ΒΗΜΑΤΑ€¦ · 2 gdpr ΒΗΜΑΤΑ-editorial ΒΗΜΑΒΗΤ 2018 editorial Είναι...

ΒΗΜΑΤΑ

ΧΟΡΗΓΟΙ

2 ΙΟΎΝΙΟΣ 2018GDPR ΒΗΜΑΤΑ-EDITORIAL

EDITORIAL

Είναι δύσκολο να προβλέψει κανείς σε τι βαθ-μό ο νέος Γενικός Κανονισμός αναφορικά με την Προστασία των Προσωπικών Δεδομένων (GDPR) θα επηρεάσει τους μεσίτες ασφαλίσεων και τη διαμεσολάβηση γενικότερα, καθώς αφε-νός αρκετά σημεία που αναγράφονται σε αυτόν χρήζουν αποσαφηνίσεων και διευκρινίσεων και αφετέρου η οριστική προσαρμογή της αγοράς στα νέα δεδομένα και η πλήρης εφαρμογή των υποχρεώσεων και των διατάξεων που προβλέπο-νται στην καθημερινή λειτουργία των επιχειρή-σεων αναμένεται να πάρουν αρκετό χρόνο από την ημερομηνία εφαρμογής της GDPR, που είναι η 25η Μαΐου του 2018. Πρακτικά, ο αντίκτυπος της GDPR θα διαφέρει από μεσίτη σε μεσίτη και από επιχείρηση σε επιχείρηση, ανάλογα με το μέ-γεθος, την εξειδίκευση και τις υφιστάμενες δομές του κάθε οργανισμού. Οι παράγοντες αυτοί θα επηρεάζουν και θα καθορίζουν το μέγεθος των απαραίτητων μεταρρυθμίσεων και των αλλαγών που θα πρέπει να υιοθετεί η κάθε εταιρία ξεχωρι-στά για την εναρμόνισή της στην GDPR. Ένα σημαντικό μέρος της προσαρμογής στα νέα δεδομένα αφορά και το κομμάτι της εκπαίδευσης όλων των εργαζομένων μιας επιχείρησης, καθώς οι επερχόμενες αλλαγές θα έχουν άμεση επίδρα-ση στην καθημερινότητά τους και στον τρόπο που είχαν μάθει να λειτουργούν και να εργάζο-νται μέχρι σήμερα. Επιπλέον, είναι επίσης πολύ σημαντικό οι μεσίτες να επαναξιολογήσουν γενικότερα το πλαίσιο των διαδικασιών που ακολουθούν αναφορικά με τις πληροφορίες και τα δεδομένα που λαμβάνουν και διαχειρίζονται. Πλέον, είναι υποχρεωτικό να λαμβάνουν συναινέσεις, να ενημερώνουν και να μπορούν ανά πάσα στιγμή να αποδεικνύουν τον τρόπο με τον οποίο δέχονται, διατηρούν,

μοιράζονται και/ή μεταβιβάζουν σημαντικές πλη-ροφορίες που αφορούν πελάτες τους, προμηθευ-τές κ.λπ., καθώς επίσης και τις διαδικασίες που έχουν εφαρμόσει για τη διαφύλαξη των Προσω-πικών Δεδομένων που έχουν στην κατοχή τους.

Τέλος, θα πρέπει επίσης να λάβουμε υπόψη μας ότι οι συνέπειες που προβλέπονται πλέον για τη μη συμμόρφωση και μη τήρηση των όσων καθο-ρίζονται από τον νέο κανονισμό Προστασίας των Προσωπικών Δεδομένων είναι πολύ πιο αυστη-ρές από το υφιστάμενο έως σήμερα νομοθετικό πλαίσιο. Με τα μέγιστα πρόστιμα που θα μπο-ρούν να επιβληθούν να προβλέπονται στο 4% του παγκόσμιου κύκλου εργασιών μίας επιχείρη-σης και έως € 20.000.000 σε απόλυτο ποσό, αντι-λαμβάνεται κανείς ότι η πλήρης εναρμόνιση στην GDPR (και η αποφυγή τέτοιου είδους προστίμων) αποτελεί μονόδρομο για κάθε επιχείρηση που εν-διαφέρεται να διασφαλίσει την κερδοφορία της, τη βιώσιμη ανάπτυξή της, αλλά και την εταιρική της φήμη στο μέλλον.

Εν κατακλείδι, όπως ισχύει πάντα, η διαμόρφωση ενός νέου κανονιστικού πλαισίου ρύθμισης και λειτουργίας μιας αγοράς δεν θα πρέπει απαραί-τητα να εκλαμβάνεται ως απειλή για τις επιχειρή-σεις, αλλά και ως μια ευκαιρία προόδου και προ-σαρμογής στα νέα δεδομένα που διαμορφώνουν και επιβάλλουν οι εξελίξεις στις αγορές, την οικο-νομία και την κοινωνία μας γενικότερα.

Το παρόν εγχειρίδιο που εκπόνησε ο ΣΕΜΑ έχει ενημερωτικό χαρακτήρα και περιγράφει συ-νοπτικά τις βασικές αρχές και τις υποχρεώσεις που προκύπτουν από την εφαρμογή της GDPR, καθώς επίσης και τα πρακτικά βήματα προς την εναρμόνιση και την προσαρμογή των μεσιτών ασφαλίσεων στο νέο κανονιστικό πλαίσιο.

ΓΙΑΝΝΗΣ ΞΗΡΟΓΙΑΝΝΟΠΟΥΛΟΣ

Πρόεδρος ΔΣ του ΣΕΜΑ

3ΙΟΎΝΙΟΣ 2018 GDPR ΒΗΜΑΤΑ-ΡΟΗ ΕΓΧΕΙΡΙΔΙΟΥ

ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR - ΒΑΣΙΚΕΣ ΑΡΧΕΣ BROKERS - ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ - ΔΙΚΑΙΩΜΑΤΑ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ ΟΔΗΓΙΕΣ - ΒΗΜΑΤΑ CHECKLIST

ΡΟΗ ΕΓΧΕΙΡΙΔΙΟΥ

4 ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR – ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΙΟΎΝΙΟΣ 2018

ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR

5ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR – ΒΑΣΙΚΕΣ ΑΡΧΕΣΙΟΎΝΙΟΣ 2018

Τι είναι ο Γενικός Κανονισμός Προστασίας

Δεδομένων (ΓΚΠΔ/GDPR)

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation/GDPR, https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=celex%3A32016R0679) («Κανονισμός») περιλαμβάνει το νέο νομικό πλαίσιο για την προστασία δεδομένων. Δημοσιεύθηκε στις 27 Απριλίου 2016 και τέθηκε σε εφαρμογή από τις 25 Μαΐου 2018. Ο Κανονισμός έχει άμεση εφαρμογή σε όλα τα κράτη-μέλη της Ευρω-παϊκής Ένωσης και δεν χρειάζεται τα τελευταία να ενσωματώσουν τις διατάξεις του στην εθνική νομοθεσία τους. Στην Ελλάδα αναμένεται η ψήφιση νόμου για την προστασία δεδομένων προσωπικού χαρακτή-ρα, το δε νομοσχέδιο είναι δημοσιευμένο στη διεύθυνση http://www.opengov.gr/ministryofjustice/wp-content/uploads/downloads/2018/02/sxedio_nomou_prostasia_pd.pdf.

