Ένας οργανισμός όχι μόνο πρέπει να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων, αλλά πρέπει επίσης να είναι σε θέση να αποδείξει τη συμμόρφωσή του. Αυτό περιλαμβάνει την εφαρμογή της προστασίας των δεδομένων ήδη από τον σχεδιασμό, την τήρηση αρχείου των δραστηριοτήτων επεξεργασίας και, σε ορισμένες περιπτώσεις, τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων.
Προστασία δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού
Ως υπεύθυνος επεξεργασίας δεδομένων, τόσο κατά τον σχεδιασμό μιας πράξης επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, πρέπει να εφαρμόζετε κατάλληλα μέτρα και εγγυήσεις για να διασφαλίζετε ότι τηρούνται οι αρχές προστασίας των δεδομένων. Πρέπει επίσης να διασφαλίζετε ότι, εξ ορισμού, υποβάλλονται σε επεξεργασία μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για τον εκάστοτε σκοπό (αυτό ισχύει για το εύρος των δεδομένων, τον βαθμό της επεξεργασίας, τον περιορισμό της περιόδου αποθήκευσης και την προσβασιμότητά τους).
Με άλλα λόγια, ένας οργανισμός που εφαρμόζει την προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού είναι ένας οργανισμός που εξετάζει και ενσωματώνει την προστασία των δεδομένων και της ιδιωτικότητας των ατόμων σε κάθε πτυχή και σε κάθε στάδιο των εργασιών επεξεργασίας του, στα εργαλεία που χρησιμοποιούνται ή σε οποιαδήποτε άλλη επιχειρηματική δραστηριότητα.
Για να γίνει αυτό, πριν από την οργάνωση οποιασδήποτε πράξης επεξεργασίας, ο οργανισμός σας πρέπει να λάβει υπόψη:
- τη φύση, το πλαίσιο και το πεδίο εφαρμογής της προβλεπόμενης επεξεργασίας·
- τους κινδύνους που ενδέχεται να προκύψουν από τις προβλεπόμενες πράξεις επεξεργασίας ή από οποιεσδήποτε άλλες επιχειρηματικές δραστηριότητες που ενδέχεται να έχουν αντίκτυπο στα δεδομένα προσωπικού χαρακτήρα των ατόμων·
- τα τεχνικά και οργανωτικά μέτρα που θα πρέπει να ληφθούν για τον μετριασμό των εντοπισθέντων κινδύνων και τα οποία θα διασφαλίσουν την επαρκή προστασία των δεδομένων προσωπικού χαρακτήρα των ατόμων·
- τα τεχνικά και οργανωτικά μέτρα ή διαδικασίες που πρέπει να εφαρμόζονται για να διασφαλίζεται ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα (συμπεριλαμβανομένης ιδίως της συλλογής, της αποθήκευσης και της συνολικής χρήσης των δεδομένων των φυσικών προσώπων) περιορίζεται στα αναγκαία υπό το πρίσμα των επιδιωκόμενων στόχων.
Στην πράξη
- Ένα βιβλιοπωλείο θέλει να αυξήσει τα έσοδά του με την πώληση βιβλίων στο διαδίκτυο. Ο ιδιοκτήτης του βιβλιοπωλείου θέλει να δημιουργήσει μια τυποποιημένη φόρμα για τη διαδικασία παραγγελίας. Σε πρώτη φάση, ο ιδιοκτήτης καθιστά όλα τα πεδία στη φόρμα υποχρεωτικά, συμπεριλαμβανομένης της ημερομηνίας γέννησης του πελάτη, του αριθμού τηλεφώνου και της διεύθυνσης κατοικίας του. Ωστόσο, δεν είναι απαραίτητα όλα τα πεδία της φόρμας για την πώληση και την παράδοση των βιβλίων.
