ΒΗΜΑΤΑ
ΧΟΡΗΓΟΙ
EDITORIAL
ΓΙΑΝΝΗΣ ΞΗΡΟΓΙΑΝΝΟΠΟΥΛΟΣ Πρόεδρος ΔΣ του ΣΕΜΑ
Είναι δύσκολο να προβλέψει κανείς σε τι βαθμό ο νέος Γενικός Κανονισμός αναφορικά με την Προστασία των Προσωπικών Δεδομένων (GDPR) θα επηρεάσει τους μεσίτες ασφαλίσεων και τη διαμεσολάβηση γενικότερα, καθώς αφενός αρκετά σημεία που αναγράφονται σε αυτόν χρήζουν αποσαφηνίσεων και διευκρινίσεων και αφετέρου η οριστική προσαρμογή της αγοράς στα νέα δεδομένα και η πλήρης εφαρμογή των υποχρεώσεων και των διατάξεων που προβλέπονται στην καθημερινή λειτουργία των επιχειρήσεων αναμένεται να πάρουν αρκετό χρόνο από την ημερομηνία εφαρμογής της GDPR, που είναι η 25η Μαΐου του 2018. Πρακτικά, ο αντίκτυπος της GDPR θα διαφέρει από μεσίτη σε μεσίτη και από επιχείρηση σε επιχείρηση, ανάλογα με το μέγεθος, την εξειδίκευση και τις υφιστάμενες δομές του κάθε οργανισμού. Οι παράγοντες αυτοί θα επηρεάζουν και θα καθορίζουν το μέγεθος των απαραίτητων μεταρρυθμίσεων και των αλλαγών που θα πρέπει να υιοθετεί η κάθε εταιρία ξεχωριστά για την εναρμόνισή της στην GDPR.
μοιράζονται και/ή μεταβιβάζουν σημαντικές πληροφορίες που αφορούν πελάτες τους, προμηθευτές κ.λπ., καθώς επίσης και τις διαδικασίες που έχουν εφαρμόσει για τη διαφύλαξη των Προσωπικών Δεδομένων που έχουν στην κατοχή τους.
Ένα σημαντικό μέρος της προσαρμογής στα νέα δεδομένα αφορά και το κομμάτι της εκπαίδευσης όλων των εργαζομένων μιας επιχείρησης, καθώς οι επερχόμενες αλλαγές θα έχουν άμεση επίδραση στην καθημερινότητά τους και στον τρόπο που είχαν μάθει να λειτουργούν και να εργάζονται μέχρι σήμερα.
Εν κατακλείδι, όπως ισχύει πάντα, η διαμόρφωση ενός νέου κανονιστικού πλαισίου ρύθμισης και λειτουργίας μιας αγοράς δεν θα πρέπει απαραίτητα να εκλαμβάνεται ως απειλή για τις επιχειρήσεις, αλλά και ως μια ευκαιρία προόδου και προσαρμογής στα νέα δεδομένα που διαμορφώνουν και επιβάλλουν οι εξελίξεις στις αγορές, την οικονομία και την κοινωνία μας γενικότερα.
Επιπλέον, είναι επίσης πολύ σημαντικό οι μεσίτες να επαναξιολογήσουν γενικότερα το πλαίσιο των διαδικασιών που ακολουθούν αναφορικά με τις πληροφορίες και τα δεδομένα που λαμβάνουν και διαχειρίζονται. Πλέον, είναι υποχρεωτικό να λαμβάνουν συναινέσεις, να ενημερώνουν και να μπορούν ανά πάσα στιγμή να αποδεικνύουν τον τρόπο με τον οποίο δέχονται, διατηρούν,
2
GDPR ΒΗΜΑΤΑ-EDITORIAL
Τέλος, θα πρέπει επίσης να λάβουμε υπόψη μας ότι οι συνέπειες που προβλέπονται πλέον για τη μη συμμόρφωση και μη τήρηση των όσων καθορίζονται από τον νέο κανονισμό Προστασίας των Προσωπικών Δεδομένων είναι πολύ πιο αυστηρές από το υφιστάμενο έως σήμερα νομοθετικό πλαίσιο. Με τα μέγιστα πρόστιμα που θα μπορούν να επιβληθούν να προβλέπονται στο 4% του παγκόσμιου κύκλου εργασιών μίας επιχείρησης και έως € 20.000.000 σε απόλυτο ποσό, αντιλαμβάνεται κανείς ότι η πλήρης εναρμόνιση στην GDPR (και η αποφυγή τέτοιου είδους προστίμων) αποτελεί μονόδρομο για κάθε επιχείρηση που ενδιαφέρεται να διασφαλίσει την κερδοφορία της, τη βιώσιμη ανάπτυξή της, αλλά και την εταιρική της φήμη στο μέλλον.
Το παρόν εγχειρίδιο που εκπόνησε ο ΣΕΜΑ έχει ενημερωτικό χαρακτήρα και περιγράφει συνοπτικά τις βασικές αρχές και τις υποχρεώσεις που προκύπτουν από την εφαρμογή της GDPR, καθώς επίσης και τα πρακτικά βήματα προς την εναρμόνιση και την προσαρμογή των μεσιτών ασφαλίσεων στο νέο κανονιστικό πλαίσιο.
ΙΟΎΝΙΟΣ 2018
ΡΟΗ ΕΓΧΕΙΡΙΔΙΟΥ
ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR - ΒΑΣΙΚΕΣ ΑΡΧΕΣ BROKERS - ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ - ΔΙΚΑΙΩΜΑΤΑ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ ΟΔΗΓΊΕΣ - ΒΗΜΑΤΑ CHECKLIST
ΙΟΎΝΙΟΣ 2018
GDPR ΒΗΜΑΤΑ-ΡΟΗ ΕΓΧΕΙΡΙΔΙΟΥ
3
ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR
4
ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR – ΒΑΣΙΚΕΣ ΑΡΧΕΣ
ΙΟΎΝΙΟΣ 2018
ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR – ΒΑΣΙΚΕΣ ΑΡΧΕΣ Τι είναι ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ/GDPR) Ο Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation/GDPR, https://eur-lex.europa.eu/legal-content/ EL/TXT/?uri=celex%3A32016R0679) («Κανονισμός») περιλαμβάνει το νέο νομικό πλαίσιο για την προστασία δεδομένων. Δημοσιεύθηκε στις 27 Απριλίου 2016 και τέθηκε σε εφαρμογή από τις 25 Μαΐου 2018. Ο Κανονισμός έχει άμεση εφαρμογή σε όλα τα κράτη-μέλη της Ευρωπαϊκής Ένωσης και δεν χρειάζεται τα τελευταία να ενσωματώσουν τις διατάξεις του στην εθνική νομοθεσία τους. Στην Ελλάδα αναμένεται η ψήφιση νόμου για την προστασία δεδομένων προσωπικού χαρακτήρα, το δε νομοσχέδιο είναι δημοσιευμένο στη διεύθυνση http://www.opengov.gr/ministryofjustice/wp-content/uploads/ downloads/2018/02/sxedio_nomou_prostasia_pd.pdf. Με τον νέο νόμο θα καταργηθεί ο ισχύων Νόμος 2472/1997 και θα τεθούν σε ισχύ διατάξεις που συμπληρώνουν τον Κανονισμό και εξειδικεύουν ορισμένες από τις υποχρεώσεις που θεσπίζει ο Κανονισμός.
