ΥΠΔ (DPO)

Υπεύθυνος Προστασίας Δεδομένων

Η προσαρμογή στο Γενικό Κανονισμό Προστασίας Δεδομένων, και στους εφαρμοστικούς νόμους που θα ψηφιστούν μέσα στο 2019, είναι μια διαδικασία πολυεπίπεδη. Η επιτυχία της απαιτεί χρόνο και συνέπεια προκειμένου να επιτευχθεί από τον έκαστο Φορέα η «εύλογη» συμμόρφωσή του με τον Κανονισμό και τους εφαρμοστικούς νόμους που πρόκειται να ψηφιστούν.

Με στόχο την επίτευξη του επιθυμητού επίπεδου συμμόρφωσης η εταιρεία Computer Studio A.E. έχει εκπονήσει μια αναλυτική μέθοδο συμμόρφωσης, η οποία και προσαρμόζεται κάθε φορά στις ιδιαίτερες ανάγκες του εκάστοτε Φορέα. Από τη θέση του Υπεύθυνου Προστασίας Δεδομένων  (ΥΠΔ), η Computer Studio Α.Ε. δεσμεύεται να κατευθύνει τους Φορείς με τρόπο που να εγγυάται τη σύννομη και ασφαλή συλλογή, επεξεργασία και αποθήκευση των Δεδομένων Προσωπικού Χαρακτήρα.

Αναλυτικότερα, η προσέγγιση που ακολουθείται από την Computer Studio Α.Ε. για την επιτυχία της διαδικασίας συμμόρφωσης των Φορέων περιλαμβάνει :


Α. Εκπαίδευση και επανεκπαίδευση των εργαζομένων του Φορέα.

Πολύ σημαντικό κομμάτι για τον Κανονισμό, αποτελεί η ευαισθητοποίηση των συμβαλλόμενων αναφορικά με τον τρόπο συλλογής και επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα. Η εκπαίδευση που προσφέρει η Computer Studio Α.Ε. στοχεύει στην ενημέρωση των εργαζόμενων για τις επιταγές του Κανονισμού, και την βελτιστοποίηση του τρόπου συλλογής, επεξεργασίας, και αποθήκευσης των δεδομένων προσωπικού χαρακτήρα που υπάρχουν και διακινούνται με ευθύνη του Φορέα. Υπάρχει μέριμνα ώστε σε περίπτωση αλλαγής στο εσωτερικό του Φορέα (πχ. πρόσληψη νέου προσωπικού, απόλυση, αλλαγή θέσης κλπ.) να δημιουργηθεί το κατάλληλο πλαίσιο διαχείρισης των δεδομένων και εκπαίδευσης του εργαζομένου, σχετικά με τις νέες αρμοδιότητες και ευθύνες αναφορικά με τα Δεδομένα Προσωπικού Χαρακτήρα. Κατά τη διάρκεια της εκπαίδευσης και των λοιπών δράσεων ευαισθητοποίησης κρατείται παρουσιολόγιο, στο οποίο καταγράφονται τόσο οι εργαζόμενοι που παρακολούθησαν την δράση όσο και το αντικείμενο της.  Η δημιουργία ενός αρχείου εκπαιδεύσεων συνιστά απόδειξη συμμόρφωσης του Φορέα με την επιταγή του Κανονισμού για δράσεις εκπαίδευσης και ευαισθητοποίησης των εργαζομένων.


Β. Επικοινωνία και ενημέρωση Ομάδας Ασφαλείας του Φορέα σχετικά με νεότερες σχετικές απαιτήσεις.

Ο Γενικός Κανονισμός Προστασίας Δεδομένων είναι το πρώτο από πολλά μέτρα που προβλέπεται να ληφθούν για την προστασία της ατομικότητας και των ιδιωτικών ελευθεριών των ατόμων. Ήδη υπάρχει εκτεταμένη συζήτηση στα ανώτατα κλιμάκια της Ευρωπαϊκής Ένωσης για δύο νέες ρυθμίσεις, το e-privacy και το e-delivery, οι οποίες θα κληθούν να καλύψουν κενά που υπάρχουν στο υπάρχον νομικό πλαίσιο προστασίας των δεδομένων προσωπικού χαρακτήρα. Για το λόγο αυτό, η Computer Studio Α.Ε. επιδιώκει την συνεχή επικοινωνία και συνεργασία της Ομάδας Ασφαλείας του εκάστοτε Φορέα προκειμένου να εξασφαλίζει την έγκαιρη ενημέρωση και συμμόρφωση του Φορέα με τις όποιες ανακύπτουσες απαιτήσεις και την θωράκιση του έναντι νομικών ζητημάτων που ενδέχεται να προκύψουν σε περίπτωση περιστατικού ασφαλείας.


