ΠΡΑΚΤΙΚΟΣ ΟΔΗΓΟΣ ΓΙΑ ΤΟ ΔΙΚΑΙΟ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Διεθνής εταιρική συμμόρφωση

Συνδυάστε Βιβλίο (έντυπο) + e-book και κερδίστε 15.25€

Δωρεάν μεταφορικά σε όλη την Ελλάδα για αγορές άνω των 30€

Πληρώστε σε έως άτοκες δόσεις των /μήνα με πιστωτική κάρτα.

Σε απόθεμα

Τιμή: 38,25 €

Επιλογές

Βιβλίο (έντυπο) + 45,00 €

e-book + 38,25 €

* Απαιτούμενα πεδία

Ποσότητα

Κωδικός Προϊόντος: 21229

Συγγραφέας: Determann L.

Έκδοση: 6η 2025
Σχήμα: 17x24
Βιβλιοδεσία: Εύκαμπτη
Σελίδες: 304
ISBN: 978-618-08-0736-3

Η 6η έκδοση του Πρακτικού Οδηγού του Determann για το Δίκαιο Προστασίας Προσωπικών Δεδομένων κυκλοφορεί στην 1η μεταφρασμένη έκδοσή του στα ελληνικά, ενώ έχει ήδη μεταφραστεί και κυκλοφορεί σε 15 γλώσσες. Περιλαμβάνει μια συμπεριληπτική ανασκόπηση των υποχρεώσεων συμμόρφωσης που πηγάζουν από τη νομοθεσία προστασίας προσωπικών δεδομένων ανά την υφήλιο.

Παράλληλα, ο οδηγός επικεντρώνεται στην παροχή πρακτικών οδηγιών για τη διαμόρφωση και υλοποίηση ενός προγράμματος συμμόρφωσης με τη νομοθεσία προστασίας προσωπικών δεδομένων και τις απαιτήσεις κυβερνοανασφάλειας ανά την εκάστοτε δικαιοδοσία. Αναλύονται τόσο ζητήματα υπό τον GDPR όσο και υπό τις συνεχώς εκτενέστερες νομοθετικές και ρυθμιστικές πρωτοβουλίες των ΗΠΑ στον κλάδο. Γίνεται επίσης αναφορά και σε βασικά στοιχεία του δικαίου των προσωπικών δεδομένων της Ινδίας και της Βραζιλίας. Ο οδηγός ολοκληρώνεται με μία θεματική ανάλυση κομβικών ζητημάτων του κλάδου, όπως η τεχνητή νοημοσύνη (AI), το Internet of Things, τα βιομετρικά δεδομένα, τα social media και η παρακολούθηση εργαζομένων.

Το βιβλίο περιλαμβάνει συμπεριληπτική περιγραφή των πρακτικών απαιτήσεων συμμόρφωσης με τη νομοθεσία προστασίας προσωπικών δεδομένων παγκοσμίως, ευρετήριο κομβικών ζητημάτων στον κλάδο και πρακτικές συμβουλές για τη σύνταξη των απαιτούμενων εγγράφων και τη χρήση των απαραίτητων εργαλείων για την επιτυχή υλοποίηση ενός προγράμματος συμμόρφωσης.

Ο συγκεκριμένος οδηγός δεν απευθύνεται μόνο σε DPO και ειδικούς στον τομέα προστασίας προσωπικών δεδομένων αλλά και σε γενικούς νομικούς συμβούλους εταιρειών, επαγγελματίες στον τομέα της κυβερνοασφάλειας καθώς και εργαζόμενους σε τμήματα IT, Marketing και HR καθώς έρχονται σε επαφή με ζητήματα του ραγδαία επεκτεινόμενου κλάδου των προσωπικών δεδομένων.

Σχετικά με αυτή την έκτη έκδοση,
τους συντελεστές της και τον παρόντα οδηγό

Εισαγωγή

Βασικοί όροι

Βασικές έννοιες

Το οικοσύστημα: προστασία δεδομένων, ιδιωτικότητα και ασφάλεια

Το εδαφικό πλαίσιο: Ευρώπη, ΗΠΑ και υπόλοιπος κόσμος

Το είδος: προσωπικά δεδομένα, προσωπικά ταυτοποιήσιμες
πληροφορίες και ευαίσθητα δεδομένα

Δραστηριότητες που συναντά κανείς: διαβιβάσεις
και άλλες μορφές επεξεργασίας

Οι τιθέμενοι υπό παρατήρηση: υπεύθυνοι επεξεργασίας
και εκτελούντες την επεξεργασία

Οι φύλακες του παιχνιδιού: αρχές προστασίας δεδομένων, αξιωματικοί

Συντομογραφίες

Πώς να χρησιμοποιήσετε αυτον τον οδηγό

1 Έναρξη προγράμματος συμμόρφωσης

Αναλαμβάνοντας την ευθύνη 1

Εργαλεία και αυτοματισμοί 3

Συνεργασία με εσωτερικούς ενδιαφερόμενους φορείς και εξωτερικούς συμβούλους 5

Διορισμός Υπευθύνου Ιδιωτικότητας 6

Προετοιμασία λίστας εργασιών 14

Εκτέλεση εργασιών 31

2 Διεθνείς διαβιβάσεις δεδομένων –
επιλογή μηχανισμών συμμόρφωσης 32

Τρία εμπόδια 34

Επιλογές για την άρση του εμποδίου 3 - Απαγόρευση διεθνών διαβιβάσεων 39

Σύγκριση μηχανισμών συμμόρφωσης 44

Εφαρμογή 61

Διαβιβάσεις δεδομένων από άλλες δικαιοδοσίες 67

3 Σύνταξη σχετικών εγγράφων

Γιατί συντάσσετε το έγγραφο; 70

Ποιο είναι το κοινό σας; 74

Κατηγορίες και παραδείγματα εγγράφων 76

Γνωστοποιήσεις 82

Συγκατάθεση 93

Πώς να αποκτήσετε έγκυρη συγκατάθεση 97

Opt-In, Opt-Out και ενδιάμεσες επιλογές 99

Μέτρα πέρα από την συγκατάθεση μέσω opt-in 104

Άλλες σκέψεις για τη σύνταξη συγκατάθεσης 106

Συμβάσεις 109

Πρωτόκολλα 117

Αιτήματα υποκειμένων δεδομένων, ερωτηματολόγια
και φόρμες υποβολής δεδομένων 118

Καταγραφή αποφάσεων και προσπαθειών συμμόρφωσης 121

Αρχεία δραστηριοτήτων επεξεργασίας (RoPA), χάρτες δεδομένων
και διαγράμματα ροής 124

Τεχνικές προδιαγραφές 126

Γνωστοποιήσεις σε κυβερνητικές αρχές και εγκρίσεις από αυτές 127

4 Διατήρηση και έλεγχος προγραμμάτων συμμόρφωσης 131

5 Προστασία ιδιωτικότητας 139

AI και Αυτοματοποιημένη Λήψη Αποφάσεων 139

Big Data και Data Brokers 144

Παιδιά 146

Διατήρηση και τοποθεσία αποθήκευσης δεδομένων 151

Δεδομένα και παρακολούθηση εργαζομένων 158

Χρηματοοικονομικές Πληροφορίες 172

Έρευνες από κυβερνητικές αρχές, αιτήματα παροχής πληροφοριών 173

Υγεία και γενετικές πληροφορίες 179

Διαδίκτυο των Πάντων, συνδεδεμένες συσκευές 182

Δικαιοδοσία 185

Συμβάσεις 188

Δεδομένα τοποθεσίας 191

Μάρκετινγκ και Διαφήμιση 192

Γνωστοποίηση παραβιάσεων ασφάλειας δεδομένων 193

Ιδιοκτησία και δημιουργία εσόδων εκ των δεδομένων 200

Προστασία προσωπικών δεδομένων από το σχεδιασμό 204

Ερωτηματολόγια 206

Δικαιώματα, ένδικα βοηθήματα, επιβολή 206

Μέσα Κοινωνικής Δικτύωσης 212

Παρακολούθηση 213

Ανεπιθύμητες κλήσεις και μηνύματα ηλεκτρονικού ταχυδρομείου (Spam) 217

Διαχείριση προμηθευτών 221

Υποκλοπές επικοινωνιών 226

Ακτινογραφίες Χ, γεωμετρία προσώπου, δακτυλικά αποτυπώματα,
γονίδια και βιομετρικά δεδομένα 227

Γιατί να προστατεύσετε την ιδιωτικότητα των δεδομένων; 229

Ταχυδρομικοί κώδικες, διευθύνσεις IP και ανωνυμία 232

Κατάλογος μέτρων -
Πρόγραμμα Συμμόρφωσης με τη Νομοθεσία
περί Προστασίας Προσωπικών Δεδομένων 237

Περαιτέρω πηγές 243

Ευρετήριο 245

Σελ. 1

Έναρξη προγράμματος συμμόρφωσης

1.01 Όταν ξεκινάτε να σχεδιάζετε και να υλοποιείτε ένα πρόγραμμα συμμόρφωσης με τη νομοθεσία περί ιδιωτικότητας των δεδομένων, αντιμετωπίζετε μια σειρά προκαταρτικών αποφάσεων και προπαρασκευαστικών εργασιών, συμπεριλαμβανομένων των εξής:

• Να αποφασίσετε ποιο άτομο ή ποια ομάδα θα αναλάβει τη συμμόρφωση με τη νομοθεσία περί ιδιωτικότητας των δεδομένων

• Επιλογή εργαλείων και διευθέτηση αυτοματισμού

• Συνεργασία με ενδιαφερόμενους εντός του οργανισμού («internal stakeholders») και εξωτερικούς συμβούλους

• Προετοιμασία λίστας εργασιών μέσω ταυτοποίησης σχετικών γεγονότων, νόμων και απαιτήσεων

• Καθορισμός προτεραιοτήτων με βάση τους επιχειρηματικούς στόχους, την έκθεση σε κίνδυνο επιβολής κυρώσεων και την ευκολία συμμόρφωσης

• Εκτέλεση της λίστας εργασιών.

Αναλαμβάνοντας την ευθύνη

1.02 Κάποιος πρέπει να είναι υπεύθυνος. Εάν η επιχείρησή σας είναι μονοπρόσωπη εταιρεία, τότε είστε υπεύθυνος/η. Σε μεγαλύτερους οργανισμούς, υπάρχει συνήθως ένας αριθμός μεμονωμένων υποψηφίων ή τμημάτων που θα μπορούσαν να αναλάβουν τη συμμόρφωση με τη νομοθεσία περί απορρήτου δεδομένων, συμπεριλαμβανομένων δικηγόρων, προσωπικού πληροφορικής και προσωπικού ανθρώπινου δυναμικού. Κάθε μία από αυτές τις ομάδες τείνει να έχει διαφορετικές προσεγγίσεις, πλεονεκτήματα και περιορισμούς. Ακολουθούν ορισμένοι παράγοντες που πρέπει να λάβετε υπόψη καθώς αναζητάτε το σωστό άτομο ή ομάδα:

1.03 • Οι εσωτερικοί δικηγόροι στα εταιρικά νομικά τμήματα συνήθως αναλαμβάνουν συμβουλευτικό ρόλο και ενημερώνουν τους άλλους στον οργανισμό σχετικά με τις επιταγές των ισχύοντων νόμων, συμπεριλαμβανομένων των νόμων περί ιδιωτικότητας των δεδομένων. Ανάλογα με την εταιρική κουλτούρα και τις προσωπικές προσεγγίσεις, το νομικό τμήμα μπορεί να συμβουλεύσει προληπτικά ή

Σελ. 2

κατόπιν αιτήματος. Οι δικηγόροι εκπαιδεύονται για να ερμηνεύουν και να εφαρμόζουν νόμους, συμπεριλαμβανομένων των νόμων περί ιδιωτικότητας των δεδομένων, αλλά δεν είναι όλοι οι δικηγόροι γνώστες της τεχνολογίας ή καλοί project managers.

