Ροή Ειδήσεων

Αφιέρωμα GDPR: Ποιες είναι οι υποχρεώσεις των επιχειρήσεων 

  • Contributor

GDPR


Κώδικες Δεοντολογίας επαγγελματικών ομάδων : Ο Κανονισμός (GDPR-Γενικός Κανονισμός Προστασίας Δεδομένων) προβλέπει ότι οι ενώσεις ή οι άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία (επιχειρήσεων ή ελεύθερων επαγγελματιών, δηλαδή, που προβαίνουν σε επεξεργασία προσωπικών δεδομένων φυσικών προσώπων) θα πρέπει να παροτρύνονται να καταρτίζουν κώδικες δεοντολογίας, προκειμένου να διευκολύνεται η ουσιαστική εφαρμογή του Κανονισμού, λαμβάνοντας υπόψη τα συγκεκριμένα χαρακτηριστικά της επεξεργασίας που διενεργείται σε ορισμένους τομείς και τις ιδιαίτερες ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων. 

Ειδικότερα, οι εν λόγω κώδικες δεοντολογίας θα μπορούσαν να ρυθμίζουν τις υποχρεώσεις των επιχειρήσεων, λαμβάνοντας υπόψη τον κίνδυνο που θα μπορούσε να προκύψει από την επεξεργασία για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. 

Πιστοποίηση : Ό ίδιος ο Κανονισμός προβλέπει (αιτ. σκέψη 100), ότι, για τη βελτίωση της διαφάνειας και της συμμόρφωσης προς τον Κανονισμό, θα πρέπει να παροτρύνεται η θέσπιση μηχανισμών πιστοποίησης και σφραγίδων, καθώς και σημάτων προστασίας των δεδομένων, επιτρέποντας στα υποκείμενα των δεδομένων να αξιολογούν ταχέως το επίπεδο προστασίας των δεδομένων των σχετικών προϊόντων και υπηρεσιών.

Προς αποφυγή παρεξηγήσεων, η πιστοποίηση δεν είναι το ζητούμενο στον GDPR. 

Δεν πρόκειται για διαδικασία ISO, όπου μέσω μίας λίστας ελέγχου (check list), παραμετροποιούνται οι κίνδυνοι και οι αντίστοιχες ενέργειες για την αποφυγή τους. 

Η κάθε μία επιχείρηση οφείλει, έτσι κι αλλιώς, να προβεί σε όλα τα βήματα που θα την οδηγήσουν στη συμμόρφωση, έτσι ώστε, όταν θα ελεγχθεί (τυχαία ή – το πιθανότερο και πιο επικίνδυνο – έπειτα από καταγγελία φυσικού προσώπου), να είναι σε θέση να αποδείξει  και να επιδείξει (“to demonstrate”, είναι η αγγλική εκδοχή της φράσης στον Κανονισμό) τη συμμόρφωσή της. Αυτή η απόδειξη/επίδειξη της συμμόρφωσης αποκαλείται «Λογοδοσία».

Έτσι λοιπόν, καμία σφραγίδα και καμία περγαμηνή πιστοποίησης δε θα σας απαλλάξει από τη φροντίδα να επικαιροποιείτε  τη συμμόρφωσή σας με τον GDPR, ούτε θα αποτρέψει την Εποπτική Αρχή από το να σας ελέγξει, όταν έρθει η ώρα. Επίσης, καμία σφραγίδα δε θα «σώσει» την επιχείρησή σας αν, κατά τον έλεγχο, διαπιστωθεί ότι η Λογοδοσία σας πάσχει.

Ενώ, λοιπόν, γενικά είναι καλό να δημιουργούνται πρότυπα πιστοποίησης και κώδικες δεοντολογίας, δε θα πρέπει να επαναπαύεται κανείς, ενώ θα πρέπει να υπάρχει συνεχής επαγρύπνηση για τις νέες μεθόδους και τεχνικές ασφάλειας και προστασίας των προσωπικών δεδομένων.

Εκπαίδευση DPO: Πέραν της πιστοποίησης της επιχείρησης, το περασμένο έτος «άνθισε» και το «πτυχίο» ή διαπίστευση του DPO, του εξειδικευμένου, δηλαδή, Υπεύθυνου Προστασίας Προσωπικών Δεδομένων («Data Protection Officer» ή «DPO»). 

Και πάλι προς αποφυγή παρεξηγήσεων : Είναι εξαιρετικά ωφέλιμο να εκπαιδεύεται κανείς στον Κανονισμό και μπορεί να το κάνει σε κάποιο κέντρο Επαγγελματικής Κατάρτισης, από το οποίο θα λάβει βεβαίωση ότι παρακολούθησε κάποιες ώρες σεμιναρίων. Επίσης μπορεί να δώσει εξετάσεις για ένα από όλα τα πιστοποιητικά που υπάρχουν ήδη αυτή τη στιγμή πάνω στον τίτλο. 

Όμως, όπως αποσαφηνίζει και ο ίδιος ο GDGPR (άρθρο 37 παρ. 5), ο DPO διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων του. 

Συνεπώς, όταν διορίζουμε κάποιον ως DPO, θα πρέπει να ελέγχουμε αν έχει τα απαραίτητα προσόντα, υποδομή νομικών γνώσεων, τόσο σε θεωρητικό επίπεδο, όσο και σε εμπειρογνωσία και πολύ καλή γνώση του GDPR, κατά προτίμηση, επαγγελματική εμπειρία στον τομέα του GDPR, ώστε να έχει αναπτύξει αντανακλαστικά σε τεχνικό και νομικό επίπεδο.

 

To κείμενο είναι του Δικηγόρου Ιωάννη Γουμενόπουλου.  Γενικός Διευθυντής GAGDPR . Λεωφόρος Δημοκρατίας 4-6,  ΤΚ 15451,Νέο Ψυχικό – Αττική
Τηλ.+302106747361 εσωτ.210, Κιν. +306948500034
Fax. +302106747347
www.gagdpr.com

  • Η GAG-DPR Ι.Κ.Ε είναι μια εταιρεία έμπειρων συμβούλων (Νομικών, Οικονομολόγων, Συμβούλων επιχειρήσεων κ.α) που στοχεύει στην παροχή λύσεων κορυφαίας ποιότητας σε επιχειρήσεις & φορείς του Δημοσίου, παρέχοντας υπηρεσίες συμμόρφωσης με την ευρωπαϊκή νομοθεσία για την προστασία προσωπικών δεδομένων και την ασφάλεια στον κυβερνοχώρο.
  • Συγκεκριμένα, παρέχει συμβουλές σχετικά με τις πολιτικές διακυβέρνησης και επεξεργασίας δεδομένων, τη μεταφορά δεδομένων, τη λογοδοσία, τις εκτιμήσεις των επιπτώσεων της επεξεργασίας των προσωπικών δεδομένων, τους ελέγχους ασφαλείας και τις αναθεωρήσεις πολιτικής. Διεξάγουμε επίσης έρευνες και καταρτίζουμε έγγραφα στρατηγικής για την παρακολούθηση της επεξεργασίας των δεδομένων με τις εθνικές και ευρωπαϊκές ρυθμιστικές αρχές εποπτείας.
  • Ο ρόλος μας συνίσταται κυρίως στο να βοηθήσουμε τους οργανισμούς και τις επιχειρήσεις να προσαρμόσουν τις πρακτικές τους σχετικά με τις δραστηριότητες επεξεργασίας δεδομένων με τον κανονισμό 2016/679 της ΕΕ για την προστασία των δεδομένων, η εφαρμογή του οποίου ξεκίνησε στις 25 Μαΐου 2018.