Τι είναι προσωπικά δεδομένα; Σύμφωνα με τη νομοθεσία, προσωπικά δεδομένα είναι κάθε άμεση πληροφορία σχετική με ένα φυσικό πρόσωπο, εφόσον αυτό το φυσικό πρόσωπο ταυτοποιείται ή μπορεί να ταυτοποιηθεί (δηλαδή ακόμη και εάν δεν προσδιορίζεται ποιο είναι το πρόσωπο που αφορά η πληροφορία, αλλά αυτό μπορεί να συναχθεί έμμεσα συνδυάζοντας άλλες πληροφορίες). Ο νέος Κανονισμός διευρύνει τη διαδικασία και στην έμμεση πληροφόρηση.
Γιατί είναι σημαντική η προστασία των προσωπικών δεδομένων;
καταστροφή, απώλεια, μεταβολή, χωρίς άδεια, γνωστοποίηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που αποτέλεσαν αντικείμενο επεξεργασίας. Η ασφάλεια των ειδικών κατηγοριών δεδομένων, στα οποία περιλαμβάνονται, είναι μέγιστης σημασίας για τα συμφέροντα των υποκειμένων. Επομένως, είναι σημαντικό να λαμβάνεται υπόψη ότι η προστασία των δεδομένων δεν αφορά μόνο την προστασία της εμπιστευτικότητάς τους (αποτροπή διαρροής), αλλά και της ακεραιότητάς τους (αποτροπή της αλλοίωσής τους) και της διαθεσιμότητάς τους (αποτροπή απώλειας). Ο τύπος παραβίασης (που έχει συμβεί) θα πρέπει να λαμβάνεται υπόψη για να προσδιοριστεί η έκταση του κινδύνου που προκαλείται από αυτήν την παραβίαση. Ενδεικτικά παραδείγματα παραβίασης: Στοχευμένη έκθεση ή παράπλευρη απώλεια Απώλεια ηλεκτρονικών δεδομένων με αρχεία προσωπικών δεδομένων Διασφάλιση server Διασφάλιση φυσικών αρχείων και χώρων
Τι σημαίνει «επεξεργασία προσωπικών δεδομένων»; Σύμφωνα με τη νομοθεσία για την προστασία προσωπικών δεδομένων, επεξεργασία προσωπικών δεδομένων σημαίνει γενικά κάθε πράξη ή σειρά πράξεων που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα με ή χωρίς τη χρήση αυτοματοποιημένων μέσων. Τέτοιες πράξεις μπορεί να περιλαμβάνουν τη συλλογή, την καταχώριση, την οργάνωση, τη διάρθρωση, την αποθήκευση, την προσαρμογή ή τη μεταβολή, την ανάκτηση, την αναζήτηση πληροφοριών, τη χρήση, την κοινοποίηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, τη συσχέτιση ή τον συνδυασμό, τον περιορισμό, τη διαγραφή ή την καταστροφή δεδομένων.
Η προστασία των προσωπικών δεδομένων είναι σημαντική διότι εξισορροπεί το δικαίωμα των ατόμων στην ιδιωτικότητα και την ανάγκη των οργανισμών και των επαγγελματιών να επεξεργάζονται δεδομένα για επαγγελματικούς σκοπούς. Αφενός τα άτομα πρέπει να απολαύουν του δικαιώματος στην ιδιωτικότητα στον βαθμό που επιθυμούν και σε κάθε περίπτωση να έχουν τον έλεγχο των δεδομένων τους και να γνωρίζουν ποιοι τα επεξεργάζονται και για ποιο σκοπό. Αφετέρου οι οργανισμοί και οι επαγγελματίες πρέπει να χρησιμοποιούν προσωπικά δεδομένα υπό τις προϋποθέσεις της νομοθεσίας για να ασκούν την επαγγελματική τους δραστηριότητα, να παρέχουν τις υπηρεσίες τους, να συμμορφώνονται με τις υποχρεώσεις τους και να εξυπηρετούν τα συμφέροντά τους.
Τι σημαίνει παραβίαση δεδομένων προσωπικού χαρακτήρα; Παραβίαση δεδομένων προσωπικού χαρακτήρα συντελείται όταν υπάρχει παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη
ΙΟΎΝΙΟΣ 2018
ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR – ΒΑΣΙΚΕΣ ΑΡΧΕΣ
5
ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR – ΒΑΣΙΚΕΣ ΑΡΧΕΣ
Ποιος είναι ο Υπεύθυνος της Επεξεργασίας; Ο Υπεύθυνος της Επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο το οποίο καθορίζει, μεμονωμένα ή μαζί με άλλους, τους σκοπούς και τα μέσα της επεξεργασίας προσωπικών δεδομένων της εταιρίας.
Ποιος είναι ο Εκτελών την Επεξεργασία;
Επομένως, όταν τηρείται ένα αρχείο, ακόμη και εάν δεν γίνεται χρήση των δεδομένων που περιλαμβάνονται σε αυτό, πρόκειται για «επεξεργασία δεδομένων» καθώς η τήρηση του αρχείου προϋποθέτει καταχώριση, οργάνωση και αποθήκευση των δεδομένων.
