Κεφάλαιο 2ο: Τα βασικά βήματα για την συμμόρφωση στον GDPR
Η Ευρώπη έθεσε σε λειτουργία τον κανονισμό περί γενικής προστασίας δεδομένων. Με αυτόν τον περιορισμένο χρόνο, αρκετές μελέτες δείχνουν ότι οι περισσότερες εταιρείες δεν είναι έτοιμες για τις νέες απαιτήσεις.
Το γεγονός παραμένει ότι θα πρέπει να βρουν έναν τρόπο συμμόρφωσης με αυτόν τον νόμο, εάν επιθυμούν να παραμείνουν επιχειρησιακοί στην Ευρώπη χωρίς να υποστούν βαριά πρόστιμα.
Ο νόμος ουσιαστικά κάνει δύο πράγματα. προστατεύει τα δικαιώματα των πολιτών της ΕΕ και προστατεύει το απόρρητό τους. Ως εκ τούτου, είναι σαφές ότι πρέπει να συμμορφώνεται με κάθε οργανισμό που αναπτύσσει δραστηριότητες στην ενιαία αγορά ή ασχολείται με πελάτες της ΕΕ.
Το GDPR αυξάνει τις ευθύνες προς τους οργανισμούς εισάγοντας περισσότερα δικαιώματα για τα υποκείμενα των δεδομένων. Ορισμένα από αυτά τα δικαιώματα περιλαμβάνουν το δικαίωμα της διαγραφής, του δικαιώματος πρόσβασης και του δικαιώματος διόρθωσης των πληροφοριών. Μόνο αυτό εξηγεί στους οργανισμούς ότι χρειάζονται έναν ολοκληρωμένο χάρτη δεδομένων που καλύπτει το είδος των πληροφοριών που αποθηκεύονται, όπου αποθηκεύονται και ποιες οντότητες έχουν πρόσβαση σε αυτό. Το κατώτατο σημείο είναι ότι πρέπει να δημιουργήσουν νέα συστήματα που θα τους επιτρέψουν να εκτελούν εξειδικευμένες λειτουργίες με μεγάλη αποτελεσματικότητα όπως απαιτεί ο νέος νόμος. Πριν από αυτό, πρέπει να περάσουν μερικά βήματα.
1. Να είσαι ενήμερος
Είναι επιτακτικό ότι το βασικό προσωπικό της οργάνωσής σας έχει επίγνωση του γεγονότος ότι ο νόμος αλλάζει στο GDPR και αρχίζει να το λαμβάνει υπόψη στον μελλοντικό προγραμματισμό τους. Θα πρέπει να αρχίσουν να εντοπίζουν περιοχές που θα μπορούσαν να προκαλέσουν προβλήματα συμμόρφωσης στο πλαίσιο του GDPR. Αρχικά, οι ελεγκτές δεδομένων θα πρέπει να επανεξετάσουν και να βελτιώσουν τις διαδικασίες διαχείρισης των κινδύνων του οργανισμού τους, καθώς η εφαρμογή του GDPR θα μπορούσε να έχει σημαντικές επιπτώσεις στους πόρους. ειδικά για πιο πολύπλοκες οργανώσεις. Οποιαδήποτε καθυστέρηση στις προετοιμασίες μπορεί να αφήσει τον οργανισμό σας να υποστεί ζητήματα συμμόρφωσης μετά την εισαγωγή του GDPR.
2. Να είσαι υπεύθυνος
Καταχωρίστε όλα τα προσωπικά δεδομένα που έχετε στη διάθεσή σας και απαντήστε στις ερωτήσεις:
Γιατί τον κρατάς;
Πώς το πήρατε;
Γιατί είχαν αρχικά συλλεχθεί;
Πόσο καιρό θα το διατηρήσετε;
Πόσο ασφαλής είναι, τόσο όσον αφορά την κρυπτογράφηση όσο και την προσβασιμότητα;
Μήπως το μοιράζεστε ποτέ με τρίτους και με ποια βάση θα μπορούσατε να το κάνετε;
Πρόκειται για το πρώτο βήμα προς την τήρηση της αρχής της λογοδοσίας του GDPR, η οποία απαιτεί από τους οργανισμούς να επιδεικνύουν (και στις περισσότερες περιπτώσεις να τεκμηριώνουν) τους τρόπους με τους οποίους συμμορφώνονται με τις αρχές προστασίας δεδομένων κατά την εκτέλεση συναλλαγών. Η απογραφή θα επιτρέψει επίσης στους οργανισμούς να τροποποιήσουν λανθασμένα δεδομένα ή να παρακολουθήσουν τις αποκαλύψεις τρίτων στο μέλλον, κάτι που μπορεί να τους ζητηθεί.
3. Επικοινωνία με το προσωπικό και τους χρήστες υπηρεσιών
Ελέγξτε όλες τις τρέχουσες ειδοποιήσεις απορρήτου δεδομένων, που ειδοποιούν τα άτομα για τη συλλογή των δεδομένων τους. Προσδιορίστε τυχόν κενά που υπάρχουν μεταξύ του επιπέδου συλλογής και επεξεργασίας δεδομένων που εμπλέκεται στον οργανισμό σας και του βαθμού στον οποίο έχετε ενημερώσει τους πελάτες σας, το προσωπικό και τις υπηρεσίες σας για το γεγονός αυτό. Εάν υπάρχουν κενά, ορίστε να τα διορθώσετε χρησιμοποιώντας τα κριτήρια που ορίζονται στο «2: Να γίνουν υπεύθυνα» ως οδηγός σας.
Πριν από τη συγκέντρωση οποιωνδήποτε προσωπικών δεδομένων, η ισχύουσα νομοθεσία απαιτεί να ειδοποιείτε τους πελάτες σας για την ταυτότητά σας, τους λόγους για τους οποίους συλλέγετε τα δεδομένα, τη χρήση ή τις χρήσεις που θα τα χρησιμοποιήσετε, σε ποιον θα αποκαλυφθούν και εάν πρόκειται να μεταφερθούν εκτός ΕΕ.
Σύμφωνα με το GDPR, πρέπει να γνωστοποιούνται επιπλέον στοιχεία σε άτομα πριν από την επεξεργασία τους, όπως η νομική βάση για την επεξεργασία των δεδομένων, οι περίοδοι διατήρησης, το δικαίωμα καταγγελίας όπου οι πελάτες είναι δυσαρεστημένοι με την εφαρμογή κάποιου από τα κριτήρια αυτά, να υπόκεινται σε αυτοματοποιημένη λήψη αποφάσεων και τα ατομικά τους δικαιώματα βάσει του GDPR. Το GDPR απαιτεί επίσης να παρέχονται οι πληροφορίες σε συνοπτική, κατανοητή και σαφή γλώσσα.
