Εδώ παρουσιάζουμε έναν πλήρη οδηγό, βήμα - βήμα, για την συμμόρφωση μιας οποιασδήποτε επιχείρησης στις απαιτήσεις προστασίας προσωπικών δεδομένων του νέου κανονισμού GDPR. Όλα τα βήματα προφανώς δεν χρειάζεται να ακολουθούνται από όλες τις επιχειρήσεις, όμως κάθε επιχείρηση μπορεί να αναγνωρίσει τον εαυτό της σε ορισμένα από αυτά, ανάλογα με το είδος της και τον τρόπο που δουλεύει. Εμείς εδώ είμαστε για να συνεργαστούμε με κάθε ενδιαφερόμενη επιχείρηση στην σύνταξη της απαραίτητης μελέτης συμμόρφωσης.
Κατηγορίες | Δραστηριότητες | Άρθρα GDPR |
1. Τήρηση κυβερνητικής δομής |
Ανάθεση υπευθυνότητας προστασίας απορρήτου σε ένα άτομο(πχ Privacy Officer, Privacy Counsel, CPO, Representative) | 27 |
Δέσμευση των προϊσταμένων στην διαχείριση απόρρητων δεδομένων (πχ the Board of Directors, Executive Committee) | ||
Διορισμός υπευθύνου προστασίας δεδομένων (DPO) σε έναν ρόλο ανεξάρτητης επίβλεψης | 37, 38 | |
Εκχώρηση υπευθυνότητας για τα απόρρητα δεδομένα σε όλη την επιχείρηση (Privacy Network) | ||
Τήρηση ρόλων και ευθυνών για άτομα υπεύθυνα στα απόρρητα δεδομένα (πχ περιγραφές εργασιών) | 39 | |
Διεξαγωγή τακτικής επικοινωνίας μεταξύ του γραφείου απορρήτου, του δικτύου απορρήτου και των λοιπών υπόλογων για τα απόρρητα δεδομένα | 38 | |
Δέσμευση της διοίκησης της επιχείρησης σε θέματα απόρρητων δεδομένων (πχ ασφάλεια πληροφοριών, μάρκετινγκ, κλπ) | ||
Αναφορές στην εσωτερική διοίκηση σχετικά με το καθεστώς διαχείρισης απορρήτου (board of directors, management) | ||
Αναφορές στην εξωτερική διοίκηση σχετικά με το καθεστώς διαχείρισης απορρήτου (e.g., regulators, third-parties, clients) | ||
Διεξαγωγή μιας μελέτης εκτίμησης κινδύνου απορρήτου | 24, 39 | |
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στην μελέτη επικινδυνότητας της επιχείρησης | ||
Τήρηση μιας στρατηγικής απορρήτου | ||
Τήρηση ενός καταστατικού προγράμματος απορρήτου / Δήλωση Αποστολής | ||
Απαίτηση από τους εργαζόμενους να γνωστοποιούν και ότι συμφωνούν να είναι προσκολλημένοι στις πολιτικές προστασίας δεδομένων | ||
2. Τήρηση αποθήκης προσωπικών δεδομένων |
Τήρηση αποθήκης προσωπικών δεδομένων (τι προσωπικά δεδομένα κρατούνται και που;) | 30 |
Ταξινόμηση των προσωπικών δεδομένων με βάση τον τύπο τους (πχ ευαίσθητα, εμπιστευτικά, δημόσια) | ||
Απόκτηση έγκρισης επεξεργασίας από την αρμόδια ρυθμιστική αρχή (όπου απαιτείται προέγκριση) | ||
Καταχώρηση των βάσεων δεδομένων στην αρμόδια ρυθμιστική αρχή (όπου απαιτείται) | ||
Τήρηση διαγραμμάτων ροής και ροής δεδομένων (πχ μεταξύ συστημάτων, διεργασιών, κρατών) | ||
