Λίστα ελέγχου συμμόρφωσης GDPR – Ιστολόγιο της IBM

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) είναι ένας νόμος της Ευρωπαϊκής Ένωσης (ΕΕ) που διέπει τον τρόπο με τον οποίο οι οργανισμοί συλλέγουν και χρησιμοποιούν προσωπικά δεδομένα. Κάθε εταιρεία που δραστηριοποιείται στην ΕΕ ή χειρίζεται δεδομένα κατοίκων της ΕΕ πρέπει να συμμορφώνεται με τις απαιτήσεις του GDPR.

Ωστόσο, η συμμόρφωση με τον GDPR δεν είναι απαραιτήτως απλή υπόθεση. Ο νόμος περιγράφει ένα σύνολο από Προστασία προσωπικών δεδομένων δικαιώματα για τους χρήστες και μια σειρά αρχών για την επεξεργασία προσωπικών δεδομένων. Οι οργανισμοί πρέπει να υποστηρίζουν αυτά τα δικαιώματα και τις αρχές, αλλά ο GDPR αφήνει κάποιο περιθώριο σε κάθε εταιρεία να αποφασίσει πώς.

Το διακύβευμα είναι υψηλό και ο GDPR επιβάλλει σημαντικές κυρώσεις για μη συμμόρφωση. Οι πιο σοβαρές παραβάσεις μπορεί να οδηγήσουν σε πρόστιμα έως και 20,000,000 ευρώ ή 4% του παγκόσμιου κύκλου εργασιών του οργανισμού κατά το προηγούμενο έτος. Οι ρυθμιστικές αρχές του GDPR μπορούν επίσης να τερματίσουν τις παράνομες δραστηριότητες επεξεργασίας δεδομένων και να υποχρεώσουν τους οργανισμούς να κάνουν αλλαγές.

Η παρακάτω λίστα ελέγχου καλύπτει τους βασικούς κανονισμούς GDPR. Ο τρόπος με τον οποίο ένας οργανισμός πληροί αυτούς τους κανονισμούς θα εξαρτηθεί από τις μοναδικές του συνθήκες, συμπεριλαμβανομένων των ειδών δεδομένων που συλλέγει και του τρόπου με τον οποίο χρησιμοποιεί αυτά τα δεδομένα.

Βασικά στοιχεία GDPR

Ο GDPR ισχύει για κάθε οργανισμό που εδρεύει στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ). Ο ΕΟΧ περιλαμβάνει και τα 27 κράτη μέλη της ΕΕ συν την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία.

Ο GDPR ισχύει επίσης για οργανισμούς εκτός του ΕΟΧ εάν:

• Η εταιρεία προσφέρει τακτικά αγαθά ή υπηρεσίες σε κατοίκους του ΕΟΧ, ακόμη και αν δεν ανταλλάσσονται χρήματα.
• Η εταιρεία παρακολουθεί τακτικά τη δραστηριότητα των κατοίκων του ΕΟΧ, όπως με τη χρήση cookies παρακολούθησης.
• Η εταιρεία επεξεργάζεται δεδομένα για λογαριασμό εταιρείας που εδρεύει στον ΕΟΧ.

Ο GDPR δεν ισχύει μόνο για επιχειρήσεις που χρησιμοποιούν δεδομένα πελατών για εμπορικούς σκοπούς. Ισχύει για σχεδόν κάθε οργανισμό που επεξεργάζεται δεδομένα κατοίκων του ΕΟΧ για οποιονδήποτε σκοπό. Τα σχολεία, τα νοσοκομεία και οι κρατικοί φορείς υπάγονται στην αρχή του GDPR.

Οι μόνες δραστηριότητες επεξεργασίας δεδομένων που εξαιρούνται από τον GDPR είναι δραστηριότητες εθνικής ασφάλειας ή επιβολής του νόμου και καθαρά προσωπικές χρήσεις δεδομένων.

Χρήσιμοι ορισμοί

Ο GDPR χρησιμοποιεί κάποια συγκεκριμένη ορολογία. Για να κατανοήσουν τις απαιτήσεις συμμόρφωσης, οι οργανισμοί πρέπει να κατανοήσουν τι σημαίνουν αυτοί οι όροι σε αυτό το πλαίσιο.

