Η Grand Value (μέλος του Ομίλου Εταιρειών ARTION), δραστηριοποιείται στην παροχή εξειδικευμένων συμβουλευτικών υπηρεσιών που απευθύνονται σε μικρομεσαίες και μεγάλες εταιρείες ολόκληρου του φάσματος της επιχειρηματικής δραστηριότητας.

Η Grand Value διαθέτοντας αφενός πιστοποιημένη (DPO) ομάδα στελεχών & αφετέρου την εμπειρία από την υλοποίηση 50 έργων συμμόρφωσης με τις απαιτήσεις του Κανονισμού, είναι στη διάθεσή σας για ενημέρωση και υποστήριξη.

Τον τελευταίο χρόνο η Grand Value, αφενός, έχει αναλάβει την υποστήριξη περισσότερων από 50 επιχειρήσεων, στη συμμόρφωσή τους με τις απαιτήσεις του GDPR, και, αφετέρου, έχει συμμετάσχει σε ενημερωτικά σεμινάρια, σχετικά με την εφαρμογή του GDPR.

Οι ερωτήσεις που έχουν τεθεί αυτήν την περίοδο κυμαίνονται από το ουσιώδες και το πρακτικό (τι θέματα περιλαμβάνει και με ποιο τρόπο διατυπώνεται η πολιτική απορρήτου) μέχρι μετά-τη-συμμόρφωση (μια επίθεση ransomware θεωρείται παραβίαση δεδομένων;).

Συνήθεις Ερωτήσεις GDPR

Στο παραπάνω πλαίσιο, αυτό το μήνα, το ενημερωτικό δελτίο μας περιλαμβάνει τυπικές ερωτήσεις και απαντήσεις.

  • Ε1    Τα προσωπικά δεδομένα που έχουμε συγκεντρώσει εδώ και χρόνια στις βάσεις δεδομένων marketing είναι πλέον ‘’άχρηστες’’ λόγω GDPR;

    Α1    Η παροχή ‘’συγκατάθεσης’’ είναι ένα από τα μεγαλύτερα ζητήματα που προκύπτουν από την εισαγωγή του GDPR. Ειδικότερα δε η συγκατάθεση για το marketing. Η συγκατάθεση, βάσει του GDPR, πρέπει να παρέχεται ελεύθερα και να είναι ξεκάθαρη μέσω πχ μιας «συμμετοχής» με την οποία το υποκείμενο των δεδομένων επιλέγει ένα ‘’κουτί’’ για να συμφωνήσει (tick) να λάβει υλικό marketing. Συνεπώς, η επιχείρηση πρέπει να επανεξετάσει τις βάσεις δεδομένων ώστε να έχει σωστή συγκατάθεση. Έχει διαπιστωθεί ότι το ποσοστό ανταπόκρισης σε τέτοια αιτήματα είναι ιστορικά χαμηλό. Οποιαδήποτε μη απάντηση σε αυτά τα αιτήματα σημαίνει μη παροχή συγκατάθεσης και διακοπή επικοινωνίας με αυτά τα φυσικά πρόσωπα.

    Πρακτικά, η επιχείρηση πρέπει να το δει ως μια ευκαιρία για να «καθαρίσει» τις βάσεις δεδομένων marketing και να διασφαλίσει ότι οι βάσεις δεδομένων είναι πιο στοχευμένες σε όσους ενδιαφέρονται πραγματικά να λαμβάνουν τις πληροφορίες marketing.

  • Ε2    Ποιος ελέγχει τη συμμόρφωση με τον GDPR; Ποιες είναι οι κυρώσεις για τη μη συμμόρφωση;

    Α2    Ο GDPR είναι μια πρωτοβουλία της Ευρωπαϊκής Ένωσης. Κάθε κράτος μέλος χειρίζεται την επιβολή της νομοθεσίας και έχει ρυθμιστικό όργανο που ονομάζεται Εποπτική Αρχή  (DPA) που είναι υπεύθυνη για τον έλεγχο και την επιβολή. Στην Ελλάδα την ευθύνη έχει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (dpa.gr). Σε ευρωπαϊκό επίπεδο το European Board for Data Protection ‘’επιβλέπει’’ τις εθνικές εποπτικές αρχές.