1.04 • Τα μέλη του τμήματος πληροφορικής (IT) είναι γνώστες της τεχνολογίας, αλλά μπορεί να μην είναι εύκολο να κατανοήσουν και να εφαρμόσουν τους νόμους. Οι επαγγελματίες πληροφορικής εκπαιδεύονται στην ανάπτυξη και συντήρηση εξοπλισμού, λογισμικού και υπηρεσιών που χρησιμοποιούν άλλες ομάδες (HR, πωλήσεις, μάρκετινγκ και παραγωγή) για την επεξεργασία προσωπικών δεδομένων. Το τμήμα πληροφορικής υποστηρίζει αυτές τις άλλες ομάδες και παρέχει τεχνολογία που βοηθά τους επιχειρηματικούς στόχους άλλων τμημάτων. Το τμήμα πληροφορικής συνήθως καθιερώνει και εφαρμόζει πρωτόκολλα για την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη πρόσβαση (υιοθετώντας μέτρα ασφαλείας δεδομένων). Ωστόσο, οι επαγγελματίες πληροφορικής συνήθως δεν καθορίζουν τα δικαιώματα πρόσβασης φυσικών προσώπων(το κάνουν η διοίκηση ή το τμήμα ανθρώπινου δυναμικού) ούτε αντιμετωπίζουν θέματα νομικής συμμόρφωσης (δικηγόροι, ελεγκτές και επαγγελματίες συμμόρφωσης ασχολούνται με αυτά τα ζητήματα). Οι ειδικοί στην ασφάλεια των πληροφοριών συχνά πρέπει να εισβάλλουν στην ιδιωτικότητα άλλων εργαζομένων στο πλαίσιο της παρακολούθησης και της διερεύνησης της ασφάλειας του δικτύου.

1.05 • Ορισμένες εταιρείες έχουν ξεχωριστές ομάδες συμμόρφωσης ή εσωτερικού ελέγχου, οι οποίες ασχολούνται με την επιτήρηση και την επιβολή της συμμόρφωσης με τους νόμους και τις εσωτερικές πολιτικές. Οι ελεγκτές επικεντρώνονται στον έλεγχο της τήρησης των κανόνων των υφιστάμενων προγραμμάτων συμμόρφωσης, αλλά συνήθως δεν θέτουν τους κανόνες. Αποφεύγετε τον έλεγχο ενός περαιτέρω προσώπου εάν αντίθετε στο ίδιο άτομο να δημιουργεί και να ελέγχει ένα πρόγραμμα. Επίσης, όταν το ελεγκτικό προσωπικό διεξάγει έρευνες, διατρέχει ιδιαίτερα υψηλό κίνδυνο παραβίασης των νόμων περί ιδιωτικότητας των δεδομένων. Οι ερευνητές συχνά θέλουν να ερευνήσουν την ηλεκτρονική αλληλογραφία, το υλικό ασφαλείας, τις φωνογραφήσεις, τους υπολογιστές και τα αρχεία, να πάρουν συνεντεύξεις από τρίτους σχετικά με ύποπτη συμπεριφορά και περιστασιακά να υποκλέψουν ζωντανές κλήσεις και άλλες επικοινωνίες χωρίς προηγούμενη ενημέρωση του υποκειμένου των δεδομένων. Επομένως, μπορεί να ομοιάζει με το να αφήνετε τον λύκο να φυλάει τα πρόβατα εάν αναθέσετε στο ελεγκτικό προσωπικό να σχεδιάσει ένα πρόγραμμα συμμόρφωσης με τη νομοθεσία περί ιδιωτικότητας.

1.06 • Μια άλλη επιλογή είναι να επιλέξετε άτομα από ομάδες χρηστών δεδομένων εντός μιας εταιρείας, όπως HR ή μάρκετινγκ. Οι εταιρείες που αναπτύσσουν ή

Σελ. 3

πωλούν προϊόντα πληροφορικής βλέπουν την ιδιωτικότητα των δεδομένων όχι μόνο ως μια πρόκληση συμμόρφωσης, αλλά και ως μια επιχειρηματική ευκαιρία. Για παράδειγμα, οι πάροχοι υπηρεσιών cloud και οι πάροχοι εταιρικού λογισμικού και «χώρων» αποθήκευσης δεδομένων λαμβάνουν όλο και περισσότερο υπόψη τους νόμους περί ιδιωτικότητας των δεδομένων στη διαδικασία ανάπτυξης προϊόντων, προκειμένου να διασφαλίσουν ότι οι πελάτες τους μπορούν να χρησιμοποιούν αποτελεσματικά τα προϊόντα σύμφωνα με την ισχύουσα νομοθεσία (βλ. Προστασία ιδιωτικότητας εκ του σχεδιασμού στο Κεφάλαιο 5). Το αν η προστασία της ιδιωτικότητας είναι ένας σημαντικός παράγοντας διαφοροποίησης για τους παρόχους τεχνολογίας εξαρτάται από το κοινό στο οποίο απευθύνονται - οι μεγαλύτεροι εταιρικοί πελάτες τείνουν να επικεντρώνονται πολύ στις λειτουργίες συμμόρφωσης, ενώ οι καταναλωτές και οι μικρότερες εταιρείες μπορεί να εκφράζουν ανησυχίες για ορισμένες λειτουργίες (π.χ. διατερματική κρυπτογράφηση για smartphones ή online αποθήκευση), αλλά επιλέγουν «δωρεάν» υπηρεσίες ή την εύκολη διεκπεραίωση εργασιών έναντι ζητημάτων ιδιωτικότητας των δεδομένων.

Στις περισσότερες επιχειρήσεις, ο υπεύθυνος για τη συμμόρφωση με τη νομοθεσία περί ιδιωτικότητας των δεδομένων προέρχεται συνήθως από ένα από τα παραπάνω τμήματα ή τομείς εξειδίκευσης. Μεγαλύτερες εταιρείες με μεγαλύτερη έκθεση ή ενδιαφέρον σχετικά με τους νόμους περί ιδιωτικότητας μπορούν να αποφασίσουν να δημιουργήσουν ένα νέο τμήμα ή γραφείο. Οι μικρότερες εταιρείες μπορεί να θεωρήσουν αρκετό να ορίσουν κάποιον υπεύθυνο σε βάση μερικής απασχόλησης. Εάν μια εταιρεία διαθέτει νομικό τμήμα, συνήθως εμπλέκονται δικηγόροι. Συχνά, ο νομικός σύμβουλος αναλαμβάνει ηγετικό ρόλο όσον αφορά τη συμμόρφωση με τη νομοθεσία περί ιδιωτικότητας των δεδομένων. Ωστόσο, ο ιδανικός υποψήφιος για τη συμμόρφωση με τη νομοθεσία περί ιδιωτικότητας των δεδομένων δεν χρειάζεται απαραίτητα να είναι δικηγόρος, ειδικά εάν μια εταιρεία βλέπει την ιδιωτικότητα των δεδομένων περισσότερο ως επιχειρηματική ευκαιρία παρά απλώς ως νομική υποχρέωση.

Εργαλεία και αυτοματισμοί

1.07 Ορισμένες επιχειρήσεις «τεχνολογίας ιδιωτικότητας («privacy tech»)» και «τεχνολογίας για νομικές υπηρεσίες («legal tech»)» προσφέρουν εργαλεία λογισμικού και άλλες τεχνικές λύσεις για να βοηθήσουν τις εταιρείες να αντιμετωπίσουν τις απαιτήσεις της νομοθεσίας περί ιδιωτικότητας, όπως λογισμικό θόλωσης εικόνας, διαχειριστές cookie ιστού και ηλεκτρονικές φόρμες για την καταγραφή εκτιμήσεων αντικτύπου σχετικά με την προστασία δεδομένων. Οι εταιρείες με ώριμα προγράμματα συμμόρφωσης με τη νομοθεσία περί ιδιωτικότητας μπορούν να επωφεληθούν από

Σελ. 4

την αυτοματοποίηση επαναλαμβανόμενων εργασιών. Ωστόσο, κάθε εταιρεία πρέπει πρώτα να αξιολογήσει τις ιδιαίτερες ανάγκες, επιλογές και προτιμήσεις συμμόρφωσης της πριν καταφύγει σε τεχνικές λύσεις. Για παράδειγμα, μια εταιρεία που λαμβάνει μόνο λίγα αιτήματα πρόσβασης σε δεδομένα κάθε χρόνο, από διαφορετικές δικαιοδοσίες και από διαφορετικές ομάδες υποκειμένων των δεδομένων (π.χ. εργαζόμενους και πελάτες), μπορεί να είναι καλύτερα να επεξεργάζεται χωρίς τεχνικά εργαλεία τέτοια αιτήματα, δεδομένου ότι η αρχική διακριτική ευχέρεια μπορεί να είναι απαραίτητη σε κάθε περίπτωση και επίσης η διαμόρφωση ενός εργαλείου απαιτεί πόρους. Επίσης, οι εταιρείες που έχουν αναπτύξει πρόωρα εργαλεία για τη διενέργεια εκτιμήσεων αντικτύπου σχετικά με την προστασία των δεδομένων έχουν πνιγεί από πάρα πολλά αρχεία που δεν απαιτούνται εκ του νόμου ούτε είναι πρακτικά χρήσιμα, και τα περιττά αρχεία και δραστηριότητες μερικές φορές αποκρύπτουν καταστάσεις όπου απαιτείτο βαθύτερη αξιολόγηση. Ενώ τα μέτρα ασφάλειας δεδομένων έχουν έναν μόνο στόχο (αποτροπή μη εξουσιοδοτημένης πρόσβασης σε δεδομένα) και επομένως είναι σχετικά εύκολο να αυτοματοποιηθούν, οι νόμοι περί ιδιωτικότητας των δεδομένων είναι πιο διεξοδικοί, απαιτώντας μεμονωμένες αποφάσεις στάθμισης και, ως εκ τούτου, παρουσιάζουν πολύ μεγαλύτερες προκλήσεις σε περίπτωση αυτοματοποίησης.

