Συμμετοχή στο διεθνές καλοκαιρινό σχολείο για την Τεχνητή Νοημοσύνη, τα Δικαιώματα του Ανθρώπου, τη Δημοκρατία και το Κράτος Δικαίου!

Από τις 2 Αυγούστου έως και τις 30 Σεπτεμβρίου του 2021 θα λάβει χώρα διαδικτυακά ένα εξαιρετικό εκπαιδευτικό γεγονός, με κορυφαίους ομιλητές, συμπεριλαμβανομένων πολλών μελών της διαρκούς επιτροπής του Συμβουλίου της Ευρώπης για τη Τεχνητή Νοημοσύνη (CAHAI)!

Το καλοκαιρινό σχολείο διοργανώνεται από το Istanbul Bilgi University υπό την αιγίδα του Global Network of Internet & Society Centers, της κορυφαίας ένωσης ερευνητικών κέντρων στον τομέα του δικαίου και νέων τεχνολογιών διεθνώς.

Οι δηλώσεις εγγραφής είναι ανοιχτές έως και τη Δευτέρα 26 Ιουλίου!

Θα θέλαμε να ευχαριστήσουμε θερμά την καθηγήτρια κα. Leyla Keser και την ομάδα της για την ευγενική πρόσκληση και την αγαστή συνεργασία στο πλαίσιο των ομάδων εργασίας της CAHAI!

Η Homo Digitalis θα συμμετέχει σε πάνελ που θα λάβει χώρα στις 23 Σεπτεμβρίου μαζί με τους εξαιρετικούς Francesca Fanucci και Daniel Leufer από European Center for Not-for-Profit Law Stichting και Access Now αντίστοιχα. Την οργάνωσή μας θα εκπροσωπήσει το συνιδρυτικό μέλος και γραμματέας του Δ.Σ. μας Λευτέρης Χελιουδάκης.

Μπορείς να δεις το πρόγραμμα, τους ομιλητές και να κάνεις την εγγραφή σου ;έως τις 26/7 εδώ.

Μπορείς να μάθεις περισσότερα για το Global Network of Internet and Society Research Centers εδώ.


Η Αρχή Προστασίας Δεδομένων εξετάζει προσφυγές πολιτών για το 13033

Στις 23 Ιουνίου 2021 η Ολομέλεια της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνεδρίασε για να εξετάσει τις προσφυγές 5 πολιτών κατά της Γενικής Γραμματείας Πολιτικής Προστασίας. Οι προσφυγές αφορούν στη μη ικανοποίηση του δικαιώματος πρόσβασης στα προσωπικά δεδομένα, όπως αυτό προβλέπεται από την ελληνική και ευρωπαϊκή νομοθεσία.

Η Homo Digitalis εκπροσώπησε τους 5 προσφεύγοντες κατά τη συνεδρίαση και στη συνέχεια υπέβαλε υπόμνημα στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Σύμφωνα με την ευρωπαϊκή νομοθεσία το επαπειλούμενο πρόστιμο για τη Γενική Γραμματεία Πολιτικής Προστασίας είναι έως και 20 εκατομμύρια ευρώ ανά παραβίαση.

Σύντομα αναμένεται η απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την υπόθεση.

 

Σύντομο Ιστορικό

Οι προσφεύγοντες την 23.11.2020 προχώρησαν στην άσκηση του δικαιώματος πρόσβασης προς τον Υπεύθυνο Επεξεργασίας, Γενική Γραμματεία Πολιτικής Προστασίας (ΓΓΠΠ),  με βάση το άρθρο 15 του ΓΚΠΔ μέσω μηνύματος ηλεκτρονικού ταχυδρομείου, στη διεύθυνση info@gscp.gr του Υπεύθυνου Επεξεργασίας, όπως αναφέρεται στην Πολιτική Απορρήτου της ΓΓΠΠ για τη χρήση του 13033.

Όπως ορίζεται στον ΓΚΠΔ (άρθρο 12, παρ. 3),  και επισημαίνεται στην Πολιτική Απορρήτου του 13033, ο υπεύθυνος επεξεργασίας οφείλει να ικανοποιήσει χωρίς καθυστέρηση το δικαίωμα αυτό και το αργότερο σε ένα μήνα από την υποβολή του αιτήματος.