Με τον νέο νόμο θα καταργηθεί ο ισχύων Νόμος 2472/1997 και θα τεθούν σε ισχύ διατάξεις που συμπληρώνουν τον Κανονισμό και εξει-δικεύουν ορισμένες από τις υποχρεώσεις που θεσπίζει ο Κανονισμός.

Τι είναι προσωπικά δεδομένα;

Σύμφωνα με τη νομοθεσία, προσωπικά δεδομένα είναι κάθε άμεση πλη-ροφορία σχετική με ένα φυσικό πρόσωπο, εφόσον αυτό το φυσικό πρό-σωπο ταυτοποιείται ή μπορεί να ταυτοποιηθεί (δηλαδή ακόμη και εάν δεν προσδιορίζεται ποιο είναι το πρόσωπο που αφορά η πληροφορία, αλλά αυτό μπορεί να συναχθεί έμμεσα συνδυάζοντας άλλες πληροφο-ρίες). Ο νέος Κανονισμός διευρύνει τη διαδικασία και στην έμμεση πλη-ροφόρηση.

Γιατί είναι σημαντική η προστασία

των προσωπικών δεδομένων;

Η προστασία των προσωπικών δεδομένων είναι σημαντική διότι εξισορ-ροπεί το δικαίωμα των ατόμων στην ιδιωτικότητα και την ανάγκη των οργανισμών και των επαγγελματιών να επεξεργάζονται δεδομένα για επαγγελματικούς σκοπούς. Αφενός τα άτομα πρέπει να απολαύουν του δικαιώματος στην ιδιωτικότητα στον βαθμό που επιθυμούν και σε κάθε περίπτωση να έχουν τον έλεγχο των δεδομένων τους και να γνωρίζουν ποιοι τα επεξεργάζονται και για ποιο σκοπό. Αφετέρου οι οργανισμοί και οι επαγγελματίες πρέπει να χρησιμοποιούν προσωπικά δεδομένα υπό τις προϋποθέσεις της νομοθεσίας για να ασκούν την επαγγελματική τους δραστηριότητα, να παρέχουν τις υπηρεσίες τους, να συμμορφώνονται με τις υποχρεώσεις τους και να εξυπηρετούν τα συμφέροντά τους.

Τι σημαίνει παραβίαση δεδομένων

προσωπικού χαρακτήρα;

Παραβίαση δεδομένων προσωπικού χαρακτήρα συντελείται όταν υπάρχει παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη

καταστροφή, απώλεια, μεταβολή, χωρίς άδεια, γνωστοποίηση ή πρό-σβαση δεδομένων προσωπικού χαρακτήρα που αποτέλεσαν αντικεί-μενο επεξεργασίας. Η ασφάλεια των ειδικών κατηγοριών δεδομένων, στα οποία περιλαμβάνονται, είναι μέγιστης σημασίας για τα συμφέρο-ντα των υποκειμένων.

Επομένως, είναι σημαντικό να λαμβάνεται υπόψη ότι η προστασία των δεδομένων δεν αφορά μόνο την προστασία της εμπιστευτικότητάς τους (αποτροπή διαρροής), αλλά και της ακεραιότητάς τους (αποτρο-πή της αλλοίωσής τους) και της διαθεσιμότητάς τους (αποτροπή απώ-λειας). Ο τύπος παραβίασης (που έχει συμβεί) θα πρέπει να λαμβάνεται υπόψη για να προσδιοριστεί η έκταση του κινδύνου που προκαλείται από αυτήν την παραβίαση.

Ενδεικτικά παραδείγματα παραβίασης: Στοχευμένη έκθεση ή παράπλευρη απώλεια Απώλεια ηλεκτρονικών δεδομένων με αρχεία προσωπικών δεδομένων Διασφάλιση server Διασφάλιση φυσικών αρχείων και χώρων

Τι σημαίνει «επεξεργασία προσωπικών

δεδομένων»;

Σύμφωνα με τη νομοθεσία για την προστασία προσωπικών δε-δομένων, επεξεργασία προσωπικών δεδομένων σημαίνει γε-νικά κάθε πράξη ή σειρά πράξεων που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα με ή χωρίς τη χρήση αυτομα-τοποιημένων μέσων. Τέτοιες πράξεις μπορεί να περιλαμβάνουν τη συλλογή, την καταχώριση, την οργάνωση, τη διάρθρωση, την απο-θήκευση, την προσαρμογή ή τη μεταβολή, την ανάκτηση, την ανα-ζήτηση πληροφοριών, τη χρήση, την κοινοποίηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, τη συσχέτιση ή τον συνδυα-σμό, τον περιορισμό, τη διαγραφή ή την καταστροφή δεδομένων.

ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR – ΒΑΣΙΚΕΣ ΑΡΧΕΣ

ΙΟΎΝΙΟΣ 20186 ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR – ΒΑΣΙΚΕΣ ΑΡΧΕΣ


Επομένως, όταν τηρείται ένα αρχείο, ακόμη και εάν δεν γίνεται χρήση των δεδομένων που περιλαμβάνονται σε αυτό, πρόκειται για «επεξερ-γασία δεδομένων» καθώς η τήρηση του αρχείου προϋποθέτει καταχώ-ριση, οργάνωση και αποθήκευση των δεδομένων.

Ποιες είναι οι γενικές αρχές που διέπουν

την επεξεργασία προσωπικών δεδομένων;

Οι μεσίτες ασφαλίσεων πρέπει να διασφαλίσουν ότι η επεξεργασία των προσωπικών δεδομένων συμμορφώνεται με τις έξι ακόλουθες γενικές αρχές που ορίζονται από τη νομοθεσία προστασίας των προσωπικών δεδομένων:

Νομιμότητα, δικαιοσύνη και διαφάνεια - Τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε νόμιμη, δίκαιη και διαφανή επεξεργασία.

