Ροή RSS
Νέα
Nov
6

Η θέση της Lancom σχετικά με τον κανονισμό GDPR

Η Lancom, είναι το πρώτο Data Center στη χώρα που έχει φροντίσει να πραγματοποιήσει τις απαραίτητες αλλαγές στην υποδομή της και στις λειτουργίες της ώστε να τηρεί στο 100% όλα τα απαιτούμενα του Κανονισμού.

Διαθέτει πιστοποιημένο Data Protection Officer και εντός του Νοεμβρίου 2017, προσθέτει στο ISO 27001:2013 την πιστοποίηση ISO 27017, παρέχοντας έτσι όλες τις υπηρεσίες της σε απόλυτη συμβατότητα με το GDPR.

Κατά συνέπεια, όλοι οι πελάτες που φιλοξενούνται στις υποδομές της Lancom, είναι διασφαλισμένοι έναντι του Κανονισμού στις υπηρεσίες Data Center, IaaS, PaaS, SaaS και Telco.

 

Υπηρεσία DPO As A Service

Με δεδομένη την εμπειρία μας ως Data Center και τις διαδικασίες συμμόρφωσης που ήδη έχουμε υλοποιήσει, μπορούμε να παρέχουμε στην επιχείρησή σας τις παρακάτω ολοκληρωμένες υπηρεσίες :

  • Διερεύνηση του επιπέδου συμμόρφωσης της επιχείρησης με τον GDPR, δημιουργώντας αναλυτικό αρχείο των δραστηριοτήτων επεξεργασίας δεδομένων.
  • Αξιολόγηση επιπτώσεων (Privacy Impact Assessment) αναφορικά με την προστασία των δεδομένων και εντοπισμός των σημαντικότερων κινδύνων 
  • Δημιουργία μέτρων αντιμετώπισης (GDPR Compliance Plan), με συνεχή υποστήριξη, έλεγχο και παροχή συμβουλευτικού έργου στην υλοποίησή τους
  • Δημιουργία και Ανάπτυξη συστήματος Διαχείρισης Προσωπικών Δεδομένων με σχεδιασμό και ανάπτυξη όλων των απαιτούμενων πολιτικών και εφαρμογή διαδικασιών προστασίας 
  • Επιθεωρήσεις Εφαρμογής (GDPR Audit) 
  • Μελέτη και εφαρμογή διαδικασιών σχετικών με την μελλοντική πιστοποίηση του κανονισμού GDPR

Όλες οι παραπάνω υπηρεσίες παρέχονται σε ένα ενιαίο πακέτο με την μοναδική πολιτική μηνιαίας χρέωσης της Lancom. 

Για πληροφορίες και κλείσιμο συνάντησης επικοινωνήστε στο gdpr@lancom.gr ή με το εμπορικό τμήμα στο 214 100 1000.

 

Για την καλύτερη ενημέρωσή σας παρακάτω θα δείτε χρήσιμες πληροφορίες για τον Κανονισμό 2016/679 ή GDPR

Τι είναι ο Γενικός Κανονισμός για την Προστασία Δεδομένων ή αλλιώς GDPR;

Ο Ευρωπαϊκός Κανονισμός 2016/679 (General Data Protection Regulation, GDPR) ψηφίστηκε στις 27 Απριλίου του 2016 και τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25 Μαΐου του 2018, διαμορφώνοντας ένα ενιαίο νομικό πλαίσιο, χωρίς την ανάγκη ψήφισης εθνικής νομοθεσίας και καταργώντας την υφιστάμενη νομοθεσία. Ο νέος κανονισμός αυξάνει σημαντικά τις υποχρεώσεις των επιχειρήσεων, ενώ το μέγεθος των προβλεπόμενων προστίμων τον τοποθετεί πολύ υψηλά στην ατζέντα της ανώτατης διοίκησης.

Ποιες επιχειρήσεις αφορά;

Ο Κανονισμούς αφορά κάθε ιδιωτική και δημόσια επιχείρηση, καθώς και τις κρατικές αρχές που με οποιοδήποτε τρόπο διαχειρίζονται δεδομένα προσωπικού χαρακτήρα πελατών, πελατών των πελατών τους, εργαζομένων, συνεργατών ή άλλων φυσικών προσώπων. Ως εκ τούτου, o GDPR αφορά πρακτικά όλες τις επιχειρήσεις, εντός και εκτός Ευρωπαϊκής Ένωσης, εφόσον τα δεδομένα που τηρούν αφορούν Ευρωπαίους πολίτες.

Τι προβλέπεται πλέον για τις επιχειρήσεις και τα προσωπικά δεδομένα που συλλέγουν και τηρούν;

  • Θα πρέπει να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή συλλογή μόνο για συγκεκριμένο σκοπό και μόνο όσα είναι απαραίτητα για τον σκοπό αυτό.
  • Δεν θα πρέπει να τα υποβάλουν σε περαιτέρω επεξεργασία με τρόπο μη συμβατό με το σκοπό.
  • Θα πρέπει να ορίσουν ελάχιστο χρονικό διάστημα αποθήκευσης και επικαιροποίησης  βάσει του σκοπού συλλογής τους.
  • Υποχρεούνται να λαμβάνουν αναλυτικά κατά περίπτωση την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων για κάθε δεδομένο συλλογής.
  • Μπορούν να τα μεταφέρουν σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις και με αιτιολογημένο σκοπό
  • Μπορούν να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους, υπό συγκεκριμένες συνθήκες και μόνον εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με τον GDPR
  • Οφείλουν να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα φυσικών προσώπων για:

1.     Ανάκληση της συγκατάθεσης του φυσικού προσώπου περί παροχής των προσωπικών δεδομένων του.

2.     Αιτήματος πρόσβασης στα δεδομένα του.

3.     Αιτήματος διόρθωσης ή διαγραφής των δεδομένων.

4.     Αιτήματος περιορισμού της επεξεργασίας τους.

5.     Αιτήματος παράδοσης των δεδομένων του υποκειμένου συλλογής σε ηλεκτρονική μορφή.

6.     Αιτήματος για την μεταφορά των δεδομένων του υποκειμένου σε άλλο φορέα.

 

  • Οφείλουν να γνωστοποιούν κατάλληλα και έγκαιρα στα φυσικά πρόσωπα τα δικαιώματά τους
  • Υποχρεούνται να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους
  • Θα πρέπει να τηρούν σε αναλυτικό αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, όπως και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση
  • Θα πρέπει να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.

 

Για να ικανοποιήσουν όλα τα ανωτέρω οι επιχειρήσεις οφείλουν:

  • Να λαμβάνουν όλα τα  απαιτούμενα τεχνικά και οργανωτικά μέτρα που περιλαμβάνονται σε διεθνή πρότυπα, σε κώδικες δεοντολογίας και σε συστάσεις αρμοδίων κοινοτικών και εθνικών οργάνων
  • Να δημιουργήσουν και επικαιροποιήσουν το μητρώο επεξεργασίας, που θα απεικονίζεται η ροή, οι αποδέκτες και το είδος των προσωπικών δεδομένων που διαχειρίζονται
  • Να διενεργήσουν μελέτη εκτίμησης των επιπτώσεων (Privacy Impact Assessment), με την οποία θα αξιολογούν τους κινδύνους για τα προσωπικά δεδομένα που διαχειρίζονται και θα ορίζουν την λήψη των απαραίτητων μέτρων περιορισμού των κινδύνων
  • Να αναπτύξουν πολιτικές και διαδικασίες προστασίας και ασφάλειας των προσωπικών δεδομένων
  • Να ορίσουν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer) ή να λάβουν υπηρεσίες Υπεύθυνου Προστασίας Δεδομένων από εταιρεία που να διαθέτει πιστοποιημένο DPO.
  • Nα συμμορφώνονται με τους κώδικες δεοντολογίας και να διαθέτουν κάθε στοιχείο που να αποδεικνύει τη συμμόρφωσή τους με τον Κανονισμό.

 Ποιες ποινές προβλέπονται;

Σε περίπτωση παράβασης ή μη τήρησης του Κανονισμού, προβλέπονται πρόστιμα που ανάλογα με το είδος και το μέγεθός των παραβάσεων ή της μη συμμόρφωσης, φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών του παραβάτη.

Ποιες είναι οι κυριότερες δυσκολίες για τις επιχειρήσεις;

  • Η ακριβής γνώση για το ποια δεδομένα συλλέγουν και επεξεργάζονται σε κάθε φάση των δραστηριοτήτων τους, ποιοι εμπλέκονται και με ποια εργαλεία και διαδικασίες γίνεται η επεξεργασία
  • ο καθορισμός και διαχωρισμός των επιχειρησιακών αναγκών, ώστε να διασφαλίζονται όλες οι απαιτούμενες συγκαταθέσεις του υποκειμένου και να μη γίνεται πλεονάζουσα επεξεργασία
  • ο συστηματικός έλεγχος για την κάλυψη των απαιτήσεων του GDPR σε κάθε στάδιο επεξεργασίας των δεδομένων
  • η αξιολόγηση των κινδύνων που ενδέχεται να οδηγήσουν σε παραβίαση των προσωπικών δεδομένων, με αποτέλεσμα βαρύτατες οικονομικές κυρώσεις και επιπτώσεις στην εταιρική φήμη
  • η παρουσίαση των σημαντικότερων κινδύνων και των τρόπων αντιμετώπισής τους στη Διοίκηση με πρακτικό τρόπο, ώστε να αποφασισθεί ένα ρεαλιστικό πλάνο και προϋπολογισμός συμμόρφωσης
  • η λήψη αποτελεσματικών και οικονομικών μέτρων για τον περιορισμό του κινδύνου παραβιάσεων του GDPR, χωρίς να θίγονται οι επιχειρησιακές προτεραιότητες.