4. Δικαιώματα προστασίας προσωπικών δεδομένων
Θα πρέπει να αναθεωρήσετε τις διαδικασίες σας για να διασφαλίσετε ότι καλύπτουν όλα τα δικαιώματα που έχουν τα άτομα, συμπεριλαμβανομένου του τρόπου με τον οποίο θα διαγράψετε προσωπικά δεδομένα ή θα παράσχετε δεδομένα ηλεκτρονικά και σε μορφή που χρησιμοποιείται συνήθως.
Τα δικαιώματα για τ’ άτομα στο πλαίσιο του GDPR περιλαμβάνουν:
υποκείμενη πρόσβαση
να διορθωθούν οι ανακρίβειες
για να διαγραφούν οι πληροφορίες
να αντιταχθεί στο άμεσο μάρκετινγκ
να περιορίσουν την επεξεργασία των πληροφοριών τους, συμπεριλαμβανομένης της αυτοματοποιημένης λήψης αποφάσεων
φορητότητα δεδομένων
Σε γενικές γραμμές, τα δικαιώματα που τα άτομα θα απολαμβάνουν στο πλαίσιο του GDPR είναι τα ίδια με εκείνα των πράξεων, αλλά με κάποιες σημαντικές βελτιώσεις. Οι οργανισμοί που εφαρμόζουν ήδη αυτές τις αρχές θα βρουν λιγότερο δύσκολη τη μετάβαση στο GDPR.
Ελέγξτε τις τρέχουσες διαδικασίες σας.
1. Πώς αντιδρούσε ο οργανισμός σας εάν έλαβε ένα αίτημα από ένα υποκείμενο των δεδομένων που επιθυμεί να ασκήσει τα δικαιώματά του βάσει του GDPR;
2. Πόσο καιρό χρειάζεστε να εντοπίσετε (και να διορθώσετε ή να διαγράψετε) τα δεδομένα από όλες τις τοποθεσίες όπου είναι αποθηκευμένες;
3. Ποιος θα πάνει τις αποφάσεις σχετικά με τη διαγραφή;
4. Μπορούν τα συστήματά σας να ανταποκριθούν στην πρόβλεψη της φορητότητας δεδομένων του GDPR, εάν ισχύει όπου πρέπει να παράσχετε τα δεδομένα ηλεκτρονικά και σε μορφή που χρησιμοποιείται συνήθως;
5. Πώς αλλάζουν τα αιτήματα πρόσβασης;
Θα πρέπει να ελέγξετε και να ενημερώσετε τις διαδικασίες σας και να σχεδιάσετε τον τρόπο με τον οποίο θα χειριστείτε τα αιτήματα μέσα στα νέα χρονοδιαγράμματα. (Δεν πρέπει να υπάρξει αδικαιολόγητη καθυστέρηση στην επεξεργασία μιας αίτησης πρόσβασης και, το αργότερο, πρέπει να ολοκληρωθεί εντός ενός μηνός).
Οι κανόνες για την αντιμετώπιση των αιτήσεων πρόσβασης σε θέματα θα αλλάξουν στο πλαίσιο του GDPR. Στις περισσότερες περιπτώσεις, δεν θα μπορείτε να χρεώνετε για την επεξεργασία μιας αίτησης πρόσβασης, εκτός αν μπορείτε να αποδείξετε ότι το κόστος θα είναι υπερβολικό. Το χρονοδιάγραμμα για την επεξεργασία μιας αίτησης πρόσβασης θα μειωθεί επίσης, μειώνοντας σημαντικά την τρέχουσα περίοδο των 40 ημερών. Οι οργανισμοί θα έχουν κάποιους λόγους να αρνούνται τη χορήγηση αίτησης πρόσβασης. Όταν μια αίτηση θεωρείται προδήλως αβάσιμη ή υπερβολική, μπορεί να απορριφθεί.
Ωστόσο, οι οργανισμοί θα χρειαστεί να εφαρμόσουν σαφείς πολιτικές και διαδικασίες άρνησης και να αποδείξουν γιατί η αίτηση πληροί αυτά τα κριτήρια.
Θα χρειαστεί επίσης να δώσετε μερικές πρόσθετες πληροφορίες σε άτομα που υποβάλλουν αιτήματα, όπως οι περίοδοι διατήρησης δεδομένων σας και το δικαίωμα για διόρθωση ανακριβών δεδομένων. Αν ο οργανισμός σας χειρίζεται μεγάλο αριθμό αιτήσεων πρόσβασης, ο αντίκτυπος των αλλαγών μπορεί να είναι σημαντικός. Οι υλικοτεχνικές συνέπειες της αντιμετώπισης των αιτήσεων σε συντομότερο χρονικό διάστημα και η παροχή πρόσθετων πληροφοριών θα πρέπει να ληφθούν υπόψη στο μελλοντικό σχεδιασμό των οργανισμών. Θα μπορούσε τελικά να σώσει τον οργανισμό σας πολύ διοικητικό κόστος αν μπορείτε να αναπτύξετε συστήματα που επιτρέπουν στους ανθρώπους να έχουν εύκολη πρόσβαση στις πληροφορίες τους.
6. Τι εννοούμε όταν μιλάμε για μια 'Νομική Βάση'
Θα πρέπει να εξετάσετε τους διάφορους τύπους επεξεργασίας δεδομένων που πραγματοποιείτε, να προσδιορίσετε τη νομική βάση σας για τη διεξαγωγή της και να την τεκμηριώσετε. Αυτό είναι ιδιαίτερα σημαντικό όταν η συναίνεση χρησιμοποιείται ως μοναδική νομική βάση για την επεξεργασία δεδομένων. Σύμφωνα με το GDPR, τα άτομα θα έχουν ισχυρότερο δικαίωμα να διαγράφουν τα δεδομένα τους, όταν η συγκατάθεση του πελάτη είναι η μόνη αιτιολόγηση για επεξεργασία. Θα πρέπει να εξηγήσετε τη νομική βάση σας για την επεξεργασία των προσωπικών δεδομένων στην ειδοποίησή σας περί απορρήτου και όταν απαντάτε σε ένα αίτημα πρόσβασης για θέματα.