Περιορισμός του σκοπού - Τα δεδομένα προσωπικού χαρακτήρα πρέπει να συλλέγονται για συγκεκριμένους, σαφείς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο ασυμβίβαστο προς τους σκοπούς αυτούς (με εξαιρέσεις για δημόσιο συμφέρον, έννομο συμφέρον, διεκδίκηση αξιώσεων, εκ-κρεμοδικία, ιστορικούς ή στατιστικούς σκοπούς).

Ελαχιστοποίηση δεδομένων - Τα δεδομένα προσωπικού χαρακτή-ρα πρέπει να είναι επαρκή, συναφή και να περιορίζονται σε όσα είναι απαραίτητα σε σχέση με τους σκοπούς για τους οποίους υπο-βάλλονται σε επεξεργασία.

Ακρίβεια / ποιότητα δεδομένων - Τα δεδομένα προσωπικού χαρα-κτήρα πρέπει να είναι ακριβή και, όπου χρειάζεται, να επικαιροποι-ούνται. Ανακριβή προσωπικά δεδομένα θα πρέπει να διαγράφο-νται ή να διορθώνονται χωρίς καθυστέρηση.

Διατήρηση - Τα δεδομένα προσωπικού χαρακτήρα πρέπει να φυ-λάσσονται σε αναγνωρίσιμη μορφή για όχι περισσότερο από ό,τι είναι απαραίτητο (με εξαιρέσεις για δημόσιο συμφέρον, έννομο συμφέρον, διεκδίκηση αξιώσεων, εκκρεμοδικία, ιστορικούς ή στα-τιστικούς σκοπούς).

Ακεραιότητα και εμπιστευτικότητα - Τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που να δια-σφαλίζει την κατάλληλη ασφάλεια των προσωπικών δεδομένων, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και κατά τυχαίας καταστροφής ή ζημίας, χρησιμοποιώντας κατάλληλα τεχνικά ή οργανωτικά μέτρα.

Ποιος είναι ο Υπεύθυνος της Επεξεργασίας;

Ο Υπεύθυνος της Επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο το οποίο καθορίζει, μεμονωμένα ή μαζί με άλλους, τους σκοπούς και τα μέσα της επεξεργασίας προσωπικών δεδομένων της εταιρίας.

Ποιος είναι ο Εκτελών την Επεξεργασία;

Ο Εκτελών την Επεξεργασία είναι ένα φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Υπεύθυνου Επεξεργασίας. Ενδεικτικά, εκτελούντες την επεξεργα-σία μπορεί να είναι εξωτερικοί συνεργάτες που παρέχουν υπηρεσίες/συστήματα πληροφορικής που χρησιμοποιούνται για τη διαβίβαση ή αποθήκευση προσωπικών δεδομένων.

Ποιος είναι ο Υπεύθυνος Προστασίας

Δεδομένων (ΥΠΔ/DPO);

Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) ορίζεται και αναφέρεται στη διοίκηση της εταιρίας και είναι αρμόδιος να επιβλέπει την εφαρ-μογή της στρατηγικής και των πολιτικών για την προστασία των δε-δομένων ώστε να διασφαλίζεται η συμμόρφωση με την ισχύουσα νο-μοθεσία για την προστασία των προσωπικών δεδομένων. Αποτελεί δε το σημείο επαφής με την ανεξάρτητη αρχή προστασίας προσωπικών δεδομένων.

Ποια δεδομένα αποτελούν «ειδικές κατηγορίες δεδομένων»;

Η επεξεργασία ορισμένων κατηγοριών προσωπικών δεδομένων μπορεί να έχει σημαντικό αντίκτυπο στα δικαιώματα των ατόμων στην ιδιωτικότητα και, άρα, πρέπει να προστατεύονται με αυξημέ-να μέτρα ασφάλειας σε σχέση με άλλες κατηγορίες προσωπικών δεδομένων:1. Φυλετική ή εθνοτική καταγωγή2. Πολιτικά φρονήματα3. Ακαδημαϊκά πτυχία – επίπεδο μόρφωσης4. Θρησκευτικές πεποιθήσεις5. Γενετικά ή βιομετρικά δεδομένα6. Υγεία και σεξουαλική ζωή7. Οικονομικά στοιχεία8. Διαδικτυακά στοιχεία π.χ. IP addresses, cookies κ.λπ.9. Οικογενειακή κατάσταση ή / και συνήθειες 10. ΕργασίαΓια δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα επεξεργασία διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής ή υπό την προϋπόθεση ότι η νομο-θεσία προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων (η διαδικασία θα προβλεφθεί σε ειδικό νόμο).

7ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR – ΒΑΣΙΚΕΣ ΑΡΧΕΣΙΟΎΝΙΟΣ 2018

Επομένως, δεν μπορούν να ζητούνται αδιακρίτως ποινικά μητρώα συ-νεργατών ή εργαζομένων, παρά μόνο υπό προϋποθέσεις και συγκεκρι-μένους σκοπούς. Θα πρέπει να δοθεί ιδιαίτερη προσοχή στο γεγονός ότι η νομική βάση της επεξεργασίας των ειδικών κατηγοριών δεδομέ-νων διαφέρει από τη νομική βάση των μη ειδικών κατηγοριών.

Πότε επιτρέπεται η επεξεργασία ειδικών

κατηγοριών δεδομένων;

Η επεξεργασία ειδικών κατηγοριών δεδομένων επιτρέπεται υπό την προϋπόθεση ότι η επεξεργασία γίνεται με ρητή συγκατάθεση του υπο-κειμένου.

Ποιο είναι το Υποκείμενο των Δεδομένων;

Το Υποκείμενο των Δεδομένων είναι το φυσικό πρόσωπο το οποίο ταυτοποιείται ή μπορεί να ταυτοποιηθεί και στο οποίο αναφέρονται τα προσωπικά δεδομένα που υπόκεινται σε επεξεργασία.

Υποκείμενα των Δεδομένων μπορεί να είναι οι πελάτες μας, των οποί-ων τα στοιχεία επεξεργαζόμαστε εμείς ή η ασφαλιστική εταιρία, οι εργαζόμενοι, οι συνεργάτες και γενικώς κάθε φυσικό πρόσωπο. Τα νομικά πρόσωπα, δηλαδή οι εταιρείες ή άλλοι φορείς, δεν αποτελούν «υποκείμενα δεδομένων» και δεν υπάγονται στη νομοθεσία περί προ-στασίας προσωπικών δεδομένων.