Ποιες είναι οι γενικές αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων; Οι μεσίτες ασφαλίσεων πρέπει να διασφαλίσουν ότι η επεξεργασία των προσωπικών δεδομένων συμμορφώνεται με τις έξι ακόλουθες γενικές αρχές που ορίζονται από τη νομοθεσία προστασίας των προσωπικών δεδομένων: Νομιμότητα, δικαιοσύνη και διαφάνεια - Τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε νόμιμη, δίκαιη και διαφανή επεξεργασία. Περιορισμός του σκοπού - Τα δεδομένα προσωπικού χαρακτήρα πρέπει να συλλέγονται για συγκεκριμένους, σαφείς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο ασυμβίβαστο προς τους σκοπούς αυτούς (με εξαιρέσεις για δημόσιο συμφέρον, έννομο συμφέρον, διεκδίκηση αξιώσεων, εκκρεμοδικία, ιστορικούς ή στατιστικούς σκοπούς). Ελαχιστοποίηση δεδομένων - Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι επαρκή, συναφή και να περιορίζονται σε όσα είναι απαραίτητα σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Ακρίβεια / ποιότητα δεδομένων - Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι ακριβή και, όπου χρειάζεται, να επικαιροποιούνται. Ανακριβή προσωπικά δεδομένα θα πρέπει να διαγράφονται ή να διορθώνονται χωρίς καθυστέρηση. Διατήρηση - Τα δεδομένα προσωπικού χαρακτήρα πρέπει να φυλάσσονται σε αναγνωρίσιμη μορφή για όχι περισσότερο από ό,τι είναι απαραίτητο (με εξαιρέσεις για δημόσιο συμφέρον, έννομο συμφέρον, διεκδίκηση αξιώσεων, εκκρεμοδικία, ιστορικούς ή στατιστικούς σκοπούς). Ακεραιότητα και εμπιστευτικότητα - Τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που να διασφαλίζει την κατάλληλη ασφάλεια των προσωπικών δεδομένων, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και κατά τυχαίας καταστροφής ή ζημίας, χρησιμοποιώντας κατάλληλα τεχνικά ή οργανωτικά μέτρα.
6
ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR – ΒΑΣΙΚΕΣ ΑΡΧΕΣ
Ο Εκτελών την Επεξεργασία είναι ένα φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Υπεύθυνου Επεξεργασίας. Ενδεικτικά, εκτελούντες την επεξεργασία μπορεί να είναι εξωτερικοί συνεργάτες που παρέχουν υπηρεσίες/ συστήματα πληροφορικής που χρησιμοποιούνται για τη διαβίβαση ή αποθήκευση προσωπικών δεδομένων.
Ποιος είναι ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ/DPO); Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) ορίζεται και αναφέρεται στη διοίκηση της εταιρίας και είναι αρμόδιος να επιβλέπει την εφαρμογή της στρατηγικής και των πολιτικών για την προστασία των δεδομένων ώστε να διασφαλίζεται η συμμόρφωση με την ισχύουσα νομοθεσία για την προστασία των προσωπικών δεδομένων. Αποτελεί δε το σημείο επαφής με την ανεξάρτητη αρχή προστασίας προσωπικών δεδομένων.
Ποια δεδομένα αποτελούν «ειδικές κατηγορίες δεδομένων»; Η επεξεργασία ορισμένων κατηγοριών προσωπικών δεδομένων μπορεί να έχει σημαντικό αντίκτυπο στα δικαιώματα των ατόμων στην ιδιωτικότητα και, άρα, πρέπει να προστατεύονται με αυξημένα μέτρα ασφάλειας σε σχέση με άλλες κατηγορίες προσωπικών δεδομένων: 1. Φυλετική ή εθνοτική καταγωγή 2. Πολιτικά φρονήματα 3. Ακαδημαϊκά πτυχία – επίπεδο μόρφωσης 4. Θρησκευτικές πεποιθήσεις 5. Γενετικά ή βιομετρικά δεδομένα 6. Υγεία και σεξουαλική ζωή 7. Οικονομικά στοιχεία 8. Διαδικτυακά στοιχεία π.χ. IP addresses, cookies κ.λπ. 9. Οικογενειακή κατάσταση ή / και συνήθειες 10. Εργασία Για δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα επεξεργασία διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής ή υπό την προϋπόθεση ότι η νομοθεσία προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων (η διαδικασία θα προβλεφθεί σε ειδικό νόμο).
ΙΟΎΝΙΟΣ 2018
ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR – ΒΑΣΙΚΕΣ ΑΡΧΕΣ
Επομένως, δεν μπορούν να ζητούνται αδιακρίτως ποινικά μητρώα συνεργατών ή εργαζομένων, παρά μόνο υπό προϋποθέσεις και συγκεκριμένους σκοπούς. Θα πρέπει να δοθεί ιδιαίτερη προσοχή στο γεγονός ότι η νομική βάση της επεξεργασίας των ειδικών κατηγοριών δεδομένων διαφέρει από τη νομική βάση των μη ειδικών κατηγοριών.
Πότε επιτρέπεται η επεξεργασία ειδικών κατηγοριών δεδομένων; Η επεξεργασία ειδικών κατηγοριών δεδομένων επιτρέπεται υπό την προϋπόθεση ότι η επεξεργασία γίνεται με ρητή συγκατάθεση του υποκειμένου.
Ποιο είναι το Υποκείμενο των Δεδομένων; Το Υποκείμενο των Δεδομένων είναι το φυσικό πρόσωπο το οποίο ταυτοποιείται ή μπορεί να ταυτοποιηθεί και στο οποίο αναφέρονται τα προσωπικά δεδομένα που υπόκεινται σε επεξεργασία. Υποκείμενα των Δεδομένων μπορεί να είναι οι πελάτες μας, των οποίων τα στοιχεία επεξεργαζόμαστε εμείς ή η ασφαλιστική εταιρία, οι εργαζόμενοι, οι συνεργάτες και γενικώς κάθε φυσικό πρόσωπο. Τα νομικά πρόσωπα, δηλαδή οι εταιρείες ή άλλοι φορείς, δεν αποτελούν «υποκείμενα δεδομένων» και δεν υπάγονται στη νομοθεσία περί προστασίας προσωπικών δεδομένων.
