ΕΝΔΕΙΚΤΙΚΟ ΠΡΟΓΡΑΜΜΑ ΣΥΜΜΟΡΦΩΣΗΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Γράφει ο Δημοσθένης Κωστούλας, MBA MSc BSc *

Έξι ολόκληρα χρόνια από την έναρξη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (679/2016 / GDPR), τίθεται το ερώτημα του πόσες επιχειρήσεις, οργανισμοί και φορείς του ιδιωτικού και δημόσιου τομέα είναι ουσιωδώς συμμορφωμένοι με τους βασικούς κανόνες και τις απαιτήσεις σχετικά με την προστασία των προσωπικών δεδομένων που επεξεργάζονται στα πλαίσια της δραστηριότητας τους. Και δεν γίνεται λόγος μόνο για τον ορισμό ενός υπεύθυνου προστασίας δεδομένων (ο οποίος στην πλειονότητα των περιπτώσεων είναι τυπικός), αλλά για την ουσιαστική ανάπτυξη και εφαρμογή ενός στιβαρού προγράμματος συμμόρφωσης, μέσω του οποίου θα μεγιστοποιείται η ασφάλεια και η ακεραιότητα των – υπό επεξεργασία – προσωπικών δεδομένων και θα ελαχιστοποιείται η πιθανότητα διαρροής τους ή/και κακόβουλης μεταχείρισης τους.

Στο πλαίσιο αυτό, ένας οργανισμός (ως “υπεύθυνος επεξεργασίας”) θα έπρεπε να αποδεχθεί ότι, για μια ουσιαστική συμμόρφωση, απαιτούνται ανθρώπινοι και υλικοί πόροι, καθώς και η δέσμευση της ίδιας της Διοίκησης και των ανθρώπων που συμμετέχουν στην λήψη αποφάσεων. 

ΦΑΣΗ ΠΡΟΕΤΟΙΜΑΣΙΑΣ ΓΙΑ ΤΟ ΠΡΟΓΡΑΜΜΑ ΣΥΜΜΟΡΦΩΣΗΣ

Εφόσον κριθεί ότι η συμμόρφωση είναι απαραίτητη, η διοίκηση ενός οργανισμού θα πρέπει να επιλέξει σε ποιόν θα ανατεθεί το έργο της συμμόρφωσης. Όπως και στην περίπτωση διορισμού του υπεύθυνου προστασίας δεδομένων (εφεξής DPO), ένας οργανισμός θα  μπορούσε να εξετάσει το ενδεχόμενο της ανάθεσης του έργου συμμόρφωσης σε καταρτισμένο άτομο ή άτομα που απασχολούνται ήδη στον οργανισμό ή να εξετάσει το ενδεχόμενο ανάθεσης του έργου συμμόρφωσης σε εξωτερικό σύμβουλο με αποδεδειγμένη δραστηριότητα στο συγκεκριμένο τομέα.

Από την στιγμή που θα γίνει η τελική επιλογή του τρόπου συμμόρφωσης, θα πρέπει να ξεκινήσουν οι διαδικασίες προς αυτήν την κατεύθυνση. Καταρχάς, και στις δύο περιπτώσεις (εσωτερική ή εξωτερική ανάθεση), θα πρέπει να συμπληρώνεται ένα ερωτηματολόγιο αρχικής αυτο-αξιολόγησης σχετικά με το υφιστάμενο επίπεδο προστασίας δεδομένων του οργανισμού. Αυτό θα βοηθήσει τόσο τον οργανισμό, όσο και τον υπεύθυνο συμμόρφωσης, για να γνωρίζουν από ποια βάση εκκινούν. Η διαδικασία της αυτο-αξιολόγησης θα πρέπει να είναι ενδελεχής και να επεκταθεί σε όλες τις δραστηριότητες και διεργασίες του οργανισμού.