Ποια είναι τα δικαιώματα του Υποκειμένου των

Δεδομένων στο πλαίσιο της GDPR;

Το Υποκείμενο των Δεδομένων έχει τα ακόλουθα δικαιώματα σύμφωνα με το νομικό πλαίσιο ΓΚΠΔ:

Δικαίωμα πρόσβασης - Δικαίωμα να λαμβάνει πληροφορί-ες για το εάν γίνεται επεξεργασία δεδομένων και δικαίωμα πρόσβασης σε αυτά. Δικαίωμα ενημέρωσης σχετικά με την επεξεργασία αυτή (ποιος, για ποιο σκοπό, παραλήπτες, περί-οδος διατήρησης κ.λπ.).

Δικαίωμα στη διόρθωση - Δικαίωμα διόρθωσης ανακριβών προσωπικών δεδομένων και συμπλήρωσης ελλιπών πληρο-φοριών.

Δικαίωμα διαγραφής (Δικαίωμα στη λήθη) - Δικαίωμα να ζη-τείται η διαγραφή οποιωνδήποτε δεδομένων που αφορούν το υποκείμενο υπό ορισμένες προϋποθέσεις (δεδομένα που δεν είναι πλέον απαραίτητα, ανάκληση συγκατάθεσης, δεδο-μένα που έχουν υποβληθεί σε παράνομη επεξεργασία).

Δικαίωμα Περιορισμού της Επεξεργασίας - όταν αμφισβητεί-ται η ακρίβεια των δεδομένων, η επεξεργασία είναι παράνο-μη, τα δεδομένα δεν χρειάζονται πλέον στον Υπεύθυνο Επε-ξεργασίας, το Υποκείμενο των Δεδομένων έχει αντιταχθεί στην αυτοματοποιημένη επεξεργασία.

Δικαίωμα στη φορητότητα των δεδομένων - Δικαίωμα αί-τησης διαβίβασης δεδομένων προσωπικού χαρακτήρα σε άλλον Υπεύθυνο Επεξεργασίας σε δομημένη, ευρέως χρησι-μοποιούμενη και μηχανικά αναγνώσιμη μορφή.

Δικαίωμα ενημέρωσης κατά την αυτοματοποιημένη επε-ξεργασία δεδομένων προσωπικού χαρακτήρα και διατύπω-

σης αντιρρήσεων όταν η απόφαση βασίζεται απο-κλειστικά σε αυτοματοποιημένη επεξεργασία,

συμπεριλαμβανομένης της κατάρτισης προ-φίλ, και η απόφαση αυτή παράγει έννομα

αποτελέσματα ή επηρεάζει σημαντικά το υποκείμενο των δεδομένων. Δι-

καίωμα να ζητείται η ανθρώπινη παρέμβαση στην επεξεργασία

δεδομένων προσωπικού χα-ρακτήρα.


8 ΙΟΎΝΙΟΣ 2018ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ

ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ

9ΙΟΎΝΙΟΣ 2018 ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ

ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ - ΔΙΚΑΙΩΜΑΤΑ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ

Δικαίωμα στην ενημέρωση

Αναδεικνύει την ανάγκη της απόλυτης διαφάνειας επί της δίκαιης επεξεργασίας ή χρήσης των δεδομένων.

Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;Πρώτον: Σημείωμα εμπιστευτικότητας με πελάτη ή τροποποίηση υπάρχοντος, που θα συμπεριλαμβάνει τα εξής :1. Την πλήρη ονομασία και τα στοιχεία επικοινωνίας μου, καθώς και

άλλων θυγατρικών μου ή φορέων που θα επεξεργάζονται τα δε-δομένα.

2. Τον σκοπό της φύλαξης-επεξεργασίας, καθώς και αναφορά στο σχετικό νομικό πλαίσιο.

3. Αναφορά στο έννομο συμφέρον του data controller ή του εκτε-λούντος την επεξεργασία των δεδομένων.

4. Σαφή αναφορά στα δικαιώματα του υποκειμένου βάσει της GDPR (έγινε αναφορά στις ερωτήσεις – απαντήσεις γενικού περιεχομέ-νου), συμπεριλαμβανομένου του δικαιώματος απόσυρσης της αρχικής συγκατάθεσης.

Δικαίωμα πρόσβασης στα δεδομένα

Αποκτά πλέον ο πελάτης απόλυτο δικαίωμα πρόσβασης στα υπό φύλαξη-χρήση-επεξεργασία δεδομένα του. Δικαιούται να ζητήσει:● Απόδειξη ότι τα δεδομένα του τελούν υπό επεξεργασία.● Πρόσβαση στα δεδομένα του. ● Οποιαδήποτε άλλη πληροφορία που πρέπει να αναφέρεται

στο σημείωμα εμπιστευτικότητας\συναίνεσης.

Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;Βάσει της GDPR αυτή η πληροφόρηση πρέπει να παρέχεται στον πε-λάτη χωρίς χρέωση, χωρίς καθυστέρηση και με χρονικό περιθώριο τον ένα μήνα το αργότερο. Σε ειδικές περιπτώσεις, που το αίτημα είναι αδικαιολογήτως εκτενές ή πολύ συχνά επαναλαμβανόμενο, μπορεί να υπάρχει λογική χρέωση από τον μεσίτη για αυτήν την υπηρεσία.

Ο νόμος πλέον ορίζει ότι η πληροφο-ρία αυτή θα πρέπει να επικοινωνείται στον πελάτη σε συνηθισμένη ηλεκτρο-νική μορφή. Ως εκ τούτου ο μεσίτης θα πρέπει να φροντίζει η μορφή των αρ-χείων που χρησιμοποιεί (file formatting) να έχει συνέχεια, ιδιαιτέρως αν λάβουμε υπόψη ότι ένα τέτοιο αίτημα μπορεί να έρ-θει μετά από αρκετά χρόνια (χρονοβόρο και δαπανηρό).

Δικαίωμα στη διόρθωση ανακριβών ή ελλιπών

στοιχείων

Το δικαίωμα αυτό αντικατοπτρίζει το ήδη υπάρχον δικαίωμα, αλλά τώρα ρητά συσχετίζεται και με την επεξεργασία των προ-σωπικών δεδομένων.

Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;Σε αυτήν την περίπτωση, κατ’ εντολή του πελάτη για αλλαγή των στοιχείων, είναι ευθύνη του μεσίτη να ενημερώσει όλα τα εμπλεκόμε-να τρίτα μέρη, π.χ. ασφαλιστική εταιρία, περί των αλλαγών. Δεύτερον, να ενημερώσει τον πελάτη για το ποια είναι αυτά τα εμπλεκόμενα τρί-τα μέρη που χρειάζεται να ενημερωθούν για την αλλαγή.

