08 Απριλίου 2021
Προστασία Δεδομένων Προσωπικού Χαρακτήρα στην περίπτωση των Μικρομεσαίων Επιχειρήσεων (GDPR).

Προστασία Δεδομένων Προσωπικού Χαρακτήρα στην περίπτωση των Μικρομεσαίων Επιχειρήσεων (GDPR).

του κ. Δημοσθένη Κωστούλα

Ο κ. Δημοσθένης Κ. Κωστούλας, GDPR Expert / πιστοποιημένος Data Protection Officer, ISO 9001:2015 Lead auditor, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος τίτλων MBΑ από το ICBS και MSc (International Business and Finance). Γενικός γραμματέας και μέλος Δ.Σ. του ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (1/2020)



Σχεδόν τρία χρόνια μετά την έναρξη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ ή GDPR), οι περισσότερες επιχειρήσεις θα έπρεπε ήδη να έχουν λάβει γνώση για τις υποχρεώσεις που προκύπτουν από τον Κανονισμό και την εθνική νομοθεσία και, παράλληλα, να έχουν πραγματοποιήσει ορισμένες ενέργειες σχετικά με την προστασία των προσωπικών δεδομένων που επεξεργάζονται.

Εστιάζοντας στην περίπτωση των μικρομεσαίων επιχειρήσεων, πέραν από την υποχρέωση ή όχι για ορισμό ενός Data Protection Officer, μια επιχείρηση θα πρέπει να υλοποιήσει μια σειρά από τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων. Αν και η έκταση και το εύρος υλοποίησης των μέτρων μπορεί να διαφοροποιούνται με βάση την κάθε περίπτωση, προτείνεται η υλοποίηση μιας ενδεικτικής λίστας προληπτικών δράσεων.

Ενδεικτικά, αλλά όχι περιοριστικά:

  • Τήρηση ενός αρχείου δραστηριοτήτων με το σύνολο του είδους επεξεργασίας των προσωπικών δεδομένων στις οποίες προβαίνει η επιχείρηση ως υπεύθυνος επεξεργασίας.
  • Ύπαρξη πολιτικής προστασίας δεδομένων προσωπικού χαρακτήρα.
  • Ιδανικά, μια σειρά από γραπτές διαδικασίες για τον τρόπο επεξεργασίας των προσωπικών δεδομένων.
  • Κατά περίπτωση, ύπαρξη κατάλληλου εντύπου ενημέρωσης των πελατών για την χρήση των δεδομένων τους.
  • Σε περίπτωση απασχόλησης προσωπικού, ύπαρξη εντύπου ενημέρωσης του προσωπικού για τις ακριβείς επεξεργασίες των προσωπικών τους δεδομένων και, ξεχωριστά, υπογραφή ρήτρας εμπιστευτικότητας. Επίσης, συχνή εκπαίδευση του προσωπικού για την σωστή διαχείριση των υπηρεσιακών πληροφοριών και δεδομένων.
  • Στην περίπτωση των προμηθευτών / εξωτερικών συνεργατών, ύπαρξη συμφωνητικού σχετικά με την επεξεργασία προσωπικών δεδομένων, κατά περίπτωση και βάση του είδους της συνεργασίας. Ενδεικτικά, αφορά την ανάθεση σε τρίτες εταιρείες ή ελεύθερους επαγγελματίες:

- της μισθοδοσίας του προσωπικού

- της ασφάλισης του προσωπικού

- της λογιστικής υποστήριξης της επιχείρησης

- της μηχανογραφικής υποστήριξης

-της διαχείρισης της ιστοσελίδας ή/και των μέσων κοινωνικής δικτύωσης

- της συντήρησης του εξοπλισμού,

- της καθαριότητας των υποδομών

- της φύλαξης των υποδομών και

- με λοιπούς συμβούλους.

  • Εφαρμογή μέτρων για την ασφάλεια της ηλεκτρονικής πληροφορίας (anti malware, firewall, backup, ελεγχόμενες προσβάσεις, διαχείριση κωδικών πρόσβασης, ασφαλής αποστολή emails κλπ.).
  • Υλοποίηση μέτρων σχετικών με την φυσική ασφάλεια (φύλαξη αρχείων σε κλειδωμένους χώρους, ελεγχόμενη πρόσβαση, σύστημα συναγερμού, σύστημα CCTV κλπ.).
  • Σε περίπτωση λειτουργίας κλειστού κυκλώματος τηλεόρασης, ενημέρωση των υποκειμένων με εμφανείς σημάνσεις για την ύπαρξη του συστήματος βιντεοεπιτήρησης για το σκοπό της ασφάλειας προσώπων και αγαθών. Επίσης, τήρηση των απαιτήσεων που προκύπτουν από την σχετική νομοθεσία.
  • Σε περίπτωση ύπαρξης εταιρικού website, ύπαρξη όρων και προϋποθέσεων χρήσης της ιστοσελίδας, δυνατότητα στον επισκέπτη να αποδεχθεί ή να απορρίψει την εγκατάσταση cookies (πέραν των «αυστηρώς απαραίτητων»), ανάρτηση στην ιστοσελίδα της πολιτικής προστασίας δεδομένων της επιχείρησης κλπ.
  • Σε περίπτωση αποστολής newsletters ή sms marketing, θα πρέπει οπωσδήποτε να δίδεται η δυνατότητα στους χρήστες για ξεκάθαρη και ρητή συγκατάθεση για το αν επιθυμούν να λαμβάνουν τέτοιες επικοινωνίες / ενημερώσεις (opt-in).

Εν κατακλείδι, οι μικρομεσαίες επιχειρήσεις δεν θα πρέπει απλά να αναγνωρίζουν τον σκοπό και την ουσία της προστασίας των προσωπικών δεδομένων που επεξεργάζονται, αλλά και να υλοποιούν μια σειρά από τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων, βάσει κατευθύνσεων που προκύπτουν από τον GDPR και την κείμενη νομοθεσία.


Διαβάστε ακόμα

Εγγραφείτε στο