- elenaspiropoulou's Blog
- Εισέλθετε στο σύστημα ή εγγραφείτε για να υποβάλετε σχόλια
Η Συμμόρφωση με τον Γενικό Κανονισμό ή αλλιώς GDPR δεν είναι ίδια για όλες τις επιχειρήσεις. Ο βαθμός δυσκολίας της Συμμόρφωσης -και αντίστοιχα το κόστος της- ποικίλλει ανάλογα με τα χαρακτηριστικά της κάθε επιχείρησης. Ωστόσο στις περισσότερες περιπτώσεις τα βήματα που ακολουθούμε όσοι εκτελούμε Έργα Συμμόρφωσης με τον GDPR είναι ίδια, καθώς ο έλεγχος κάθε επιχείρησης οφείλει να είναι λεπτομερής, να φτάνει σε βάθος και να καλύπτει τεχνικά και νομικά ζτήματα. Τα βήματα ελέγχου και συμμόρφωσης συνοψίζονται στα εξής:
Τα βασικά βήματα:
1. Πρώτο βήμα είναι η γνωριμία με την επιχείρηση και το ανώτερο στέλεχός της (ιδιοκτήτη, Γενικό Διευθυντή ή όποιον την διευθύνει) ώστε να εξηγήσουμε τα βασικά χαρακτηριστικά του νόμου και να να εκθέσουμε τους λόγους για τους οποίους αφορά την επιχείρησή του και πώς την επηρεάζει. Σε αυτό το στάδιο θα πρέπει να γνωρίσουμε και εμείς την επιχείρηση: Πρέπει να κατανοήσουμε όχι μόνο το αντικείμενο της επιχείρησης αλλά τον τρόπο εργασίας και τις ανάγκες της. Επίσης πρέπει να αντλήσουμε βασικές πληροφορίες που θα διαμορφώσουν το κόστος μιας προσφοράς για την συμμόρφωση της επιχείρησης. Επομένως πρέπει να ρωτήσουμε για θέματα όπως ενδεικτικά:
- Έχει διαδικτυακή παρουσία η επιχείρηση; Και αν ναι, τι δεδομένα συγκεντρώνει από την διαδικτυακή της παρουσία;
- Έχει εγκατεστημένα πληροφοριακά συστήματα;
- Έχει εξωτερικούς συνεργάτες που διαχειρίζονται προσωπικά δεδομένα;
- Έχει υποκαταστήματα; Πώς συνδέονται μεταξύ τους;
- Έχει εγκατεστημένο σύστημα βιντεοεπιτήρησης;
κ.τ.λ.
2. Δεύτερο βήμα είναι η αποστολή μιας προσφοράς για το έργο της συμμόρφωσης. Εδώ θα πρέπει να αποφασίσουμε τι θα περιέχει αυτή η συμμόρφωση, δηλαδή αν η επιχείρηση είναι τέτοια που να απαιτείται να παραδοθεί GAP Analysis, αν θα εκτελέσουμε DPIA, αν θα παραδώσουμε Πολιτικές Ασφαλείας κ.τ.λ. Πολλές φορές τα έργα -ειδικά τα μεγάλα έργα συμμόρφωσης- παραδίδονται σε δύο φάσεις, η πρώτη ολοκληρώνεται με το Gap Analysis και το Πρόγραμμα Συμμόρφωσης, και η δεύτερη αποτελείται από την φάση της υλοποίησης.
3. Τρίτο βήμα είναι το Data Mapping. Δηλαδή η αποτύπωση της ροής των δεδομένων μέσα στην επιχείρηση. Από πού (πηγές) λαμβάνει δεδομένα η επιχείρηση, πώς κατανέμονται εσωτερικά σε αυτήν, και πού τα κοινοποιεί (αποδέκτες). Κάθε βήμα από αυτά πρέπει να ελέγχεται, να αιτιολογείται και να διασφαλίζεται. Το Data Mapping μπορεί να αποτυπωθεί και σε μορφή σχεδιαγράμματος, αλλά καλό είναι να συνοδεύεται και από επεξηγηματικό κείμενο.
4. Επόμενο βήμα είναι ο έλεγχος της επιχείρησης. Είτε πρόκειται για αναλυτικό Gap Analysis είτε για έλεγχο που διενεργεί ο επαγγελματίας εσωτερικά, χωρίς να παραδώσει στον πελάτη Gap Analysis, οπωσδήποτε πρέπει η επιχείρηση να ελεγχθεί ως προς όλα τα άρθρα του Κανονισμού. Σε μικρές επιχειρήσεις ο έλεγχος αυτός γίνεται με βάση τις γνώσεις του επαγγελματία που διενεργεί τον έλεγχο χωρίς ειδική καταγραφή. Σε μεγάλες όμως επιχειρήσεις αυτό είναι αδύνατον και επικίνδυνο ως πρακτική. Όσο περισσότερες είναι οι επεξεργασίες που διενεργούνται, τόσο πιο απαραίτητο είναι να γίνει Gap analysis, δηλαδή όλες οι επεξεργασίες να ελεγχθούν με βάση όλα τα άρθρα του Κανονισμού. Έτσι ακόμη και οι πρακτικές της επιχείρησης που δεν χρήζουν αλλαγής, έχουν καταγραφεί και αιτιολογείται η συνέχισή τους λόγω συμβατότητάς τους με τον Κανονισμό.
5. Κάθε έλεγχος καταλήγει σε Πρόγραμμα Συμμόρφωσης, ή Προτάσεις Συμμόρφωσης. Πρόκειται για το αποτέλεσμα του ελέγχου, και αυτό που ουσιαστικά ενδιαφέρει την επιχείρηση: Τι πρέπει να κάνει για να είναι σύννομη. Εδώ αναφέρονται η δημιουργία Αρχείου Δραστηριοτήτων Επεξεργασίας, ο διορισμός ή όχι DPO, η διόρθωση συμβάσεων, η δημιουργία συμβάσεων ειδικά για την επεξεργασία προσωπικών δεδομένων, ο έλεγχος και ο επαναπροσδιορισμός των καμερών βιντεοεπιτήρησης κ.τ.λ.
6. Το επόμενο στάδιο είναι η υλοποίηση των Προτάσεων Συμμόρφωσης. Αυτές περιλμαβάνουν όλη την νομική συμμόρφωση και τα τεχνικά μέρη που επιθυμεί και αποφασίζει ο πελάτης να υλοποιήσει με το ανάλογο κόστος και ρίσκο.
7. Η Συμμόρφωση των μεγάλων επιχειρήσεων είναι διαρκής. Δεν ολοκληρώνεται με την παράδοση ενός φακέλου αρχείων αλλά απαιτεί την εκπαίδευση του προσωπικού, τον επανέλεγχο της επιχείρησης, και την συχνή επανεξέταση των πρακτικών της.