Κοινό αφιέρωμα με τη noyb στην εφαρμογή του GDPR

Αύριο συμπληρώνονται 5 χρόνια από τότε που ο GDPR τέθηκε σε εφαρμογή! H noyb.eu έχει ετοιμάσει ένα αφιέρωμα για τις προκλήσεις που υπάρχουν στην εφαρμογή των διατάξεων του σε πολλές χώρες στην Ευρώπη, με τη Homo Digitalis να καλύπτει την Ελλάδα!

Σε αυτό το αφιέρωμα αναδεικνύουμε πως:

-Παρά την υψηλή εξειδίκευση του επιστημονικού προσωπικού της ΑΠΔΠΧ, αυτό παραμένει χαμηλόμισθο και διαθέτει περιορισμένο ανθρώπινο δυναμικό και οικονομικούς πόρους,

-Αυτό έχει ως αποτέλεσμα να επηρεάζεται σημαντικά η ταχύτητα διεκπεραίωσης των υπό εξέταση υποθέσεων, με μεγάλες καθυστερήσεις τόσο στη λήψη αποφάσεων όσο ακόμη και στην καθαρογραφή και δημοσίευσή τους!

Το αφιέρωμα καλύπτει πέρα από την Ελλάδα, χώρες όπως η Αυστρία, το Βέλγιο, η Γαλλία, η Γερμανία, η Ιρλανδία, η Ισπανία, η Ιταλία, το Λουξεμβούργο, η Ολλανδία και η Πολωνία.

Ευχαριστούμε θερμά τη noyb.eu για την εξαιρετική συνεργασία!

Το αφιέρωμα βρίσκεται διαθέσιμο εδώ:

 


Εκπαιδευτική Ομιλία μας στη Roche Hellas

Την Πέμπτη 11 Μαΐου η Homo Digitalis είχε τη χαρά να μιλήσει στο προσωπικό της Roche Hellas για το «ψηφιακό αποτύπωμα» στο πλαίσιο του Compliance Week που διοργάνωσε η εταιρεία.

Τέτοιες πρωτοβουλίες ευαισθητοποίησης είναι ιδιαίτερα σημαντικές για αύξηση του επιπέδου ευαισθητοποίησης σχετικά με τα ψηφιακά δικαιώματα όλων μας ως πολίτες, χρήστες του διαδικτύου, καταναλωτές και εργαζόμενοι.

Ελπίζουμε κι άλλες εταιρείες να ακολουθήσουν το παράδειγμα της Roche Hellas! Ευχαριστούμε ιδιαίτερα για την πρόσκληση, τη συμμετοχή και την ενδιαφέρουσα συζήτηση.

Τη Homo Digitalis εκπροσώπησαν οι συνιδρυτές της Κωνσταντίνος Κακαβούλης και Στέφανος Βιτωράτος.

 


Μιλάμε στην εφημερίδα Η Καθημερινή για την εφαρμογή του GDPR

Λαμβάνετε συχνά ανεπιθύμητα μηνύματα;
Κατά πόσο είναι νόμιμη αυτή η πρακτική;
Ποια δικαιώματα έχουμε;
Διαβάστε περισσότερα στις δηλώσεις που έκανε ο Κώστας Κακαβούλης για τη Homo Digitalis στην εφημερίδα Η Καθημερινή και τη δημοσιογράφο Δήμητρα Τριανταφύλλου εδώ.

 


Η ομιλία μας στο BEYOND EXPO στη Θεσσαλονική είναι διαθέσιμη

Μπορείτε να παρακολουθήστε την πρόσφατη ομιλία της Μελίνας Σκόνδρα στην έκθεση Beyond Expo σχετικά με την προστασία των προσωπικών μας δεδομένων και της ιδιωτικότητας στο εργασιακό περιβάλλον και τις υποχρεώσεις των εργοδοτών για τη συμμόρφωση με τον GDPR.
Η τεχνολογία οφείλει να αξιοποιείται με τρόπο που υπηρετεί τον άνθρωπο, κατά τη Μελίνα, κι εμείς δεν θα μπορούσαμε να συμφωνήσουμε περισσότερο! Μπορείτε να δείτε το σχετικό απόσπασμα εδώ (στο 44:38).

 


Το Πρόγραμμα Συμμόρφωσης με τον GDPR από μια πρακτική σκοπιά

Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc *

Σκοπός του Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (679/2016) είναι η ασφαλής διαχείριση των προσωπικών δεδομένων από φορείς και επιχειρήσεις του δημόσιου και ιδιωτικού τομέα στην ευρωπαϊκή επικράτεια.

Συγκεκριμένα, μέσω της θέσπισης ενιαίων κανόνων, επιχειρείται η προστασία των φυσικών προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων, ενώ παράλληλα προστατεύονται θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμα τους στην προστασία των δεδομένων.

Στο πλαίσιο αυτό, οι οργανισμοί δεν θα πρέπει απλώς να γνωρίζουν τις υποχρεώσεις που απορρέουν από τον κανονισμό και την κείμενη νομοθεσία, αλλά και να υλοποιούν μια σειρά από ενέργειες προς την κατεύθυνση της προστασίας των προσωπικών δεδομένων που επεξεργάζονται.

Πιο συγκεκριμένα, μέσω ενός κατάλληλου προγράμματος συμμόρφωσης, ένας οργανισμός θα πρέπει να αναπτύξει όλους τους απαραίτητους μηχανισμούς, για να είναι σε θέση να ικανοποιεί, μεταξύ των άλλων, και:

  1. τις θεμελιώδεις αρχές για τη νομιμότητα κάθε επεξεργασίας,
  2. τα θεμελιώδη δικαιώματα των υποκειμένων (ενημέρωση, πρόσβαση, διόρθωση, διαγραφή (λήθη), περιορισμός επεξεργασίας, εναντίωση (και στο profiling) και φορητότητα,
  3. τις υποχρεώσεις του ως υπεύθυνος επεξεργασίας.