Επιπλέον, σε περίπτωση εξωτερικής ανάθεσης, θα πρέπει ο οργανισμός να ορίσει έναν ή και παραπάνω υπεύθυνους επικοινωνίας με την ομάδα συμμόρφωσης και, επιπλέον, να ορίσει μια στενή «ομάδα εργασίας».

Τέλος, σε αυτήν την φάση, κρίνεται απαραίτητη και μια επίσημη ενημέρωση του προσωπικού, σχετικά με την επικείμενη ανάπτυξη και εφαρμογή του προγράμματος συμμόρφωσης, καθώς και για την εμπλοκή όλων των βαθμίδων ιεραρχίας και όλων των τμημάτων σε αυτήν την συλλογική προσπάθεια.

ΦΑΣΗ ΥΛΟΠΟΙΗΣΗΣ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Όπως είναι αντιληπτό, σκοπός είναι η διασφάλιση του μέγιστου βαθμού συμμόρφωσης του οργανισμού στις απαιτήσεις και τις προϋποθέσεις του GDPR, με γνώμονα η συμμόρφωση να μην δημιουργεί εμπόδια στην καθημερινή λειτουργία και δραστηριότητα του οργανισμού. Το πρόγραμμα συμμόρφωσης χωρίζεται σε επιμέρους στάδια, κάθε ένα από τα οποία είναι σημαντικό, αφού αποτελούν ενδιάμεσους κρίκους που θα οδηγήσουν στην τελική συμμόρφωση του οργανισμού.

1.ΠΡΩΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ

Στην πλειονότητα των περιπτώσεων, το έργο συμμόρφωσης ξεκινάει με μια πρώτη συνάντηση, για να ακολουθήσουν πολλές άλλες συναντήσεις και ανταλλαγές πληροφοριών. Στην πρώτη συνάντηση διαμορφώνεται ένα κοινά αποδεκτό πλάνο ενεργειών, χωρισμένο σε επιμέρους στάδια και με σαφή χρονοδιαγράμματα, ενώ παράλληλα τίθενται επί τάπητος τα βασικά θέματα και οι διαδικασίες που θα πρέπει να ακολουθηθούν.

Στην φάση αυτή πραγματοποιούνται οι πρώτες γενικές εκπαιδεύσεις για την ευαισθητοποίηση Διοίκησης και προσωπικού, με απώτερο σκοπό την σταδιακή ανάπτυξη μιας κουλτούρας προστασίας δεδομένων.

  • Ευρετήριο Προσωπικών Δεδομένων και Αρχείο Ροών Δεδομένων

Τόσο το Ευρετήριο Προσωπικών Δεδομένων, όσο και το Αρχείο Ροών Δεδομένων, αποτελούν προπομπούς του Αρχείου Χαρτογράφησης, του Αρχείου Δραστηριοτήτων Επεξεργασίας, αλλά και της μετέπειτα Μελέτης Αποκλίσεων. Τα δεδομένα συλλέγονται από συμπεράσματα που προκύπτουν τόσο από συναντήσεις και προφορικές συζητήσεις, όσο και μέσω της διανομής και συμπλήρωσης ειδικού ερωτηματολογίου.

  • Αρχείο Χαρτογράφησης

Αποτελεί μια χρήσιμη ανάλυση της υφιστάμενης κατάστασης σχετικά με την προστασία προσωπικών δεδομένων και των κινδύνων που ελλοχεύουν. Στο συγκεκριμένο αρχείο πραγματοποιείται μια παρουσίαση των ευρημάτων ανά τμήμα ή/και θέση εργασίας που σχετίζονται με την προστασία των δεδομένων. Η συγκεκριμένη μελέτη θα πρέπει να περιλαμβάνει όλες τις ήδη εντοπισμένες δραστηριότητες του οργανισμού και αποτελεί την βάση όλων των επόμενων παραδοτέων.

