Επαγγελματικό Επιμελητήριο Αθηνών, 28 Μαρτίου 2018 “Πρακτικά βήματα συμμόρφωσης για τις μικρές και μεσαίες επιχειρήσεις στα θέματα προστασίας προσωπικών δεδομένων” Επαγγελματικό Επιμελητήριο Αθηνών, 28 Μαρτίου 2018 Ήρα Χιώνη, Senior Associate, Δικηγορική Εταιρία «Ν. Κανελλόπουλος-Χ.Ζέρβα και Συνεργάτες»
Κανονισμός (ΕΕ) 2016/679 ΓΚΠΔ: Ποιές επιχειρήσεις αφορά; Δημόσιος/Iδιωτικός τομέας Εδαφικό πεδίο εφαρμογής Οι μικρές και μεσαίες επιχειρήσεις δεν μένουν εκτός του Κανονισμού - Επιβάρυνση ή ευκαιρία; - Δεν υπάρχει μια ενιαία λύση για όλους Σκοπός: ο εξορθολογισμός και η βελτιστοποίηση των διαδικασιών - Διαμόρφωση κουλτούρας/νοοτροπίας μέσα στις επιχειρήσεις
Βήματα Συμμόρφωσης Κατανόηση Κανονισμού/ Απαιτήσεων Δέσμευση Διοίκησης Εξασφάλιση πόρων Δημιουργία ομάδας έργου εντός της επιχείρησης Υπεύθυνος Προστασίας Δεδομένων (όπου απαιτείται) Ομάδα Υποστήριξης Καταγραφή των δεδομένων Τί δεδομένα τηρεί/επεξεργάζεται η επιχείρηση Know your data- Data Inventory
Βήματα Συμμόρφωσης 4. Διενέργεια εκτίμησης αντικτύπου (Data Privacy Impact Assessment- DPIA) – High risk activities Περιπτώσεις συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία (συμπεριλαμβανομένης της κατάρτισης προφίλ), και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά/επηρεάζουν το φυσικό πρόσωπο- υποκείμενο των δεδομένων (λ.χ. έλεγχος πιστοληπτικής ικανότητας από χρηματοπιστωτικό ίδρυμα). Περιπτώσεις μεγάλης κλίμακας επεξεργασίας των ευαίσθητων δεδομένων ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα (λ.χ. ιατρικά αρχεία που τηρούνται σε νοσοκομεία). Περιπτώσεις συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα (λ.χ. χρήση καμερών).
Βήματα Συμμόρφωσης 5. Έλεγχος Πολιτικών/ Διαδικασιών Τροποποίηση/ Αναθεώρηση υφιστάμενων Πολιτικών και Διαδικασιών Πολιτική Προστασίας Προσωπικών Δεδομένων Πολιτική Cookies Διαβάθμιση Πληροφοριών Πολιτική Παραβίασης Προσωπικών Δεδομένων 6. Πληροφοριακά Συστήματα Αξιολόγηση των πληροφοριακών συστημάτων Access controls USB θύρες Password protection Απομακρυσμένη πρόσβαση στο δίκτυο της επιχείρησης
Βήματα Συμμόρφωσης 7. Ευαισθητοποίηση εργαζομένων Ενημέρωση προσωπικού για τους κινδύνους Εκπαιδεύσεις Καμπάνιες ευαισθητοποίησης Πιστοποίηση 8. Παραβιάσεις δεδομένων προσωπικού χαρακτήρα Γνωστοποίηση στην Αρχή εντός 72 ωρών Ενημέρωση Υποκειμένων
Ειδικότερα ζητήματα ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ - Για επεξεργασίες που προβλέπονται εκ του νόμου ή/και της σύμβασης απαιτείται ενημέρωση (λ.χ. μισθοδοσία) - Για περαιτέρω επεξεργασίες , νόμιμη βάση μπορεί να αποτελέσει η εξασφάλιση ρητής συγκατάθεσης. - Συγκατάθεση ανά σκοπό επεξεργασίας Ανανέωση προτύπων συγκατάθεσης Data minimization - Νόμος/ Σύμβαση/ Έννομο συμφέρον - Έλεγχος των συμβάσεων για τροποποιήσεις ΕΡΓΑΖΟΜΕΝΟΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΠΕΛΑΤΕΣ ΠΡΟΜΗΘΕΥΤΕΣ
Ειδικότερα ζητήματα Αναθεώρηση/Επαναξιολόγηση Συμβάσεων Αναθεώρηση εντύπων συναινέσεων Πελατών Προσωπικού Αναθεώρηση όρων συμβάσεων για την προστασία των προσωπικών δεδομένων Διάγνωση περιπτώσεων όπου η επιχείρηση λειτουργεί ως ΥΠΕΥΘΥΝΟΣ επεξεργασίας ή ως ΕΚΤΕΛΩΝ την εξεργασία και διαμόρφωση αντίστοιχων όρων στις υφιστάμενες συμβάσεις
Ειδικότερα ζητήματα Newsletters Social Media platforms Κατάργηση γνωστοποιήσεων Ενημέρωση υποκειμένων Τήρηση αρχείου για ορισμένο χρονικό διάστημα Συγκεκριμένοι χώροι στους οποίους επιτρέπεται η τοποθέτησή τους
Οφέλη για τις επιχειρήσεις Καλύτερη οργάνωση της επιχείρησης Ασφάλεια συστημάτων Εμπιστοσύνη πελατών Φήμη επιχείρησης Ανταγωνιστικό πλεονέκτημα
Ευχαριστώ για την προσοχή σας! Στοιχεία Επικοινωνίας i.chioni@kanell.gr www.kanell.gr