Δικαίωμα διαγραφής (Δικαίωμα στη λήθη)

Δικαίωμα να ζητείται η διαγραφή οποιωνδήποτε δεδομένων που αφορούν το / τα υποκείμενα υπό ορισμένες προϋποθέσεις (δεδο-μένα που δεν είναι πλέον απαραίτητα, ανάκληση συγκατάθεσης, δεδομένα που έχουν υποβληθεί σε παράνομη επεξεργασία).

Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;Το δικαίωμα διαγραφής δεν συνεπάγεται πάντοτε το δικαίωμα απόλυ-της διαγραφής, δεδομένου του ότι κάποια στοιχεία μπορεί να απαιτεί-ται να παραμείνουν σε μορφή αρχείου, καθώς μπορεί να επηρεάζουν την απόδοση ενός ασφαλιστηρίου συμβολαίου, ακόμα και μετά τη λήξη του, π.χ. αστική ευθύνη σε loss occurrence. Ο μεσίτης διατηρεί το δικαίωμα άρνησης της διαγραφής όταν μπορεί τεκμηριωμένα να αποδείξει την ανάγκη ολικής ή μερικής διατήρησης των δεδομένων. Επίσης, υπάρχουν ειδικές προδιαγραφές σχετικά με την παραγγελία δι-αγραφής προσωπικών δεδομένων που αφορούν παιδιά.

ΙΟΥΝΙΟΣ 2018

Πότε επιβάλλεται η διαγραφή δεδομένων;● Όταν τα προσωπικά δεδομένα δεν είναι πλέον αποδεδειγμένα

χρήσιμα για τον σκοπό που είχαν αρχικώς συλλεχθεί. ● Όταν ο πελάτης αποσύρει τη συγκατάθεσή του εγγράφως.● Όταν ο πελάτης ενίσταται στη συνέχιση της διαδικασίας επεξεργα-

σίας ή φύλαξης, και δεν υπάρχει ισχυρό έννομο συμφέρον για την απόκρουση αυτού.

● Όταν η επεξεργασία των δεδομένων αποδεδειγμένα δεν έγινε με σύννομο τρόπο (GDPR breach).

● Όταν τα προσωπικά δεδομένα πρέπει να διαγραφούν ώστε να επι-τευχθεί μια νομική υποχρέωση (π.χ. εισαγγελική παραγγελία, υπό προϋποθέσεις που ο εισαγγελέας ορίζει).

Δικαίωμα περιορισμού της επεξεργασίας

Το δικαίωμα ασκείται όταν αμφισβητείται η ακρίβεια των δεδομένων, η επεξεργασία είναι παράνομη, τα δεδομένα δεν χρειάζονται πλέον στον Υπεύθυνο Επεξεργασίας, το Υποκείμενο των Δεδομένων έχει αντιταχθεί στην αυτοματοποιημένη επεξεργασία.

Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;Αυτό σημαίνει ότι εάν ο μεσίτης έχει το δικαίωμα να τηρεί προσωπικά δεδομένα, αλλά του στερηθεί το δικαίωμα επεξεργασίας της πληρο-φορίας, πρακτικά δεν θα μπορεί να χειριστεί την εξυπηρέτηση του ασφαλιστηρίου, άρα δεν θα έχει και ουσιαστικό ρόλο, πλέον!

Δικαίωμα στη φορητότητα των δεδομένων

Δικαίωμα έγγραφης αίτησης διαβίβασης δεδομένων προσωπι-κού χαρακτήρα σε άλλον Υπεύθυνο Επεξεργασίας σε δομημένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή.

Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;Το δικαίωμα αυτό θα αφορά περισσότερο μεσίτες οι οποίοι θα χρη-σιμοποιούν δεδομένα από συσκευές τηλεματικής ή άλλες αυτοματο-ποιημένες συσκευές.

Δικαίωμα ενημέρωσης κατά την

αυτοματοποιημένη επεξεργασία δεδομένων

προσωπικού χαρακτήρα και διατύπωση

αντιρρήσεων

Όταν η απόφαση βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, (π.χ. Direct marketing-profiling) και η απόφαση αυτή παράγει έν-νομα αποτελέσματα ή επηρεάζει σημαντικά το υποκείμενο των δεδομένων. Δικαίωμα να ζητείται η ανθρώπινη παρέμβαση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;Ο μεσίτης θα πρέπει να διασφαλίζει πάντοτε κατόπιν αυτοματοποι-

ημένης επεξεργασίας δεδομένων ή περισσότερο όταν πρόκειται για απόφαση που να απορρέει από τη διαδικασία αυτή, ότι δίνει όλο το έδαφος στον πελάτη να αναπτύξει ανθρώπινη παρέμβαση, δηλαδή να εξηγήσει τη θέση του, να διαφωνήσει ή να προσβάλει την εν λόγω απόφαση.

Δικαίωμα στην επεξεργασία δημιουργίας προφίλ

H GDPR χαρακτηρίζει τη δημιουργία προφίλ (profiling) ως την αυ-τοματοποιημένη μέθοδο που αποσκοπεί στην αξιολόγηση συγκε-κριμένων προσωπικών πληροφοριών, που μπορεί να σχετίζονται άμεσα ή έμμεσα με την: ● Απόδοση στην εργασία● Οικονομική κατάσταση● Υγεία● Προσωπικές συνήθειες● Συμπεριφορά ● Εγκυρότητα χαρακτήρα● Τοποθεσία – διαμονή● Κίνηση

Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;Οι μεσίτες που επεξεργάζονται δεδομένα με σκοπό τη δημιουργία προφίλ θα πρέπει να διασφαλίζουν τα εξής:● Ότι η εν λόγω επεξεργασία θα πρέπει να είναι ακέραιη και για το

συγκεκριμένο σκοπό.● Να παρέχουν ενημέρωση στον πελάτη για τη λογική αυτής, τη ση-

μαντικότητά της, καθώς και τις προβλεπόμενες πιθανές συνέπειες από τη χρήση της.

● Τη χρήση επιστημονικών μεθόδων για τη δημιουργία προφίλ, όπως αναγνωρισμένα μαθηματικά ή στατιστικά εργαλεία, που θα διασφαλίζουν την ελαχιστοποίηση λαθών, καθώς και τη γρήγορη και αποτελεσματική διόρθωση τυχών ανακριβειών.