  • Αρχείο Δραστηριοτήτων Επεξεργασίας

Μαζί με την Αρχείο Χαρτογράφησης, σε αυτήν την φάση προετοιμάζεται και απαραίτητο Αρχείο Δραστηριοτήτων, στο οποίο θα πρέπει να απεικονίζονται με λεπτομέρεια όλα όσα ορίζει ο GDPR.

Πέρα από τα παραδοτέα αρχεία που προαναφέρθηκαν, στην πρώτη φάση του προγράμματος συμμόρφωσης συστήνεται να ξεκινήσει η υλοποίηση και συγκεκριμένων κρίσιμων διορθωτικών οργανωτικών και τεχνικών μέτρων, για τα οποία κρίνεται σκόπιμο να μην υπάρξουν καθόλου καθυστερήσεις.

2.ΔΕΥΤΕΡΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ

Στην δεύτερη φάση του προγράμματος συμμόρφωσης,  πραγματοποιούνται νέες επισκέψεις σύμφωνα με την εξέλιξη της συμμόρφωσης, ενώ συζητούνται τα παραδοτέα αρχεία της πρώτης φάσης, με περαιτέρω εμβάθυνση σε όσα πεδία είναι σημαντικά ή για τα οποία ενδεχομένως να υπάρχουν απορίες.

  • Ανάλυση Αποκλίσεων

H Ανάλυση Αποκλίσεων έχει σκοπό τον εύρεση των νομικών, κανονιστικών, οργανωτικών και τεχνολογικών αποκλίσεων ως προς τις απαιτήσεις και τις προϋποθέσεις του Κανονισμού. Θα μπορούσε να ειπωθεί ότι η συγκεκριμένη ανάλυση αφορά μια επαλήθευση των προβληματικών πεδίων που βρέθηκαν από την φάση της αρχικής χαρτογράφησης, μόνο που εδώ συσχετίζονται με συγκεκριμένες απαιτήσεις του Κανονισμού και της κείμενης νομοθεσίας.

  • Ανάλυση Κινδύνων

Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα αποτελεί η υλοποίηση της Μελέτης Αντικτύπου (DPIA), σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ, η προαναφερόμενη εκτίμηση και αξιολόγηση των κινδύνων, που απορρέουν από την επεξεργασία, πρέπει να διενεργείται σε κάθε περίπτωση, ακόμα και στις περιπτώσεις επεξεργασιών για τις οποίες δεν απαιτείται διενέργεια μελέτης αντικτύπου. Η ανάλυση συστήνεται να υλοποιείται τόσο πριν, όσο και μετά από την εφαρμογή των προτεινόμενων μέτρων.

  • Μελέτη Αντικτύπου

Σύμφωνα με τον Άρθρο 35 του Κανονισμού 679/2016, «όταν ένα τύπος επεξεργασίας, ιδίως με την χρήση τεχνολογιών, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες  των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα».

3.ΤΡΙΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ 

H τελευταία φάση του προγράμματος συμμόρφωσης αποτελείται από συναντήσεις κατά τις οποίες συνοψίζονται εκ νέου όλα τα παραδοτέα αρχεία, με αναφορά στους κινδύνους / ευρήματα και στα κατάλληλα τεχνικά και οργανωτικά μέτρα. Τα επόμενα βήματα που θα ακολουθήσει ο οργανισμός είναι πολύ σημαντικά για την διαρκή και ουσιαστική του συμμόρφωση με τις απαιτήσεις του GDPR. Παράλληλα, υλοποιούνται και οι τελευταίες εκπαιδεύσεις για το προσωπικό που πιθανόν απουσίαζε από τις αρχικές εκπαιδεύσεις.

  • Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων

Σε αυτήν την φάση υλοποιείται και παραδίδεται το Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων για την Προστασία Προσωπικών Δεδομένων (Action Plan). Πρόκειται μια λίστα των μέτρων με λεπτομέρειες για το ποιος / ποιοι θα το υλοποιήσουν, το status υλοποίησης, ένα χρονοδιάγραμμα υλοποίησης και σχετικές παρατηρήσεις. Το συγκεκριμένο αρχείο πρέπει να παρακολουθείται στην συνέχεια από τον DPO, ο οποίος και θα πρέπει να το διατηρεί μονίμως επικαιροποιημένο.

Βάσει του Προγράμματος Υλοποίησης Προτεινόμενων Μέτρων, σε αυτήν την φάση σχεδιάζονται και διανέμονται επίσημα καταγεγραμμένες πολιτικές, διαδικασίες και οδηγίες εργασίας, οι οποίες σχετίζονται με την  ασφάλειας των δεδομένων και έχουν σαν σκοπό την κάλυψη των αποκλίσεων που εντοπίστηκαν κατά την δεύτερη φάση.

ΟΛΟΚΛΗΡΩΣΗ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Με την παράδοση και των τελευταίων Πολιτικών, Διαδικασιών, Οδηγιών Εργασίας, Εντύπων και άλλων παραδοτέων που συγκαταλέγονται στα προτεινόμενα μέτρα, μπορεί να θεωρηθεί ότι ολοκληρώνεται επισήμως το πρόγραμμα συμμόρφωσης του οργανισμού.

Ωστόσο, οι οργανισμοί είθισται να παρουσιάζουν σημεία απόκλισης μετά από το τέλος της περιόδου επίσημης συμμόρφωσης, με τα σημεία απόκλισης να μεγαλώνουν με το πέρασμα του χρόνου. Αυτή η αντίδραση μπορεί να θεωρηθεί σε κάποιο βαθμό δικαιολογημένη και αναμενόμενη, αφού η πίεση της καθημερινότητας και οι μεγάλες απαιτήσεις σε σχέση με την κύρια δραστηριότητα και την απρόσκοπτη λειτουργία ενός οργανισμού, μπορεί να θέσουν σταδιακά την προστασία των δεδομένων σε δεύτερη προτεραιότητα.

Για τους παραπάνω λόγους, η παρουσία ενός καταρτισμένου Υπεύθυνου Προστασίας Δεδομένων (DPO) πρέπει να είναι ουσιαστική και συνεχόμενη, μέσα από μια σειρά ενεργειών, οι οποίες θα καλλιεργούν και θα συντηρούν μια πιο μόνιμη κουλτούρα συμμόρφωσης εντός του οργανισμού. Ακόμα όμως και στις περιπτώσεις όπου δεν απαιτείται η παρουσία ενός DPO, οι οργανισμοί θα πρέπει από μόνοι τους να εφαρμόζουν όλα τα απαραίτητα για μια ουσιαστική συμμόρφωση με το GDPR και την κείμενη νομοθεσία σχετικά με την προστασία προσωπικών δεδομένων.

 

Πηγές: Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα

 

 

* Ο Δημοσθένης Κωστούλας είναι έμπειρο στέλεχος με πλούσιες σπουδές και πολυετή εμπειρία σε θέσεις ευθύνης. Είναι κάτοχος τίτλου MBA , τίτλου MSc και τίτλου BSc, ενώ ταυτόχρονα είναι πιστοποιημένος Lead Auditor ISO 9001:2015, ISO 27001:2013 και DPO Executive / GDPR Expert. Ειδικότερα, από το 2011 έχει εξειδικευτεί: 

  • σε θέματα Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέσω της ανάπτυξης & εφαρμογής προγραμμάτων συμμόρφωσης με τον ΓΚΠΔ (GDPR), την παροχή υπηρεσιών Υπεύθυνου Προστασίας Δεδομένων και την σχετική εκπαίδευση φορέων & οργανισμών.
  • σε Συστήματα Διαχείρισης Ποιότητας, μέσω της συμμετοχής / υποστήριξης στον εσωτερικό σχεδιασμό, την ανάπτυξη και την εφαρμογή Συστημάτων Ποιότητας, με γνώμονα πάντα την παροχή ποιοτικών υπηρεσιών και την ασφάλεια των ενδιαφερόμενων μερών.

 

by Homo Digitalis

Ο ρόλος και η «καθημερινότητα» του Υπεύθυνου Προστασίας Δεδομένων (DPO)

Γράφει ο Δημοσθένης Κωστούλας*

 

Σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων 679/2016 (εφεξής GDPR), μια από τις θεμελιώδεις υποχρεώσεις των ιδιωτικών εταιριών και των δημόσιων αρχών / φορέων (ως υπεύθυνοι επεξερgασίας), είναι ο ορισμός Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer, εφεξής DPO), όταν:

  • οι βασικές δραστηριότητες συνιστούν πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση δεδομένων των υποκειμένων σε μεγάλη κλίμακα και
  • οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.

Πρόκειται για έναν σχετικά νέο θεσμικό ρόλο, ο οποίος μέχρι πρότινος ήταν σχετικά άγνωστος στις περισσότερες ευρωπαϊκές χώρες, συμπεριλαμβανομένου και της Ελλάδας.

Αποστολή του DPO είναι η υποστήριξη της ιδιωτικής εταιρείας ή της δημόσιας αρχής /  φορέα στην διαρκή απαίτηση για συμμόρφωση με τις απαιτήσεις του GDPR και της κείμενης νομοθεσίας, συμπεριλαμβανομένης της προστασίας των προσωπικών δεδομένων των υποκειμένων που εμπλέκονται με οποιονδήποτε τρόπο με την εταιρία / φορέα (πελάτες, συνεργάτες, προσωπικό, προμηθευτές κλπ.).

Μεταξύ των άλλων, ο DPO αποτελεί τον κύριο συνομιλητή της διοίκησης για θέματα προστασίας δεδομένων, καταρτίζει το πρόγραμμα και την πολιτική προστασίας δεδομένων και εποπτεύει την εφαρμογή του, εκτιμά και συμβουλεύει για την αναγκαιότητα κατάρτισης μιας εκτίμησης αντικτύπου, συντονίζει την συνεργασία των τμημάτων και τη δημιουργία μιας διαρκούς εταιρικής κουλτούρας προστασίας δεδομένων, πραγματοποιεί εκπαιδευτικά προγράμματα, καταρτίζει ευρετήριο προσωπικών δεδομένων κλπ.

Ακόμα και όταν ΔΕΝ προκύπτει ξεκάθαρα η απαίτηση για DPO, η παρουσία του μόνο καλό θα κάνει σε μια εταιρεία ή έναν φορέα.

Μετά την αρχική συμμόρφωση με τον GDPR

Σε μεγάλο βαθμό, οι εταιρείες / φορείς  είθισται να παρουσιάζουν σημεία απόκλισης μετά από το τέλος της περιόδου της επίσημης συμμόρφωσης τους με τον GDPR και την κείμενη νομοθεσία, με τα σημεία απόκλισης να μεγαλώνουν με το πέρασμα του χρόνου. Αυτή η αντίδραση μπορεί να θεωρηθεί σε κάποιο βαθμό δικαιολογημένη και αναμενόμενη, αφού η πίεση της καθημερινότητας και οι μεγάλες απαιτήσεις σε σχέση με την κύρια δραστηριότητα και την απρόσκοπτη λειτουργία ενός οργανισμού, μπορεί να θέσουν σταδιακά την προστασία των δεδομένων σε δεύτερη προτεραιότητα.

Για τους παραπάνω λόγους, η παρουσία του DPO πρέπει να είναι ουσιαστική και συνεχόμενη, μέσα από μια σειρά ενεργειών, οι οποίες θα πρέπει να καλλιεργούν και να συντηρούν μια πιο μόνιμη κουλτούρα συμμόρφωσης εντός της εταιρίας / του φορέα.