ΙΟΎΝΙΟΣ 2018
Ποια είναι τα δικαιώματα του Υποκειμένου των Δεδομένων στο πλαίσιο της GDPR; Το Υποκείμενο των Δεδομένων έχει τα ακόλουθα δικαιώματα σύμφωνα με το νομικό πλαίσιο ΓΚΠΔ: Δικαίωμα πρόσβασης - Δικαίωμα να λαμβάνει πληροφορίες για το εάν γίνεται επεξεργασία δεδομένων και δικαίωμα πρόσβασης σε αυτά. Δικαίωμα ενημέρωσης σχετικά με την επεξεργασία αυτή (ποιος, για ποιο σκοπό, παραλήπτες, περίοδος διατήρησης κ.λπ.). Δικαίωμα στη διόρθωση - Δικαίωμα διόρθωσης ανακριβών προσωπικών δεδομένων και συμπλήρωσης ελλιπών πληροφοριών. Δικαίωμα διαγραφής (Δικαίωμα στη λήθη) - Δικαίωμα να ζητείται η διαγραφή οποιωνδήποτε δεδομένων που αφορούν το υποκείμενο υπό ορισμένες προϋποθέσεις (δεδομένα που δεν είναι πλέον απαραίτητα, ανάκληση συγκατάθεσης, δεδομένα που έχουν υποβληθεί σε παράνομη επεξεργασία). Δικαίωμα Περιορισμού της Επεξεργασίας - όταν αμφισβητείται η ακρίβεια των δεδομένων, η επεξεργασία είναι παράνομη, τα δεδομένα δεν χρειάζονται πλέον στον Υπεύθυνο Επεξεργασίας, το Υποκείμενο των Δεδομένων έχει αντιταχθεί στην αυτοματοποιημένη επεξεργασία. Δικαίωμα στη φορητότητα των δεδομένων - Δικαίωμα αίτησης διαβίβασης δεδομένων προσωπικού χαρακτήρα σε άλλον Υπεύθυνο Επεξεργασίας σε δομημένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή. Δικαίωμα ενημέρωσης κατά την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα και διατύπωσης αντιρρήσεων όταν η απόφαση βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, και η απόφαση αυτή παράγει έννομα αποτελέσματα ή επηρεάζει σημαντικά το υποκείμενο των δεδομένων. Δικαίωμα να ζητείται η ανθρώπινη παρέμβαση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα.
ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR – ΒΑΣΙΚΕΣ ΑΡΧΕΣ
7
ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ
8
ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ
ΙΟΎΝΙΟΣ 2018
ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ - ΔΙΚΑΙΩΜΑΤΑ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ Δικαίωμα στην ενημέρωση
Δικαίωμα στη διόρθωση ανακριβών ή ελλιπών
Αναδεικνύει την ανάγκη της απόλυτης διαφάνειας επί της δίκαιης επεξεργασίας ή χρήσης των δεδομένων.
στοιχείων
Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ; Πρώτον: Σημείωμα εμπιστευτικότητας με πελάτη ή τροποποίηση υπάρχοντος, που θα συμπεριλαμβάνει τα εξής : 1. Την πλήρη ονομασία και τα στοιχεία επικοινωνίας μου, καθώς και άλλων θυγατρικών μου ή φορέων που θα επεξεργάζονται τα δεδομένα. 2. Τον σκοπό της φύλαξης-επεξεργασίας, καθώς και αναφορά στο σχετικό νομικό πλαίσιο. 3. Αναφορά στο έννομο συμφέρον του data controller ή του εκτελούντος την επεξεργασία των δεδομένων. 4. Σαφή αναφορά στα δικαιώματα του υποκειμένου βάσει της GDPR (έγινε αναφορά στις ερωτήσεις – απαντήσεις γενικού περιεχομένου), συμπεριλαμβανομένου του δικαιώματος απόσυρσης της αρχικής συγκατάθεσης.
Δικαίωμα πρόσβασης στα δεδομένα Αποκτά πλέον ο πελάτης απόλυτο δικαίωμα πρόσβασης στα υπό φύλαξη-χρήση-επεξεργασία δεδομένα του. Δικαιούται να ζητήσει: ● Απόδειξη ότι τα δεδομένα του τελούν υπό επεξεργασία. ● Πρόσβαση στα δεδομένα του. ● Οποιαδήποτε άλλη πληροφορία που πρέπει να αναφέρεται στο σημείωμα εμπιστευτικότητας\συναίνεσης.
Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ; Βάσει της GDPR αυτή η πληροφόρηση πρέπει να παρέχεται στον πελάτη χωρίς χρέωση, χωρίς καθυστέρηση και με χρονικό περιθώριο τον ένα μήνα το αργότερο. Σε ειδικές περιπτώσεις, που το αίτημα είναι αδικαιολογήτως εκτενές ή πολύ συχνά επαναλαμβανόμενο, μπορεί να υπάρχει λογική χρέωση από τον μεσίτη για αυτήν την υπηρεσία.
Το δικαίωμα αυτό αντικατοπτρίζει το ήδη υπάρχον δικαίωμα, αλλά τώρα ρητά συσχετίζεται και με την επεξεργασία των προσωπικών δεδομένων.
Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ; Σε αυτήν την περίπτωση, κατ’ εντολή του πελάτη για αλλαγή των στοιχείων, είναι ευθύνη του μεσίτη να ενημερώσει όλα τα εμπλεκόμενα τρίτα μέρη, π.χ. ασφαλιστική εταιρία, περί των αλλαγών. Δεύτερον, να ενημερώσει τον πελάτη για το ποια είναι αυτά τα εμπλεκόμενα τρίτα μέρη που χρειάζεται να ενημερωθούν για την αλλαγή.
Δικαίωμα διαγραφής (Δικαίωμα στη λήθη) Δικαίωμα να ζητείται η διαγραφή οποιωνδήποτε δεδομένων που αφορούν το / τα υποκείμενα υπό ορισμένες προϋποθέσεις (δεδομένα που δεν είναι πλέον απαραίτητα, ανάκληση συγκατάθεσης, δεδομένα που έχουν υποβληθεί σε παράνομη επεξεργασία).
Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ; Το δικαίωμα διαγραφής δεν συνεπάγεται πάντοτε το δικαίωμα απόλυτης διαγραφής, δεδομένου του ότι κάποια στοιχεία μπορεί να απαιτείται να παραμείνουν σε μορφή αρχείου, καθώς μπορεί να επηρεάζουν την απόδοση ενός ασφαλιστηρίου συμβολαίου, ακόμα και μετά τη λήξη του, π.χ. αστική ευθύνη σε loss occurrence. Ο μεσίτης διατηρεί το δικαίωμα άρνησης της διαγραφής όταν μπορεί τεκμηριωμένα να αποδείξει την ανάγκη ολικής ή μερικής διατήρησης των δεδομένων. Επίσης, υπάρχουν ειδικές προδιαγραφές σχετικά με την παραγγελία διαγραφής προσωπικών δεδομένων που αφορούν παιδιά.
