You are here

General Data Protection Regulation (GDPR): Ενημέρωση και πρωτοβουλία κοινότητας

5 posts / 0 new
Τελευταία δημοσίευση
General Data Protection Regulation (GDPR): Ενημέρωση και πρωτοβουλία κοινότητας

Στις 25 Μαΐου 2018 μπαίνει σε ισχύ το νέο ευρωπαϊκό νομικό πλαίσιο General Data Protection Regulation (GDPR) σχετικά με τον χειρισμό και την προστασία των προσωπικών δεδομένων. Κάθε ιστοσελίδα που διαχειρίζεται προσωπικά δεδομένα χρηστών, ακόμη και φαινομενικά “αθώα” δεδομένα όπως ονοματεπώνυμα ή emails, οφείλει πλέον να είναι σύννομη με το νέο πλαίσιο, με τεράστια πρόστιμα να απειλούν τους παραβάτες.

Για πρώτη φορά, η ευθύνη για την συμμόρφωση βαρύνει τόσο τον ιδιοκτήτη της ιστοσελίδας (τον “Data Controller”) που συλλέγει τα δεδομένα, όσο και την εταιρία που υλοποίησε την πλατφόρμα (“Data Processor”).

Ας δούμε τι νέο φέρνει το νέο πλαίσιο, όπως και τις ενέργειες που πρέπει να γίνουν για την συμμόρφωση με αυτό.

Το GDPR συνοπτικά

Ποιούς αφορά
Ο ιστότοπός σας ή η εταιρία σας:

  1. Προσφέρει αγαθά ή υπηρεσίες σε πολίτες της Ευρωπαϊκής Ένωσης, ή σε πολίτες τρίτων χωρών που διαμένουν στην ΕΕ;
  2. Καταγράφει ή παρακολουθεί την συμπεριφορά των χρηστών;
  3. Έχει υπαλλήλους σε χώρα της ΕΕ;

Αν τουλάχιστον μια από τις τρεις ερωτήσεις έχει θετική απάντηση, κατά πάσα πιθανότητα θα πρέπει να συμμορφώνεται με το GDPR. Πρακτικά, όλες οι ιστοσελίδες που επιτρέπουν user registrations εμπίπτουν στην νέα νομοθεσία.

Βασικές αρχές

  • Προστασία δεδομένων “by design”:η ιδιωτικότητα και η προστασία των δεδομένων βρίσκονται πλέον στον πυρήνα των πληροφοριακών συστημάτων ήδη από την φάση σχεδιασμού. Τα προσωπικά δεδομένα προστατεύονται σε όλον τον κύκλο ζωής τους.
  • Ελαχιστοποίηση δεδομένων: Συλλέγονται και αποθηκεύονται τα ελάχιστα απαραίτητα δεδομένα για τον σκοπό.
  • Δικαίωμα να ξεχαστείς (“right to be forgotten”): το φυσικό πρόσωπο μπορεί να αιτηθεί την διαγραφή όλων των προσωπικών του δεδομένων.
  • Μεταφορά δεδομένων: το φυσικό πρόσωπο μπορεί να αιτηθεί την μεταφορά των δεδομένων του σε άλλο φορέα
  • Διαχείριση συναίνεσης: συγκεκριμένες διαδικασίες για την συναίνεση στην συλλογή των δεδομένων, διατήρηση της απόδειξης συναίνεσης και δυνατότητα ανάκλησης της συναίνεσης μόλις ολοκληρωθεί η αρχική χρήση
  • Κοινοποίηση παραβίασης: εάν εντοπιστεί παραβίαση, πρέπει να κοινοποιηθεί εντός 72 ωρών στην σχετική αρχή και στους εμπλεκόμενους χρήστες
  • Ακεραιότητα: διαδικασίες για την επαναφορά προσωπικών δεδομένων σε περίπτωση αστοχίας συστήματος
  • Ευθύνη και λογοδοσία: Καταγραφή για την απόκτηση / ανάκληση συναίνεσης όπως και για κάθε ενέργεια που σχετίζεται με την πρόσβαση στα δεδομένα.

