GDPR COMPLIANCE PROJECT

Transcript

1 GDPR COMPLIANCE PROJECT

2 General Data Protection Regulation Compliance - Business Project Ι. Κανονισµός ΕΕ/ 2016/ 679 του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδοµένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισµός για την Προστασία Δεδοµένων). 1. Εισαγωγή Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσµιοποίηση δηµιούργησαν νέες προκλήσεις για την προστασία των δεδοµένων προσωπικού χαρακτήρα. Η κλίµακα της συλλογής και της ανταλλαγής δεδοµένων προσωπικού χαρακτήρα αυξήθηκε σηµαντικά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δηµόσιες αρχές να κάνουν χρήση δεδοµένων προσωπικού χαρακτήρα σε πρωτοφανή κλίµακα για την επιδίωξη των δραστηριοτήτων τους. Τα φυσικά πρόσωπα ολοένα και περισσότερο δηµοσιοποιούν προσωπικές πληροφορίες και τις καθιστούν διαθέσιµες σε παγκόσµιο επίπεδο. Η τεχνολογία έχει αλλάξει τόσο την οικονοµία όσο και την κοινωνική ζωή και θα πρέπει να διευκολύνει περαιτέρω την ελεύθερη κυκλοφορία δεδοµένων προσωπικού χαρακτήρα εντός της Ένωσης και τη διαβίβαση σε τρίτες χώρες και διεθνείς οργανισµούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδοµένων προσωπικού χαρακτήρα. Οι εξελίξεις αυτές απαιτούν ένα ισχυρό και πιο συνεκτικό πλαίσιο προστασίας των δεδοµένων στην Ένωση, υποστηριζόµενο από αυστηρή εφαρµογή της νοµοθεσίας, δεδοµένου ότι είναι σηµαντικό να δηµιουργηθεί η αναγκαία εµπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονοµία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς. Τα φυσικά πρόσωπα θα πρέπει να έχουν τον έλεγχο των δικών τους δεδοµένων προσωπικού χαρακτήρα. Θα πρέπει να ενισχυθούν η ασφάλεια δικαίου και η πρακτική ασφάλεια για τα φυσικά πρόσωπα, τους οικονοµικούς παράγοντες και τις δηµόσιες αρχές. Η προστασία που παρέχει ο παρών κανονισµός θα πρέπει να ισχύει για τα φυσικά πρόσωπα, ανεξαρτήτως ιθαγένειας ή τόπου διαµονής, σε σχέση µε την επεξεργασία των δεδοµένων προσωπικού χαρακτήρα τους. Ο παρών κανονισµός δεν καλύπτει την επεξεργασία δεδοµένων προσωπικού χαρακτήρα που αφορούν νοµικά πρόσωπα και ιδίως επιχειρήσεις συσταθείσες ως Σελίδα2

3 νοµικά πρόσωπα, περιλαµβανοµένων της επωνυµίας, του τύπου και των στοιχείων επικοινωνίας του νοµικού προσώπου. 2. Αρχές που διέπουν την επεξεργασία δεδοµένων προσωπικού χαρακτήρα Τα δεδοµένα προσωπικού χαρακτήρα υποβάλλονται σε σύννοµη και θεµιτή επεξεργασία µε διαφανή τρόπο σε σχέση µε το υποκείµενο των δεδοµένων («νοµιµότητα, αντικειµενικότητα και διαφάνεια»), συλλέγονται για καθορισµένους, ρητούς και νόµιµους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύµβατο προς τους σκοπούς αυτούς η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δηµόσιο συµφέρον ή σκοπούς επιστηµονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύµβατη µε τους αρχικούς σκοπούς σύµφωνα µε το άρθρο 89 παράγραφος 1 («περιορισµός του σκοπού»), είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδοµένων»), είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται πρέπει να λαµβάνονται όλα τα εύλογα µέτρα για την άµεση διαγραφή ή διόρθωση δεδοµένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση µε τους σκοπούς της επεξεργασίας («ακρίβεια»), διατηρούνται υπό µορφή που επιτρέπει την ταυτοποίηση των