O Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679 (ΓΚΠΔ – GDPR)
Η αυξημένη ανταλλαγή, η χρήση και η γενικότερη επεξεργασία δεδομένων προσωπικού χαρακτήρα, δημιούργησαν την ανάγκη για τη θέσπιση ενός αυστηρότερου νομοθετικού πλαισίου σχετικά με την προστασία των προσωπικών δεδομένων. Κάτω από αυτές τις συνθήκες, το Ευρωπαϊκό Κοινοβούλιο προχώρησε στην ψήφιση του νέου Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων EU 2016/679 (General Data Protection Regulation – GDPR), ο οποίος τίθεται σε εφαρμογή στις 25 Μαΐου του 2018. Ο Κανονισμός εφαρμόζεται και αφορά όλες τις εταιρείες ή και φυσικά πρόσωπα, που επεξεργάζονται και διαχειρίζονται προσωπικά δεδομένα Ευρωπαίων πολιτών, είτε η έδρα / εγκατάστασή τους βρίσκεται εντός Ευρωπαϊκής Ένωσης, είτε εκτός. Ο Κανονισμός περιγράφει τα δικαιώματα του υποκειμένου των δεδομένων, δηλαδή του ατόμου του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία. Αυτά τα ενισχυμένα δικαιώματα παρέχουν στα άτομα μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων, μεταξύ άλλων μέσω:
• της ανάγκης ύπαρξης σαφούς συγκατάθεσης του ενδιαφερομένου για την επεξεργασία των προσωπικών του δεδομένων,
• της ευκολότερης πρόσβασης του ενδιαφερομένου στα προσωπικά του δεδομένα,
• των δικαιωμάτων διόρθωσης, διαγραφής και «λήθης»,
• του δικαιώματος εναντίωσης, μεταξύ άλλων στη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα για την «κατάρτιση προφίλ»,
• του δικαιώματος φορητότητας των δεδομένων.
Θεσπίζεται, επίσης, η υποχρέωση των υπεύθυνων επεξεργασίας των δεδομένων, να παρέχουν διαφανείς και εύκολα προσβάσιμες πληροφορίες στα υποκείμενα των δεδομένων, όσον αφορά την επεξεργασία των δεδομένων τους.
Ο Νέος Κανονισμός ορίζει αναλυτικά τις γενικές υποχρεώσεις, που έχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία των δεδομένων προσωπικού χαρακτήρα για λογαριασμό αυτών. Και οι δύο έχουν την υποχρέωση τήρησης κατάλληλων μέτρων ασφαλείας, ανάλογα με τον κίνδυνο, τον οποίον ενέχουν οι πράξεις επεξεργασίας δεδομένων, τις οποίες εκτελούν. Ειδικότερα, με τον Κανονισμό εισάγεται υποχρέωση τήρησης αρχείου δραστηριοτήτων επεξεργασιών δεδομένων, εκτίμησης αντικτύπου (κινδύνου), εντοπισμού και γνωστοποίησης παραβιάσεων, ορισμού Υπεύθυνου Προστασίας Δεδομένων, διαρκούς ενημέρωσης - συμμόρφωσης κ.α. Οι υπεύθυνοι επεξεργασίας, σε ορισμένες περιπτώσεις, πρέπει να κοινοποιούν τα περιστατικά παραβίασης δεδομένων προσωπικού χαρακτήρα εντός 72 ωρών από την ανακάλυψη του περιστατικού παραβίασης και απώλειας προσωπικών δεδομένων, ΟΧΙ ΜΟΝΟΝ στις αρμόδιες εποπτικές Αρχές (DPA), ΑΛΛΑ ΚΑΙ στα ίδια τα υποκείμενα των δεδομένων, κυρίως όταν η φύση των δεδομένων που χάθηκαν και ο κίνδυνος που προκλήθηκε, το απαιτεί.
