήρα για λογαριασμό αυτών. Και οι δύο έχουν την υποχρέωση τήρησης κατάλληλων μέτρων ασφαλείας ανάλογα με τον κίνδυνο τον οποίον ενέχουν οι πράξεις επεξεργασίας δεδομένων τις οποίες εκτελούν.

Ειδικότερα, με τον Κανονισμό εισάγεται υποχρέωση τήρησης αρχείου δραστηριοτήτων επεξεργασιών δεδομένων, εκτίμησης αντικτύπου, εντοπισμού και γνωστοποίησης παραβιάσεων, ορισμού Υπεύθυνου Προστασίας Δεδομένων κ.zα.

Οι υπεύθυνοι επεξεργασίας σε ορισμένες περιπτώσεις, πρέπει να κοινοποιούν τα περιστατικά παραβίασης δεδομένων προσωπικού χαρακτήρα εντός 72 ωρών από την ανακάλυψη του περιστατικού παραβίασης και απώλειας προσωπικών δεδομένων στις αρμόδιες αρχές και στα υποκείμενα των δεδομένων αν η φύση των δεδομένων που χάθηκαν το απαιτεί.

Επίσης για τις εταιρείες και τις δημόσιες αρχές που εκτελούν πράξεις επεξεργασίας δεδομένων που ενέχουν κινδύνους θα πρέπει να έχουν ορίσει υπεύθυνο προστασίας δεδομένων (DPO).

Για τους υπεύθυνους επεξεργασίας ή τους εκτελούντες την επεξεργασία δεδομένων οι οποίοι παραβιάζουν τους κανόνες για την προστασία των δεδομένων προβλέπονται πολύ αυστηρές  κυρώσεις. Στους υπευθύνους επεξεργασίας δεδομένων μπορεί να επιβληθεί πρόστιμο που μπορεί να ανέλθει σε 20 εκατ. € ή στο 4% του συνολικού ετήσιου κύκλου εργασιών τους.

 

Η ΠΡΟΤΑΣΗ ΜΑΣ ΓΙΑ ΤΗΝ ΕΦΑΡΜΟΓΗ ΤΟΥ GDPR

 

Μεθοδολογία και πεδίο εφαρμογής

 

H Tax Experts θα συνεργαστεί με τα καθορισμένα μέλη της ομάδας διαχείρισης της εταιρείας σας και θα εκπονήσει μια αξιολόγηση της ετοιμότητας για τις δραστηριότητες, τις διαδικασίες και τους ανθρώπινους πόρους της εταιρείας, αντιμετωπίζοντας αποτελεσματικά τις απαιτήσεις του νέου κανονισμού για την προστασία των δεδομένων, το GDPR της ΕΕ. 

 

Προς αυτή την κατεύθυνση, το project περιλαμβάνει 3 βασικά στάδια:

 

Α. ΠΡΟΚΑΤΑΡΚΤΙΚΗ ΜΕΛΕΤΗ (PRELIMINARY STUDY)

 

Η προκαταρκτική μελέτη έχει ως στόχο την αποτύπωση της τρέχουσας κατάστασης της Εταιρείας αναφορικά με την προστασία προσωπικών δεδομένων. Το συγκεκριμένο στάδιο αποτελείται από τα ακόλουθα βήματα:

  • Συμπλήρωση ειδικών ερωτηματολογίων από στελέχη της εταιρείας που διαχειρίζονται προσωπικά δεδομένα ,
  • Διοργάνωση συμπληρωματικών σχετικών συνεντεύξεων,
  • Εντοπισμός του τύπου των προσωπικών δεδομένων,
  • Προσδιορισμός των μεθόδων συλλογής, αποθήκευσης και επεξεργασίας των προσωπικών δεδομένων,
  • Εντοπισμός εμπορικών πρακτικών που ισχύουν με τρίτους, οι οποίες ενδέχεται να έχουν αντίκτυπο στη δυνατότητα της εταιρείας να συμμορφώνεται και να εξακολουθεί να συμμορφώνεται με το GDPR,
  • Μελέτη του τεχνολογικού οικοσυστήματος (εφαρμογές, υποδομές, εγκαταστάσεις αποθήκευσης και επεξεργασίας σε εξωτερικές ή εσωτερικές μονάδες)
  • Σύνταξη της προκαταρκτικής μελέτης βάσει των ισχυουσών καταγεγραμμένων διαδικασιών,
  • Παράδοση της προκαταρκτικής μελέτης στη Διοίκηση και παροχή γενικών κατευθύνσεων.