Ακόμη και όταν ένα τεχνικό μέτρο προστασίας της ιδιωτικότητας προσφέρει μια αναμφίβολα αποτελεσματική λύση, οι εταιρείες πρέπει πρώτα να κρίνουν εάν το τεχνικό μέτρο είναι απαιτούμενο και κατάλληλο. Για παράδειγμα, το λογισμικό θόλωσης προσώπου είναι αποτελεσματικό στην προστασία της ιδιωτικότητας. Όμως, μια εφημερίδα πρέπει να διεξάγει προσεκτική εξισορρόπηση της ελευθερίας του Τύπου και των ατομικών συμφερόντων ιδιωτικότητας για να αποφασίσει πότε είναι κατάλληλη η θόλωση. Επίσης, ένας κατασκευαστής αυτο-οδηγούμενων αυτοκινήτων πρέπει να σταθμίσει τα συμφέροντα ασφάλειας και ιδιωτικότητας πριν επιλέξει μέτρα θόλωσης του προσώπου που θα μπορούσαν να καταστήσουν την αναγνώριση των πεζών λιγότερο αποτελεσματική και να εμποδίσουν τυχόν ελιγμούς αποφυγής για λόγους ασφαλείας. Ομοίως, μια εταιρεία που αναπτύσσει έναν διαχειριστή cookie ιστού πρέπει πρώτα να καθορίσει ανεξάρτητα ποια cookies είναι απαραίτητα για την παροχή διαδικτυακών υπηρεσιών και ποια είναι πραγματικά προαιρετικά και υπόκεινται στις επιλογές του χρήστη. Επιπλέον, ορισμένοι χρήστες εργαλείων για εκτιμήσεις αποκλίσεων, αρχεία δραστηριοτήτων επεξεργασίας και εκτιμήσεις επιπτώσεων απογοητεύονται όταν συνειδητοποιούν ότι πρέπει ακόμη να συγκεντρώσουν και να εισαγάγουν όλες τις σχετικές πληροφορίες. Ως εκ τούτου, οι εταιρείες θα πρέπει να προσδιορίσουν προσεκτικά από την αρχή ποιο συγκεκριμένο πρόβλημα προορίζεται να επιλύσει ένα συγκεκριμένο εργαλείο, εάν η λύση που παρέχεται από το εργαλείο είναι νομικά απαραίτητη και η καλύτερη επιλογή για την

Σελ. 5

εταιρεία, και πώς το κόστος και τα οφέλη που συνδέονται με το εργαλείο συγκρίνονται με το κόστος και τα οφέλη των μη τεχνικών ή άλλων προσεγγίσεων.

Συνεργασία με εσωτερικούς ενδιαφερόμενους φορείς και εξωτερικούς συμβούλους

1.08 Εσωτερικοί ενδιαφερόμενοι («internal stakeholders»). Για να λάβετε επαρκείς πόρους και υποστήριξη από τα ενδιαφερόμενα μέρη μιας εταιρείας, πρέπει να απαντήσετε στην ερώτηση "Γιατί" - Γιατί είναι σημαντικό ένα πρόγραμμα ιδιωτικότητας και ασφάλειας δεδομένων; Για ορισμένες εταιρείες, η συμμόρφωση είναι θέμα διαχείρισης κινδύνου και αποφυγής κυρώσεων και ευθύνης. Άλλοι ενδιαφέρονται επιπλέον για την πιθανή διακινδύνευση ή βελτίωση της φήμης τους και βλέπουν τη συμμόρφωση με τη νομοθεσία περί ιδιωτικότητας ως παράγοντα διαφοροποίησης. Επίσης, για ορισμένες εταιρείες, η συμμόρφωση με τη νομοθεσία περί ιδιωτικότητας και ασφάλειας δεδομένων αποτελεί βασική προϋπόθεση για την πώληση προϊόντων και υπηρεσιών, για παράδειγμα, αποθήκευση δεδομένων ή λογισμικό ως υπηρεσία (SaaS). Όταν ξεκινάτε την εφαρμογή ενός προγράμματος συμμόρφωσης σε μια εταιρεία, μπορεί να είναι πολύ χρήσιμο να προετοιμάσετε μια σύντομη λευκή βίβλο σε μορφή συχνών ερωτήσεων για να αυξήσετε την ευαισθητοποίηση και να κατοχυρώσετε την υποστήριξη των βασικών ενδιαφερομένων εντός του οργανισμού. Πρόσθετες σκέψεις σχετικά με τη μεγάλη ερώτηση «Γιατί;» μπορούν να βρεθούν στο Κεφάλαιο 5 αυτού του Οδηγού, υπό την ενότητα «Υ».

1.09 Εξωτερικοί σύμβουλοι. Οι περισσότερες εταιρείες απευθύνονται σε εξωτερικούς συμβούλους για συμβουλές σχετικά με τις νομικές απαιτήσεις πέρα από τη δικαιοδοσία τους. Συνήθως, είναι πολύ δύσκολο και χρονοβόρο να προσδιοριστεί η ακριβής φύση και οι λεπτομέρειες των επίσημων και ουσιαστικών υποχρεώσεων συμμόρφωσης σε άλλες χώρες, όπου οι νόμοι ενδέχεται να παρουσιάζονται σε άγνωστες μορφές και γλώσσες. Σε αυτόν τον Οδηγό, θα βρείτε ορισμένες υποδείξεις σχετικά με τις γενικά ισχύουσες αρχές του δικαίου ιδιωτικότητας και τις μείζονες διαφορές μεταξύ δικαιοδοσιών στην ενότητα «Βασικοί Όροι» καθώς και στο σύνολο του Οδηγού με την τη μορφή παραδειγμάτων. Ωστόσο, η κάλυψη των ειδικών ανά χώρα λεπτομερειών σχετικά με τις τυπικές ή ουσιαστικές υποχρεώσεις συμμόρφωσης υπερβαίνει το αντικείμενο του παρόντος βιβλίου.

1.10 Πολλές εταιρείες αντιμετωπίζουν μια ιδιαίτερη πρόκληση όταν συνεργάζονται με εξωτερικούς συμβούλους σε θέματα συμμόρφωσης: κάθε ειδικός σε συγκεκριμένο τομέα (σύμβουλος ασφάλειας δεδομένων, προμηθευτής τεχνολογίας ή τοπικός δικηγόρος σε μια συγκεκριμένη δικαιοδοσία) είναι εξοικειωμένος με τους κινδύνους και τις πιθανές κυρώσεις στον τομέα ειδικότητας του και τις λαμβάνει ιδιαίτερα σοβαρά υπόψη. Όμως, οι εταιρείες τείνουν να έχουν περιορισμένους οικονομικούς

Σελ. 6

πόρους και δεν μπορούν πάντα να αντιμετωπίσουν όλες τις απαιτήσεις ταυτόχρονα και με την ίδια αυστηρότητα και προσπάθεια. Οι εταιρείες πρέπει να θέσουν προτεραιότητες. Εάν προσλάβετε συντονισμένες ομάδες παγκόσμιας εμβέλειας, ενδέχεται να είναι σε θέση να βοηθήσουν με την ιεράρχηση προτεραιοτήτων μεταξύ των κλάδων που καλούνται να καλύψουν, αλλά ακόμη και οι δικές τους ικανότητές είναι περιορισμένες και δεν νοείται να αναμένεται να λάβουν υπόψη όλες τις θεμελιώδεις εκτιμήσεις που παίζουν ρόλο στην συνέχεια ή διάλυση μιας εταιρεία, π.χ. πώς να εξασφαλίσουν επιχειρησιακή συνέχεια, έσοδα και χρηματοδότηση. Εάν προσλαμβάνετε μεμονωμένους συμβούλους και όχι μια συντονισμένη ομάδα, αυτά τα άτομα συνήθως δεν βοηθούν πολύ όσον αφορά την ιεράρχηση προτεραιοτήτων και υπάρχει σημαντικός κίνδυνος η σημασία ενός συγκεκριμένου κινδύνου ή μιας απαίτησης τοπικής νομοθεσίας να υπερεκτιμηθεί ή να υποτιμηθεί. Ως εκ τούτου, μπορεί να είναι χρήσιμο να ρωτήσετε εξωτερικούς συμβούλους όχι μόνο για ουσιαστικές και τυπικές απαιτήσεις, αλλά και για πρακτικά ζητήματα, όπως εάν συγκεκριμένες απαιτήσεις τηρούνται στην πράξη ή συνεχώς παραβιάζονται, εάν οι προκλήσεις από ρυθμιστικές αρχές ή ιδιώτες ενάγοντες είναι κοινές και ποιους κίνδυνους και προβλήματα έχουν αντιμετωπίσει άλλες εταιρείες σε σχέση με τη συγκεκριμένη απαίτηση. Οι απαντήσεις σε τέτοιες ερωτήσεις βοηθούν να τεθούν τα πράγματα σε πλαίσιο και βοηθούν τις εταιρείες να ιεραρχήσουν μεταξύ των εργασιών.

Διορισμός Υπευθύνου Ιδιωτικότητας

1.11 Τα άτομα που αναλαμβάνουν το σχεδιασμό και την εφαρμογή προγραμμάτων συμμόρφωσης με τη νομοθεσία περί ιδιωτικότητας των δεδομένων κατέχουν μερικές φορές τον τίτλο "Υπεύθυνος Προστασίας Δεδομένων" ή "Υπεύθυνος Ιδιωτικότητας («Chief Privacy Officer»)". Οι ρόλοι που σχετίζονται με αυτούς και παρόμοιους τίτλους μπορεί στην πραγματικότητα να είναι αρκετά διαφορετικοί και θα πρέπει να εξετάσετε προσεκτικά εάν η εταιρεία σας χρειάζεται το ένα ή το άλλο ή και τα δύο.

1.12 Ένας βασικός λόγος για τον οποίο οι πολυεθνικές επιχειρήσεις έχουν υπεύθυνο προστασίας δεδομένων είναι επειδή έχουν παρουσία στη Γερμανία. Σύμφωνα με τη γερμανική νομοθεσία περί προστασίας δεδομένων, οι εταιρείες υποχρεούνται νομικά από τη δεκαετία του 1970 να διορίζουν επίσημα έναν υπεύθυνο προστασίας δεδομένων με ρόλο παρατηρητή ως συμπλήρωμα της εποπτείας από τις κυβερνητικές αρχές προστασίας δεδομένων. Η Γερμανία ήταν η πρώτη χώρα που εισήγαγε την έννοια του υπεύθυνου προστασίας δεδομένων σε μια προσπάθεια να επιβάλει την αυτορρύθμιση μέσω ενός διορισμένου από την εταιρεία θεματοφύλακα των συμφερόντων της ιδιωτικότητας.