Ο GDPR ορίζει προσωπικά δεδομένα όπως κάθε πληροφορία που σχετίζεται με έναν αναγνωρίσιμο άνθρωπο. Τα πάντα, από τις διευθύνσεις ηλεκτρονικού ταχυδρομείου έως τις πολιτικές απόψεις μετρούν ως προσωπικά δεδομένα.

A υποκείμενο δεδομένων είναι ο άνθρωπος που κατέχει τα δεδομένα. Με άλλα λόγια, είναι το άτομο με το οποίο σχετίζονται τα δεδομένα. Ας υποθέσουμε ότι μια εταιρεία συλλέγει αριθμούς τηλεφώνου για να στείλει μηνύματα μάρκετινγκ μέσω SMS. Οι κάτοχοι αυτών των αριθμών τηλεφώνου θα είναι υποκείμενα δεδομένων.

Όταν ο GDPR αναφέρεται σε υποκείμενα των δεδομένων, σημαίνει τα υποκείμενα των δεδομένων που διαμένουν στον ΕΟΧ. Τα υποκείμενα δεν χρειάζεται να είναι πολίτες της ΕΕ για να έχουν δικαιώματα απορρήτου δεδομένων βάσει του GDPR. Πρέπει απλώς να είναι κάτοικοι του ΕΟΧ.

A υπεύθυνος επεξεργασίας δεδομένων είναι κάθε οργανισμός, ομάδα ή άτομο που λαμβάνει προσωπικά δεδομένα και καθορίζει τον τρόπο χρήσης τους. Επιστρέφοντας σε ένα προηγούμενο παράδειγμα, μια εταιρεία που συλλέγει αριθμούς τηλεφώνου για σκοπούς μάρκετινγκ θα ήταν ελεγκτής. 

Επεξεργασία δεδομένων είναι κάθε ενέργεια που γίνεται σε δεδομένα, συμπεριλαμβανομένης της συλλογής, αποθήκευσης ή ανάλυσής τους. ΕΝΑ επεξεργαστής δεδομένων είναι κάθε οργανισμός ή παράγοντας που εκτελεί τέτοιες ενέργειες.

Μια εταιρεία μπορεί να είναι και υπεύθυνος επεξεργασίας και επεξεργαστής, όπως μια εταιρεία που συλλέγει αριθμούς τηλεφώνου και τους χρησιμοποιεί για να στείλει μηνύματα μάρκετινγκ. Οι επεξεργαστές περιλαμβάνουν επίσης τρίτα μέρη που επεξεργάζονται δεδομένα για λογαριασμό ελεγκτών, όπως μια υπηρεσία αποθήκευσης cloud που φιλοξενεί μια βάση δεδομένων αριθμών τηλεφώνου για άλλη επιχείρηση.

εποπτικές αρχές είναι οι ρυθμιστικοί φορείς που επιβάλλουν τις απαιτήσεις GDPR. Κάθε χώρα του ΕΟΧ έχει τη δική της εποπτική αρχή.

Εξερευνήστε λύσεις ασφάλειας και προστασίας δεδομένων

Η λίστα ελέγχου συμμόρφωσης GDPR

Σε υψηλό επίπεδο, ένας οργανισμός είναι συμβατός με το GDPR εάν:

• Τηρεί τις αρχές επεξεργασίας δεδομένων
• Υπερασπίζεται τα δικαιώματα των υποκειμένων των δεδομένων
• Εφαρμόζει τα κατάλληλα μέτρα ασφαλείας δεδομένων
• Ακολουθεί τους κανόνες για τη μεταφορά δεδομένων και την κοινή χρήση δεδομένων

Η ακόλουθη λίστα ελέγχου αναλύει περαιτέρω αυτές τις απαιτήσεις. Τα πρακτικά βήματα που κάνει ένας οργανισμός για να ανταποκριθεί σε αυτές τις απαιτήσεις θα εξαρτηθούν από την τοποθεσία, τους πόρους και τις δραστηριότητες επεξεργασίας δεδομένων, μεταξύ άλλων παραγόντων.

Αρχές επεξεργασίας δεδομένων

Ο GDPR δημιουργεί ένα σύνολο αρχών που πρέπει να ακολουθούν οι οργανισμοί κατά την επεξεργασία προσωπικών δεδομένων. Οι αρχές είναι οι εξής.