Γ. Εκπαίδευση/ Ενημέρωση σχετικά με ασφαλή χρήση του διαδικτύου και του ηλεκτρονικού ταχυδρομείου.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στις οδηγίες της τονίζει πως οι περισσότερες διαρροές και παραβιάσεις δεδομένων προσωπικού χαρακτήρα προέρχονται από ανθρώπινο λάθος. Ως τέτοιο λογίζεται η λάθος χρήση του διαδικτύου εκ μέρους των εργαζόμενων και η επίσκεψη κακόβουλων σελίδων που ενδέχεται να εγκαταστήσουν στους υπολογιστές λογισμικά τα οποία «τραβάνε» δεδομένα. Για την προστασία των Φορέων από τέτοιο ενδεχόμενο η Computer Studio Α.Ε. έχει δημιουργήσει εκπαιδευτικό υλικό που στοχεύει στην ενημέρωση μέσω παραδειγμάτων των εργαζόμενων για την ασφαλή και δέουσα λειτουργία του διαδικτύου και των υποδομών του Φορέα. Οι εργαζόμενοι μαθαίνουν να αναγνωρίζουν και να προστατεύονται από τέτοιες σελίδες, παραπλανητικά email και λογισμικό που θεωρείται επικίνδυνο για την ασφάλεια των πληροφοριών.


Δ. Τεχνογνωσία για αντιμετώπιση περιστατικών ασφαλείας.

Ο Γενικός Κανονισμός Προστασίας Δεδομένων εισάγει νέες παραμέτρους στοχεύοντας στην εξασφάλιση των δικαιωμάτων των Υποκειμένων αναφορικά με τα προσωπικού τους δεδομένα. Τα Υποκείμενα μπορούν να αιτηθούν προς τον εκάστοτε Φορέα την άσκηση κάποιου από τα δικαιώματά τους, καθώς και να προβούν σε καταγγελία του Φορέα εάν θεωρούν πως η επεξεργασία των δεδομένων προσωπικού χαρακτήρα δεν πραγματοποιείται με σύννομο τρόπο. Η Computer Studio Α.Ε. έχοντας σημαντική σχετική πείρα σε Δημόσιους και Ιδιωτικούς Οργανισμούς και Δήμους, διαθέτει την κατάλληλη εμπειρία και τεχνογνωσία (διαδικασία άμεσης απάντησης, φόρμα γνωστοποίησης περιστατικού, επικοινωνία με την ΑΠΔΠΧ, αναγνώριση νομικής βάσης της εκάστοτε διαδικασίας επεξεργασίας δεδομένων προσωπικού χαρακτήρα ) για να διαχειριστεί οποιοδήποτε περιστατικό προκύψει, σε συνεργασία, με το Νομικό τμήμα του Φορέα, αν αυτό υπάρχει.


Ε. Επικοινωνία με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) σε έναν Φορέα περιλαμβάνει την επικοινωνία με την ΑΠΔΠΧ. Η επικοινωνία αυτή αποτελείται από τρία σκέλη. Αρχικά, από τη συμπλήρωση των κατάλληλων εγγράφων για να γνωστοποιηθεί στην ΑΠΔΠΧ ότι ο Φορέας έχει ορίσει συγκεκριμένο πρόσωπο ως ΥΠΔ. Δεύτερον, σε περιπτώσεις όπου ο Φορέας βρίσκεται εκτεθειμένος και πρέπει να υπάρξει επικοινωνία με την Αρχή, για να βοηθήσει επικουρικά με προτάσεις στη συμμόρφωσή του, ενώ τρίτον όταν υπάρξει διαρροή ή παραβίαση δεδομένων και πρέπει να ενημερωθεί η Ανεξάρτητη Αρχή, ώστε να κάνει τους απαραίτητους ελέγχους και να λάβει την κατάλληλη ενημέρωση για τις συνθήκες κάτω από τις οποίες πραγματοποιήθηκε το περιστατικό. Η Computer Studio A.E. λαμβάνει υπόψιν όλες τις απαραίτητες προϋποθέσεις για το ρόλο του ΥΠΔ, και δημιουργεί ένα πλαίσιο επικοινωνίας με την ΑΠΔΠΧ το οποίο εγγυάται την ομαλή και ουσιαστική επικοινωνία του Φορέα με αυτήν.


ΣΤ. Τροποποίηση κειμένων συγκατάθεσης.

Η συγκατάθεση αποτελεί μια εκ των συνηθέστερων απαιτήσεων του Κανονισμού κατά τη συλλογή και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Ειδικά άρθρα του Κανονισμού ορίζουν τους τρόπους που αυτή είναι σύννομη, δημιουργώντας συγκεκριμένες προϋποθέσεις για το πως πρέπει οι Φορείς να την αιτούνται. Η Computer Studio A.E. έχοντας γνώση των ιδιαιτεροτήτων της λήψης συγκατάθεσης από τα Υποκείμενα, διασφαλίζει πως όλες οι διαδικασίες συλλογής και επεξεργασίας δεδομένων που στηρίζονται στη νομική βάση της συγκατάθεσης, συνοδεύονται από τα κατάλληλα κείμενα, τα οποία εξασφαλίζουν τη νομιμότητα της όλης διαδικασίας.