Για παράδειγμα, κατά την παραγγελία ενός eBook, ο πελάτης μπορεί να κατεβάσει το προϊόν απευθείας στη συσκευή του. Ως εκ τούτου, τα πεδία αυτά δεν μπορούν να είναι υποχρεωτικά στη διαδικτυακή φόρμα για παραγγελία βιβλίων. Ως εκ τούτου, ο ιδιοκτήτης του διαδικτυακού καταστήματος αποφασίζει να κάνει δύο διαδικτυακές φόρμες: μία για την παραγγελία βιβλίων με πεδίο για τη διεύθυνση του πελάτη και μία για την παραγγελία ηλεκτρονικών βιβλίων χωρίς πεδίο για τη διεύθυνση του πελάτη. Με αυτόν τον τρόπο, ο ιδιοκτήτης διασφαλίζει ότι συλλέγονται μόνο τα δεδομένα που είναι απαραίτητα για την επεξεργασία. - Ένα ιατρείο που απασχολεί αρκετούς ιατρούς συλλέγει δεδομένα σχετικά με τους ασθενείς του στο οργανωτικό σύστημα πληροφοριών του. Διαφορετικοί ιατροί μπορεί να χρειαστεί να έχουν πρόσβαση σε φακέλους ασθενών, για παράδειγμα όταν αντικαθιστούν άλλο ιατρό που απουσιάζει, για να ενημερώσουν το σύστημα σχετικά με τις αποφάσεις τους για τη φροντίδα και τη θεραπεία των ασθενών, καθώς και για την τεκμηρίωση όλων των πράξεων διάγνωσης, φροντίδας και θεραπείας που λήφθηκαν. Από προεπιλογή, η πρόσβαση παρέχεται μόνο στους ιατρούς που είναι επιφορτισμένοι με τη θεραπεία του αντίστοιχου ασθενούς.
Είναι χρήσιμο να τηρείτε αρχεία αυτών των αξιολογήσεων και μέτρων ώστε να μπορείτε να αποδείξετε ότι συμμορφώνεστε με τις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Ένας εγκεκριμένος μηχανισμός πιστοποίησης μπορεί επίσης να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει τη συμμόρφωση με την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού.
Υποχρέωση τήρησης αρχείων δραστηριοτήτων επεξεργασίας
Ως οργανισμός, έχετε καθήκον να τηρείτε αρχείο των δραστηριοτήτων επεξεργασίας δεδομένων. Το αρχείο αυτό θα πρέπει να τηρείται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.
Το αρχείο αυτό σας δίνει μια επισκόπηση των δραστηριοτήτων επεξεργασίας σας. Για να δημιουργήσετε ένα τέτοιο αρχείο, θα πρέπει να προσδιορίσετε ποιες από τις δραστηριότητές σας απαιτούν επεξεργασία προσωπικών δεδομένων (παραδείγματα: πρόσληψη, διαχείριση μισθοδοσίας, κατάρτιση, διαχείριση καρτών εισόδου και πρόσβασης, κατάλογος δυνητικών πελατών κ.λπ.). Κάθε μία από αυτές τις εργασίες επεξεργασίας πρέπει να περιγράφεται στο αρχείο με τις ακόλουθες πληροφορίες:
- τον σκοπό της επεξεργασίας (π.χ. αφοσίωση πελατών)·
- τις κατηγορίες δεδομένων που υποβάλλονται σε επεξεργασία (π.χ. για τη μισθοδοσία: ονοματεπώνυμο, ημερομηνία γέννησης, μισθός κ.λπ.)·
- ποιος έχει πρόσβαση στα δεδομένα (οι αποδέκτες — π.χ. το τμήμα που είναι αρμόδιο για τις προσλήψεις, η υπηρεσία ΤΠ, η διοίκηση, οι πάροχοι υπηρεσιών, οι συνεργάτες...)·
- όπου συντρέχει περίπτωση, πληροφορίες σχετικά με διαβιβάσεις δεδομένων προσωπικού χαρακτήρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ)·
- όπου είναι δυνατόν, η περίοδος αποθήκευσης (η περίοδος για την οποία τα δεδομένα είναι χρήσιμα από για οργανωτικούς σκοπούς και για σκοπούς αρχειοθέτησης)·
- όπου είναι δυνατόν, γενική περιγραφή των μέτρων ασφαλείας.
Το αρχείο των δραστηριοτήτων επεξεργασίας εμπίπτει στην ευθύνη του διευθυντή του οργανισμού σας. Το αρχείο αυτό πρέπει να είναι διαθέσιμο στην αρχή προστασίας δεδομένων της χώρας του ΕΟΧ στην οποία δραστηριοποιείστε, εφόσον σας ζητηθεί.