Πώς λαμβάνεται και αποδεικνύεται η

συγκατάθεση / συναίνεση που απαιτεί η GDPR

προ της εκδόσεως ασφαλιστηρίου συμβολαίου;

Σύμφωνα με την απαίτηση της GDPR, για την επεξεργασία των προσωπικών δεδομένων απαιτείται η συγκατάθεση του υποκειμέ-νου και αυτή θα πρέπει να εκδηλώνεται με ξεχωριστή σαφή θετική ενέργεια ή δήλωση. Συνεπώς, η σιωπηρή απραξία του πελάτη και τα προσυμπληρωμένα εικονίδια δεν θα αρκούν για την απόκτηση και την απόδειξη έγκυρης συγκατάθεσης του υποκειμένου.

Παράδειγμα έγκυρης συγκατάθεσης αποτελεί η υπογραφή του πελά-τη στην αίτηση ασφάλισης που συμπληρώνει για την έκδοση ασφα-λιστηρίου συμβολαίου, όπου όμως θα πρέπει να του γνωστοποιείται με σαφή και διακριτό τρόπο για ποιο είδος επεξεργασίας απαιτείται η συγκατάθεσή του. Το ίδιο θα ισχύει και για τις ηλεκτρονικές αιτήσεις ασφάλισης, όπου ως σαφής θετική συγκατάθεση θα εκλαμβάνεται π.χ. η συμπλήρωση ειδικών εικονιδίων από τον πελάτη.


10 ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ

11ΙΟΎΝΙΟΣ 2018 ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ

Σε περίπτωση παραβίασης των προσωπικών

δεδομένων από βάσεις ή αρχεία της

επιχείρησής σας, ποιες είναι

οι υποχρεώσεις;

Σε περίπτωση απώλειας, μεταβολής, ή άνευ αδείας διαρροής έντυ-πων ή/και ηλεκτρονικών προσωπικών πληροφοριών (π.χ. απώλεια επιστολής ταχυδρομείου, κλοπή ηλεκτρονικού υπολογιστή ή/και μαγνητικών μέσων αποθήκευσης όπως εξωτερικού σκληρού δί-σκου, USB, CD, κτλ, επίθεση κακόβουλου χρήστη «hacker» ο οποίος παραβίασε τον υπολογιστή και έκλεψε αρχείο με προσωπικά δεδο-μένα), όπως και σε περιπτώσεις μη εξουσιοδοτημένης πρόσβασης (χρήστη ή τρίτου) σε προσωπικά δεδομένα ή τυχαίας/παράνομης καταστροφής τους, υπάρχει υποχρέωση, από την 25η Μαΐου 2018, να κοινοποιείται η παραβίαση προς την ασφαλιστική εταιρία και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εάν λει-τουργείτε ως υπεύθυνος προστασίας) εντός 72 ωρών από τη στιγμή που αντιληφθήκατε το συμβάν και αφού αξιολογήσετε τον κίνδυνο που ενέχει η διαρροή αυτή. Επίσης εντός του ίδιου χρόνου θα πρέπει να ενημερώνεται και το υποκείμενο για το θέμα αυτό.

Ορισμός DPO ( Data Protection Officer)

Εάν ο μεσίτης δεν έχει ορίσει ήδη DPO, τώρα είναι η στιγμή που θα πρέπει να το κάνει. Παρ’ όλα αυτά, εάν ο μεσίτης είναι μικρή οντότητα, ίσως να μη χρειαστεί έναν επίσημα ορισμένο DPO, αλλά κάποιον από την επιχείρησή του που θα έχει λάβει την απαραίτητη εκπαίδευση/γνώση, και θα μπορεί να αναλάβει τον ρόλο του υπεύ-θυνου της διαφύλαξης και συμμόρφωσης με τον νόμο επί των προ-σωπικών δεδομένων, σε θέματα τόσο οργάνωσης όσο και διαφύ-λαξης των πληροφοριών. Επίσης, η συγκεκριμένη ευθύνη μπορεί να ανατεθεί σε εξωτερικό σύμβουλο.

Πότε είναι επιβεβλημένος ο ορισμός επίσημου

DPO σε έναν μεσίτη;

● Όταν η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα.● Όταν ο μεσίτης πραγματοποιεί τακτική και συστηματική παρα-

κολούθηση του υποκειμένου σε μεγάλη κλίμακα.● Όταν οι βασικές δραστηριότητες του μεσίτη συνιστούν μεγάλης

κλίμακας επεξεργασία ευαίσθητων προσωπικών δεδομένων.


ΙΟΎΝΙΟΣ 201812 ΠΡΑΚΤΙΚΕΣ ΟΔΗΓΙΕΣ-ΒΗΜΑΤΑ

ΠΡΑΚΤΙΚΕΣ ΟΔΗΓΙΕΣ - ΒΗΜΑΤΑ

13ΙΟΎΝΙΟΣ 2018 ΠΡΑΚΤΙΚΕΣ ΟΔΗΓΙΕΣ-ΒΗΜΑΤΑ

Αντίληψη-Επίγνωση

Οι μεσίτες θα πρέπει να διασφαλίσουν ότι οι άνθρωποι-κλειδιά των γραφείων τους είναι ενήμεροι ότι ο νόμος άλλαξε, και ποιες είναι οι επιπτώσεις-αλλαγές στην εργασιακή καθημερινότητα των ιδίων, αλλά και των ομάδων τους.

Προετοιμασία

Κατά τη φάση αυτή θα πρέπει να γίνουν συναντήσεις – συνεντεύξεις με όλα τα τμήματα-θέσεις εργασίας της επιχείρησης, κατά τις οποίες θα συλλέγονται πληροφορίες σχετικά με τη χαρτογράφηση των δεδο-μένων, καθώς και επαναπροσδιορισμός των αρμοδιοτήτων (job description). Συνιστάται επίσης δημι-ουργία ενός διαγράμματος ροής λειτουργιών. Η προετοιμασία θα ολοκληρώνεται με σχετικό έλεγχο των υφιστάμενων συμβάσεων, διαδικασιών, εντύπων συναίνεσης, τυχόν υπάρχουσας πολιτικής απορρήτου και λοιπών πολιτικών της επιχείρησης, π.χ. εμπορικός κανονισμός.

Υλοποίηση ενεργειών συμμόρφωσης

Εδώ πρέπει να υλοποιηθούν οι ενέργειες που απαιτούνται προκειμένου να αρθούν οι αποκλίσεις συμ-μόρφωσης που έχουν εντοπιστεί στo στάδιο της προετοιμασίας ( Gap analysis ), όπως :● Σύνταξη συμβατικών όρων και εγγράφων που θα πρέπει να ενταχθούν σε υφιστάμενες συμβάσεις. ● Διαμόρφωση υποδειγμάτων όρων και εγγράφων για μελλοντικές συμβάσεις. ● Κατάρτιση υφιστάμενων πολιτικών και διαδικασιών, όπως π.χ. έντυπο συναίνεσης.● Αναβάθμιση ηλεκτρονικών λειτουργικών συστημάτων, όπου χρειάζεται. ● Έντυπα Συγκατάθεσης, Εμπιστευτικότητας κλπ.

