Ο ΚΑΝΟΝΙΣΜΟΣ GDPR για τα προσωπικά δεδομένα




Ο Ευρωπαϊκός Κανονισμός 2016/679 (General Data Protection Regulation, GDPR) ψηφίστηκε στις 27.04.2016 και τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25.05.2018, διαμορφώνοντας ένα ενιαίο νομικό πλαίσιο, χωρίς την ανάγκη ψήφισης εθνικής νομοθεσίας και καταργώντας την υφιστάμενη νομοθεσία. Ο νέος κανονισμός αυξάνει σημαντικά τις υποχρεώσεις των επιχειρήσεων, ενώ το μέγεθος των προβλεπόμενων προστίμων τον τοποθετεί πολύ υψηλά στην ατζέντα της ανώτατης διοίκησης.


Ποιο είναι το αντικείμενο του Γενικού Κανονισμού 2016/679;

Η διαμόρφωση ενός ενιαίου νομικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης, που θέτει μία σειρά περιορισμών και νέων υποχρεώσεων στις επιχειρήσεις σχετικά με:

  • την επεξεργασία των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους, από τη συλλογή έως και την καταστροφή τους,
  • τη δυνατότητα μεταφοράς τους σε άλλες χώρες,
  • την προστασία των δικαιωμάτων των φυσικών προσώπων,
  • την ασφάλεια (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα) των προσωπικών δεδομένων και
  • τις ενέργειες γνωστοποίησης που οφείλει να κάνει η επιχείρηση σε περίπτωση παραβίασης.
  • Σε περίπτωση παράβασης προβλέπονται σημαντικά αυξημένα πρόστιμα, που ανάλογα με το είδος και το μέγεθός της, φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών


ΠΟΙΕΣ ΕΠΙΧΕΙΡΗΣΕΙΣ ΑΦΟΡΑ

Όλες τις ιδιωτικές και δημόσιες επιχειρήσεις, καθώς και τις κρατικές αρχές που με οποιοδήποτε τρόπο διαχειρίζονται δεδομένα προσωπικού χαρακτήρα πελατών, πελατών των πελατών τους, εργαζομένων, συνεργατών ή άλλων φυσικών προσώπων.

Ως εκ τούτου, o GDPR αφορά πρακτικά όλες τις επιχειρήσεις, εντός και εκτός Ευρωπαϊκής Ένωσης, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες.



ΠΟΙΕΣ ΟΙ ΔΥΣΚΟΛΙΕΣ ΤΩΝ ΕΠΙΧΕΙΡΗΣΕΩΝ

να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ’ αυτών είναι απαραίτητα, να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν, να τα αποθηκεύουν για το ελάχιστο χρονικό διάστημα που απαιτείται, να λαμβάνουν κατά περίπτωση την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων

να τα μεταφέρουν σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις

να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με τον GDPR

να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα για:

  • ανάκληση της συγκατάθεσης
  • πρόσβαση στα δεδομένα
  • διόρθωση των δεδομένων
  • διαγραφή των δεδομένων
  • περιορισμό της επεξεργασίας
  • παράδοση των δεδομένων σε ηλεκτρονική μορφή
  • μεταφορά των δεδομένων σε άλλο φορέα
  • να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους
  • να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους 
  • να τηρούν σε αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση
  • να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.
η ακριβής γνώση για το ποια δεδομένα συλλέγουν και επεξεργάζονται σε κάθε φάση των δραστηριοτήτων τους, ποιοι εμπλέκονται και με ποια εργαλεία και διαδικασίες γίνεται η επεξεργασία

ο καθορισμός και διαχωρισμός των επιχειρησιακών αναγκών, ώστε να διασφαλίζονται όλες οι απαιτούμενες συγκαταθέσεις του υποκειμένου και να μη γίνεται πλεονάζουσα επεξεργασία

ο συστηματικός έλεγχος για την κάλυψη των απαιτήσεων του GDPR σε κάθε στάδιο επεξεργασίας των δεδομένων

η αξιολόγηση των κινδύνων που ενδέχεται να οδηγήσουν σε παραβίαση των προσωπικών δεδομένων, με αποτέλεσμα βαρύτατες οικονομικές κυρώσεις και επιπτώσεις στην εταιρική φήμη

η παρουσίαση των σημαντικότερων κινδύνων και των τρόπων αντιμετώπισής τους στη Διοίκηση με πρακτικό τρόπο, ώστε να αποφασισθεί ένα ρεαλιστικό πλάνο και προϋπολογισμός συμμόρφωσης

η λήψη αποτελεσματικών και οικονομικών μέτρων για τον περιορισμό του κινδύνου παραβιάσεων του GDPR, χωρίς να θίγονται οι επιχειρησιακές προτεραιότητες.