Τήρηση αρχείων μηχανισμού διασυνοριακής μεταφοράς δεδομένων (πχ, τυπικές απαιτήσεις συμβάσεων, δεσμευτικοί επιχειρηματικοί κανόνες, εγκρίσεις από αρμόδιες αρχές) | 45, 46, 49 | |
Χρήση δεσμευτικών επιχειρηματικών κανόνων ως ένα μηχανισμό μεταφοράς δεδομένων | 46, 47 | |
Χρήση των συμβάσεων ως ένα μηχανισμό μεταφοράς δεδομένων | 46 | |
Τήρηση τους κανόνες διασυνοριακού απορρήτου του APEC ως ένα μηχανισμό μεταφοράς δεδομένων | ||
Χρήση της έγκρισης της αρμόδιας ρυθμιστικής αρχής ως ένα μηχανισμό μεταφοράς δεδομένων | 46 | |
Χρήση επάρκειας ή μιας από τις παρεκκλίσεις της επάρκειας (πχ συγκατάθεση, εκτέλεση σύμβασης, δημόσιο συμφέρον) ως ένα μηχανισμό μεταφοράς δεδομένων | 45, 48, 49 | |
Χρήση της EU-US Privacy Shield ως ένα μηχανισμό μεταφοράς δεδομένων | 46 | |
3. Τήρηση πολιτικής προστασίας δεδομένων |
Τήρηση μιας πολιτικής απόρρητων δεδομένων | 5, 24, 91 |
Τήρηση μιας πολιτικής απόρρητων δεδομένων εργαζομένων | ||
Τεκμηρίωση των νομικών βάσεων για την επεξεργασία προσωπικών δεδομένων | 6, 9, 10 | |
Ολοκλήρωση κανόνων μέσα στην επεξεργασία δεδομένων (κώδικες δεοντολογίας, πολιτικές και διάφορα μέτρα) | ||
Τήρηση ενός επιχειρηματικού κώδικα δεοντολογίας που περιλαμβάνει το απόρρητο | ||
4. Ενσωμάτωση της προστασίας δεδομένων στις διαδικασίες |
Τήρηση πολιτικών / διαδικασιών για την συλλογή και χρήση ευαίσθητων προσωπικών δεδομένων (περιλαμβανομένων των βιομετρικών δεδομένων) | 9, 10 |
Τήρηση πολιτικών / διαδικασιών για την συλλογή και χρήση δεδομένων από παιδιά και ανηλίκους | 8, 12 | |
Τήρηση πολιτικών / διαδικασιών για την διατήρηση της ποιότητας των δεδομένων | 5 | |
Τήρηση πολιτικών / διαδικασιών για την αποταυτοποίηση των προσωπικών δεδομένων | 89 | |
Τήρηση πολιτικών / διαδικασιών για την αναθεώρηση της επεξεργασίας που διενεργείται ολικά ή μερικά με αυτοματοποιημένα μέσα | 12, 22 | |
Τήρηση πολιτικών / διαδικασιών για δευτερεύουσες χρήσεις προσωπικών δεδομένων | 6, 13, 14 | |
Τήρηση πολιτικών / διαδικασιών για την απόκτηση ισχύουσας συγκατάθεσης | 6, 7, 8 | |
Τήρηση πολιτικών / διαδικασιών για την ασφαλή καταστροφή των προσωπικών δεδομένων | ||
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στην χρήση των cookies και στους μηχανισμούς ιχνηλάτησης | ||
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στις πρακτικές διατήρησης αρχείων | 5 | |
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στις πρακτικές άμεσου μάρκετινγκ | 21 | |
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στις πρακτικές μάρκετινγκ με email | ||
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στις πρακτικές τηλεπωλήσεων | ||