υποκειµένων των δεδοµένων µόνο για το διάστηµα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα τα δεδοµένα προσωπικού χαρακτήρα µπορούν να αποθηκεύονται για µεγαλύτερα διαστήµατα, εφόσον τα δεδοµένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία µόνο για σκοπούς αρχειοθέτησης προς το δηµόσιο συµφέρον, για σκοπούς επιστηµονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύµφωνα µε το άρθρο 89 παράγραφος 1 και εφόσον εφαρµόζονται τα κατάλληλα τεχνικά και οργανωτικά µέτρα που απαιτεί ο παρών κανονισµός για τη διασφάλιση των δικαιωµάτων και ελευθεριών του υποκειµένου των δεδοµένων («περιορισµός της περιόδου αποθήκευσης»), υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγµένη ασφάλεια των δεδοµένων προσωπικού χαρακτήρα, µεταξύ άλλων την προστασία τους από µη εξουσιοδοτηµένη ή παράνοµη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, µε τη χρησιµοποίηση κατάλληλων τεχνικών ή οργανωτικών µέτρων («ακεραιότητα και εµπιστευτικότητα»). Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συµµόρφωση µε την παράγραφο 1 («λογοδοσία»). Σελίδα3

4 3. Νοµιµότητα της επεξεργασίας Η επεξεργασία είναι σύννοµη µόνο εάν και εφόσον ισχύει τουλάχιστον µία από τις ακόλουθες προϋποθέσεις: το υποκείµενο των δεδοµένων έχει συναινέσει στην επεξεργασία των δεδοµένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριµένους σκοπούς, η επεξεργασία είναι απαραίτητη για την εκτέλεση σύµβασης της οποίας το υποκείµενο των δεδοµένων είναι συµβαλλόµενο µέρος ή για να ληφθούν µέτρα κατ' αίτηση του υποκειµένου των δεδοµένων πριν από τη σύναψη σύµβασης, η επεξεργασία είναι απαραίτητη για τη συµµόρφωση µε έννοµη υποχρέωση του υπευθύνου επεξεργασίας, η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συµφέροντος του υποκειµένου των δεδοµένων ή άλλου φυσικού προσώπου, η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δηµόσιο συµφέρον ή κατά την άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννοµων συµφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συµφερόντων αυτών υπερισχύει το συµφέρον ή τα θεµελιώδη δικαιώµατα και οι ελευθερίες του υποκειµένου των δεδοµένων που επιβάλλουν την προστασία των δεδοµένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείµενο των δεδοµένων είναι παιδί. Τα κράτη µέλη µπορούν να διατηρούν ή να θεσπίζουν πιο ειδικές διατάξεις για την προσαρµογή της εφαρµογής των κανόνων του παρόντος κανονισµού όσον αφορά την επεξεργασία για τη συµµόρφωση µε την παράγραφο 1 στοιχεία γ) και ε), καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλα µέτρα προς εξασφάλιση σύννοµης και θεµιτής επεξεργασίας, µεταξύ άλλων για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ. Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) ορίζεται σύµφωνα µε το Δίκαιο της Ένωσης ή το δίκαιο του κράτους µέλος στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νοµική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δηµόσιο συµφέρον ή κατά την άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Η εν λόγω νοµική βάση µπορεί να περιλαµβάνει ειδικές διατάξεις για την προσαρµογή της εφαρµογής των κανόνων του παρόντος κανονισµού, µεταξύ άλλων: τις γενικές προϋποθέσεις που διέπουν τη σύννοµη επεξεργασία από τον υπεύθυνο επεξεργασίας τα είδη των δεδοµένων που υποβάλλονται σε επεξεργασία τα οικεία υποκείµενα των δεδοµένων τις οντότητες στις οποίες µπορούν να κοινοποιούνται τα δεδοµένα προσωπικού χαρακτήρα και τους σκοπούς αυτής της κοινοποίησης τον Σελίδα4

