Ανάλυση Συμμόρφωσης GDPR

Συνολική Εκτίμηση Κινδύνου και επίπεδο συμμόρφωσης

/ /

Υπολογίστε την Εκτίμηση Αντικτύπου Προστασίας Δεδομένων (DPIA).

Νομική / Κανονιστική Συμμόρφωση
Τεχνική Συμμόρφωση
Επιχειρησιακή Συμμόρφωση
Συμμόρφωση Προστασίας Πληροφοριών
Συμμόρφωση Λειτουργιών / Διαδικασιών
Συμμόρφωση Semantics

Γρήγορα Ερωτήματα για το GDPR

/ /

Βασικές πληροφορίες σε λίγα λεπτά

Οι νέοι κανονισμοί GDPR ισχύουν για όλες τις εταιρείες παγκοσμίως που επεξεργάζονται τα προσωπικά δεδομένα των πολιτών της ΕΕ. Δεν χρειάζεται να είστε εγκατεστημένος στην ΕΕ για να το εφαρμόσετε. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα περιλαμβάνει:

• Προηγούμενα και τρέχοντα στοιχεία των εργαζομένων ή εργολάβοι, προμηθευτές, καταναλωτές και πελάτες..

• Μητρώο μισθοδοσίας και συνταξιοδοτικών εγγραφών, καθώς και σε μονοπωλιακούς και προσωπικούς συνεργάτες

• Οποιαδήποτε ομάδα έχει κατάλογο μελών, π.χ. αθλητικά σωματεία, εκκλησίες, κοινωνίες

• Ιστότοποι και εφαρμογές που παρακολουθούν ψηφιακές δραστηριότητες αποθηκεύοντας διευθύνσεις IP ή / και cookies.

• Ιστότοποι ηλεκτρονικού εμπορίου που αποθηκεύουν στοιχεία πελατών.

• Οι μικρές επιχειρήσεις με λιγότερους από 250 εργαζόμενους δεν εξαιρούνται εάν: "η επεξεργασία που πραγματοποιεί ενδέχεται να έχει ως αποτέλεσμα τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων [...] ] ή προσωπικά δεδομένα σχετικά με ποινικές καταδίκες και αξιόποινες πράξεις ".

Ο GDPR της ΕΕ απαιτεί από τις επιχειρήσεις να διατηρούν τα προσωπικά τους δεδομένα ασφαλή, όπως ακριβώς ορίζει και η ισχύουσα οδηγία. Παρόλο που η υποχρέωση αυτή εκφράζεται γενικά, παρέχει ορισμένες ενδείξεις σχετικά με τα μέτρα που αποσκοπούν στην προστασία προσωπικών δεδομένων, όπως:

-κρυπτογράφηση και ψευδονυμοποίηση

-την εξασφάλιση και διατήρηση της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ανθεκτικότητας των συστημάτων πληροφορικής

-της δυνατότητα αποκατάστασης της διαθεσιμότητας και πρόσβασης σε δεδομένα προσωπικού χαρακτήρα εγκαίρως

-βοηθώντας τακτικά και δοκιμάζοντας την αποτελεσματικότητα των μέτρων ασφαλείας που εφαρμόζονται για την προστασία των δεδομένων

Τα προαναφερθέντα μέτρα είναι απλά παραδείγματα - όχι υποχρεωτικά - και θα πρέπει να εφαρμόζονται μόνο "όπου ενδείκνυται". Επομένως, είναι ευθύνη της εταιρείας να αποδείξει ότι τα μέτρα ασφαλείας είναι κατάλληλα. Μια καλή πρακτική όσον αφορά τα μέτρα ασφαλείας θα ήταν το πρότυπο ISO 27001, έτσι οι εταιρείες θα μπορούσαν να το χρησιμοποιήσουν ως σημείο εκκίνησης κατά την οικοδόμηση των μέτρων προστασίας των δεδομένων τους.

Σύμφωνα με ανακοίνωση του ΙΣΑ, ένα απλό ιδιωτικό ιατρείο που τηρεί ηλεκτρονικό αρχείο ασθενών, για να συμμορφωθεί με το γενικό κανονισμό προστασίας δεδομένων (GDPR) οφείλει να :

1. Να τηρεί Αρχείο Επεξεργασίας για τα ευαίσθητα δεδομένα υγείας των ασθενών του.

