Οδηγίες για την Εφαρμογή του Κανονισμού Προσωπικών Δεδομένων

Τρεις είναι οι βασικές προϋποθέσεις με οριζόντια ισχύ, προτού μία επιχείρηση εκκινήσει την προσπάθειά της να ακολουθήσει τα βήματα για την ορθή εφαρμογή του Κανονισμού Προσωπικών Δεδομένων.

Οδηγίες για την Εφαρμογή του Κανονισμού Προσωπικών Δεδομένων 1

Tα ίδια τα δεδομένα και η αγορά που διαμορφώνεται γύρω από αυτά διογκώνονται, αυξάνονται εκθετικά και μαζί και οι κίνδυνοι παραβίασής τους ακόμη και σε μεγάλες επιχειρήσεις, με εξαιρετικά δυσμενείς επιπτώσεις.

Ταυτόχρονα, η διαχείρισή τους με σεβασμό στην προσωπικότητα και την ιδιωτική ζωή του καθενός μας, θα γίνει σταδιακά βασικό κριτήριο αξιολόγησης κάθε επιχείρησης, που χειρίζεται προσωπικά δεδομένα.

Ο κανονισμός, προβλέποντας ένα αρκετά αυστηρό και γραφειοκρατικό πλαίσιο, έρχεται να θωρακίσει την ιδιωτικότητα και να μεταθέσει την ευθύνη της προστασίας στην ίδια την επιχείρηση, προβλέποντας κυρώσεις για όσους αποτύχουν να συμμορφωθούν με τις απαιτήσεις του.

Συνεπώς, η συμμόρφωση με τις απαιτήσεις του Ευρωπαϊκού Κανονισμού, παρουσιάζει ένα δίλημμα για τον επιχειρηματικό κόσμο: θα την αντιμετωπίσουμε ως άλλη μια κανονιστική υποχρέωση - δηλαδή σαν βάρος - ή σαν μια ευκαιρία αλλαγής του επιχειρηματικού μοντέλου και εισαγωγής της επιχείρησης στον κόσμο της ψηφιακής οικονομίας.

Παρότι η «συμμόρφωση» φαίνεται να συνεπάγεται υψηλά κόστη και βαριές διαδικασίες, εκείνος που θα μετατρέψει την κουλτούρα σεβασμού και προστασίας των προσωπικών δεδομένων σε πυρήνα της καθημερινής του λειτουργίας, θα αποκτήσει αυτόματα ένα «ανταγωνιστικό πλεονέκτημα».

Θα είναι σε θέση να αποδείξει στον καταναλωτή, τον πελάτη, τον προμηθευτή, τον εργαζόμενο, όχι μόνο ότι έχει λάβει τα απαραίτητα μέτρα προστασίας των προσωπικών δεδομένων τους, αλλά και ότι είναι διαρκώς σε θέση να τα διατηρεί προστατευμένα.

Τα προτεινόμενα βήματα για την ορθή εφαρμογή του Κανονισμού δεν είναι μοναδικά, όμως, η κάθε επιχείρηση, με βάση τις δικές τις ανάγκες, τα χαρακτηριστικά (φύση και όγκος δεδομένων), το μέγεθος, το αντικείμενο των εργασιών και τη στρατηγική της, μπορεί να προσαρμοστεί και να πετύχει τον σκοπό της.

Οδηγίες για την Εφαρμογή του Κανονισμού Προσωπικών Δεδομένων

Τρεις είναι οι βασικές προϋποθέσεις με οριζόντια ισχύ, προτού μία επιχείρηση εκκινήσει την προσπάθειά της να ακολουθήσει τα βήματα για την ορθή εφαρμογή του Κανονισμού, δίχως τις οποίες δεν μπορεί να επιτευχθεί η συμμόρφωση.

Πρώτα από όλα, απαιτείται να κατανοήσει την αναγκαιότητα συμμόρφωσης και έμπρακτα να αποφασίσει να δράσει προς αυτήν την κατεύθυνση.

Δεύτερον, απαιτείται η εξασφάλιση του σχετικού προϋπολογισμού, ο οποίος είναι απαραίτητος για την υλοποίηση του πλάνου συμμόρφωσης.

Τρίτον, είναι σημαντικό να ενημερωθεί το σύνολο του προσωπικού για το νέο νομικό πλαίσιο και τις επερχόμενες αλλαγές, διαφορετικά θα προκύψουν προβλήματα στην υλοποίηση.

Ειδικότερα, τα προτεινόμενα βήματα για την ορθή εφαρμογή του Κανονισμού από τις επιχειρήσεις έχουν ως εξής:

Βήμα 1: Σύσταση Ομάδας Εργασίας

Σύσταση Ομάδα Εργασίας, η οποία θα απαρτίζεται από εκπροσώπους Διευθύνσεων που εμπλέκονται περισσότερο με την προστασία των προσωπικών δεδομένων. Ενδεικτικά, αναφέρονται οι Διευθύνσεις Πληροφορικής, Νομικής και Ανθρώπινου Δυναμικού.

Βήμα 2: Ορισμός Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ)

Υποχρεωτικό βήμα για όσες επιχειρήσεις προβαίνουν σε μεγάλης κλίμακας επεξεργασία προσωπικών δεδομένων, προαιρετικό για τις υπόλοιπες.

Ο ΥΠΔ συμβουλεύει την επιχείρηση για τις υποχρεώσεις που απορρέουν από τον Κανονισμό και παρακολουθεί τις ενέργειες συμμόρφωσης με αυτόν.