5 περιορισµό του σκοπού τις περιόδους αποθήκευσης και τις πράξεις επεξεργασίας και τις διαδικασίες επεξεργασίας, συµπεριλαµβανοµένων των µέτρων για τη διασφάλιση σύννοµης και θεµιτής επεξεργασίας, όπως εκείνα για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ. Το δίκαιο της Ένωσης ή το δίκαιο του κράτους µέλους ανταποκρίνεται σε σκοπό δηµόσιου συµφέροντος και είναι ανάλογο προς τον επιδιωκόµενο νόµιµο σκοπό. Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδοµένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειµένου των δεδοµένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους µέλους το οποίο αποτελεί αναγκαίο και αναλογικό µέτρο σε µια δηµοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειµένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συµβατή µε τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδοµένα προσωπικού χαρακτήρα, λαµβάνει υπόψη, µεταξύ άλλων: τυχόν σχέση µεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδοµένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόµενης περαιτέρω επεξεργασίας, το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδοµένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση µεταξύ των υποκειµένων των δεδοµένων και του υπευθύνου επεξεργασίας, τη φύση των δεδοµένων προσωπικού χαρακτήρα, ιδίως για τις ειδικές κατηγορίες δεδοµένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σύµφωνα µε το άρθρο 9, ή κατά πόσο δεδοµένα προσωπικού χαρακτήρα που σχετίζονται µε ποινικές καταδίκες και αδικήµατα υποβάλλονται σε επεξεργασία, σύµφωνα µε το άρθρο 10, τις πιθανές συνέπειες της επιδιωκόµενης περαιτέρω επεξεργασίας για τα υποκείµενα των δεδοµένων, την ύπαρξη κατάλληλων εγγυήσεων, που µπορεί να περιλαµβάνουν κρυπτογράφηση ή ψευδωνυµοποίηση. 4. Προϋποθέσεις για συγκατάθεση 1. Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι το υποκείµενο των δεδοµένων συγκατατέθηκε για την επεξεργασία των δεδοµένων του προσωπικού χαρακτήρα. 2. Εάν η συγκατάθεση του υποκειµένου των δεδοµένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέµατα, το αίτηµα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέµατα, σε κατανοητή και εύκολα προσβάσιµη µορφή, χρησιµοποιώντας σαφή και απλή διατύπωση. Κάθε τµήµα της δήλωσης αυτής το οποίο συνιστά παράβαση του παρόντος κανονισµού δεν είναι δεσµευτικό. Σελίδα5

6 3. Το υποκείµενο των δεδοµένων έχει δικαίωµα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγµή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νοµιµότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Πριν την παροχή της συγκατάθεσης, το υποκείµενο των δεδοµένων ενηµερώνεται σχετικά. Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη µε την παροχή της. 4. Κατά την εκτίµηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαµβάνεται ιδιαιτέρως υπόψη κατά πόσο, µεταξύ άλλων, για την εκτέλεση σύµβασης, συµπεριλαµβανοµένης της παροχής µιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδοµένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύµβασης. 