Δεν απαιτείται από τους οργανισμούς που απασχολούν λιγότερα από 250 άτομα να αναφέρουν καθαρά περιστασιακές δραστηριότητες στο αρχείο τους (π.χ. δεδομένα που υποβάλλονται σε επεξεργασία για μεμονωμένες εκδηλώσεις, όπως το άνοιγμα ενός καταστήματος).
Διαβάστε περισσότερα
Πώς να διενεργήσετε εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ);
Τι είναι η ΕΑΠΔ;
Όταν μια επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας πρέπει να διενεργήσει εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων (ΕΑΠΔ). Η ΕΑΠΔ είναι η γραπτή εκτίμηση μιας σχεδιαζόμενης πράξης επεξεργασίας. Σας βοηθά να προσδιορίσετε τις κατάλληλες εγγυήσεις για τον μετριασμό των κινδύνων και να αποδείξετε τη συμμόρφωση.
Πότε να διενεργήσετε μια ΕΑΠΔ;
Ενώ είναι πάντα προτιμότερο να προβλεφθεί ο αντίκτυπος των σχεδιαζόμενων πράξεων επεξεργασίας του οργανισμού σας με τη διενέργεια ΕΑΠΔ, είναι υποχρεωτική η διενέργεια μιας τέτοιας ΕΑΠΔ όταν η επεξεργασία είναι πιθανό να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων.
Συγκεκριμένα, αυτό συμβαίνει όταν η προβλεπόμενη επεξεργασία περιλαμβάνει:
- την επεξεργασία — σε μεγάλη κλίμακα — ευαίσθητων δεδομένων προσωπικού χαρακτήρα και δεδομένων που σχετίζονται με ποινικές καταδίκες ·
- συστηματική και εκτενή αξιολόγηση των προσωπικών πτυχών ενός ατόμου βάσει αυτοματοποιημένης επεξεργασίας, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το εν λόγω άτομο ή ομοίως επηρεάζουν σημαντικά τα άτομα·
- συστηματική παρακολούθηση δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.
Στις περισσότερες περιπτώσεις, οι πράξεις επεξεργασίας που πληρούν δύο από τα ακόλουθα κριτήρια θα πρέπει να αξιολογούνται μέσω ΕΑΠΔ:
- αξιολόγηση ή βαθμολόγηση·
- αυτοματοποιημένη λήψη αποφάσεων με νομική ή παρόμοια σημαντική επίδραση·
- συστηματική παρακολούθηση·
- ευαίσθητα δεδομένα ή δεδομένα αυστηρά προσωπικής φύσης·
- δεδομένα που υποβάλλονται σε επεξεργασία σε μεγάλη κλίμακα:
- αντιστοίχιση ή συνδυασμός συνόλων δεδομένων·
- δεδομένα που αφορούν ευάλωτα υποκείμενα των δεδομένων·
- καινοτόμος χρήση ή εφαρμογή νέων τεχνολογικών ή οργανωτικών λύσεων·
- όταν η επεξεργασία αυτή καθεαυτή εμποδίζει τα άτομα να ασκήσουν ένα δικαίωμα ή να χρησιμοποιήσουν μια υπηρεσία ή μια σύμβαση.
Κορυφαία συμβουλή ΕΑΠΔ
Θα πρέπει να επικοινωνήσετε με την Αρχή προστασίας δεδομένων της χώρας του ΕΟΧ στην οποία εδρεύει ο οργανισμός σας, προκειμένου να διαπιστώσετε εάν διαθέτει δημόσια διαθέσιμο έγγραφο στο οποίο καταγράφονται οι προϋποθέσεις σύμφωνα με τις οποίες οι πράξεις επεξεργασίας απαιτούν ΕΑΠΔ και ποιες πράξεις επεξεργασίας δεν απαιτούν ΕΑΠΔ.
Παραδείγματα σχετικά με το πότε ενδέχεται να απαιτείται ΕΑΠΔ:
- επεξεργασία βιομετρικών δεδομένων, για παράδειγμα σάρωση δακτυλικών αποτυπωμάτων ή χαρακτηριστικών προσώπου για την ταυτοποίηση ασθενών·
- χρήση δεδομένων ευάλωτων ατόμων για σκοπούς μάρκετινγκ, για παράδειγμα για την πρόβλεψη των αγορών τους·
- εφαρμογή για κινητά που παρακολουθεί την τοποθεσία του ατόμου.