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στις πρακτικές ψηφιακού μάρκετινγκ (πχ κινητά, κοινωνικά δίκτυα, συμπεριφορική διαφήμιση) | ||
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στις πρακτικές προσλήψεων | ||
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στις επιχειρηματικές πρακτικές χρήσης των κοινωνικών δικτύων | 8 | |
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στις πολιτικές / διεργασίες τύπου Bring Your Own Device (BYOD) | ||
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στις πρακτικές υγιεινής και ασφάλειας | ||
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στις αλληλεπιδράσεις με τα συμβούλια εργασίας | ||
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στις πρακτικές παρακολούθησης εργαζομένων | ||
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στην χρήση μηχανισμών παρακολούθησης με CCTV/video | ||
Ολοκλήρωση του απορρήτου των δεδομένων μέσα στην χρήση συσκευών γεωεντοπισμού | ||
Ολοκλήρωση του απορρήτου των δεδομένων στην εξουσιοδοτημένη πρόσβαση στους λογαριασμούς email των εργαζομένων (πχ σε άδειες διακοπών, επιστολές εξουσιοδότησης, τερματισμός εργασίας) | ||
Ολοκλήρωση του απορρήτου των δεδομένων στις πρακτικές ηλεκτρονικής ανίχνευσης | ||
Ολοκλήρωση του απορρήτου των δεδομένων στην διεξαγωγή εσωτερικών ερευνών | ||
Ολοκλήρωση του απορρήτου των δεδομένων στις πρακτικές για σκοπούς εμφάνισης ή λόγω επιβολής νόμου | ||
Ολοκλήρωση του απορρήτου των δεδομένων στις πρακτικές δημοσκοπήσεων | 21, 89 | |
5. Τήρηση εκπαίδευσης και προγράμματος επαγρύπνισης |
Διενέργεια εκπαίδευσης στην τήρηση του απορρήτου | 39 |
Διενέργεια εκπαίδευσης στην τήρηση του απορρήτου για εξειδικευμένο περιεχόμενο εργασίας | ||
Διεξαγωγή τακτικής εκπαίδευσης για φρεσκάρισμα | ||
Ενσωμάτωση του απορρήτου δεδομένων μέσα στην εκπαίδευση λειτουργίας, όπως ανθρωπίνου δυναμικού, ασφάλειας, τηλεφωνικού κέντρου | ||
Διενέργεια εκπαίδευσης / αφύπνισης ως αντίδραση σε επίκαιρα θέματα / ζητήματα | ||
Διανομή επιστολής περί του απορρήτου, ή ενσωμάτωση του απορρήτου στις εσωτερικές επικοινωνίες της επιχείρησης | ||
Παροχή μιας αποθήκης απόρρητων πληροφοριών, πχ ένα εσωτερικό δίκτυο απόρρητων δεδομένων | ||
Τήρηση υλικού επαγρύπνισης περί του απορρήτου (πχ πόστερς και βίντεο) | ||
Διενέργεια συναντήσεων επαγρύπνισης περί του απορρήτου (πχ μία ετήσια ημέρα ή εβδομάδα αφιερωμένη στην επαγρύπνιση περί του απορρήτου) | ||
Μέτρηση της συμμετοχής σε δραστηριότητες εκπαίδευσης σχετικά με τα απόρρητα δεδομένα (πχ αριθμός συμμετεχόντων, βαθμολόγηση) | ||
Επιβολή της απαίτησης για ολοκληρωμένη εκπαίδευση στο απόρρητο | ||
Παροχή εξελισσόμενης επιμόρφωσης και εκπαίδευσης στο γραφείο απορρήτου ή τον υπεύθυνο απόρρητων δεδομένων (πχ συνεδριάσεις, σεμινάρια, προσκεκλημένοι ομιλητές) | ||
Τήρηση πιστοποίησης για υπευθύνους στα απόρρητα δεδομένα, περιλαμβανομένης της συνεχούς επαγγελματικής εκπαίδευσης | ||
6. Διαχείριση κινδύνων προστασίας δεδομένων |
Ολοκλήρωση των κινδύνων προστασίας δεδομένων μέσα στις μελέτες επικινδυνότητας | 32 |
Ολοκλήρωση του απόρρητου των δεδομένων μέσα στην πολιτική ασφάλειας πληροφοριών | 5,32 | |
Τήρηση τεχνικών μέτρων ασφαλείας (πχ ανίχνευση διείσδυσης, τοίχοι προστασίας, παρακολούθηση) | 32 | |
Τήρηση μέτρων κρυπτογράφησης προσωπικών δεδομένων | 32 | |
Τήρηση μιας πολιτικής αποδεκτής χρήσης πηγών πληροφόρησης | ||
Τήρηση διαδικασιών περιορισμού πρόσβασης στα προσωπικά δεδομένα (πχ πρόσβαση βασισμένη σε ρόλους, διαχωρισμός καθηκόντων) | 32 | |
Ολοκλήρωση του απορρήτου δεδομένων μέσα σε μια επιχειρηματική πολιτική ασφαλείας (προστασία των φυσικών εγκαταστάσεων και περιουσιακών κεφαλαίων) | ||
Τήρηση μέτρων ασφαλείας ανθρωπίνων πόρων (πχ προεξέταση, αξιολόγηση απόδοσης) | ||
Τήρηση εφεδρείας και πλάνων επιχειρηματικής συνέχειας | ||
Τήρηση μιας στρατηγικής αποτροπής απώλειας δεδομένων | ||
Διενέργεια τακτικών δοκιμών ετοιμότητας στην ασφάλεια δεδομένων | 32 | |
Τήρηση μιας πιστοποίησης ασφαλείας ISO | ||
7. Διαχείριση κινδύνου τρίτων μερών |
Τήρηση απαιτήσεων απόρρητων δεδομένων τρίτων μερών (πχ πελάτες, προμηθευτές, επεξεργαστές, συνεργάτες) | 28, 32 |
Τήρηση διαδικασιών εκτέλεσης συμβάσεων ή συμφωνιών με όλους τους επεξεργαστές | 28, 29 | |
Επίδειξη της δέουσας επιμέλειας και στάση ασφαλείας σχετικά με τα απόρρητα δεδομένα ενδεχόμενων προμηθευτών / επεξεργαστών | 28 | |
Επίδειξη της δέουσας επιμέλειας σε πηγές δεδομένων τρίτων μερών | ||
Τήρηση διεργασίας εκτίμησης κινδύνου απόρρητων δεδομένων ενός προμηθευτή | ||
Τήρηση μιας πολιτικής διακυβέρνησης της χρήσης παρόχων υπηρεσιών cloud | ||
Τήρηση διαδικασιών διευθέτησης περιπτώσεων μη συμμόρφωσης με συμβόλαια και συμφωνίες | ||
Επίδειξη της δέουσας εξελισσόμενης επιμέλειας και στάση ασφαλείας σχετικά με τα απόρρητα δεδομένα προμηθευτών / επεξεργαστών | ||
Αναθεώρηση μακροχρόνιων συμβάσεων για νέους ή εξελισσόμενους κινδύνους στα απόρρητα δεδομένα | ||
8. Τήρηση ενημερώσεων |
Τήρηση μιας ειδοποίησης περί απόρρητου δεδομένων που καθορίζει τις πρακτικές διαχείρισης προσωπικών δεδομένων της επιχείρησης | 8, 13, 14 |
Παροχή ειδοποίησης περί απόρρητου δεδομένων σε όλα τα σημεία που συλλέγονται προσωπικά δεδομένα | 13, 14, 21 | |