Ο νόμος πλέον ορίζει ότι η πληροφορία αυτή θα πρέπει να επικοινωνείται στον πελάτη σε συνηθισμένη ηλεκτρονική μορφή. Ως εκ τούτου ο μεσίτης θα πρέπει να φροντίζει η μορφή των αρχείων που χρησιμοποιεί (file formatting) να έχει συνέχεια, ιδιαιτέρως αν λάβουμε υπόψη ότι ένα τέτοιο αίτημα μπορεί να έρθει μετά από αρκετά χρόνια (χρονοβόρο και δαπανηρό).
ΙΟΎΝΙΟΣ 2018
ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ
9
ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ Πότε επιβάλλεται η διαγραφή δεδομένων; ● Όταν τα προσωπικά δεδομένα δεν είναι πλέον αποδεδειγμένα χρήσιμα για τον σκοπό που είχαν αρχικώς συλλεχθεί. ● Όταν ο πελάτης αποσύρει τη συγκατάθεσή του εγγράφως. ● Όταν ο πελάτης ενίσταται στη συνέχιση της διαδικασίας επεξεργασίας ή φύλαξης, και δεν υπάρχει ισχυρό έννομο συμφέρον για την απόκρουση αυτού. ● Όταν η επεξεργασία των δεδομένων αποδεδειγμένα δεν έγινε με σύννομο τρόπο (GDPR breach). ● Όταν τα προσωπικά δεδομένα πρέπει να διαγραφούν ώστε να επιτευχθεί μια νομική υποχρέωση (π.χ. εισαγγελική παραγγελία, υπό προϋποθέσεις που ο εισαγγελέας ορίζει).
Δικαίωμα περιορισμού της επεξεργασίας Το δικαίωμα ασκείται όταν αμφισβητείται η ακρίβεια των δεδομένων, η επεξεργασία είναι παράνομη, τα δεδομένα δεν χρειάζονται πλέον στον Υπεύθυνο Επεξεργασίας, το Υποκείμενο των Δεδομένων έχει αντιταχθεί στην αυτοματοποιημένη επεξεργασία.
Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ; Αυτό σημαίνει ότι εάν ο μεσίτης έχει το δικαίωμα να τηρεί προσωπικά δεδομένα, αλλά του στερηθεί το δικαίωμα επεξεργασίας της πληροφορίας, πρακτικά δεν θα μπορεί να χειριστεί την εξυπηρέτηση του ασφαλιστηρίου, άρα δεν θα έχει και ουσιαστικό ρόλο, πλέον!
Δικαίωμα στη φορητότητα των δεδομένων Δικαίωμα έγγραφης αίτησης διαβίβασης δεδομένων προσωπικού χαρακτήρα σε άλλον Υπεύθυνο Επεξεργασίας σε δομημένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή.
Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ; Το δικαίωμα αυτό θα αφορά περισσότερο μεσίτες οι οποίοι θα χρησιμοποιούν δεδομένα από συσκευές τηλεματικής ή άλλες αυτοματοποιημένες συσκευές.
Δικαίωμα ενημέρωσης κατά την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα και διατύπωση αντιρρήσεων Όταν η απόφαση βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, (π.χ. Direct marketing-profiling) και η απόφαση αυτή παράγει έννομα αποτελέσματα ή επηρεάζει σημαντικά το υποκείμενο των δεδομένων. Δικαίωμα να ζητείται η ανθρώπινη παρέμβαση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ; Ο μεσίτης θα πρέπει να διασφαλίζει πάντοτε κατόπιν αυτοματοποι-
10
ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ
ημένης επεξεργασίας δεδομένων ή περισσότερο όταν πρόκειται για απόφαση που να απορρέει από τη διαδικασία αυτή, ότι δίνει όλο το έδαφος στον πελάτη να αναπτύξει ανθρώπινη παρέμβαση, δηλαδή να εξηγήσει τη θέση του, να διαφωνήσει ή να προσβάλει την εν λόγω απόφαση.
Δικαίωμα στην επεξεργασία δημιουργίας προφίλ H GDPR χαρακτηρίζει τη δημιουργία προφίλ (profiling) ως την αυτοματοποιημένη μέθοδο που αποσκοπεί στην αξιολόγηση συγκεκριμένων προσωπικών πληροφοριών, που μπορεί να σχετίζονται άμεσα ή έμμεσα με την: ● Απόδοση στην εργασία ● Οικονομική κατάσταση ● Υγεία ● Προσωπικές συνήθειες ● Συμπεριφορά ● Εγκυρότητα χαρακτήρα ● Τοποθεσία – διαμονή ● Κίνηση
Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ; Οι μεσίτες που επεξεργάζονται δεδομένα με σκοπό τη δημιουργία προφίλ θα πρέπει να διασφαλίζουν τα εξής: ● Ότι η εν λόγω επεξεργασία θα πρέπει να είναι ακέραιη και για το συγκεκριμένο σκοπό. ● Να παρέχουν ενημέρωση στον πελάτη για τη λογική αυτής, τη σημαντικότητά της, καθώς και τις προβλεπόμενες πιθανές συνέπειες από τη χρήση της. ● Τη χρήση επιστημονικών μεθόδων για τη δημιουργία προφίλ, όπως αναγνωρισμένα μαθηματικά ή στατιστικά εργαλεία, που θα διασφαλίζουν την ελαχιστοποίηση λαθών, καθώς και τη γρήγορη και αποτελεσματική διόρθωση τυχών ανακριβειών.
Πώς λαμβάνεται και αποδεικνύεται η συγκατάθεση / συναίνεση που απαιτεί η GDPR προ της εκδόσεως ασφαλιστηρίου συμβολαίου; Σύμφωνα με την απαίτηση της GDPR, για την επεξεργασία των προσωπικών δεδομένων απαιτείται η συγκατάθεση του υποκειμένου και αυτή θα πρέπει να εκδηλώνεται με ξεχωριστή σαφή θετική ενέργεια ή δήλωση. Συνεπώς, η σιωπηρή απραξία του πελάτη και τα προσυμπληρωμένα εικονίδια δεν θα αρκούν για την απόκτηση και την απόδειξη έγκυρης συγκατάθεσης του υποκειμένου. Παράδειγμα έγκυρης συγκατάθεσης αποτελεί η υπογραφή του πελάτη στην αίτηση ασφάλισης που συμπληρώνει για την έκδοση ασφαλιστηρίου συμβολαίου, όπου όμως θα πρέπει να του γνωστοποιείται με σαφή και διακριτό τρόπο για ποιο είδος επεξεργασίας απαιτείται η συγκατάθεσή του. Το ίδιο θα ισχύει και για τις ηλεκτρονικές αιτήσεις ασφάλισης, όπου ως σαφής θετική συγκατάθεση θα εκλαμβάνεται π.χ. η συμπλήρωση ειδικών εικονιδίων από τον πελάτη.