Για τις κυβερνητικές υπηρεσίες και τους οργανισμούς, σημειώθηκε σημαντική μείωση του αριθμού των νομικών βάσεων στις οποίες μπορούν να βασίζονται κατά την επεξεργασία των δεδομένων. Δεν θα είναι πλέον δυνατή η αναφορά νόμιμων συμφερόντων. Αντ 'αυτού, θα υπάρχει γενική ανάγκη να υπάρχουν συγκεκριμένες νομοθετικές διατάξεις που να στηρίζουν μία ή περισσότερες από τις μεθόδους που χρησιμοποιούν οι οργανισμοί για την επεξεργασία δεδομένων. Όλοι οι οργανισμοί πρέπει να εξετάσουν προσεκτικά πόσα προσωπικά δεδομένα συγκεντρώνουν και γιατί. Εάν οποιαδήποτε κατηγορία μπορεί να διακοπεί, κάντε το.
Για τα δεδομένα που παραμένουν, σκεφτείτε αν πρέπει να διατηρηθεί σε ακατέργαστη μορφή και πόσο γρήγορα μπορείτε να ξεκινήσετε τη διαδικασία ανωνυμίας και ψευδωνύμου.
7. Χρήση της συγκατάθεσης του πελάτη για λόγους επεξεργασίας δεδομένων
Αν χρησιμοποιείτε τη συγκατάθεση του πελάτη όταν καταγράφετε προσωπικά δεδομένα, θα πρέπει να ελέγξετε τον τρόπο με τον οποίο αναζητάτε, να αποκτάτε και να καταγράφετε τη συγκατάθεσή σας και αν χρειάζεται να κάνετε οποιεσδήποτε αλλαγές.
«Η συγκατάθεση πρέπει να είναι «ελεύθερη, συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη».
Ουσιαστικά, ο πελάτης σας δεν μπορεί να εξαναγκαστεί σε συγκατάθεση ή να μην γνωρίζει ότι συναινεί στην επεξεργασία των προσωπικών του δεδομένων. Πρέπει να γνωρίζουν ακριβώς τι συμφωνούν και δεν υπάρχει αμφιβολία ότι συμφωνούν. Η λήψη συγκατάθεσης απαιτεί μια θετική ένδειξη συμφωνίας - δεν μπορεί να συναχθεί από τη σιωπή, τα τετραγωνίδια ή την αδράνεια.
Εάν η συναίνεση είναι η νομική βάση που βασίζεται στην επεξεργασία προσωπικών δεδομένων, πρέπει να βεβαιωθείτε ότι θα πληροί τα πρότυπα που απαιτούνται από το GDPR. Σε αντίθετη περίπτωση, θα πρέπει να τροποποιήσετε τους μηχανισμούς συγκατάθεσής σας ή να βρείτε μια εναλλακτική νομική βάση. Σημειώστε ότι η συγκατάθεση πρέπει να είναι επαληθεύσιμη, ότι τα άτομα πρέπει να ενημερώνονται εκ των προτέρων για το δικαίωμά τους να αποσύρουν τη συγκατάθεσή τους και ότι τα άτομα έχουν εν γένει ισχυρότερα δικαιώματα όταν βασίζεστε στη συναίνεση για την επεξεργασία των δεδομένων τους. Το GDPR είναι σαφές ότι οι υπεύθυνοι επεξεργασίας πρέπει να είναι σε θέση να αποδείξουν ότι δόθηκε συναίνεση. Επομένως, θα πρέπει να αναθεωρήσετε τα συστήματα που έχετε για την εγγραφή συγκατάθεσης για να εξασφαλίσετε ότι έχετε ένα αποτελεσματικό μονοπάτι ελέγχου.
8. Επεξεργασία δεδομένων παιδιών
Εάν το έργο της οργάνωσής σας περιλαμβάνει την επεξεργασία δεδομένων από ανήλικα άτομα, πρέπει να βεβαιωθείτε ότι έχετε τα κατάλληλα συστήματα για να επαληθεύσετε τις ατομικές ηλικίες και να συγκεντρώσετε τη συγκατάθεση των κηδεμόνων.
Το GDPR εισάγει ειδικές προστασίες για τα δεδομένα των παιδιών, ιδίως στο πλαίσιο των κοινωνικών μέσων και των εμπορικών υπηρεσιών διαδικτύου. Το κράτος θα καθορίσει την ηλικία μέχρι την οποία ένας οργανισμός πρέπει να λάβει τη συγκατάθεση του κηδεμόνα πριν επεξεργαστεί τα δεδομένα ενός παιδιού. Πρέπει να σημειωθεί ότι η συγκατάθεση πρέπει να είναι επαληθεύσιμη και επομένως να γνωστοποιείται στους ανήλικους πελάτες σας σε γλώσσα που μπορούν να κατανοήσουν.
9. Αξιολογήσεις Επιπτώσεων Προστασίας Δεδομένων (DPIA) και Προστασία Δεδομένων από το σχεδιασμό και την προεπιλογή
Μια DPIA είναι η διαδικασία συστηματικής εξέτασης των πιθανών επιπτώσεων που μπορεί να έχει ένα έργο ή μια πρωτοβουλία στην ιδιωτική ζωή των ατόμων. Θα επιτρέψει στους οργανισμούς να εντοπίσουν πιθανά ζητήματα ιδιωτικού απορρήτου προτού προκύψουν και να βρουν έναν τρόπο να τους μετριάσουν. Μια DPIA μπορεί να περιλαμβάνει συζητήσεις με συναφή μέρη / ενδιαφερόμενα μέρη. Τέλος, μια τέτοια αξιολόγηση μπορεί να αποδειχθεί ανεκτίμητη για τον προσδιορισμό της βιωσιμότητας μελλοντικών έργων και πρωτοβουλιών.
Το GDPR εισάγει υποχρεωτικές απαιτήσεις DPIA για τις οργανώσεις που εμπλέκονται σε επεξεργασία υψηλού κινδύνου. για παράδειγμα, όταν αναπτύσσεται μια νέα τεχνολογία, όπου μια δραστηριότητα δημιουργίας προφίλ ενδέχεται να επηρεάσει σημαντικά τα άτομα ή όταν υπάρχει μεγάλης κλίμακας παρακολούθηση ενός δημόσιου προσβάσιμου χώρου.