Η ΓΓΠΠ ως υπεύθυνος επεξεργασίας κατά παράβαση των διατάξεων του άρθρου 12 παρ. 3 και 4 του ΓΚΠΔ δεν απάντησε στους καταγγέλλοντες εντός μηνός από την παραλαβή του αιτήματος και δεν ενημέρωσε, ως όφειλε, εντός μηνός για την ενδεχόμενη αδυναμία άμεσης ανταπόκρισης και ικανοποίησης του αιτήματός τους καθώς και για τους λόγους καθυστέρησης, ζητώντας περαιτέρω παράταση της προθεσμίας, κατά παράβαση των διατάξεων του άρθρου 12 παρ. 3 και 4 του ΓΚΠΔ.  Επιπλέον, δεν ενημέρωσε εντός μηνός για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας και άσκησης δικαστικής προσφυγής (άρθρο 12 παρ. 4 του ΓΚΠΔ).

Λαμβάνοντας υπόψη τα ανωτέρω, δυόμιση μήνες μετά την άσκηση του δικαιώματος πρόσβασης και μην έχοντας λάβει καμία απάντηση από τη ΓΓΠΠ οι προσφεύγοντες προχώρησαν την 8/2/2021 στην υποβολή των υπό εξέταση καταγγελιών ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Αρχή).

Η Αρχή κάλεσε την ΓΓΠΠ να υποβάλλει τις απόψεις στις 16-02-2021.  Η ΓΓΠΠ δεν απάντησε ούτε στο αίτημα αυτό της Αρχής.

Έως και σήμερα (7 μήνες μετά) οι προσφεύγοντες δεν έχουν λάβει καμία απάντηση στα αιτήματα πρόσβασης. Αντίγραφο των απόψεων της Γενικής Γραμματείας Πολιτικής Προστασίας τους κοινοποιήθηκε για πρώτη φορά την 29η Ιουνίου 2021 κατόπιν αιτήματός τους προς την Αρχή.

Επισημαίνεται ότι οι απόψεις της ΓΓΠΠ υποβλήθηκαν στην Αρχή στις 18 Ιουνίου 2021 με σημαντικότατη καθυστέρηση τεσσάρων και πλέον μηνών. Κατά την πρώτη συνεδρίαση η ΓΓΠΠ υπέβαλε αίτημα αναβολής της συζήτησης με μοναδικό επιχείρημα την επιθυμία του Γενικού Γραμματέα Πολιτικής Προστασίας να εκπροσωπήσει αυτοπροσώπως τη ΓΓΠΠ, χωρίς να έχει μέχρι εκείνο το σημείο εκθέσει τις απόψεις της για τις προσφυγές. Το αίτημα έγινε δεκτό, αλλά ο Γενικός Γραμματέας δεν παρέστη ούτε στην εξ αναβολής συζήτηση.

Το αντικείμενο των προσφυγών είναι η μη παροχή πλήρους και σωστής πληροφόρησης και η μη ικανοποίηση του δικαιώματος πρόσβασης, σύμφωνα με τα άρθρα 15 και 12 του ΓΚΠΔ.


H Ευρωπαϊκή Υπηρεσία Κοινοβουλευτικής Έρευνας αναφέρει τη Homo Digitalis σε μελέτη της

H Ευρωπαϊκή Υπηρεσία Κοινοβουλευτικής Έρευνας (EPRS), η οποία αποτελεί την εσωτερική υπηρεσία έρευνας και δεξαμενή σκέψης του Ευρωπαϊκού Κοινοβουλίου, κάνει ρητή αναφορά στις δράσεις μας σε εθνικό επίπεδο στη νέα μελέτη της που δημοσιεύθηκε στις αρχές Ιουλίου και αφορά τη χρήση της Τεχνητής Νοημοσύνης στον τομέα της προστασίας των συνόρων!