Παροχή ειδοποίησης μέσω επιτόπιας σήμανσης | ||
Παροχή ειδοποίησης στο επικοινωνιακό μάρκετινγκ (πχ emails, φυλλάδια, προσφορές) | ||
Παροχή ειδοποίησης σε συμβόλαια και όρους | ||
Τήρηση οδηγιών προς χρήση από τους εργαζόμενους για να εξηγούν ή παρέχουν την ειδοποίηση απορρήτου | ||
Χρήση μιας σφραγίδας με ενδείξεις ασφαλείας για την αυξημένη πελατειακή εμπιστοσύνη | ||
9. Απόκριση σε αιτήσεις και παράπονα ατόμων |
Τήρηση διαδικασιών διευθέτησης παραπόνων | |
Τήρηση διαδικασιών απόκρισης σε αιτήσεις πρόσβασης σε προσωπικά δεδομένα | 15 | |
Τήρηση διαδικασιών απόκρισης σε αιτήσεις ή παροχή μηχανισμού για άτομα ώστε να διορθώνουν ή επικαιροποιούν τα προσωπικά τους δεδομένα | 16, 19 | |
Τήρηση διαδικασιών απόκρισης σε αιτήσεις απόσυρσης ή περιορισμού ή απαγόρευσης της συγκατάθεσης για επεξεργασία δεδομένων | 7, 18, 21 | |
Τήρηση διαδικασιών απόκρισης σε αιτήσεις για πληροφόρηση | ||
Τήρηση διαδικασιών απόκρισης σε αιτήσεις για μεταφορά δεδομένων | 20 | |
Τήρηση διαδικασιών απόκρισης σε αιτήσεις εφαρμογής του δικαιώματος στην λήθη ή για διαγραφή των δεδομένων | 17, 19 | |
Τήρηση λίστας απαντήσεων σε συχνές ερωτήσεις για την απόκριση σε ερωτήσεις από άτομα | ||
Διερεύνηση της ρίζας του προβλήματος σε παράπονα προστασίας δεδομένων | ||
Παρακολούθηση και αναφορά μετρήσεων που αφορούν παράπονα προστασίας δεδομένων (πχ αριθμός, πηγή του προβλήματος) | ||
10. Παρακολούθηση για νέες πρακτικές λειτουργίας |
Ολοκληρωμένος σχεδιασμός απορρήτου μέσα στο σύστημα και την ανάπτυξη του προϊόντος | 25 |
Τήρηση οδηγιών και υποδειγμάτων που προκύπτουν από τις μελέτες επικινδυνότητας προστασίας δεδομένων | 35 | |
Διενέργεια μελετών επικινδυνότητας προστασίας δεδομένων για νέα προγράμματα, συστήματα, διεργασίες | 5, 6, 25, 35 | |
Διενέργεια μελετών επικινδυνότητας προστασίας δεδομένων για αλλαγές σε υφιστάμενα προγράμματα, συστήματα, διεργασίες | 5, 6, 25, 35 | |
Δέσμευση της εξωτερικής διοίκησης (πχ άτομα, συνήγοροι ασφαλείας) ως μέρος των διεργασιών της μελέτης επικινδυνότητας | 35 | |
Ιχνηλάτηση και διευθέτηση θεμάτων προστασίας δεδομένων που ανακύπτουν κατά την σύνταξη των μελετών επικινδυνότητας | 35 | |
Αναφορά των αποτελεσμάτων από την ανάλυση των μελετών επικινδυνότητας προς τις αρμόδιες ρυθμιστικές αρχές (όπου απαιτείται) και στην εξωτερική διοίκηση (αν χρειάζεται) | 36 | |
11. Τήρηση προγράμματος διαχείρισης προσβολής απορρήτου |
Τήρηση ενός πλάνου απόκρισης σε ατύχημα ή προσβολή του απορρήτου των δεδομένων | 33, 34 |
