Ιδιωτικές επιχειρήσεις, οργανισμοί καθώς και δημόσιοι φορείς - που ενεργούν ως υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία - καλούνται να εφαρμόσουν μια σειρά από συγκεκριμένα μέτρα που εισάγει ο Κανονισμός (ΕΕ) 2016/679, πριν την εφαρμογή του στις 25 Μαΐου 2018.

Με στόχο να μειωθούν οι πιθανότητες επέλευσης κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας ή ο εκτελών θα πρέπει να τηρεί αρχείο δραστηριοτήτων επεξεργασίας. Σε αυτό θα περιλαμβάνονται, μεταξύ άλλων, αναλυτικά τα στοιχεία των ιδίων, ο σκοπός επεξεργασίας, οι κατηγορίες των υποκειμένων των δεδομένων καθώς και οι κατηγορίες των αποδεκτών. Πρέπει ωστόσο να σημειωθεί, πως η υποχρέωση αυτή δεν αφορά επιχειρήσεις και οργανισμούς που απασχολούν λιγότερους από 250 εργαζομένους, εκτός κι εάν επεξεργάζονται ευαίσθητα δεδομένα ή από την επεξεργασία ενδέχεται να προκληθεί κίνδυνος για τα δικαιώματα των υποκειμένων των δεδομένων.

Η ψευδωνυμοποίηση και αποκρυπτογράφηση προσωπικών δεδομένων, καθώς και η δυνατότητα διασφάλισης του απορρήτου και της αξιοπιστίας των συστημάτων και υπηρεσιών επεξεργασίας σε συνεχή βάση, αποτελούν ορισμένα από τα τεχνικά και οργανωτικά μέτρα που, σύμφωνα με τον Κανονισμό, θα πρέπει να εφαρμόσει ο υπεύθυνος επεξεργασίας, ώστε να διασφαλιστεί ένα κατάλληλο επίπεδο ασφάλειας των δεδομένων απέναντι σε εκάστοτε επαπειλούμενους κινδύνους. Μάλιστα, στο πλαίσιο της συμμόρφωσης με τον Κανονισμό, θα πρέπει τα μέτρα αυτά να εφαρμόζονται ήδη από τον σχεδιασμό και εξ ορισμού, προκειμένου το υποκείμενο των δεδομένων να είναι σε θέση να παρακολουθεί την επεξεργασία τους και ο υπεύθυνος επεξεργασίας να βελτιώνει τα χαρακτηριστικά ασφαλείας.

Την κατάργηση των γνωστοποιήσεων επεξεργασίας δεδομένων στις εποπτικές αρχές αντικαθιστά η υποχρέωση εκπόνησης εκτίμησης κινδύνου σχετικά με την προστασία των προσωπικών δεδομένων από τον υπεύθυνο επεξεργασίας. Μια τέτοια εκτίμηση απαιτείται μόνον για τις επεξεργασίες που ενέχουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, όπως για παράδειγμα όταν πρόκειται για μεγάλης κλίμακας επεξεργασία ευαίσθητων δεδομένων. Ο υπεύθυνος επεξεργασίας θα πρέπει να λαμβάνει μέτρα μετριασμού του κινδύνου, καθώς και να ζητεί τη γνώμη της εποπτικής αρχής, πριν προχωρήσει στην επεξεργασία, σε περίπτωση που αυτή εξακολουθεί να ενέχει υψηλό κίνδυνο.

Σε ορισμένες περιπτώσεις, όπως όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας αποτελούνται από επεξεργασίες που απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, θα πρέπει να οριστεί και ένας υπεύθυνος προστασίας δεδομένων (DPO), ο οποίος θα συνδράμει τον υπεύθυνο επεξεργασίας και θα εκτελεί τις υποχρεώσεις του με ανεξάρτητο τρόπο. Με εξαίρεση τις περιπτώσεις που είναι σαφές ότι ο διορισμός DPO δεν απαιτείται, θα πρέπει σε κάθε άλλη περίπτωση να τεκμηριώνεται επαρκώς για το κατά πόσο όφειλε ο υπεύθυνος επεξεργασίας να ορίσει DPO, ώστε να αποδείξει ότι έλαβε υπόψη τις σχετικές διατάξεις του Κανονισμού, εφόσον του ζητηθεί.

Επιπλέον, ο υπεύθυνος επεξεργασίας είναι υποχρεωμένος να κοινοποιεί στην Αρχή Προστασίας Δεδομένων σημαντικές παραβιάσεις προσωπικών δεδομένων, ενώ, υπό προϋποθέσεις, θα πρέπει να ενημερώνει αμελλητί και τα θιγόμενα πρόσωπα. Τέλος, αυξημένες υποχρεώσεις προβλέπει ο Κανονισμός για τον εκτελούντα την επεξεργασία, καθώς αυτός θα πρέπει να παρέχει επαρκείς διαβεβαιώσεις για την εφαρμογή τεχνικών και οργανωτικών μέτρων που ανταποκρίνονται στις απαιτήσεις του Κανονισμού.

Η συμμόρφωση των επιχειρήσεων και οργανισμών στο νέο κανονιστικό περιβάλλον των προσωπικών δεδομένων θα τις βοηθήσει αναμφισβήτητα να αποκτήσουν ένα συγκριτικό πλεονέκτημα στην αγορά, καθώς θα μπορούν να χτίζουν ευκολότερα σχέσεις εμπιστοσύνης με τους πελάτες τους, χωρίς οι τελευταίοι να ανησυχούν για τα δεδομένα που τους εμπιστεύθηκαν.

Για περισσότερες πληροφορίες επί ζητημάτων σχετικών με εργασιακές σχέσεις επικοινωνήστε:
E: [email protected]
T: 210-6431387,
F: 210-6460313