7 βήματα που θα σας βοηθήσουν στην συμμόρφωση με το GDPR

 

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (General Data Protection Regulation – GDPR) της Ευρωπαϊκής Ένωσης καθορίζει μέτρα που θα πρέπει να ακολουθηθούν προκειμένου να εξασφαλιστεί η εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των προσωπικών δεδομένων. Καθορίζεται ο τρόπος με τον οποίο οι οργανισμοί θα διαχειρίζονται τα δεδομένα των υπαλλήλων, πελατών και συνεργατών τους και αφορά όλα τα πρόσωπα που διαμένουν στην Ευρωπαϊκή Οικονομική Ζώνη (Economic European Area – EEA).

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων τίθεται σε εφαρμογή τον Μάϊο του 2018 και, παρότι είναι ένα πρωτόκολλο που έχει θεσπιστεί από την Ευρωπαϊκή Ένωση, αφορά όλες τις επιχειρήσεις παγκοσμίως οι οποίες συλλέγουν δεδομένα Ευρωπαίων πολιτών. Κάθε επιχείρηση, ακόμα και εάν δεν ανήκει στην Ευρωπαϊκή Ένωση, εφόσον προσφέρει κάθε μορφής προϊόντα ή υπηρεσίες σε Ευρωπαίους πολίτες θα πρέπει να ακολουθεί τον νέο κανονισμό.

Ως προσωπικά δεδομένα θεωρείται κάθε τύπος πληροφορίας που μπορεί, άμεσα ή έμμεσα, να ταυτοποιήσει ένα πρόσωπο ανεξάρτητα με το εάν σχετίζεται με την προσωπική, επαγγελματική ή δημόσια ζωή του. Μπορεί να είναι ένα όνομα, μια φωτογραφία, μια διεύθυνση ηλεκτρονικής αλληλογραφίας, τραπεζικά δεδομένα, λεπτομέρειες επαγγελματικής απόδοσης, αγορές, ΑΦΜ, εκπαίδευση, όνομα χρήστη ή ip διεύθυνση ηλεκτρονικού υπολογιστή και πολλά άλλα.

 

Ελεγκτές και Επεξεργαστές

Είναι πολύ σημαντικό να κατανοηθεί κάθε ρόλος στην συμμόρφωση με το GDPR το οποίο επεκτείνει την προοπτική των κανονισμών για την ασφάλεια των δεδομένων. Μέχρι τώρα, οι κανονισμοί αφορούσαν μόνο τον «Ελεγκτή» των δεδομένων, δηλαδή το πρόσωπο ή τον οργανισμό που καθορίζει τον σκοπό και τα μέσα επεξεργασίας προσωπικών δεδομένων. Για παράδειγμα, μια επιχείρηση ήταν ο ελεγκτής των δεδομένων των πελατών και των εργαζομένων.

Ωστόσο, το GDPR επεκτείνει την ευθύνη της συμμόρφωσης και στον «Επεξεργαστή» των δεδομένων, όπως μπορεί να είναι ένας πάροχος υπηρεσιών φιλοξενίας και εφόσον του έχει ανατεθεί ο ρόλος αυτός από τον «Ελεγκτή» των δεδομένων. Το GDPR απαιτεί από τους επεξεργαστές να αναπτύξουν και να εφαρμόσουν πλήθος εσωτερικών διαδικασιών και πρακτικών για να προστατεύουν τα προσωπικά δεδομένα. Οι περισσότερες διαδικασίες και πρακτικές σχετίζονται με την διαχείριση ασφάλειας πληροφοριών, οπότε όσοι ακολουθούν ήδη τα συγκεκριμένα standards όπως ISO 27001 ή SOC2 είναι οι πιο κατάλληλα προετοιμασμένοι για τις προκλήσεις του GDPR.

Είναι η εταιρία σας συμβατή με το GDPR; Εάν πιστεύετε ότι είναι, να γνωρίζετε ότι πρόσφατη έρευνα απέδειξε ότι μόλις το 2% των εταιριών που πίστευαν ότι ακολουθούν το GDPR, το ακολουθούσαν στην πραγματικότητα.

 

 

7 πρακτικά βήματα που πρέπει να ακολουθήσετε

  1. Προετοιμάστε την επιχείρησή σας για το GDPR κατανοώντας τι σημαίνει για τη δική σας επιχείρηση και ελέγχοντας εάν είσαστε επεξεργαστής ή ελεγκτής δεδομένων. Πρέπει να αποφασίσετε εάν οι υπηρεσίες που παρέχετε χρησιμοποιούν ή επεξεργάζονται δεδομένα των πελατών σας και να έχετε πάντα υπόψιν ότι η επεξεργασία δεδομένων περιλαμβάνει τα πάντα, από αποθήκευση μέχρι απλή χρήση τους.
  2. Εξετάστε διεξοδικά την επιχείρησή σας για να κατανοήσετε εάν τα δεδομένα, τα συστήματα και οι πολιτικές που ακολουθείτε σας καθιστούν συμβατούς με το GDPR καθώς και τι κενά στην συμμόρφωση μπορεί να υπάρχουν. Θα πρέπει να καθορίσετε τι πρέπει να τροποποιηθεί έχοντας υπόψιν τους κανονισμούς και να ορίσετε ένα πλάνο ώστε να μην χάσετε την προθεσμία.
  3. Ακόμα και εάν δεν χρειάζεται να καταγράφετε τις διαδικασίες που ακολουθείτε, είναι χρήσιμο να καταγράφετε όσο περισσότερα είναι δυνατό ακόμα και εάν αποτελεί μόνο ένα μέρος από την γενική πολιτική ασφάλειας δεδομένων που ακολουθεί η επιχείρησή σας. Διατηρώντας αρχείο καταγραφής θα σας βοηθήσει να δείξετε ότι αντιμετωπίζετε την ασφάλεια των δεδομένων με σοβαρότητα κάτι που είναι ένα μεγάλο πλεονέκτημα σε σχέση με τους τους πελάτες σας, υφιστάμενους ή δυνητικούς.
  4. Προετοιμάστε μια δήλωση συμμόρφωσης με το GDPR την οποία μπορείτε να παρέχετε στους νέους και υφιστάμενους πελάτες. Αυτή η δήλωση θα πρέπει να περιλαμβάνει όλους τους λόγους για τους οποίους η υπηρεσία σας καθώς και ο ίδιος ο πελάτης συμμορφώνονται με το GDPR. Διατηρώντας έτοιμη δήλωση GDPR σας καθιστά έτοιμους να αντιμετωπίσετε άμεσα κάθε αίτημα από τους πελάτες σας.
  5. Σκεφτείτε ποιος είναι ο καλύτερος τρόπος να εφαρμόσετε τις απαιτήσεις του GDPR μεταξύ της επιχείρησής σας και των πελατών σας. Πρακτικά, αυτό εξαρτάται από τον τρόπο με τον οποίο διαχειρίζεστε την συναλλακτική σας σχέση επί του παρόντος. Εάν μέχρι πρότινος επιλέγατε να υπογράψετε συμβάσεις για την μεταξύ σας σχέση, τότε θα πρέπει να περιμένετε νέα, ανανεωμένα συμβόλαια μέχρι τον Μάϊο. Εάν η συναλλακτική σας σχέση βασίζεται στους όρους χρήσης των υπηρεσιών σας, τότε θα πρέπει να αναλογιστείτε πώς θα πρέπει να τους ανανεώσετε ώστε να συμπεριλαμβάνονται οι προϋποθέσεις που ορίζει το GDPR.
  6. Επιβεβαιώστε ότι όλοι στην επιχείρησή σας έχουν έστω και την βασική κατανόηση της συμμόρφωσης με τους κανόνες προστασίας δεδομένων. Εάν τους εκπαιδεύσετε ή/και τους παρέχετε εκπαιδευτικό υλικό σχετικό με το GDPR, όχι μόνο θα βοηθήσει με την συμμόρφωση αλλά θα ενθαρρύνει το προσωπικό σας να καταλάβει καλύτερα τον ρόλο του στην συμμόρφωση με το GDPR και επιπλέον να είναι σε θέση να κατευθύνει και τους πελάτες σας.
  7. Εξασφαλίστε ότι διατηρείτε την συμμόρφωση της επιχείρηση σας με το GDPR. Η προστασία δεδομένων δεν εφαρμόζεται απλά μια φορά, χρειάζεται να επανεξετάζετε τις διαδικασίες σας και να διασφαλίζετε ότι ακολουθείτε τον κανονισμό.

 

 

Συμπέρασμα

Υπάρχουν πολλά να σκεφτούμε για την συμμόρφωση με τον Γενικός Κανονισμός για την Προστασία Δεδομένων. Το GDPR επιφέρει νέες ευθύνες στους οργανισμούς που διαχειρίζονται δεδομένα των πελατών ενώ απαιτεί από τους ελεγκτές δεδομένων να επιβεβαιώνουν ότι οι επεξεργαστές τους συμμορφώνονται με το GDPR.

Η προθεσμία για την συμμόρφωση με το GDPR των εμπλεκομένων με προσωπικά δεδομένα τελειώνει και τα περιθώρια συμμόρφωσης στενεύουν. Όλες οι επιχειρήσεις πρέπει να ακολουθήσουν άμεσα ένα πλάνο συμμόρφωσης και να μεριμνήσουν ώστε να το έχουν ολοκληρώσει μέχρι τις 25 Μαΐου 2018. Αποτυχία συμμόρφωσης με το GDPR σημαίνει αυστηρές κυρώσεις, υψηλά πρόστιμα αλλά και ταυτόχρονα χαμένους πελάτες. Οργανωθείτε και προστατέψτε την επιχείρησή σας και τους πελάτες σας. Καθοδηγήστε τους και θα τους έχετε μαζί σας για πολύ καιρό ακόμα. Μόνο…. μην το πείτε πουθενά… θα έχετε τεθεί εκτός GDPR!!!