Τήρηση μιας ειδοποίησης προσβολής του απορρήτου (προς τα επηρεαζόμενα άτομα) και ενός πρωτόκολλου αναφοράς (στην αρμόδια ρυθμιστική αρχή, πιστωτικά ιδρύματα, ελεγκτικές υπηρεσίες) | 12, 33, 34 | |
Τήρηση ενός αρχείου ιχνηλάτησης ατυχημάτων - προσβολών απορρήτου | 33 | |
Παρακολούθηση και αναφορά μετρήσεων ατυχημάτων - προσβολών απορρήτου (πχ φύση της προσβολής, κίνδυνοι, αίτια) | ||
Διενέργεια περιοδικών δοκιμών στο πλάνο απόκρισης σε ατυχήματα - προσβολές απορρήτου | ||
Δέσμευση ενός πάροχου αποκατάστασης ως απόκριση σε προσβολή | ||
Δέσμευση μιας ομάδας διερεύνησης | ||
Απόκτηση ασφαλιστικής κάλυψης από προσβολή απόρρητων δεδομένων | ||
12. Παρακολούθηση πρακτικών χειρισμού δεδομένων |
Διενέργεια αυτοαξιολόγησης στην διαχείριση απορρήτου | 24, 39 |
Διενέργεια εσωτερικών επιθεωρήσεων του προγράμματος απορρήτου (πχ επιθεώρηση λειτουργίας στο γραφείο απορρήτου) | ||
Διενέργεια επιθεωρήσεων ανά περίπτωση | ||
Διενέργεια εκτιμήσεων ανά περίπτωση βασισμένες σε εξωτερικά γεγονότα, όπως παράπονα και διεισδύσεις | ||
Δέσμευση τρίτων μερών για διενέργεια επιθεωρήσεων / εκτιμήσεων | ||
Παρακολούθηση και αναφορά μετρήσεων στην διαχείριση του απορρήτου | ||
Τήρηση τεκμηρίων ως απόδειξη συμμόρφωσης και αξιοπιστίας | 5, 24 | |
Τήρηση πιστοποιητικών, διαπιστεύσεων ή σφραγίδες προστασίας δεδομένων προς επίδειξη συμμόρφωση στις αρμόδιες ρυθμιστικές αρχές | ||
13. Κριτήρια εξωτερικής ιχνηλάτησης |
Αναγνώριση των απαιτούμενων συμμορφώσεων απορρήτου, πχ νόμοι, νομολογία, κώδικες, κλπ | 39 |
Τήρηση συνδρομών σε ενημερωτικές υπηρεσίες θεμάτων νομοθεσίας | ||
Συμμετοχή ή παρακολούθηση συνεδρίων ασφαλείας, ενώσεων βιομηχανίας, ή συσκέψεις ανταλλαγής ιδεών | ||
Καταγραφή / αναφορά στην ανακάλυψη νόμων, κανονισμών, τροπολογιών ή άλλων κανονιστικών πηγών | ||
Αναζήτηση νομικής γνώμης σχετικά με τις πρόσφατες εξελίξεις της νομοθεσίας | ||
Τεκμηρίωση αποφάσεων σχετικά με νέες απαιτήσεις, περιλαμβανομένης της υλοποίησης ή κάθε λογικής που στηρίζει τις αποφάσεις για μη υλοποίηση αλλαγών | ||
Αναγνώριση και διαχείριση μη νομιμότητας |
.
Διάβασε επίσης:
Η Kemioteko Engineering δημιουργήθηκε ως απόσταγμα εμπειριών 14 ετών στην αδειοδότηση, κατασκευή και λειτουργία δημόσιων τεχνικών έργων και 8 ετών στο ελεύθερο επάγγελμα του μελετητή μηχανικού με εξειδίκευση στην αδειοδότηση και λειτουργία επιχειρήσεων. Αποστολή της Kemioteko Engineering - Χατζηλιόντος Ι. Χριστόδουλος είναι η δημιουργία πελατών, οπαδών της, βαθειά ικανοποιημένων, που θέλουν να κάνουν διαχρονικά τα σωστά πράγματα με τους κατάλληλους συνεργάτες.
Μητρώο Αξιολογητών ΓΓΕΤ- No 14856/95711/08-06-17