Ως επιχείρηση, θα πρέπει να βεβαιωθείτε ότι οι υπεύθυνοι λήψης αποφάσεων και οι βασικοί άνθρωποι στη δική σας επιχείρηση γνωρίζουν ότι ο νόμος Ε.Ε. 2016/679 είναι σε ισχύ και έχει αλλάξει τον τρόπο αντιμετώπισης της χρήσης των προσωπικών δεδομένων. Οι υπεύθυνοι λήψης αποφάσεων χρειάζεται να εκτιμήσουν τον αντίκτυπο που είναι πιθανό να έχει η λήψη μιας απόφασης και οι ενέργειες που αυτή συνεπάγεται.

Πρέπει να προσδιοριστούν οι τομείς που θα μπορούσαν να προκαλέσουν προβλήματα συμμόρφωσης στο πλαίσιο του GDPR.
Θα ήταν χρήσιμο να ξεκινήσετε εξετάζοντας το μητρώο κινδύνων της επιχείρησής σας, αν έχετε ένα.

Η εφαρμογή του GDPR θα έχει σημαντικές επιπτώσεις στους πόρους της επιχείρησής σας, ειδικά για μεγαλύτερες και πιο σύνθετες επιχειρήσεις (νομικά πρόσωπα) και θα πρέπει να είστε έτοιμοι να αντιμετωπίσετε αυτή την πρόκληση. Μπορεί να βρείτε δυσκολία εάν αφήσετε αυτό το πρώτο βήμα για αργότερα.

Θα πρέπει να τεκμηριώσετε ποια προσωπικά δεδομένα διατηρείτε, από πού προήλθαν και με τους οποίους τα μοιράζεστε.

Μπορεί να χρειαστεί να οργανώσετε μια διαδικασία ελέγχου πληροφοριών σε ολόκληρη την επιχείρηση ή σε συγκεκριμένους επιχειρηματικούς τομείς.
Το GDPR απαιτεί να διατηρείτε αρχεία των δραστηριοτήτων επεξεργασίας σας και αλλάζει τον τρόπο της επικοινωνίας με τους συναλλασσόμενους της επιχείρησης, αναβαθμίζοντας τα δικαιώματα των ατόμων σε ένα δικτυωμένο κόσμο.

Για παράδειγμα, αν έχετε ανακριβή προσωπικά δεδομένα και τα μοιραστείτε με έναν άλλο οργανισμό, (π.χ. μια ασφαλιστική εταιρεία, το ταμείο ασφάλισης των εργαζομένων κ.α.) θα πρέπει να αναφέρετε την ανακρίβεια, έτσι ώστε να μπορεί η άλλη επιχείρηση να διορθώσει τα δικά της αρχεία.

Πρέπει να το τεκμηριώσετε. Κάνοντας το αυτό, θα σας βοηθήσει επίσης να συμμορφωθείτε με την αρχή της λογοδοσίας του GDPR, η οποία απαιτεί από τους οργανισμούς να είναι σε θέση να δείξουν πώς συμμορφώνονται με τις αρχές προστασίας δεδομένων, εφαρμόζοντας αποτελεσματικές πολιτικές και διαδικασίες.

Η οδηγία παρέχει έναν ευρύτερο ορισμό των προσωπικών και ευαίσθητων δεδομένων. Περιλαμβάνει ηλεκτρονικά αναγνωριστικά στοιχεία (cookies & διευθύνσεις IP), γενετικά και βιομετρικά δεδομένα καθώς και δεδομένα υγείας.

Θα πρέπει να αναθεωρήσετε τις τρέχουσες ειδοποιήσεις απορρήτου και να θέσετε σε εφαρμογή ένα σχέδιο κάνοντας οποιεσδήποτε αλλαγές για την υλοποίηση του GDPR.

Όταν συλλέγετε προσωπικά δεδομένα, πρέπει να δώσετε στους ανθρώπους συγκεκριμένες πληροφορίες, όπως η ταυτότητά σας και πώς σκοπεύετε να χρησιμοποιήσετε τις δικές τους πληροφορίες. Αυτό γίνεται συνήθως μέσω της κοινοποίησης της πολιτικής απορρήτου της επιχείρησης.

Σύμφωνα με το GDPR υπάρχουν μερικά επιπλέον πράγματα που θα πρέπει να πείτε στους ανθρώπους.