Ενδεικτικά και όχι περιοριστικά:

1. Τήρηση ημερολογίου πεπραγμένων Data Protection Officer (DPO)

Η τήρηση ενός ημερολογίου σε συστηματική βάση από την μεριά του DPO κρίνεται επιτακτική, τόσο για λόγους ουσίας, όσο και για λόγους τεκμηρίωσης και απόδειξης μια διαρκούς προσπάθειας συμμόρφωσης σχετικά με την προστασία προσωπικών δεδομένων. Ουσιαστικά, συνιστά μια καταγραφή από τον DPO όλων των πεπραγμένων που υλοποιούνται από την στιγμή της τελικής συμμόρφωσης και μετέπειτα.

Σε μεγάλο βαθμό, οι καταγραφές σχετίζονται με το στάδιο υλοποίησης των κατάλληλων τεχνικών και οργανωτικών μέτρων που προτάθηκαν από την περίοδο της αρχικής συμμόρφωσης της εταιρείας / του φορέα.

Ωστόσο, καθότι το αρχείο με τις προτεινόμενες – προληπτικές ή/και διορθωτικές – ενέργειες από την φάση της συμμόρφωσης ενδέχεται να είναι συνοπτικό, το ημερολόγιο DPO θα πρέπει να υπεισέρχεται σε μεγαλύτερη ανάλυση σχετικά με τις ενέργειες που υλοποιούνται ή αναμένεται να υλοποιηθούν από τον οργανισμό. Δηλαδή, το ημερολόγιο αποτελεί μια προέκταση του αρχείου με τα προτεινόμενα μέτρα, περιλαμβάνοντας σχόλια, υποσημειώσεις και αναλυτικές πληροφορίες προς διευκόλυνση του DPO στο έργο της διαρκούς συμμόρφωσης και της τεκμηρίωσης αυτής. Η δε ανανέωση του πρέπει να είναι πολύ συχνή, σε αντίθεση με την ανανέωση του γενικότερου αρχείου με τα μέτρα, η οποία πραγματοποιείται σε πιο αραιά χρονικά διαστήματα.

Το ημερολόγιο DPO μπορεί να τηρείται σε ηλεκτρονικό αρχείο και να κοινοποιείται σε συστηματική βάση στην διοίκηση του οργανισμού. Με τον τρόπο αυτό, η εταιρεία / ο φορέας μπορεί να λαμβάνει γνώση για την δραστηριότητα του DPO και το γενικότερο επίπεδο συμμόρφωσης, ενώ παράλληλα λειτουργεί και σαν υπενθύμιση προς την διοίκηση για τις ενέργειες που υπολείπονται να γίνουν.

2. Περιοδική ανανέωση παραδοτέων αρχείων αρχικής συμμόρφωσης

Είναι αυτονόητο ότι ένας από τους σημαντικότερους ρόλους του DPO είναι η περιοδική ανανέωση των αρχικών αρχείων συμμόρφωσης. Αν και δεν αναφέρεται ξεκάθαρα συγκεκριμένο χρονικό διάστημα, η ανανέωση των αρχείων μια ή και παραπάνω φορές εντός ενός έτους, κρίνεται επιτακτική. Στην ουσία πρόκειται για μια τεκμηριωμένη ανανέωση των παραδοτέων αρχείων κάθε επιμέρους φάσης της αρχικής συμμόρφωσης, αλλάζοντας κάθε φορά τον αριθμό έκδοσης και σημειώνοντας την ημερομηνία της ανανέωσης (versioning).

Στην συγκεκριμένη διαδικασία λαμβάνονται υπόψη τυχόν νέα ευρήματα και ρίσκα, ενώ καταγράφονται και όλα τα πεπραγμένα σχετικά με τα προληπτικά και διορθωτικά μέτρα που αρχικά προτάθηκαν, μέσω και της άντλησης δεδομένων από το ημερολόγιο DPO.