Παραδείγματα περιπτώσεων στις οποίες ενδέχεται να μην απαιτείται ΕΑΠΔ
- η σχεδιαζόμενη επεξεργασία είναι πολύ παρόμοια με επεξεργασία που αποτέλεσε αντικείμενο ΕΑΠΔ·
- η επεξεργασία περιλαμβάνεται στον προαιρετικό κατάλογο των πράξεων επεξεργασίας (που καταρτίζονται από την εθνική Αρχή προστασίας δεδομένων) που δεν υπόκεινται σε ΕΑΠΔ·
- η επεξεργασία επιτρέπεται βάσει της ενωσιακής ή της εθνικής νομοθεσίας.
Τι να συμπεριλάβετε σε μια ΕΑΠΔ;
Η ΕΑΠΔ σας θα πρέπει να περιλαμβάνει:
- περιγραφή της σχεδιαζόμενης πράξης επεξεργασίας και του σκοπού της·
- εκτίμηση της αναγκαιότητας και της αναλογικότητας·
- τους κινδύνους που ενδέχεται να ενέχει η επεξεργασία·
- τα μέτρα για την αντιμετώπιση των κινδύνων.
Προηγούμενη διαβούλευση κατά την ΕΑΠΔ
Όταν ο υπεύθυνος επεξεργασίας δεν μπορεί να βρει επαρκή μέτρα για τη μείωση των κινδύνων σε αποδεκτό επίπεδο (δηλαδή οι υπολειπόμενοι κίνδυνοι εξακολουθούν να είναι υψηλοί), απαιτείται διαβούλευση με την Αρχή προστασίας δεδομένων. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας πρέπει να παρέχει τις ακόλουθες πληροφορίες:
- τις αντίστοιχες αρμοδιότητες του υπευθύνου επεξεργασίας, των από κοινού υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία που συμμετέχουν στην επεξεργασία·
- τον σκοπό της επεξεργασίας και τον τρόπο διενέργειας της επεξεργασίας·
- τα μέτρα που προβλέπονται για την εγγύηση των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων·
- τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων του οργανισμού σας, κατά περίπτωση·
- την εν λόγω ΕΑΠΔ.
Μετά από μια ΕΑΠΔ — Δοκιμάστε την, βελτιώστε την, ελέγξτε την!
Μόλις συνταχθεί η ΕΑΠΔ σας, πρέπει να τη δοκιμάσετε· βελτιώστε την, εάν είναι απαραίτητο· διενεργήστε την πράξη επεξεργασίας σας· επανεκτιμήστε εάν η ΕΑΠΔ σας αντιστοιχεί στην πράξη επεξεργασίας· και ελέγξτε την εφαρμογή της.
Διαβάστε περισσότερα
της ομάδας εργασίας του άρθρου 29: Κατευθυντήριες γραμμές σχετικά με την εκτίμηση επιπτώσεων στην προστασία δεδομένων (ΕΑΠΔ)
Αίθουσα Τύπου της Ευρωπαϊκής Επιτροπής
Εθνικοί κατάλογοι των τύπων πράξεων επεξεργασίας δεδομένων για τις οποίες απαιτείται ή δεν απαιτείται εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων
Επιτροπή Προστασίας Δεδομένων, Ιρλανδική Εποπτική Αρχή
Κώδικες δεοντολογίας
Ανάλογα με το πού βρίσκεται ο οργανισμός σας στον ΕΟΧ, ενδέχεται να υπάρχουν ενώσεις ή άλλοι φορείς που εκπροσωπούν υπευθύνους επεξεργασίας δεδομένων ή εκτελούντες την επεξεργασία. Οι εν λόγω ενώσεις και φορείς μπορούν να εκπονούν κώδικες δεοντολογίας, συμπεριλαμβανομένων μηχανισμών προστασίας δεδομένων, τους οποίους οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία μπορούν να τηρούν, προκειμένου να διασφαλίζεται ότι τα προσωπικά δεδομένα των φυσικών προσώπων τηρούνται σύμφωνα με τον ΓΚΠΔ.