5. Ο Κανονισµός στις σχέσεις της επιχείρησης µε τους εργαζοµένους της Επεξεργασία στο πλαίσιο της απασχόλησης 1. Τα κράτη µέλη, µέσω της νοµοθεσίας ή µέσω των συλλογικών συµβάσεων, µπορούν να θεσπίζουν ειδικούς κανόνες προκειµένου να διασφαλίζουν την προστασία των δικαιωµάτων και των ελευθεριών έναντι της επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων στο πλαίσιο της απασχόλησης, ιδίως για σκοπούς πρόσληψης, εκτέλεσης της σύµβασης απασχόλησης, συµπεριλαµβανοµένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόµο ή από συλλογικές συµβάσεις, διαχείρισης, προγραµµατισµού και οργάνωσης εργασίας, ισότητας και πολυµορφίας στον χώρο εργασίας, υγείας και ασφάλειας στην εργασία, προστασίας της περιουσίας εργοδοτών και πελατών και για σκοπούς άσκησης και απόλαυσης, σε ατοµική ή συλλογική βάση, δικαιωµάτων και παροχών που σχετίζονται µε την απασχόληση και για σκοπούς καταγγελίας της σχέσης απασχόλησης. 2. Οι εν λόγω κανόνες περιλαµβάνουν κατάλληλα και ειδικά µέτρα για τη διαφύλαξη της ανθρώπινης αξιοπρέπειας, των έννοµων συµφερόντων και των θεµελιωδών δικαιωµάτων του προσώπου στο οποίο αναφέρονται τα δεδοµένα, µε ιδιαίτερη έµφαση στη διαφάνεια της επεξεργασίας, τη διαβίβαση δεδοµένων προσωπικού χαρακτήρα εντός οµίλου επιχειρήσεων, ή οµίλου εταιρειών που ασκούν κοινή οικονοµική δραστηριότητα και τα συστήµατα παρακολούθησης στο χώρο εργασίας. Σελίδα6

7 Στην πράξη, θα πρέπει να υπάρξει ισορροπία ανάµεσα στην ιδιωτική ζωή των εργαζοµένων στο χώρο εργασίας και τα νόµιµα συµφέροντα του εργοδότη. Ο Κανονισµός εφαρµόζεται για όλους τους τύπους εργαζοµένων (υπαλλήλους, ελεύθερους επαγγελµατίες) και όχι µόνο για όσους υπάγονται σε σύµβαση εξαρτηµένης εργασίας. Τα σηµεία επεξεργασίας δεδοµένων µε υψηλό κίνδυνο για την ιδιωτική ζωή των εργαζοµένων είναι: κατά την πρόσληψη, κατά τον έλεγχο για την καταλληλότητα και απόδοση των εργαζοµένων, κατά την παρακολούθηση εντός και εκτός του χώρου εργασίας του χρόνου απασχόλησης και παρουσίας των υπαλλήλων (προσέλευση, αποχώρηση, διάλειµµα κλπ.), κατά τη χρήση συστηµάτων παρακολούθησης και καταγραφής (κάµερα), κατά τη χρήση συστηµάτων παρακολούθησης οχηµάτων που χρησιµοποιούνται από υπαλλήλους (GPS), κατά τη γνωστοποίηση δεδοµένων προσωπικού χαρακτήρα σε τρίτους. Η συναίνεση του εργαζοµένου δεν εξασφαλίζει τον εργοδότη άνευ άλλου τινός, λόγω της µεταξύ τους ανισότητας. Τέτοια συναίνεση εξασφαλίζει έγκυρα µόνο όταν λαµβάνεται για λόγους εκτέλεσης της σύµβασης εργασίας (π.χ. πληρωµή του υπαλλήλου) ή για την πλήρωση υποχρεώσεων µε βάση την εργατική νοµοθεσία (π.χ. απόδοση φόρου, κοινωνικοασφαλιστική τακτοποίηση του υπαλλήλου). Το έννοµο συµφέρον του εργοδότη για την επεξεργασία των προσωπικών δεδοµένων των εργαζοµένων στοιχειοθετείται όταν η επεξεργασία αυτή είναι απολύτως απαραίτητη για νόµιµο σκοπό και ανάλογη µε τις ανάγκες τις επιχείρησης. Ο εργοδότης οφείλει να ελέγξει αν η επεξεργασία υπερκαλύπτει τα γενικά δικαιώµατα ιδιωτικής ζωής που έχουν οι εργαζόµενοι στο χώρο εργασίας και αν έχουν ληφθεί τα κατάλληλα µέτρα για να εξασφαλισθεί ισορροπία µε τα δικαιώµατα και τις ελευθερίες των εργαζοµένων. Πρέπει να τηρείται η αρχή της αναλογικότητας, δηλαδή η επεξεργασία δεδοµένων των εργαζοµένων να είναι ανάλογη µε τους κινδύνους που αντιµετωπίζει ο εργοδότης (π.χ. µπορεί να µπλοκαριστούν κάποιοι διαδικτυακοί τόποι αλλά όχι να παρακολουθούνται όλες οι επικοινωνίες). Ειδικότερα, στο στάδιο της πρόσληψης, θα πρέπει να συλλέγονται προσωπικά δεδοµένα µόνο στο βαθµό που η συλλογή αυτή είναι αναγκαία και συναφής µε την εκτέλεση της εργασίας. Σε Σελίδα7

