10 Βήματα προετοιμασίας για την εφαρμογή του νέου Γενικού Κανονισμού για την Προστασία των Προσωπικών Δεδομένων
Στις 24 Μαΐου 2016 τέθηκε σε ισχύ ο ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων).
Ο Κανονισμός αυτός θα εφαρμοστεί από τις 24 Μαΐου 2018. Κατά την ημερομηνία αυτή, κάθε υπεύθυνος επεξεργασίας θα πρέπει να ενεργεί σε συμμόρφωση με τις διατάξεις του Κανονισμού.
Οι οργανισμοί, τόσο του δημόσιου όσο και του ιδιωτικού τομέα, θα πρέπει να αξιοποιήσουν το χρονικό διάστημα των δύο χρόνων που παρέχει ο Κανονισμός για να είναι έτοιμοι να τον εφαρμόσουν στις 24 Μαΐου 2018.
Το Γραφείο Επιτρόπου Προστασίας Προσωπικού Χαρακτήρα Κύπρου ετοίμασε, για καθοδήγηση, τα πιο κάτω 10 βήματα, για την καλύτερη προετοιμασία των υπεύθυνων επεξεργασίας:
1. Ενημέρωση
Διαβάστε τον Κανονισμό. Εντοπίστε πτυχές που μπορεί να επηρεάζουν τον Οργανισμό σας. Συζητήστε τις με συναδέλφους που ασχολούνται με θέματα προσωπικού ή τεχνικά θέματα μηχανογράφησης ή διαχείρισης βάσεων δεδομένων. Αν έχετε απορίες, συμβουλευτείτε τους νομικούς σας συμβούλους.
2. Καταγραφή δραστηριοτήτων
Καταγράψετε δραστηριότητες του οργανισμού που εμπίπτουν στον Κανονισμό. Η καταγραφή αυτή είναι χρήσιμη τόσο για την εσωτερική λειτουργία του οργανισμού όσο και για την εφαρμογή των Αρχών της Διαφάνειας και της Λογοδοσίας. Οι υπεύθυνοι επεξεργασίας θα έχουν υποχρέωση να συμμορφώνονται με τον Κανονισμό αλλά και υποχρέωση να επιδεικνύουν τη συμμόρφωσή τους.
3. Επικοινωνία
Ελέγξετε αν η πληροφόρηση που παρέχεται σε πολίτες, πελάτες ή εταίρους του οργανισμού, μέσω εντύπων ή της ιστοσελίδας του, χρειάζεται να διαφοροποιηθεί και προσαρμοστεί ανάλογα. Αν ο οργανισμός έχει Πολιτική Προστασίας της Ιδιωτικής Ζωής (Privacy Policy), ελέγξετε ποιες πτυχές της χρήζουν εκσυγχρονισμού, σε συμμόρφωση με τον Κανονισμό.
4. Δικαιώματα
Ο Κανονισμός ενισχύει τα υφιστάμενα δικαιώματα των πολιτών και επιπλέον, δημιουργεί και νέα δικαιώματα. Ελέγξετε πώς τα δικαιώματα αυτά επηρεάζουν τις δραστηριότητες του οργανισμού σας. Επίσης, συζητήστε με τους συναδέλφους σας τους τρόπους με τους οποίους οι πολίτες θα μπορούν να ασκούν τα δικαιώματά τους. Με την εφαρμογή του Κανονισμού, ίσως χρειαστεί να υιοθετήσετε και να γνωστοποιήσετε στο κοινό μια τυποποιημένη διαδικασία για την άσκηση των δικαιωμάτων.
5. Νομική βάση
Κάθε δραστηριότητα του οργανισμού θα πρέπει να υπακούει στις προϋποθέσεις για νόμιμη επεξεργασία που καθορίζει ο Κανονισμός, Παρόλο που οι προϋποθέσεις αυτές είναι σε μεγάλο βαθμό όμοιες με τις υφιστάμενες, ο κάθε οργανισμός θα πρέπει να είναι σε θέση να δικαιολογήσει, εφόσον χρειαστεί, τη νομική βάση στην οποία βασίζεται η κάθε δραστηριότητα του.