Υποχρεώσεις

  • Η συλλογή των προσωπικών δεδομένων πρέπει να γίνεται για συγκεκριμένο, νόμιμο σκοπό, συλλέγοντας μόνο τα δεδομένα που είναι απολύτως απαραίτητα για την επίτευξη του στόχου.
  • Το φυσικό πρόσωπο πρέπει να γνωρίζει τον σκοπό της συλλογής των δεδομένων και να δίνει ρητή συγκατάθεση.
  • Δεν επιτρέπεται η επεξεργασία των δεδομένων για κανένα άλλο σκοπό πέρα από τον αρχικό σκοπό που κοινοποιήθηκε στα φυσικά πρόσωπα.
  • Η αποθήκευση των δεδομένων πρέπει να γίνεται για το ελάχιστο χρονικό διάστημα που απαιτείται για την διεκπεραίωση του αρχικού σκοπού.
  • Επιτρέπεται να δοθεί πρόσβαση στα προσωπικά δεδομένα σε τρίτο πρόσωπο (πχ συνεργάτες) μόνο εφόσον αποδεικνύεται η συμμόρφωση των τρίτων με το GDPR.
  • Πρέπει να προσφέρονται λειτουργικότητες που επιτρέπουν στα φυσικά πρόσωπα να:
    • Έχουν πρόσβαση στα δεδομένα τους
    • Διορθώνουν τα δεδομένα τους
    • Διαγράφουν τα δεδομένα τους
    • Ανακαλούν την συγκατάθεση
    • Ορίζουν περιορισμούς στην επεξεργασία των δεδομένων
    • Λαμβάνουν το σύνολο των προσωπικών τους δεδομένων σε ηλεκτρονική μορφή
  • Οι εταιρείες οφείλουν να γνωστοποιούν στα φυσικά πρόσωπα τα δικαιώματά τους, όπως προκύπτουν από το GDPR.
  • Τα δεδομένα πρέπει να φυλάσσονται με ασφάλεια σε όλον τον κύκλο τους.
  • Κάθε παραβίαση των προσωπικών δεδομένων πρέπει να κοινοποιείται στον αρμόδιο φορέα (για την Ελλάδα, την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) εντός 72 ωρών από τον εντοπισμό της παραβίασης, όπως και να κοινοποιείται η παραβίαση και στα φυσικά πρόσωπα των οποίων τα δεδομένα παραβιάστηκαν.
  • Να αποδεικνύεται πως τηρούνται πλήρως οι υποχρεώσεις του νομικού πλαισίου του GDPR.

Το σενάριο της μη συμμόρφωσης

Τα πρόστιμα για την μη συμμόρφωση με το GDPR ορίζονται ως 20 εκατομμύρια ευρώ ή 4% του ετήσιου τζίρου, όποιο είναι μεγαλύτερο. Είναι ξεκάθαρο πως η επιλογή του να μην συμμορφωθεί κανείς και να πληρώσει το πρόστιμο εάν γίνει αντιληπτός, δεν αποτελεί σοφή απόφαση.

Σε ποιόν ανήκει η ευθύνη σχετικά με την συμμόρφωση με το GDPR;

Το GDPR ορίζει τρεις ρόλους που εμπλέκονται στην συμμόρφωση με το πλαίσιο:

  1. O Data Controller (η εταιρία στην οποία ανήκει η σελίδα) ορίζει το εύρος των απαιτητών προσωπικών δεδομένων και τους σκοπούς της επεξεργασίας τους. Επίσης, ευθύνεται για την συμμόρφωση όλων των τρίτων συνεργατών.
  2. Ο Data Processor (ΙΤ τμήμα, web agency που προσφέρει τεχνική υποστήριξη ή ακόμη και ο πάροχος hosting) είναι υπεύθυνος για την τήρηση των σύννομων διαδικασιών και για την διαχείριση παραβιάσεων.

