GDPR

Αγαπητοί συνεργάτες,

Όπως πιθανόν να γνωρίζετε ήδη, στις 25 Μαΐου 2018 τίθεται σε εφαρμογή ο Γενικός Κανονισμός για την προστασία των Προσωπικών Δεδομένων (ΓΚΠΔ) 679/2016 της Ευρωπαϊκής Ένωσης (GDPR - General Data Protection Regulation).

Τι είναι ο GDPR / ΓΚΠΔ;

Ο κανονισμός που θεσπίστηκε τον Απρίλιο του 2016, στοχεύει στην εναρμονισμένη προσέγγιση των διαδικασιών που πρέπει να τηρηθούν, ώστε να προστατεύεται η ιδιωτική ζωή στην Ευρωπαΐκή Ένωση. Επιδιώκει να ενισχύσει τα δικαιώματα των πολιτών για την προστασία των δεδομένων τους. Ο κανονισμός θα τεθεί σε εφαρμογή σε κάθε κράτος μέλος της Ευρωπαΐκής Ένωσης, στις 25 Μαΐου 2018. Η χώρα μας είναι από τις πρώτες που έχουν ήδη καταρτίσει το αντίστοιχο νομοσχέδιο, το οποίο έχει τεθεί για διαβούλευση έως τις 5 Μαρτίου.

Ποιούς αφορά ο κανονισμός;

Ο Γενικός κανονισμός εφαρμόζεται σε κάθε επιχείρηση που επεξεργάζεται, καταχωρεί, ελέγχει ή διαχειρίζεται προσωπικά δεδομένα. Όποιος καταχωρεί πελάτες & προμηθευτές, εκδίδει παραστατικά, μεταβιβάζει φορολογικά δεδομένα στον λογιστή του, λαμβάνει παραγγελίες στο E-shop του, απασχολεί εξωτερικό πωλητή με δεδομένα της εταιρίας στον φορητό υπολογιστή, ακόμη και η λήψη εταιρικών e-mail σε smartphone, αποτελεί διαδικασία που πρέπει να καταγράφεται και να τηρεί τον ΓΚΠΔ.

Τι είναι τα προσωπικά δεδομένα;

Προσωπικά δεδομένα είναι όλες εκείνες οι πληροφορίες που μπορούν να ταυτοποιήσουν ή να εξατομικεύσουν ένα φυσικό πρόσωπο. Χωρίζονται σε δύο κατηγορίες, τα Απλά δεδομένα (ονοματεπώνυμο, ηλικία, φυσικά χαρακτηριστικά, κατοικία, επάγγελμα, οικογενειακή κατάσταση, εκπαίδευση, εργασιακές σχέσεις, οικονομική κατάσταση, ηλεκτρονικές διευθύνσεις και ίχνη-cookies, ενδιαφέροντα, συνήθειες, δραστηριότητες) και τα Ευαίσθητα δεδομένα (φυλετικά και εθνικά χαρακτηριστικά, πολιτικά και θρησκευτικά φρονήματα, υγεία, κοινωνική και ερωτική ζωή, ποινικές διώξεις και καταδίκες, συμμετοχή σε συνδικαλιστικές και λοιπές οργανώσεις). Τόσο σε ηλεκτρονική μορφή, όσο και σε εκτυπωμένα έντυπα.

Τι αφορά η επεξεργασία δεδομένων;

Αφορά την συλλογή, καταχώρηση, οργάνωση, αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση, συσχέτιση, διασύνδεση, δέσμευση, διαγραφή και καταστροφή οποιωνδήποτε από τα παραπάνω προσωπικών δεδομένων.

Ποιές διαδικασίες πρέπει να ακολουθήσει μιά εταιρία;

Τα βήματα που πρέπει να ακολουθήσουμε για να συμβαδίσουμε με τον Γενικό Κανονισμό, τώρα, αλλά και στο προσεχές μέλλον, είναι τα εξής:

Σχεδιασμός της διαδικασίας. Ενημέρωση από τον ειδικό αναλυτή για το τι απαιτείται αναλόγως με το μέγεθος και την φύση της εταιρία μας.
Χαρτογράφηση των δεδομένων μας. Καταγράφουμε αναλυτικά που υπάρχει τι, είτε πρόκειται για ηλεκτρονικό, είτε για έντυπο υλικό που περιλαμβάνει προσωπικά δεδομένα. Πχ, βάση δεδομένων του εμπορικού προγράμματος, εκτυπωμένα παραστατικά, ηλεκτρονική αλληλογραφία σε H/Y υπαλλήλων και κινητά τηλέφωνα, laptops πωλητών που εργάζονται εκτός εταιρίας, ιστοσελίδα, κάμερες παρακολούθησης κλπ.
Σύνοψη πολιτικής και ανάπτυξη της λύσης που θα ακολουθηθεί. Συστάσεις για διαδικασίες ασφάλειας δεδομένων, αντίγραφα ασφαλείας, περιορισμούς πρόσβασης σε μη εξουσιοδοτημένους χρήστες, δυνατότητα πρόσβασης των ιδιωτών στα δεδομένα τους και εύκολη επεξεργασία ή διαγραφή τους από αυτούς, τήρηση αρχείου δραστηριοτήτων κλπ.
Εκπαίδευση προσωπικού στις νέες διαδικασίες και πλήρη καθοδήγηση για την συνεχή εξέλιξη αυτών. Ο ανθρώπινος παράγων είναι αρκετές φορές ο αδύναμος κρίκος για την όλη διαδικασία, οπότε απαιτείται σωστή εκπαίδευση και αυστηρή τήρηση των διαδικασιών.
Ορισμός υπευθύνου προστασίας δεδομένων όπου απαιτείται, εκτέλεση ελέγχων και συνεχή επίβλεψη των διαδικασιών.
Έναρξη διαδικασίας και συνεχή παρακολούθηση για την διόρθωση όπου υπάρχει απόκλιση από τις απαιτήσεις του κανονισμού.

Τι είδους ενέργειες θα είναι στην πράξη αυτές που πρέπει να κάνω, ώστε να εναρμονιστώ με τον κανονισμό;

Κάθε επιχείρηση, ανάλογα με τον αριθμό των εργαζομένων, τον κύκλο εργασίας και την φύση της απασχόλησης, θα πρέπει να φροντίσει μιά σειρά από ενέργειες, ώστε να μην βρεθεί πλέον στην δυσάρεστη θέση να απωλέσει δεδομένα, καθότι πλέον αυτό τιμωρείται με πρόστιμο έως 4% του τζίρου, ενώ πολύ μεγαλύτερη θα είναι η ηθική βλάβη που θα υποστεί από την ανακοίνωση στα μέσα που πρέπει να κάνει, για να ενημερώσει το κοινό για την ζημιά που προκλήθηκε, το μέγεθος του αριθμού των εμπλεκομένων και πιθανόν να υποστεί και οικονομική ζημιά, από τις απαιτήσεις των φυσικών προσώπων που θεωρηθούν ότι ζημιώθηκαν και προχωρήσουν σε διεκδίκηση αποζημιώσεων.

Πιθανά σημεία που θα χρεαστούν έλεγχο στην επιχείρηση, είναι τα εξής:

Κωδικοί πρόσβασης σε Η/Υ
Έλεγχος ορθής χρήσης Antivirus
Ρύθμιση πρόσβασης στο internet από κατάλληλο hardware (ADSL router υψηλής ποιότητας)
Περιορισμός πρόσβασης του προσωπικού στο internet, μέσω του ειδικευμένου router
Κρυπτογράφηση όσων δεδομένων ενδέχεται να διαρεύσουν προς τρίτους ή προορισμούς Cloud
Εγκατάσταση SSL σε όλες τις ιστοσελίδες, για αποφυγή απώλειας προσωπικών δεδομένων
Ισχυροποίηση πρωτοκόλλων ασφαλείας σε ιστοσελίδες eshop
Έλεγχος νόμιμων αντιγράφων Windows και λοιπών λογισμικών
Διαδικασίες backup, με σκοπό την αποφυγή απώλειας δεδομένων

Οι διαδικασίες αυτές θα πρέπει να ελεγχθούν από εξειδικευμένο μηχανογράφο, σε συνδιασμό με δικηγόρο, ειδικευμένο σε θέματα προστασίας προσωπικών δεδομένων.

Η εταιρία μας έχει προχωρήσει σε συνεργασία με διακεκριμένο δικηγόρο, για να μπορέσει να σας προσφέρει τις υπηρεσίες πιστοποίησης ΓΚΠΔ, ώστε να συνεχίσετε απρόσκοπτα την εργασία σας, με τον ασφαλέστερο δυνατό τρόπο, με πλήρη διαφάνεια στην προστασία των προσωπικών δεδομένων των πελατών και εργαζομένων σας και χωρίς να εμπλακείτε σε μακροσκελείς διαδικασίες αναζήτησης υπευθύνου Προστασίας Δεδομένων, ή να ρισκάρετε την φήμη σας και τυχόν οικονομικές ζημίες από ενδεχόμενα πρόστιμα.

Πολύ σύντομα, εκπρόσωπος της εταιρίας μας θα είναι διαθέσιμος να συζητήσει μαζί σας, για ανάλυση των επιμέρους λεπτομερειών της διαδικασίας.

Για περαιτέρω απορίες, παρακαλούμε επικοινωνήστε μαζί μας στα τηλέφωνα της εταιρίας, 2310-541560, είτε στο e-mail info@srg.gr

Mετά τιμής,

Δαγκλής Αστέριος
SRG-Αντωνιάδης Πολύδωρος & ΣΙΑ Ε.Ε.
Τηλ. 2310-541560