Ειδικότερα για την αρχή της λογοδοσίας του υπεύθυνου επεξεργασίας, η οπoία αποτελεί και μια από τις θεμελιώδεις αρχές του GDPR,  η λογοδοσία αυτή καθαυτή προκύπτει από την ευθύνη συμμόρφωσης του οργανισμού και την υποχρέωση απόδειξης της συμμόρφωσης ανά πάσα ώρα και στιγμή.

Στο πλαίσιο αυτό, η διοίκηση ενός οργανισμού θα πρέπει να στραφεί προς την προοπτική συμμόρφωσης, αντιλαμβανόμενη ωστόσο ότι μια ουσιαστική συμμόρφωση απαιτεί δέσμευση, πόρους και εργατοώρες.

 

ΠΡΙΝ ΤΗΝ ΕΝΑΡΞΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Επιλογή τρόπου συμμόρφωσης

Εφόσον κριθεί ότι η συμμόρφωση είναι απαραίτητη, η διοίκηση ενός οργανισμού θα πρέπει να επιλέξει σε ποιόν θα ανατεθεί το έργο της συμμόρφωσης.

Όπως και στην περίπτωση διορισμού του υπεύθυνου προστασίας δεδομένων (εφεξής DPO), ένας οργανισμός θα μπορούσε να εξετάσει το ενδεχόμενο της ανάθεσης του έργου συμμόρφωσης σε άτομο ή άτομα που απασχολούνται ήδη στον οργανισμό ή να εξετάσει το ενδεχόμενο ανάθεσης του έργου συμμόρφωσης σε σύμβουλο με αποδεδειγμένη δραστηριότητα στο συγκεκριμένο τομέα.

 

Πρώτη αυτοαξιολόγηση

Από την στιγμή που θα γίνει η τελική επιλογή του τρόπου συμμόρφωσης, θα πρέπει να ξεκινήσουν οι διαδικασίες προς αυτήν την κατεύθυνση.

Καταρχάς, και στις δύο περιπτώσεις (εσωτερική ή εξωτερική ανάθεση), θα πρέπει να συμπληρώνεται ένα ερωτηματολόγιο αρχικής αυτοαξιολόγησης σχετικά με το υφιστάμενο επίπεδο προστασίας δεδομένων του οργανισμού. Αυτό θα βοηθήσει τόσο τον οργανισμό, όσο και τον υπεύθυνο συμμόρφωσης, για να γνωρίζουν από ποια βάση εκκινούν.

Το αποτέλεσμα της αυτοαξιολόγησης μπορεί σε κάποιες περιπτώσεις να επηρεάσει και το συνολικό τίμημα, αφού ενδεχομένως να απαιτηθεί μεγαλύτερη ή μικρότερη προσπάθεια ανάλογα με το υφιστάμενο επίπεδο ετοιμότητας του οργανισμού.

Ορισμός ομάδας εργασίας

Επιπλέον, σε περίπτωση εξωτερικής ανάθεσης, θα πρέπει ο οργανισμός να ορίσει έναν ή και παραπάνω υπεύθυνους επικοινωνίας με την ομάδα συμμόρφωσης και, επιπλέον, να ορίσει μια στενή «ομάδα εργασίας».

Μια ουσιαστική συμμόρφωση απαιτεί διαρκή επικοινωνία μεταξύ των δύο μερών, τόσο για την άμεση ανταλλαγή δεδομένων και πληροφοριών, όσο και για επιτόπιες απαντήσεις και διευκρινήσεις σε απορίες και ερωτήματα της ομάδας συμμόρφωσης.

Πρώτη γνωστοποίηση στο προσωπικό

Σε αυτήν την φάση, απαραίτητη κρίνεται και μια επίσημη ενημέρωση του προσωπικού κάθε ειδικότητας, σχετικά με το επικείμενο πρόγραμμα συμμόρφωσης, καθώς και για την εμπλοκή όλων των βαθμίδων ιεραρχίας και όλων των τμημάτων σε αυτήν την συλλογική προσπάθεια.

 

ΥΛΟΠΟΙΗΣΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Ενδεικτικό Πρόγραμμα Συμμόρφωσης

Όπως είναι αντιληπτό, σκοπός είναι η διασφάλιση του μέγιστου βαθμού συμμόρφωσης του οργανισμού στις απαιτήσεις και τις προϋποθέσεις του GDPR, με γνώμονα η συμμόρφωση να μην δημιουργεί εμπόδια στην καθημερινή λειτουργία και δραστηριότητα του οργανισμού.

Το πρόγραμμα συμμόρφωσης χωρίζεται σε επιμέρους στάδια, κάθε ένα από τα οποία είναι σημαντικό, αφού αποτελούν ενδιάμεσους κρίκους που θα οδηγήσουν στην τελική συμμόρφωση του οργανισμού.

Σε γενικές γραμμές, στην αρχή διεξάγεται μια εκτίμηση του υφιστάμενου επιπέδου συμμόρφωσης σχετικά με τον διαχείριση των προσωπικών δεδομένων.

Στην πορεία, και αφού έχουν συλλεγεί όλες οι απαραίτητες πληροφορίες, προετοιμάζεται ένα πλάνο δράσης στο οποίο περιλαμβάνονται τα προτεινόμενα μέτρα, τα οποία θα πρέπει να έχουν συμφωνηθεί με τον οργανισμό. Το κάθε στάδιο θα πρέπει να συνοδεύεται και από ένα σαφές χρονοδιάγραμμα υλοποίησης.

Το χρονοδιάγραμμα υλοποίησης και η χρονική διάρκεια κάθε επιμέρους φάσης, αλλά και του συνολικού προγράμματος συμμόρφωσης, διαφοροποιούνται κατά περίπτωση.

 

ΠΡΩΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ

Πρώτες συναντήσεις και επιτόπιες επιθεωρήσεις

Στην πλειονότητα των περιπτώσεων, το έργο συμμόρφωσης ξεκινάει με μια πρώτη συνάντηση, για να ακολουθήσουν πολλές άλλες συναντήσεις και ανταλλαγές πληροφοριών. Στην πρώτη συνάντηση διαμορφώνεται ένα κοινά αποδεκτό πλάνο ενεργειών, χωρισμένο σε επιμέρους στάδια και με σαφή χρονοδιαγράμματα, ενώ παράλληλα τίθενται επί τάπητος τα βασικά θέματα και οι διαδικασίες που θα πρέπει να ακολουθηθούν.