Ορισμένες δικαιοδοσίες με πρώιμους νόμους περί προστασίας δεδομένων, συμπεριλαμβανομένης της Γαλλίας, επέλεξαν αντ 'αυτού κυβερνητικές απαιτήσεις κοινο-

Σελ. 7

ποίησης και έγκρισης. Εκεί, οι εταιρείες όφειλαν παραδοσιακά να υποβάλλουν περιγραφές των βάσεων δεδομένων τους και των σκοπών επεξεργασίας τους σε μια αρχή προστασίας δεδομένων και να ζητούν προηγούμενη έγκριση προτού προβούν σε ορισμένες δραστηριότητες, π.χ. λειτουργία ανοικτής τηλεφωνικής γραμμής για μάρτυρες δημοσίου συμφέροντος, διαβίβαση δεδομένων προσωπικού χαρακτήρα πέραν των εθνικών συνόρων ή παρακολούθηση εργαζομένων εκτός του πεδίου εφαρμογής περιορισμένων εξαιρέσεων. Άλλες χώρες, όπως η Ελβετία, υιοθέτησαν μια προσέγγιση μέσης λύσης και έδωσαν στις εταιρείες τη δυνατότητα να διορίσουν έναν υπεύθυνο προστασίας δεδομένων αντί να υποβάλουν πιο ουσιαστικές καταθέσεις στις αρχές προστασίας δεδομένων. Σύμφωνα με τον ΓΚΠΔ, οι εταιρείες σε όλα τα κράτη μέλη του ΕΟΧ πρέπει να διορίζουν υπεύθυνο προστασίας δεδομένων εάν εμπλέκονται σε ιδιαίτερα ευαίσθητες μορφές επεξεργασίας δεδομένων, συμπεριλαμβανομένης της συστηματικής παρακολούθησης των υποκειμένων των δεδομένων ή της επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε μεγάλη κλίμακα και ως βασική δραστηριότητα. Οι όμιλοι εταιρειών μπορούν να διορίσουν ένα πρόσωπο ως υπεύθυνο προστασίας δεδομένων για πολλές ή όλες τις οντότητες, εάν το πρόσωπο είναι προσβάσιμο από όλες τις τοποθεσίες.

1.13 Ορισμένες εταιρείες διαμορφώνουν την προσέγγισή σε ζητήματα συμμόρφωσης σε όλες τις δικαιοδοσίες σύμφωνα με το γερμανικό μοντέλο, δηλαδή διορίζοντας έναν τοπικό υπεύθυνο προστασίας δεδομένων. Αυτή η τακτική θα πρέπει να διασφαλίζει τη συμμόρφωση με τον ΓΚΠΔ και τους κανόνες άλλων χωρών (καθώς οι γερμανικοί κανόνες τείνουν να είναι οι αυστηρότεροι και πιο ολοκληρωμένοι), αλλά δεν απαιτείται νομικά.

1.14 Πολλές εταιρείες διορίζουν επίσης εθελοντικά υπεύθυνους προστασίας δεδομένων ή συνεργάτες εξειδικευμένους στην συμμόρφωση με το δίκαιο της ιδιωτικότητας για χώρες όπου αυτό δεν απαιτείται ούτε ενθαρρύνεται, ούτε καν εξετάζεται. Επιπλέον, πολλές μεγαλύτερες εταιρείες των ΗΠΑ διαθέτουν Υπεύθυνο Ιδιωτικότητας, καθώς και υπεύθυνους συμμόρφωσης, εσωτερικούς ελεγκτές, εξειδικευμένους νομικούς συμβούλους για θέματα συμμόρφωσης με τη νομοθεσία περί ιδιωτικότητας των δεδομένων, υπεύθυνους ασφάλειας πληροφοριών και εκπαιδευμένους επαγγελματίες ιδιωτικότητας. Οι σκοποί, οι ρόλοι και οι ευθύνες τέτοιων θέσεων μπορούν και συχνά πρέπει να είναι αρκετά διαφορετικές. Εάν αποφασίσετε να δημιουργήσετε μια θέση υπεύθυνου ιδιωτικότητας σε εθελοντική βάση, θα μπορούσατε να εντοπίσετε τα δικαιώματα και τις υποχρεώσεις σε σχέση με τον ρόλο του υπεύθυνου προστασίας δεδομένων που ορίζεται στον ΓΚΠΔ και να αποφασίσετε προσεκτικά ποιες πτυχές του νομικού καθεστώτος θα υιοθετήσετε, θα τροποποιήσετε ή θα παραλείψετε.

Σελ. 8

1.15 Απαιτήσεις διορισμού υπευθύνου προστασίας δεδομένων. Σύμφωνα με τον ΓΚΠΔ, οι εταιρείες πρέπει να ορίζουν υπεύθυνο προστασίας δεδομένων εάν διεξάγουν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή εάν μία από τις βασικές δραστηριότητές τους είναι η επεξεργασία ιδιαίτερα ευαίσθητων πληροφοριών, όπως δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν την φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, την συμμετοχή σε συνδικαλιστική οργάνωση, τον σεξουαλικό προσανατολισμό ή την υγεία. Η γερμανική νομοθεσία είναι αυστηρότερη και απαιτεί από τις εταιρείες συνήθως να διορίζουν γραπτώς έναν υπεύθυνο προστασίας δεδομένων εντός ενός μηνός από την έναρξη των δραστηριοτήτων τους, εκτός εάν δεν επεξεργάζονται ευαίσθητα δεδομένα και έχουν λιγότερους από είκοσι υπαλλήλους.

1.16 Απαιτήσεις προσόντων. Οι υπεύθυνοι προστασίας δεδομένων πρέπει να ορίζονται με βάση τα επαγγελματικά προσόντα και, ιδίως, την εξειδικευμένη γνώση της νομοθεσίας και των πρακτικών προστασίας δεδομένων και την ικανότητα εκπλήρωσης των καθηκόντων τους, π.χ. παροχή συμβουλών στον υπεύθυνο επεξεργασίας και επιτήρηση της συμμόρφωσης με τον ΓΚΠΔ. Οι υποψήφιοι πρέπει να είναι έμπειροι, γνώστες ή εκπαιδευμένοι σχετικά με τη νομοθεσία προστασίας δεδομένων, την πληροφορική και τις λειτουργίες της εταιρείας. Πρέπει επίσης να είναι αξιόπιστοι και να μην έχουν συγκρούσεις συμφερόντων· Αυτό συνήθως αποκλείει τον διορισμό ιδιοκτητών επιχειρήσεων, ανώτερων διευθυντικών στελεχών και εργαζομένων με έντονο ενδιαφέρον για τη συλλογή και χρήση δεδομένων, όπως διευθυντές μάρκετινγκ και ανθρώπινου δυναμικού στον ΕΟΧ (ενώ τα στελέχη και οι διευθυντές εταιρειών μπορούν - και συνήθως ορίζονται - ως υπεύθυνοι για τη συμμόρφωση με τη νομοθεσία περί προστασίας δεδομένων σύμφωνα με τη νομοθεσία της Κορέας και της Σιγκαπούρης). Τέλος, η εταιρεία πρέπει να επιτρέπει στον υπεύθυνο προστασίας δεδομένων να εκτελεί τις έννομες υποχρεώσεις του . Αυτό απαιτεί από τις εταιρείες να παρέχουν πληροφορίες και κατάρτιση και να απαλλάσσουν τους εσωτερικούς υπεύθυνους προστασίας δεδομένων από άλλα καθήκοντα εργασίας (για να ελευθερώσουν χρόνο). Πολλές εταιρείες διορίζουν μη διευθυντικούς υπαλλήλους στα νομικά, τα τμήματα πληροφορικής ή τα τμήματα ανθρώπινου δυναμικού τους - ή συνάπτουν συμβάσεις με εξωτερικούς παρόχους υπηρεσιών.

1.17 Εξωτερικοί έναντι εσωτερικών υποψηφίων. Μια εταιρεία μπορεί να διορίσει είτε έναν υπάλληλο είτε έναν εξωτερικό πάροχο υπηρεσιών. Και οι δύο επιλογές έχουν ορισμένα πλεονεκτήματα και μειονεκτήματα. Εάν μια γερμανική εταιρεία διορίσει έναν εργαζόμενο ως υπεύθυνο προστασίας δεδομένων, ο εργαζόμενος δικαιούται ακόμη ισχυρότερη προστασία έναντι της καταγγελίας από ό, τι η γερμανική εργατική νομοθεσία παρέχει γενικά σε όλους τους εργαζομένους. Η καταγγελία της σύμβασης

Σελ. 9

ενός εξωτερικού υπευθύνου προστασίας δεδομένων τείνει να είναι σχετικά εύκολη συγκριτικά, με βάση τους όρους της ισχύουσας σύμβασης παροχής υπηρεσιών. Ο διορισμός ενός εργαζομένου επιτρέπει στην εταιρεία να διατηρεί όλες τις σχετικές πληροφορίες εσωτερικές και εμπιστευτικές. Ο διορισμός ενός εξωτερικού υποψηφίου σημαίνει την αποκάλυψη των συστημάτων, των διαδικασιών, των μέτρων ασφαλείας και των δεδομένων της εταιρείας σε κάποιον εκτός εταιρείας. Ένας εσωτερικός υπεύθυνος προστασίας δεδομένων τείνει να είναι πιο εξοικειωμένος με τις ισχύουσες πρακτικές, τις διαδικασίες και τα προβλήματα και έχει καλύτερη πρόσβαση σε πληροφορίες σχετικά με τις ανησυχίες των εργαζομένων και τις αδυναμίες ασφαλείας. Οι εξωτερικοί υπεύθυνοι προστασίας δεδομένων μπορεί να έχουν καλύτερη γνώση των προτύπων που ακολουθούνται στον κλάδο και περισσότερη εμπειρία και εξειδίκευση από τους εσωτερικούς υπαλλήλους που αναλαμβάνουν τη θέση υπό καθεστώς μερικής απασχόλησης. Η εξειδίκευση επιτρέπει σε έναν εξωτερικό υπεύθυνο προστασίας δεδομένων να επικεντρωθεί στις τελευταίες εξελίξεις στη νομοθεσία και την τεχνολογία προστασίας δεδομένων. Οι εταιρείες λαμβάνουν επίσης υπόψη το κόστος και τους χρόνους απόκρισης: οι εξωτερικοί πάροχοι υπηρεσιών μπορούν να πληρώνονται σε ωριαία βάση (γεγονός που μπορεί να δώσει κίνητρα στον υπεύθυνο προστασίας δεδομένων να είναι ιδιαίτερα δραστήριος και να ανταποκρίνεται σε ερωτήσεις και να δυσχεραίνει τον έλεγχο του κόστους από την εταιρεία) ή με μηνιαία ή ετήσια σταθερή αμοιβή (γεγονός που μπορεί να οδηγήσει σε μεγάλους χρόνους απόκρισης και, ως εκ τούτου, καθυστερήσεις στην υλοποίηση του έργου). Όσον αφορά τους εσωτερικούς υπεύθυνους προστασίας δεδομένων, η εταιρεία πρέπει να εξετάσει τον αντίκτυπο στις άλλες συνεισφορές του υποψηφίου υπό το πρίσμα του χρόνου που θα καταλαμβάνει ο ρόλος του υπεύθυνου προστασίας δεδομένων. Για μία από τις γερμανικές θυγατρικές της, μια πολυεθνική επιχείρηση θα μπορούσε να διορίσει ως υπεύθυνο προστασίας δεδομένων έναν εργαζόμενο ενός εκ των οντοτήτων της εκτός Γερμανίας ή από άλλη από τις γερμανικές θυγατρικές της. Ένα τέτοιο πρόσωπο θα μπορούσε να χαρακτηριστεί ως «εξωτερικός» υπεύθυνος προστασίας δεδομένων σύμφωνα με το γερμανικό δίκαιο, αποφεύγοντας έτσι τις επιπτώσεις της γερμανικής εργατικής νομοθεσίας.