Όποτε οι κύριες δραστηριότητες του συστήματος εμπεριέχουν “συστηματική επισκόπηση των υποκειμένων σε μεγάλη κλίμακα”, επεξεργασία δεδομένων σε “μεγάλη κλίμακα”, ή “ειδικές κατηγορίες ευαίσθητων δεδομένων” (πχ εθνικότητα, πολιτικές/θρησκευτικές/σεξουαλικές προτιμήσεις ή δεδομένα ανηλίκων), τότε απαιτείται ο ορισμός ενός Data Protection Officer (DPO) ο οποίος θα είναι υπόλογος για την τήρηση του πλαισίου. O DPO μπορεί να είναι υπάλληλος του Controller ή του Processor, ή εναλλακτικά τρίτος πάροχος, ο οποίος θα συνδέεται όμως σε υψηλότατο επίπεδο με τον Controller. Δεδομένων των ευθυνών που εμπίπτουν στον DPO, η ορθή επιλογή κατάλληλου ατόμου είναι ζωτικής σημασίας.

Διαδικασία συμμόρφωσης με το GDPR

Η διαδικασία συμμόρφωσης με το GDPR είναι πολυεπίπεδη. Απαιτείται μια αρχική καταγραφή-χαρτογράφηση της παρούσας κατάστασης, εντοπίζοντας τα προσωπικά δεδομένα, τις ροές δεδομένων, τις διαδικασίες συναίνεσης, επεξεργασίας και χειρισμού συμβάντων, ώστε να εντοπιστούν τα σημεία όπου απαιτείται παρέμβαση.

Στην συνέχεια, καταγράφονται τα ρίσκα και οι προτεραιότητες υλοποίησης, όπως και η σχετική πολυπλοκότητα διορθώσεων όπου απαιτούνται. Έτσι, μπορεί να οριστεί ένα πλάνο δράσης το οποίο δίνει προτεραιότητα στα θέματα μεγαλύτερου ρίσκου. Αυτό το πλάνο δράσης ορίζει χρονοδιαγράμματα, κόστη και προτεραιότητες, και εγκρίνεται από την αναθέτουσα εταιρία ώστε να ξεκινήσει η υλοποίηση εκ μέρους του Data Processor και τρίτων αναδόχων.

Η έκταση των εργασιών που απαιτούνται για την συμμόρφωση εξαρτώνται από πολλούς παράγοντες, όπως το μέγεθος της εταιρίας, η ποσότητα και το είδος των προσωπικών δεδομένων και την απόσταση ανάμεσα στην παρούσα κατάσταση και τις απαιτήσεις της νέας κατάστασης συμμόρφωσης.

Η υλοποίηση των απαραίτητων αλλαγών σε τεχνικό επίπεδο επαφίεται κυρίως στην ομάδα ανάπτυξης. Επεκτείνονται οι μηχανισμοί λήψης, αποθήκευσης και ανάκλησης συγκατάθεσης, ορίζονται συγκεκριμένες διαδικασίες μεταφοράς δεδομένων (πχ από τον live server στους developers / SEO experts κλπ), όπως επίσης ισχυροποιούνται τα μέτρα ασφαλείας που σχετίζονται με την οχύρωση των δεδομένων. Παράλληλα, δημιουργούνται τα πρωτόκολλα ασφαλείας που θα ενεργοποιηθούν σε ενδεχόμενη επίθεση ή υποκλοπή δεδομένων και εκπαιδεύεται το αρμόδιο προσωπικό στην χρήση τους.

Από την στιγμή που θα ολοκληρωθεί η συμμόρφωση με το GDPR, αυτή θα πρέπει να μπορεί να αποδειχθεί και να πιστοποιηθεί όποτε απαιτηθεί από τους αρμόδιους ελεγκτές. Η σαφής αποτύπωση των διαδικασιών και η καταγραφή όλων των συμβάντων που σχετίζονται με τα προσωπικά δεδομένα είναι κρίσιμης σημασίας. Συνιστάται να προγραμματιστούν τακτικές επιθεωρήσεις ασφαλείας, που θα επιβλέπουν και κάθε μελλοντική επέμβαση στην πλατφόρμα, όπως και περιοδικές αναφορές που θα αποδεικνύουν την συμμόρφωση και την ορθή διαχείριση κάθε περιστατικού.