    Οι κυρώσεις μπορούν να είναι από μια απλή σύσταση για συμμόρφωση έως πρόστιμο ύψους  € 20 εκατομμύρια ή το 4% των ετήσιων εσόδων μιας επιχείρησης . Η εποπτική αρχή αποφασίζει το ποσό του προστίμου βάσει των συνθηκών και του επιπέδου παραβίασης.

  • Ε3     Κατά μέσο όρο, μια επιχείρηση χρειάζεται περίπου 200 ημέρες για να εντοπίσει μια παραβίαση; Πώς το χειρίζεται αυτό ο GDPR;

    Α3    Ο GDPR αναφέρεται στο χρονικό διάστημα μεταξύ της ανίχνευσης μιας παραβίασης και της χρονικής στιγμής της ειδοποίησης των εμπλεκομένων μερών σχετικά με αυτό, που είναι 72 ώρες. Εντούτοις, μέρος της έννοιας της ασφάλειας και της προστασίας της ιδιωτικότητας είναι να υπάρχει στην επιχείρηση μεθοδολογία ανίχνευσης παραβιάσεων καθώς και εργαλεία και διαδικασίες για την καλύτερη διαχείριση.

  • Ε4     Πού είναι καταγεγραμμένες οι πραγματικές απαιτήσεις για την προστασία της ασφάλειας ή ελέγχους ιδιωτικότητας ΙΤ;

    Α4    Ο GDPR δεν διευκρινίζει ποιοι έλεγχοι και διαδικασίες πρέπει να τεθούν σε εφαρμογή. Απαιτεί να υπάρχουν  “τα κατάλληλα τεχνικά & οργανωτικά μέτρα” και αφήνει περιθώρια να κρίνουμε τι σημαίνει κατάλληλα για τη συγκεκριμένη επιχείρηση.

  • Ε5     Απαιτείται ‘’εκπαίδευση GDPR’’ για το προσωπικό και τη διοίκηση;

    Α5    Ναι. Οι αρμοδιότητες του ΥΠΔ (DPO) περιλαμβάνουν την ευαισθητοποίηση και την κατάρτιση των εργαζομένων σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα και τις σχετικές απαιτήσεις του GDPR. Αν δεν υπάρχει DPO, την ευθύνη έχει ο Υπεύθυνος Επεξεργασίας (δηλαδή η επιχείρηση).

  • E6     Είμαστε μια ΜΜΕ που δεν επεξεργάζεται μεγάλο όγκο δεδομένων – πρέπει να οριστεί Υπεύθυνος Προστασίας Δεδομένων (DPO);

    A6    Όχι απαραίτητα.

    Μεταξύ των περιπτώσεων όπου ο GDPR απαιτεί ορισμό DPO είναι όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή γίνεται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.

    Η Ομάδα εργασίας του άρθρου 29 (WP29 – μια ομάδα που απαρτιζόταν από εθνικές αρχές προστασίας δεδομένων κρατών της ΕΕ) έχει εκδώσει σχετική κατευθυντήρια οδηγία με τη σύσταση ότι είναι χρήσιμος ο ορισμός ΥΠΔ σε εθελοντική βάση.

    Στην επιχείρηση που εκτιμά ότι δεν χρειάζεται ΥΠΔ, το WP29 συνιστά να διενεργηθεί αξιολόγηση κινδύνου της απόφασης αυτής και να τεκμηριωθεί ότι όλοι οι σχετικοί παράγοντες έχουν ληφθεί σωστά υπόψη.