Όπου η DPIA υποδεικνύει ότι οι κίνδυνοι που εντοπίστηκαν σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν μπορούν να μετριαστούν πλήρως, οι υπεύθυνοι επεξεργασίας δεδομένων θα πρέπει να συμβουλεύονται το DPC (Digital Preservation Coalition - Εγχειρίδιο ψηφιακής συντήρησης ) προτού συμμετάσχουν στη διαδικασία. Οι οργανισμοί πρέπει τώρα να αρχίσουν να αξιολογούν κατά πόσο τα μελλοντικά έργα θα απαιτήσουν DPIA και, εάν το σχέδιο απαιτεί DPIA, εξετάστε:
1. Ποιος θα το κάνει;
2. Ποιος άλλος πρέπει να εμπλακεί;
3. Η διαδικασία θα διεξαχθεί κεντρικά ή τοπικά;
Έχει πάντοτε καλή πρακτική η υιοθέτηση της ιδιωτικής ζωής από το σχεδιασμό ως προεπιλεγμένης προσέγγισης. η προστασία της ιδιωτικής ζωής από το σχεδιασμό και η ελαχιστοποίηση των δεδομένων ήταν πάντοτε σιωπηρές απαιτήσεις των αρχών προστασίας δεδομένων. Ωστόσο, το GDPR κατοχυρώνει τόσο την αρχή της «προστασίας της ιδιωτικής ζωής από τη μελέτη» όσο και την αρχή της «εχεμύθειας της ιδιωτικής ζωής». Αυτό σημαίνει ότι οι ρυθμίσεις υπηρεσιών πρέπει να είναι αυτόματα φιλικές προς το ιδιωτικό απόρρητο και απαιτεί από την αρχή της ανάπτυξης των υπηρεσιών και των προϊόντων να λαμβάνονται υπόψη οι ανησυχίες περί προστασίας της ιδιωτικής ζωής.
10. Αναφορά παραβιάσεων δεδομένων
Πρέπει να βεβαιωθείτε ότι έχετε εφαρμόσει τις κατάλληλες διαδικασίες για να εντοπίσετε, να αναφέρετε και να διερευνήσετε μια παραβίαση προσωπικών δεδομένων.
Ορισμένες οργανώσεις είναι ήδη υποχρεωμένες να ειδοποιούν το DPC όταν διαπράττουν παραβίαση προσωπικών δεδομένων. Ωστόσο, το GDPR θα φέρει υποχρεωτικές ειδοποιήσεις παραβίασης, οι οποίες θα είναι νέες σε πολλές οργανώσεις. Όλες οι παραβιάσεις πρέπει να αναφέρονται στο DPC, συνήθως εντός 72 ωρών, εκτός αν τα δεδομένα είναι ανώνυμα ή κρυπτογραφημένα. Στην πράξη, αυτό σημαίνει ότι οι περισσότερες παραβιάσεις δεδομένων πρέπει να αναφέρονται στην DPC. Οι παραβιάσεις που ενδέχεται να βλάψουν ένα άτομο - όπως η κλοπή ταυτότητας ή η παραβίαση της εμπιστευτικότητας - πρέπει επίσης να αναφέρονται στα ενδιαφερόμενα άτομα. Τώρα είναι η στιγμή να αξιολογήσετε τους τύπους δεδομένων που κατέχετε και να τεκμηριώσετε ποιες από αυτές εμπίπτουν στην απαίτηση κοινοποίησης σε περίπτωση παραβίασης. Οι μεγαλύτεροι οργανισμοί θα πρέπει να αναπτύξουν πολιτικές και διαδικασίες για τη διαχείριση των παραβιάσεων δεδομένων τόσο σε κεντρικό όσο και σε τοπικό επίπεδο.
Αξίζει να σημειωθεί ότι η παράλειψη δήλωσης παραβίασης, όταν απαιτείται, θα μπορούσε να οδηγήσει σε πρόστιμο, καθώς και πρόστιμο για την ίδια την παραβίαση.
11. Υπεύθυνοι Προστασίας Δεδομένων
Το GDPR θα απαιτήσει από ορισμένους οργανισμούς να ορίσουν έναν υπεύθυνο προστασίας δεδομένων (DPO). Οι οργανισμοί που απαιτούν DPO περιλαμβάνουν δημόσιες αρχές, οργανώσεις των οποίων οι δραστηριότητες συνεπάγονται την τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή οργανισμοί που επεξεργάζονται τα ευρέως γνωστά ευαίσθητα προσωπικά δεδομένα.
Το σημαντικό είναι να βεβαιωθείτε ότι κάποιος στον οργανισμό σας ή ένας εξωτερικός σύμβουλος προστασίας δεδομένων αναλαμβάνει την ευθύνη για τη συμμόρφωσή σας με την προστασία δεδομένων και έχει τις γνώσεις, την υποστήριξη και την εξουσία να το πράξει αποτελεσματικά.
Επομένως, θα πρέπει τώρα να εξετάσετε αν θα σας ζητηθεί να ορίσετε έναν DPO και, αν ναι, να αξιολογήσετε εάν η τρέχουσα προσέγγιση σας για τη συμμόρφωση με την προστασία δεδομένων θα πληροί τις απαιτήσεις του GDPR.
12. Διασυνοριακή επεξεργασία και ενιαία στάση Το GDPR περιλαμβάνει τον μηχανισμό ενιαίας εξυπηρέτησης (OSS), ο οποίος θα τεθεί σε εφαρμογή για τους υπεύθυνους επεξεργασίας δεδομένων και τους επεξεργαστές δεδομένων που ασχολούνται με τη διασυνοριακή επεξεργασία προσωπικών δεδομένων.
Το OSS θα επιτρέψει στον οργανισμό σας να ασχολείται με μια μοναδική εποπτική αρχή (LSA) για τις περισσότερες από τις δραστηριότητες επεξεργασίας. Το LSA θα είναι η εποπτική αρχή της χώρας στην οποία έχετε την κύρια έδρα σας.
Προκειμένου το OSS να υποβάλει αίτηση στον οργανισμό σας, πρέπει να συμμετέχετε σε διασυνοριακή επεξεργασία και να είστε εγκατεστημένοι στην Ευρωπαϊκή Ένωση.
Ο τρόπος με τον οποίο θα προσδιορίσετε την κύρια εγκατάστασή σας εξαρτάται από το αν είστε υπεύθυνος επεξεργασίας δεδομένων ή επεξεργαστής δεδομένων, αλλά γενικά θα σας βοηθήσουμε να εντοπίσετε πού αποφασίζει ο οργανισμός σας σχετικά με την επεξεργασία δεδομένων.
