Ο Dr. Λεωνίδας Κανέλλος γράφει :

Dr. Λεωνίδας Κανέλλος

Τα υψηλής ποιότητας εκπαιδευτικά σεμινάρια της TÜV HELLAS (TÜV NORD) από έμπειρους εκπαιδευτές, αναλύουν τις επιπτώσεις για οργανισμούς και επιχειρήσεις των διατάξεων του νέου Ευρωπαϊκού Κανονισμού 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (Γενικός Κανονισμός για την Προστασία Δεδομένων – General Data Protection Regulation).

 

Μονοήμερο σεμινάριο GDPR

Προσφέρει σε στελέχη οργανισμών και επιχειρήσεων (εμπορικούς, πληροφορικούς, νομικούς, στελέχη κανονιστικής συμμόρφωσης κλπ), μια εισαγωγή στην έννοια των προσωπικών δεδομένων, στους κινδύνους προσβολής, στις διατάξεις του Κανονισμού ενώ περιγράφει αναλυτικά τα βήματα κανονιστικής συμμόρφωσης των οργανισμών και επιχειρήσεων δημόσιου και ιδιωτικού τομέα.

Απευθύνεται σε ένα ευρύτατο κύκλο ενδιαφερομένων για να γνωρίσουν τις επιπτώσεις του Κανονισμού, να προσαρμοστούν στις απαιτήσεις του και να αποκτήσουν μια επαγγελματική διέξοδο σε ένα πολλά υποσχόμενο επαγγελματικό κλάδο.


Τριήμερο σεμινάριο εκπαίδευσης DPOs

Προς πιστοποίηση κατά ISO 17024 Υπευθύνων Προστασίας Δεδομένων (Data Protection Officers - DPOs) προσφέρει εξειδικευμένη γνώση όσων ενδιαφέρονται να αποκτήσουν δεξιότητες και προσόντα πρόσβασης στο καλά αμειβόμενο και με μεγάλη ζήτηση (αναμένονται πανευρωπαϊκά 70.000 νέες θέσεις εργασίας) επάγγελμα που εισάγει ο κανονισμός. Παρέχει μια πλήρη πρακτική εξοικείωση, μέσω case studies, με τις νέες έννοιες (ανωνυμοποίηση, ψευδωνυμοποίηση, μελέτη αντικτύπου ιδιωτικότητας, ανάλυση ρίσκου κλπ) και τα εργαλεία του Κανονισμού για σύννομη επεξεργασία δεδομένων και τη διασφάλιση των δικαιωμάτων του ατόμου.

 

Λίγα λόγια για τον Κανονισμό περί Προστασίας Προσωπικών Δεδομένων

Πεδίο εφαρμογής

Στο ρυθμιστικό πεδίο του Κανονισμού, που θα ισχύσει από 25.5.2018 υπάγονται αδιακρίτως όλοι οι δημόσιοι οργανισμοί, υπουργεία, φορείς κοινωνικής ασφάλισης, εκπαιδευτικά ιδρύματα, νοσοκομεία, εμπορικές, διαφημιστικές, τηλεπικοινωνιακές και λοιπές επιχειρήσεις, σωματεία, ΜΚΟ κλπ. που συλλέγουν (ως Υπεύθυνοι Επεξεργασίας) και επεξεργάζονται (ως Εκτελούντες Επεξεργασία) προσωπικά δεδομένα εργαζομένων, πελατών, προμηθευτών και τρίτων. Σε περίπτωση παραβάσεων ο Κανονισμός προβλέπει κοινή ευθύνη υπευθύνων και εκτελούντων με δυνατότητα επιβολής διοικητικών προστίμων από την Εποπτική Αρχή (ΑΠΔΠΧ) έως 4% του τζίρου ή μέχρι 20 εκ Ευρώ.