  • Ε7     Μια επιχείρηση χρησιμοποιεί data processors (ΕτΕ). Είναι αυτοί πλήρως υπεύθυνοι για τα δεδομένα;

    Α7    Όχι, ο GDPR επιβάλει υποχρεώσεις συμμόρφωσης στον data controller (ΥΕ) και στον data processor (ΕτΕ). Είναι ευθύνη του ΥΕ (υπεύθυνου επεξεργασίας) να συμπεριλάβει συγκεκριμένους όρους στη σύμβαση συνεργασίας του με τον ΕτΕ (εκτελούντα την επεξεργασία). Ενδεικτικοί όροι που πρέπει να λαμβάνονται σε συμφωνίες προμηθευτών τρίτων μερών για συμμόρφωση με το GDPR είναι:

    • Συνολική συμμόρφωση με GDPR
    • Παραβιάσεις δεδομένων – υποχρέωση του ΕτΕ να ενημερώσει τον ΥΕ
    • Ασφάλεια δεδομένων – συγκεκριμένα μέτρα ασφαλείας του ΕτΕ
    • Συνεργασία – σε περιπτώσεις παραβίασης ή αιτήματος πρόσβασης SAR
    • Έλεγχος αν ο ΕτΕ πρέπει να ορίσει Υπεύθυνο Προστασίας Δεδομένων
  • Ε8     Τι τεκμηρίωση χρειάζεται μια επιχείρηση για να αποδείξει τη συμβατότητα προς τον GDPR;

    Α8    Πολιτική Απορρήτου που να δείχνει πώς η ιδιωτικότητα και η ασφάλειά της αποτελεί μέρος των καθημερινών επιχειρηματικών διαδικασιών. Διαγράμματα ροής δεδομένων και διαδικασίες / πολιτικές / οδηγίες / έντυπα που δείχνουν πώς μπορούν να υποβάλλονται και να αντιμετωπίζονται ερωτήματα φυσικών προσώπων που σχετίζονται με τα δεδομένα τους. Κατά περίπτωση, χρειάζεται αξιολόγηση κινδύνων και επιπτώσεων στην ασφάλεια των δεδομένων (risk assessment, data protection impact assessment).

  • Ε9     Η συμμόρφωση GDPR διαφέρει ανάλογα με τον αριθμό των εργαζομένων σε μια επιχείρηση;

    Α9    Ο GDPR δεν κάνει διάκριση μεταξύ του μεγέθους των οργανισμών. Αναφέρει ότι οι οργανισμοί μπορούν να συμμορφωθούν με τον Κανονισμό χρησιμοποιώντας τους εξωτερικούς συνεργάτες αντί να χειρίζονται τη συμμόρφωση με ίδιους πόρους.

  • Ε10  Υπάρχει επιτρεπόμενος βαθμός ευελιξίας στην εφαρμογή του GDPR;

    Α10  Ο GDPR, περιγράφοντας την ευθύνη του ΥΕ (υπεύθυνου επεξεργασίας), επιτρέπει κάποια ευελιξία βασισμένη στην ‘’risk-based προσέγγιση’’. Ο ΥΕ υποχρεούται να εφαρμόζει “κατάλληλα” τεχνικά και οργανωτικά μέτρα για να εξασφαλίζει και να είναι σε θέση να αποδείξει τη συμμόρφωσή του. Για να προσδιοριστεί τι θεωρείται “κατάλληλο”, ο ΥΕ πρέπει να λαμβάνει υπόψη τη φύση, το πεδίο, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους και τη σοβαρότητά τους, σε σχέση με τα δικαιώματα και τις ελευθερίες των ατόμων. Με άλλα λόγια, για την επεξεργασία υψηλού κινδύνου θα απαιτηθούν αυστηρά μέτρα συμμόρφωσης, ενώ λιγότερο αυστηρά μέτρα μπορούν να εφαρμοστούν σε επεξεργασίες που είναι απίθανο να δημιουργήσουν κίνδυνο.

    Για παράδειγμα, ο ΥΕ μπορεί να απαλλαγεί από την υποχρέωση γνωστοποίησης παραβίασης δεδομένων εάν ο κίνδυνος είναι πολύ χαμηλός και η διεξαγωγή μιας εκτίμησης επιπτώσεων για την προστασία των δεδομένων απαιτείται μόνο για μια επεξεργασία που ενέχει υψηλό κίνδυνο.

  • Ε11  Πώς η επιχείρηση διαγράφει δεδομένα;

    Α11  Συνήθως η διαγραφή ψηφιακών δεδομένων (delete / erase) δεν γίνεται με το απλό πάτημα ενός κουμπιού.