πηγή: www.compliancejunction.com
Το γεγονός παραμένει ότι θα πρέπει να βρουν έναν τρόπο συμμόρφωσης με αυτόν τον νόμο, εάν επιθυμούν να παραμείνουν επιχειρησιακοί στην Ευρώπη χωρίς να υποστούν βαριά πρόστιμα.
Ο νόμος ουσιαστικά κάνει δύο πράγματα. προστατεύει τα δικαιώματα των πολιτών της ΕΕ και προστατεύει το απόρρητό τους. Ως εκ τούτου, είναι σαφές ότι πρέπει να συμμορφώνεται με κάθε οργανισμό που αναπτύσσει δραστηριότητες στην ενιαία αγορά ή ασχολείται με πελάτες της ΕΕ.
Το GDPR αυξάνει τις ευθύνες προς τους οργανισμούς εισάγοντας περισσότερα δικαιώματα για τα υποκείμενα των δεδομένων. Ορισμένα από αυτά τα δικαιώματα περιλαμβάνουν το δικαίωμα της διαγραφής, του δικαιώματος πρόσβασης και του δικαιώματος διόρθωσης των πληροφοριών. Μόνο αυτό εξηγεί στους οργανισμούς ότι χρειάζονται έναν ολοκληρωμένο χάρτη δεδομένων που καλύπτει το είδος των πληροφοριών που αποθηκεύονται, όπου αποθηκεύονται και ποιες οντότητες έχουν πρόσβαση σε αυτό. Το κατώτατο σημείο είναι ότι πρέπει να δημιουργήσουν νέα συστήματα που θα τους επιτρέψουν να εκτελούν εξειδικευμένες λειτουργίες με μεγάλη αποτελεσματικότητα όπως απαιτεί ο νέος νόμος. Πριν από αυτό, πρέπει να περάσουν μερικά βήματα.
1. Να είσαι ενήμερος
Είναι επιτακτικό ότι το βασικό προσωπικό της οργάνωσής σας έχει επίγνωση του γεγονότος ότι ο νόμος αλλάζει στο GDPR και αρχίζει να το λαμβάνει υπόψη στον μελλοντικό προγραμματισμό τους. Θα πρέπει να αρχίσουν να εντοπίζουν περιοχές που θα μπορούσαν να προκαλέσουν προβλήματα συμμόρφωσης στο πλαίσιο του GDPR. Αρχικά, οι ελεγκτές δεδομένων θα πρέπει να επανεξετάσουν και να βελτιώσουν τις διαδικασίες διαχείρισης των κινδύνων του οργανισμού τους, καθώς η εφαρμογή του GDPR θα μπορούσε να έχει σημαντικές επιπτώσεις στους πόρους. ειδικά για πιο πολύπλοκες οργανώσεις. Οποιαδήποτε καθυστέρηση στις προετοιμασίες μπορεί να αφήσει τον οργανισμό σας να υποστεί ζητήματα συμμόρφωσης μετά την εισαγωγή του GDPR.
2. Να είσαι υπεύθυνος
Καταχωρίστε όλα τα προσωπικά δεδομένα που έχετε στη διάθεσή σας και απαντήστε στις ερωτήσεις:
Γιατί τον κρατάς;
Πώς το πήρατε;
Γιατί είχαν αρχικά συλλεχθεί;
Πόσο καιρό θα το διατηρήσετε;
Πόσο ασφαλής είναι, τόσο όσον αφορά την κρυπτογράφηση όσο και την προσβασιμότητα;
Μήπως το μοιράζεστε ποτέ με τρίτους και με ποια βάση θα μπορούσατε να το κάνετε;
Πρόκειται για το πρώτο βήμα προς την τήρηση της αρχής της λογοδοσίας του GDPR, η οποία απαιτεί από τους οργανισμούς να επιδεικνύουν (και στις περισσότερες περιπτώσεις να τεκμηριώνουν) τους τρόπους με τους οποίους συμμορφώνονται με τις αρχές προστασίας δεδομένων κατά την εκτέλεση συναλλαγών. Η απογραφή θα επιτρέψει επίσης στους οργανισμούς να τροποποιήσουν λανθασμένα δεδομένα ή να παρακολουθήσουν τις αποκαλύψεις τρίτων στο μέλλον, κάτι που μπορεί να τους ζητηθεί.
3. Επικοινωνία με το προσωπικό και τους χρήστες υπηρεσιών
Ελέγξτε όλες τις τρέχουσες ειδοποιήσεις απορρήτου δεδομένων, που ειδοποιούν τα άτομα για τη συλλογή των δεδομένων τους. Προσδιορίστε τυχόν κενά που υπάρχουν μεταξύ του επιπέδου συλλογής και επεξεργασίας δεδομένων που εμπλέκεται στον οργανισμό σας και του βαθμού στον οποίο έχετε ενημερώσει τους πελάτες σας, το προσωπικό και τις υπηρεσίες σας για το γεγονός αυτό. Εάν υπάρχουν κενά, ορίστε να τα διορθώσετε χρησιμοποιώντας τα κριτήρια που ορίζονται στο «2: Να γίνουν υπεύθυνα» ως οδηγός σας.
Πριν από τη συγκέντρωση οποιωνδήποτε προσωπικών δεδομένων, η ισχύουσα νομοθεσία απαιτεί να ειδοποιείτε τους πελάτες σας για την ταυτότητά σας, τους λόγους για τους οποίους συλλέγετε τα δεδομένα, τη χρήση ή τις χρήσεις που θα τα χρησιμοποιήσετε, σε ποιον θα αποκαλυφθούν και εάν πρόκειται να μεταφερθούν εκτός ΕΕ.
Σύμφωνα με το GDPR, πρέπει να γνωστοποιούνται επιπλέον στοιχεία σε άτομα πριν από την επεξεργασία τους, όπως η νομική βάση για την επεξεργασία των δεδομένων, οι περίοδοι διατήρησης, το δικαίωμα καταγγελίας όπου οι πελάτες είναι δυσαρεστημένοι με την εφαρμογή κάποιου από τα κριτήρια αυτά, να υπόκεινται σε αυτοματοποιημένη λήψη αποφάσεων και τα ατομικά τους δικαιώματα βάσει του GDPR. Το GDPR απαιτεί επίσης να παρέχονται οι πληροφορίες σε συνοπτική, κατανοητή και σαφή γλώσσα.