Αρχικές εκπαιδεύσεις

Στην φάση αυτή πραγματοποιούνται οι πρώτες γενικές εκπαιδεύσεις για τον GDPR στην διοίκηση και στο προσωπικό, ξεκινώντας από τους διευθυντές / προϊσταμένους των τμημάτων. Στην περίπτωση πολυπληθών οργανισμών, η πρώτη εκπαίδευση θα μπορούσε να είναι μια ευρεία παρουσίαση που απευθύνεται σε μεγάλο αριθμό προσωπικού.

Ευρετήριο Προσωπικών Δεδομένων και Αρχείο Ροών Δεδομένων

Τόσο το Ευρετήριο Προσωπικών Δεδομένων, όσο και το Αρχείο Ροών Δεδομένων, αποτελούν προπομπούς του Αρχείου Χαρτογράφησης, του Αρχείου Δραστηριοτήτων Επεξεργασίας, αλλά και της μετέπειτα Μελέτης Αποκλίσεων.

Τα δεδομένα συλλέγονται από συμπεράσματα που προκύπτουν τόσο από συναντήσεις και προφορικές συζητήσεις, όσο και μέσω της διανομής και συμπλήρωσης ειδικού ερωτηματολογίου.

Αρχείο Χαρτογράφησης

Αποτελεί μια χρήσιμη ανάλυση της υφιστάμενης κατάστασης σχετικά με την προστασία προσωπικών δεδομένων και των κινδύνων που ελλοχεύουν.

Στο συγκεκριμένο αρχείο πραγματοποιείται μια παρουσίαση των ευρημάτων ανά τμήμα ή/και θέση εργασίας που σχετίζονται με την προστασία των δεδομένων. Η συγκεκριμένη μελέτη θα πρέπει να περιλαμβάνει όλες τις ήδη εντοπισμένες δραστηριότητες του οργανισμού.

Αρχείο Δραστηριοτήτων Επεξεργασίας

Μαζί με την Αρχείο Χαρτογράφησης, σε αυτήν την φάση προετοιμάζεται και απαραίτητο Αρχείο Δραστηριοτήτων, στο οποίο θα πρέπει να απεικονίζονται όλα όσα ορίζει ο GDPR.

Πρώτα νομικά, τεχνικά και οργανωτικά θέματα συμμόρφωσης

Πέρα από τα παραδοτέα αρχεία που προαναφέρθηκαν, στην πρώτη φάση του προγράμματος συμμόρφωσης συστήνεται να ξεκινήσει η υλοποίηση και συγκεκριμένων κρίσιμων διορθωτικών οργανωτικών και τεχνικών μέτρων, για τα οποία κρίνεται σκόπιμο να μην υπάρξουν καθυστερήσεις.

 

ΔΕΥΤΕΡΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ

Επόμενες  συναντήσεις – επισκέψεις – εκπαιδεύσεις

Στην δεύτερη φάση του προγράμματος συμμόρφωσης,  πραγματοποιούνται νέες επισκέψεις σύμφωνα με την εξέλιξη της συμμόρφωσης, ενώ συζητούνται τα παραδοτέα αρχεία της πρώτης φάσης, με περεταίρω εμβάθυνση σε όσα πεδία είναι σημαντικά ή για τα οποία ενδεχομένως να υπάρχουν απορίες.

Ανάλυση Αποκλίσεων

H Ανάλυση Αποκλίσεων έχει σκοπό τον εύρεση των νομικών, κανονιστικών, οργανωτικών και τεχνολογικών αποκλίσεων ως προς τις απαιτήσεις και τις προϋποθέσεις του Κανονισμού.

Θα μπορούσε να ειπωθεί ότι η συγκεκριμένη ανάλυση αφορά μια επαλήθευση των προβληματικών πεδίων που βρέθηκαν από την φάση της αρχικής χαρτογράφησης, μόνο που εδώ συσχετίζονται με συγκεκριμένες απαιτήσεις του Κανονισμού.

Ανάλυση Κινδύνων

Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα αποτελεί η υλοποίηση της Μελέτης Αντικτύπου (DPIA), σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ, η προαναφερόμενη εκτίμηση και αξιολόγηση των κινδύνων, που απορρέουν από την επεξεργασία, πρέπει να διενεργείται σε κάθε περίπτωση, ακόμα και στις περιπτώσεις επεξεργασιών για τις οποίες δεν απαιτείται διενέργεια μελέτης αντικτύπου.

Η ανάλυση συστήνεται να υλοποιείται τόσο πριν, όσο και μετά από την εφαρμογή των προτεινόμενων μέτρων.

Μελέτη Αντικτύπου (Data Privacy Impact Analysis)

Σύμφωνα με τον Άρθρο 35 του Κανονισμού 679/2016, «όταν ένα τύπος επεξεργασίας, ιδίως με την χρήση τεχνολογιών, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες  των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα».

Σε αυτό το σημείο κρίνεται σκόπιμη η αναφορά στην σχέση της γενικότερης Ανάλυσης Κινδύνων με την ειδικότερη Μελέτη Αντικτύπου.

Η Μελέτη Αντικτύπου αποτελεί ουσιαστικά μια μεθοδολογία Risk Assessment (ή αλλιώς, ένα υποσύνολο της) με κοινές αρχές και στόχους.

Και αυτό, αφού πολλές από τις ενέργειες και δράσεις που εφαρμόζονται  για την Μελέτη Αντικτύπου, εκπονούνται ήδη για γενικότερη Ανάλυση Κινδύνων. Άλλωστε, πολλοί οργανισμοί (συνήθως οι μεγάλοι σε μέγεθος), μπορεί να επιλέξουν να ενσωματώσουν την Μελέτη Αντικτύπου στο ευρύτερο εταιρικό πλαίσιο διαχείρισης κινδύνων που υιοθετούν.