Ο οργανισμός έχει νόμιμη βάση για την επεξεργασία δεδομένων.

Ο GDPR ορίζει τις συνθήκες υπό τις οποίες οι εταιρείες μπορούν να επεξεργάζονται νομίμως προσωπικά δεδομένα. Ένας οργανισμός πρέπει να δημιουργήσει και να τεκμηριώσει τη νομική του βάση πριν συλλέξει οποιαδήποτε δεδομένα. Ο οργανισμός πρέπει να κοινοποιεί αυτή τη βάση στους χρήστες στο σημείο συλλογής δεδομένων. Δεν μπορεί να αλλάξει τη βάση εκ των υστέρων, εκτός εάν έχει τη συγκατάθεση του χρήστη να το κάνει.

Οι πιθανές νόμιμες βάσεις περιλαμβάνουν:

• Ο οργανισμός έχει τη συγκατάθεση του υποκειμένου για την επεξεργασία των δεδομένων του. Σημειώστε ότι η συναίνεση του χρήστη είναι έγκυρη μόνο εάν είναι ενημερωμένη, καταφατική και παρέχεται ελεύθερα.
  • Εν επιγνώσει συναίνεση σημαίνει ότι η εταιρεία εξηγεί με σαφήνεια ποια δεδομένα συλλέγει και πώς θα χρησιμοποιήσει αυτά τα δεδομένα.
  • Καταφατική συγκατάθεση σημαίνει ότι ο χρήστης πρέπει να προβεί σε κάποια σκόπιμη ενέργεια για να δείξει τη συγκατάθεσή του, όπως υπογράφοντας μια δήλωση ή επιλέγοντας ένα πλαίσιο. Η συναίνεση δεν μπορεί να είναι η προεπιλεγμένη επιλογή.
  • Ελεύθερη συγκατάθεση σημαίνει ότι η εταιρεία δεν επιχειρεί να επηρεάσει ή να εξαναγκάσει το υποκείμενο των δεδομένων. Το υποκείμενο πρέπει να μπορεί να αποσύρει τη συγκατάθεσή του ανά πάσα στιγμή.

• Ο οργανισμός έχει νομική υποχρέωση να επεξεργάζεται τα δεδομένα.

• Ο οργανισμός πρέπει να επεξεργάζεται τα δεδομένα για να προστατεύσει τη ζωή του υποκειμένου των δεδομένων ή άλλου ατόμου.

• Ο οργανισμός επεξεργάζεται δεδομένα για λόγους δημοσίου συμφέροντος, όπως η δημοσιογραφία ή η δημόσια υγεία.

• Ο οργανισμός είναι μια δημόσια αρχή που επεξεργάζεται δεδομένα για την εκτέλεση μιας επίσημης λειτουργίας.

• Ο οργανισμός επεξεργάζεται τα δεδομένα για την επιδίωξη έννομου συμφέροντος.
  • A έννομο συμφέρον είναι ένα όφελος που θα μπορούσε να αποκομίσει ο υπεύθυνος επεξεργασίας ή άλλο μέρος από την επεξεργασία των δεδομένων. Τα παραδείγματα περιλαμβάνουν τη διενέργεια ελέγχων ιστορικού σε υπαλλήλους ή την παρακολούθηση διευθύνσεων IP σε ένα εταιρικό δίκτυο για κυβερνασφάλεια σκοποί. Για να διεκδικήσει μια βάση έννομου συμφέροντος, ο οργανισμός πρέπει να αποδείξει ότι η επεξεργασία είναι απαραίτητη και δεν παραβιάζει τα δικαιώματα των υποκειμένων. 

Ο οργανισμός συλλέγει δεδομένα για συγκεκριμένο σκοπό και τα χρησιμοποιεί μόνο για αυτόν τον σκοπό.

Σύμφωνα με την αρχή του περιορισμού του σκοπού GDPR, οι υπεύθυνοι επεξεργασίας πρέπει να έχουν έναν προσδιορισμένο και τεκμηριωμένο σκοπό για τη συλλογή δεδομένων. Ο υπεύθυνος επεξεργασίας πρέπει να κοινοποιεί αυτό το σκοπό στους χρήστες στο σημείο συλλογής και μπορεί να χρησιμοποιήσει τα δεδομένα μόνο για αυτόν τον συγκεκριμένο σκοπό.