2. Να διαθέτει έντυπο ενημέρωσης και να λαμβάνει συναίνεση των ασθενών του εάν πρόκειται να κάνει χρήση δεδομένων και για άλλους σκοπούς πέραν της τήρησης ιατρικού αρχείου: Εάν τα προσωπικά δεδομένα των ασθενών πρόκειται να χρησιμοποιηθούν και για άλλους σκοπούς (π.χ. αποστολή μηνύματος για υπενθύμιση επανελέγχου, τηλεφωνική κλήση για ραντεβού, χρήση στοιχείων για κλινική έρευνα, παροχή στοιχείων ασθενών σε τρίτους για άλλους σκοπούς), τότε ο ιατρός οφείλει:

α) να ενημερώσει με σαφήνεια τον ασθενή για την περαιτέρω χρήση των δεδομένων του και για το σκοπό αυτής και

β) να μην προχωρήσει στην περαιτέρω χρήση τους αν δεν λάβει τη συναίνεση του ασθενούς για κάθε σκοπό ξεχωριστά.

3. Να αναγνωρίζει και να σέβεται δικαιώματα των Ασθενών:

3.1. Ο ασθενής, αναφορικά με τα προσωπικά του δεδομένα, έχει τα εξής δικαιώματα

α) Δικαίωμα πρόσβασης στα δεδομένα του: Το δικαίωμα να γνωρίζει αν τα δεδομένα του υφίστανται επεξεργασία, πώς και για ποιο σκοπό.

β) Δικαίωμα διόρθωσης των δεδομένων του: Το δικαίωμα να ζητήσει διόρθωση των προσωπικών του δεδομένων αν αυτά είναι ανακριβή ή ελλιπή.

γ) Δικαίωμα διαγραφής των δεδομένων του: Το δικαίωμα να ζητήσει διαγραφή ή κατάργηση των προσωπικών του δεδομένων υπό ορισμένες προϋποθέσεις. Προσοχή: Εάν ο ασθενής ζητήσει διαγραφή των δεδομένων του κατά την περίοδο που ο ιατρός έχει νόμιμη υποχρέωση να τηρεί αρχείο (10ετία από την τελευταία επίσκεψη), ο ιατρός οφείλει να απαντήσει ότι δεν μπορεί να τα διαγράψει λόγω της νόμιμης υποχρέωσης διατήρησής τους στο αρχείο.

δ) Δικαίωμα περιορισμού της επεξεργασίας των δεδομένων του: Το δικαίωμα να ζητάει τον περιορισμό της επεξεργασίας των προσωπικών του δεδομένων όταν συντρέχουν ορισμένες προϋποθέσεις.

ε) Δικαίωμα στη φορητότητα των δεδομένων του: Το δικαίωμα του ασθενή να ζητήσει να αποσταλούν τα στοιχεία του σε τρίτο (π.χ. άλλο γιατρό).

3.2 Όταν ένας ασθενής υποβάλλει ένα αίτημα ασκώντας κάποιο από τα παραπάνω δικαιώματα, ο ιατρός οφείλει να απαντήσει εντός 1 μηνός είτε ικανοποιώντας το δικαίωμα (π.χ. δίνοντας στον ασθενή αντίγραφο του ιατρικού φακέλου) είτε απορρίπτοντας αιτιολογημένα το αίτημα (π.χ. αρνούμενος αίτημα διαγραφής, λόγω του ότι ο νόμος υποχρεώνει τον ιατρό να το διατηρήσει για 10 χρόνια) είτε εξηγώντας τους λόγους καθυστέρησης. Σε περίπτωση καθυστέρησης οφείλει πάντως να απαντήσει θετικά ή αρνητικά εντός 3 μηνών από το αίτημα.

4. Να εφαρμόζει τεχνικά μέτρα ασφαλείας:

-Να χρησιμοποιεί ισχυρό - δύσκολο password (π.χ. όχι «1234») για την είσοδο στα συστήματα και στις εφαρμογές και ανά τακτά χρονικά διαστήματα αλλαγή τους.

-Απενεργοποίηση λειτουργίας μέσων αποθήκευσης (π.χ. USB) όπου αυτή δεν χρειάζεται (π.χ. PC γραμματείας).

-Χρήση μοντέρνων λειτουργικών συστημάτων υπολογιστή και συνεχόμενη ενημέρωσή τους.

-Χρήση λογισμικού προστασίας από κακόβουλο λογισμικό (antivirus).

-Ενεργοποίηση Τείχους Προστασίας (Firewall) στον υπολογιστή.