4. Δικαιώματα προστασίας προσωπικών δεδομένων
Θα πρέπει να αναθεωρήσετε τις διαδικασίες σας για να διασφαλίσετε ότι καλύπτουν όλα τα δικαιώματα που έχουν τα άτομα, συμπεριλαμβανομένου του τρόπου με τον οποίο θα διαγράψετε προσωπικά δεδομένα ή θα παράσχετε δεδομένα ηλεκτρονικά και σε μορφή που χρησιμοποιείται συνήθως.
Τα δικαιώματα για τ’ άτομα στο πλαίσιο του GDPR περιλαμβάνουν:
υποκείμενη πρόσβαση
να διορθωθούν οι ανακρίβειες
για να διαγραφούν οι πληροφορίες
να αντιταχθεί στο άμεσο μάρκετινγκ
να περιορίσουν την επεξεργασία των πληροφοριών τους, συμπεριλαμβανομένης της αυτοματοποιημένης λήψης αποφάσεων
φορητότητα δεδομένων
Σε γενικές γραμμές, τα δικαιώματα που τα άτομα θα απολαμβάνουν στο πλαίσιο του GDPR είναι τα ίδια με εκείνα των πράξεων, αλλά με κάποιες σημαντικές βελτιώσεις. Οι οργανισμοί που εφαρμόζουν ήδη αυτές τις αρχές θα βρουν λιγότερο δύσκολη τη μετάβαση στο GDPR.
Ελέγξτε τις τρέχουσες διαδικασίες σας.
1. Πώς αντιδρούσε ο οργανισμός σας εάν έλαβε ένα αίτημα από ένα υποκείμενο των δεδομένων που επιθυμεί να ασκήσει τα δικαιώματά του βάσει του GDPR;
2. Πόσο καιρό χρειάζεστε να εντοπίσετε (και να διορθώσετε ή να διαγράψετε) τα δεδομένα από όλες τις τοποθεσίες όπου είναι αποθηκευμένες;
3. Ποιος θα πάνει τις αποφάσεις σχετικά με τη διαγραφή;
4. Μπορούν τα συστήματά σας να ανταποκριθούν στην πρόβλεψη της φορητότητας δεδομένων του GDPR, εάν ισχύει όπου πρέπει να παράσχετε τα δεδομένα ηλεκτρονικά και σε μορφή που χρησιμοποιείται συνήθως;
5. Πώς αλλάζουν τα αιτήματα πρόσβασης;
Θα πρέπει να ελέγξετε και να ενημερώσετε τις διαδικασίες σας και να σχεδιάσετε τον τρόπο με τον οποίο θα χειριστείτε τα αιτήματα μέσα στα νέα χρονοδιαγράμματα. (Δεν πρέπει να υπάρξει αδικαιολόγητη καθυστέρηση στην επεξεργασία μιας αίτησης πρόσβασης και, το αργότερο, πρέπει να ολοκληρωθεί εντός ενός μηνός).
Οι κανόνες για την αντιμετώπιση των αιτήσεων πρόσβασης σε θέματα θα αλλάξουν στο πλαίσιο του GDPR. Στις περισσότερες περιπτώσεις, δεν θα μπορείτε να χρεώνετε για την επεξεργασία μιας αίτησης πρόσβασης, εκτός αν μπορείτε να αποδείξετε ότι το κόστος θα είναι υπερβολικό. Το χρονοδιάγραμμα για την επεξεργασία μιας αίτησης πρόσβασης θα μειωθεί επίσης, μειώνοντας σημαντικά την τρέχουσα περίοδο των 40 ημερών. Οι οργανισμοί θα έχουν κάποιους λόγους να αρνούνται τη χορήγηση αίτησης πρόσβασης. Όταν μια αίτηση θεωρείται προδήλως αβάσιμη ή υπερβολική, μπορεί να απορριφθεί.
Ωστόσο, οι οργανισμοί θα χρειαστεί να εφαρμόσουν σαφείς πολιτικές και διαδικασίες άρνησης και να αποδείξουν γιατί η αίτηση πληροί αυτά τα κριτήρια.
Θα χρειαστεί επίσης να δώσετε μερικές πρόσθετες πληροφορίες σε άτομα που υποβάλλουν αιτήματα, όπως οι περίοδοι διατήρησης δεδομένων σας και το δικαίωμα για διόρθωση ανακριβών δεδομένων. Αν ο οργανισμός σας χειρίζεται μεγάλο αριθμό αιτήσεων πρόσβασης, ο αντίκτυπος των αλλαγών μπορεί να είναι σημαντικός. Οι υλικοτεχνικές συνέπειες της αντιμετώπισης των αιτήσεων σε συντομότερο χρονικό διάστημα και η παροχή πρόσθετων πληροφοριών θα πρέπει να ληφθούν υπόψη στο μελλοντικό σχεδιασμό των οργανισμών. Θα μπορούσε τελικά να σώσει τον οργανισμό σας πολύ διοικητικό κόστος αν μπορείτε να αναπτύξετε συστήματα που επιτρέπουν στους ανθρώπους να έχουν εύκολη πρόσβαση στις πληροφορίες τους.
6. Τι εννοούμε όταν μιλάμε για μια 'Νομική Βάση'
Θα πρέπει να εξετάσετε τους διάφορους τύπους επεξεργασίας δεδομένων που πραγματοποιείτε, να προσδιορίσετε τη νομική βάση σας για τη διεξαγωγή της και να την τεκμηριώσετε. Αυτό είναι ιδιαίτερα σημαντικό όταν η συναίνεση χρησιμοποιείται ως μοναδική νομική βάση για την επεξεργασία δεδομένων. Σύμφωνα με το GDPR, τα άτομα θα έχουν ισχυρότερο δικαίωμα να διαγράφουν τα δεδομένα τους, όταν η συγκατάθεση του πελάτη είναι η μόνη αιτιολόγηση για επεξεργασία. Θα πρέπει να εξηγήσετε τη νομική βάση σας για την επεξεργασία των προσωπικών δεδομένων στην ειδοποίησή σας περί απορρήτου και όταν απαντάτε σε ένα αίτημα πρόσβασης για θέματα.