Ο οργανισμός συλλέγει μόνο τον ελάχιστο απαιτούμενο όγκο δεδομένων.

Οι υπεύθυνοι επεξεργασίας μπορούν να συλλέξουν μόνο τον ελάχιστο αριθμό δεδομένων που είναι απαραίτητοι για την εκπλήρωση του δηλωμένου σκοπού τους.

Ο οργανισμός διατηρεί τα δεδομένα ακριβή και ενημερωμένα.

Οι υπεύθυνοι επεξεργασίας πρέπει να λαμβάνουν εύλογα μέτρα για να διασφαλίζουν ότι τα προσωπικά δεδομένα που διατηρούν είναι ακριβή και ενημερωμένα. 

Ο οργανισμός διαγράφει δεδομένα όταν δεν είναι πλέον απαραίτητα.

Ο GDPR απαιτεί αυστηρές πολιτικές διατήρησης και διαγραφής δεδομένων. Οι εταιρείες μπορούν να διατηρούν δεδομένα μόνο έως ότου εκπληρωθεί ο καθορισμένος σκοπός συλλογής αυτών των δεδομένων και πρέπει να διαγράψουν τα δεδομένα όταν δεν τα χρειάζονται πλέον.

Ο οργανισμός λαμβάνει επιπλέον προφυλάξεις κατά την επεξεργασία δεδομένων παιδιών ή δεδομένων ειδικής κατηγορίας.

Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία πρέπει να εφαρμόζουν πρόσθετες προστασίες σε ορισμένους τύπους προσωπικών δεδομένων.

Ειδική κατηγορία Τα δεδομένα περιλαμβάνουν εξαιρετικά ευαίσθητα δεδομένα, όπως τη φυλή και τα βιομετρικά στοιχεία ενός ατόμου. Οι οργανισμοί μπορούν να επεξεργάζονται δεδομένα ειδικής κατηγορίας μόνο σε πολύ περιορισμένες περιπτώσεις, όπως για την πρόληψη σοβαρών απειλών για τη δημόσια υγεία. Οι εταιρείες μπορούν επίσης να επεξεργάζονται δεδομένα ειδικής κατηγορίας με τη ρητή συγκατάθεση του υποκειμένου.

Στοιχεία ποινικής καταδίκης μπορεί να ελέγχεται μόνο από δημόσιες αρχές. Οι υπεύθυνοι επεξεργασίας μπορούν να επεξεργαστούν αυτές τις πληροφορίες μόνο κατόπιν εντολής μιας δημόσιας αρχής.

Οι υπεύθυνοι επεξεργασίας πρέπει να λάβουν τη συγκατάθεση ενός γονέα πριν από την επεξεργασία δεδομένα των παιδιών. Πρέπει να λάβουν εύλογα μέτρα για να επαληθεύσουν τις ηλικίες των υποκειμένων και την ταυτότητα των γονέων. Εάν συλλέγουν δεδομένα από παιδιά, οι ελεγκτές πρέπει να παρουσιάζουν σημειώσεις απορρήτου σε γλώσσα φιλική προς τα παιδιά.

Κάθε κράτος του ΕΟΧ θέτει τον δικό του ορισμό του «παιδιού» σύμφωνα με τον GDPR. Αυτά κυμαίνονται από "οποιονδήποτε κάτω των 13 ετών" έως "οποιονδήποτε κάτω των 16 ετών". 

Ο οργανισμός τεκμηριώνει όλες τις δραστηριότητες επεξεργασίας δεδομένων.

Οι οργανισμοί με περισσότερους από 250 υπαλλήλους πρέπει να τηρούν αρχεία επεξεργασίας δεδομένων. Οι οργανισμοί με λιγότερους από 250 υπαλλήλους πρέπει να τηρούν αρχεία εάν επεξεργάζονται εξαιρετικά ευαίσθητα δεδομένα, επεξεργάζονται δεδομένα τακτικά ή επεξεργάζονται δεδομένα με τρόπο που ενέχει σημαντικό κίνδυνο για τα υποκείμενα των δεδομένων.