Ζ. Μηνιαίες επισκέψεις στους Φορείς για έλεγχο και παρακολούθηση της συμμόρφωσης με τον Κανονισμό.

Για να εξασφαλιστεί η «εύλογη» συμμόρφωση του Φορέα με τον Κανονισμό, η Computer Studio A.E. πραγματοποιεί τουλάχιστον μία φορά το μήνα (και περισσότερες αν χρειάζεται) επίσκεψη από τον ορισμένο από την εταιρεία Υπεύθυνο για την ασφάλεια των δεδομένων του Φορέα, ώστε να παρακολουθηθεί η πρόοδος που έχει σημειωθεί, να καταγραφούν πιθανές παραλήψεις και να δημιουργηθεί ένα πλάνο υλοποίησης συμμόρφωσης το οποίο θα πρέπει να ακολουθεί ο Φορέας, προκειμένου να επιτύχει τη συμμόρφωση με τον Κανονισμό σε εύλογο χρονικό διάστημα. Με τις επισκέψεις αυτές η Computer Studio A.E. επιτελεί τον ελεγκτικό ρόλο που επιβάλει ο Κανονισμός στους ΥΠΔ, κάτι το οποίο περιλαμβάνει ελέγχους και προτροπές για τον τρόπο που πρέπει να γίνεται η συλλογή και η επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τους εργαζομένους του Φορέα.


Η. Τριμηνιαία Έκθεση Προόδου.

Η διοίκηση κάθε φορέα θα πρέπει να παρακολουθεί και να μπορεί να παρουσιάσει τις τροποποιήσεις και βελτιώσεις που έχουν υιοθετηθεί κατά την διαδικασία συμμόρφωσής του φορέα με τον Κανονισμό. Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων επιτάσσει την κατάρτιση ενός συγκεκριμένου πλάνου συμμόρφωσης, και το οποίο θα περιλαμβάνει ειδικές απαιτήσεις για κάθε Φορέα. Ο οργανισμός καλείται να λάβει κάποιες οργανωτικές και τεχνικέ αποφάσεις, οι οποίες οφείλουν να πραγματοποιηθούν για να παρουσιαστεί η «εύλογη» συμμόρφωση, όπως αυτή ορίζεται από τον Κανονισμό. Σε αυτό το πλαίσιο,  η Computer Studio A.E. παραδίδει ανά τρεις μήνες, ως Υπεύθυνος Προστασίας Δεδομένων  (ΥΠΔ), μια έκθεση προόδου στον Φορέα, στην οποία περιέχονται 83 σημεία τα οποία η εταιρεία έχει ξεχωρίσει από τον Κανονισμό, σε συνδυασμό με τα ιδιαίτερα σημεία που έχουν παρατηρηθεί στον εκάστοτε Φορέα, ως απαραίτητα για τη συμμόρφωσή του με το ΓΚΠΔ. Βάσει της συγκεκριμένης έκθεσης προόδου,  περιγράφεται ο βαθμός συμμόρφωσης του Φορέα σε κάθε χρονικό σημείο, αλλά και οι τροποποιήσεις που πρέπει να υλοποιηθούν στο άμεσο μέλλον.


Θ. Διεξαγωγή Penetration Tests.

Η ΑΠΔΠΧ έχει ορίσει ως σημαντικό κομμάτι της συμμόρφωσης με τον Κανονισμό τον έλεγχο και την αξιολόγηση των οργανωτικών και τεχνικών συστημάτων ασφαλείας του εκάστοτε Φορέα. To penetration test ή ηθικό hacking όπως ονομάζεται στα ελληνικά, είναι η πρακτική της δοκιμής ενός συστήματος υπολογιστών, ενός δικτύου ή μιας εφαρμογής ιστού για την εύρεση ευπαθειών ασφαλείας που θα μπορούσε να εκμεταλλευτεί ένας εισβολέας (hacker). Η Computer Studio A.E., πιστοποιημένη για τη διεξαγωγή penetration test, προχωρά στον έλεγχο και την αξιολόγηση των συστημάτων ασφαλείας του εκάστοτε Φορέα. Η παράμετρος αυτή είναι πολύ σημαντική, καθότι ενδέχεται να αποκαλύψει κενά και ζητήματα ασφαλείας, και να οδηγήσει στην αποτροπή καταστάσεων οι οποίες ενέχουν κίνδυνο να προξενήσουν σημαντική ζημία στην επιχειρηματική συνέχεια των Φορέων. Το penetration test μπορεί να διαρκέσει από έναν (1) έως και τρεις (3) μήνες ανάλογα με το μέγεθος και την πολυπλοκότητα των συστημάτων ασφαλείας εκάστου Φορέα.


Θέλετε να δείτε περισσότερα

παραδείγματα της δουλειάς μας;

Για ποιον εργαστήκαμε;

Αλλαγή Μεγέθους
Αντίθεση