 

Η πλήρης καταγραφή των υφιστάμενων διαδικασιών αποτελεί απαραίτητη προϋπόθεση για το σαφή προσδιορισμό ‘κενών’ σε σχέση με τον Κανονισμό και τη διενέργεια διορθωτικών κινήσεων.

 

B. ΓΡΑΠΤΗ ΑΝΑΦΟΡΑ ΚΑΙ ΠΡΟΣΑΡΜΟΣΜΕΝΗ ΕΦΑΡΜΟΓΗ ΤΟΥ ΚΑΝΟΝΙΣΜΟΥ (OFFICIAL REPORT AND CUSTOMISED IMPLEMENTATION OF THE REGULATION)

 

Το συγκεκριμένο στάδιο αποτελεί το κυρίως σώμα της συμμόρφωσης με τον Κανονισμό του GDPR. Διακρίνεται από τις ακόλουθες ενέργειες:

  • Εντοπισμός των αποκλίσεων σε σχέση με τις απαιτήσεις του GDPR,
  • Κατάρτιση Σχεδίου Υψηλού Επιπέδου Προτεινόμενων Πρωτοβουλιών και Δράσεων και θέσπιση χρονοδιαγράμματος υλοποίησης,
  • Εξειδίκευση συγκεκριμένων προτάσεων με στόχο την αναθεώρηση των μη προβλεπόμενων πολιτικών και διαδικασιών,
  • Καθορισμός δικλείδων ασφαλείας στα τεχνολογικά οικοσυστήματα και στα φυσικά αρχεία της εταιρείας,
  • Εκτενής ενημέρωση και εκπαίδευση του προσωπικού ως προς τη διαχείριση προσωπικών δεδομένων,
  • Προσδιορισμός του Υπεύθυνου Προστασίας Δεδομένων (DPO), εύρεση εκπαιδευμένου στελέχους για τον ρόλο του DPO από το εσωτερικό ή εξωτερικό περιβάλλον της επιχείρησης (δυνατότητα outsourcing)

 

Οι ανωτέρω ενέργειες και δράσεις αναμένεται να οδηγήσουν την εταιρεία σε πλήρη συμμόρφωση με το GDPR και στην αποφυγή κινδύνων που ανακύπτουν λόγω ελλιπούς προστατευτικού πλαισίου προσωπικών δεδομένων.

Γ. ΣΥΝΤΗΡΗΣΗ

 

Η εφαρμογή του GDPR στις εταιρείες δεν είναι μια “εφάπαξ” ενέργεια, αλλά μία συνεχής διαδικασία που απαιτεί την απαρέγκλιτη τήρηση των διαδικασιών και μέτρων προστασίας που θα έχουν εκπονηθεί. 

 

Η TaxExperts παρέχει στον ενδιαφερόμενο τη δυνατότητα να:

  • Υπόκειται σε περιοδικό έλεγχο εφαρμογής του κανονισμού, ώστε να εντοπίζονται έγκαιρα τυχόν κενά ασφαλείας και να γίνονται οι απαραίτητες διορθώσεις,
  • Λαμβάνει newsletters των νέων εξελίξεων στο ρυθμιστικό πλαίσιο, μέσω του DPO που έχει ορίσει,
  • Λαμβάνει συμβουλευτικές υπηρεσίες σε θέματα GDPR, βάσει των νέων αναγκών και των νέων ζητημάτων που προκύπτουν καθημερινά.

Το πλαίσιο συντήρησης καθορίζεται κατόπιν συνεννόησης με τη Διοίκηση, σε συνέχεια της εφαρμογής του κανονισμού.