ΙΟΎΝΙΟΣ 2018
ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ
Σε περίπτωση παραβίασης των προσωπικών
Ορισμός DPO ( Data Protection Officer)
δεδομένων από βάσεις ή αρχεία της
Εάν ο μεσίτης δεν έχει ορίσει ήδη DPO, τώρα είναι η στιγμή που θα πρέπει να το κάνει. Παρ’ όλα αυτά, εάν ο μεσίτης είναι μικρή οντότητα, ίσως να μη χρειαστεί έναν επίσημα ορισμένο DPO, αλλά κάποιον από την επιχείρησή του που θα έχει λάβει την απαραίτητη εκπαίδευση/γνώση, και θα μπορεί να αναλάβει τον ρόλο του υπεύθυνου της διαφύλαξης και συμμόρφωσης με τον νόμο επί των προσωπικών δεδομένων, σε θέματα τόσο οργάνωσης όσο και διαφύλαξης των πληροφοριών. Επίσης, η συγκεκριμένη ευθύνη μπορεί να ανατεθεί σε εξωτερικό σύμβουλο.
επιχείρησής σας, ποιες είναι οι υποχρεώσεις; Σε περίπτωση απώλειας, μεταβολής, ή άνευ αδείας διαρροής έντυπων ή/και ηλεκτρονικών προσωπικών πληροφοριών (π.χ. απώλεια επιστολής ταχυδρομείου, κλοπή ηλεκτρονικού υπολογιστή ή/και μαγνητικών μέσων αποθήκευσης όπως εξωτερικού σκληρού δίσκου, USB, CD, κτλ, επίθεση κακόβουλου χρήστη «hacker» ο οποίος παραβίασε τον υπολογιστή και έκλεψε αρχείο με προσωπικά δεδομένα), όπως και σε περιπτώσεις μη εξουσιοδοτημένης πρόσβασης (χρήστη ή τρίτου) σε προσωπικά δεδομένα ή τυχαίας/παράνομης καταστροφής τους, υπάρχει υποχρέωση, από την 25η Μαΐου 2018, να κοινοποιείται η παραβίαση προς την ασφαλιστική εταιρία και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εάν λειτουργείτε ως υπεύθυνος προστασίας) εντός 72 ωρών από τη στιγμή που αντιληφθήκατε το συμβάν και αφού αξιολογήσετε τον κίνδυνο που ενέχει η διαρροή αυτή. Επίσης εντός του ίδιου χρόνου θα πρέπει να ενημερώνεται και το υποκείμενο για το θέμα αυτό.
ΙΟΎΝΙΟΣ 2018
Πότε είναι επιβεβλημένος ο ορισμός επίσημου DPO σε έναν μεσίτη; ● Όταν η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα. ● Όταν ο μεσίτης πραγματοποιεί τακτική και συστηματική παρακολούθηση του υποκειμένου σε μεγάλη κλίμακα. ● Όταν οι βασικές δραστηριότητες του μεσίτη συνιστούν μεγάλης κλίμακας επεξεργασία ευαίσθητων προσωπικών δεδομένων.
ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ
11
ΠΡΑΚΤΙΚΕΣ ΟΔΗΓΙΕΣ - ΒΗΜΑΤΑ
12
ΠΡΑΚΤΙΚΕΣ ΟΔΗΓΙΕΣ-ΒΗΜΑΤΑ
ΙΟΎΝΙΟΣ 2018
Αντίληψη-Επίγνωση Οι μεσίτες θα πρέπει να διασφαλίσουν ότι οι άνθρωποι-κλειδιά των γραφείων τους είναι ενήμεροι ότι ο νόμος άλλαξε, και ποιες είναι οι επιπτώσεις-αλλαγές στην εργασιακή καθημερινότητα των ιδίων, αλλά και των ομάδων τους.
Προετοιμασία Κατά τη φάση αυτή θα πρέπει να γίνουν συναντήσεις – συνεντεύξεις με όλα τα τμήματα-θέσεις εργασίας της επιχείρησης, κατά τις οποίες θα συλλέγονται πληροφορίες σχετικά με τη χαρτογράφηση των δεδομένων, καθώς και επαναπροσδιορισμός των αρμοδιοτήτων (job description). Συνιστάται επίσης δημιουργία ενός διαγράμματος ροής λειτουργιών. Η προετοιμασία θα ολοκληρώνεται με σχετικό έλεγχο των υφιστάμενων συμβάσεων, διαδικασιών, εντύπων συναίνεσης, τυχόν υπάρχουσας πολιτικής απορρήτου και λοιπών πολιτικών της επιχείρησης, π.χ. εμπορικός κανονισμός.
Υλοποίηση ενεργειών συμμόρφωσης Εδώ πρέπει να υλοποιηθούν οι ενέργειες που απαιτούνται προκειμένου να αρθούν οι αποκλίσεις συμμόρφωσης που έχουν εντοπιστεί στo στάδιο της προετοιμασίας ( Gap analysis ), όπως : ● Σύνταξη συμβατικών όρων και εγγράφων που θα πρέπει να ενταχθούν σε υφιστάμενες συμβάσεις. ● Διαμόρφωση υποδειγμάτων όρων και εγγράφων για μελλοντικές συμβάσεις. ● Κατάρτιση υφιστάμενων πολιτικών και διαδικασιών, όπως π.χ. έντυπο συναίνεσης. ● Αναβάθμιση ηλεκτρονικών λειτουργικών συστημάτων, όπου χρειάζεται. ● Έντυπα Συγκατάθεσης, Εμπιστευτικότητας κλπ.
Εκπαίδευση Η διοίκηση, καθώς και οι άνθρωποι-κλειδιά της μεσιτικής επιχείρησης θα πρέπει να διασφαλίσουν επαρκή εκπαίδευση στο προσωπικό τους, αλλά και στους ίδιους, σχετικά με τις αλλαγές που επέρχονται στις εργασιακές συνήθειες. Συνιστάται εκπαιδευτικός κύκλος ενημέρωσης από σύμβουλο ή καταρτισμένο υπεύθυνο κανονιστικής συμμόρφωσης.