Οι υπεύθυνοι επεξεργασίας πρέπει να τεκμηριώνουν πράγματα όπως τα δεδομένα που συλλέγουν, τι κάνουν με αυτά τα δεδομένα, χάρτες ροής δεδομένων και διασφαλίσεις δεδομένων. Οι υπεύθυνοι επεξεργασίας πρέπει να τεκμηριώνουν τους ελεγκτές για τους οποίους εργάζονται, τους τύπους επεξεργασίας που κάνουν για κάθε ελεγκτή και τους ελέγχους ασφαλείας που χρησιμοποιούν.

Ο ελεγκτής είναι τελικά υπεύθυνος για τη διασφάλιση της συμμόρφωσης. 

Σύμφωνα με τον GDPR, η τελική ευθύνη για τη συμμόρφωση ανήκει στον υπεύθυνο επεξεργασίας των δεδομένων. Αυτό σημαίνει ότι ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίσει —και να μπορεί να αποδείξει— ότι οι τρίτοι επεξεργαστές του πληρούν όλες τις σχετικές απαιτήσεις GDPR. 

Δικαιώματα των υποκειμένων των δεδομένων

Ο GDPR παραχωρεί στα υποκείμενα των δεδομένων ορισμένα δικαιώματα επί των δεδομένων τους. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία πρέπει να τηρούν αυτά τα δικαιώματα.

Ο οργανισμός προσφέρει στα υποκείμενα των δεδομένων εύκολους τρόπους άσκησης των δικαιωμάτων τους.

Οι οργανισμοί πρέπει να παρέχουν στα υποκείμενα των δεδομένων έναν απλό τρόπο διεκδίκησης των δικαιωμάτων τους επί των δεδομένων τους. Αυτά τα δικαιώματα περιλαμβάνουν:

• Δικαίωμα πρόσβασης: Τα υποκείμενα πρέπει να μπορούν να ζητούν και να λαμβάνουν αντίγραφα των δεδομένων τους, καθώς και σχετικές πληροφορίες σχετικά με τον τρόπο με τον οποίο η εταιρεία χρησιμοποιεί τα δεδομένα.

• Δικαίωμα διόρθωσης: Τα υποκείμενα πρέπει να μπορούν να διορθώνουν ή να ενημερώνουν τα δεδομένα τους.

• Δικαίωμα διαγραφής: Τα υποκείμενα πρέπει να μπορούν να ζητήσουν τη διαγραφή των δεδομένων τους. 

• Το δικαίωμα περιορισμού της επεξεργασίας: Τα υποκείμενα πρέπει να μπορούν να περιορίζουν τον τρόπο με τον οποίο χρησιμοποιούνται τα δεδομένα τους εάν υποψιάζονται ότι τα δεδομένα είναι ανακριβή, δεν είναι πλέον απαραίτητα ή ότι χρησιμοποιούνται κατάχρηση. 

• Δικαίωμα αντίρρησης: Τα υποκείμενα πρέπει να μπορούν να αντιταχθούν στην επεξεργασία. Τα υποκείμενα που έχουν δώσει προηγουμένως τη συγκατάθεσή τους πρέπει να μπορούν να την αποσύρουν εύκολα ανά πάσα στιγμή.

• Το δικαίωμα στη φορητότητα των δεδομένων: Τα υποκείμενα έχουν το δικαίωμα να μεταφέρουν τα δεδομένα τους και οι υπεύθυνοι επεξεργασίας και οι υπεύθυνοι επεξεργασίας πρέπει να διευκολύνουν αυτές τις διαβιβάσεις.

Γενικά, οι οργανισμοί πρέπει να ανταποκρίνονται σε όλα τα αιτήματα πρόσβασης στα υποκείμενα των δεδομένων εντός 30 ημερών. Οι εταιρείες πρέπει συνήθως να συμμορφώνονται με το αίτημα ενός υποκειμένου, εκτός εάν η εταιρεία μπορεί να αποδείξει ότι έχει νόμιμο, επιτακτικό λόγο να μην το κάνει.

Εάν ένας οργανισμός απορρίψει ένα αίτημα, πρέπει να εξηγήσει γιατί. Ο οργανισμός πρέπει επίσης να πει στο υποκείμενο πώς να ασκήσει έφεση κατά της απόφασης στον υπεύθυνο προστασίας δεδομένων της εταιρείας ή στην αρμόδια εποπτική αρχή.