Εφόσον ο οργανισμός ακολουθεί μια σωστή και ουσιαστική πορεία συμμόρφωσης, οι περιοδικές ανανεώσεις των βασικών αρχείων από τον DPO, αναμένεται να αποδεικνύουν έμπρακτα την «βελτίωση» του γενικότερου επιπέδου συμμόρφωσης.

Ακολούθως, θα πρέπει να ανανεώνονται από τον DPO και όσες – ήδη διανεμημένες – πολιτικές, διαδικασίες και οδηγίες εργασίας κρίνεται σκόπιμο, προκειμένου αυτές να ενσωματώνουν τυχόν ευρήματα που προκύπτουν από τις περιοδικές ανανεώσεις.

3. Διεξαγωγή Μελέτης Αντικτύπου (DPIA) για νέες διαδικασίες / δραστηριότητες και επικαιροποίηση παλαιότερων

Στα πλαίσια της περιοδικής ανανέωσης των παραδοτέων αρχείων συμμόρφωσης, ο DPO οφείλει να εστιάζει την προσοχή του και στις επιμέρους Μελέτες Αντικτύπου (Data Privacy Impact Assessment -DPIA).

Σύμφωνα με τις απαιτήσεις του GDPR, η εκάστοτε ιδιωτική εταιρεία ή φορέας του Δημοσίου πρέπει να διεξάγει Μελέτη Αντικτύπου όποτε αυτό κρίνεται απαραίτητο (ενδεικτικά, όταν παρουσιάζεται υψηλός κίνδυνος για τα προσωπικά δεδομένα των επιμέρους κατηγοριών υποκειμένων). Πέρα όμως από την διεξαγωγή των αρχικών μελετών αντικτύπου κατά την φάση της επίσημης συμμόρφωσης, πρέπει να διεξάγει παρόμοιες μελέτες και για κάθε νέα διαδικασία / δραστηριότητα εντός της εταιρείας / του φορέα και να επικαιροποιεί / ανανεώνει παλαιότερες Μελέτες Αντικτύπου, στις οποίες και θα πρέπει να ενσωματώνονται νέα ευρήματα ή/και η υλοποίηση επιμέρους ενεργειών που μπορεί να σχετίζονται με την DPIA. Ο DPO είναι υπεύθυνος να αξιολογεί τις μελέτες αυτές και να παρέχει τη γνώμη του.

4. Τακτικές επιθεωρήσεις επιτήρησης συμμόρφωσης

Στις βασικές υποχρεώσεις ενός DPO, είναι και η διενέργεια επιθεωρήσεων ανά τακτά χρονικά διαστήματα, προκειμένου να ελέγξει το επίπεδο συμμόρφωσης σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα που τηρούνται και διακινούνται εντός μιας εταιρείας / ενός φορέα.

Συνεπώς, ένας DPO πρέπει κάθε τόσο να επισκέπτεται τον οργανισμό (αν είναι εξωτερικός) και να διεξάγει εσωτερικές επιθεωρήσεις σε κάθε τμήμα / υπηρεσία, αλλά και γενικότερα στο σύνολο του οργανισμού. Κατά τα πρότυπα των επιθεωρήσεων ποιότητας, ο DPO πρέπει να είναι εφοδιασμένος με μια φόρμα επιθεώρησης, η οποία στην ουσία αποτελεί έναν οδηγό σε σχέση με τις απαιτήσεις και τους όρους του GDPR και της κείμενης νομοθεσίας για την προστασία δεδομένων. Κατά την διάρκεια της επιθεώρησης αλλά και κατά την μετέπειτα αξιολόγηση των νέων ευρημάτων, ο DPO θα πρέπει να λαμβάνει υπόψη το επίσημο υλικό από την αρχική συμμόρφωση, όπως ενδεικτικά, τα πρώτα ευρήματα και αποκλίσεις, τα προτεινόμενα οργανωτικά και τεχνικά μέτρα κλπ. Στην περίπτωση μελλοντικών επιθεωρήσεων, είναι αυτονόητο ότι θα πρέπει να λαμβάνονται υπόψη και τα ευρήματα τυχόν προηγούμενων εσωτερικών επιθεωρήσεων (μετά την αρχική συμμόρφωση).