Φυσικά, σημαντικές αναφορές γίνονται και στην Ευρωπαϊκή Πρωτοβουλία Πολιτών #ReclaimYourFace!

Μπορείς να διαβάσεις τη μελέτη εντελώς δωρεάν εδώ.


Η Homo Digitalis στο Health, Legal & Compliance Forum

Την Τετάρτη 7 Ιουλίου διοργανώθηκε με μεγάλη επιτυχία ψηφιακά το συνέδριο Health Legal & Compliance Forum.

Το συνέδριο διοργανώθηκε από την CLEON Conferences & Communications υπό την αιγίδα της Homo Digitalis.

Nομικοί και επαγγελματίες των κλάδων της υγείας και του φαρμάκου συζήτησαν για ρυθμιστικά & κανονιστικά ζητήματα που προέκυψαν κατά την περίοδο της πανδημίας.
Την οργάνωσή μας στο συνέδριο εκπροσώπησε ο Στέφανος Βιτωράτος, αναλύοντας το ρόλο των social media κατά την πανδημία.
Περισσότερες πληροφορίες για το συνέδριο εδώ.


Η Homo Digitalis σε event για τα ψηφιακά δικαιώματα στα Βαλκάνια

Η Homo Digitalis συμμετείχε στις  1 Ιουλίου στην εκδήλωση του SEE Digital Rights Network με θέμα τις προκλήσεις που ανακύπτουν στην περιοχή των Βαλκανίων για την προστασία των ψηφιακών δικαιωμάτων.

Στην εκδήλωση παρουσιάστηκε μεταξύ άλλων η σχετική μελέτη των οργανώσεων BIRN και SHARE Foundation.
Ο Λευτέρης Χελιουδάκης, ιδρυτικό μέλος και Γραμματέας του Δ.Σ. της Homo Digitalis εκπροσώπησε την οργάνωση στην εκδήλωση.


Εκδόθηκε το ετήσιο report της EDRi

Η ετήσια έκθεση της European Digital Rights για το 2020 μόλις κυκλοφόρησε!

Φέτος η έκθεση είναι διαθέσιμη και σε διαδραστική μορφή.

Μπορείτε να διαβάσετε μοναδικές ιστορίες και στοιχεία για σημαντικές δράσεις όλων των οργανώσεων του δικτύου για το χρόνο που πέρασε, συμπεριλαμβανομένης φυσικά της Homo Digitalis.

Μπορείτε επίσης να δείτε βίντεο από την EDRi για την προστασία των ψηφιακών δικαιωμάτων και τις προκλήσεις που χρειάστηκε να ξεπεράσουμε!
Η έκθεση είναι διαθέσιμη εδώ.


Η Homo Digitalis σε ημερίδα της Ευρωπαϊκής Επιτροπής

Στις 11 Ιουνίου πραγματοποιήθηκε με μεγάλη επιτυχία η ημερίδα που διοργάνωσε η Ευρωπαϊκή Επιτροπή και το Πρόγραμμα ISA2 αναφορικά με τη χρήση νέων τεχνολογιών, όπως η τεχνητή νοημοσύνη, στον τομέα της νομοπαρασκευαστικής διαδικασίας εστιάζοντας στις νομικές και ηθικές προκλήσεις που ανακύπτουν.

Αποτελεί εξαιρετική τιμή και χαρά για την οργάνωση μας το γεγονός ότι επιλεχθήκαμε να πλαισιώσουμε ομιλητές εγνωσμένης αξίας στον τομέα του δικαίου και των νέων τεχνολογιών, όπως τον μεταδιδακτορικό ερευνητή Dr. Jan De Bruyne (Research expert in AI & Law – KU Leuven), την καθηγήτρια Dr. Mireille Hildebrandt (Research Professor, LSTS – Vrije Universiteit Brussel), και τον μεταδιδακτορικό ερευνητή Dr. Laurence Diver (Postdoctoral legal research, LSTS – Vrije Universiteit Brussel).

Ευχαριστούμε θερμά τους διοργανωτές, μεταξύ των οποίων τις Νιόβη Βλαχοπούλου και Cécile Guasch για την τιμητική πρόσκληση

Μπορείτε να δείτε τη πλήρη περιγραφή της ημερίδας εδώ.