Εκπόνηση εγχειριδίου-οδηγού Συνιστάται, ώστε να υπάρχει σημείο αναφοράς, καθώς και αποτύπωση των αποφάσεων και του σχετικού πρωτοκόλλου της επιχείρησης.
ΙΟΎΝΙΟΣ 2018
ΠΡΑΚΤΙΚΕΣ ΟΔΗΓΙΕΣ-ΒΗΜΑΤΑ
13
CHECKLIST ΒΗΜΑ 1: ΕΠΙΓΝΩΣΗ-ΑΝΤΙΛΗΨΗ Επιβεβαίωσε ότι όλα τα κέντρα αποφάσεων της επιχείρησής σου έχουν επίγνωση ότι ο νόμος άλλαξε. Θα πρέπει να αντιληφθούν τι αλλαγές επιφέρει η GDPR.
ΝΑΙ
ΟΧΙ
Σημειώσεις
ΝΑΙ
ΟΧΙ
Σημειώσεις
ΝΑΙ
ΟΧΙ
Σημειώσεις
ΝΑΙ
ΟΧΙ
Σημειώσεις
ΝΑΙ
ΟΧΙ
Σημειώσεις
Είναι όλοι ενήμεροι ότι η GDPR θα μας αναγκάσει σε υποχρεωτικές αλλαγές της εργασιακής καθημερινότητας; Γνωρίζουν πώς αυτές θα επηρεάσουν τη λειτουργία της επιχείρησής σου; Γνωρίζουν τα βασικά στοιχεία - άξονες της οδηγίας; Έχουν κάποιο πλάνο - πρόταση για το πώς να ενσωματώσουν καλύτερα τον νέο νόμο στην εργασία τους; ΒΗΜΑ 2: ΤΙ ΔΕΔΟΜΕΝΑ ΤΗΡΩ Κατάγραψε τα δεδομένα που τηρείς, από πού προήλθαν και με ποιους μοιράζεσαι την πληροφορία αυτή. Κατέγραψες τι προσωπικά δεδομένα φυλάς και επεξεργάζεσαι; Κατέγραψες από πού προήλθαν; Κατέγραψες με ποιον ή ποιους τα μοιράζεσαι; Δημιούργησες μια φόρμα-δομή εσωτερικού ελέγχου για τα δεδομένα; ΒΗΜΑ 3: ΕΠΙΚΟΙΝΩΝΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ Έλεγξε τυχόν υπάρχοντα έντυπα εμπιστευτικότητας και προετοίμασε ένα σχέδιο για τις αλλαγές που θα πρέπει να κάνεις. Έλεγξες τα υπάρχοντα έντυπα εμπιστευτικότητας; Προετοίμασες ένα σχέδιο περί των αλλαγών; Γνωρίζεις πλέον όλες τις απαραίτητες αλλαγές που πρέπει να γίνουν; ΒΗΜΑ 4: ΑΤΟΜΙΚΑ ΔΙΚΑΙΩΜΑΤΑ Έλεγξε τις διαδικασίες σου και διασφάλισε ότι καλύπτουν τα ατομικά δικαιώματα, όπως διαγραφή ή αποστολή δεδομένων σε ηλεκτρονική μορφή. Οι διαδικασίες καλύπτουν όλα τα ατομικά δικαιώματα του υποκειμένου βάσει της GDPR; Έχεις προβλέψει διαδικασία ώστε να μπορείς κατ’εντολή να διαγράψεις δεδομένα; Τα συστήματά σου μπορούν να εντοπίσουν κατ’εντολή δεδομένα και να τα διαγράψουν; Ξέρεις ποιος θα πάρει την τελική απόφαση για διαγραφή δεδομένων στην επιχείρησή σου; Τα συστήματά σου έχουν τη δυνατότητα να δώσουν πρόσβαση στα δεδομένα σε απλή και παρουσιάσιμη μορφή; ΒΗΜΑ 5: AITHMATA ΥΠΟΚΕΙΜΕΝΗΣ ΠΡΟΣΒΑΣΗΣ ΣΕ ΔΕΔΟΜΕΝΑ Αναβάθμισε τις διαδικασίες σου και σχεδίασε πώς θα χειρίζεσαι τέτοια αιτήματα μέσα στα νέα ορισμένα χρονικά περιθώρια. Έχεις κάνει αναβάθμιση των διαδικασιών του γραφείου σου να χειριστείς αιτήματα διαγραφής-πρόσβασης-αλλαγών; Θα μπορέσεις να ανταποκριθείς εντός 30 ημερών σε αιτήματα που απορρέουν από τα δικαιώματα στην πληροφορία; Είσαι έτοιμος να αρνηθείς ένα τέτοιο αίτημα, που βεβαίως θα συμπεριλαμβάνει και την κατάλληλη αιτιολόγηση και θα ενημερώνει το υποκείμενο για το δικαίωμα προσφυγής του στην εποπτική αρχή ή σε διαιτησία; Είσαι έτοιμος να παράξεις περισσότερη σχετική πληροφορία, εάν κι εφόσον σου ζητηθεί;
14
GDPR CHECKLIST
ΙΟΎΝΙΟΣ 2018
ΒΗΜΑ 6: ΑΝΑΓΝΩΡΙΣΗ ΝΟΜΙΜΟΤΗΤΑΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ Αναγνώρισε τη νομιμότητα των διαδικασιών επεξεργασίας, κατάγραψέ την και αναβάθμισε το έντυπο εμπιστευτικότητας με αυτήν την πληροφορία.