Επίσης οι εταιρείες (υπό προϋποθέσεις) και οι δημόσιες αρχές που εκτελούν πράξεις επεξεργασίας δεδομένων που ενέχουν κινδύνους, θα πρέπει έως την 25.5.2018, να έχουν ορίσει υπεύθυνο προστασίας δεδομένων (DPO). Ταυτόχρονα, θα πρέπει να έχει ενημερωθεί όλο το προσωπικό, οι συνεργάτες και οι προμηθευτές για τις νέες αλλαγές, και να έχουν κατανοήσει την σημασία και την λειτουργία του νέου Κανονισμού. Για τους υπεύθυνους επεξεργασίας ή τους εκτελούντες την επεξεργασία δεδομένων, οι οποίοι παραβιάζουν τους κανόνες προστασίας των δεδομένων, προβλέπονται πολύ αυστηρές κυρώσεις, ενώ επιβάλλεται διοικητικό πρόστιμο από 20.000,00 έως 20 εκατ. € ή πρόστιμο που αντιστοιχεί στο 4% του συνολικού ετήσιου κύκλου εργασιών τους (όποιο είναι μεγαλύτερο).
Το Δικηγορικό μας Γραφείο, το οποίο σήμερα στελεχώνεται από εξειδικευμένους δικηγόρους, παρέχει αξιόπιστες Δικηγορικές υπηρεσίες, για τα πλέον σύνθετα και απαιτητικά ζητήματα της σύγχρονης πραγματικότητας. Ένα από αυτά, είναι και το επίκαιρο ζήτημα της συμμόρφωσης στις επιταγές και τις προβλέψεις του Νέου Κανονισμού για την προστασία της ιδιωτικότητας και των προσωπικών δεδομένων. Με βάση την κορυφαία νομική κατάρτιση, την μεθοδικότητα, την οργάνωση, αλλά και την συνεχή ενημέρωση / πιστοποίησή μας στα νέα γνωστικά αντικείμενα και δεδομένα της Νομικής Επιστήμης, οι Δικηγόροι του Γραφείου μας εγγυώνται μια άμεση, ολοκληρωμένη και αποτελεσματική νομική καθοδήγηση. Η ικανοποίηση του εντολέα μας, και η σχέση εμπιστοσύνης, που αναπτύσσεται μεταξύ μας, είναι η μεγαλύτερη επιβράβευση για εμάς.
Στα πλαίσια της εναρμόνισης με τις επιταγές του νέου Κανονισμού, είναι αναπόφευκτα σημαντική και η, πέραν του εντολέα μας, ταυτόχρονη εναρμόνιση των πελατών και συνεργατών του εντολέα μας με αυτόν τον Κανονισμό, με στόχο την επίτευξη του καλύτερου δυνατού αποτελέσματος διασφάλισης της ιδιωτικότητας και της ακεραιότητας των προσωπικών δεδομένων, στα πλαίσια όλης της αλυσίδας κυκλοφορίας – επεξεργασίας των δεδομένων. Σε μια διαρκώς αναπτυσσόμενη ψηφιακή εποχή (IT systems, Internet, Internet of Things, Cloud Services, Big Data Analytics, Social Media, New Technologies etc.) ο ρόλος και η ευθύνη των εκάστοτε εμπλεκομένων data collectors / processors, δύναται να ποικίλει ή και να αλληλοκαλύπτεται (Joint Collectors - Processors).
Οι προσφερόμενες υπηρεσίες ελέγχου ασφαλείας των υποδομών σας, έχουν ως στόχο, αφενός την διενέργεια γενικών DATA / PRIVACY AUDITS, και αφετέρου τον εξειδικευμένο έλεγχο της ασφάλειας των πληροφοριακών συστημάτων και δικτυακών πόρων, για την ανάδειξη των κινδύνων. Αρχικά η εργασία μας έχει ως στόχο την αποτύπωση της τρέχουσας κατάστασης της Εταιρείας αναφορικά με την προστασία προσωπικών δεδομένων. Το συγκεκριμένο στάδιο αποτελείται από τα ακόλουθα βήματα:
• Συμπλήρωση ειδικών ερωτηματολογίων από στελέχη της εταιρείας που διαχειρίζονται προσωπικά δεδομένα,
• Διοργάνωση συμπληρωματικών σχετικών συνεντεύξεων,
• Εντοπισμός του τύπου των προσωπικών δεδομένων,
• Προσδιορισμός των μεθόδων συλλογής, αποθήκευσης και επεξεργασίας των προσωπικών δεδομένων (data flow),
• Προσδιορισμός της νομικής βάσης (lawful basis for processing personal data), δυνάμει της οποίας γίνεται η οποιαδήποτε επεξεργασία δεδομένων,
• Εντοπισμός εμπορικών πρακτικών που ισχύουν με τρίτους, οι οποίες ενδέχεται να έχουν αντίκτυπο στη δυνατότητα της εταιρείας, να συμμορφώνεται και να εξακολουθεί να συμμορφώνεται με το GDPR,
• Μελέτη του τεχνολογικού οικοσυστήματος (εφαρμογές, υποδομές, εγκαταστάσεις αποθήκευσης και επεξεργασίας σε εξωτερικές ή εσωτερικές μονάδες),
• Σύνταξη της προκαταρκτικής μελέτης, βάσει των ισχυουσών καταγεγραμμένων διαδικασιών,
• Παράδοση της προκαταρκτικής μελέτης στη Διοίκηση και παροχή γενικών κατευθύνσεων.
Η πλήρης καταγραφή των υφιστάμενων διαδικασιών αποτελεί απαραίτητη προϋπόθεση για τον σαφή προσδιορισμό των ‘κενών’ (Gap Analysis), σε σχέση με τον Κανονισμό και τη διενέργεια των ανάλογων διορθωτικών κινήσεων.
Ακολουθεί το βασικό στάδιο εργασιών για την συμμόρφωση με τον Κανονισμό GDPR. Διακρίνεται από τις ακόλουθες ενέργειες:
• Εντοπισμός των αποκλίσεων σε σχέση με τις απαιτήσεις του GDPR,
• Κατάρτιση Σχεδίου Υψηλού Επιπέδου Προτεινόμενων Πρωτοβουλιών και Δράσεων και θέσπιση χρονοδιαγράμματος υλοποίησης,
• Εξειδίκευση συγκεκριμένων προτάσεων με στόχο την αναθεώρηση των μη προβλεπόμενων πολιτικών και διαδικασιών,
• Επεξεργασία και εκπόνηση κατάλληλης και ολοκληρωμένης Πολιτικής Προστασίας (Data Protection Legal Framework),
• Καθορισμός δικλείδων ασφαλείας στα τεχνολογικά οικοσυστήματα και στα φυσικά αρχεία της εταιρείας,
• Εκτενής ενημέρωση και εκπαίδευση του προσωπικού ως προς τη διαχείριση προσωπικών δεδομένων,
• Προσδιορισμός του Υπεύθυνου Προστασίας Δεδομένων (DPO), εύρεση εκπαιδευμένου στελέχους για τον ρόλο του DPO από το εσωτερικό ή εξωτερικό περιβάλλον της επιχείρησης (δυνατότητα outsourcing).
Οι ανωτέρω ενέργειες και δράσεις οδηγήγούν την εταιρεία σε πλήρη συμμόρφωση με το GDPR και στην αποφυγή κινδύνων, που ανακύπτουν λόγω ελλιπούς προστατευτικού πλαισίου των προσωπικών δεδομένων.
Πιο συγκεκριμένα επιτυγχάνουμε :
• την καταγραφή των κενών ασφαλείας,
• τον εντοπισμό των μη αποτελεσματικών διαδικασιών ασφάλειας,
• τον έλεγχο των υφιστάμενων συστημάτων ασφαλείας,
• την αξιολόγηση της αποτελεσματικότητας των εργαλείων που προστατεύουν την δικτυακή υποδομή ενός οργανισμού,
• τον έλεγχο των ευπαθειών δικτύου και την επισήμανση κενών ασφαλείας,
• ανάπτυξη διαδικασίών vulnerability management, διαχείριση κινδύνου, disaster recovery και business continuity,
• τον έλεγχο - ανίχνευση περιπτώσεων "εισβολής - επίθεσης" από κακόβουλο λογισμικό - malicious software, hackers, spyware, cyberattacks,
• τον έλεγχο της πολιτικής marketing,
• τον έλεγχο των ευπαθειών της εταιρικής ιστοσελίδας,
• τον έλεγχο των ευπαθειών του eshop,
• την εφαρμογή ολοκληρωμένου προγράμματος Security Audit,
• την εφαρμογή προγραμματισμένων Penetration Test (probing for vulnerabilities in your applications and networks),
Με αυτές τις πρακτικές δυνάμεθα να εντοπίσουμε τα κενά ασφαλείας, στα οποία είναι εκτεθειμένο το δίκτυο των εντολέων μας, αν δεχτεί επίθεση από κάποια κακόβουλη ενέργεια. Ολοκληρώνεται ο έλεγχος των ροών των δεδομένων, καταγράφονται οι κίνδυνοι και επιτυγχάνεται η συμμόρφωση με τις απαιτήσεις και τα οριζόμενα στον Κανονισμό.
Σε συνεργασία με ειδικούς τεχνικούς συμβούλους (ΙΤ, Security, Privacy κλπ), παρέχονται οι παρακάτω εξειδικευμένοι έλεγχοι ασφαλείας υποδομών & συστημάτων :
• Έλεγχος Ασφάλειας Ασύρματου Δικτύου,
• Έλεγχος Ασφάλειας Δικτύου CCTV,
• Έλεγχος Ασφάλειας Εσωτερικού Δικτύου,
• Έλεγχος Ασφάλειας Website,
• Έλεγχος Ασφάλειας Eshop,
• Έλεγχος Ασφάλειας VOIP τηλεφωνικού κέντρου,
• Έλεγχος Ασφαλείας Servers, Network endpoints, Wireless networks, Network security devices, Mobile and wireless devices, software applications and the code behind it,
• On-Site υπηρεσίες Penetration Test,
• Simulated phishing tests,
• Υπηρεσίες Penetration Test από απόσταση.
H διαδικασία διεξαγωγής των ελέγχων μπορεί να προγραμματιστεί και σε συνεργασία με τον υπεύθυνο των πληροφοριακών συστημάτων και υποδομών του εντολέα μας, ώστε να μην διαταραχθεί η λειτουργία του οργανισμού ή της εταιρεία του.
Το Δικηγορικό μας Γραφείο επιπλέον μπορεί:
• να παράσχει Υπεύθυνο Προστασίας Προσωπικών Δεδομένων με ετήσια σύμβαση συνεργασίας (DPO as a Service),
• να εκπαιδεύσει και να υποστηρίξει σε θέματα νομικά, οργανωτικά & τεχνικά το στέλεχος της εταιρείας / επιχείρησης, που θα επιλεγεί για την θέση του DPO, και για το χρονικό διάστημα που θεωρείται απαραίτητο (DPO Support Team), ώστε το στέλεχος που τελικά θα επιλεγεί, να δύναται να εκτελεί με επιτυχία τις ακόλουθες αρμοδιότητες και εργασίες, όπως:
• να εκπροσωπεί τον οργανισμό ενώπιον των αρμοδίων αρχών και να συνεργάζεται με την Ευρωπαϊκή και Εθνική Αρχή Προστασίας Προσωπικών Δεδομένων ως Υπεύθυνος Προστασίας Δεδομένων, για ζητήματα που αφορούν την επεξεργασία, συμπεριλαμβανομένης και της διαβούλευσης που αναφέρεται στο άρθρο 36 του Κανονισμού για την Προστασία Προσωπικών Δεδομένων,
• να παρακολουθεί και να ενημερώνει την διοίκηση και τους εργαζομένους, που εκτελούν την επεξεργασία, για τη συμμόρφωση με τις διατάξεις του GDPR και των εθνικών Νόμων περί προστασίας δεδομένων,
• να συντάσσει και να υποβάλει για έγκριση νέες Πολιτικές Προστασίας Δεδομένων (PRIVACY POLICY),
• να συμβουλεύει, όσον αφορά συγκεκριμένες επεξεργασίες προσωπικών δεδομένων, για την ανάγκη διεξαγωγής αξιολόγησης αντικτύπου δεδομένων προσωπικού χαρακτήρα (DPIA – Data Privacy Impact Assessment) με τη χρήση προκαθορισμένων προτύπων, να την πραγματοποιεί σε συνεργασία με τα σχετικά τμήματα (HR, IT, SECURITY κλπ) και να εξασφαλίζει την υποβολή της στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ανάλογα με την περίπτωση.