ΔΙΕΘΝΗ ΠΡΩΤΥΠΑ ΚΑΙ ΟΔΗΓΙΕΣ

Τι πρέπει να προσέξουν τα μέλη του ΔΣ και τα ανώτερα στελέχη στην ασφάλεια και στην προστασία των δεδομένων της επιχείρησης βάσει της GDPR
Πού καθορίζονται τα απαιτούμενα μέτρα, πολιτικές και διαδικασίες για την ασφάλεια δεδομένων και την επιχειρησιακή συνέχεια;

Τα απαιτούμενα από τον GDPR μέτρα, πολιτικές και διαδικασίες ασφάλειας δεδομένων και επιχειρησιακής συνέχειας καθορίζονται από τα εξής διεθνή πρότυπα και οδηγίες:

  • ISO 27001, το βασικό διεθνές πρότυπο για την ασφάλεια πληροφοριών
  • ISO 22301, το διεθνές πρότυπο για την επιχειρησιακή συνέχεια
  • PCI, το διεθνές πρότυπο για τις επιχειρήσεις που διαχειρίζονται δεδομένα καρτών πληρωμών
  • ISO 27018, οδηγία για την προστασία των προσωπικών δεδομένων στο cloud
  • ISO 27017, οδηγία για την ασφάλεια των δεδομένων στην παροχή υπηρεσιών μέσω cloud
  • ISO 27799, οδηγία για την ασφάλεια των δεδομένων υγείας
  • ISO 27011, οδηγία για την ασφάλεια των δεδομένων στους τηλεπικοινωνιακούς οργανισμούς
  • ISO 27015, οδηγία για την ασφάλεια δεδομένων στις οικονομικές υπηρεσίες.
Ο GDPR συστήνει στις επιχειρήσεις να πιστοποιηθούν με τα ανωτέρω πρότυπα, καθώς και με ειδικά πρότυπα που πρόκειται να βγουν από την ΕΕ για το σκοπό αυτό.

Σχόλια

Δημοσίευση σχολίου

Δημοφιλείς αναρτήσεις από αυτό το ιστολόγιο

Τι είναι τα Ασφαλιστικά cluster

Εικόνα
Στον ασφαλιστικό κλάδο cluster είναι η συνένωση ασφαλιστικών εταιρειών (επιχειρηματικό οικοσύστημα), πρακτόρων και μεσίτων με εταιρική μορφή , προκειμένου να παρέχουν μεταξύ τους υποστήριξη, οικονομίες κλίμακος, συνέργιες και μάρκετινγκ . Με τη δημιουργία μιας συνεργατικής συμμαχίας (cluster), οι πόροι κάθε οργανισμού συνδέονται με τους υπόλοιπους σε ένα επιχειρηματικό οικοσύστημα και όλοι επωφελούνται από μια τέτοια ένωση . 
Διαβάστε περισσότερα

Οι Αλλαγές στις επιχειρήσεις ασφαλιστικής διαμεσολάβησης μέχρι το 2030

Εικόνα
Οι δυνάμεις της παγκοσμιοποίησης και η 4η Βιομηχανική επανάσταση ( Industry 4.0 ) μετασχηματίζουν τις οικονομίες, τους χώρους εργασίας και τις οικογένειες μας και θα συνεχίζουν να το κάνουν ακόμη πιο έντονα τα επόμενα χρόνια.
Διαβάστε περισσότερα

Τι προσφέρουμε στην ελληνική αγορά σαν λύση αντιμετώπισης περιστατικών παραβίασης συστημάτων και διαρροής δεδομένων

Εικόνα
Η Benefit σε συνεργασία με τις μεγαλύτερες & αναγνωρισμένες εταιρείες, στην αντιμετώπιση διαδικτυακών κινδύνων, όπως η Cromar Insurance Brokers , εξουσιοδοτημένος ανταποκριτής των Lloyds (Lloyds Coverholder), και η AIG , προσφέρει στην ελληνική αγορά μια συνολική λύση αποτελεσματικής διαχείρισης των κινδύνων παραβίασης συστημάτων και απώλειας δεδομένων. Επιπλέον, επιτρέπει στις επιχειρήσεις να διαχειριστούν την αυξανόμενη ευθύνη τους λόγω της διαχείρισης μεγάλου όγκου προσωπικών δεδομένων των πελατών τους, καθώς και να μετριάσουν τον κίνδυνο να θιγεί η εταιρική φήμη από μια πιθανή παραβίαση συστημάτων και απώλεια των δεδομένων αυτών.
Διαβάστε περισσότερα