ΝΑΙ
ΟΧΙ
Σημειώσεις
ΝΑΙ
ΟΧΙ
Σημειώσεις
ΝΑΙ
ΟΧΙ
Σημειώσεις
ΝΑΙ
ΟΧΙ
Σημειώσεις
ΝΑΙ
ΟΧΙ
Σημειώσεις
ΝΑΙ
ΟΧΙ
Σημειώσεις
Αναγνώρισες τη νομιμότητα των διαδικασιών επεξεργασίας; Έχεις οργανώσει τη μέθοδο της καταγραφής των διαδικασιών επεξεργασίας; Αναβάθμισες το έντυπο της εμπιστευτικότητας ώστε να αντικατοπρίζεται εκεί η νομιμότητα των διαδικασιών επεξεργασίας δεδομένων του οργανισμού σου; ΒΗΜΑ 7: ΣΥΓΚΑΤΑΘΕΣΗ Διερεύνησε πώς ζητάς, καταγράφεις και διαχειρίζεσαι τη συγκατάθεση, κι εάν χρειάζεται να κάνεις αλλαγές, ώστε να εναρμονιστούν με τις οδηγίες της GDPR. Έλεγξες τον τρόπο που η επιχείρηση ζητεί συγκατάθεση; Έλεγξες τον τρόπο που η επιχείρηση καταχωρεί-καταγράφει τη συγκατάθεση; Έλεγξες τον τρόπο που η επιχείριση διαχερίζεται την πληροφορία της συγκατάθεσης; Χρειάζεται να γίνουν αλλαγές; Έχεις δημιουργήσει τη μέθοδο απόσυρσης της συγκατάθεσης (έντυπο-διαδικασία); Το έντυπο συγκατάθεσης είναι ξεχωριστό από οποιοδήποτε άλλο έγγραφο-σύμβαση ή πολιτική της εταιρίας; Είναι το έντυπο συγκατάθεσης συγκεκριμένο, διάφανο, ενεργητικό και όχι παθητικό, σε απλή και κατανοητή μορφή κι εύκολα πρσβάσιμο; ΒΗΜΑ 8: ΑΝΗΛΙΚΑ ΤΕΚΝΑ - ΠΑΙΔΙΑ Σκέψου εάν θα χρειαστεί να βάλεις στο σύστημά σου δυνατότητα αναγνώρισης ηλικίας, καθώς και τη δημιουργία γονεϊκής συγκατάθεσης για την επεξεργασία δεδομένων. Έχει το σύστημα δυνατότητα αναγνώρισης ηλικίας; Έχω προβλέψει έντυπο (σε ψηφιακή ή φυσική μορφή) γονεϊκής συγκατάθεσης; ΒΗΜΑ 9: ΠΑΡΑΒΙΑΣΗ ΔΕΔΟΜΕΝΩΝ Διασφάλισε ότι έχεις εμπεδώσει τους σωστούς μηχανισμούς για να εντοπίσεις, αναφέρεις και διερευνήσεις μια ενδεχόμενη παραβίαση δεδομένων. Έχεις μηχανισμό εντοπισμού τυχόν παραβίασης δεδομένων; Η GDPR επιβάλλει την υποχρέωση της άμεσης αναγγελίας περιστατικού παραβίασης στην αρμόδια υπηρεσία, και σε κάποιες περιπτώσεις και στο υποκείμενο. Έχεις θεσπίσει σχετική διαδικασία; Έχεις θεσπίσει διαδικασία περαιτέρω εσωτερικής διερεύνησης σε περίπτωση εντοπισμού παραβίασης δεδομένων; ΒΗΜΑ 10: DPO Ή ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ Διερεύνησε εάν απαιτείται στη δική σου οντότητα να ορίσεις DPO ή υπεύθυνο επεξεργασίας δεδομένων, όρισε έναν ικανό υπεύθυνο που να πληροί τις προϋποθέσεις. Απαιτείται βάσει των δεδομένων που επεξεργάζεσαι ορισμός DPO; Όρισες εσωτερικό ή εξωτερικό DPO ή υπεύθυνο επεξεργασίας δεδομένων; ΒΗΜΑ 11: INTERNATIONAL ΜΕΣΙΤΕΣ KAI GDPR Εάν η επιχείρησή σου έχει παραρτήματα-υποκαταστήματα ή εν γένει λειτουργία και σε άλλες χώρες μέλη της ΕΕ ή έχεις μια έδρα η οποία όμως επεξεργάζεται δεδομένα από άλλες χώρες, θα πρέπει να χαρτογραφήσεις τη ροή και να αποφασίσεις ποια θα είναι η κύρια εποπτική αρχή με την οποία θα πρέπει να εναρμονιστείς. Δραστηριοποιείσαι σε περισσότερες από μία χώρες εντός ΕΕ; Επίλεξες τη βασική εποπτεύουσα αρχή;
ΙΟΎΝΙΟΣ 2018
GDPR CHECKLIST
15
Το εγχειρίδιο αυτό δημιουργήθηκε από τον ΣΕΜΑ μέσα από την αξιοποίηση-σύνδεση πληροφοριών από εκθέσεις-μελέτες των αγορών του εξωτερικού, καθώς και από την ελληνική. Βασικός στόχος του είναι να δώσει μια όσο το δυνατόν πληρέστερη γενική εικόνα των ενεργειών που πρέπει να γίνουν, καθώς και τι θα πρέπει να μας προβληματίσει στο άμεσο μέλλον σε σχέση με την GDPR. Επίσης, καθώς κατακλυζόμαστε όλο αυτό το διάστημα από ασύνδετες πληροφορίες, ευελπιστούμε ότι το εγχειρίδιο αυτό θα προσφέρει μια συντεταγμένη γενική απεικόνιση ενός άξονα πάνω στον οποίο μπορούμε όλοι οι μεσίτες να δουλέψουμε. Αυτό που γίνεται αντιληπτό άμεσα σε οποιονδήποτε ασχοληθεί με την GDPR είναι ότι πρόκειται για έναν γενικό κανονισμό που χρειάζεται αναλυτική προσαρμογή στην τοπική νομοθεσία, ώστε να ληφθούν υπόψη οι ιδιαιτερότητες της εκάστοτε αγοράς. Αυτό προϋποθέτει ότι το επόμενο διάστημα θα πρέπει όλοι να εργαστούμε ώστε να προτείνουμε, μέσα από τα συλλογικά όργανα του κλάδου, βελτιώσεις και μοντέλα αποτελεσματικής προσαρμογής μας στον εν λόγω κανονισμό. Ευελπιστούμε ότι το εγχειρίδιο αυτό θα αποτελέσει ένα σημείο αρχικής αναφοράς το οποίο μελλοντικά θα εμπλουτίζεται συνεχώς. Σας ευχαριστούμε
Σύνταξη - Επιμέλεια
Μυτιληναίος Φίλιππος Μέλος Δ.Σ. ΣΕΜΑ Υπεύθυνος επιτροπής διεθνών σχέσεων ΣΕΜΑ
16
ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR – ΒΑΣΙΚΕΣ ΑΡΧΕΣ