Πιο συγκεκριμένα, οι εν λόγω κώδικες δεοντολογίας που θεσπίζονται πρέπει να διασφαλίζουν, για παράδειγμα:
- ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε θεμιτή και με διαφάνεια επεξεργασία·
- ότι είναι νόμιμοι οι σκοποί για τους οποίους υποβάλλονται σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα των ατόμων·
- πώς να ψευδωνυμοποιείτε τα προσωπικά δεδομένα·
- ότι παρέχονται διαφανείς πληροφορίες στα άτομα των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία·
- ότι ζητείται δεόντως η συγκατάθεση για την επεξεργασία των δεδομένων των ατόμων, ιδίως των δεδομένων προσωπικού χαρακτήρα που αφορούν παιδιά·
- ότι λαμβάνονται όλα τα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφαλούς επεξεργασίας των δεδομένων των ατόμων·
- ότι ακολουθούνται οι διαδικασίες για τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα·
- ότι τηρούνται οι διαδικασίες, συμπεριλαμβανομένων των εγγυήσεων, σχετικά με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε χώρες και οργανισμούς εκτός ΕΟΧ·
- ότι ακολουθούνται οι διαδικασίες που σχετίζονται με δικαστικές διαδικασίες και επίλυση διαφορών.
Κορυφαία συμβουλή
- Θα πρέπει να επικοινωνήσετε με την αρμόδια ένωση ή φορέα που εκπονεί κώδικες δεοντολογίας του ΓΚΠΔ, καθώς αυτοί μπορεί να σας βοηθήσουν με τη συμμόρφωσή σας με τον ΓΚΠΔ.
Πιστοποίηση
Τι είναι η πιστοποίηση του ΓΚΠΔ;
Ένας οργανισμός που λαμβάνει πιστοποίηση ΓΚΠΔ μπορεί να χρησιμοποιήσει την πιστοποίηση αυτή για να αποδείξει τη συμμόρφωση των πράξεων επεξεργασίας του με τον ΓΚΠΔ.
Οι Αρχές προστασίας δεδομένων του ΕΟΧ μπορούν, για παράδειγμα, να:
- εκδίδουν πιστοποιητικά του ΓΚΠΔ βάσει του δικού τους σχήματος πιστοποίησης·
- εκδίδουν πιστοποιητικά του ΓΚΠΔ, βάσει του δικού τους σχήματος πιστοποίησης, αλλά να αναθέτουν το σύνολο ή μέρος της διαδικασίας αξιολόγησης σε τρίτους·
- δημιουργούν το δικό τους σχήμα πιστοποίησης και να αναθέτουν σε ειδικούς φορείς την έκδοση των εν λόγω πιστοποιήσεων·
- ενθαρρύνουν την αγορά να αναπτύξει μηχανισμούς πιστοποίησης·
- αξιολογούν τα σχήματα πιστοποίησης των οργανισμών πιστοποίησης.
Ένας φορέας πιστοποίησης είναι επιφορτισμένος με την έκδοση, την επανεξέταση και την ανάκληση πιστοποιητικών βάσει μηχανισμού πιστοποίησης και εγκεκριμένων κριτηρίων.
Οι φορείς πιστοποίησης πρέπει να τεκμηριώνουν την εκτίμησή τους σχετικά με τις πράξεις επεξεργασίας του οργανισμού σας για τις οποίες μπορεί να εκδοθεί πιστοποίηση του ΓΚΠΔ.
Ο οργανισμός μου έχει λάβει πιστοποίηση ΓΚΠΔ, τι ακολουθεί;
Η πιστοποίηση ΓΚΠΔ μιας πράξης επεξεργασίας που διενεργεί ο οργανισμός σας ισχύει για μέγιστη περίοδο 3 ετών, αλλά μπορεί να ανανεωθεί ή να ανακληθεί. Για να διατηρηθεί αυτή η πιστοποίηση, ο οργανισμός σας πρέπει να εφαρμόζει συνεχώς και με συνέπεια τα μέτρα που περιβάλλουν την επεξεργασία δεδομένων που πιστοποιήθηκε.