[Σημείωση: το άρθρο ως εδώ αποτελεί αναδημοσίευση από το Blog της Point Blank.]

Πρωτοβουλία σε επίπεδο κοινότητας

Αρκετές από τις ιστοσελίδες και συστήματα που αναπτύσσουμε ή συντηρούμε ως επαγγελματίες στον κλάδο του web development εμπίπτουν στο GDPR. Για να μπορούμε να παρέχουμε συμμόρφωση με το GDPR, απαιτείται ένας συνδυασμός νομικών γνώσεων, διαδικασιών και φυσικά τεχνικής εργασίας. Καθώς οι προκλήσεις είναι κοινές για όλους μας, θα ήταν χρήσιμη μια πρωτοβουλία σε επίπεδο κοινότητας ώστε να ανταλλάξουμε εμπειρίες, απορίες και τεχνογνωσία και να καταρτήσουμε πλάνα δράσης.

Προτείνω να δημιουργηθεί αρχικά ένα κανάλι στο slack, όπου να εκδηλώσουν ενδιαφέρον όσοι θέλουν να εμπλακούν, ώστε στη συνέχεια να βγει ένα σχέδιο δράσης και να αρχίσουμε τη δουλειά. Μπορούμε να στοχεύουμε σε μικρά παραδοτέα σε μορφή θεματικών άρθρων, που θα δημοσιεύονται στο mydrupal.gr, ώστε να μοιραστούμε αποτελεσματικά όση γνώση παράγουμε :) Προσφέρομαι εθελοντικά να οργανώσω όσους εκδηλώσουν ενδιαφέρον, ούτως ή άλλως θα βρούμε όλοι μας το πρόβλημα μπροστά μας σε λίγους μήνες.

Προτάσεις σχετικά με τους στόχους και τις εργασίες της GDPR πρωτοβουλίας, more than welcome!

Διαβάστε επίσης

tags: 
Edited by: bserem on 31 Αυγ 2017 - 4:38μμ

Το GDPR κανάλι στο Slack της κοινότητας: https://drupal-el.slack.com/messages/C6W817H5W/

Καλημέρα σε όλους!

Για να βοηθήσουμε την κουβέντα γύρω από το GDPR και για την ενημέρωση των πελατών μας γύρω απο αυτό φτιάξαμε 10 σημεία που συνοψίζουν περιεκτικά τις αλλαγές. Η επεξεργασία των σημείων έγινε από τον συνεργάτη μας Βαγγέλη Καμαράκη (info@kamarakis.com) ο οποίος είναι από τους πρώτους που ασχολήθηκαν με το θέμα στην Ελλάδα, ο οποίος μάλιστα έχει την σχετική πιστοποίηση CIPP/E στο Ευρωπαϊκό δίκαιο προστασίας προσωπικών δεδομένων και είναι μέλος της IAPP (International Association of Privacy Professionals)

Τα σημεία είναι τα εξής:

1. Συνέπειες μη συμμόρφωσης : σε αυστηρά επιχειρηματικό επίπεδο, η κρισιμότερη αλλαγή που επιφέρει το νέο θεσμικό πλαίσιο είναι η αυστηροποίηση των συνεπειών μη συμμόρφωσης με αυτό. Ανάλογα με το είδος του παραπτώματος, τη βαρύτητα αυτού, αλλά και την εν γένει συμπεριφορά του παραβάτη, σε αυτόν μπορεί να καταλογισθεί πρόστιμο έως 4% του παγκόσμιου τζίρου του ή έως 20 εκατομμύρια ευρώ. Μάλιστα το ανώτατο κατώφλι ορίζεται το μεγαλύτερο εκ δύο πιθανών μεθόδων υπολογισμού.

2. Συναίνεση: H συναίνεση είναι η συνηθέστερη νομική βάση επεξεργασίας προσωπικών δεδομένων τρίτων. Ο κανονισμός GDPR αυστηροποιεί τις προϋποθέσεις κάτω από τις οποίες η λήψη της συναίνεσης θεωρείται έγκυρη. Ως συνέπεια, κάποιες μέθοδοι λήψης αυτής που έως τώρα θεωρούνταν νόμιμες ή πως άνηκαν σε γκρίζες ζώνες (πχ προσημειωμένο κουτάκι αποδοχής της Πολιτική Απορρήτου) δε θα αρκούν για να δικαιολογήσουν τη νομιμότητα της επεξεργασίας δεδομένων.