 

ΤΡΙΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ 

Τελευταίες επισκέψεις και εκπαιδεύσεις

H τελευταία φάση του προγράμματος συμμόρφωσης αποτελείται από συναντήσεις κατά τις οποίες συνοψίζονται εκ νέου όλα τα παραδοτέα αρχεία, με αναφορά στους κινδύνους / ευρήματα και στα κατάλληλα τεχνικά και οργανωτικά μέτρα. Τα επόμενα βήματα που θα ακολουθήσει ο οργανισμός είναι πολύ σημαντικά για την διαρκή και ουσιαστική του συμμόρφωση με τις απαιτήσεις του GDPR. Παράλληλα, υλοποιούνται και οι τελευταίες εκπαιδεύσεις για το προσωπικό που πιθανόν απουσίαζε από τις αρχικές εκπαιδεύσεις.

Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων

Σε αυτήν την φάση υλοποιείται και παραδίδεται το Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων για την Προστασία Προσωπικών Δεδομένων.

Πρόκειται μια λίστα των μέτρων με λεπτομέρειες για το ποιος / ποιοι θα το υλοποιήσουν, το status υλοποίησης, ένα χρονοδιάγραμμα υλοποίησης και σχετικές παρατηρήσεις. Το συγκεκριμένο αρχείο πρέπει να παρακολουθείται στην συνέχεια από τον DPO, ο οποίος και θα πρέπει να το διατηρεί μονίμως επικαιροποιημένο.

Σχεδιασμός και διανομή πολιτικών, διαδικασιών, οδηγιών εργασίας, εντύπων

Βάσει του Προγράμματος Υλοποίησης Προτεινόμενων Μέτρων, σε αυτήν την φάση σχεδιάζονται και διανέμονται επίσημα καταγεγραμμένες πολιτικές, διαδικασίες και οδηγίες εργασίας, οι οποίες σχετίζονται με την  ασφάλειας των δεδομένων και έχουν σαν σκοπό την κάλυψη των αποκλίσεων που εντοπίστηκαν κατά την δεύτερη φάση.

 

ΟΛΟΚΛΗΡΩΣΗ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Με την παράδοση και των τελευταίων Πολιτικών, Διαδικασιών, Οδηγιών Εργασίας, Εντύπων και άλλων παραδοτέων που συγκαταλέγονται στα προτεινόμενα μέτρα, μπορεί να θεωρηθεί ότι ολοκληρώνεται επισήμως το πρόγραμμα συμμόρφωσης του οργανισμού.

Ωστόσο, οι οργανισμοί είθισται να παρουσιάζουν σημεία απόκλισης μετά από το τέλος της περιόδου επίσημης συμμόρφωσης, με τα σημεία απόκλισης να μεγαλώνουν με το πέρασμα του χρόνου.

Αυτή η αντίδραση μπορεί να θεωρηθεί σε κάποιο βαθμό δικαιολογημένη και αναμενόμενη, αφού η πίεση της καθημερινότητας και οι μεγάλες απαιτήσεις σε σχέση με την κύρια δραστηριότητα και την απρόσκοπτη λειτουργία ενός οργανισμού, μπορεί να θέσουν σταδιακά την προστασία των δεδομένων σε δεύτερη προτεραιότητα.

Για τους παραπάνω λόγους, η παρουσία ενός Υπεύθυνου Προστασίας Δεδομένων (DPO) πρέπει να είναι ουσιαστική και συνεχόμενη, μέσα από μια σειρά ενεργειών, οι οποίες θα καλλιεργούν και θα συντηρούν μια πιο μόνιμη κουλτούρα συμμόρφωσης εντός του οργανισμού (για περισσότερες πληροφορίες: https://www.homodigitalis.gr/posts/7535).

Ακόμα όμως και στις περιπτώσεις όπου δεν απαιτείται η παρουσία ενός DPO, οι οργανισμοί θα πρέπει από μόνοι τους να εφαρμόζουν όλα τα απαραίτητα για μια ουσιαστική συμμόρφωση με το GDPR και την κείμενη νομοθεσία σχετικά με την προστασία προσωπικών δεδομένων.

 

Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO – QMS Lead auditor ISO 9001:2015, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος τίτλων MBΑ από το ICBS Thessaloniki Business College και MSc in International Business and Finance από το Reading University, UK. Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι αρθρογράφος για το GDPR. Είναι γενικός γραμματέας, μέλος Δ.Σ. και επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων, του Ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος του DPO Network Greece, μέλος της ομάδας Homo Digitalis και μέλος του Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος (ΙΝ.ΕΠ.ΙΔ).

Πηγές:

Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα

http://homodigitalis.gr/posts/8519, Μικρομεσαίες επιχειρήσεις και Προστασία Προσωπικών Δεδομένων (GDPR), 7 Φεβρουαρίου 2021

http://homodigitalis.gr/posts/7535, Ο ρόλος και η «καθημερινότητα» του Υπεύθυνου Προστασίας Δεδομένων (DPO), 11 Οκτωβρίου, 2020

Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679  https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL 


Μικρομεσαίες επιχειρήσεις και Προστασία Προσωπικών Δεδομένων (GDPR)

Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc **

Πέρασαν κάτι λιγότερο από 3 χρόνια αφότου ξεκίνησε η εφαρμογή του νέου ευρωπαϊκού Κανονισμού για την προστασία προσωπικών δεδομένων (“ΓΚΠΔ” ή “GDPR“) και η πλειοψηφία των επιχειρήσεων, μικρών και μεγάλων, θα έπρεπε ήδη να γνωρίζουν τις υποχρεώσεις που απορρέουν από τον κανονισμό και την κείμενη νομοθεσία, αλλά και να έχουν υλοποιήσει μια σειρά από ενέργειες προς την κατεύθυνση της προστασίας των (προσωπικών) δεδομένων που διαχειρίζονται.

Ειδικότερα για τις μικρομεσαίες επιχειρήσεις, άσχετα από την απαίτηση ή όχι για διορισμό ενός υπεύθυνου προστασίας δεδομένων (“DPO“), αφού αυτό εξαρτάται από το α) αν υπάρχει τακτική και συστηματική παρακολούθηση δεδομένων πελατών – προσωπικού – προμηθευτών – συνεργατών σε μεγάλη κλίμακα ή β) αν λαμβάνει χώρα μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών (ευαίσθητων) δεδομένων, μια επιχείρηση οφείλει να εφαρμόσει ορισμένα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων. Αν και η έκταση και το εύρος εφαρμογής αυτών των μέτρων μπορεί να διαφοροποιούνται ανάλογα με την περίπτωση, συστήνεται η υλοποίηση μιας – κατ΄ελάχιστον – λίστας προληπτικών ενεργειών.