Μπορείτε να δείτε αποσπάσματα αυτής εδώ.


Η Homo Digitalis επεκτείνει τις συνεργασίες της και στην Ασία

Μετά από πολλές σημαντικές συνεργασίες με κορυφαία πανεπιστήμια και ερευνητικά κέντρα σε Ελλάδα, Ευρώπη και Η.Π.Α., η Homo Digitalis επεκτείνει τις συνεργασίες της και στην Ασία.

Με μεγάλη μας χαρά υπογράψαμε μνημόνιο συνεργασίας με το ερευνητικό κέντρο Centre for Law and Technology της Νομικής Σχολής του Ziauddin University στο Πακιστάν με στόχο την ανάπτυξη κοινών εθελοντικών προγραμμάτων έρευνας και ευαισθητοποίησης του κοινού για ζητήματα που αφορούν, μεταξύ άλλων, την προστασία των προσωπικών δεδομένων, το σεβασμό της ιδιωτικής ζωής και την ελευθερία της έκφρασης στη σύγχρονη ψηφιακή εποχή.


Το Πρόγραμμα Συμμόρφωσης με τον GDPR από μια πρακτική σκοπιά

Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc *

Σκοπός του Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (679/2016) είναι η ασφαλής διαχείριση των προσωπικών δεδομένων από φορείς και επιχειρήσεις του δημόσιου και ιδιωτικού τομέα στην ευρωπαϊκή επικράτεια.

Συγκεκριμένα, μέσω της θέσπισης ενιαίων κανόνων, επιχειρείται η προστασία των φυσικών προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων, ενώ παράλληλα προστατεύονται θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμα τους στην προστασία των δεδομένων.

Στο πλαίσιο αυτό, οι οργανισμοί δεν θα πρέπει απλώς να γνωρίζουν τις υποχρεώσεις που απορρέουν από τον κανονισμό και την κείμενη νομοθεσία, αλλά και να υλοποιούν μια σειρά από ενέργειες προς την κατεύθυνση της προστασίας των προσωπικών δεδομένων που επεξεργάζονται.

Πιο συγκεκριμένα, μέσω ενός κατάλληλου προγράμματος συμμόρφωσης, ένας οργανισμός θα πρέπει να αναπτύξει όλους τους απαραίτητους μηχανισμούς, για να είναι σε θέση να ικανοποιεί, μεταξύ των άλλων, και:

  1. τις θεμελιώδεις αρχές για τη νομιμότητα κάθε επεξεργασίας,
  2. τα θεμελιώδη δικαιώματα των υποκειμένων (ενημέρωση, πρόσβαση, διόρθωση, διαγραφή (λήθη), περιορισμός επεξεργασίας, εναντίωση (και στο profiling) και φορητότητα,
  3. τις υποχρεώσεις του ως υπεύθυνος επεξεργασίας.

Ειδικότερα για την αρχή της λογοδοσίας του υπεύθυνου επεξεργασίας, η οπoία αποτελεί και μια από τις θεμελιώδεις αρχές του GDPR,  η λογοδοσία αυτή καθαυτή προκύπτει από την ευθύνη συμμόρφωσης του οργανισμού και την υποχρέωση απόδειξης της συμμόρφωσης ανά πάσα ώρα και στιγμή.

Στο πλαίσιο αυτό, η διοίκηση ενός οργανισμού θα πρέπει να στραφεί προς την προοπτική συμμόρφωσης, αντιλαμβανόμενη ωστόσο ότι μια ουσιαστική συμμόρφωση απαιτεί δέσμευση, πόρους και εργατοώρες.

 

ΠΡΙΝ ΤΗΝ ΕΝΑΡΞΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Επιλογή τρόπου συμμόρφωσης

Εφόσον κριθεί ότι η συμμόρφωση είναι απαραίτητη, η διοίκηση ενός οργανισμού θα πρέπει να επιλέξει σε ποιόν θα ανατεθεί το έργο της συμμόρφωσης.