8 περίπτωση επιθεώρησης προφίλ των µέσων κοινωνικής δικτύωσης των υποψηφίων, θα πρέπει να δικαιολογείται έννοµο συµφέρον, δηλαδή η επιθεώρηση να σχετίζεται µε επαγγελµατικό σκοπό. Στάδια επεξεργασίας στο εργασιακό πλαίσιο: Προσυµβατικό στάδιο (υποψήφιοι εργαζόµενοι), Κατά τη διάρκεια της σύµβασης, Μετά την καταγγελία Στο 1 ο στάδιο, µπορούν να συλλέγονται µόνο τα δεδοµένα που είναι απαραίτητα σχετικά µε τη συγκεκριµένη θέση, για την καταλληλότητα και τις ικανότητες του υποψηφίου, τα οποία θα πρέπει να παρέχει πρωτίστως ο υποψήφιος. Αν παρέχονται από τρίτο, θα πρέπει να υπάρχει προηγούµενη ενηµέρωση του υποψηφίου, όπως και στην περίπτωση λήψης τους από social media. Ευαίσθητα προσωπικά δεδοµένα όπως το ποινικό µητρώο και ιατρικής φύσεως πληροφορίες, µπορούν να ληφθούν µόνο υπό την προϋπόθεση ότι σχετίζονται άµεσα µε τη θέση εργασίας (π.χ. ταµίας, αιµολήπτης ιατρός, µάγειρας, οδηγός). Θα πρέπει τότε να τηρηθεί και η αρχή της προηγούµενης ενηµέρωσης του εργαζοµένου ότι θα ζητηθούν πληροφορίες από τρίτους, τις πηγές, το είδος των δεδοµένων, το σκοπό λήψης των πληροφοριών και τις συνέπειες πιθανής άρνησης συγκατάθεσης. Μετά την τυχόν απόρριψη του υποψηφίου, η τήρηση των δεδοµένων του επιτρέπεται µόνο για την προστασία του εργοδότη ενώπιον της Δικαιοσύνης ή εάν συναινέσει ο υποψήφιος π.χ. για µελλοντική θέση εργασίας. Στο 2 ο Στάδιο, βασικά σηµεία είναι η τήρηση αρχείου των εργαζοµένων, η βιντεοσκόπηση παρακολούθηση µέσω κάµερας, η συλλογή βιοµετρικών και γενετικών δεδοµένων, το , τα social media, το GPS. Ασφαλής τήρηση αρχείου, εκπαίδευση του προσωπικού (αποφυγή εκτεθειµένων συµβάσεων, σχεδίων συµβάσεων, εγγράφων µισθοδοσιών, αποδείξεων κλπ.), πρόσβαση στα αρχεία µόνο από συγκεκριµένα άτοµα που ασχολούνται µε ζητήµατα του προσωπικού, πρόσβαση µόνο σε στοιχεία που αφορούν στο σκοπό της επεξεργασίας κάθε φορά π.χ. για τη µισθοδοσία θα αναζητηθούν µόνο τα στοιχεία της θέσης, προϋπηρεσίας, οικογενειακής κατάστασης για τυχόν επίδοµα, αλλά όχι και οι ιατρικές εξετάσεις του εργαζόµενου, αν υπάρχουν, ψευδωνυµοποίηση των φακέλων των εργαζοµένων ώστε να µην µπορούν να ταυτοποιηθούν από αναρµόδιο πρόσωπο. Σελίδα8

9 Παρακολούθηση των εργαζοµένων επιτρέπεται µόνο σε ειδικές περιπτώσεις όπως τράπεζες, εγκαταστάσεις υψηλού κινδύνου κλπ. Άλλως, µόνο στους χώρους εισόδου και εξόδου ή σε ειδικούς χώρους όπως ταµεία, χώρους µε χρηµατοκιβώτια, εξοπλισµό κλπ. Η συλλογή ιατρικών εξετάσεων των εργαζοµένων είναι νόµιµη µόνο όταν γίνεται για την αξιολόγηση της καταλληλότητας του εργαζόµενου για τη συγκεκριµένη θέση, για την εκπλήρωση υποχρεώσεων του εργοδότη για υγιεινή και ασφάλεια της εργασίας, για τη θεµελίωση δικαιωµάτων του εργαζόµενου και απόδοση κοινωνικών παροχών και σε όλες αυτές τις περιπτώσεις µόνο όταν δίδονται απευθείας από τον εργαζόµενο ή τον υποψήφιο. Η παρακολούθηση επιτρέπεται µόνο σε εξαιρετικές περιπτώσεις και µάλιστα όταν αυτή µπορεί να αποδειχθεί απαραίτητη για