3. Ευθύνη των Processors: Η βασική διάκριση ανάμεσα σε αυτούς που προβαίνουν σε επεξεργασία προσωπικών δεδομένων είναι μεταξύ Controllers (υπευθύνων επεξεργασίας) και Processors (εκτελούντες την επεξεργασία). Η διαφορά τους είναι ότι οι πρώτοι καθορίζουν τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων, ενώ οι δεύτεροι λειτουργούν υπό τις οδηγίες τους. H διαφορά είναι συχνά λεπτή, ενώ ακόμα και μια πολύ απλή λειτουργία μπορεί να καταστήσει μια εταιρεία processor (πχ φιλοξενία προσωπικών δεδομένων στους servers της). Εντούτοις οι processors έως τώρα ευθύνονταν μόνο έναντι των controllers για τις πράξεις και τις παραλείψεις τους. Πλέον όμως θα ευθύνονται ευθέως και έναντι οποιουδήποτε , όταν επεξεργάζονται τα δεδομένα τους, στις περιπτώσεις που δεν τηρούν την υφιστάμενη νομοθεσία ή εάν λειτούργησαν αντίθετα με τις οδηγίες των controllers.

4. Δικαίωμα στη φορητότητα των δεδομένων: Δίπλα στα υφιστάμενα δικαιώματα των υποκειμένων των δεδομένων (δικαίωμα ενημέρωσης, πρόσβασης, αντίρρησης, προσωρινής προστασίας) ο GDPR ιδρύει νέα δικαιώματα. Εκ των σημαντικότερων είναι το δικαίωμα στη φορητότητα των δεδομένων, το δικαίωμα δηλαδή του υποκειμένου δεδομένων να ζητήσει από υπεύθυνο επεξεργασίας να διαβιβάσει στον ίδιο ή σε άλλο υπεύθυνο επεξεργασίας αρχείο με όλα τα προσωπικά δεδομένα που τηρεί. Μάλιστα το αρχείο αυτό πρέπει να είναι έτσι δομημένο ώστε να μπορεί να αναγνωσθεί από τα συνήθη μηχανήματα και την τεχνολογία που χρησιμοποιούνται για αυτού του είδους τα δεδομένα.

5. Δικαίωμα στη διαγραφή: Το έτερο σημαντικό δικαίωμα που εγκαθιδρύει ο GDPR για τα υποκείμενα των προσωπικών δεδομένων είναι το δικαίωμα τους στη διαγραφή, ή το “δικαίωμα στη λήθη” όπως το έχει διαμορφώσει η νομολογία των δικαστηρίων. Το δικαίωμα αυτό σημαίνει πως το υποκείμενο των δεδομένων μπορεί να ζητήσει τη διαγραφή τους αν όσοι επεξεργάζονται τα προσωπικά δεδομένα τα διατηρούν για μεγαλύτερο χρονικό διάστημα από ότι απαιτείται για να πραγματοποιηθούν οι σκοποί για τους οποίους ελήφθησαν, ή αν έχουν εκλείψει οι νομιμοποιητικές βάσεις (πχ συναίνεση) δυνάμει των οποίων αυτά συνελέγησαν. Όταν δε αυτά έχουν δημοσιοποιηθεί, ο υπεύθυνος επεξεργασίας οφείλει να τα διαγράψει και άνευ σχετικής αιτήσεως του υποκειμένου των δεδομένων. Ως εκ τούτου οι επιχειρήσεις οφείλουν να ελέγξουν τις ντουλάπες τους για “σκελετούς” προσωπικών δεδομένων που συνελέγησαν πριν από πολλά χρόνια και τα οποία μπορούν εκ του μηδενός να τους δημιουργήσουν ρίσκο μη συμμόρφωσης.