Όπως και στην περίπτωση διορισμού του υπεύθυνου προστασίας δεδομένων (εφεξής DPO), ένας οργανισμός θα μπορούσε να εξετάσει το ενδεχόμενο της ανάθεσης του έργου συμμόρφωσης σε άτομο ή άτομα που απασχολούνται ήδη στον οργανισμό ή να εξετάσει το ενδεχόμενο ανάθεσης του έργου συμμόρφωσης σε σύμβουλο με αποδεδειγμένη δραστηριότητα στο συγκεκριμένο τομέα.

 

Πρώτη αυτοαξιολόγηση

Από την στιγμή που θα γίνει η τελική επιλογή του τρόπου συμμόρφωσης, θα πρέπει να ξεκινήσουν οι διαδικασίες προς αυτήν την κατεύθυνση.

Καταρχάς, και στις δύο περιπτώσεις (εσωτερική ή εξωτερική ανάθεση), θα πρέπει να συμπληρώνεται ένα ερωτηματολόγιο αρχικής αυτοαξιολόγησης σχετικά με το υφιστάμενο επίπεδο προστασίας δεδομένων του οργανισμού. Αυτό θα βοηθήσει τόσο τον οργανισμό, όσο και τον υπεύθυνο συμμόρφωσης, για να γνωρίζουν από ποια βάση εκκινούν.

Το αποτέλεσμα της αυτοαξιολόγησης μπορεί σε κάποιες περιπτώσεις να επηρεάσει και το συνολικό τίμημα, αφού ενδεχομένως να απαιτηθεί μεγαλύτερη ή μικρότερη προσπάθεια ανάλογα με το υφιστάμενο επίπεδο ετοιμότητας του οργανισμού.

Ορισμός ομάδας εργασίας

Επιπλέον, σε περίπτωση εξωτερικής ανάθεσης, θα πρέπει ο οργανισμός να ορίσει έναν ή και παραπάνω υπεύθυνους επικοινωνίας με την ομάδα συμμόρφωσης και, επιπλέον, να ορίσει μια στενή «ομάδα εργασίας».

Μια ουσιαστική συμμόρφωση απαιτεί διαρκή επικοινωνία μεταξύ των δύο μερών, τόσο για την άμεση ανταλλαγή δεδομένων και πληροφοριών, όσο και για επιτόπιες απαντήσεις και διευκρινήσεις σε απορίες και ερωτήματα της ομάδας συμμόρφωσης.

Πρώτη γνωστοποίηση στο προσωπικό

Σε αυτήν την φάση, απαραίτητη κρίνεται και μια επίσημη ενημέρωση του προσωπικού κάθε ειδικότητας, σχετικά με το επικείμενο πρόγραμμα συμμόρφωσης, καθώς και για την εμπλοκή όλων των βαθμίδων ιεραρχίας και όλων των τμημάτων σε αυτήν την συλλογική προσπάθεια.

 

ΥΛΟΠΟΙΗΣΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Ενδεικτικό Πρόγραμμα Συμμόρφωσης

Όπως είναι αντιληπτό, σκοπός είναι η διασφάλιση του μέγιστου βαθμού συμμόρφωσης του οργανισμού στις απαιτήσεις και τις προϋποθέσεις του GDPR, με γνώμονα η συμμόρφωση να μην δημιουργεί εμπόδια στην καθημερινή λειτουργία και δραστηριότητα του οργανισμού.

Το πρόγραμμα συμμόρφωσης χωρίζεται σε επιμέρους στάδια, κάθε ένα από τα οποία είναι σημαντικό, αφού αποτελούν ενδιάμεσους κρίκους που θα οδηγήσουν στην τελική συμμόρφωση του οργανισμού.

Σε γενικές γραμμές, στην αρχή διεξάγεται μια εκτίμηση του υφιστάμενου επιπέδου συμμόρφωσης σχετικά με τον διαχείριση των προσωπικών δεδομένων.

