GDPR- general Data Protection Regulation
For all business sectors- HR-SALES- MARKETING- LEGAL- IT-FINANCE
Πολύς λόγος έχει γίνει για το GDPR. Ο λεγόμενος κανονισμός προστασίας προσωπικών δεδομένων αφορά όλες τις επιχειρήσεις ασχέτως μεγέθους και τομέα επιχειρηματικής απασχόλησης. Τι θα πρέπει να γνωρίζει ο ιδιώτης και ποιες είναι τα κύρια σημεία ;
Ο κανονισμός της ιδιωτικότητας των δεδομένων δεν είναι κάτι νέο. Πλέον όμως είναι απαραίτητο να τον τηρούμε, ουσιαστικά επιβάλλεται από τις 25 Μαίου 2018 στην Ευρωπαική ένωση. Πιο απλά η κατεύθυνση παραμένει η ίδια με νέες προσθήκες και προσεγγίσεις στα προσωπικά δεδομένα, έτσι ώστε ο ευρωπαίος πολίτης να μπορεί να έχει μεγαλύτερο έλεγχο στα προσωπικά δεδομένα και στο τρόπο που αυτά διαχειρίζονται –επεξεργάζονται.
Ο λόγος που θα πρέπει να συμβαδίζουμε με το νέο νόμο είναι πως σε αντιθετη περίπτωση τα πρόστιμα είναι τσουχτερά. Όμως είναι τόσο δύσκολο να μπορέσουμε να βάλουμε μια τάξη στην επιχείρηση μας όσο αφορά τη νέα ευρωπαική κατευθυντήρια οδηγία; Είναι τόσο δύσκολο για τους εργαζομένους να εφαρμόσουν νέες πρακτικές;
Ας αρχίσουμε από το γεγονός πως πολλά από τα θεσμικά πλαίσια και από τις οδηγίες του νέου νόμου τις έχουμε ήδη εφαρμόσει προ πολλού. Επίσης ο GDPR κάθε άλλο παρά βάρος είναι για τις επιχειρήσεις. Αυτό σημαίνει πως χρησιμοποιούνται προς όφελος της επιχείρησης και της ευημερίας ενός οργανισμού. Πέρα λοιπόν από την αναγκαιότητα των αλλαγών βλέπουμε πως υπάρχει και μια κατέυθυνση στο να εξελίξουμε την υγεία της επιχείρησης μας όσο αφορά την ιδιωτικότητα αλλά και την γενικότερη οργάνωση των δεδομένων.
Ποιος όμως είναι υπεύθυνος για την αλλαγή και την τήρηση των νέων οδηγιών;
Κυρίως οι αρμόδιοι και προϋστάμενοι στα τμήματα θα κινήσουν τα νήματα για τις μεγάλες αλλαγές αν και εφόσον χρειάζονται. Παρόλα αυτά ο κάθε υπάλληλος είναι υπεύθυνος να συμαζέψει τα δεδομένα που διαχειρίζεται. Η ασφάλεια και η σωστή αποθήκευση των δεδομένων αποκτά πλέον τεράστια σημασία και αξία. Η επιχείρηση όμως θα είναι υπεύθυνη να θέσει τις βάσεις έτσι ώστε όλα τα δεδομένα που συλλέγονται, καταχωρούνται και επεξεργάζονται μέσα στην εταιρεία (ή και έξω από αυτήν) να ακολουθούν και να συμβασδίζουν με τις κατευθυντήριες οδηγίες του GDPR.
Αρά λοιπόν το πρώτο μας μέλημα είναι να οργανώσουμε τις αλλαγές μας σε προσωπικό επίπεδο , οι οποίες θα αξιολογηθούν σε επίπεδο τμήματος και τέλος όλες αυτές θα ενσωματωθουν στις κύριες διεργασίες της επιχείρησης μας έτσι ώστε να επιφέρουν το επιθυμητό αποτέλεσμα.
«Λίστα των αλλαγώ του GDPR στις οποίες θα πρέπει να συμβαδίζουμε και να συμμορφωθούμε»
- Όλα τα προσωπικά δεδομένα που διαχειριζεται μια επιχείρηση –ασχέτως αν είναι εντός ή εκτός ευρωπαικής ένωσης –θα πρέπει να είναι διαφανή και διακριτά καθώς και να επεξεργάζονται με τέτοιο τρόπο που να μπορεί ο ενδιαφερόμενος να ενημερώνεται σχετικά με αυτόν.
- Τα πρόστιμα είναι αυστηρά όσο αφορά το νέο γενικό κανονισμό προστασίας προσωπικών δεδομένων
- Αυστηρότερος και διακριτός τρόπος συγκατάθεσης από το υποκείμενο των δεδομένων θα χρειαστεί για την επεξεργασία και χρήση αυτών καθώς και έυκολη διαδικασία να αναιρέσουν την συγκατάθεσή τους οποιαδήποτε στιγμή αυτοί το επιθυμούν
- Η απώλεια και η διαρροή προσωπικών δεδομένων από μια επιχείρηση θα πρέπει να γίνονται γνωστές σε όλους τους ενδιαφερόμενους εντός 72 ωρών από αυτήν
- Το υποκείμενο θα έχει αυξημένα δικαιώματα να ενημερώνεται σχετικά με το πώς , που και για ποιο λόγο επεξεργάζονται τα δεδομένα τους
- Η διαγραφή των δεδομένων (the right to be forgotten) είναι δικαίωμα του υποκειμένου και μπορέι να ζητηθεί να διαγραφούν πλήρως τα δεδομένα ή να σταματήσει η επεξεργασία τους (δεδομένου πως αυτή η αίτηση είναι εναρμονισμένη και εφικτή βάσει των νομικών πλαισίων που υπάρχουν).
- Η διαδικασία της φορητότητας των δεδομένων θα ενεργοποιηθεί με τη δυνατότητα να έχει το υποκείμενο στην κατοχή του δεδομένα που τον αφορούν
- Οι διαδικασίες προστασίας των δεδομένων (privacy by design) θα πρέπει να ενσωματωθούν στον αρχικό σχεδιασμό των συστημάτων και όχι να είναι προσθήκη αυτών στη συνέχεια
- Η προστασία προσωπικών δεδομένων από ειδικό πιστοποιημένο προσωπικό θα είναι υποχρεωτική για αυτούς που οι κύριες διεργασίες τους αποτελούνται από λειτουργίες που απαιτούν συστηματικό και τακτικό έλεγχο (Monitoring) των δεδομένων σε μεγάλη κλίμακα, ή σε κάποιες περιπτώσεις , όπου οι επιχειρήσεις επεξεργάζονται σημαντικό όγκο δεδομένων ειδικής κατηγορίας.