Συμμόρφωση GDPR & Υπηρεσία DPO

Η Biosafety παρέχει υπηρεσίες που αφορούν στη συμμόρφωση των επιχειρήσεων με τον Ευρωπαϊκό Κανονισμό 679/2016 General Data Protection Regulation (GDPR) που εφαρμόζεται από τις 25 Μαΐου 2018, σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης.

Η Biosafety έχει αναπτύξει στρατηγική συνεργασία με την GAG-DPR, εξειδικευμένη εταιρεία συμβούλων GDPR με εμπειρία στην πρακτική εφαρμογή των απαιτήσεων του Κανονισμού στην Ελλάδα και το εξωτερικό από το 2016, πριν από την εφαρμογή του νόμου.

Για τις επιχειρήσεις που διαχειρίζονται σημαντικό όγκο δεδομένων ο GDPR απαιτεί τον καθορισμό του Data Protection Officer (DPO) που έχει ως αρμοδιότητα την παρακολούθηση και τήρηση των κανόνων που θέτει ο κανονισμός και η Biosafety παρέχει την υπηρεσία αυτή σε συνεργασία με την CAG-DPR.

image

Ο Ευρωπαϊκός Κανονισμός 679/2016 

Στόχος του Κανονισμού 679/2016 είναι η διαμόρφωση ενός ενιαίο νομικού πλαισίου για την επεξεργασία των προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης και θέτει μία σειρά περιορισμών και νέων υποχρεώσεων για τις επιχειρήσεις, όπως:

  • την επεξεργασία των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους, από τη συλλογή έως και την καταστροφή τους
  • τη δυνατότητα μεταφοράς τους σε άλλες χώρες, εντός ή εκτός ΕΕ
  • την προστασία των δικαιωμάτων των φυσικών προσώπων (υποκείμενα δικαιωμάτων)
  • την ασφάλεια των προσωπικών δεδομένων
  • τις ενέργειες γνωστοποίησης που οφείλει να κάνει η επιχείρηση (υπεύθυνος επεξεργασίας) σε περίπτωση παραβίασης

Επιχειρήσεις που αφορά ο κανονισμός

Ο GDPR αφορά όλες τις ιδιωτικές και δημόσιες επιχειρήσεις, καθώς και τις κρατικές αρχές που διαχειρίζονται δεδομένα προσωπικού χαρακτήρα με οποιοδήποτε τρόπο. Ως εκ τούτου, o GDPR αφορά όλες τις επιχειρήσεις, εντός και εκτός Ευρωπαϊκής Ένωσης, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες.

Με την εφαρμογή του GDPR οι  επιχειρήσεις υποχρεούνται:

  • να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων
  • να λαμβάνουν κατά περίπτωση την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων
  • να μεταφέρουν τα προσωπικά δεδομένα σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις
  • να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με τον GDPR
  • να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα
  • να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους
  • να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους
  • να τηρούν σε αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα (υποκείμενα) με απευθείας ενημέρωση ή δημόσια ανακοίνωση
  • να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.

Σε περίπτωση παράβασης προβλέπονται σημαντικά αυξημένα διοικητικά πρόστιμα, ανάλογα με τη φύση της παραβίασης, με την κλίμακα της επεξεργασίας, το είδος και το μέγεθος της επιχείρησης και του ετήσιου κύκλου εργασιών της.

Διαδικασία Συμμόρφωσης 

H Διαδικασία Συμμόρφωσης με τον GDPR είναι ιδιαιτέρα απαιτητική και σύνθετη. Τα στάδια που απαιτούνται, είναι:

  • η ακριβής γνώση για το ποια δεδομένα συλλέγουν και επεξεργάζονται σε κάθε φάση των δραστηριοτήτων τους, ποιοι εμπλέκονται και με ποια εργαλεία και διαδικασίες γίνεται η επεξεργασία
  • ο καθορισμός και διαχωρισμός των επιχειρησιακών αναγκών, ώστε να διασφαλίζονται όλες οι απαιτούμενες συγκαταθέσεις του υποκειμένου και να μη γίνεται πλεονάζουσα επεξεργασία
  • ο συστηματικός έλεγχος για την κάλυψη των απαιτήσεων του GDPR σε κάθε στάδιο επεξεργασίας των δεδομένων
  • η αξιολόγηση των κινδύνων που ενδέχεται να οδηγήσουν σε παραβίαση των προσωπικών δεδομένων, με αποτέλεσμα βαρύτατες οικονομικές κυρώσεις και επιπτώσεις στην εταιρική φήμη
  • η παρουσίαση των σημαντικότερων κινδύνων και των τρόπων αντιμετώπισής τους στη Διοίκηση με πρακτικό τρόπο, ώστε να αποφασισθεί ένα ρεαλιστικό πλάνο και προϋπολογισμός συμμόρφωσης
  • η λήψη αποτελεσματικών και οικονομικών μέτρων για τον περιορισμό του κινδύνου παραβιάσεων του GDPR, χωρίς να θίγονται οι επιχειρησιακές προτεραιότητες