-Αποφυγή χρήσης λογισμικού ελεύθερης χρήσης (free download).

-Αποφυγή χρήσης και παραχώρησης προνομιακών δικαιωμάτων πρόσβασης στον απλό χρήστη (δικαιώματα Local Administrator).

-Λήψη αντιγράφων ασφάλειας σε τακτά χρονικά διαστήματα.

-Αποφυγή χρήσης ελευθέρων e-mail, π.χ. Yahoo, για αποστολή και λήψη ευαίσθητων δεδομένων, π.χ. ιατρικών εξετάσεων.

-Κρυπτογράφηση τοπικού δίσκου υπολογιστή μέσω του λειτουργικού συστήματος.

-Κρυπτογράφηση εξωτερικών μονάδων αποθήκευσης (π.χ. εξωτερικός σκληρός δίσκος, USB κ.ο.κ.).

* ΠΡΟΣΟΧΗ: Τα παραπάνω είναι οι ελάχιστες υποχρεώσεις κάθε απλού ιατρείου. Σας συμβουλεύουμε να εξετάσετε τα ανωτέρω ως ενδεικτικά μέτρα, καθώς και να λάβετε υπ’ όψιν ότι έχει μεγάλη σημασία και η σωστή εφαρμογή τους. Ενδεικτικά, η χρήση ισχυρού password αποτελεί ενδεδειγμένο μέτρο, αλλά εάν το password δεν φυλάσσεται σωστά και βρίσκεται σημειωμένο δίπλα στον υπολογιστή ή σε σημείο εύκολα προσβάσιμο, δεν προσφέρει κάποια πρόσθετη εξασφάλιση. Σε κάθε περίπτωση, επισημαίνεται ότι τα παραπάνω αφορούν αλλαγές που φέρνει ο νέος Κανονισμός στους ιατρούς που ούτως ή άλλως δεσμεύονται από τον Κώδικα Ιατρικής Δεοντολογίας να διασφαλίζουν το ιατρικό απόρρητο και να προστατεύουν τα στοιχεία των ασθενών τους.

Η τήρηση ιατρικού αρχείου με τα στοιχεία του ασθενή που ορίζει το άρθρο 14 του Κώδικα Ιατρικής Δεοντολογίας είναι υποχρέωση κάθε ιατρού και πρέπει να τηρείται για 10 έτη από την τελευταία επίσκεψη του ασθενούς στα ιδιωτικά ιατρεία και για 20 έτη στις υπόλοιπες περιπτώσεις. Επομένως, δεν αποτελεί επιλογή για τους ιατρούς η μη τήρηση προσωπικών δεδομένων ασθενών.

Εάν οι συνεργάτες σας είναι άλλοι ιατροί, δεσμεύονται από το νόμο για την τήρηση του ιατρικού απορρήτου, επομένως αυτή η δέσμευση ισχύει ακόμη και εάν δεν υπογράψουν κάποιο κείμενο που τους δεσμεύει ειδικά. Εργαζόμενοί σας, όπως γραμματείς, που δεν δεσμεύονται από το ιατρικό απόρρητο από το νόμο, θα πρέπει στη σύμβασή τους ή/και σε χωριστό έγγραφο εάν δεν θέλετε να παρέμβετε σε υπάρχουσα σύμβαση να αναλάβουν την «υποχρέωση να τηρούν την εμπιστευτικότητα των δεδομένων των ασθενών και να συμμορφώνονται με το πλαίσιο που διέπει την προστασία προσωπικών δεδομένων». Το κείμενο αυτό μπορεί να εμπλουτίζεται κατά περίπτωση με ειδικότερες προβλέψεις (π.χ. εάν έχετε καταγράψει βασικούς κανόνες ασφάλειας για τη χρήση ηλεκτρονικού υπολογιστή, να αναφέρετε στη σύμβαση/δήλωση ότι θα τηρούν πάντοτε αυτούς τους κανόνες).

Όλα τα δεδομένα σχετικά με πρόσωπα στην ΕΕ καλύπτονται από το GDPR. Αυτό περιλαμβάνει τόσο τους επισκέπτες όσο και τους υπαλλήλους. Τα ξενοδοχεία πρέπει να τεκμηριώσουν τα προσωπικά δεδομένα που κατέχουν, από πού προέρχονται και με τα οποία μοιράζονται. Τα ξενοδοχεία μπορεί να χρειαστεί να οργανώσουν έναν έλεγχο πληροφοριών.