Εκπαίδευση

Η διοίκηση, καθώς και οι άνθρωποι-κλειδιά της μεσιτικής επιχείρησης θα πρέπει να διασφαλίσουν επαρ-κή εκπαίδευση στο προσωπικό τους, αλλά και στους ίδιους, σχετικά με τις αλλαγές που επέρχονται στις εργασιακές συνήθειες. Συνιστάται εκπαιδευτικός κύκλος ενημέρωσης από σύμβουλο ή καταρτισμένο υπεύθυνο κανονιστικής συμμόρφωσης.

Εκπόνηση εγχειριδίου-οδηγού

Συνιστάται, ώστε να υπάρχει σημείο αναφοράς, καθώς και αποτύπωση των αποφάσεων και του σχετικού πρωτοκόλλου της επιχείρησης.

ΙΟΥΝΙΟΣ 201814 GDPR CHECKLIST

ΒΗΜΑ 1: ΕΠΙΓΝΩΣΗ-ΑΝΤΙΛΗΨΗΕπιβεβαίωσε ότι όλα τα κέντρα αποφάσεων της επιχείρησής σου έχουν επίγνωση ότι ο νόμος άλλαξε. Θα πρέπει να αντιληφθούν τι αλλαγές επιφέρει η GDPR.

ΝΑΙ ΟΧΙ Σημειώσεις

Είναι όλοι ενήμεροι ότι η GDPR θα μας αναγκάσει σε υποχρεωτικές αλλαγές της εργασιακής καθημερινότητας;

Γνωρίζουν πώς αυτές θα επηρεάσουν τη λειτουργία της επιχείρησής σου;

Γνωρίζουν τα βασικά στοιχεία - άξονες της οδηγίας;

Έχουν κάποιο πλάνο - πρόταση για το πώς να ενσωματώσουν καλύτερα τον νέο νόμο στην εργασία τους;

ΒΗΜΑ 2: ΤΙ ΔΕΔΟΜΕΝΑ ΤΗΡΩΚατάγραψε τα δεδομένα που τηρείς, από πού προήλθαν και με ποιους μοιράζεσαι την πληροφορία αυτή.


Κατέγραψες τι προσωπικά δεδομένα φυλάς και επεξεργάζεσαι;

Κατέγραψες από πού προήλθαν;

Κατέγραψες με ποιον ή ποιους τα μοιράζεσαι;

Δημιούργησες μια φόρμα-δομή εσωτερικού ελέγχου για τα δεδομένα;

ΒΗΜΑ 3: ΕΠΙΚΟΙΝΩΝΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝΈλεγξε τυχόν υπάρχοντα έντυπα εμπιστευτικότητας και προετοίμασε ένα σχέδιο για τις αλλαγές που θα πρέπει να κάνεις.


Έλεγξες τα υπάρχοντα έντυπα εμπιστευτικότητας;

Προετοίμασες ένα σχέδιο περί των αλλαγών;

Γνωρίζεις πλέον όλες τις απαραίτητες αλλαγές που πρέπει να γίνουν;

ΒΗΜΑ 4: ΑΤΟΜΙΚΑ ΔΙΚΑΙΩΜΑΤΑ Έλεγξε τις διαδικασίες σου και διασφάλισε ότι καλύπτουν τα ατομικά δικαιώματα, όπως διαγραφή ή αποστολή δεδο-μένων σε ηλεκτρονική μορφή.


Οι διαδικασίες καλύπτουν όλα τα ατομικά δικαιώματα του υποκειμένου βάσει της GDPR;

Έχεις προβλέψει διαδικασία ώστε να μπορείς κατ’εντολή να διαγράψεις δεδομένα;

Τα συστήματά σου μπορούν να εντοπίσουν κατ’εντολή δεδομένα και να τα διαγράψουν;

Ξέρεις ποιος θα πάρει την τελική απόφαση για διαγραφή δεδομένων στην επιχείρησή σου;

Τα συστήματά σου έχουν τη δυνατότητα να δώσουν πρόσβαση στα δεδομένα σε απλή και παρουσιάσιμη μορφή;

ΒΗΜΑ 5: AITHMATA ΥΠΟΚΕΙΜΕΝΗΣ ΠΡΟΣΒΑΣΗΣ ΣΕ ΔΕΔΟΜΕΝΑ Αναβάθμισε τις διαδικασίες σου και σχεδίασε πώς θα χειρίζεσαι τέτοια αιτήματα μέσα στα νέα ορισμένα χρονικά περι-θώρια.


Έχεις κάνει αναβάθμιση των διαδικασιών του γραφείου σου να χειριστείς αιτήματα διαγραφής-πρόσβασης-αλλαγών;

Θα μπορέσεις να ανταποκριθείς εντός 30 ημερών σε αιτήματα που απορρέουν από τα δικαιώματα στην πληροφορία;

Είσαι έτοιμος να αρνηθείς ένα τέτοιο αίτημα, που βεβαίως θα συμπεριλαμβάνει και την κατάλληλη αιτιολόγηση και θα ενημερώνει το υποκείμενο για το δικαίωμα προσφυγής του στην εποπτική αρχή ή σε διαιτησία;

Είσαι έτοιμος να παράξεις περισσότερη σχετική πληροφορία, εάν κι εφόσον σου ζητηθεί;

CHECKLIST

ΙΟΥΝΙΟΣ 2018 15GDPR CHECKLIST

ΒΗΜΑ 6: ΑΝΑΓΝΩΡΙΣΗ ΝΟΜΙΜΟΤΗΤΑΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝΑναγνώρισε τη νομιμότητα των διαδικασιών επεξεργασίας, κατάγραψέ την και αναβάθμισε το έντυπο εμπιστευτικότη-τας με αυτήν την πληροφορία.


Αναγνώρισες τη νομιμότητα των διαδικασιών επεξεργασίας;

Έχεις οργανώσει τη μέθοδο της καταγραφής των διαδικασιών επεξεργασίας;

Αναβάθμισες το έντυπο της εμπιστευτικότητας ώστε να αντικατοπρίζεται εκεί η νομιμότητα των διαδικασιών επεξερ-γασίας δεδομένων του οργανισμού σου;

ΒΗΜΑ 7: ΣΥΓΚΑΤΑΘΕΣΗΔιερεύνησε πώς ζητάς, καταγράφεις και διαχειρίζεσαι τη συγκατάθεση, κι εάν χρειάζεται να κάνεις αλλαγές, ώστε να εναρμονιστούν με τις οδηγίες της GDPR.