Για παράδειγμα, θα πρέπει να εξηγήσετε τη νόμιμη βάση σας για την επεξεργασία των δεδομένων, τις περιόδους αποθήκευσης των δεδομένων και ότι τα άτομα έχουν δικαίωμα να εναντιωθούν υποβάλλοντας αίτημα διαμαρτυρίας στην εποπτική αρχή, εάν πιστεύουν ότι υπάρχει κάποιο πρόβλημα με τον τρόπο που χειρίζεστε τα προσωπικά τους δεδομένα.

Το GDPR απαιτεί την παροχή των πληροφοριών με απλό, συνοπτικό, εύκολα κατανοητό τρόπο και σαφή γλώσσα.

Θα πρέπει να ελέγξετε τις διαδικασίες σας για να βεβαιωθείτε ότι καλύπτουν όλα τα δικαιώματα των ατόμων, συμπεριλαμβανομένου του τρόπου με τον οποίο θα διαγράψετε τα προσωπικά δεδομένα ή θα τα παράσχετε ηλεκτρονικά και σε μορφή που χρησιμοποιείται συνήθως.
Το GDPR περιλαμβάνει τα ακόλουθα δικαιώματα για τους ιδιώτες:

• Το δικαίωμα ενημέρωσης
• Το δικαίωμα πρόσβασης
• Το δικαίωμα για διόρθωση
• Το δικαίωμα διαγραφής
• Το δικαίωμα περιορισμού της επεξεργασίας
• Το δικαίωμα στη φορητότητα δεδομένων
• Το δικαίωμα ένστασης και
• Το δικαίωμα να μην υπόκεινται σε αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της δημιουργίας προφίλ.

Σε γενικές γραμμές, τα δικαιώματα που τα άτομα θα απολαμβάνουν κάτω από το GDPR είναι τα ίδια με εκείνα της DPA, αλλά με κάποιες σημαντικές βελτιώσεις.

Αν ήδη έχετε καταγεγραμμένες διαδικασίες, τότε η μετάβαση στο GDPR πρέπει να είναι σχετικά εύκολη.

Αυτή είναι μια καλή στιγμή να ελέγξετε τις υπάρχουσες διαδικασίες και να εξετάσετε αν η επιχείρησή σας είναι σε θέση να υποστηρίξει ένα αίτημα διαγραφής των προσωπικών δεδομένων ενός πελάτη.

Τα συστήματά σας θα σας βοηθήσουν να εντοπίστε και να διαγράψτε τα δεδομένα;
Ποιος θα πάρει τις αποφάσεις σχετικά με τη διαγραφή;

Το δικαίωμα στη φορητότητα είναι νέο και ισχύει μόνο:

1. σε προσωπικά δεδομένα που έχουν παρασχεθεί απ’ ευθείας σε εσάς ως «Υπεύθυνο επεξεργασίας,
2.  όπου η επεξεργασία βασίζεται στη συγκατάθεση του ατόμου ή στη σύναψη μιας σύμβασης και
3. όταν η επεξεργασία πραγματοποιείται με αυτοματοποιημένα μέσα.

Θα πρέπει να εξετάσετε αν πρέπει να αναθεωρήσετε τις διαδικασίες σας και να πραγματοποιήστε οποιεσδήποτε αλλαγές.

Θα χρειαστεί να παραδώσετε τα προσωπικά δεδομένα του ατόμου που ασκεί το δικαίωμα της φορητότητας, σε μία κοινά δομημένη μορφή, η οποία να μπορεί να χρησιμοποιηθεί και αναγνωστεί από ηλεκτρονικούς υπολογιστές. Αυτές οι πληροφορίες πρέπει να παρέχονται δωρεάν.

Θα πρέπει να ενημερώσετε τις διαδικασίες σας και να σχεδιάσετε πώς θα χειριστείτε τα αιτήματα των ατόμων που συναλλάσσονται με την επιχείρησή σας, ώστε να ληφθούν υπόψη οι νέοι κανόνες:

• Στις περισσότερες περιπτώσεις δεν θα μπορείτε να χρεώνετε τις υπηρεσίες για τη συμμόρφωση σας με τον κανονισμό ή για ένα αίτημα άσκησης του δικαιώματος του ατόμου.
  • Έχετε ένα μήνα για να συμμορφωθείτε, αντί για τις 40 ημέρες του προηγούμενου κανονισμού.
• Μπορείτε να απορρίψετε ή να χρεώσετε τις υπηρεσίες σας σε αιτήματα τα οποία είναι προδήλως αβάσιμα ή υπερβολικά.
  • Εάν αρνηθείτε την απάντηση σε οποιοδήποτε αίτημα, θα πρέπει να ενημερώσετε το άτομο για τον λόγο της άρνησής σας καθώς και να ενημερώσετε γραπτά ότι έχουν το δικαίωμα να υποβάλλουν καταγγελία στην εποπτική αρχή προστασίας προσωπικών δεδομένων υπό την δικαιοδοσία της οποίας υπάγεται η επιχείρησή σας ή να ασκήσουν ένδικα μέσα
    • Θα πρέπει να παρέσχετε κάθε πληροφορία για το πώς μπορούν να απευθυνθούν στην εποπτική αρχή και θα πρέπει να το κάνετε αυτό χωρίς αδικαιολόγητη καθυστέρηση, το αργότερο, μέσα σε ένα μήνα