Ενδεικτικά, αλλά όχι περιοριστικά:

  • Δημιουργία ενός αρχείου δραστηριοτήτων με όλες τις κατηγορίες επεξεργασίας των προσωπικών δεδομένων για τις οποίες είναι υπεύθυνη η επιχείριση (ως υπεύθυνος επεξεργασίας), με ταυτόχρονη αναφορά σε μια σειρά από βασικές πληροφορίες που απαιτούνται από τον ΓΚΠΔ.
  • Ύπαρξη μιας πολιτικής προστασίας δεδομένων προσωπικού χαρακτήρα.
  • Ορισμένες γραπτές διαδικασίες για τον τρόπο επεξεργασίας των προσωπικών δεδομένων από την επιχείρηση.
  • Ανάλογα με το είδος και την δραστηριότητα της επιχείρησης, ύπαρξη κατάλληλου εντύπου ενημέρωσης των πελατών για την χρήση των δεδομένων τους, με αναφορά στους σκοπούς για τους οποίους που θα χρησιμοποιηθούν τα δεδομένα, την νομική βάση για την επεξεργασία τους, για πόσο χρονικό διάστημα θα αποθηκεύονται, σε ποιους θα κοινοποιούνται, αναφορά στα βασικά δικαιώματά των πελατών όσον αφορά την προστασία των δεδομένων, το δικαίωμά των πελατών να υποβάλουν καταγγελία κλπ.
  • Σε περίπτωση απασχόλησης προσωπικού, ύπαρξη εντύπου ενημέρωσης του προσωπικού για τις ακριβείς επεξεργασίες των προσωπικών τους δεδομένων (ίδια δομή με το έντυπο ενημέρωσης πελάτη) και, ξεχωριστά, υπογραφή ρήτρας εμπιστευτικότητας. Επίσης, συχνή εκπαίδευση του προσωπικού για την ορθολογική χρήση των εταιρικών δεδομένων.
  • Στην περίπτωση των προμηθευτών και των εξωτερικών συνεργατών, απαίτηση για υπογραφή σύμβασης ή άλλης νομικής πράξης σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά περίπτωση και βάση του είδους της συνεργασίας. Ενδεικτικά, αφορά την ανάθεση σε τρίτες εταιρείες ή ελεύθερους επαγγελματίες: α) της μισθοδοσίας του προσωπικού, β) της ασφάλισης του προσωπικού, γ) της λογιστικής υποστήριξης της επιχείρησης, δ) της μηχανογραφικής υποστήριξης, ε) της διαχείρισης της εταιρικής ιστοσελίδας ή/και των social media, στ) της συντήρησης του εξοπλισμού, ζ) της καθαριότητας των υποδομών, η) της φύλαξης των υποδομών και θ)  τυχόν λοιπές συνεργασίες με συμβούλους.
  • Σε περίπτωση λειτουργίας κλειστού κυκλώματος τηλεόρασης (CCTV), α) ενημέρωση των υποκειμένων  με εμφανείς σημάνσεις για την ύπαρξη του συστήματος βιντεοεπιτήρησης για το σκοπό της ασφάλειας προσώπων και αγαθών και β) τήρηση των σχετικών απαιτήσεων που προκύπτουν από την κείμενη νομοθεσία, όπως ενδεικτικά, τοποθέτηση καμερών σε σημεία εισόδου και εξόδου, σε χώρους ταμείων ή χώρους κρίσιμων εγκαταστάσεων, απαίτηση για διαγραφή του καταγεγραμμένου υλικού εντός 15 ημερών, προστασία µονάδας ελέγχου του κυκλώµατος (καταγραφικό) το υλικό να μην χρησιμοποιείται για την διαδικασία αξιολόγησης του προσωπικού κλπ.
  • Σε περίπτωση ύπαρξης ηλεκτρονικής ιστοσελίδας, ύπαρξη όρων και προϋποθέσεων χρήσης της ιστοσελίδας, δυνατότητα στον επισκέπτη να αποδεχθεί ή να απορρίψει την εγκατάσταση cookies (πέραν των «αυστηρώς απαραίτητων»), ανάρτηση στην ιστοσελίδα της πολιτικής προστασίας δεδομένων της επιχείρησης κλπ.
  • Σε περίπτωση αποστολής ηλεκτρονικών newsletters ή sms marketing από την επιχείρηση, θα πρέπει οπωσδήποτε να δίδεται η δυνατότητα στους χρήστες για ξεκάθαρη και ρητή συγκατάθεση για το αν επιθυμούν να λαμβάνουν τέτοιες επικοινωνίες / ενημερώσεις (opt-in).

 

Ειδικότερα ως προς την φυσική ασφάλεια, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:

*ασφαλής αποθήκευση κρίσιμων δεδομένων, όπως φύλαξη φακέλων προσωπικού, πελατών και λοιπά έντυπα αρχεία σε κλειδωμένα συρτάρια, ντουλάπες ή φωριαμούς,

* εγκατάσταση συστήματος συναγερμού και αλλαγή κωδικών σε περίπτωση αποχώρησης προσωπικού που τους γνώριζε,

* εγκατάσταση κλειστού κυκλώματος τηλεόρασης (CCTV) ή/και συνεργασία με εταιρεία φύλαξης χώρων (security),

* αλλαγή κλειδαριών σε περίπτωση αποχώρησης προσωπικού που χειριζόταν τα κλειδιά,

* κλείδωμα όλων των θυρών και παραθύρων πριν την αποχώρηση από την επιχείρηση κλπ.

Ως προς την ασφάλεια της ηλεκτρονικής πληροφορίας, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:

* εφαρμογή προγραμμάτων αντιμετώπισης κακόβουλου λογισμικού (anti malware), καθώς και χρήση προγραμμάτων τειχών ασφαλείας (firewall),

* αποθήκευση στο δίκτυο και κεντρική λήψη αντιγράφων ασφαλείας (backup), σε τακτική βάση και με ασφαλή τρόπο,

* περιορισμοί στην σύνδεση αποσπώμενων μέσων για αποφυγή κακόβουλης εξαγωγής δεδομένων,

* διαχείριση λογαριασμών χρηστών, μηχανισμοί ελέγχου πρόσβασης, διαχείριση κωδικών πρόσβασης,

* λοιπές πολιτικές και διαδικασίες για την προστασία της ηλεκτρονικής πληροφορίας και δεδομένων.

 

Ως προς τις διαβιβάσεις πληροφοριών, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:

* προστασία ηλεκτρονικών αρχείων κατά την αποστολή τους μέσω ηλεκτρονικού ταχυδρομείου (πχ μέσω της ξεχωριστής αποστολής των κωδικών ανοίγματος με sms ή με άλλους ενδεδειγμένους τρόπους προστασίας),

* μηχανισμοί και διαδικασίες για προσεκτική ταυτοποίηση ατόμων πριν την διαβίβαση πληροφοριών δια τηλεφώνου, ηλεκτρονικά ή από κοντά κλπ.

 

Συμπερασματικά, οι μικρομεσαίες επιχειρήσεις δεν θα πρέπει απλώς να αντιλαμβάνονται τον σκοπό και την σημαντικότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα που διαχειρίζονται, αλλά και να υιοθετούν μια σειρά από τεχνικά και οργανωτικά μέτρα προστασίας και διαφύλαξης των δεδομένων, υπό το πρίσμα του ΓΚΠΔ / GDPR και της κείμενης νομοθεσίας.

 

** Ο Δημοσθένης Κωστούλας, Quality Manager και DPO σε Ιδιωτική Κλινική, DPO στον Ιατρικό Σύλλογο Θεσσαλονίκης, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος MBΑ και MSc (International Business and Finance). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο “Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα” (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι αρθρογράφος για το GDPR και αποτελεί γενικό γραμματέα και μέλος του Δ.Σ. του ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικό συνεργάτη του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος της ομάδας του Homo Digitalis, μέλος του DPO Network Greece και μέλος του ΙΝ.ΕΠ.ΙΔ Β.Ελλάδος.

Πηγές:

  1. Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
  2. Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679  https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL
  3. Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, Ο∆ΗΓΙΑ 1/2011, Αριθ. Πρωτ. Γ/ΕΞ/2274/31.03.2011, Χρήση συστηµάτων βιντεοεπιτήρησης για την προστασία προσώπων και αγαθών.
  4. Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, ΔΕΛΤΙΟ ΤΥΠΟΥ 25/2/2020, Aρ. Πρωτ.: Γ/ΕΞ/1525, Συστάσεις για τη συμμόρφωση υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες.
  5. https://ec.europa.eu/info/sites/info/files/data-protection-overview-citizens_el.pdf, ΕΝΑΣ ΟΔΗΓΟΣ ΤΟΥ ΠΟΛΊΤΗ ΓΊΑ ΤΗΝ ΠΡΟΣΤΑΣΊΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΕΕ, Λουξεμβούργο: Υπηρεσία Εκδόσεων της Ευρωπαϊκής Ένωσης, 2018


Ο ρόλος και η «καθημερινότητα» του Υπεύθυνου Προστασίας Δεδομένων (DPO)

Γράφει ο Δημοσθένης Κωστούλας*

 

Σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων 679/2016 (εφεξής GDPR), μια από τις θεμελιώδεις υποχρεώσεις των ιδιωτικών εταιριών και των δημόσιων αρχών / φορέων (ως υπεύθυνοι επεξερgασίας), είναι ο ορισμός Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer, εφεξής DPO), όταν:

  • οι βασικές δραστηριότητες συνιστούν πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση δεδομένων των υποκειμένων σε μεγάλη κλίμακα και
  • οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.

Πρόκειται για έναν σχετικά νέο θεσμικό ρόλο, ο οποίος μέχρι πρότινος ήταν σχετικά άγνωστος στις περισσότερες ευρωπαϊκές χώρες, συμπεριλαμβανομένου και της Ελλάδας.

Αποστολή του DPO είναι η υποστήριξη της ιδιωτικής εταιρείας ή της δημόσιας αρχής /  φορέα στην διαρκή απαίτηση για συμμόρφωση με τις απαιτήσεις του GDPR και της κείμενης νομοθεσίας, συμπεριλαμβανομένης της προστασίας των προσωπικών δεδομένων των υποκειμένων που εμπλέκονται με οποιονδήποτε τρόπο με την εταιρία / φορέα (πελάτες, συνεργάτες, προσωπικό, προμηθευτές κλπ.).

Μεταξύ των άλλων, ο DPO αποτελεί τον κύριο συνομιλητή της διοίκησης για θέματα προστασίας δεδομένων, καταρτίζει το πρόγραμμα και την πολιτική προστασίας δεδομένων και εποπτεύει την εφαρμογή του, εκτιμά και συμβουλεύει για την αναγκαιότητα κατάρτισης μιας εκτίμησης αντικτύπου, συντονίζει την συνεργασία των τμημάτων και τη δημιουργία μιας διαρκούς εταιρικής κουλτούρας προστασίας δεδομένων, πραγματοποιεί εκπαιδευτικά προγράμματα, καταρτίζει ευρετήριο προσωπικών δεδομένων κλπ.

Ακόμα και όταν ΔΕΝ προκύπτει ξεκάθαρα η απαίτηση για DPO, η παρουσία του μόνο καλό θα κάνει σε μια εταιρεία ή έναν φορέα.