Ο οργανισμός προσφέρει στα υποκείμενα των δεδομένων έναν τρόπο να αμφισβητούν αυτοματοποιημένες αποφάσεις.

Σύμφωνα με τον GDPR, τα υποκείμενα των δεδομένων έχουν το δικαίωμα να μην δεσμεύονται από αυτοματοποιημένες διαδικασίες λήψης αποφάσεων που θα μπορούσαν να έχουν σημαντικό αντίκτυπο σε αυτά. Αυτό περιλαμβάνει τη δημιουργία προφίλ, την οποία ο GDPR ορίζει ως χρήση αυτοματοποίησης για την αξιολόγηση ορισμένων πτυχών ενός ατόμου, όπως η πρόβλεψη της απόδοσης της εργασίας του.

Εάν ένας οργανισμός χρησιμοποιεί αυτοματοποιημένες αποφάσεις, πρέπει να δώσει στα υποκείμενα των δεδομένων έναν τρόπο να αμφισβητήσουν αυτές τις αποφάσεις. Τα υποκείμενα μπορούν επίσης να ζητήσουν από έναν ανθρώπινο υπάλληλο να εξετάσει τυχόν αυτοματοποιημένες αποφάσεις που τους επηρεάζουν.

Ο οργανισμός είναι διαφανής σχετικά με τον τρόπο με τον οποίο χρησιμοποιεί προσωπικά δεδομένα.

Οι υπεύθυνοι επεξεργασίας και οι υπεύθυνοι επεξεργασίας πρέπει να ενημερώνουν προληπτικά και με σαφήνεια τα υποκείμενα των δεδομένων σχετικά με τις δραστηριότητες επεξεργασίας δεδομένων, συμπεριλαμβανομένων των δεδομένων που συλλέγουν, τι κάνουν με αυτά και πώς τα υποκείμενα μπορούν να ασκήσουν τα δικαιώματά τους επί των δεδομένων.

Αυτές οι πληροφορίες πρέπει συνήθως να κοινοποιούνται μέσω μιας ειδοποίησης απορρήτου που παρουσιάζεται στο υποκείμενο κατά τη συλλογή δεδομένων. Εάν η εταιρεία δεν συλλέγει προσωπικά δεδομένα απευθείας από τα υποκείμενα, οι ειδοποιήσεις απορρήτου πρέπει να αποστέλλονται στα υποκείμενα εντός ενός μήνα. Οι εταιρείες μπορούν επίσης να συμπεριλάβουν αυτές τις λεπτομέρειες στις πολιτικές απορρήτου που είναι δημόσια προσβάσιμες στους ιστότοπούς τους. 

Μέτρα προστασίας προσωπικών δεδομένων και προστασίας δεδομένων

Ο GDPR απαιτεί από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία να λαμβάνουν μέτρα για την πρόληψη της κακής χρήσης προσωπικών δεδομένων και την προστασία των υποκειμένων των δεδομένων από βλάβη.

Ο οργανισμός έχει εφαρμόσει κατάλληλους ελέγχους κυβερνοασφάλειας.

Οι ελεγκτές και οι επεξεργαστές πρέπει να αναπτυχθούν μέτρα ασφαλείας για την προστασία του απορρήτου και της ακεραιότητας των προσωπικών δεδομένων. Ο GDPR δεν απαιτεί ιδιαίτερους ελέγχους, αλλά ορίζει ότι οι εταιρείες πρέπει να υιοθετούν τόσο τεχνικά όσο και οργανωτικά μέτρα.

Τεχνικά μέτρα περιλαμβάνουν τεχνολογικές λύσεις, όπως π.χ διαχείριση ταυτότητας και πρόσβασης (IAM) πλατφόρμες, αυτοματοποιημένα αντίγραφα ασφαλείας και εργαλεία ασφάλειας δεδομένων. Ενώ ο GDPR δεν επιβάλλει ρητά κρυπτογράφηση δεδομένων, συνιστά στους οργανισμούς να χρησιμοποιούν την ψευδωνυμοποίηση και την ανωνυμοποίηση όπου είναι δυνατόν.