Οι αρχές προστασίας δεδομένων μπορεί να είναι επιφυλακτικές σχετικά με τον διορισμό προσώπων που διαμένουν εκτός της επικράτειάς τους και μπορεί να ισχυριστούν ότι τα πρόσωπα αυτά δεν είναι σε θέση να εκτελέσουν επαρκώς τις υποχρεώσεις τους εκ του νόμου επειδή δεν είναι διαθέσιμα αρκετά γρήγορα, δεν είναι σε θέση να μιλούν την τοπική γλώσσα ή αρκετά κοντά στην πραγματικότητα των τοπικών δραστηριοτήτων επεξεργασίας δεδομένων για να εντοπίσουν προβλήματα. Ωστόσο, οι εταιρείες δεν υποχρεούνται ρητά να ορίσουν υπεύθυνο προστασίας δεδομένων με συγκεκριμένη εθνικότητα ή κατοικία σύμφωνα με τους περισσότερους νόμους. Ούτε ο ΓΚΠΔ ούτε οι νόμοι των περισσότερων άλλων χωρών απαιτούν τον

Σελ. 10

διορισμό εγχώριου εργαζομένου ή εργολάβου. Οι εταιρείες με έδρα και κέντρα δεδομένων σε άλλες χώρες έχουν βάσιμους λόγους να διορίσουν κάποιον εκτός της δικαιοδοσίας τους, εάν ένα τέτοιο άτομο είναι πιο κοντά στα περιφερειακά ή παγκόσμια συστήματα της εταιρείας. Οι πολυεθνικές εταιρείες μπορεί να προτιμούν να έχουν μόνο ένα πρόσωπο στο ρόλο του υπεύθυνου προστασίας δεδομένων για οποιεσδήποτε δικαιοδοσίες όπου απαιτείται ο διορισμός, έτσι ώστε οι διαβουλεύσεις για πολυεθνικά έργα να μπορούν να διεξάγονται αποτελεσματικά, γρήγορα και χωρίς αντικρουόμενες απόψεις. Σε δικαιοδοσίες όπου ο διορισμός πρέπει να κοινοποιηθεί στις αρχές προστασίας δεδομένων, οι εταιρείες πρέπει να είναι προετοιμασμένες να απαντήσουν σε ερωτήσεις και να χειριστούν την αντίσταση στον διορισμό υπευθύνου προστασίας δεδομένων που δεν διαμένει στην αντίστοιχη χώρα ή που δεν ομιλεί την τοπική γλώσσα. Όμως, στις περισσότερες περιπτώσεις είναι δυνατόν να ξεπεραστούν οι δισταγμοί των αρχών εάν η εταιρεία έχει καλούς επιχειρησιακούς λόγους. Σύμφωνα με τον ΓΚΠΔ, οι όμιλοι ν εταιρειών επιτρέπεται ρητά να διορίζουν έναν μόνο υπεύθυνο προστασίας δεδομένων, υπό την προϋπόθεση ότι ο υπεύθυνος προστασίας δεδομένων είναι εύκολα προσβάσιμος σε κάθε εταιρεία και γραφείο.

1.18 Διατυπώσεις διορισμού. Σύμφωνα με τη γερμανική νομοθεσία, οι εταιρείες πρέπει να διορίζουν εγγράφως υπεύθυνους προστασίας δεδομένων. Σύμφωνα με τον ΓΚΠΔ, οι εταιρείες πρέπει να δημοσιεύουν τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων και να ενημερώνουν την αρχή προστασίας δεδομένων. Οι εταιρείες γενικά προτιμούν να εκχωρούν και να δημοσιεύουν ψευδώνυμα (π.χ. DPO@company.com) για να αποφύγουν την ανάγκη ενημέρωσης των ενημερωτικών σημειωμάτων κάθε φορά που αντικαθίσταται ένας υπεύθυνος προστασίας δεδομένων. Οι εταιρείες μπορούν να επιβάλλουν χρονικό περιορισμό στον διορισμό, στον βαθμό που η θητεία δεν είναι τόσο σύντομη ώστε να παρεμποδίζει την ανεξαρτησία της θέσης. Δύο έως πέντε χρόνια φαίνονται λογικά. Όταν υπάρχει σωματείο εργαζομένων για σκοπούς συλλογικής εκπροσώπησης των εργαζομένων, το σωματείο εργαζομένων μπορεί να έχει δικαίωμα συμμετοχής στη λήψη αποφάσεων σχετικά με αλλαγές στη σύμβαση εργασίας όταν ένας εργαζόμενος διορίζεται ως εσωτερικός υπεύθυνος προστασίας δεδομένων.

1.19 Καθήκοντα. Σύμφωνα με τον ΓΚΠΔ, ένας υπεύθυνος προστασίας δεδομένων είναι υπεύθυνος για την επιτήρηση της συμμόρφωσης της εταιρείας με την ισχύουσα νομοθεσία περί προστασίας δεδομένων και τη διασφάλιση ότι η εταιρεία καταγράφει τις δραστηριότητες επεξεργασίας δεδομένων. Οι εταιρείες πρέπει να συμβουλεύονται τον υπεύθυνο προστασίας δεδομένων σχετικά με τις δραστηριότητες επεξεργασίας δεδομένων και τυχόν σχεδιαζόμενες αλλαγές. Ο υπεύθυνος προστασίας δεδομένων διατυπώνει συστάσεις και ευαισθητοποιεί και εκφράζει ανησυχίες, κατά περίπτωση, αλλά δεν χρειάζεται να εγκρίνει επισήμως μέτρα. Οι αρχές και τα δικα-

Σελ. 11

στήρια δεν έχουν ακόμη διευκρινίσει πότε ένας υπεύθυνος προστασίας δεδομένων μπορεί ή ακόμη και πρέπει να καταγγείλει και να ειδοποιήσει την αρχή προστασίας δεδομένων αφού εξαντλήσει όλες τις επιλογές εντός του οργανισμού. Ο υπεύθυνος προστασίας δεδομένων λειτουργεί ανεξάρτητα και δεν υπόκειται σε εντολές ή οδηγίες από τη διοίκηση. Τα καθημερινά του καθήκοντα μπορεί να περιλαμβάνουν βοήθεια με την καταγραφή των διαδικασιών επεξεργασίας δεδομένων σε μητρώο· αξιολόγηση και περαιτέρω ανάπτυξη πολιτικών προστασίας και ασφάλειας δεδομένων· πρόταση, επιλογή και εφαρμογή τεχνικών μέτρων ασφαλείας· σύνταξη εντύπων και συμβάσεων κατάλληλων για την προστασία των δεδομένων· επιλογή εργαζομένων, παρόχων υπηρεσιών και άλλων που θα συμμετέχουν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, επιτήρηση των μέτρων προστασίας και ασφάλειας της ιδιωτικότητας και ορθή χρήση των προγραμμάτων επεξεργασίας δεδομένων, χειρισμός καταγγελιών σχετικά με την προστασία δεδομένων και παραβιάσεις του νόμου ή των πολιτικών, και τη διεξαγωγή εκπαίδευσης εργαζομένων.

1.20 Προσωπική ευθύνη. Εάν επιλέξετε έναν εργαζόμενο ως υποψήφιο υπεύθυνο προστασίας δεδομένων, μπορείτε να αναμένετε μια ερώτηση σχετικά με την προσωπική ευθύνη. Η σύντομη απάντηση είναι ότι όλοι οι εργαζόμενοι μπορούν να θεωρηθούν υπεύθυνοι για παραπτώματα και παραβιάσεις των νόμων και των δικαιωμάτων τρίτων. Οι περισσότεροι υποψήφιοι, ωστόσο, διατρέχουν πιθανώς εξίσου ή μεγαλύτερο κίνδυνο σε σχέση με τα άλλα εργασιακά τους καθήκοντα παρά σε σχέση με τον ρόλο του υπεύθυνου προστασίας δεδομένων. Η γερμανική νομοθεσία περί προστασίας δεδομένων δεν ρυθμίζει συγκεκριμένα την προσωπική ευθύνη ενός υπευθύνου προστασίας δεδομένων. Σύμφωνα με τους γενικά ισχύοντες νόμους στις περισσότερες δικαιοδοσίες, οποιοσδήποτε μεμονωμένος εκπρόσωπος μιας εταιρείας μπορεί να θεωρηθεί υπεύθυνος για πράξη ή παράλειψη της εταιρείας εάν ο εκπρόσωπος διέπραξε την εν λόγω πράξη ή είχε την ευθύνη να αποφύγει την παράλειψη. Σε αυτή τη βάση, ένας υπεύθυνος προστασίας δεδομένων μπορεί να θεωρηθεί υπεύθυνος για άμεση συμμετοχή σε παράνομες δραστηριότητες επεξεργασίας δεδομένων (π.χ. καταγραφή τηλεφωνικών κλήσεων χωρίς συγκατάθεση ή δικαστική εντολή). Θεωρητικά, ένας υπεύθυνος προστασίας δεδομένων θα μπορούσε επίσης να είναι υπεύθυνος για την μη παύση παράνομων δραστηριοτήτων που διεξήχθησαν χωρίς την άμεση συμμετοχή του υπευθύνου προστασίας δεδομένων. Ωστόσο, είναι σχετικά σπάνιο οι εργαζόμενοι να κατηγορούνται λόγω παράλειψης δράσης.

1.21 Διορισμός και κοινοποιήσεις. Όπου η τοπική νομοθεσία δεν απαιτεί ή δεν ανταμείβει έναν διορισμό, οι εταιρείες τείνουν να μην διορίζουν επίσημα υπεύθυνους προστασίας δεδομένων. Οι εταιρείες που διορίζουν υπεύθυνο προστασίας δεδομένων βάσει του ΓΚΠΔ – εθελοντικά ή όχι – πρέπει να ενημερώνουν τις αρμόδιες αρχές προστασίας δεδομένων, οι οποίες μπορεί να είναι περισσότερες από 45 αρχές για

Σελ. 12

μια εταιρεία που δεν είναι εγκατεστημένη στον ΕΟΧ και, ως εκ τούτου αποτελεί μία επαχθής υποχρέωση, ενώ οι εταιρείες που είναι εγκατεστημένες στον ΕΟΧ ενδέχεται να πληρούν τις προϋποθέσεις για μεταχείριση υπηρεσίας μίας στάσης και να υποχρεούνται να κοινοποιούν τον διορισμό μόνο στην αρμόδια για αυτούς αρχή.

1.22 Ένας υπεύθυνος προστασίας δεδομένων για πολλαπλές δικαιοδοσίες. Ορισμένες εταιρείες διορίζουν το ίδιο πρόσωπο για πολλές ή όλες τις δικαιοδοσίες όπου απαιτείται επίσημος διορισμός. Αυτό επιτρέπεται ρητά βάσει του ΓΚΠΔ και είναι ιδιαίτερα αποτελεσματικό για εταιρείες που χρησιμοποιούν διεθνή συστήματα και διαδικασίες, τα οποία μπορούν να επιτηρούνται καλύτερα από ένα άτομο.