Εάν η επιχείρησή σας κληθεί να χειριστεί μεγάλο αριθμό αιτήσεων πρόσβασης, σκεφτείτε τις υλικοτεχνικές συνέπειες της ταχύτερης αντιμετώπισης των αιτημάτων.

Θα μπορούσατε να εξετάσετε εάν είναι εφικτό ή επιθυμητό να αναπτύξετε συστήματα που επιτρέπουν στα άτομα να έχουν εύκολη πρόσβαση στις πληροφορίες τους.

Θα πρέπει να προσδιορίσετε τη νόμιμη βάση για τη δραστηριότητα επεξεργασίας των προσωπικών δεδομένων σύμφωνα με το GDPR, να τεκμηριώσετε και να επικαιροποιήσετε την πολιτική απορρήτου σας για την προστασία της ιδιωτικής ζωής.

Πολλές επιχειρήσεις δεν έχουν σκεφτεί τη νόμιμη βάση τους για την επεξεργασία των προσωπικών δεδομένων. Σύμφωνα με τον προηγούμενο κανονισμό αυτό δεν είχε πρακτικές επιπτώσεις. Ωστόσο, ο καθορισμός της νόμιμης βάσης είναι ζήτημα ουσιαστικής σημασίας στο πλαίσιο του GDPR επειδή ορισμένα δικαιώματα των ατόμων θα τροποποιηθούν ανάλογα με τη δική σας νομική βάση για την επεξεργασία των προσωπικών τους δεδομένων. Το πιο προφανές παράδειγμα είναι ότι οι άνθρωποι θα έχουν μεγαλύτερο δικαίωμα να διαγράψουν τα δεδομένα τους, τα οποία χρησιμοποιεί η επιχείρησή σας, όταν έχετε ορίσει τη “συναίνεση” ως νόμιμη βάση για την επεξεργασία των δεδομένων.

Θα πρέπει επίσης να εξηγήσετε τη νόμιμη βάση στην πολιτική σας περί απορρήτου καθώς και σε κάθε απάντηση που δίνετε όταν απαντάτε σε μια αίτηση ενός συναλλασσομένου.

Οι νόμιμες βάσεις στο GDPR είναι σε γενικές γραμμές οι ίδιες με τις συνθήκες επεξεργασίας στον προηγούμενο κανονισμό. Θα πρέπει να είναι δυνατή η αναθεώρηση του τύπου δραστηριοτήτων επεξεργασίας που πραγματοποιείτε και να προσδιορίσετε το νόμιμο λόγο αυτής της επεξεργασίας. Θα πρέπει να τεκμηριώσετε τις νόμιμες βάσεις σας με στόχο τη συμμόρφωση στις απαιτήσεις της «υποχρέωσης λογοδοσίας» του GDPR.

Θα πρέπει να ελέγξετε τον τρόπο που αναζητάτε, καταγράφετε και διαχειρίζεστε τη συγκατάθεση ενός ατόμου και αν πρέπει να κάνετε αλλαγές στις υπάρχουσες διαδικασίες. Θα πρέπει να ανανεώσετε τις υπάρχουσες συγκαταθέσεις άμεσα εάν δεν πληρούν το πρότυπο του GDPR.

Η συγκατάθεση πρέπει να παρέχεται ελεύθερα, να είναι συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη. Εκεί πρέπει να είναι ένα θετικό «ΣΥΜΦΩΝΩ»

Η συναίνεση δεν μπορεί να συναχθεί από τη σιωπή, κουτιά προτιμήσεων (checkboxes) ή να συνάγεται χωρίς την ενεργή συμμετοχή του χρήστη.

Πρέπει επίσης να είναι ξεχωριστή από άλλους όρους και συνθήκες, και θα χρειαστεί να έχετε απλούς τρόπους ώστε ο καθένας να μπορεί να αποσύρει τη συναίνεση του ανά πάσα στιγμή. Οι εργοδότες θα πρέπει να λάβουν ιδιαίτερη προσοχή. Η συγκατάθεση πρέπει να είναι επαληθεύσιμη και τα άτομα γενικά έχουν περισσότερα δικαιώματα όταν βασίζεστε στη συναίνεση για τη επεξεργασία των προσωπικών δεδομένων.

Θα πρέπει να αρχίσετε να σκέφτεστε αν πρέπει να βάλετε συστήματα για την επαλήθευση των ηλικιών των ατόμων και για την απόκτηση της συγκατάθεσης των γονέων ή κηδεμόνων για οποιαδήποτε δραστηριότητα επεξεργασίας δεδομένων προσώπων κάτω των 16 ετών.

Για πρώτη φορά, το GDPR θα προσφέρει ειδική προστασία για τους ανηλίκους, ιδίως στο πλαίσιο εμπορικών υπηρεσιών διαδικτύου και την κοινωνική δικτύωση.

Εάν η επιχείρησή σας προσφέρει υπηρεσίες online («Υπηρεσίες της κοινωνίας της πληροφορίας») σε ανήλικους και βασίζεται στη συναίνεση για τη συλλογή των πληροφοριών, τότε θα χρειαστείτε τη συγκατάθεση του γονέα ή κηδεμόνα για τη νόμιμη επεξεργασία των προσωπικών τους δεδομένων.

Να θυμάστε ότι η συναίνεση πρέπει να είναι επαληθεύσιμη και ότι κατά τη συλλογή των δεδομένων ανηλίκων η πολιτική απορρήτου πρέπει να είναι γραμμένη σε γλώσσα που οι ανήλικοι θα κατανοήσουν.

Θα πρέπει να βεβαιωθείτε ότι έχετε τις σωστές διαδικασίες για να ανιχνεύσετε, να αναφέρετε και να διερευνήσετε την παραβίαση προσωπικών δεδομένων.
Το GDPR εισάγει την υποχρεωτική αναφορά παραβίασης προσωπικών δεδομένων στην εποπτική αρχή εντός 72 ωρών.

Η υποχρέωση ισχύει για δεδομένα των οποίων η παραβίαση είναι πιθανό να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων.

Για παράδειγμα, θα μπορούσε να έχει ως αποτέλεσμα την διάκριση του ατόμου, τη βλάβη της φήμης, οικονομική ζημία, απώλεια εμπιστευτικότητας ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα. Όταν μια παραβίαση είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων, θα πρέπει επίσης να ενημερώσετε άμεσα τους ενδιαφερομένους στις περισσότερες περιπτώσεις.

Θα πρέπει να τεθούν σε εφαρμογή διαδικασίες για την αποτελεσματική ανίχνευση, αναφορά και διερεύνηση παραβίασης προσωπικών δεδομένων.
Πρέπει να γίνει αξιολόγηση του τύπου των δεδομένων που συλλέγονται και τεκμηριώνονται ώστε, σε περίπτωση παραβίασης, να είναι εύκολη η ενημέρωση της εποπτικής αρχής αλλά κυρίως όλων των ενδιαφερομένων σε σοβαρές περιπτώσεις.

Θα πρέπει να αναπτυχθούν πολιτικές και διαδικασίες διαχείρισης παραβίασης δεδομένων. Η παράλειψη αναφοράς μιας παραβίασης, όταν απαιτείται, θα μπορούσε να επιφέρει επιπλέον πρόστιμο επιπλέον του προστίμου για την παραβίαση.

Το GDPR καθιστά την πρακτική υιοθέτησης μιας προσέγγισης απορρήτου από το σχεδιασμό ρητή νομική απαίτηση, με τον όρο «προστασία δεδομένων κατά τον σχεδιασμό και εξ ορισμού».

Προστασία δεδομένων κατά τον σχεδιασμό («Data protection by design»)

Ο Κανονισμός επιβάλλει την εφαρμογή προϊόντων και υπηρεσιών (ηλεκτρονικών και μη) που κατά τον αρχικό σχεδιασμό τους δημιουργούν φιλικές συνθήκες για την προστασία των δεδομένων σας. Για παράδειγμα, στις υπηρεσίες ηλεκτρονικής κοινωνικής δικτύωσης πρέπει να δίνεται η δυνατότητα να επιλέγονται ρυθμίσεις που θα προστατεύουν περισσότερο τα προσωπικά δεδομένα.

Προστασία δεδομένων εξ ορισμού («Data protection by default»)

Ο Κανονισμός επιβάλλει την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων που να διασφαλίζουν ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα που είναι απαραίτητα για τον σκοπό της επεξεργασίας.

Το άρθρο 35 του κανονισμού εισάγει την έννοια της εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ).
Η εκτίμηση αντικτύπου είναι μια διαδικασία που έχει σχεδιαστεί για να περιγράψει την επεξεργασία, να αξιολογήσει την αναγκαιότητα και να συνδράμει στη διαχείριση των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που συνεπάγεται η επεξεργασία, με την αξιολόγησή τους και τον καθορισμό μέτρων για την αντιμετώπισή τους.

Η ΕΑΠΔ αποτελεί σημαντικό εργαλείο για την πλήρωση της υποχρέωσης λογοδοσίας, καθώς παρέχει συνδρομή στους υπεύθυνους επεξεργασίας όχι μόνον προκειμένου να συμμορφώνονται με τις προδιαγραφές του κανονισμού, αλλά και για να αποδεικνύουν ότι έχουν ληφθεί τα ενδεδειγμένα μέτρα για τη διασφάλιση της συμμόρφωσης προς τον κανονισμό. Με άλλα λόγια, η ΕΑΠΔ είναι μια διαδικασία εμπέδωσης και απόδειξης της συμμόρφωσης.

Μια ΕΑΠΔ απαιτείται σε καταστάσεις όπου ενδέχεται να προκύψει υψηλός κίνδυνος για τα άτομα κατά την επεξεργασία των προσωπικών τους δεδομένων.

Για παράδειγμα:

• Όταν πρόκειται να τεθεί σε χρήση μια νέα τεχνολογία
• Όταν μια ενέργεια είναι πιθανό να επηρεάσει σημαντικά μια λειτουργία δημιουργίας προφίλ
• Όταν υπάρχει επεξεργασία σε μεγάλη κλίμακα των ειδικών κατηγοριών δεδομένων

Όταν είναι αναγκαία η διεξαγωγή μιας DPIA θα πρέπει να απαντηθούν ερωτήματα όπως:
Ποιος θα το κάνει; Ποιος άλλος πρέπει να εμπλακεί; Η διαδικασία θα διεξαχθεί κεντρικά ή τοπικά;

Πρέπει να επισημανθεί ότι για τη διαχείριση των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, απαιτείται η εξακρίβωση, ανάλυση, εκτίμηση, αξιολόγηση, αντιμετώπιση (λ.χ. μετριασμός...) των κινδύνων και η τακτική τους επανεξέταση.

Οι υπεύθυνοι επεξεργασίας δεν μπορούν να απεκδύονται την αρμοδιότητά τους μέσω της κάλυψης των κινδύνων με ασφαλιστικές συμβάσεις.

Θα πρέπει να ορίσετε κάποιον να αναλάβει την ευθύνη για την προστασία των δεδομένων και τη συμμόρφωση της επιχείρησης με το GDPR.

Θα πρέπει να αξιολογήσετε τον ρόλο που θα αναλάβει αυτό το άτομο στην δομή της επιχείρησής σας και σε ποιον θα αναφέρεται σχετικά με την πολιτική της εταιρικής σας διακυβέρνησης

Θα πρέπει να εξετάσετε αν πρέπει να ορίσετε επισήμως έναν «Υπεύθυνο Προστασίας Δεδομένων» (Data Protection Officer (DPO))

Είναι πολύ σημαντικό ότι κάποιος στον οργανισμό σας, ή ένας εξωτερικός σύμβουλος προστασίας δεδομένων, φέρει την κατάλληλη ευθύνη για την προστασία των προσωπικών δεδομένων, ιδιαίτερα για ευαίσθητα προσωπικά δεδομένα, καθώς και τη συμμόρφωση σας στον κανονισμό.

Ο «Υπεύθυνος Προστασίας Δεδομένων» θα πρέπει να έχει τη γνώση, την υποστήριξη της επιχείρησης και να του δοθεί η εξουσία να αναλάβει αποτελεσματικά τον ρόλο του.

Εάν η επιχείρησή σας λειτουργεί σε περισσότερα από ένα κράτη μέλη της ΕΕ, θα πρέπει να ορίσετε την εποπτική αρχή προστασίας δεδομένων όπου υπάγεστε και να το καταγράψετε στην πολιτική απορρήτου σας.

Η κυρίαρχη αρχή είναι η εποπτική αρχή στο κράτος όπου υπάγεται η έδρα σας.
Η έδρα της εταιρείας είναι η τοποθεσία της κεντρική διοίκησης και σε αυτήν λαμβάνονται αποφάσεις σχετικά με τους σκοπούς και τα μέσα επεξεργασίας.