την επιβεβαίωση ή απόδειξη ορισµένων ενεργειών του εργαζόµενου. Οι ενέργειες αυτές θα πρέπει να περιλαµβάνουν εγκληµατική δραστηριότητα εκ µέρους του και η παρακολούθηση να είναι απαραίτητη για την υπεράσπιση των νοµίµων συµφερόντων του εργοδότη, όπως για παράδειγµα στην περίπτωση που αυτός έχει νοµική ευθύνη για τι ενέργειες του εργαζοµένου. Για να είναι νόµιµη η παρακολούθηση προφίλ µέσου κοινωνικής δικτύωσης κατά τη διάρκεια της απασχόλησης, ο εργοδότης θα πρέπει να αποδείξει ότι ο έλεγχος αυτός είναι απαραίτητος για την προστασία των συµφερόντων του, ότι δεν υπάρχουν άλλα λιγότερο επεµβατικά µέσα, ότι οι υπάλληλοι έχουν ενηµερωθεί επαρκώς για την έκταση του τακτικού ελέγχου των δηµόσιων επικοινωνιών τους. Παρακολούθηση µέσω συστήµατος γεωγραφικού προσδιορισµού (GPS) στο αυτοκίνητο, στο κινητό τηλέφωνο ή σε άλλη συσκευή, είναι νόµιµη µόνο όταν δεν αποσκοπεί στην παρακολούθηση του εργαζοµένου αλλά στην αποδοτικότερη λειτουργία της επιχείρησης και την ενίσχυση της ασφάλειας των εργαζοµένων, όταν ο εργαζόµενος µπορεί να το απενεργοποιήσει αν το επιθυµεί, δεν συλλέγονται από τη χρήση του δεδοµένα για την αξιολόγηση της επαγγελµατικής αποδοτικότητας του εργαζόµενου. 6. Ο Κανονισµός στις σχέσεις της επιχείρησης µε τους τρίτους Ως προελέχθη, είναι απαραίτητη η ξεκάθαρη συναίνεση του τρίτου για την επεξεργασία των προσωπικών του δεδοµένων. Προς επίτευξη της συµφωνίας αυτής, θα πρέπει να προσδιοριστούν Σελίδα9

10 αρχικά τα χαρακτηριστικά της επεξεργασίας (αντικείµενο, διάρκεια, φύση, σκοπός, είδος δεδοµένων, αναφορά σε τυχόν υποχρεωτική επεξεργασία και συγκεκριµένα στο σχετικό νόµο, στη διάρκεια και στο είδος των δεδοµένων). Ακολούθως, οι υποχρεώσεις της επιχείρησης, δηλαδή η συµµόρφωση µε το Νόµο, ενδεχοµένως η παροχή γραπτών οδηγιών, η εµπιστευτικότητα, η ασφάλεια της επεξεργασίας, η κατ αρχήν απαγόρευση υπό - ανάθεσης της επεξεργασίας, η ενηµέρωση του τρίτου περί των δικαιωµάτων του, η ειδοποίηση σε περίπτωση παραβίασης, ο πρόσφορος σκοπός της επεξεργασίας, η υποχρέωση πληροφόρησης, η συνδροµή σε τυχόν έλεγχο, η τήρηση αρχείου ενεργειών επεξεργασίας. Κατόπιν, θα πρέπει να καθοριστεί και να εξασφαλισθεί η τήρηση ενός επιπέδου µέτρων ασφαλείας: σύνταξη εγγράφου ασφαλείας, εργασίες και υποχρεώσεις του προσωπικού, καταγραφή τυχόν παραβιάσεων, ταυτοποίηση και έλεγχος εγκυρότητας, έλεγχος προσβασιµότητας ηλεκτρονικής και φυσικής, έλεγχος ηλεκτρονικών µέσων, τήρηση αρχείου ασφαλείας, διορισµός υπευθύνου ασφαλείας, καταγραφή εισερχοµένων και εξερχοµένων δεδοµένων, έλεγχος αποστολής και κυκλοφορίας πληροφοριών - εγγράφων και media, έλεγχος αντιγραφής και αναπαραγωγής. ΙΙ. Η συµµόρφωση προς τον Κανονισµό Ένας σηµαντικός παράγοντας συµµόρφωσης στον κανονισµό, είναι η επίδειξη συµµόρφωσης, δηλαδή το να καθιστά µια επιχείρηση εµφανή τον τρόπο συµµόρφωσης της µε τον Κανονισµό. Ενδεικτικά, υπάρχουν 3 βασικοί τρόποι επίδειξης συµµόρφωσης: ο διορισµός Υπευθύνου Προστασίας Δεδοµένων (DPO), η σύνταξη κώδικα δεοντολογίας και η διενέργεια εκτίµησης αντικτύπου, αλλά και το σύνολο των σχετικών ενεργειών που παρακάτω παρατίθενται συνθέτουν τη διαδικασία αυτή και παρέχουν τη δυνατότητα επίδειξης αλλά και απόδειξης της συµµόρφωσης, εάν ζητηθεί. Ειδικότερα, τη διαδικασία της συµµόρφωσης αναλαµβάνουµε ως εξής: Ενέργειές µας: 1. Έλεγχος ροής προσωπικών δεδοµένων: Επίσκεψη, Συµπλήρωση ερωτηµατολογίου. 2. Έλεγχος και αξιολόγηση των τωρινών διαδικασιών συλλογής προσωπικών δεδοµένων: Πηγές, Αποδέκτες, Συστήµατα αυτοµατοποιηµένης επεξεργασίας. Σελίδα10

