Νέος Κανονισμός Προστασίας Προσωπικών Δεδομένων
Στις 25 Μαΐου 2018 τίθεται σε εφαρμογή ο Κανονισμός Προστασίας Προσωπικών Δεδομένων (ΚΠΠΔ), γνωστότερος με τα αρχικά GDPR (General Data Protection Regulation - ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ), ο οποίος αντικαθιστά τον από το 1995 παλαιότερο κανονισμό που ενσωματώθηκε στην ελληνική νομοθεσία με τον νόμο 2472 και εφαρμόστηκε το 1997.
Μοχλός της σημαντικής αυτής αλλαγής είναι η συνεχής τεχνολογική ανάπτυξη, όπως πρόσφατα στο εισαγωγικό μέρος του συνεδρίου του Ελληνοαμερικανικού Εμπορικού Επιμελητηρίου επεσήμανε ο Γιάννης Κυριακίδης, πρόεδρος της Επιτροπής Νομοθετικής Μεταρρύθμιση του εν λόγω Επιμελητηρίου.
Με βάση τον νέο κανονισμό, οι οργανισμοί παγκοσμίως, ανεξάρτητης μορφής, οι οποίοι συλλέγουν, αποθηκεύουν, ή επεξεργάζονται δεδομένα των πολιτών της Ευρωπαϊκής Κοινότητας απαιτείται όπως αποδεικνύουν ότι παρέχουν ισχυρή ασφάλεια δεδομένων και πρακτικές εμπιστευτικότητας. Ο εν λόγω κανονισμός δεν περιορίζεται σε Οργανισμούς, έχει εφαρμογή και σε τρίτα πρόσωπα, περιλαμβανομένων των συμβούλων, λογιστών, προμηθευτών, συνεταίρων κ.λπ. που κατά εντολή των Οργανισμών επεξεργάζονται στοιχεία ταυτοτήτων για εργαζόμενους και πελάτες οι οποίοι είναι κάτοικοι της Ε.Ε.
Σύμφωνα με τον GDPR, οι οργανισμοί που αναθέτουν έργα σε τρίτους είναι σε πρώτο βαθμό υπεύθυνοι και για τις τυχόν παραλείψεις των τρίτων. Ως εκ τούτου, οι οργανισμοί που αναπτύσσουν προγράμματα για GDPR θα πρέπει να έχουν επαρκή ορατότητα στο καθεστώς κινδύνων και ελέγχων συμμόρφωσης τρίτων, ειδικά εκείνων που έχουν πρόσβαση σε ευαίσθητες πληροφορίες, ενδεικτικά, όπως δεδομένα πελατών τους.
Λαμβάνοντας υπ’ όψιν τα προαναφερθέντα θέματα, παραθέτουμε τις ουσιώδεις δράσεις (actions) και τα βήματα που οι οργανισμοί καλούνται να κάνουν για να διασφαλίσουν τόσο τους εαυτούς τους όσο και να διασφαλιστούν από τρίτους που τους παρέχουν υπηρεσίες.
1. Ευθύνη του υπευθύνου επεξεργασίας
Το άρθρο 24 του GDPR παρέχει λεπτομέρειες των ευθυνών του υπευθύνου επεξεργασίας (Data controllers) που στην πρώτη παράγραφό του αναφέρει «Λαμβάνοντας υπ’ όψιν τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο».
Για να εφαρμόσει τα κατάλληλα μέτρα, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να εκτελεί Εκτίμηση Επιπτώσεων Προστασίας Δεδομένων (Data Protection Impact Assessment) πριν επιλέξει τρίτο πάροχο επεξεργασίας.
Σε έναν ζωντανό οργανισμό, διάφορες μονάδες του τυπικά αλληλοεπιδρούν με πολλά τρίτα μέρη. Για τον λόγο αυτό ο υπεύθυνος επεξεργασίας δεδομένων πρέπει να γνωρίζει σε ποιον τρίτο έχει δώσει δικαιώματα προσπέλασης εμπιστευτικών πληροφοριών, όπως ονόματα πελατών, στοιχεία επικοινωνίας ή προφίλ κοινωνικών μέσων (social media profiles). Θα πρέπει ο ίδιος υπεύθυνος να γνωρίζει σε ποιες δράσεις θα χρησιμοποιηθούν τα παραχωρηθέντα στοιχεία.
Στην παράγραφο 3 του άρθρου 24 σημειώνεται ότι «Η τήρηση εγκεκριμένων κωδίκων δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις του υπευθύνου επεξεργασίας».
2. Επεξεργαστές δεδομένων Απαιτείται όπως οι επεξεργαστές δεδομένων (Data Processors) επεξεργάζονται δεδομένα μόνο κατόπιν εντολής ή άδειας του/των υπευθύνου επεξεργασίας (Data controllers) και υπό τον όρο ότι εφαρμόζουν σχετικά τεχνικά και οργανωτικά μέτρα (technical and organizational measures) προς συμμόρφωση. Πρόσθετα απαιτείται, μετά την επεξεργασία δεδομένων, οι προαναφερόμενοι υπεύθυνοι να διαγράφουν ή να επιστρέφουν τα δεδομένα στον υπεύθυνο επεξεργασίας (Data controller). Απαγορεύεται στους εργολάβους να αναθέτουν σε υπεργολάβους έργα που έχουν αναλάβει χωρίς την πρότερη συγκατάθεση του υπεύθυνου επεξεργασίας (Data controllers). Οι υπεργολάβοι είναι εξίσου υπεύθυνοι ως προς τις απαιτήσεις του κανονισμού.
3. Συμβατικές υποχρεώσεις με τρίτους
Προς διασφάλιση της διαφάνειας και λογοδοσίας συνίσταται όπως καταρτίζεται σύμβαση η οποία θα παραθέτει σε λεπτομέρεια στοιχεία της συμφωνίας μεταξύ του οργανισμού και τρίτων. Οι τυχόν ισχύουσες συμβάσεις θα πρέπει επίσης να ελεγχθούν εάν πράγματι οι όροι της σύμβασης ανταποκρίνονται στις απαιτήσεις του κανονισμού.
4. Βήματα συμμόρφωσης Εννέα είναι τα βασικότερα βήματα συμμόρφωσης: 1. Να γνωρίζετε ποια τρίτα μέρη κατέχουν προσωπικές πληροφορίες 2. Να κατηγοριοποιείτε τα πρόσωπα που κατέχουν προσωπικές πληροφορίες στις δύο κατηγορίες που παραπάνω αναφέραμε 3. Τμηματοποίηση και ταξινόμηση τρίτων βάσει δεδομένων προσβασιμότητας 4. Να συντάξετε μία λίστα στοιχείων προς έλεγχο 5. Να επισκοπείστε όλες τις παλαιές συμβάσεις. 6. Να αναπτύξετε προσεγγίσεις και μεθοδολογίες μέτρησης κινδύνων 7. Βεβαιωθείτε ότι ακολουθούνται οι πολιτικές για νέες τεχνολογίες προς εφαρμογή 8. Εφαρμόστε διαδικασίες καταχώρησης και αναφοράς συμβάντων 9. Σε περίπτωση που εσωτερικά ο οργανισμός σας δεν διαθέτει την εμπειρία ή τον χρόνο ανάπτυξης των απαιτούμενων εργαλείων και διαδικασιών είναι σοφό να απευθυνθείτε σε εξειδικευμένους συμβούλους.
Για περαιτέρω πληροφορίες μπορείτε να απευθυνθείτε στα παραπάνω emails.
[SID:11563088]