Μετά την αρχική συμμόρφωση με τον GDPR

Σε μεγάλο βαθμό, οι εταιρείες / φορείς  είθισται να παρουσιάζουν σημεία απόκλισης μετά από το τέλος της περιόδου της επίσημης συμμόρφωσης τους με τον GDPR και την κείμενη νομοθεσία, με τα σημεία απόκλισης να μεγαλώνουν με το πέρασμα του χρόνου. Αυτή η αντίδραση μπορεί να θεωρηθεί σε κάποιο βαθμό δικαιολογημένη και αναμενόμενη, αφού η πίεση της καθημερινότητας και οι μεγάλες απαιτήσεις σε σχέση με την κύρια δραστηριότητα και την απρόσκοπτη λειτουργία ενός οργανισμού, μπορεί να θέσουν σταδιακά την προστασία των δεδομένων σε δεύτερη προτεραιότητα.

Για τους παραπάνω λόγους, η παρουσία του DPO πρέπει να είναι ουσιαστική και συνεχόμενη, μέσα από μια σειρά ενεργειών, οι οποίες θα πρέπει να καλλιεργούν και να συντηρούν μια πιο μόνιμη κουλτούρα συμμόρφωσης εντός της εταιρίας / του φορέα.

Ενδεικτικά και όχι περιοριστικά:

1. Τήρηση ημερολογίου πεπραγμένων Data Protection Officer (DPO)

Η τήρηση ενός ημερολογίου σε συστηματική βάση από την μεριά του DPO κρίνεται επιτακτική, τόσο για λόγους ουσίας, όσο και για λόγους τεκμηρίωσης και απόδειξης μια διαρκούς προσπάθειας συμμόρφωσης σχετικά με την προστασία προσωπικών δεδομένων. Ουσιαστικά, συνιστά μια καταγραφή από τον DPO όλων των πεπραγμένων που υλοποιούνται από την στιγμή της τελικής συμμόρφωσης και μετέπειτα.

Σε μεγάλο βαθμό, οι καταγραφές σχετίζονται με το στάδιο υλοποίησης των κατάλληλων τεχνικών και οργανωτικών μέτρων που προτάθηκαν από την περίοδο της αρχικής συμμόρφωσης της εταιρείας / του φορέα.

Ωστόσο, καθότι το αρχείο με τις προτεινόμενες – προληπτικές ή/και διορθωτικές – ενέργειες από την φάση της συμμόρφωσης ενδέχεται να είναι συνοπτικό, το ημερολόγιο DPO θα πρέπει να υπεισέρχεται σε μεγαλύτερη ανάλυση σχετικά με τις ενέργειες που υλοποιούνται ή αναμένεται να υλοποιηθούν από τον οργανισμό. Δηλαδή, το ημερολόγιο αποτελεί μια προέκταση του αρχείου με τα προτεινόμενα μέτρα, περιλαμβάνοντας σχόλια, υποσημειώσεις και αναλυτικές πληροφορίες προς διευκόλυνση του DPO στο έργο της διαρκούς συμμόρφωσης και της τεκμηρίωσης αυτής. Η δε ανανέωση του πρέπει να είναι πολύ συχνή, σε αντίθεση με την ανανέωση του γενικότερου αρχείου με τα μέτρα, η οποία πραγματοποιείται σε πιο αραιά χρονικά διαστήματα.

Το ημερολόγιο DPO μπορεί να τηρείται σε ηλεκτρονικό αρχείο και να κοινοποιείται σε συστηματική βάση στην διοίκηση του οργανισμού. Με τον τρόπο αυτό, η εταιρεία / ο φορέας μπορεί να λαμβάνει γνώση για την δραστηριότητα του DPO και το γενικότερο επίπεδο συμμόρφωσης, ενώ παράλληλα λειτουργεί και σαν υπενθύμιση προς την διοίκηση για τις ενέργειες που υπολείπονται να γίνουν.

2. Περιοδική ανανέωση παραδοτέων αρχείων αρχικής συμμόρφωσης

Είναι αυτονόητο ότι ένας από τους σημαντικότερους ρόλους του DPO είναι η περιοδική ανανέωση των αρχικών αρχείων συμμόρφωσης. Αν και δεν αναφέρεται ξεκάθαρα συγκεκριμένο χρονικό διάστημα, η ανανέωση των αρχείων μια ή και παραπάνω φορές εντός ενός έτους, κρίνεται επιτακτική. Στην ουσία πρόκειται για μια τεκμηριωμένη ανανέωση των παραδοτέων αρχείων κάθε επιμέρους φάσης της αρχικής συμμόρφωσης, αλλάζοντας κάθε φορά τον αριθμό έκδοσης και σημειώνοντας την ημερομηνία της ανανέωσης (versioning).

Στην συγκεκριμένη διαδικασία λαμβάνονται υπόψη τυχόν νέα ευρήματα και ρίσκα, ενώ καταγράφονται και όλα τα πεπραγμένα σχετικά με τα προληπτικά και διορθωτικά μέτρα που αρχικά προτάθηκαν, μέσω και της άντλησης δεδομένων από το ημερολόγιο DPO.

Εφόσον ο οργανισμός ακολουθεί μια σωστή και ουσιαστική πορεία συμμόρφωσης, οι περιοδικές ανανεώσεις των βασικών αρχείων από τον DPO, αναμένεται να αποδεικνύουν έμπρακτα την «βελτίωση» του γενικότερου επιπέδου συμμόρφωσης.

Ακολούθως, θα πρέπει να ανανεώνονται από τον DPO και όσες – ήδη διανεμημένες – πολιτικές, διαδικασίες και οδηγίες εργασίας κρίνεται σκόπιμο, προκειμένου αυτές να ενσωματώνουν τυχόν ευρήματα που προκύπτουν από τις περιοδικές ανανεώσεις.

3. Διεξαγωγή Μελέτης Αντικτύπου (DPIA) για νέες διαδικασίες / δραστηριότητες και επικαιροποίηση παλαιότερων

Στα πλαίσια της περιοδικής ανανέωσης των παραδοτέων αρχείων συμμόρφωσης, ο DPO οφείλει να εστιάζει την προσοχή του και στις επιμέρους Μελέτες Αντικτύπου (Data Privacy Impact Assessment -DPIA).

Σύμφωνα με τις απαιτήσεις του GDPR, η εκάστοτε ιδιωτική εταιρεία ή φορέας του Δημοσίου πρέπει να διεξάγει Μελέτη Αντικτύπου όποτε αυτό κρίνεται απαραίτητο (ενδεικτικά, όταν παρουσιάζεται υψηλός κίνδυνος για τα προσωπικά δεδομένα των επιμέρους κατηγοριών υποκειμένων). Πέρα όμως από την διεξαγωγή των αρχικών μελετών αντικτύπου κατά την φάση της επίσημης συμμόρφωσης, πρέπει να διεξάγει παρόμοιες μελέτες και για κάθε νέα διαδικασία / δραστηριότητα εντός της εταιρείας / του φορέα και να επικαιροποιεί / ανανεώνει παλαιότερες Μελέτες Αντικτύπου, στις οποίες και θα πρέπει να ενσωματώνονται νέα ευρήματα ή/και η υλοποίηση επιμέρους ενεργειών που μπορεί να σχετίζονται με την DPIA. Ο DPO είναι υπεύθυνος να αξιολογεί τις μελέτες αυτές και να παρέχει τη γνώμη του.

4. Τακτικές επιθεωρήσεις επιτήρησης συμμόρφωσης

Στις βασικές υποχρεώσεις ενός DPO, είναι και η διενέργεια επιθεωρήσεων ανά τακτά χρονικά διαστήματα, προκειμένου να ελέγξει το επίπεδο συμμόρφωσης σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα που τηρούνται και διακινούνται εντός μιας εταιρείας / ενός φορέα.

Συνεπώς, ένας DPO πρέπει κάθε τόσο να επισκέπτεται τον οργανισμό (αν είναι εξωτερικός) και να διεξάγει εσωτερικές επιθεωρήσεις σε κάθε τμήμα / υπηρεσία, αλλά και γενικότερα στο σύνολο του οργανισμού. Κατά τα πρότυπα των επιθεωρήσεων ποιότητας, ο DPO πρέπει να είναι εφοδιασμένος με μια φόρμα επιθεώρησης, η οποία στην ουσία αποτελεί έναν οδηγό σε σχέση με τις απαιτήσεις και τους όρους του GDPR και της κείμενης νομοθεσίας για την προστασία δεδομένων. Κατά την διάρκεια της επιθεώρησης αλλά και κατά την μετέπειτα αξιολόγηση των νέων ευρημάτων, ο DPO θα πρέπει να λαμβάνει υπόψη το επίσημο υλικό από την αρχική συμμόρφωση, όπως ενδεικτικά, τα πρώτα ευρήματα και αποκλίσεις, τα προτεινόμενα οργανωτικά και τεχνικά μέτρα κλπ. Στην περίπτωση μελλοντικών επιθεωρήσεων, είναι αυτονόητο ότι θα πρέπει να λαμβάνονται υπόψη και τα ευρήματα τυχόν προηγούμενων εσωτερικών επιθεωρήσεων (μετά την αρχική συμμόρφωση).

Τα αποτελέσματα κάθε επιθεώρησης θα πρέπει να καταγράφονται και να τηρούνται μαζί με τον αρχικό φάκελο της συμμόρφωσης, αφού, πέρα από την ουσία, αποτελούν και αυτά έμπρακτη απόδειξη της προσπάθειας διαρκούς συμμόρφωσης της εταιρείας / του φορέα.

5. Τακτικές εκπαιδεύσεις

Βασικό μέλημα ενός DPO είναι η διαρκή εγρήγορση του οργανισμού προς την κατεύθυνση της προστασίας των προσωπικών δεδομένων. Πέραν όλων των άλλων ενεργειών μετά το τέλος της αρχικής συμμόρφωσης, αυτό επιτυγχάνεται και μέσω συχνών εκπαιδεύσεων του προσωπικού. Οι εκπαιδεύσεις αυτές πρέπει να έχουν – σε κάποιο βαθμό – διαφορετικό χαρακτήρα και περιεχόμενο από τις αρχικές εκπαιδεύσεις, καθότι θα πρέπει να εστιάζουν πιο αναλυτικά σε επιμέρους θέματα.

Ενδεικτικά αλλά όχι περιοριστικά, αντικείμενο των εκπαιδεύσεων θα μπορούσε να είναι η αναφορά σε πραγματικά συμβάντα διαρροής δεδομένων στην Ελλάδα ή το εξωτερικό, οι αναφορές σε προσθήκες ή/και διαφοροποιήσεις στο νομοθετικό στερέωμα, ειδικότερη αναφορά και εκπαίδευση σε τεχνικά μέτρα σχετικά με την ασφαλή χρήση και λειτουργία των ηλεκτρονικών μέσων, των προγραμμάτων και της χρήσης ηλεκτρονικού ταχυδρομείου κλπ., υπενθύμιση στον τρόπο αντίδρασης και διαχείρισης περιστατικών διαρροής δεδομένων, υπενθύμιση των ήδη διανεμημένων πολιτικών, διαδικασιών, οδηγιών εργασίας και εντύπων και παρουσίαση τυχών νέων εκδόσεων κλπ.

* Ο Δημοσθένης Κωστούλας, Quality Manager και DPO σε Ιδιωτική Κλινική στην Θεσσαλονίκη, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος MBΑ και MSc (International Business and Finance). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, αποτελεί γενικό γραμματέα και μέλος Δ.Σ. του ελληνικού παραρτήματος του European Association of Data Protection Professionals (EADPP), επιστημονικό συνεργάτη του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος της ομάδας του Homo Digitalis, μέλος του DPO Network Greece και μέλος του ΙΝ.ΕΠ.ΙΔ Β.Ελλάδος.

Πηγές: 

Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα

Σωτηρόπουλος, Β. (2017),  Υπεύθυνος Προστασίας Δεδομένων – Εργαλειοθήκη για τον νέο θεσμό σε δημόσιο και ιδιωτικό τομέα, Εκδόσεις Σάκκουλα. Αθήνα – Θεσσαλονίκη

Ομάδα Προστασίας των Προσώπων έναντι της Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα του Άρθρου 29 (6/EL WP 243 rev.01 – Απρίλιος 2017), Κατευθυντήριες γραμμές σχετικά με τους υπεύθυνους προστασίας δεδομένων

https://www.dpa.gr/portal/page?_pageid=33,211475&_dad=portal&_schema=PORTAL