6. Υποχρεωτικός ορισμός DPO: Η δυνατότητα ορισμού εκπροσώπου του υπευθύνου επεξεργασίας, γνωστού κατά τη διεθνή ορολογία ως DPO (data protection officer) προϋπηρχε και μάλιστα σε κάποιες χώρες (πχ Γερμανία) ήταν υποχρέωση των επιχειρήσεων. Πλέον ο ορισμός αυτός καθίσταται για πολλές επιχειρήσεις υποχρεωτικός. Ο DPO οφείλει να έχει ειδικές γνώσεις στο αντικείμενο των προσωπικών δεδομένων, ενώ λειτουργεί εν είδει εσωτερικής αρχής προστασίας προσωπικών δεδομένων για την εταιρεία που τα διαχειρίζεται, συμβουλεύοντας την ως προς τα ζητήματα συμμόρφωσης της με το ισχύον νομικό πλαίσιο και επιβλέποντας σημαντικές λειτουργίες της και ενέργειες της, ιδίως σε περίπτωση παραβίασης προσωπικών δεδομένων. Μπορεί να είναι υπάλληλος της εταιρείας ή τρίτος που συνδέεται μαζί της με σύμβαση άλλου είδους (πχ δικηγόρος, ελεύθερος επαγγελματίας κλπ)

7. Privacy by Design- DPIA: H έννοια του privacy by design, του σχεδιασμού δηλαδή μιας υπηρεσίας ή επιχειρηματικού μοντέλου έτσι ώστε η βέλτιστη εφαρμογή του θεσμικού πλαισίου για την προστασία των προσωπικών δεδομένων να λαμβάνεται υπόψιν προληπτικά ,ήδη από τη φάση, αυτή και όχι εκ των υστέρων, αποτελεί μια φράση κλειδί τα τελευταία χρόνια. Πλέον καθίσταται υποχρέωση των επιχειρήσεων και δημιουργεί αστική ευθύνη τους σε περίπτωση που αποδειχθεί πως δεν λειτούργησαν κατά τον τρόπο αυτό. Συναφής με τα παραπάνω είναι η υποχρέωση για διεξαγωγή εκτίμησης αντίκτυπού σχετικά με την προστασία προσωπικών δεδομένων ,αλλιώς DPIA (Data Protection Impact Assessment), ιδίως σε περιπτώσεις μεγάλης κλίμακας επεξεργασίας, παρακολούθησης δημοσίως προσβάσιμου χώρου (CCTV) ή profiling.

8 Γνωστοποίηση παραβίασης προσωπικών δεδομένων: Η παραβίαση δεδομένων (data breach), ιδίως αν αυτά είναι προσωπικά αποτελούν εφιάλτη για κάθε επιχείρηση, που δυστυχώς αποτελεί όλο και συχνότερα στις μέρες μας ρεαλιστική πιθανότητα. Οι επιχειρήσεις πλέον θα κριθούν όχι μόνο για την επάρκεια των μέτρων που έλαβαν ώστε να αποτρέψουν την πιθανότητα μιας τέτοιας παραβίασης αλλά και τις ενέργειες τους αφού αυτή έλαβε χώρα. Ανάμεσα σε άλλα, όταν αυτές είναι υπεύθυνοι επεξεργασίας (data controllers), υπέχουν υποχρέωση γνωστοποίησης της παραβίασης στην αρμόδια ανεξάρτητη αρχή, βάσει συγκεκριμένου πρωτοκόλλου , εντός 72 ωρών το αργότερο, ενώ στις περισσότερες των περιπτώσεων πρέπει να ανακοινωθεί και αμελητι και στα υποκείμενα των δεδομένων. Όταν η επιχείρηση είναι εκτελούσα την επεξεργασία (data processor) η σχετική υποχρέωση αμελητι γνωστοποίησης ισχύει έναντι του υπευθύνου επεξεργασίας.