Έλεγξες τον τρόπο που η επιχείρηση ζητεί συγκατάθεση;

Έλεγξες τον τρόπο που η επιχείρηση καταχωρεί-καταγράφει τη συγκατάθεση;

Έλεγξες τον τρόπο που η επιχείριση διαχερίζεται την πληροφορία της συγκατάθεσης;

Χρειάζεται να γίνουν αλλαγές;

Έχεις δημιουργήσει τη μέθοδο απόσυρσης της συγκατάθεσης (έντυπο-διαδικασία);

Το έντυπο συγκατάθεσης είναι ξεχωριστό από οποιοδήποτε άλλο έγγραφο-σύμβαση ή πολιτική της εταιρίας;

Είναι το έντυπο συγκατάθεσης συγκεκριμένο, διάφανο, ενεργητικό και όχι παθητικό, σε απλή και κατανοητή μορφή κι εύκολα πρσβάσιμο;

ΒΗΜΑ 8: ΑΝΗΛΙΚΑ ΤΕΚΝΑ - ΠΑΙΔΙΑΣκέψου εάν θα χρειαστεί να βάλεις στο σύστημά σου δυνατότητα αναγνώρισης ηλικίας, καθώς και τη δημιουργία γονε-ϊκής συγκατάθεσης για την επεξεργασία δεδομένων.


Έχει το σύστημα δυνατότητα αναγνώρισης ηλικίας;

Έχω προβλέψει έντυπο (σε ψηφιακή ή φυσική μορφή) γονεϊκής συγκατάθεσης;

ΒΗΜΑ 9: ΠΑΡΑΒΙΑΣΗ ΔΕΔΟΜΕΝΩΝΔιασφάλισε ότι έχεις εμπεδώσει τους σωστούς μηχανισμούς για να εντοπίσεις, αναφέρεις και διερευνήσεις μια ενδεχό-μενη παραβίαση δεδομένων.


Έχεις μηχανισμό εντοπισμού τυχόν παραβίασης δεδομένων;

Η GDPR επιβάλλει την υποχρέωση της άμεσης αναγγελίας περιστατικού παραβίασης στην αρμόδια υπηρεσία, και σε κάποιες περιπτώσεις και στο υποκείμενο. Έχεις θεσπίσει σχετική διαδικασία;

Έχεις θεσπίσει διαδικασία περαιτέρω εσωτερικής διερεύνησης σε περίπτωση εντοπισμού παραβίασης δεδομένων;

ΒΗΜΑ 10: DPO Ή ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝΔιερεύνησε εάν απαιτείται στη δική σου οντότητα να ορίσεις DPO ή υπεύθυνο επεξεργασίας δεδομένων, όρισε έναν ικανό υπεύθυνο που να πληροί τις προϋποθέσεις.


Απαιτείται βάσει των δεδομένων που επεξεργάζεσαι ορισμός DPO;

Όρισες εσωτερικό ή εξωτερικό DPO ή υπεύθυνο επεξεργασίας δεδομένων;

ΒΗΜΑ 11: INTERNATIONAL ΜΕΣΙΤΕΣ KAI GDPRΕάν η επιχείρησή σου έχει παραρτήματα-υποκαταστήματα ή εν γένει λειτουργία και σε άλλες χώρες μέλη της ΕΕ ή έχεις μια έδρα η οποία όμως επεξεργάζεται δεδομένα από άλλες χώρες, θα πρέπει να χαρτογραφήσεις τη ροή και να αποφα-σίσεις ποια θα είναι η κύρια εποπτική αρχή με την οποία θα πρέπει να εναρμονιστείς.


Δραστηριοποιείσαι σε περισσότερες από μία χώρες εντός ΕΕ;

Επίλεξες τη βασική εποπτεύουσα αρχή;

16 ΕΙΣΑΓΩΓΗ ΣΤΗΝ GDPR – ΒΑΣΙΚΕΣ ΑΡΧΕΣ

Το εγχειρίδιο αυτό δημιουργήθηκε από τον ΣΕΜΑ μέσα από την αξιοποίηση-σύνδεση πληροφοριών από εκθέσεις-μελέτες των αγορών του εξωτερικού, καθώς και από την ελληνική.

Βασικός στόχος του είναι να δώσει μια όσο το δυ-νατόν πληρέστερη γενική εικόνα των ενεργειών που πρέπει να γίνουν, καθώς και τι θα πρέπει να μας προ-βληματίσει στο άμεσο μέλλον σε σχέση με την GDPR. Επίσης, καθώς κατακλυζόμαστε όλο αυτό το διάστημα από ασύνδετες πληροφορίες, ευελπιστούμε ότι το εγ-χειρίδιο αυτό θα προσφέρει μια συντεταγμένη γενική απεικόνιση ενός άξονα πάνω στον οποίο μπορούμε όλοι οι μεσίτες να δουλέψουμε.

Αυτό που γίνεται αντιληπτό άμεσα σε οποιονδήποτε ασχοληθεί με την GDPR είναι ότι πρόκειται για έναν γε-νικό κανονισμό που χρειάζεται αναλυτική προσαρμο-γή στην τοπική νομοθεσία, ώστε να ληφθούν υπόψη οι ιδιαιτερότητες της εκάστοτε αγοράς. Αυτό προϋπο-θέτει ότι το επόμενο διάστημα θα πρέπει όλοι να εργα-στούμε ώστε να προτείνουμε, μέσα από τα συλλογικά όργανα του κλάδου, βελτιώσεις και μοντέλα αποτελε-σματικής προσαρμογής μας στον εν λόγω κανονισμό. Ευελπιστούμε ότι το εγχειρίδιο αυτό θα αποτελέσει ένα σημείο αρχικής αναφοράς το οποίο μελλοντικά θα εμπλουτίζεται συνεχώς.

Σας ευχαριστούμε

Σύνταξη - Επιμέλεια

Μυτιληναίος Φίλιππος Μέλος Δ.Σ. ΣΕΜΑΥπεύθυνος επιτροπής διεθνών σχέσεων ΣΕΜΑ

ΒΗΜΑΤΑ€¦ · 2 gdpr ΒΗΜΑΤΑ-editorial ΒΗΜΑΒΗΤ 2018 editorial Είναι...

Documents

Transcript of ΒΗΜΑΤΑ€¦ · 2 gdpr ΒΗΜΑΤΑ-editorial ΒΗΜΑΒΗΤ 2018 editorial Είναι...