    Μια προσέγγιση μπορεί να είναι ο σχεδιασμός ‘’διαδικασίας διαγραφής ψηφιακών δεδομένων που η επιχείρηση δεν είναι απαραίτητο να διατηρεί’’. Σε αυτό το πλαίσιο το τμήμα ΙΤ δημιουργεί ένα αρχείο, με αυστηρούς περιορισμούς πρόσβασης, ώστε τα αρχειοθετημένα δεδομένα να θεωρούνται ’’νεκρά δεδομένα’’ που δεν είναι πλέον προσβάσιμα.

  • Ε12 Πως το φυσικό πρόσωπο μπορεί να ασκήσει το ‘’δικαίωμα διαγραφής / δικαίωμα στη λήθη’’ (Right to erasure / right to be forgotten)

    Α12 Το δικαίωμα στη λήθη επιτρέπει στα φυσικά πρόσωπα να ζητούν τη διαγραφή των προσωπικών τους δεδομένων και, αν ο ΥΕ έχει δημοσιοποιήσει τα δεδομένα, να απαιτήσει από τους άλλους ΥΕ να κάνουν το ίδιο. Το δικαίωμα αυτό βασίζεται σε απόφαση του Δικαστηρίου της ΕΕ (CJEU), στις υποθέσεις Google Spain v AEPD και Mario Costeja Gonzales το 2014. Το Δικαστήριο απαίτησε οι μηχανές αναζήτησης να καταργήσουν συνδέσμους σε ιστοσελίδες που εμφανίζονται κατά την αναζήτηση ονόματος ατόμου, κατόπιν αιτήματος του συγκεκριμένου προσώπου. Το GDPR κωδικοποίησε αυτό το δικαίωμα, το οποίο ισχύει για όλους τους ΥΕ (και όχι μόνο για τις μηχανές αναζήτησης). Σύμφωνα με τον GDPR, οι ΥΕ πρέπει να διαγράψουν τα δεδομένα «χωρίς αδικαιολόγητη καθυστέρηση», εάν τα δεδομένα δεν χρειάζονται πλέον, το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία ή η επεξεργασία δεν ήταν νόμιμη. Ωστόσο, το δικαίωμα αυτό θα πρέπει να εξισορροπείται με την ελευθερία έκφρασης, τα συμφέροντα της δημόσιας υγείας, την επιστημονική και ιστορική έρευνα και την άσκηση ή υπεράσπιση νομικών αξιώσεων.

  • Ε13 Μια επιχείρηση εδρεύει στην Ελλάδα και έχει ένα μεγάλο γραφείο στην Αλβανία (εκτός ΕΕ). Εργαζόμενοι στην Αλβανία μπορούν να δουν τα προσωπικά δεδομένα των πολιτών της ΕΕ (δηλαδή των εργαζόμενων στην Ελλάδα). Πως διασφαλίζεται η συμμόρφωση με τον GDPR;

    Α13 Το βασικό βήμα είναι η κατανόηση (απεικόνιση) των ροών δεδομένων στα εταιρικά συστήματα (που/πως αποθηκεύονται δεδομένα, είδη δεδομένων, πώς προστατεύονται, κλπ). Το επόμενο βήμα είναι η ανάλυση χάσματος (detailed gap analysis) ώστε να σχεδιαστούν τα επόμενα μέτρα που μπορεί να περιλαμβάνουν απλές δράσεις, όπως σύμφωνο εμπιστευτικότητας (non disclosure agreement), ή πιο σύνθετες, όπως οι δεσμευτικοί εταιρικοί κανόνες (corporate binding rules).

  • Ε14 Απαιτείται πιστοποίηση της συμμόρφωσης κατά GDPR από φορέα πιστοποίησης;

    Α14 Δεν υπάρχει σχετική νομική απαίτηση. Παρ ‘όλα αυτά, σύμφωνα με την αρχή της λογοδοσίας (δες επόμενη ερώτηση), ο ΥΕ (υπεύθυνος επεξεργασίας) υποχρεούνται ρητά να “επιδεικνύει τη συμμόρφωση” βάσει του GDPR. Τέτοια εργαλεία που βοηθούν στην απόδειξη της συμμόρφωσης είναι κώδικες δεοντολογίας, σφραγίδες (seals / shields) ή πιστοποίηση.