Στην πορεία, και αφού έχουν συλλεγεί όλες οι απαραίτητες πληροφορίες, προετοιμάζεται ένα πλάνο δράσης στο οποίο περιλαμβάνονται τα προτεινόμενα μέτρα, τα οποία θα πρέπει να έχουν συμφωνηθεί με τον οργανισμό. Το κάθε στάδιο θα πρέπει να συνοδεύεται και από ένα σαφές χρονοδιάγραμμα υλοποίησης.

Το χρονοδιάγραμμα υλοποίησης και η χρονική διάρκεια κάθε επιμέρους φάσης, αλλά και του συνολικού προγράμματος συμμόρφωσης, διαφοροποιούνται κατά περίπτωση.

 

ΠΡΩΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ

Πρώτες συναντήσεις και επιτόπιες επιθεωρήσεις

Στην πλειονότητα των περιπτώσεων, το έργο συμμόρφωσης ξεκινάει με μια πρώτη συνάντηση, για να ακολουθήσουν πολλές άλλες συναντήσεις και ανταλλαγές πληροφοριών. Στην πρώτη συνάντηση διαμορφώνεται ένα κοινά αποδεκτό πλάνο ενεργειών, χωρισμένο σε επιμέρους στάδια και με σαφή χρονοδιαγράμματα, ενώ παράλληλα τίθενται επί τάπητος τα βασικά θέματα και οι διαδικασίες που θα πρέπει να ακολουθηθούν.

Αρχικές εκπαιδεύσεις

Στην φάση αυτή πραγματοποιούνται οι πρώτες γενικές εκπαιδεύσεις για τον GDPR στην διοίκηση και στο προσωπικό, ξεκινώντας από τους διευθυντές / προϊσταμένους των τμημάτων. Στην περίπτωση πολυπληθών οργανισμών, η πρώτη εκπαίδευση θα μπορούσε να είναι μια ευρεία παρουσίαση που απευθύνεται σε μεγάλο αριθμό προσωπικού.

Ευρετήριο Προσωπικών Δεδομένων και Αρχείο Ροών Δεδομένων

Τόσο το Ευρετήριο Προσωπικών Δεδομένων, όσο και το Αρχείο Ροών Δεδομένων, αποτελούν προπομπούς του Αρχείου Χαρτογράφησης, του Αρχείου Δραστηριοτήτων Επεξεργασίας, αλλά και της μετέπειτα Μελέτης Αποκλίσεων.

Τα δεδομένα συλλέγονται από συμπεράσματα που προκύπτουν τόσο από συναντήσεις και προφορικές συζητήσεις, όσο και μέσω της διανομής και συμπλήρωσης ειδικού ερωτηματολογίου.

Αρχείο Χαρτογράφησης

Αποτελεί μια χρήσιμη ανάλυση της υφιστάμενης κατάστασης σχετικά με την προστασία προσωπικών δεδομένων και των κινδύνων που ελλοχεύουν.

Στο συγκεκριμένο αρχείο πραγματοποιείται μια παρουσίαση των ευρημάτων ανά τμήμα ή/και θέση εργασίας που σχετίζονται με την προστασία των δεδομένων. Η συγκεκριμένη μελέτη θα πρέπει να περιλαμβάνει όλες τις ήδη εντοπισμένες δραστηριότητες του οργανισμού.

Αρχείο Δραστηριοτήτων Επεξεργασίας

Μαζί με την Αρχείο Χαρτογράφησης, σε αυτήν την φάση προετοιμάζεται και απαραίτητο Αρχείο Δραστηριοτήτων, στο οποίο θα πρέπει να απεικονίζονται όλα όσα ορίζει ο GDPR.

Πρώτα νομικά, τεχνικά και οργανωτικά θέματα συμμόρφωσης

Πέρα από τα παραδοτέα αρχεία που προαναφέρθηκαν, στην πρώτη φάση του προγράμματος συμμόρφωσης συστήνεται να ξεκινήσει η υλοποίηση και συγκεκριμένων κρίσιμων διορθωτικών οργανωτικών και τεχνικών μέτρων, για τα οποία κρίνεται σκόπιμο να μην υπάρξουν καθυστερήσεις.