Τα αποτελέσματα κάθε επιθεώρησης θα πρέπει να καταγράφονται και να τηρούνται μαζί με τον αρχικό φάκελο της συμμόρφωσης, αφού, πέρα από την ουσία, αποτελούν και αυτά έμπρακτη απόδειξη της προσπάθειας διαρκούς συμμόρφωσης της εταιρείας / του φορέα.

5. Τακτικές εκπαιδεύσεις

Βασικό μέλημα ενός DPO είναι η διαρκή εγρήγορση του οργανισμού προς την κατεύθυνση της προστασίας των προσωπικών δεδομένων. Πέραν όλων των άλλων ενεργειών μετά το τέλος της αρχικής συμμόρφωσης, αυτό επιτυγχάνεται και μέσω συχνών εκπαιδεύσεων του προσωπικού. Οι εκπαιδεύσεις αυτές πρέπει να έχουν – σε κάποιο βαθμό – διαφορετικό χαρακτήρα και περιεχόμενο από τις αρχικές εκπαιδεύσεις, καθότι θα πρέπει να εστιάζουν πιο αναλυτικά σε επιμέρους θέματα.

Ενδεικτικά αλλά όχι περιοριστικά, αντικείμενο των εκπαιδεύσεων θα μπορούσε να είναι η αναφορά σε πραγματικά συμβάντα διαρροής δεδομένων στην Ελλάδα ή το εξωτερικό, οι αναφορές σε προσθήκες ή/και διαφοροποιήσεις στο νομοθετικό στερέωμα, ειδικότερη αναφορά και εκπαίδευση σε τεχνικά μέτρα σχετικά με την ασφαλή χρήση και λειτουργία των ηλεκτρονικών μέσων, των προγραμμάτων και της χρήσης ηλεκτρονικού ταχυδρομείου κλπ., υπενθύμιση στον τρόπο αντίδρασης και διαχείρισης περιστατικών διαρροής δεδομένων, υπενθύμιση των ήδη διανεμημένων πολιτικών, διαδικασιών, οδηγιών εργασίας και εντύπων και παρουσίαση τυχών νέων εκδόσεων κλπ.

* Ο Δημοσθένης Κωστούλας, Quality Manager και DPO σε Ιδιωτική Κλινική στην Θεσσαλονίκη, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος MBΑ και MSc (International Business and Finance). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, αποτελεί γενικό γραμματέα και μέλος Δ.Σ. του ελληνικού παραρτήματος του European Association of Data Protection Professionals (EADPP), επιστημονικό συνεργάτη του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος της ομάδας του Homo Digitalis, μέλος του DPO Network Greece και μέλος του ΙΝ.ΕΠ.ΙΔ Β.Ελλάδος.

Πηγές: 

Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα

Σωτηρόπουλος, Β. (2017),  Υπεύθυνος Προστασίας Δεδομένων – Εργαλειοθήκη για τον νέο θεσμό σε δημόσιο και ιδιωτικό τομέα, Εκδόσεις Σάκκουλα. Αθήνα – Θεσσαλονίκη

Ομάδα Προστασίας των Προσώπων έναντι της Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα του Άρθρου 29 (6/EL WP 243 rev.01 – Απρίλιος 2017), Κατευθυντήριες γραμμές σχετικά με τους υπεύθυνους προστασίας δεδομένων

https://www.dpa.gr/portal/page?_pageid=33,211475&_dad=portal&_schema=PORTAL

by master_admin