General Data Protection Regulation

Implementing the GDPR


Ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων προσωπικού χαρακτήρα (GDPR) 2016/679 είναι ένα πολυσέλιδο, πολύπλοκο και βαθειά τεχνικό νομοθέτημα, του οποίου η ανάγνωση και εφαρμογή απαιτεί την εμπλοκή αφενός σωστά καταρτισμένων σχετικά με το ηλεκτρονικό δίκαιο νομικών και αφετέρου τη στενή συνεργασία τους τόσο με τους επικεφαλής των διαφόρων επιχειρήσεων που επεξεργάζονται δεδομένα όσο και με ειδικούς επιστήμονες της πληροφορικής, οι οποίοι φέρουν το βάρος να θωρακίσουν τεχνικά την επιχείρηση εξασφαλίζοντας το μέγιστο βαθμό προστασίας των δεδομένων που αυτή επεξεργάζεται.
Ασφαλώς η πολυπλοκότητα του GDPR θα μπορούσε κανείς να σκεφτεί ότι δημιουργεί στις επιχειρήσεις επιπλέον «πονοκεφάλους», καθώς τις εξαναγκάζει να υποβληθούν σε περαιτέρω έξοδα για τη συμμόρφωσή τους, υπό την απειλή δυσβάστακτων προστίμων και κυρώσεων που μπορεί να φτάσουν στην οικονομική τους εξόντωση. Ωστόσο, στο γραφείο μας πιστεύουμε ότι ταυτόχρονα η ίδια αυτή πίεση για συμμόρφωση εξασφαλίζει ορθότερες δομές μέσα στην επιχείρηση, συντείνει στην πιο εύρυθμη λειτουργία της και εν τέλει αποτελεί ένα σημαντικότατο εργαλείο στην κούρσα της ανταγωνιστικότητας καθώς η σωστά οργανωμένη έναντι των προσωπικών δεδομένων επιχείρηση είναι βέβαιο ότι τάχιστα θα ξεχωρίσει για την ποιότητά της και θα έχει την ευκαιρία να αυξήσει την πελατεία της καθώς όλο και περισσότερο τα υποκείμενα των δεδομένων ενδιαφέρονται για την προστασία της ιδιωτικότητάς τους.


To γραφείο μας, με νομικούς εξειδικευμένους στις νέες τεχνολογίες σε συνεργασία με εξειδικευμένο προσωπικό πληροφορικής, παρέχει υπηρεσίες:


  • GDPR Consulting / Compliance (Συμμόρφωση του οργανισμού με το GDPR 2016/679, Data Protection Impact Assessments)
  • Designing and Implementing Effective Privacy and Security Plans
  • DPO (Data Protection Officer) services
  • GDPR Auditing services

H μεθοδολογία και η προσέγγιση που ακολουθείται κατά την συμμόρφωση (GDPR Compliance) περιλαμβάνει πάντα κάλυψη νομική και υποστήριξη πληροφορικής.

Τα στάδια που ακολουθούνται είναι τα εξής:


  1. Πρώτο γενικό audit της επιχείρησης ώστε να διαπιστωθεί το πλαίσιο στο οποίο δραστηριοποιείται και οι ανάγκες της 
    • γρήγορη επιθεώρηση των διαφόρων τμημάτων της επιχείρησης
    • συμπλήρωση σχετικού ερωτηματολογίου από τον επικεφαλής της επιχείρησης προκειμένου να διαπιστωθεί σε τι επίπεδο ασφαλείας βρίσκεται η επιχείρηση σε σχέση με το GDPR

  2. Eνημέρωση της διοίκησης για τις ανάγκες της επιχείρησης για συμμόρφωση και χάραξη της στρατηγικής 
    • Παρουσίαση των κύριων σημείων του GDPR
    • Συζήτηση σχετικά με τις ανάγκες της επιχείρησης
    • Αξιολόγηση νομικών ενεργειών και οικονομικών πόρων που πρέπει να διατεθούν)
    • Σύσταση ομάδας εργασίας συναποτελούμενης από άτομα που θα διατεθούν από την επιχείρηση (GDPR Team)

  3. Ενημέρωση και εκπαίδευση του συνόλου του προσωπικού για τον νέο κανονισμό (GDPR Awareness)
    • η εκπαίδευση διαρκεί 5 ώρες και εφόσον ζητηθεί μπορεί να υπάρξει και επιπλέον εκπαίδευση 3 ωρών στα πρόσωπα που θα υποδείξει η διοίκηση τα οποία θα επιφορτιστούν με το γενικότερο έλεγχο συμμόρφωσης μετά το πέρας του έργου, χωρίς επιπλέον χρέωση (η επιμόρφωση δεν αφορά, όμως, την εκπαίδευση προσώπου που θα αναλάβει ως Υπεύθυνος Επεξεργασίας Δεδομένων-DPO, η οποία χρεώνεται ξεχωριστά)
    • κατά τη διάρκεια της εκπαίδευσης, το προσωπικό εξοικειώνεται με όλες τις έννοιες του GDPR ενώ έμφαση δίνεται στα τμήματα που αφορούν τις ιδιαίτερες δραστηριότητες της εταιρείας
    • βεβαίωση για την παρακολούθηση και εκπαίδευση του προσωπικού
    • με το πέρας της εκπαίδευσης και εφόσον πλέον το προσωπικό γνωρίζει τις υποχρεώσεις του από τον GDPR, θα διανέμεται έντυπο υπεύθυνης δήλωσης εχεμύθειας το οποίο κάθε εργαζόμενος θα πρέπει να συμπληρώσει και επιστρέψει με βεβαίωση γνησίου υπογραφής 