Για τις κυβερνητικές υπηρεσίες και τους οργανισμούς, σημειώθηκε σημαντική μείωση του αριθμού των νομικών βάσεων στις οποίες μπορούν να βασίζονται κατά την επεξεργασία των δεδομένων. Δεν θα είναι πλέον δυνατή η αναφορά νόμιμων συμφερόντων. Αντ 'αυτού, θα υπάρχει γενική ανάγκη να υπάρχουν συγκεκριμένες νομοθετικές διατάξεις που να στηρίζουν μία ή περισσότερες από τις μεθόδους που χρησιμοποιούν οι οργανισμοί για την επεξεργασία δεδομένων. Όλοι οι οργανισμοί πρέπει να εξετάσουν προσεκτικά πόσα προσωπικά δεδομένα συγκεντρώνουν και γιατί. Εάν οποιαδήποτε κατηγορία μπορεί να διακοπεί, κάντε το.
Για τα δεδομένα που παραμένουν, σκεφτείτε αν πρέπει να διατηρηθεί σε ακατέργαστη μορφή και πόσο γρήγορα μπορείτε να ξεκινήσετε τη διαδικασία ανωνυμίας και ψευδωνύμου.
7. Χρήση της συγκατάθεσης του πελάτη για λόγους επεξεργασίας δεδομένων
Αν χρησιμοποιείτε τη συγκατάθεση του πελάτη όταν καταγράφετε προσωπικά δεδομένα, θα πρέπει να ελέγξετε τον τρόπο με τον οποίο αναζητάτε, να αποκτάτε και να καταγράφετε τη συγκατάθεσή σας και αν χρειάζεται να κάνετε οποιεσδήποτε αλλαγές.
«Η συγκατάθεση πρέπει να είναι «ελεύθερη, συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη».
Ουσιαστικά, ο πελάτης σας δεν μπορεί να εξαναγκαστεί σε συγκατάθεση ή να μην γνωρίζει ότι συναινεί στην επεξεργασία των προσωπικών του δεδομένων. Πρέπει να γνωρίζουν ακριβώς τι συμφωνούν και δεν υπάρχει αμφιβολία ότι συμφωνούν. Η λήψη συγκατάθεσης απαιτεί μια θετική ένδειξη συμφωνίας - δεν μπορεί να συναχθεί από τη σιωπή, τα τετραγωνίδια ή την αδράνεια.
Εάν η συναίνεση είναι η νομική βάση που βασίζεται στην επεξεργασία προσωπικών δεδομένων, πρέπει να βεβαιωθείτε ότι θα πληροί τα πρότυπα που απαιτούνται από το GDPR. Σε αντίθετη περίπτωση, θα πρέπει να τροποποιήσετε τους μηχανισμούς συγκατάθεσής σας ή να βρείτε μια εναλλακτική νομική βάση. Σημειώστε ότι η συγκατάθεση πρέπει να είναι επαληθεύσιμη, ότι τα άτομα πρέπει να ενημερώνονται εκ των προτέρων για το δικαίωμά τους να αποσύρουν τη συγκατάθεσή τους και ότι τα άτομα έχουν εν γένει ισχυρότερα δικαιώματα όταν βασίζεστε στη συναίνεση για την επεξεργασία των δεδομένων τους. Το GDPR είναι σαφές ότι οι υπεύθυνοι επεξεργασίας πρέπει να είναι σε θέση να αποδείξουν ότι δόθηκε συναίνεση. Επομένως, θα πρέπει να αναθεωρήσετε τα συστήματα που έχετε για την εγγραφή συγκατάθεσης για να εξασφαλίσετε ότι έχετε ένα αποτελεσματικό μονοπάτι ελέγχου.
8. Επεξεργασία δεδομένων παιδιών
Εάν το έργο της οργάνωσής σας περιλαμβάνει την επεξεργασία δεδομένων από ανήλικα άτομα, πρέπει να βεβαιωθείτε ότι έχετε τα κατάλληλα συστήματα για να επαληθεύσετε τις ατομικές ηλικίες και να συγκεντρώσετε τη συγκατάθεση των κηδεμόνων.
Το GDPR εισάγει ειδικές προστασίες για τα δεδομένα των παιδιών, ιδίως στο πλαίσιο των κοινωνικών μέσων και των εμπορικών υπηρεσιών διαδικτύου. Το κράτος θα καθορίσει την ηλικία μέχρι την οποία ένας οργανισμός πρέπει να λάβει τη συγκατάθεση του κηδεμόνα πριν επεξεργαστεί τα δεδομένα ενός παιδιού. Πρέπει να σημειωθεί ότι η συγκατάθεση πρέπει να είναι επαληθεύσιμη και επομένως να γνωστοποιείται στους ανήλικους πελάτες σας σε γλώσσα που μπορούν να κατανοήσουν.
9. Αξιολογήσεις Επιπτώσεων Προστασίας Δεδομένων (DPIA) και Προστασία Δεδομένων από το σχεδιασμό και την προεπιλογή
Μια DPIA είναι η διαδικασία συστηματικής εξέτασης των πιθανών επιπτώσεων που μπορεί να έχει ένα έργο ή μια πρωτοβουλία στην ιδιωτική ζωή των ατόμων. Θα επιτρέψει στους οργανισμούς να εντοπίσουν πιθανά ζητήματα ιδιωτικού απορρήτου προτού προκύψουν και να βρουν έναν τρόπο να τους μετριάσουν. Μια DPIA μπορεί να περιλαμβάνει συζητήσεις με συναφή μέρη / ενδιαφερόμενα μέρη. Τέλος, μια τέτοια αξιολόγηση μπορεί να αποδειχθεί ανεκτίμητη για τον προσδιορισμό της βιωσιμότητας μελλοντικών έργων και πρωτοβουλιών.
Το GDPR εισάγει υποχρεωτικές απαιτήσεις DPIA για τις οργανώσεις που εμπλέκονται σε επεξεργασία υψηλού κινδύνου. για παράδειγμα, όταν αναπτύσσεται μια νέα τεχνολογία, όπου μια δραστηριότητα δημιουργίας προφίλ ενδέχεται να επηρεάσει σημαντικά τα άτομα ή όταν υπάρχει μεγάλης κλίμακας παρακολούθηση ενός δημόσιου προσβάσιμου χώρου.