Συμμετέχει ενεργά σε όλα τα ζητήματα που σχετίζονται με τον Κανονισμό και αποτελεί το πρόσωπο επικοινωνίας τόσο με τα υποκείμενα των δεδομένων όσο και με την εποπτική Αρχή.

Ο ΥΠΔ πρέπει να είναι άτομο κατάλληλα καταρτισμένο και προσεκτικά επιλεγμένο ώστε να είναι σε θέση να διεκπεραιώσει τις υποχρεώσεις του.

Βήμα 3: Χαρτογράφηση της Ροής των Δεδομένων

Η χαρτογράφηση της πορείας των δεδομένων προσωπικού χαρακτήρα που τηρούνται και επεξεργάζονται εντός επιχείρησης (δηλαδή των δεδομένων προσωπικού, πελατών, προμηθευτών και τρίτων προσώπων) αποτελεί μια διαδικασία μέσω της οποίας απαντώνται τα εξής ερωτήματα:

Τί είδους δεδομένα, για ποιο σκοπό, πόσο συχνά, πώς αποκτώνται, πού υπάρχουν, ποιος έχει πρόσβαση και τα επεξεργάζεται, για πόσο χρόνο διακρατούνται.

Βήμα 4: Εντοπισμός και Ανάλυση Κινδύνων και Ελλείψεων

Αξιοποιώντας την πλήρη γνώση της ροής των προσωπικών δεδομένων η επιχείρηση οφείλει να καταγράψει τους πιθανούς κινδύνους και τις ελλείψεις που - ενδεχομένως - εντοπίστηκαν.

Βήμα 5: Εκπόνηση Εκτίμησης Αντικτύπου Σχετικά με την Προστασία Δεδομένων (ΕΑ)

Υποχρεωτικό βήμα για όσες επιχειρήσεις προβαίνουν σε επεξεργασία που ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, προαιρετικό για τις υπόλοιπες.

Η εκπόνηση της ΕΑ εξ ορισμού προηγείται της επεξεργασίας των δεδομένων και περιλαμβάνει ανάλυση για τις πιθανότητες επέλευσης κινδύνων και τις συνέπειες στα προσωπικά δεδομένα.

Καταλήγει σε κατηγοριοποίηση των δραστηριοτήτων επεξεργασίας σε υψηλού, μεσαίου και χαμηλού κινδύνου και σε επανεξέταση των απαιτούμενων διαδικασιών σε κάθε περίπτωση.

Οδηγίες για την Εφαρμογή του Κανονισμού Προσωπικών Δεδομένων 3

Βήμα 6: Αναθεώρηση Πολιτικών και Διαδικασιών

Με βάση τα συμπεράσματα των βημάτων 4 και 5, η επιχείρηση προβαίνει σε αναθεώρηση των πολιτικών και των διαδικασιών τήρησης και επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Βήμα 7: Αξιοποίηση των Εργαλείων Πληροφορικής

Κάθε επιχείρηση ανάλογα με τη φύση των εργασιών της, τα μεγέθη και τις δυνατότητές της, οφείλει να αξιοποιήσει κάποια από τα εργαλεία πληροφορικής, που ενισχύουν την ασφάλεια των συστημάτων.

Βήμα 8: Ανάπτυξη 2 Διαδικασιών Γνωστοποίησης Εποπτικής Αρχής

1. Διαδικασία γνωστοποίησης της παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική Αρχή, εντός μόλις 72 ωρών από τη στιγμή που η επιχείρηση αποκτά γνώση του γεγονότος.

2. Διαδικασία άμεσης ανακοίνωσης της παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, όταν υπάρχει ενδεχόμενο να τεθούν σε υψηλό κίνδυνο τα δικαιώματα και οι ελευθερίες του.

Βήμα 9: Δοκιμαστικοί Έλεγχοι Συστημάτων και Διαδικασιών

Δοκιμαστικοί έλεγχοι επί των συστημάτων και διαδικασιών που έχει αναπτύξει η επιχείρηση στα προηγούμενα βήματα, προκειμένου να εξασφαλιστεί ότι οι ενέργειες συμμόρφωσης θα δουλέψουν αποτελεσματικά στην πράξη..

Βήμα 10: Διαρκής Παρακολούθηση και Επικαιροποίηση των Διαδικασιών και των Συστημάτων

Η συμμόρφωση στον Κανονισμό είναι μια δυναμική «άσκηση» και στο πλαίσιο αυτό οι επιχειρήσεις οφείλουν συνεχώς να επικαιροποιούν τις διαδικασίες και τα συστήματά τους.

Επιβάλλεται συνεχής επαγρύπνηση και διαρκής παρακολούθηση, καθώς οι κίνδυνοι παραβίασης των δεδομένων είναι πιθανοί ανά πάσα στιγμή.

Βήμα 11: Εκπαίδευση Προσωπικού

Η επιχείρηση οργανώνει εκπαιδευτικές δράσεις, προς το σύνολο του προσωπικού, προκειμένου να εξασφαλίσει ότι όλοι γνωρίζουν τις πολιτικές και τις διαδικασίες που έχουν αναπτυχθεί για την προστασία των προσωπικών δεδομένων, γιατί είναι σημαντικές για την επιχείρηση, αλλά και τι πρέπει να κάνουν σε περίπτωση που αντιληφθούν απειλή παραβίασης.

www.PharmaManage.gr 

Με την περιήγησή σας στο pharmamanage.gr αποδέχεστε την χρήση cookies.