9. Ψευδωνυμοποίηση: Για πρώτη φορά η Ευρωπαϊκή Νομοθεσία Προσωπικών Δεδομένων αναφέρεται ευθέως στην ψευδωνυμοποιηση ως μέθοδο προστασίας των προσωπικών δεδομένων. Μάλιστα η μέθοδος αυτή ενθαρρύνεται και αποτελεί από τους παράγοντες που θα ληφθούν υπόψιν σε σειρά ζητημάτων όπως η χρήση των δεδομένων για άλλο σκοπό, το privacy by design, η ευθύνη υπευθύνου επεξεργασίας σε περίπτωση παραβίασης κλπ. Ωστόσο πρέπει να τονιστεί πως η ψευδωνυμοποίηση των δεδομένων δεν ταυτίζεται με την ανωνυμοποίηση ,η οποία καθιστά τα δεδομένα μη προσωπικά, ενώ προφανώς κάποιοι μέθοδοι ψευδωνυμοποίησης δεδομένων θεωρούνται ισχυρότεροι από άλλους. Ως εκ τούτου δεν αρκεί μόνο να ψευδωνυμοποιηθούν τα δεδομένα, αλλά αυτό να γίνει με τρόπο ώστε δύσκολα θα μπορεί να γίνει αποκωδικοποίηση της μεθόδου ψευδωνυμοποιησης από τρίτους.

10. One stop shop : Μεγάλο πρόβλημα στην εφαρμογή της υφιστάμενης ευρωπαϊκής νομοθεσίας αποτελούσε το γεγονός πως οι επιχειρήσεις που δραστηριοποιούνταν σε πολλές χώρες της ΕΕ όφειλαν να προσαρμοστούν στις απαιτήσεις κάθε τοπικής νομοθεσίας και να συνεργαστούν με τις αντίστοιχες ανεξάρτητες αρχές προστασίας προσωπικών δεδομένων. Η δύσκαμπτη αυτή πρακτική επιχειρείται να παρακαμφθεί με το νέο θεσμικό πλαίσιο, καθώς για κάθε επιχείρηση που δραστηριοποιείται στην ΕΕ ορίζεται μια ανεξάρτητη αρχή ως προεξάρχουσα (lead authority) η οποία φέρει και το κύριο βάρος του ελέγχου και της συνεργασίας για την εν λόγω επιχείρηση. Η ανεξάρτητη αυτή αρχή, είναι η αρχή της χώρας στην οποία η επιχείρηση έχει την κύρια εγκατάσταση της. Αξίζει να σημειωθεί ωστόσο πως η παραπάνω πρόβλεψη δεν ισχύει για επιχειρήσεις είναι εγκατεστημένες σε τρίτες χώρες και οι οποίες παρέχουν τις υπηρεσίες τους σε χώρες της ΕΕ, και οι οποίες θα είναι πάλι αντιμέτωπες με το φάσμα της πολυνομίας και της πολλαπλής διάδρασης με διάφορες εθνικές ανεξάρτητες αρχές.

Συνοψίζοντας, μπορεί να ειπωθεί πως το νέο νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων που εγκαθιδρύει ο GDPR δημιουργεί σημαντικές υποχρέωσεις για τις περισσότερες επιχειρήσεις και πρώτα από όλα την ανάγκη για ενδοσκόπηση και αυτοέλεγχο. Η αλήθεια είναι πως και με το υφιστάμενο καθεστώς, οι υποχρεώσεις για τις επιχειρήσεις δεν ήταν λίγες, αλλά συχνά δεν λαμβανόντουσαν σοβαρά υπόψιν. Σε ένα περιβάλλον όμως διαρκούς αύξησης της ευαισθητοποίησης της κοινής γνώμης γύρω από ζητήματα προσωπικών δεδομένων, η ανάγκη προσαρμογής στις απαιτήσεις του GDPR, δημιουργεί και ένα κίνητρο προληπτικού ελέγχου της λειτουργίας μιας επιχείρησης ώστε να αποφευχθούν σοβαρές δυσάρεστες επιπτώσεις ως συνέπεια αμέλειας, άγνοιας ή υποβάθμισης των σχετικών κινδύνων.

Ξεκίνησε και η Google να στέλνει σχετικό email στους πελάτες της.