 

ΔΕΥΤΕΡΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ

Επόμενες  συναντήσεις – επισκέψεις – εκπαιδεύσεις

Στην δεύτερη φάση του προγράμματος συμμόρφωσης,  πραγματοποιούνται νέες επισκέψεις σύμφωνα με την εξέλιξη της συμμόρφωσης, ενώ συζητούνται τα παραδοτέα αρχεία της πρώτης φάσης, με περεταίρω εμβάθυνση σε όσα πεδία είναι σημαντικά ή για τα οποία ενδεχομένως να υπάρχουν απορίες.

Ανάλυση Αποκλίσεων

H Ανάλυση Αποκλίσεων έχει σκοπό τον εύρεση των νομικών, κανονιστικών, οργανωτικών και τεχνολογικών αποκλίσεων ως προς τις απαιτήσεις και τις προϋποθέσεις του Κανονισμού.

Θα μπορούσε να ειπωθεί ότι η συγκεκριμένη ανάλυση αφορά μια επαλήθευση των προβληματικών πεδίων που βρέθηκαν από την φάση της αρχικής χαρτογράφησης, μόνο που εδώ συσχετίζονται με συγκεκριμένες απαιτήσεις του Κανονισμού.

Ανάλυση Κινδύνων

Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα αποτελεί η υλοποίηση της Μελέτης Αντικτύπου (DPIA), σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ, η προαναφερόμενη εκτίμηση και αξιολόγηση των κινδύνων, που απορρέουν από την επεξεργασία, πρέπει να διενεργείται σε κάθε περίπτωση, ακόμα και στις περιπτώσεις επεξεργασιών για τις οποίες δεν απαιτείται διενέργεια μελέτης αντικτύπου.

Η ανάλυση συστήνεται να υλοποιείται τόσο πριν, όσο και μετά από την εφαρμογή των προτεινόμενων μέτρων.

Μελέτη Αντικτύπου (Data Privacy Impact Analysis)

Σύμφωνα με τον Άρθρο 35 του Κανονισμού 679/2016, «όταν ένα τύπος επεξεργασίας, ιδίως με την χρήση τεχνολογιών, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες  των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα».

Σε αυτό το σημείο κρίνεται σκόπιμη η αναφορά στην σχέση της γενικότερης Ανάλυσης Κινδύνων με την ειδικότερη Μελέτη Αντικτύπου.

Η Μελέτη Αντικτύπου αποτελεί ουσιαστικά μια μεθοδολογία Risk Assessment (ή αλλιώς, ένα υποσύνολο της) με κοινές αρχές και στόχους.

Και αυτό, αφού πολλές από τις ενέργειες και δράσεις που εφαρμόζονται  για την Μελέτη Αντικτύπου, εκπονούνται ήδη για γενικότερη Ανάλυση Κινδύνων. Άλλωστε, πολλοί οργανισμοί (συνήθως οι μεγάλοι σε μέγεθος), μπορεί να επιλέξουν να ενσωματώσουν την Μελέτη Αντικτύπου στο ευρύτερο εταιρικό πλαίσιο διαχείρισης κινδύνων που υιοθετούν.

 

ΤΡΙΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ 

Τελευταίες επισκέψεις και εκπαιδεύσεις

H τελευταία φάση του προγράμματος συμμόρφωσης αποτελείται από συναντήσεις κατά τις οποίες συνοψίζονται εκ νέου όλα τα παραδοτέα αρχεία, με αναφορά στους κινδύνους / ευρήματα και στα κατάλληλα τεχνικά και οργανωτικά μέτρα. Τα επόμενα βήματα που θα ακολουθήσει ο οργανισμός είναι πολύ σημαντικά για την διαρκή και ουσιαστική του συμμόρφωση με τις απαιτήσεις του GDPR. Παράλληλα, υλοποιούνται και οι τελευταίες εκπαιδεύσεις για το προσωπικό που πιθανόν απουσίαζε από τις αρχικές εκπαιδεύσεις.

Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων

Σε αυτήν την φάση υλοποιείται και παραδίδεται το Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων για την Προστασία Προσωπικών Δεδομένων.