11 3. Έλεγχος και αξιολόγηση των τωρινών διαδικασιών αρχειοθέτησης και τήρησης προσωπικών δεδοµένων: Έντυπο και Ηλεκτρονικό Αρχείο. 4. Έλεγχος Συµµόρφωσης Διαδικασιών βάσει του Κανονισµού. 5. Διαδικασία τήρησης αρχείου δραστηριοτήτων επεξεργασίας προσωπικών δεδοµένων (άρθρο 30 Κανονισµού 679/ 2016 ΕΕ, άρθρο 24 Οδηγίας 680/ 2016 ΕΕ). Α. Τα κράτη µέλη προβλέπουν ότι κάθε υπεύθυνος επεξεργασίας διατηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το αρχείο αυτό περιλαµβάνει τις ακόλουθες πληροφορίες: α) το όνοµα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, κατά περίπτωση, οποιουδήποτε από κοινού υπευθύνου επεξεργασίας και υπευθύνου προστασίας δεδοµένων, β) τους σκοπούς της επεξεργασίας, γ) τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδοµένα προσωπικού χαρακτήρα, περιλαµβανοµένων των αποδεκτών τρίτων χωρών ή διεθνών οργανισµών, δ) περιγραφή των κατηγοριών υποκειµένων των δεδοµένων και των κατηγοριών δεδοµένων προσωπικού χαρακτήρα, ε) όπου συντρέχει περίπτωση, τη χρήση κατάρτισης προφίλ, στ) όπου συντρέχει περίπτωση, τις κατηγορίες διαβιβάσεων δεδοµένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισµό, ζ) αναφορά της νοµικής βάσης της επεξεργασίας, περιλαµβανοµένων των διαβιβάσεων, για την οποία προορίζονται τα δεδοµένα προσωπικού χαρακτήρα, η) εφόσον είναι δυνατόν, τις προβλεπόµενες προθεσµίες για τη διαγραφή των διαφόρων κατηγοριών δεδοµένων προσωπικού χαρακτήρα, θ) εφόσον είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών µέτρων ασφαλείας που µνηµονεύονται στο άρθρο 29 παράγραφος 1. Β. Τα κράτη µέλη προβλέπουν ότι κάθε εκτελών την επεξεργασία διατηρεί αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διενεργούνται εκ µέρους του υπεύθυνου επεξεργασίας, το οποίο και περιλαµβάνει τα ακόλουθα: α) το όνοµα και τα στοιχεία επικοινωνίας τού ή των εκτελούντων την επεξεργασία, κάθε υπευθύνου επεξεργασίας εκ µέρους του οποίου ενεργεί ο εκτελών και, κατά περίπτωση, του υπεύθυνου προστασίας δεδοµένων, β) τις κατηγορίες επεξεργασίας που διεξάγεται εκ µέρους κάθε υπεύθυνου επεξεργασίας, γ) κατά περίπτωση, τις διαβιβάσεις δεδοµένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισµό, συµπεριλαµβανοµένων του προσδιορισµού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισµού, εφόσον έχει λάβει ρητή σχετική εντολή από τον υπεύθυνο επεξεργασίας, δ) εφόσον είναι δυνατόν, Σελίδα11

12 γενική περιγραφή των τεχνικών και οργανωτικών µέτρων ασφαλείας που µνηµονεύονται στο άρθρο 29 παράγραφος 1. Γ. Τα αρχεία που αναφέρονται στις παραγράφους 1 και 2 υφίστανται γραπτώς µεταξύ άλλων σε ηλεκτρονική µορφή. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν το αρχείο στη διάθεση της εποπτικής αρχής, κατόπιν αιτήµατος. 680/ 2016 ΕΕ) 6. Διαδικασία τήρησης αρχείου καταχωρήσεων προσωπικών δεδοµένων (άρθρο 25 Οδηγίας Α. Τα κράτη µέλη προβλέπουν ότι τηρούνται καταχωρίσεις τουλάχιστον για τις ακόλουθες πράξεις επεξεργασίας στα συστήµατα αυτοµατοποιηµένης επεξεργασίας: συλλογή, µεταβολή, αναζήτηση πληροφοριών, κοινολόγηση, περιλαµβανοµένων των διαβιβάσεων, συνδυασµό και διαγραφή. Οι καταχωρήσεις της αναζήτησης πληροφοριών και της κοινολόγησης επιτρέπουν τον προσδιορισµό της αιτιολόγησης και της ηµεροµηνίας και της ώρας των εν λόγω πράξεων και, στο βαθµό του εφικτού, της ταυτότητας του προσώπου που αναζήτησε πληροφορίες ή κοινολόγησε δεδοµένα προσωπικού χαρακτήρα, καθώς και της ταυτότητας των αποδεκτών των εν λόγω δεδοµένων προσωπικού χαρακτήρα. Β. Οι καταχωρήσεις χρησιµοποιούνται αποκλειστικά για την επαλήθευση της νοµιµότητας της επεξεργασίας, την αυτοπαρακολούθηση, τη διασφάλιση της ακεραιότητας και της ασφάλειας των δεδοµένων προσωπικού χαρακτήρα, καθώς και στο πλαίσιο ποινικών διαδικασιών. Γ. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν τα αρχεία στη διάθεση της εποπτικής αρχής, κατόπιν αιτήµατος. 7. Διαδικασία επεξεργασίας δεδοµένων εικόνας και ήχου µέσω κλειστού κυκλώµατος. 8. Έλεγχος των Αδειών Επεξεργασίας Προσωπικών Δεδοµένων (Άδεια Τήρησης Αρχείων Ευαίσθητων Δεδοµένων, Άδεια συστήµατος παρακολούθησης και καταγραφής µε κάµερα κλπ.) 9. Αξιολόγηση των πληροφοριών που περιλαµβάνονται στο Έντυπο και Ηλεκτρονικό Αρχείο, έλεγχος και αξιολόγηση των οργανωτικών, πρακτικών και ηλεκτρονικών µέτρων ασφαλείας Σελίδα12

13 στο Έντυπο και Ηλεκτρονικό Αρχείο, έλεγχος και αξιολόγηση του χρόνου τήρησης των αρχείων αυτών. 10. Data Cleansing/ Ξεκαθάρισµα των τηρούµενων προσωπικών δεδοµένων. ζητηθεί). 11. Εντοπισµός Ελλείψεων και Εκτίµηση βαθµού επικινδυνότητας (γραπτή έκθεση αν 12. Σύνταξη Έκθεσης Συµµόρφωσης προς τον GDPR (Απαιτούµενες αλλαγές). 13. Διασφάλιση συµµόρφωσης των εταιρικών εγγράφων προς τον Κανονισµό: σύνταξη /διαµόρφωση εντύπων ενηµέρωσης και συναίνεσης των πελατών για την επεξεργασία προσωπικών δεδοµένων, έλεγχος συµβάσεων µε συνεργαζόµενες επιχειρήσεις (ασφαλιστικές εταιρίες, ΙΤ κλπ.), διαµόρφωση υφιστάµενων συµβάσεων προς συµµόρφωση µε τον Κανονισµό, σύνταξη συµβάσεων µε νέους όρους περί προστασίας ιδιωτικού απορρήτου, έλεγχος/ διαµόρφωση του κανονισµού εργασίας, σύνταξη εντύπων ενηµέρωσης και συγκατάθεσης των εργαζοµένων της επιχείρησης για την επεξεργασία των προσωπικών δεδοµένων τους (ατοµική ειδοποίηση), σύνταξη κανονισµού χρήσης επικοινωνιακών µέσων και µέσων ηλεκτρονικής επεξεργασίας εργαζοµένων. 14. Σύνταξη νέων/ τροποποίηση υφισταµένων Εγχειριδίων Συµµόρφωσης προς τον GDPR: Πολιτική προστασίας απορρήτου, πολιτική αντιµετώπισης παραβιάσεων του GDPR, πολιτική διαχείρισης του ρίσκου και επικοινωνίας/ διαβουλεύσεων µε την Εποπτική Αρχή. 15. DPIA Report: Εκτίµηση αντικτύπου στην προστασία προσωπικών δεδοµένων. Σύνταξη Έκθεσης Εκτίµησης Αντικτύπου που περιγράφει τη συνολική πολιτική της εταιρίας για την προστασία των προσωπικών δεδοµένων: περιγραφή και αξιολόγηση της προστασίας απορρήτου, αξιολόγηση ενδεχόµενων και υφιστάµενων κινδύνων, µέτρα αντιµετώπισής τους και ετοιµότητα αντίδρασης σε περίπτωση παραβίασης. Αναθεώρηση και επικαιροποίηση DPIA Report. 16. Συνεργασία στο έργο του DPO (Υπευθύνου Προστασίας Δεδοµένων): Γνωµοδότηση σε νοµικά και τεχνικά ζητήµατα συµµόρφωσης στον Κανονισµό, παροχή ενηµερωτικού εκπαιδευτικού υλικού, ενηµέρωση για νοµοθετικές εξελίξεις και εξαγγελίες της Εποπτικής Αρχής. Σελίδα13