On May 25, 2018, the most significant piece of European data protection legislation in 20 years will come into force when the European Union's (EU) General Data Protection Regulation (GDPR) replaces the 1995 Data Protection Directive. We know that preparing for this regulatory change is a priority for many of our customers. It is a priority for us, too.

Today, we are pleased to roll out version 2.0 of our Data Processing Amendment (DPA), which has been specifically updated to reflect the GDPR.

How opting in to DPA version 2.0 works
If you opt in to DPA version 2.0, the updated terms will take effect with the GDPR on May 25, 2018. If you opt in before May 25, you will benefit from DPA version 1.6 until then.

Details Google is required to obtain from you
The GDPR requires Google to maintain records of certain information, including the contact details of your EU representative (if your organization is not established in the EU) and Data Protection Officer (DPO), where applicable.

What you need to do
- Sign in to the Google Admin console.
- Go to Company profile > Profile.
- Opt in to DPA version 2.0.
- In the Legal & compliance section, enter details for your EU representative and DPO as needed.
- You might need to click Show more to see Legal & compliance.
- Click Save.

Where to find information or direct questions
Further information regarding Google Cloud and the GDPR is available on our Cloud GDPR website. If you're also a Google Cloud Platform (GCP) customer, you will receive a separate communication concerning the rollout of updated terms for the relevant GCP products to reflect the GDPR. You might also receive similar communications concerning any other Google products you are using.

If you have any questions, sign in to the Admin console and contact Google's Cloud Data Protection Team.

Sincerely,

The G Suite Team

--

FAQ

Why are you rolling out DPA version 2.0 now? Why aren't you waiting until May 25, 2018?
Google is committed to GDPR compliance and to helping its customers with their own compliance journey. We are rolling out DPA version 2.0 well in advance to facilitate your compliance assessment and GDPR readiness when using G Suite services.

DPA version 2.0 takes effect on May 25, 2018, but what happens in the meantime?
DPA version 1.6 will apply in the meantime.

My company already opted in to an earlier version of the DPA. Do we need to opt in again to benefit from the new terms?
Yes. Earlier versions of the DPA don't mention the GDPR. DPA version 2.0 specifically addresses GDPR changes. For more information about the GDPR and how you should begin preparing for it, see the Cloud GDPR website. You can opt in to version 2.0 in the Google Admin console (see directions above).

My company already opted in to G Suite Model Contract Clauses (MCCs). Will those remain in force if we opt in to DPA version 2.0?
Yes. If you previously opted in to G Suite MCCs, they'll remain in force whether or not you opt in to DPA version 2.0.

What is a data controller? What is a data processor?
A data controller determines the purposes and means of processing of personal data. A data processor processes personal data on behalf of a data controller. G Suite customers will typically act as the data controller for any personal data they provide to Google in connection with their use of G Suite. Google is a data processor and processes personal data on behalf of the data controller when the data controller is using G Suite.

What are my obligations as a customer and data controller?
Data controllers are responsible for implementing appropriate technical and organizational measures to ensure and demonstrate that any data processing is performed in compliance with the GDPR. Controllers' obligations relate to principles such as lawfulness, fairness and transparency, purpose limitation, data minimisation, and accuracy, as well as fulfilling data subjects' rights with respect to their data. You can find guidance related to your responsibilities under the GDPR by regularly checking the website of your national or lead data-protection authority under the GDPR (as applicable), as well as by reviewing publications by data-privacy associations, such as the International Association of Privacy Professionals (IAPP). You should also seek independent legal advice relating to your status and obligations under the GDPR, as only a lawyer can provide you with legal advice specifically tailored to your situation.

What is a Data Protection Officer or DPO?
A Data Protection Officer (DPO) is the person designated, where applicable, to facilitate compliance with the provisions of the GDPR. The GDPR defines the criteria and the conditions under which a DPO must be designated.

What is a Customer EU Representative?
A Customer EU Representative is the person designated, where applicable, to represent customers not established in the EU with regard to their obligations under the GDPR.

Χρήσιμο live webinar σχετικά με το θέμα: https://www.pluralsight.com/resource-center/webinars/how-general-protect....