6. Συγκατάθεση
Ο Κανονισμός, όπως και η υφιστάμενη νομοθεσία, διαχωρίζει μεταξύ της «συγκατάθεσης» και της «ρητής συγκατάθεσης» που λαμβάνεται για την επεξεργασία ευαίσθητων δεδομένων. Σε αντίθεση όμως με την υφιστάμενη νομοθεσία, ο Κανονισμός θέτει συγκεκριμένες προϋπόθεσης για τη λήψη της συγκατάθεσης. Αν οι δραστηριότητες ενός οργανισμού βασίζονται στη συγκατάθεση, δώστε ιδιαίτερη προσοχή στις σχετικές πρόνοιες του Κανονισμού. Για υπηρεσία της κοινωνίας των πληροφοριών απευθείας σε παιδί, θα πρέπει να λαμβάνεται η συγκατάθεση του προσώπου πού έχει τη γονική μέριμνα του παιδιού.
7. Παραβίαση προσωπικών δεδομένων
Ο οργανισμός πρέπει να λαμβάνει εκσυγχρονισμένα τεχνικά και διαδικαστικά μέτρα για την προστασία των δεδομένων που χειρίζεται. Σε περίπτωση παραβίασης ή υποκλοπής βάσεων δεδομένων, ο οργανισμός ίσως πρέπει να ενημερώσει την Επίτροπο και/ ή τα επηρεαζόμενα πρόσωπα. Εξετάστε αν τα μέτρα ασφάλειας που εφαρμόζει ο οργανισμός σας ανταποκρίνονται στις απαιτήσεις του Κανονισμού.
8. Δραστηριότητες ψηλού κινδύνου
Ο Κανονισμός αναγνωρίζει ορισμένες δραστηριότητες ως ψηλού κινδύνου. Οργανισμός που εμπλέκεται σε τέτοιες δραστηριότητες, ενδεχομένως να έχει υποχρέωση διεξαγωγής εκτίμησης κινδύνου για κάθε δραστηριότητα. Ορισμένοι οργανισμοί, λόγω μεγέθους, ή λόγω φύσης δραστηριοτήτων, θα πρέπει να ορίζουν Υπεύθυνους Προστασίας Δεδομένων (ΥΠΔ). Ο ΥΠΔ μπορεί να είναι υπάλληλος του οργανισμού ή εξωτερικός συνεργάτης. Οργανισμός που χρησιμοποιεί ή αναπτύσσει/ σχεδιάζει μηχανογραφημένα συστήματα επεξεργασίας δεδομένων ή νέες τεχνολογίες ή εφαρμογές, θα πρέπει να λάβει υπόψη τις πρόνοιες του Κανονισμού, σχετικά με την ενσωμάτωση δικλίδων ασφαλείας (data protection by design and by default).
9. Ενιαία θυρίδα και Μηχανισμός Συνεκτικότητας
Οργανισμός που εδρεύει και δραστηριοποιείται σε περισσότερα από ένα Κράτη Μέλη έχει το δικαίωμα να ορίσει το Κράτος Μέλος στο οποίο θα έχει την κύρια έδρα του και, κατά κανόνα, θα συναλλάσσεται με την Αρχή Προστασίας Προσωπικών Δεδομένων του Κράτους αυτού. Για αποφάσεις που λαμβάνονται από κοινού μεταξύ ξεχωριστών οργανισμών, ο Κανονισμός εισάγει το θεσμό των συνυπεύθυνων επεξεργασίας. Για διασυνοριακές περιπτώσεις που χρήζουν της συνεργασίας των Αρχών, ο Κανονισμός εισάγει το μηχανισμό συνεκτικότητας και καθορίζει το ρόλο της κάθε Αρχής ως «επικεφαλής» ή «αρμόδιας» ή ως «ενδιαφερόμενης» Αρχής.
10. Γνωστοποιήσεις, Διασυνδέσεις, Διαβιβάσεις
Ο Κανονισμός καταργεί το υφιστάμενο σύστημα Γνωστοποιήσεων και έκδοσης αδειών Διασύνδεσης αρχείων ή Διαβίβασης δεδομένων σε τρίτες χώρες αλλά, δημιουργεί νέες, αντίστοιχες υποχρεώσεις, με τις οποίες οι οργανισμοί θα πρέπει να είναι έτοιμοι να συμμορφωθούν τον Μάιο του 2018. Τέτοιες υποχρεώσεις είναι, η καταγραφή διαδικασιών, η διεξαγωγή εκτίμησης κινδύνου, οι κώδικες πρακτικής, η πιστοποίηση διαδικασιών και ο υπεύθυνος προστασίας των δεδομένων. Κάθε οργανισμός θα πρέπει να γνωρίζει σε ποιες από αυτές τις υποχρεώσεις υπόκειται.
Πηγή:https://www.dataprotection.gov.cy