"Προσωπικά δεδομένα" είναι οποιαδήποτε δεδομένα σχετικά με ένα αναγνωρίσιμο πρόσωπο. Ένα άτομο μπορεί να ταυτιστεί με το όνομα, τον αριθμό τηλεφώνου, τη διεύθυνση ηλεκτρονικού ταχυδρομείου, τον αριθμό κράτησης, τη διεύθυνση IP ή οποιαδήποτε πληροφορία που τους επιτρέπει να αναγνωρίζονται με μοναδικό τρόπο.

Το GDPR παρέχει επιπλέον προστασία για "ευαίσθητα δεδομένα". Περιλαμβάνει προσωπικά δεδομένα που αποκαλύπτουν οποιοδήποτε από τα ακόλουθα:

α) βιομετρικά στοιχεία με σκοπό τον μοναδικό εντοπισμό κάποιου, όπως το αποτύπωμα που αποθηκεύεται για το άνοιγμα των θυρών

β) συνδικαλιστική ταυτότητα

γ) ιατρικό προφίλ που μπορεί να αποκαλυφθεί στα αιτήματα των επισκεπτών

δ) η σεξουαλική ζωή ή ο σεξουαλικός προσανατολισμός, τα οποία μπορεί επίσης να αποκαλυφθούν σε ορισμένα αιτήματα επισκεπτών

Τα παρακάτω είναι λιγότερο πιθανό να παρουσιαστούν στα ξενοδοχειακά συστήματα, αλλά θα πρέπει ακόμα να θεωρούνται ευαίσθητα σε περίπτωση εμφάνισης:

- γενετικά δεδομένα

- φυλετική ή εθνοτική καταγωγή

- πολιτικές απόψεις

- θρησκευτικές ή φιλοσοφικές πεποιθήσεις

Όλοι οι παραπάνω τύποι ευαίσθητων δεδομένων μπορούν να αντιμετωπιστούν μόνο με ρητή συγκατάθεση. Εάν αυτό το είδος δεδομένων συλλεχθεί παρεμπιπτόντως, πρέπει να αφαιρεθεί αμέσως, προκειμένου να αποφευχθεί η ανάληψη νέων υποχρεώσεων για την προστασία αυτών των δεδομένων.

Θα πρέπει να αναθεωρήσετε τις τρέχουσες ειδοποιήσεις απορρήτου και να θέσετε σε εφαρμογή ένα σχέδιο για την πραγματοποίηση των απαραίτητων αλλαγών εγκαίρως για την υλοποίηση του GDPR. Θα πρέπει να ελέγξετε τον τρόπο με τον οποίο αναζητάτε, καταγράφετε και διαχειρίζεστε τη συγκατάθεσή σας και εάν πρέπει να κάνετε οποιεσδήποτε αλλαγές. Ανανεώστε τις υπάρχουσες συστάσεις τώρα αν δεν πληρούν το πρότυπο GDPR.

Οι ξενοδόχοι μπορεί να χρειαστεί να μιλούν με τους πελάτες κατά το check-in εάν απαιτείται ρητή συγκατάθεση για οποιεσδήποτε μορφές συλλογής δεδομένων που το απαιτούν, όπως η συγκατάθεση στις επικοινωνίες μάρκετινγκ. Όλα τα προγράμματα πίστης πρέπει να εξεταστούν για παρόμοιες απαιτήσεις εάν τα δεδομένα χρησιμοποιούνται με τρόπο που απαιτεί συγκατάθεση.

Θα πρέπει να ορίσετε κάποιον να αναλάβει την ευθύνη για τη συμμόρφωση με την προστασία δεδομένων και να αξιολογήσει πού θα διαδραματίσει αυτός ο ρόλος στο πλαίσιο της δομής και της διακυβέρνησης του οργανισμού σας, ακόμη και αν δεν απαιτείται τυπικά να έχετε έναν ΥΠΔ. Θα πρέπει να εξετάσετε εάν πρέπει να ορίσετε επισήμως έναν υπεύθυνο προστασίας δεδομένων και αυτός ο προσδιορισμός εξαρτάται από τον όγκο και την ευαισθησία των πληροφοριών. Σε επίπεδο αλυσίδας και μεγάλου ομίλου, ο ΥΠΔ είναι σχεδόν βέβαιο ότι απαιτείται, αλλά για μεμονωμένα ξενοδοχεία, ο νόμος δεν είναι ακόμη σαφής και θα πρέπει να ζητήσετε οδηγίες από τον τοπικό σύμβουλό σας για το κατά πόσον απαιτείται.