Πρόκειται μια λίστα των μέτρων με λεπτομέρειες για το ποιος / ποιοι θα το υλοποιήσουν, το status υλοποίησης, ένα χρονοδιάγραμμα υλοποίησης και σχετικές παρατηρήσεις. Το συγκεκριμένο αρχείο πρέπει να παρακολουθείται στην συνέχεια από τον DPO, ο οποίος και θα πρέπει να το διατηρεί μονίμως επικαιροποιημένο.

Σχεδιασμός και διανομή πολιτικών, διαδικασιών, οδηγιών εργασίας, εντύπων

Βάσει του Προγράμματος Υλοποίησης Προτεινόμενων Μέτρων, σε αυτήν την φάση σχεδιάζονται και διανέμονται επίσημα καταγεγραμμένες πολιτικές, διαδικασίες και οδηγίες εργασίας, οι οποίες σχετίζονται με την  ασφάλειας των δεδομένων και έχουν σαν σκοπό την κάλυψη των αποκλίσεων που εντοπίστηκαν κατά την δεύτερη φάση.

 

ΟΛΟΚΛΗΡΩΣΗ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Με την παράδοση και των τελευταίων Πολιτικών, Διαδικασιών, Οδηγιών Εργασίας, Εντύπων και άλλων παραδοτέων που συγκαταλέγονται στα προτεινόμενα μέτρα, μπορεί να θεωρηθεί ότι ολοκληρώνεται επισήμως το πρόγραμμα συμμόρφωσης του οργανισμού.

Ωστόσο, οι οργανισμοί είθισται να παρουσιάζουν σημεία απόκλισης μετά από το τέλος της περιόδου επίσημης συμμόρφωσης, με τα σημεία απόκλισης να μεγαλώνουν με το πέρασμα του χρόνου.

Αυτή η αντίδραση μπορεί να θεωρηθεί σε κάποιο βαθμό δικαιολογημένη και αναμενόμενη, αφού η πίεση της καθημερινότητας και οι μεγάλες απαιτήσεις σε σχέση με την κύρια δραστηριότητα και την απρόσκοπτη λειτουργία ενός οργανισμού, μπορεί να θέσουν σταδιακά την προστασία των δεδομένων σε δεύτερη προτεραιότητα.

Για τους παραπάνω λόγους, η παρουσία ενός Υπεύθυνου Προστασίας Δεδομένων (DPO) πρέπει να είναι ουσιαστική και συνεχόμενη, μέσα από μια σειρά ενεργειών, οι οποίες θα καλλιεργούν και θα συντηρούν μια πιο μόνιμη κουλτούρα συμμόρφωσης εντός του οργανισμού (για περισσότερες πληροφορίες: https://www.homodigitalis.gr/posts/7535).

Ακόμα όμως και στις περιπτώσεις όπου δεν απαιτείται η παρουσία ενός DPO, οι οργανισμοί θα πρέπει από μόνοι τους να εφαρμόζουν όλα τα απαραίτητα για μια ουσιαστική συμμόρφωση με το GDPR και την κείμενη νομοθεσία σχετικά με την προστασία προσωπικών δεδομένων.

 

Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO – QMS Lead auditor ISO 9001:2015, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος τίτλων MBΑ από το ICBS Thessaloniki Business College και MSc in International Business and Finance από το Reading University, UK. Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι αρθρογράφος για το GDPR. Είναι γενικός γραμματέας, μέλος Δ.Σ. και επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων, του Ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος του DPO Network Greece, μέλος της ομάδας Homo Digitalis και μέλος του Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος (ΙΝ.ΕΠ.ΙΔ).

Πηγές:

Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα

http://homodigitalis.gr/posts/8519, Μικρομεσαίες επιχειρήσεις και Προστασία Προσωπικών Δεδομένων (GDPR), 7 Φεβρουαρίου 2021

http://homodigitalis.gr/posts/7535, Ο ρόλος και η «καθημερινότητα» του Υπεύθυνου Προστασίας Δεδομένων (DPO), 11 Οκτωβρίου, 2020

Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679  https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL