H συμμόρφωση ενός Οργανισμού/επιχείρησης με τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) και τις υποχρεώσεις που προβλέπει είναι μία σύνθετη διαδικασία που θα πρέπει να οδηγεί στην ανεύρεση λύσεων προσαρμοσμένων στις ανάγκες, τα ιδιαίτερα χαρακτηριστικά και τις απαιτήσεις κάθε περίπτωσης. Για την καλύτερη κατανόησή της, θα επιχειρήσουμε ευθύς κατωτέρω να την περιγράψουμε σαν μία ακολουθία τεσσάρων (4) βημάτων.
Ως εκ τούτου τα τέσσερα (4) βασικά στάδια συμμόρφωσης με τον GDPR είναι τα κάτωθι:
Ακολουθούν τα βασικά βήματα που πρέπει να ακολουθήσετε για να συμμορφωθείτε με τον GDPR:
Στάδιο 1ο: Χαρτογράφηση
Στο στάδιο αυτό γίνεται καταγραφή των δεδομένων προσωπικού χαρακτήρα που τηρεί ο Οργανισμός κατά τμήμα. Συγκεκριμένα, καταγράφονται τα προσωπικά δεδομένα που τηρεί ο Οργανισμός ανά είδος και κατηγορία, οι κατηγορίες Υποκειμένων, στα οποία αφορούν, αλλά και η ροή των τηρούμενων δεδομένων στο εσωτερικό του Οργανισμού και μεταξύ των διαφόρων τμημάτων του, οι διαδικασίες και τα είδη της επεξεργασίας, οι κατηγορίες Υποκειμένων που αφορά κάθε επεξεργασία, ο σκοπός και η νομική βάση της εκάστοτε επεξεργασίας, οι πηγές προέλευσης των δεδομένων, ο χρόνος και ο τόπος τήρησής τους, καθώς και τα τεχνικά και οργανωτικά μέτρα που χρησιμοποιούνται για την προστασία τους. Τέλος, καταγράφονται οι πιθανές διαβιβάσεις των τηρούμενων από τον Οργανισμό δεδομένων προσωπικού χαρακτήρα σε τρίτα φυσικά ή νομικά πρόσωπα.
Στάδιο 2ο: Αξιολόγηση διαδικασιών και υποδομών του οργανισμού
Στο στάδιο αυτό καταγράφονται, ελέγχονται και αξιολογούνται οι διαδικασίες που ακολουθούνται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και η επάρκεια των υποδομών. Παράλληλα, καταγράφονται και αξιολογούνται και τυχούσες ελλείψεις σε πολιτικές ασφάλειας, αλλά και κενά στα οργανωτικά και τεχνικά μέτρα προστασίας που έχει υιοθετήσει και εφαρμόζει ο Υπεύθυνος Επεξεργασίας, ενώ ελέγχονται και οι συμβάσεις που έχει συνάψει με τους εργαζομένους του, όσο και με τρίτους νομικά ή φυσικά πρόσωπα που επεξεργάζονται προσωπικά δεδομένα για λογαριασμό του. Τέλος, καταρτίζεται και παραδίδεται η μελέτη εκτίμησης των αποκλίσεων (Gap Analysis).
Στάδιο 3ο: Κατάρτιση Σχεδίου Συμμόρφωσης
Σε αυτό το στάδιο θα σχεδιαστεί ένα λεπτομερές και ολοκληρωμένο πλάνο συμμόρφωσης του Οργανισμού με τις επιταγές του Γενικού Κανονισμού. Αφού αποτυπωθούν τα αποτελέσματα των προηγούμενων σταδίων, όπως αυτά θα προκύψουν από τους ελέγχους και τις αξιολογήσεις, θα προταθούν πιθανές συμπληρώσεις, αλλαγές ή και η εισαγωγή νέων μέτρων. Οι προτεινόμενες ενέργειες θα καλύπτουν όλο το φάσμα των επεξεργασιών δεδομένων προσωπικού χαρακτήρα που πραγματοποιούνται στο εσωτερικό του Οργανισμού. Ο σχεδιασμός θα γίνει από την ομάδα έργου, σύμφωνα με τα ευρήματα των δύο πρώτων σταδίων και λαμβάνοντας υπόψη τη φιλοσοφία και την πρακτική λειτουργίας του Οργανισμού και των ανθρώπων του.
Στάδιο 4ο : Κατάρτιση πολιτικών και εγγράφων τεκμηρίωσης και συμμόρφωσης του οργανισμού – Εκπαίδευση προσωπικού
Στο στάδιο αυτό, καταρτίζονται οι πολιτικές και τα έγγραφα που θα αποτυπώνουν τις διαδικασίες, τα τεχνικά και οργανωτικά μέτρα που λαμβάνει ο Οργανισμός για την προστασία των δεδομένων προσωπικού χαρακτήρα και θα τεκμηριώνουν την συμμόρφωσή του με τις επιταγές του Γενικού Κανονισμού Προστασίας Δεδομένων, όπως μεταξύ άλλων: Πολιτικές Ασφαλείας, Πολιτική Προστασίας, Πολιτική Διαχείρισης περιστατικού παραβίασης, Πολιτική Διατήρησης, αλλά και συμβάσεις με εκτελούντες την επεξεργασία, ενώ εφόσον κρίνεται αναγκαίο με βάση τις διενεργούμενες επεξεργασίες, θα εκπονηθεί και μελέτη εκτίμησης αντικτύπου (DPIA). Τέλος, το ανωτέρω, τελευταίο, στάδιο ολοκληρώνεται με την εκτεταμένη, κατά τμήματα, εκπαίδευση του του προσωπικού και των στελεχών του Οργανισμού πάνω στις Πολιτικές Ασφαλείας που έχει υιοθετήσει, αλλά και γενικότερα, σε ζητήματα προστασίας προσωπικών δεδομένων, με σκοπό τη δημιουργία μίας κουλτούρας προστασίας προσωπικών δεδομένων στο εσωτερικό του Οργανισμού.
Ακολουθώντας τα παραπάνω ως βήματα, οι οργανισμοί μπορούν να διασφαλίσουν τη συμμόρφωσή τους με τον GDPR και να αποφύγουν την επιβολή προστίμων, αλλά και να ενισχύσουν την εταιρική τους φήμη και αξιοπιστία. Για να λάβετε προσφορά σχετικά με τη συμμόρφωση της επιχείρησής σας με τον GDPR, πατήστε εδώ.
Στέλιος Μπανιώτης
Δικηγόρος, GDPR Consultant
Photo by Christina @ wocintechchat.com on Unsplash