Οργανωτικά μέτρα περιλαμβάνει εκπαίδευση εργαζομένων, συνεχής εκτιμήσεων κινδύνου και άλλες πολιτικές και διαδικασίες ασφάλειας. Οι εταιρείες πρέπει επίσης να ακολουθούν την αρχή της προστασίας δεδομένων από τον σχεδιασμό και από προεπιλογή κατά τη δημιουργία ή την εφαρμογή νέων συστημάτων και προϊόντων.

Ο οργανισμός διενεργεί αξιολογήσεις επιπτώσεων στην προστασία δεδομένων (DPIA) όπως απαιτείται.

Εάν μια εταιρεία σκοπεύει να επεξεργαστεί δεδομένα με τρόπο που ενέχει υψηλό κίνδυνο για τα δικαιώματα των υποκειμένων, πρέπει πρώτα να διενεργήσει μια εκτίμηση επιπτώσεων στην προστασία δεδομένων (DPIA). Οι τύποι επεξεργασίας που θα μπορούσαν να προκαλέσουν μια DPIA περιλαμβάνουν, μεταξύ άλλων, την αυτοματοποιημένη δημιουργία προφίλ και τη μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων.

Ένα DPIA πρέπει να περιγράφει τα δεδομένα που χρησιμοποιούνται, την προβλεπόμενη επεξεργασία και τον σκοπό της επεξεργασίας. Πρέπει να προσδιορίζει τους κινδύνους της επεξεργασίας και τρόπους μετριασμού αυτών των κινδύνων. Εάν υπάρχει σημαντικός μη μετριασμένος κίνδυνος, ο οργανισμός πρέπει να συμβουλευτεί μια εποπτική αρχή πριν προχωρήσει.

Ο οργανισμός έχει ορίσει έναν υπεύθυνο προστασίας δεδομένων (DPO) εάν απαιτείται.

Ένας οργανισμός πρέπει να διορίσει έναν υπεύθυνο προστασίας δεδομένων (DPO) εάν παρακολουθεί θέματα σε μεγάλη κλίμακα ή επεξεργάζεται δεδομένα ειδικής κατηγορίας ως βασική δραστηριότητα. Όλες οι δημόσιες αρχές πρέπει επίσης να ορίσουν ΥΠΔ.

Ο DPO είναι υπεύθυνος για τη διασφάλιση της συμμόρφωσης του οργανισμού με τον GDPR. Τα βασικά καθήκοντα περιλαμβάνουν τον συντονισμό με τις αρχές προστασίας δεδομένων, την παροχή συμβουλών στον οργανισμό σχετικά με τις απαιτήσεις GDPR και την επίβλεψη των DPIA.

Ο ΥΠΔ πρέπει να είναι ανεξάρτητος αξιωματικός που αναφέρεται απευθείας στο ανώτατο επίπεδο διοίκησης. Ο οργανισμός δεν μπορεί να ανταποδώσει τον ΥΠΔ για την εκτέλεση των καθηκόντων του.

Ο οργανισμός ειδοποιεί τις εποπτικές αρχές και τα υποκείμενα των δεδομένων όταν συμβαίνουν παραβιάσεις δεδομένων.

Οι οργανισμοί πρέπει να αναφέρουν τα περισσότερα παραβιάσεις προσωπικών δεδομένων στην αρμόδια εποπτική αρχή εντός 72 ωρών. Εάν η παραβίαση ενέχει κίνδυνο για τα υποκείμενα των δεδομένων, ο οργανισμός πρέπει επίσης να ενημερώσει τα υποκείμενα. Οι οργανισμοί πρέπει να ειδοποιούν απευθείας τα υποκείμενα εκτός εάν η άμεση επικοινωνία θα ήταν παράλογη, οπότε μια δημόσια ειδοποίηση είναι αποδεκτή.

Οι υπεύθυνοι επεξεργασίας που υφίστανται παραβίαση πρέπει να ενημερώσουν τους αρμόδιους υπεύθυνους επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση.

Εάν βρίσκεται εκτός του ΕΟΧ, ο οργανισμός έχει ορίσει εκπρόσωπο στον ΕΟΧ.