Στις επιχειρήσεις μπορεί να επιβληθούν πρόστιμα ύψους μέχρι 4% του ετήσιου παγκόσμιου κύκλου εργασιών ή 24,6 εκατομμυρίων δολαρίων (20 εκατομμύρια ευρώ), όποιο από τα δύο είναι υψηλότερο λόγω μη συμμόρφωσης με τους κανόνες GDPR.

Ο ΒασικόςΈλεγχος είναι διαθέσιμος για εσάς

Η Βασική Λίστα Ελέγχου συμμόρφωσης GDPR καλύπτει βασικές ερωτήσεις αξιολόγησης για εύκολη και άμεση αξιολόγηση και ανάλυση των πιθανών κενών βάση του κανονισμού GDPR. Ανακαλύψτε σε λίγα λεπτά, κατά πόσο συμμορφώνεται η επιχείρησή σας με τον κανονισμό GDPR. Με βάση τα άρθρα και τις αιτιολογικές σκέψεις του κανονισμού, καθώς και τα έγγραφα καθοδήγησης και τις γνωμοδοτήσεις της ομάδας εργασίας του ICO και του άρθρου 29, η λίστα ελέγχου GDPR για την προστασία δεδομένων είναι ένα διεξοδικό εργαλείο αξιολόγησης GDPR με χαρακτηριστικά φιλτραρίσματος για εύκολη επιλογή και αναφορά κενών και μη συμμορφούμενων περιοχές. Αποκτήστε ΔΩΡΕΑΝ το ΤΕΣΤ ΕΛΕΓΧΟΥ και μάθετε γρήγορα και εύκολα, σε τι βαθμό η επιχείρησή σας συμμορφώνεται με τον GDPR

Εκτεταμένος Ελέγχος Συμμόρφωσης σε λίγα μόλις λεπτά

Η εκτεταμένη λίστα ελέγχου συμμόρφωσης GDPR στο Excel & Word καλύπτει 130 ερωτήσεις αξιολόγησης (με περισσότερες από 230 απαιτήσεις) και παρέχει Άρθρα και Αναφορές για χαρτογράφηση απαιτήσεων, καθώς και φίλτρα κριτηρίων αξιολόγησης για ανάλυση και βελτιώσεις κενών βάση του κανονιμσού GDPR. Η λίστα ελέγχου συμμόρφωσης GDPR συμβάλλει σύμφωνα με τον Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR), ο οποίος τέθηκε σε ισχύ στις 25 Μαΐου 2018, επιβάλλοντας αυστηρότερους ελέγχους και μέτρα για την προστασία των προσωπικών δεδομένων και των δικαιωμάτων των ατόμων. Η εκτενής λίστα ελέγχου συμμόρφωσης GDPR περιλαμβάνεται σε μορφές Excel και Word, πάνω από 130 ερωτήσεις αξιολόγησης (που ικανοποιούν πάνω από 230 απαιτήσεις) και παρέχει τη δυνατότητα αξιολόγησης, ελέγχου και απόδειξης της συμμόρφωσή σας και δέσμευσης συμμόρφωσης με τα πρότυπα και τις αρχές του GDPR.

Επιλέξτε την Ανάλυση Συμμόρφωσης που επιθυμείτε και διασφαλίστε την επιχείρησή σας

/ /

Ανάλυση -> Διαχείρηση -> Προστασία -> Αναφορά

Δωρεάν Ανάλυση

ΔΩΡΕΑΝ

  • Φόρμες Αυτοαξιολόγησης
  • Άμεσα Αποτελέσματα
ΔΩΡΕΑΝ

Ολοκληρωμένη Ανάλυση

€45

  • Φόρμες Αυτοαξιολόγησης
  • Άμεσα Αποτελέσματα
  • Κάλυψη όλων των 6 περιοχών Συμμόρφωσης
  • Αναλυτική Αναφορά
  • Προτάσεις Συμμόρφωσης
Επικοινωνία

Σύστημα GDPR

€230

  • Βιβλιοθήκη πολιτικών και διαδικασιών
  • Πρότυπα Δείγματα
  • Αναφορές ελέγχου
  • Καταχώρηση Διαδικασιών
  • Οδηγοί και εργαλεία περιήγησης
  • Καταχώρηση δεδομένων
  • Εγγραφές Μεταφοράς Δεδομένων και παραβιάσεων δεδομένων
Ενημερωθείτε