  4. Χαρτογράφηση της ροής των δεδομένων (Data mapping, Data Flow) 
    • εντοπισμός όλων των δεδομένων που διακινούνται στην επιχείρηση μέσω συνεντεύξεων, ελέγχου όλων των συμβάσεων και των βάσεων δεδομένων στους Η/Υ της επιχείρησης
    • αρχειοθέτηση/κατηγοριοποίηση των δεδομένων και των διαδικασιών/ενεργειών επεξεργασίας (διαφοροποίηση δεδομένων προσωπικού από τα δεδομένα των πελατών της επιχείρησης)

  5. Εκπόνηση Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων
    • Data Protection Impact Assessment με τη χρήση ειδικού λογισμικού βάσει της καταγραφής δεδομένων που προηγήθηκε
    • Εντοπισμός και ανάλυση ελλείψεων (Gap analysis) σχετικά με: τις βασικές αρχές προστασίας δεδομένων, τα δικαιώματα των φυσικών προσώπων, τις πολιτικές/δομές της επιχείρησης, τη διαφύλαξη των πληροφοριών/δεδομένων, την παραβίαση των δεδομένων και την ειδοποίηση (notification)
    • Σχεδιασμός privacy by design and privacy by default

  6. Αναθεώρηση - επικαιροποίηση πολιτικών της επιχείρησης (Security Policy, Process Re-Engineering)
    • Σύνταξη εσωτερικού κανονισμού για την λειτουργία της επιχείρησης βάσει του GDPR
    • Σύνταξη εξ αρχής όλων των συμβάσεων με τους πελάτες και προμηθευτές της επιχείρησης ώστε να είναι πλέον GDPR compliant
    • Σύνταξη εντύπου και διαμόρφωση του περιεχομένου ώστε να λαμβάνεται έγκυρα η συγκατάθεση του φυσικού προσώπου για την επεξεργασία των δεδομένων (όπου χρειάζεται)
    • Εφόσον τα δεδομένα διακινούνται και εκτός ΕΟΧ, παρουσίαση των υποχρεώσεων της επιχείρησης και των κινδύνων

  7. Λήψη των απαραίτητων φυσικών, οργανωτικών και τεχνικών μέτρων 
    • Προτάσεις για την εξασφάλιση των δεδομένων στο φυσικό χώρο όπου δραστηριοποιείται η επιχείρηση
    • Ενδεικτικά αξιοποίηση της τεχνολογίας και των εργαλείων πληροφορικής όπως Firewalls/AVs, CRMs/Work Flow Applications, Encryption, κλπ. σε συνεργασία με έμπειρο προσωπικό IT

  8. Ανάπτυξη διαδικασιών γνωστοποίησης εποπτικής Αρχής και ανακοίνωσης στα υποκείμενα των δεδομένων (Data Breach Notification Procedures)
    • Ενημέρωση σχετικά με το πότε υπάρχει παραβίαση των δεδομένων
    • Εκτίμηση αντικτύπου της παραβίασης (Data breach impact assessment)
    • Ενέργειες αντίδρασης για τον περιορισμό του κινδύνου από την παραβίαση

  9. Reporting 
    • τήρηση εγγράφων με όλες τις ενέργειες συμμόρφωσης που ακολούθησε η επιχείρηση ώστε να είναι δυνατή η απόδειξη της συμμόρφωσης προς τις αρμόδιες αρχές

Υπηρεσίες Εξωπορισμού (Outsourcing)


  • Data Protection Officer (Ορισμός Υπευθύνου Επεξεργασίας Δεδομένων)
  • Παρακολούθηση και επικαιροποίηση των διαδικασιών και των συστημάτων (Monitoring, Review)
  • Δοκιμαστικοί έλεγχοι συστημάτων και διαδικασιών (GDPR Auditing)
  • Ανάληψη του Reporting σε μηνιαία βάση


Εύλογος χρόνος ολοκλήρωσης του έργου: 3 μήνες
Κατά την ολοκλήρωση του έργου θα παραδοθεί σχετικό εγχειρίδιο σε ψηφιακή μορφή.

Επικεφαλής – υπεύθυνος για την εφαρμογή
Σωκράτης Βερτέλλης – Δικηγόρος / Data Protection Officer
LLM in Information & Communication Technology Law
Queen Mary University of London
DEA (LLM) Droit des Affaires et de l’Economie
Université Paris 1 Panthéon-Sorbonne

 

 

  • logo foot
  •   Ελευθερίου Βενιζέλου 75,
         Νέα Ιωνία, Αττική, 142 31
  •   210 2715449
  •   info@ibl.gr
  • GDPR

Παροχή υπηρεσιών συμόρφωσης με το Ευρωπαϊκό πρότυπο General Data Protection Regulation για την Προστασία Προσωπικών Δεδομένων

  • lsa
Πολιτική ΑπορρήτουΠολιτική cookies
Copyright © 2023 IBL. All rights reserved. Designed by Attenzo