Εθνικόν και Καποδιστριακόν Πανεπιστήμιον Αθηνών, Νομική Σχολή Εργαστήριο Νομικής Πληροφορικής Τεχνικά και οργανωτικά θέματα οι υποχρεώσεις των επιχειρήσεων και η τοποθέτηση Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer DPO) 20.4.2018 Δρ. Αλέξανδρος Βαρβέρης avarver@law.uoa.gr
Κι εμένα τι με νοιάζει;
1. Εγρήγορση Τα βήματα Αξιολόγηση του εταιρικού γίγνεσθαι (κατάσταση /κινδύνους / απειλές) Μεταβολές (γνωρίζετε τις επερχόμενες μεταβολές) Σχεδιασμός (πόρους και προσωπικό) 2. Χαρτογράφηση Δεδομένων (ενδελεχής έλεγχος των δεδομένων που διατηρείτε και μεταβιβάζετε) Εφαρμογές (ποια συστήματα επηρεάζονται από τη νέα νομοθεσία;) Διαδικασίες (οι υπάρχουσες διαδικασίες πληρούν τις απαιτήσεις;)
3. Ιεράρχηση Τα βήματα Βεβαιωθείτε ότι συλλέγονται και υπόκεινται σε επεξεργασία μόνο τα δεδομένα που είναι απολύτως απαραίτητα για την επίτευξη των στόχων σας. Προσδιορίστε τη νομική βάση με την οποία προβαίνετε σε επεξεργασία (π.χ. συναίνεση του ατόμου, έννομο συμφέρον, σύμβαση, νομική υποχρέωση). Ελέγξτε τις πληροφορίες σας, ώστε να πληρούν τις απαιτήσεις του Kανονισμού (άρθρα 12, 13 και 14 Κ). Εξασφαλίστε ότι οι υπεργολάβοι σας γνωρίζουν τις νέες υποχρεώσεις και ευθύνες τους. Σχεδιάστε τον τρόπο άσκησης από τα υποκείμενα των δικαιωμάτων τους (δικαίωμα πρόσβασης, διόρθωση, δικαίωμα φορητότητας, δικαίωμα στη λήθη). Ελέγξτε τα μέτρα φυσικής ασφαλείας.
Τα βήματα 4. Ορισμός διαχειριστή ή εταιρικού τμήματος Ποιότητα και αποτελεσματικότητα Μείωση του συνολικού κόστους Υποστήριξη απόφασης Επιχειρηματική ευκινησία Πελατειακή Προσοχή-Φροντίδα
Τα βήματα 5. Υπεύθυνος προστασίας δεδομένων: Ο ΥΠΔ πρέπει να: πληροφορήσει και να συμβουλέψει τον εκτελούντα την επεξεργασία, τον υπεύθυνο επεξεργασίας και ενδεχομένως τον υπεργολάβο και το προσωπικό παρακολουθεί τη συμμόρφωση με τον Κανονισμό και τους εθνικούς νόμους για την προστασία των δεδομένων προσωπικού χαρακτήρα συνεργάζεται με την εθνική ΑΠΔΠΧ και να είναι το σημείο αναφοράς μεταξύ του οργανισμού και της Αρχής επιβλέπει την εφαρμογή των καινούργιων υποχρεώσεων που προκύπτουν από τον Κανονισμό φροντίζει για την ευαισθητοποίηση των υπευθύνων λήψης αποφάσεων σχετικά με τον αντίκτυπο αυτών των νέων κανόνων φροντίζει για τη διενέργεια απογραφής της επεξεργασίας δεδομένων του οργανισμού σας αναπτύσσει δραστηριότητες ευαισθητοποίησης φροντίζει για τη συνεχή συμμόρφωση με τον Κανονισμό
Βασικές έννοιες: Υπεύθυνος «Επεξεργασίας» ή Προστασίας Υπεύθυνος Επεξεργασίας (Controller) o Καθορίζει το σκοπό και τρόπο (μέσων) επεξεργασίας Υπεύθυνος Προστασίας (DPO) o Παρέχει συνδρομή στον Υπεύθυνο Επεξεργασίας ή τον Εκτελούντα την Επεξεργασία (Processor) lli.law.uoa.gr
Ο ρόλος του DPO «συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα που σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα» [38 1] Ενημερώνει, συμβουλεύει & παρακολουθεί συμμόρφωση με GDPR Συμβουλεύει για «εκτίμηση αντικτύπου» & εκτιμά τους κινδύνους Συνεργάζεται με τις Αρχές & ενεργεί ως σημείο επικοινωνίας (contact point) Παρέχει συνδρομή σε ΥΕ & ΕΕ για συμμόρφωση με GDPR και αυτοί παρέχουν: Απαραίτητους πόρους [38 2] & χρόνο για την εκτέλεση καθηκόντων. Υποστήριξη σε τεχνικά & οικονομικά μέσα (υποδομές, εξοπλισμός). Πρόσβαση στα τμήματα της επιχείρησης, π.χ. HR, ΙΤ Συνεχόμενη εκπαίδευση lli.law.uoa.gr
Ένταξη του DPO & προσόντα Δεν λαμβάνει εντολές για την άσκηση των καθηκόντων του, ούτε απολύεται, ούτε υφίσταται κυρώσεις [38 3] Λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο Πρέπει να διασφαλίζεται ότι παρέχει τις υπηρεσίες του με ανεξάρτητο τρόπο ΠΡΟΣΟΝΤΑ «ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων» [37 5] «επίπεδο ανάλογα με τις πράξεις επεξεργασίας και από την προστασία την οποία απαιτούν τα δεδομένα» [αιτ. σκ. 97] «μπορεί να είναι μέλος του προσωπικού του ΥΕ ή του ΕΕ ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών» [37 6] lli.law.uoa.gr
Τα βήματα 6. Διαχείριση κινδύνου Η εκτίμηση αντικτύπου επιτρέπει: να διενεργήσετε επεξεργασία που σέβεται την ιδιωτικότητα, να αξιολογήσετε τις επιπτώσεις των ενεργειών σας στην ιδιωτική ζωή των υποκειμένων, την απόδειξη ότι τηρούνται οι θεμελιώδεις αρχές του Kανονισμού, οποιαδήποτε στιγμή και αν σας ζητηθεί.
Τα βήματα 7. Ανάπτυξη στρατηγικής 8. Συγκατάθεση 9. Παραβιάσεις Εντοπισμός Γνωστοποίηση στην εποπτική αρχή Ανακοίνωση παραβίασης στο υποκείμενο των δεδομένων 10. Τεκμηρίωση - Stress Test
Τερματισμός; Ο νέος Κανονισμός υποστηρίζει διαρκή προσπάθεια εκ μέρους των εταιρειών για προληπτικό έλεγχο της εφαρμογής του Μεταβολή της «νοοτροπίας κουλτούρας» των παραγόντων που επεξεργάζονται προσωπικά δεδομένα