1.23 Ανεπίσημοι, εθελοντικοί διορισμοί. Ξεχωριστά και εκτός από την ικανοποίηση των επίσημων έννομων υποχρεώσεων για τον διορισμό ενός υπεύθυνου προστασίας δεδομένων, οι μεγαλύτεροι οργανισμοί συχνά εντοπίζουν λειτουργικά πλεονεκτήματα στη δημιουργία ενός δικτύου τοπικών συνεργατών για τη συμμόρφωση με τη νομοθεσία περί ιδιωτικότητας των δεδομένων και άλλες προσπάθειες συμμόρφωσης, προκειμένου να έχουν εξειδικευμένες τοπικές επαφές που μπορούν να βοηθήσουν στην εφαρμογή και την παρακολούθηση των μέτρων συμμόρφωσης. Επίσης, πολλές εταιρείες διορίζουν εθελοντικά έναν «παγκόσμιο επικεφαλή ιδιωτικότητας («global privacy officer») ή «υπεύθυνο ιδιωτικότητας» για να αποδείξουν εσωτερικά και εξωτερικά ότι η εταιρεία λαμβάνει σοβαρά υπόψη τη συμμόρφωση με τη νομοθεσία περί ιδιωτικότητας των δεδομένων. Μπορεί επίσης να είναι επωφελές να έχετε ένα άτομο – σημείο επαφής- που αναλαμβάνει την διαχείρηση και την ευθύνη για τη συμμόρφωση με τη νομοθεσία περί ιδιωτικότητας - η οποία επηρεάζει πολλούς άλλους τομείς, συμπεριλαμβανομένης της πληροφορικής, του ανθρώπινου δυναμικού, της φυσικής ασφάλειας, της συμμόρφωσης με τον νόμου, των οικονομικών και των πωλήσεων.

Για τέτοιους ανεπίσημους και εθελοντικούς διορισμούς και για δικαιοδοσίες όπου ο ρόλος του υπευθύνου προστασίας δεδομένων δεν ορίζεται από το νόμο, είναι σημαντικό η εταιρεία να καθορίζει την εξουσία και τα καθήκοντα του υπευθύνου προστασίας δεδομένων σε λεπτομερές γραπτό έντυπο ή σύμβαση . Ειδικότερα, οι εταιρείες πρέπει να θέτουν προσδοκίες ως προς το αν ο υπεύθυνος ιδιωτικότητας θα υπερασπίζεται πρωτίστως την ιδιωτικότητα ή τα εταιρικά συμφέροντα· θα παρέχει συμβουλές ή θα λαμβάνει αποφάσεις ή · αν θα αντιδρά ή θα είμαι προληπτικός. Ομοίως, ο υπεύθυνος ιδιωτικότητας θα συντονίζει, υποστηρίζει, εποπτεύει ή επιτηρεί συναδέλφους σε ρόλους με αλληλεπικαλυπτόμενες αρμοδιότητες (όπως υπεύθυνοι συμμόρφωσης, εσωτερικοί ελεγκτές, σύμβουλοι προστασίας ιδιωτικότητας στο νομικό τμήμα και προσωπικό πληροφορικής και ασφάλειας στα τμήματα πληροφορικής, μάρκετινγκ και ανθρώπινου δυναμικού); Κάθε εταιρεία πρέπει να βρει τον δικό της τρόπο από αυτή την άποψη και κάθε εταιρεία πρέπει να καθορίσει τις ευ-

Σελ. 13

θύνες και τα καθήκοντα με σαφήνεια εγγράφως, έτσι ώστε το διορισμένο άτομο να κατανοεί τα δικαιώματα, τις υποχρεώσεις και τις προσδοκίες του ρόλου. Όταν οι ρόλοι δεν είναι σαφώς καθορισμένοι, μια κακή ευθυγράμμιση των προσδοκιών μπορεί εύκολα να οδηγήσει σε δυσάρεστες συγκρούσεις. Για παράδειγμα, εάν ένας παγκόσμιος επικεφαλής ιδιωτικότητας σε μια εταιρεία των ΗΠΑ κατανοεί τον ρόλο ως ανεξάρτητο και καθοδηγούμενο από τη δημόσια πολιτική, μπορεί να προβεί γρήγορα σε ενημέρωση των αρχών των ΗΠΑ για τυχόν ανησυχίες. Ή, εάν ένα μέλος του νομικού τμήματος διοριστεί ως «Υπεύθυνος Ιδιωτικότητας» και μετατοπιστεί από το να ενεργεί ως νομικός σύμβουλος σε έναν πιο διοικητικό ρόλο, αυτό μπορεί να υπονομεύσει το δικηγορικό απόρρητο σε ορισμένες περιπτώσεις. Οι εταιρείες θα πρέπει να εξετάσουν αυτά και άλλα πλεονεκτήματα και μειονεκτήματα πριν προβούν σε εθελοντικούς διορισμούς και, στη συνέχεια, να καταγράψουν λεπτομερώς τις ευθύνες υπό τον ρόλο για να αυξήσουν τις πιθανότητες επίτευξης των επιθυμητών οφελών και να μειώσουν τον κίνδυνο ανεπιθύμητων συνεπειών και συγκρούσεων.

1.24 Διορισμένος εκπρόσωπος. Επιπλέον, και ξεχωριστά από τους υπεύθυνους προστασίας δεδομένων και ιδιωτικότητας, οι εταιρείες εκτός του ΕΟΧ υποχρεούνται βάσει του ΓΚΠΔ να ορίσουν έναν εκπρόσωπο στον ΕΟΧ εάν επεξεργάζονται προσωπικά δεδομένα κατοίκων της ΕΕ και δεν διατηρούν εγκατάσταση στην ΕΕ (όπως υποκατάστημα, γραφείο αντιπροσωπείας ή άλλη μη καταγεγραμμένη εγκατάσταση- τα οποία οι περισσότερες εταιρείες προσπαθούν να αποφύγουν για φορολογικούς λόγους). Με την απαίτηση αυτή, η ΕΕ επιθυμεί να αυξήσει τις πιθανότητες των αρχών προστασίας δεδομένων να προσεγγίζουν και να επιβάλλουν κυρώσεις σε ξένες εταιρείες. Άλλες χώρες ακολούθησαν το παράδειγμά τους και άρχισαν να απαιτούν τον ορισμό τοπικών αντιπροσώπων για παρόμοιους λόγους, συμπεριλαμβανομένης της Ρωσίας, της Ταϊλάνδης και της Τουρκίας.

Ο ορισμένος εκπρόσωπος μπορεί να είναι φυσικό ή νομικό πρόσωπο και έχει σε μεγάλο βαθμό παθητικό ρόλο: ο εκπρόσωπος προσδιορίζεται στα ενημερωτικά σημειώματα, μπορεί να απευθύνεται στις εποπτικές αρχές και στα υποκείμενα των δεδομένων για όλα τα ζητήματα που σχετίζονται με την επεξεργασία δεδομένων και εκπροσωπεί την εταιρεία με έδρα εκτός ΕΕ όσον αφορά τις υποχρεώσεις που απορρέουν από τον ΓΚΠΔ. Όσον αφορά τα ενεργά καθήκοντα, ο εκπρόσωπος τηρεί αρχεία των δραστηριοτήτων επεξεργασίας για την εταιρεία με έδρα εκτός ΕΕ. Επίσης, ο εκπρόσωπος συνεργάζεται με τις αρχές προστασίας δεδομένων κατόπιν αιτήματος.

Οι πολυεθνικές θα πρέπει να εξετάσουν το ενδεχόμενο να συστήσουν μια πλήρως ελεγχόμενη θυγατρική σε ένα φιλικό προς τις επιχειρήσεις κράτος μέλος της ΕΕ, όπου διατηρούν περιφερειακά κεντρικά γραφεία, διακομιστές, προσωπικό επεξεργασίας δεδομένων και υπεύθυνο προστασίας δεδομένων που διορίζεται για όλες τις θυγατρικές τους που εδρεύουν στην ΕΕ. Δημιουργώντας ένα κέντρο βάρους όσον

Σελ. 14

αφορά τις δραστηριότητες επεξεργασίας και προστασίας δεδομένων, οι πολυεθνικές εταιρείες ενδέχεται να είναι σε θέση να καταστήσουν μία θυγατρική στην ΕΕ ως κύρια εγκατάσταση σε επίπεδο ομίλου για σκοπούς ΓΚΠΔ. Αυτό μπορεί να συμβάλει στο να υπαχθεί ο μεγαλύτερος όμιλος σε καθεστώς «one-stop-shop» και να θεσπιστεί η αποκλειστική δικαιοδοσία μιας ενιαίας αρχής προστασίας δεδομένων της ΕΕ στην πράξη, ακόμη και αν οι ισχύουσες νομοθετικές διατάξεις προβλέπουν ότι το προνόμιο του «one-stop-shop» ισχύει για μία μόνο οντότητα.

1.25

! Απαιτούμενες Ενέργειες

• Προσδιορίστε πού πρέπει να ορίσετε έναν υπεύθυνο προστασίας δεδομένων σύμφωνα με την τοπική νομοθεσία

• Εξετάστε το ενδεχόμενο εσωτερικών έναντι εξωτερικών υπεύθυνων προστασίας δεδομένων, με πεδίο εδαφικής ευθύνης εντός της χώρας ή σε περιφερειακό ή παγκόσμιο επίπεδο

• Προσδιορίστε πώς η εταιρεία σας μπορεί να επιτύχει και να διατηρήσει καλύτερα τη συμμόρφωση σε δικαιοδοσίες όπου δεν είστε νομικά υποχρεωμένοι να διορίσετε υπεύθυνο προστασίας δεδομένων και εάν η εταιρεία σας θα επωφεληθεί από τον εθελοντικό διορισμό ενός Υπεύθυνου Ιδιωτικότητας και τοπικών συνεργατών. Εάν ναι, καθορίστε με ιδιαίτερη προσοχή την περιγραφή της θέσης εργασίας, την εξουσία και τα καθήκοντά και αναλογιστείτε τις σχέσεις με παρόμοιες ή αλληλεπικαλυπτόμενες λειτουργίες, όπως οι εταιρικοί νομικοί σύμβουλοι, και οι διευθυντές ασφάλειας πληροφοριών, ανθρώπινου δυναμικού και μάρκετινγκ.

Προετοιμασία λίστας εργασιών

1.26 Μόλις θέσετε κάποιον επικεφαλή, είναι καιρός να προετοιμάσετε μια λίστα εργασιών και να παρακολουθείτε την πορεία υλοποίησης και τις σχετικές προτεραιότητες. Η δημιουργία και η παρακολούθηση τέτοιων λιστών βοηθούν στην ιεράρχηση προτεραιοτήτων, στον προγραμματισμό (προϋπολογισμοί, επιτεύγματα), στη διαχείριση πολύπλοκων καταστάσεων (π.χ. συμμετοχή πολλών δικαιοδοσιών και διαφορετικών τύπων βάσεων δεδομένων) και στη μετάβαση των projects από τον έναν εργαζόμενο σε άλλο. Σε μια λίστα εργασιών, μπορείτε να παρακολουθείτε τις τυπικές απαιτήσεις συμμόρφωσης (π.χ. ειδοποιήσεις, αρχειοθετήσεις, διορισμός υπεύθυνου ιδιωτικότητας, συμβάσεις μεταφοράς δεδομένων) και ουσιαστικά καθήκοντα (π.χ. εφαρμογή ελέγχων πρόσβασης, ανάπτυξη τεχνολογιών κρυπτογράφησης, αντικατάσταση προμηθευτών).

1.27 Για παράδειγμα, μια εταιρεία των Η.Π.Α. που έχει συστήσει μερικές ξένες θυγατρικές μπορεί να έχει τα ακόλουθα στοιχεία στην αρχική λίστα εργασιών της - ίσως

Σελ. 15

συμπληρωμένα με στήλες για την κατάσταση, τα στοιχεία δράσης και τα υπεύθυνα πρόσωπα:

Πράξη συμμόρφωσης με τη νομοθεσία περί ιδιωτικότητας των δεδομένων		Σκοπός
1.	Καθρισμός ρόλου και προετοιμασία εγγράφων διορισμού για τον παγκόσμιο υπεύθυνο ιδιωτικότητας. διορισμός τοπικών υπευθύνων προστασίας δεδομένων όπου απαιτείται, π.χ. για την γερμανική θυγατρική	Διαχείριση κινδύνων, εκπλήρωση υποχρεώσεων συμμόρφωσης
2.	Αξιολογήστε πού απαιτούνται κυβερνητικές γνωστοποιήσεις (κοινοποιήσεις, αιτήσεις για εγκρίσεις), προετοιμάστε και υποβάλετε αυτές	Εκπλήρωση τοπικών υποχρεώσεων συμμόρφωσης
3.	Απογραφή βάσεων δεδομένων και ροών δεδομένων	Συγκέντρωση γεγονότων για ειδοποιήσεις, συμφωνίες, γνωστοποίησεις. Πλήρωση των απαιτήσεων τήρησης αρχείων
4.	Προετοιμασία και εφαρμογή ενδοομιλικών συμβάσεων μεταφοράς δεδομένων βάσει Τυποποιημένων Συμβατικών Ρητρών της ΕΕ και άλλων μέτρων για τη νομιμοποίηση των διεθνών διαβιβάσεων δεδομένων	Ξεπεράστε τους νομικούς περιορισμούς στις διεθνείς διαβιβάσεις δεδομένων
5.	Έλεγχος, αναθεώρηση και μετάφραση των πολιτικών και ειδοποιήσεων ιδιωτικότητας που απευθύνονται σε καταναλωτές και μεμονωμένους εκπροσώπους εταιρικών πελατών και επιχειρηματικών συνεργατών. Προσδιορίστε τον βέλτιστο τρόπο απόκτησης και καταγραφής της συγκατάθεσης	Εκπλήρωση των απαιτήσεων ειδοποίησης και συγκατάθεσης
6.	Έλεγχος ή προετοιμασία ειδοποιήσεων που απευθύνονται σε εργαζόμενους σχετικά με την επεξεργασία δεδομένων εργαζομένων, συμπεριλαμβανομένων: • Παγκόσμιο Πληροφοριακό Σύστημα Ανθρωπίνου Δυναμικού (HRIS) • Εργαλεία παρακολούθησης και έρευνες • Τηλεφωνική γραμμή πληροφοριοδοτών δημοσίου συμφέροντος («whistleblower») • Μισθοδοσία, παροχές, δικαιώματα προαίρεσης μετοχών	Ικανοποιήστε τις απαιτήσεις ειδοποίησης
7.	Αναθεώρηση ή προετοιμασία τυποποιημένων προτύπων για όρους κοινοποίησης ή επεξεργασίας δεδομένων σε συμβάσεις με επιχειρηματικούς συνεργάτες, όπως προμηθευτές, πελάτες, μεσάζοντες (μεταπωλητές, αντιπρόσωποι πωλήσεων για διαφημιστικές υπηρεσίες) και συνδεδεμένες εταιρείες, συμπεριλαμβανομένων • Υπόδειγμα συμβάσεων διαβίβασης δεδομένων (ενδοομιλικές και με τρίτους) και ενδοομιλικών πολιτικών • Συμφωνίες επεξεργασίας δεδομένων και πρωτόκολλα ενσωμάτωσης νέων εργαζομένων	Ικανοποιήστε τις νομικές απαιτήσεις σχετικά με: συμφωνίες επεξεργασίας δεδομένων, προστατεύστε τα δεδομένα ως περιουσιακό στοιχείο, μετριάστε τους κινδύνους από μη εξουσιοδοτημένη αποκάλυψη
8.	Επανεξέταση ή ανάπτυξη εσωτερικών πρωτοκόλλων και διαδικασιών σχετικά με την πρόσβαση σε δεδομένα, τη διατήρηση δεδομένων, την ασφάλεια πληροφοριών, την αντιμετώπιση περιστατικών και την ανταπόκριση σε αιτήματα αποκάλυψης από αρχές επιβολής του νόμου, ρυθμιστικές αρχές, ιδιώτες διαδίκους	Εκπλήρωση υποχρεώσεων συμμόρφωσης. Προστασία της ιδιωτικής ζωής των καταναλωτών/εργαζομένων
9.	Εφαρμογή παγκόσμιων πρωτοκόλλων ή πρωτοκόλλων για συγκεκριμένες δικαιοδοσίες για διαδικασίες opt-in/opt-out και ειδοποιήσεις παραβίασης ασφάλειας δεδομένων	Εκπλήρωση τοπικών υποχρεώσεων συμμόρφωσης
10.	Διεξαγωγή εκπαίδευσης και ελέγχων	Διαχείριση κινδύνων, εκπλήρωση υποχρεώσεων συμμόρφωσης
11.	Επανεξέταση τεχνικών και οργανωτικών μέτρων ασφάλειας δεδομένων εσωτερικά και με εξωτερικούς επιχειρηματικούς συνεργάτες	Διαχείριση κινδύνων

Σελ. 16

1.28 Για να καθορίσετε την λίστα εργασιών για την εταιρεία σας, πρέπει να καθορίσετε ποια δεδομένα κατέχετε, ποιοι νόμοι ισχύουν, τι απαιτούν οι νόμοι και πώς η εταιρεία σας μπορεί να ικανοποιήσει καλύτερα τις απαιτήσεις (σε περιπτώσεις όπου ο νόμος σάς δίνει επιλογές ή όπου οι περιορισμένοι πόροι επιβάλλουν ιεράρχηση προτεραιοτήτων). Θα μπορούσατε να προετοιμάσετε μια λίστα εργασιών για την εταιρεία σας καθώς διαβάζετε το υπόλοιπο του Οδηγού, όπου παρουσιάζονται για πρώτη φορά τυπικές απαιτήσεις και εργασίες.

Σελ. 17

1.29 Η εύρεση και ανάλυση όλων των ισχυόντων νόμων και απαιτήσεων μπορεί να μοιάζει με σισύφειο έργο εάν εργάζεστε για έναν μεγάλο οργανισμό ή οποιαδήποτε επιχείρηση με διεθνή παρουσία: μέχρι να πραγματοποιήσετε μια απογραφή των υφιστάμενων βάσεων δεδομένων, των μοτίβων χρήσης, των ροών διαβίβασης και των ισχυόντων νόμων, η εταιρεία έχει πιθανώς αντικαταστήσει μερικά συστήματα, αποκτήσει και αποσχιστεί από επιχειρήσεις, εισέλθει σε νέες δικαιοδοσίες και βρει νέες ευκαιρίες για την εμπορευματοποίηση των δεδομένων, ενώ παράλληλα έχουν θεσπιστεί αρκετοί νέοι νόμοι περί ιδιωτικότητας των δεδομένων.

1.30 Δεδομένου του γρήγορου ρυθμού με τον οποίο κινούνται οι νόμοι περί ιδιωτικότητας των δεδομένων και η τεχνολογία πληροφοριών, είναι συνήθως πιο αποτελεσματικό να σχεδιαστεί και να εφαρμοστεί το πρόγραμμα συμμόρφωσης με τη νομοθεσία περί ιδιωτικότητας των δεδομένων σε φάσεις και με παράλληλους άξονες εργασίας:

• Εστίαση πρώτα στις απαιτήσεις υψηλού κινδύνου και στα εύκολα ζητήματα τόσο στη φάση σχεδιασμού όσο και στη φάση υλοποίησης

• Ξεκινήστε με την υλοποίηση εργασιών υψηλής προτεραιότητας, ενώ παράλληλα θα εξακολουθείτε να βελτιώνετε το σχεδιασμό του προγράμματος

• Συντάξτε μια λίστα γνωστών απαιτήσεων συμμόρφωσης που ο οργανισμός σας, οι ομόβαθμοι και ανταγωνιστές σας προσπαθούν ήδη να ικανοποιήσουν ή που επιβάλλονται ενεργά

• Όταν εντοπίζετε κενά συμμόρφωσης σε τομείς υψηλού κινδύνου, αναλάβετε δράση αμέσως. Μετά από αυτό, προσθέστε εργασίες στη λίστα και στρέψτε την προσοχή σας στην ιεράρχηση προτεραιοτήτων.

Οι εταιρείες που ξεκινούν προσπαθώντας να αναπτύξουν έναν πλήρη κατάλογο των εφαρμοστέων νομικών απαιτήσεων συχνά βρίσκουν την πρόκληση συντριπτική και παραλύουν. Σε τέτοιες περιπτώσεις, «το τέλειο» μπορεί να γίνει εχθρός του «καλού».

Καθώς προετοιμάζετε τη λίστα εργασιών σας, θα πρέπει να:

1.31 Κάνετε απογραφή των δεδομένων σας. Αρχικά, εξετάστε ποια προσωπικά δεδομένα χρησιμοποιεί η επιχείρησή σας. Κατ’ ελάχιστον, θα πρέπει να ετοιμάσετε μια σύντομη περίληψη με βασικές πληροφορίες σχετικά με τις βασικές βάσεις δεδομένων σας, συμπεριλαμβανομένων των κατηγοριών δεδομένων (δηλ. πεδία δεδομένων που συγκεντρώνετε), των πρωταρχικών σκοπών (π.χ. HRIS, διαχείριση πελατειακών σχέσεων (CRM), του διακομιστή ανταλλαγής ηλεκτρονικού ταχυδρομείου), της γεωγραφικής θέσης των διακομιστών και τα δικαιώματα πρόσβασης σε αυτούς (π.Χ., εργαζόμενοι, τμήματα και τρίτοι προμηθευτές). Εάν δραστηριοποιήστε διε-

Σελ. 18

θνώς , θα πρέπει επίσης να γνωρίζετε τα ονόματα, τιςδιευθύνσεις και προσωπικό όλων των νομικών οντοτήτων και υποκαταστημάτων σας.

1.32 Εάν εργάζεστε για μια μικρή ή μεσαία επιχείρηση, δεν θα σας πάρει περισσότερο από μερικές ώρες για να προετοιμάσετε μια τέτοια αρχική περίληψη: μπορείτε να απευθυνθείτε στο τμήμα IT, να ανοίξετε τις διάφορες διεπαφές λογισμικού για τις βάσεις δεδομένων και να αντιγράψετε βασικές πληροφορίες από στιγμιότυπα οθόνης. Tο νομικό τμήμα θα πρέπει να έχει κατάλογο θυγατρικών και το τμήμα ανθρώπινου δυναμικού θα πρέπει να γνωρίζει τον αριθμό των εργαζομένων. Αυτό αρκεί για να ξεκινήσετε.

1.33 Αρχεία δραστηριοτήτων επεξεργασίας (ΑΔΕ). Εάν η εταιρεία σας υπόκειται στον ΓΚΠΔ, πρέπει να διατηρείτε πιο επίσημα και λεπτομερή αρχεία των δραστηριοτήτων επεξεργασίας δεδομένων, όπως:

• τα ονόματα και τα στοιχεία επικοινωνίας της εταιρείας ή των εταιρειών σας, των εκπροσώπων τους στον ΕΟΧ και του υπευθύνου προστασίας δεδομένων τους, εάν υπάρχει

• τους σκοπούς της επεξεργασίας δεδομένων

• τις κατηγορίες δεδομένων και τα υποκείμενα των δεδομένων

• τις κατηγορίες αποδεκτών στους οποίους γνωστοποιείτε δεδομένα, συμπεριλαμβανομένων των εκτελούντων την επεξεργασία (και των πελατών, εάν η εταιρεία σας ενεργεί ως εκτελών την επεξεργασία) και των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς

• τις διεθνείς διαβιβάσεις και καταγραφή των κατάλληλων διασφαλίσεων που εφαρμόζονται, συμπεριλαμβανομένου του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού·

• τις προθεσμίες διαγραφής

• μία γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας.

Εάν η εταιρεία σας υπόκειται στον ΝΙΚΚ, πρέπει να δημοσιεύσετε λεπτομερείς καταλόγους πληροφοριών που η εταιρεία σας αποκάλυψε ή πώλησε τους προηγούμενους 12 μήνες, εφαρμόζοντας τις κατηγορίες και την ορολογία που προβλέπονται από τον νόμο.

1.34 Οι μεγαλύτερες εταιρείες διεξάγουν μερικές φορές πιο περίπλοκες αξιολογήσεις και ελέγχους βάσεων δεδομένων και ροών δεδομένων, συχνά με τη βοήθεια – και μερικές φορές με πρωτοβουλία – εξωτερικών συμβούλων. Αυτό μπορεί να είναι επωφελές και ακόμη και απαραίτητο για να αποκτήσετε μια στέρεη κατανόηση σχετικά με την κατάσταση της συμμόρφωσης με τη νομοθεσία περί ιδιωτικότητας των δεδομένων σε πολύπλοκους πολυεθνικούς οργανισμούς. Ωστόσο, τέτοιες ενέρ-

Σελ. 19

γειες μπορούν επίσης να διαρκέσουν πολύ, να χρησιμοποιήσουν πολλούς πόρους και να παράγουν πορίσματα με συντριπτικές λεπτομέρειες που δεν οδηγούν άμεσα στη βελτίωση της κατάστασης συμμόρφωσης του οργανισμού. Εξετάστε το ενδεχόμενο να ξεκινήσετε με μία απογραφή υψηλού επιπέδου, εκτός εάν είστε αρκετά σίγουροι ότι η εταιρεία σας έχει περάσει την αρχική φάση συμμόρφωσης και μπορείτε να ανταπεξέλθετε σε μια πλήρη άσκηση χαρτογράφησης ροής δεδομένων. Επιλέξτε εργαλεία για την άσκηση χαρτογράφησης δεδομένων που παράγουν εκθέσεις που μπορείτε να χρησιμοποιήσετε αποτελεσματικά για τον σκοπό για τον οποίο προορίζονται. Μπορεί να βρείτε διαφορετικές φόρμες ή εργαλεία χρήσιμα για τη δημιουργία επίσημων ΑΔΕ προκειμένου να συμμορφωθείτε με τον ΓΚΠΔ, καθώς και απογραφές δεδομένων που σας επιτρέπουν να εντοπίζετε, να ταξινομείτε, να διατηρείτε και να διαγράφετε δεδομένα για άλλους σκοπούς συμμόρφωσης ή λειτουργικούς σκοπούς.

1.35 Καθορίστε τους στόχους και τις προτεραιότητές σας. Οι εταιρείες έχουν διαφορετικούς στόχους όσον αφορά τη συμμόρφωση με τη νομοθεσία περί δεδομένων και ιδιωτικότητας. Ορισμένες εταιρείες αναλογίζονται τη συμμόρφωση με τη νομοθεσία περί ιδιωτικότητας των δεδομένων ως άλλη μία έννομη υποχρέωση: θέλουν να προβούν μόνο σε όσες ενέργειες απαιτούνται από το νόμο (ή σε όσες ακολουθούνται συνήθως στον κλάδο και το τμήμα της αγοράς τους). Άλλες εταιρείες – ιδίως εταιρείες με προϊόντα ή υπηρεσίες πληροφορικής – θεωρούν την ιδιωτικότητα των δεδομένων ως δυνητικό ανταγωνιστικό παράγοντα διαφοροποίησης. Κατά συνέπεια, θέλουν να κάνουν ό, τι αναμένουν ή επιθυμούν οι πελάτες τους, και ίσως σε μεγαλύτερο βαθμό από τους ανταγωνιστές τους.

Επίσης, όσον αφορά συγκεκριμένες πτυχές της επεξεργασίας δεδομένων και της συμμόρφωσης, οι στόχοι ποικίλλουν. Για παράδειγμα, ορισμένες εταιρείες εξαρτώνται σε μεγάλο βαθμό από το άμεσο μάρκετινγκ και μπορεί να θέλουν να συλλέγουν και να χρησιμοποιούν προσωπικά δεδομένα στο μέγιστο βαθμό σε κάθε δικαιοδοσία, ανεξάρτητα από το κόστος, ενώ άλλες εταιρείες θα ήταν ικανοποιημένες να βρουν και να συμμορφωθούν με το αυστηρότερο νομοθετικό καθεστώς παγκοσμίως και να εφαρμόσουν ένα ομοιόμορφο πρωτόκολλο συμμόρφωσης προς όφελος της τυποποίησης και της εξοικονόμησης κόστους. Είναι σημαντικό να καθοριστούν και να γνωστοποιηθούν αποτελεσματικά αυτοί οι στόχοι στους εργαζομένους, προκειμένου να διασφαλιστεί ότι καθορίζονται οι κατάλληλες προτεραιότητες.

1.36 Βρείτε την καλύτερη προσέγγιση για την εταιρεία σας. Με βάση μια αρχική αξιολόγηση των εφαρμοστέων υποχρεώσεών και των στόχων σας, μπορείτε να επιλέξετε μια προσέγγιση που ταιριάζει στον οργανισμό και την κατάστασή σας:

1.37 • Προληπτική ή αντιδραστική; Είναι συνήθως λιγότερο επικίνδυνο, ευκολότερο και φθηνότερο να λάβετε προληπτικά μέτρα για να αποφύγετε ένα πρόβλημα

Σελ. 20

από το να αντιμετωπίσετε μια αγωγή, έρευνα ή αρνητική εκστρατεία τύπου. Ταυτόχρονα, μόνο μερικά από όλα τα πιθανά προβλήματα συντρέχουν ποτέ. Εάν ο περιορισμός του κόστους αποτελεί βασική κινητήρια δύναμη και ο οργανισμός σας θεωρεί τη συμμόρφωση με το δίκαιο ιδιωτικότητας ως άλλη μια νομική υποχρέωση, μπορείτε να εξετάσετε μια ανάλυση κινδύνου-οφέλους και τον κανόνα 80–20 (Αρχή Pareto). Ένα σχετικά μικρότερο ποσοστό δυνητικών προβλημάτων (ίσως 20% σε ορισμένες περιπτώσεις) ευθύνεται για τη συντριπτική πλειονότητα των δυσμενών επιπτώσεων (ίσως 80% σε ορισμένες περιπτώσεις – αλλά αυτό αποτελεί απλώς μια εκτίμηση). Αντίθετα, οι εταιρείες μπορούν να καλύψουν ίσως το 80% των προβλημάτων τους με το 20% του προϋπολογισμού που θα χρειαζόταν για την αντιμετώπιση όλων των προβλημάτων. Για να αντιμετωπίσει το υπόλοιπο 20% των προβλημάτων, τα οποία μπορεί να μην είναι καν τα πιο σοβαρά προβλήματα, η εταιρεία θα πρέπει να δαπανήσει το 80% του συνολικού δυνητικού προϋπολογισμού. Με βάση αυτή την οπτική, οι εταιρείες προσπαθούν πρώτα να βρουν και να διορθώσουν είτε τα προβλήματα που είναι πιο πιθανό να οδηγήσουν σε σημαντικά ζητήματα είτε τα προβλήματα που απαιτούν τη λιγότερη προσπάθεια και πόρους για να διορθωθούν.

1.38 • Ορισμένα προβλήματα (π.χ. παρωχημένες δηλώσεις ιδιωτικότητας ιστότοπων) είναι ευκολότερο και φθηνότερο να διορθωθούν από άλλα προβλήματα (π.χ. έλλειψη προϋπολογισμού για τεχνολογία κρυπτογράφησης ή ανάγκη αντικατάστασης ενός παλαιού συστήματος που δεν επιτρέπει διαφοροποιημένους ελέγχους πρόσβασης στα δεδομένα). Οι εταιρείες με προϋπολογισμό μπορεί να είναι απλούστερο να ξεκινήσουν με «εύκολα ζητήματα». Οι περισσότερες εταιρείες μπορούν να αξιολογήσουν γρήγορα τι κάνουν οι κύριοι ανταγωνιστές τους, εξετάζοντας τις δηλώσεις ιδιωτικότητας των ισοτόπων τους τους και τις ειδοποιήσεις επεξεργασίας, καθορίζοντας εάν απαιτούνται συγκεκριμένα μέτρα από το νόμο και, στη συνέχεια, ακολουθώντας το παράδειγμά τους με βάση την προγενέστερη πρακτική. Αυτή η προσέγγιση σε καμία περίπτωση δεν εγγυάται την πλήρη συμμόρφωση, αλλά μπορεί να βοηθήσει μια εταιρεία να φτάσει σε ένα πρότυπο που ακολουθείται στην αγορά σχετικά γρήγορα και με περιορισμένους πόρους.

1.39 • Εάν η εταιρεία σας είναι ή θέλει να γίνει ηγέτης του κλάδου, πρέπει να εξετάσετε το ενδεχόμενο μίας πιο ολοκληρωμένης αξιολόγησης των εννόμων υποχρεώσεων και των επιχειρηματικών αναγκών. Μπορείτε να κάνετε δημοσκόπηση σε ενδιαφερόμενους από διάφορα τμήματα (συμπεριλαμβανομένων νομικών, HR, IT, πωλήσεων, διαχείρισης προϊόντων και προμηθειών) για να προετοιμάσετε μια λίστα με συγκεκριμένες προτεραιότητες για την εταιρεία, να εγγραφείτε σε περιοδικά νομικού και εμπορικού χαρακτήρα καθώς και συνέδρια για να αποκτήσετε μια ευρύτερη εικόνα του τοπίου συμμόρφωσης, να ακολουθήσετε οδηγίες από κυβερνητικές αρχές, ενδεχομένως ακόμη και να ζητήσετε προληπτικά καθοδήγηση από τις αρχές και να επιτηρείτε περιπτώσεις αναγκαστικής εκτέλεσης ή δικαστικών διαμαχών.