Όπου η DPIA υποδεικνύει ότι οι κίνδυνοι που εντοπίστηκαν σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν μπορούν να μετριαστούν πλήρως, οι υπεύθυνοι επεξεργασίας δεδομένων θα πρέπει να συμβουλεύονται το DPC (Digital Preservation Coalition - Εγχειρίδιο ψηφιακής συντήρησης ) προτού συμμετάσχουν στη διαδικασία. Οι οργανισμοί πρέπει τώρα να αρχίσουν να αξιολογούν κατά πόσο τα μελλοντικά έργα θα απαιτήσουν DPIA και, εάν το σχέδιο απαιτεί DPIA, εξετάστε:
1. Ποιος θα το κάνει;
2. Ποιος άλλος πρέπει να εμπλακεί;
3. Η διαδικασία θα διεξαχθεί κεντρικά ή τοπικά;
Έχει πάντοτε καλή πρακτική η υιοθέτηση της ιδιωτικής ζωής από το σχεδιασμό ως προεπιλεγμένης προσέγγισης. η προστασία της ιδιωτικής ζωής από το σχεδιασμό και η ελαχιστοποίηση των δεδομένων ήταν πάντοτε σιωπηρές απαιτήσεις των αρχών προστασίας δεδομένων. Ωστόσο, το GDPR κατοχυρώνει τόσο την αρχή της «προστασίας της ιδιωτικής ζωής από τη μελέτη» όσο και την αρχή της «εχεμύθειας της ιδιωτικής ζωής». Αυτό σημαίνει ότι οι ρυθμίσεις υπηρεσιών πρέπει να είναι αυτόματα φιλικές προς το ιδιωτικό απόρρητο και απαιτεί από την αρχή της ανάπτυξης των υπηρεσιών και των προϊόντων να λαμβάνονται υπόψη οι ανησυχίες περί προστασίας της ιδιωτικής ζωής.
10. Αναφορά παραβιάσεων δεδομένων
Πρέπει να βεβαιωθείτε ότι έχετε εφαρμόσει τις κατάλληλες διαδικασίες για να εντοπίσετε, να αναφέρετε και να διερευνήσετε μια παραβίαση προσωπικών δεδομένων.
Ορισμένες οργανώσεις είναι ήδη υποχρεωμένες να ειδοποιούν το DPC όταν διαπράττουν παραβίαση προσωπικών δεδομένων. Ωστόσο, το GDPR θα φέρει υποχρεωτικές ειδοποιήσεις παραβίασης, οι οποίες θα είναι νέες σε πολλές οργανώσεις. Όλες οι παραβιάσεις πρέπει να αναφέρονται στο DPC, συνήθως εντός 72 ωρών, εκτός αν τα δεδομένα είναι ανώνυμα ή κρυπτογραφημένα. Στην πράξη, αυτό σημαίνει ότι οι περισσότερες παραβιάσεις δεδομένων πρέπει να αναφέρονται στην DPC. Οι παραβιάσεις που ενδέχεται να βλάψουν ένα άτομο - όπως η κλοπή ταυτότητας ή η παραβίαση της εμπιστευτικότητας - πρέπει επίσης να αναφέρονται στα ενδιαφερόμενα άτομα. Τώρα είναι η στιγμή να αξιολογήσετε τους τύπους δεδομένων που κατέχετε και να τεκμηριώσετε ποιες από αυτές εμπίπτουν στην απαίτηση κοινοποίησης σε περίπτωση παραβίασης. Οι μεγαλύτεροι οργανισμοί θα πρέπει να αναπτύξουν πολιτικές και διαδικασίες για τη διαχείριση των παραβιάσεων δεδομένων τόσο σε κεντρικό όσο και σε τοπικό επίπεδο.
Αξίζει να σημειωθεί ότι η παράλειψη δήλωσης παραβίασης, όταν απαιτείται, θα μπορούσε να οδηγήσει σε πρόστιμο, καθώς και πρόστιμο για την ίδια την παραβίαση.
11. Υπεύθυνοι Προστασίας Δεδομένων
Το GDPR θα απαιτήσει από ορισμένους οργανισμούς να ορίσουν έναν υπεύθυνο προστασίας δεδομένων (DPO). Οι οργανισμοί που απαιτούν DPO περιλαμβάνουν δημόσιες αρχές, οργανώσεις των οποίων οι δραστηριότητες συνεπάγονται την τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή οργανισμοί που επεξεργάζονται τα ευρέως γνωστά ευαίσθητα προσωπικά δεδομένα.
Το σημαντικό είναι να βεβαιωθείτε ότι κάποιος στον οργανισμό σας ή ένας εξωτερικός σύμβουλος προστασίας δεδομένων αναλαμβάνει την ευθύνη για τη συμμόρφωσή σας με την προστασία δεδομένων και έχει τις γνώσεις, την υποστήριξη και την εξουσία να το πράξει αποτελεσματικά.
Επομένως, θα πρέπει τώρα να εξετάσετε αν θα σας ζητηθεί να ορίσετε έναν DPO και, αν ναι, να αξιολογήσετε εάν η τρέχουσα προσέγγιση σας για τη συμμόρφωση με την προστασία δεδομένων θα πληροί τις απαιτήσεις του GDPR.
12. Διασυνοριακή επεξεργασία και ενιαία στάση Το GDPR περιλαμβάνει τον μηχανισμό ενιαίας εξυπηρέτησης (OSS), ο οποίος θα τεθεί σε εφαρμογή για τους υπεύθυνους επεξεργασίας δεδομένων και τους επεξεργαστές δεδομένων που ασχολούνται με τη διασυνοριακή επεξεργασία προσωπικών δεδομένων.
Το OSS θα επιτρέψει στον οργανισμό σας να ασχολείται με μια μοναδική εποπτική αρχή (LSA) για τις περισσότερες από τις δραστηριότητες επεξεργασίας. Το LSA θα είναι η εποπτική αρχή της χώρας στην οποία έχετε την κύρια έδρα σας.
Προκειμένου το OSS να υποβάλει αίτηση στον οργανισμό σας, πρέπει να συμμετέχετε σε διασυνοριακή επεξεργασία και να είστε εγκατεστημένοι στην Ευρωπαϊκή Ένωση.
Ο τρόπος με τον οποίο θα προσδιορίσετε την κύρια εγκατάστασή σας εξαρτάται από το αν είστε υπεύθυνος επεξεργασίας δεδομένων ή επεξεργαστής δεδομένων, αλλά γενικά θα σας βοηθήσουμε να εντοπίσετε πού αποφασίζει ο οργανισμός σας σχετικά με την επεξεργασία δεδομένων.
Σχόλια
Δημοσίευση σχολίου