Κάθε εταιρεία εκτός του ΕΟΧ που επεξεργάζεται τακτικά δεδομένα κατοίκων του ΕΟΧ ή επεξεργάζεται ιδιαίτερα ευαίσθητα δεδομένα πρέπει να διορίσει αντιπρόσωπο εντός του ΕΟΧ. Ο εκπρόσωπος συντονίζεται με τις κυβερνητικές αρχές για λογαριασμό της εταιρείας και ενεργεί ως το σημείο επαφής για θέματα συμμόρφωσης με τον GDPR.

Μεταφορές δεδομένων και κοινή χρήση δεδομένων

Ο GDPR θέτει κανόνες για τον τρόπο με τον οποίο οι οργανισμοί μοιράζονται προσωπικά δεδομένα με άλλες εταιρείες εντός και εκτός του ΕΟΧ.

Ο οργανισμός χρησιμοποιεί επίσημες συμφωνίες επεξεργασίας δεδομένων για να διέπει τις σχέσεις με τους εκτελούντες την επεξεργασία.

Ένας υπεύθυνος επεξεργασίας μπορεί να μοιράζεται προσωπικά δεδομένα με τους εκτελούντες την επεξεργασία και άλλα τρίτα μέρη, αλλά αυτές οι σχέσεις πρέπει να διέπονται από επίσημες συμφωνίες επεξεργασίας δεδομένων. Αυτές οι συμφωνίες πρέπει να περιγράφουν τα δικαιώματα και τις ευθύνες όλων των μερών σε σχέση με τον GDPR.

Οι επεξεργαστές τρίτων μπορούν να επεξεργάζονται δεδομένα μόνο σύμφωνα με τις οδηγίες του ελεγκτή. Δεν μπορούν να χρησιμοποιήσουν τα δεδομένα ενός υπεύθυνου επεξεργασίας για δικούς τους σκοπούς. Ένας επεξεργαστής πρέπει να λάβει έγκριση από τον υπεύθυνο επεξεργασίας πριν από την κοινή χρήση δεδομένων με έναν υπο-επεξεργαστή.

Ο οργανισμός πραγματοποιεί μόνο εγκεκριμένες μεταφορές δεδομένων εκτός του ΕΟΧ.

Ένας υπεύθυνος επεξεργασίας μπορεί να μοιράζεται δεδομένα με τρίτο μέρος που βρίσκεται εκτός του ΕΟΧ μόνο εάν η μεταφορά δεδομένων πληροί τουλάχιστον ένα από τα ακόλουθα κριτήρια:

• Η Ευρωπαϊκή Επιτροπή έκρινε ότι οι νόμοι περί απορρήτου δεδομένων της χώρας όπου βρίσκεται το τρίτο μέρος είναι επαρκείς.
• Η Ευρωπαϊκή Επιτροπή έκρινε ότι το τρίτο μέρος διαθέτει επαρκείς πολιτικές και ελέγχους προστασίας δεδομένων.
• Ο υπεύθυνος επεξεργασίας έχει λάβει όλα τα απαραίτητα μέτρα για να διασφαλίσει την ασφάλεια και το απόρρητο των δεδομένων που μεταφέρονται.

Εξερευνήστε λύσεις συμμόρφωσης με τον GDPR

Η συμμόρφωση με τον GDPR είναι μια συνεχής διαδικασία και οι απαιτήσεις ενός οργανισμού μπορούν να αλλάξουν καθώς συλλέγει νέα δεδομένα και εμπλέκεται σε νέα είδη δραστηριοτήτων επεξεργασίας.

Λύσεις ασφάλειας δεδομένων και συμμόρφωσης όπως το IBM Security® Guardium® μπορούν να βοηθήσουν στον εξορθολογισμό της διαδικασίας επίτευξης και διατήρησης της συμμόρφωσης με τον GDPR. Το Guardium μπορεί να ανακαλύψει αυτόματα δεδομένα που ρυθμίζονται από το GDPR, να επιβάλει κανόνες συμμόρφωσης για αυτά τα δεδομένα, να παρακολουθεί τη χρήση δεδομένων και να εξουσιοδοτεί τους οργανισμούς να ανταποκρίνονται σε απειλές για την ασφάλεια των δεδομένων.

Μάθετε περισσότερα σχετικά με τη σειρά προϊόντων ασφάλειας δεδομένων και συμμόρφωσης της IBM.