  • Ε15 Τι σημαίνει η ‘’αρχή της λογοδοσίας’’ (accountability);

    Α15 Ο GDPR εισάγει την αρχή της “λογοδοσίας” ως βασική αρχή για την προστασία δεδομένων στην ΕΕ. Αυτό απαιτεί οι ΥΕ να εφαρμόσουν ένα πρόγραμμα συμμόρφωσης που είναι σε θέση να παρακολουθεί τη συμμόρφωση σε ολόκληρη την επιχείρηση και να αποδεικνύει, προς την Εποπτική Αρχή και τα φυσικά πρόσωπα, ότι διαχειρίζεται τα προσωπικά δεδομένα σύμφωνα με τις απαιτήσεις του GDPR.
    Ενδεικτικές ενέργειες του ΥΕ για τη συμμόρφωση με την αρχή της λογοδοσίας περιλαμβάνουν: (α) την εφαρμογή εσωτερικών και εξωτερικών πολιτικών και διαδικασιών συμμόρφωσης, (β) τήρηση λεπτομερών και επικαιροποιημένων εγγράφων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, (γ) διενέργεια εκτιμήσεων επιπτώσεων για την προστασία των δεδομένων για εργασίες επεξεργασίας υψηλού κινδύνου, (δ) τη διασφάλιση της ασφάλειας και της εμπιστευτικότητας από όλα τα εσωτερικά και εξωτερικά μέρη που συμμετέχουν στις διαδικασίες επεξεργασίας δεδομένων, (ε) διενέργεια επιθεωρήσεων / πιστοποίησης, (στ) τον διορισμό ενός υπεύθυνου προστασίας δεδομένων (DPO).
    Ανάλογα με την επιχείρηση οι παραπάνω ενέργειες μπορεί να είναι υποχρεωτικές βάσει του GDPR.

  • E16 Είναι, κατά τον GDPR, μια επίθεση ransomware παραβίαση δεδομένων;

    A16 Εάν μπορεί να τεκμηριωθεί ότι τα δεδομένα δεν διαβιβάστηκαν εκτός της επιχείρησης και, ως εκ τούτου, δεν έχουν κοινοποιηθεί δεδομένα σε τρίτους, αλλά έχουν μόνο καταστεί μη-διαθέσιμα, τότε η επίθεση ransomware δεν θεωρείται παραβίαση δεδομένων.
    Ωστόσο, αυτή η τεκμηρίωση δεν είναι εύκολη αν δεν προυπάρχουν διαδικασίες και έλεγχοι πρόληψης απώλειας δεδομένων (data loss prevention controls).

  • Ε17 Η εταιρεία Α έχει σύμβαση με την εταιρεία Β. Η εταιρεία Β έχει σύμβαση με την εταιρεία Γ. Είναι πιθανόν η εταιρεία Γ (μέσω της εταιρείας Β) να έχει κάποια στοιχεία (πχ προσωπικά δεδομένα εργαζομένων/πελατών) από την εταιρεία Α.
    Πως βλέπει η Εποπτική Αρχή την παραβίαση δεδομένων εφόσον, τυπικά, δεν υπάρχει σχέση (σύμβαση) μεταξύ Α & Γ;

    Α17 Η εταιρεία Α, ως Υπεύθυνος Επεξεργασίας (ΥΕ), υποχρεούται βάσει του GDPR να βεβαιωθεί ότι οι συνεργάτες / υπεργολάβοι της συμμορφώνονται με τον Κανονισμό.
    Η εταιρία Β είναι υπεργολάβος και έχει υποχρεώσεις έναντι της εταιρείας Α.
    Η εταιρεία Γ είναι υπεργολάβος της Β και έχει υποχρεώσεις απέναντι της.
    Όμως, τελικά, η εταιρεία Α είναι αυτή που βλέπει η Εποπτική Αρχή και η εταιρεία Α έχει ευθύνη να βεβαιωθεί ότι επιλέγει τους σωστούς υπεργολάβους.

Σας ενημερώνουμε ότι θα είμαστε πάλι κοντά σας το Σεπτέμβριο, με νέα και πληροφορίες για τον Κανονισμό GDPR.