Έννοια προσωπικών δεδομένων

Στην έννοια των προσωπικών δεδομένων ανήκει κάθε δεδομένο που σχετίζεται με ένα άτομο εν ζωή και παράγεται στη δημόσια σφαίρα, στον επαγγελματικό τομέα αλλά και στην ιδιωτική του ζωή. Πρόκειται για στοιχεία όπως όνομα, φωτογραφίες, ΑΦΜ, ΑΜΚΑ, φυσικές και ηλεκτρονικές διευθύνσεις, είτε αποθηκεύεται σε χαρτί, όπως αρχεία πελατών, εργαζομένων, μελών, καρτέλες, ιατρικές συνταγές, είτε σε ηλεκτρονικό μέσο όπως αρχεία, κινητές συσκευές εικόνας και ήχου, log files δικτύων wi-fi, cookies διαδικτυακών ιστοσελίδων κλπ. Ιδιαίτερης προστασίας απολαμβάνουν τα «ευαίσθητα δεδομένα ειδικών κατηγοριών» (υγείας, πολιτικών πεποιθήσεων, σεξουαλικού προσανατολισμού, ποινικών καταδικών κλπ), των οποίων η επεξεργασία απαγορεύεται, πλην ρητών εξαιρέσεων.

 

Αρχές επεξεργασίας και δικαιώματα των υποκειμένων

Διατηρώντας τα παραδοσιακά δικαιώματα των υποκειμένων (δικαίωμα ενημέρωσης, πρόσβασης, αντίρρησης, προσωρινής δικαστικής προστασίας κλπ.) και αρχές επεξεργασίας (αναλογικότητα, περιορισμός σκοπού και χρονικής διάρκειας διατήρησης) η ευρωπαϊκή νομοθεσία προβλέπει και νέα δικαιώματα των πολιτών, όπως το δικαίωμα στη λήθη με τη διαγραφή δεδομένων καθώς και η φορητότητα δεδομένων, όταν το υποκείμενο αλλάζει προμηθευτή (π.χ εταιρία τηλεπικοινωνιών, χρηματοπιστωτικό η ασφαλιστικό φορέα). Η νέα νομοθεσία προβλέπει ακόμα ρητές διαδικασίες διαβίβασης δεδομένων σε τρίτους (π.χ. υποκαταστήματα, πολυεθνικές εταιρίες, cloud providers). Η διαβίβαση δεδομένων εντός του Ευρωπαϊκού Οικονομικού Χώρου είναι ελεύθερη, σε αντίθεση με τη διαβίβαση σε τρίτες χώρες εκτός Ευρώπης (π.χ ΗΠΑ, Ασία) η οποία υπόκειται σε συγκεκριμένες αυστηρές προϋποθέσεις (αντίστοιχο επίπεδο προστασίας, απόφαση “επάρκειας” της αλλοδαπής νομοθεσίας, δεσμευτικοί εταιρικοί κανόνες, τυποποιημένες συμβάσεις, εγκεκριμένοι κώδικες δεοντολογίας, συμμόρφωση προς πρότυπα ασφαλείας).

 

Υποχρεώσεις Υπευθύνων και εκτελούντων επεξεργασία

Στο πλαίσιο του Κανονισμού, ο Υπεύθυνος επεξεργασίας οφείλει να λάβει τα κατάλληλα τεχνικά και οργανωτικά αντίμετρα ώστε να διασφαλίζεται η αποτελεσματική προστασία και ο περιορισμός ευθύνης των διοικούντων και των εργαζομένων. Μεταξύ αυτών περιλαμβάνονται μελέτες επιπτώσεων ιδιωτικότητας, αναθεώρηση πολιτικών ασφαλείας, συμμόρφωση προς πρότυπα, ανασχεδιασμός πληροφοριακών συστημάτων, διαδικασίες και λογισμικά εργαλεία ανωνυμοποίησης και κρυπτογράφησης, εκπαίδευση προσωπικού, διορισμός Υπευθύνου Επεξεργασίας Δεδομένων (Data Protection Officer – DPO), διαδικασίες αναφοράς συμβάντων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), διαδικασίες ανάκαμψης από προσβολές, ασφαλιστική κάλυψη κινδύνων κλπ. Η ύπαρξη των ως άνω θεσμοθετημένων διαδικασιών και εργαλείων πρέπει να αποδεικνύεται σε περίπτωση ελέγχου από τις Εποπτικές Αρχές.