General Data Protection Regulation (GDPR)
Reform's guide to the European data protection rules
Overview of the new privacy laws and best practices
Since May 25th, 2018, the General Data Protection Regulation (GDPR) is into effect, opening a new era of data protection and privacy for everyone. While you've certainly heard and read a lot of information about GDPR, it can be difficult to understand exactly what it means for your business, in practical terms, and what you should do to be compliant with the new rules.
At Reform, we are committed to follow best practices in terms security and privacy. We strive to provide the same level of protection to all users and customers, without distinction on their location or citizenship. And we apply those best practices for all data, not just personal data.
Reform information systems SA
and its subsidiaries are compliant with GDPR.
A. What you need to know about GDPR
The best way to understand GDPR is to
Read the Official text
.
It's a bit long (99 articles over 88 pages), but quite readable for non-experts.
It is an EU Regulation, that aims to harmonize and modernize existing privacy legislation, such as the EU Data Privacy Directive that it replaces. It lays down rules for the protection of natural persons with regard to the processing of their personal data, and the free flow of personal data within Europe.
It is a Regulation, not a Directive, therefore applicable immediately in all EU member states, without requiring transposition into the domestic law of each country. EU countries have a limited margin of interpretation for the finer points, but fundamental rules will be the same for everyone, everywhere in EU.
GDPR also brings the legislation to the next millennium, taking into account social media, cloud computing, cybercrime and the major challenges that they cause in terms of personal data privacy and security.
GDPR is not a world-breaking new legislation, and it is fundamentally a good thing for citizens and businesses.
We want to emphasize that GDPR can be great for you and your customers. Complying to the GDPR may initially represent a lot of work, but there are upsides to the new rules:
- Increased trust from your customers and users
- Simplification: same rules are applied in all countries across EU
- Rationalization and centralization of your organizational processes
The purpose of GDPR is to give individuals more oversight on their personal data. If your company puts in place the correct strategies and systems, it will be easier to manage, more secure and safer for the years to come.
What are the risks if you aren't compliant?
The maximum penalty for non-compliance is an administrative fine of 20 million euros, or 4% of your global annual turnover, whichever is higher. A smaller maximum of 10 million euros or 2% of your global annual turnover is applicable for lesser infringements. These maximums are meant to be dissuasive for businesses of all sizes, but GDPR also requires the fines to be kept proportionate. Supervisory authorities (also known as Data Protection Authorities: DPAs) must take into account the circumstances of each case, including the nature, gravity, and duration of the infringement. These DPAs are also granted powers to investigate and impose corrective actions, which include the limitation of the infringing activities, without necessarily imposing a fine. Another risk if you do not comply is the loss of trust from your customers and prospects, who care about the way you process their data! Finally, many DPAs have hinted that they won't impose fines in 2018 yet, but they expect businesses to demonstrate that they are working towards compliance.
Key principles of GDPR
Scope
The regulation applies to any processing of personal data by any organization:
- If the controlling or processing organization is located in the EU
- If the organization is not located in the EU, but the processing involves personal data of data subjects located in the EU, and is related to commercial offerings or behaviour monitoring.
The scope therefore includes non-EU companies, which was not the case with older legislation.
Roles
The regulation distinguishes two main types of entities:
- Data controller: any entity who determines the purposes and means of the processing of personal data, alone or jointly. As a general rule, every organization is a controller for its own data.
- Data processor : any entity who processes data on behalf of a data controller.
For example, if your company owns a database hosted on the Reform Cloud, you are the controller for that database, and Reform SA is only a data processor. If you instead use Reform on premise, you are both controller and processor of the data.
Personal Data
GDPR gives a broad definition of personal data: any information relating to an identified or identifiable natural person. An identifiable person is one that can be identified, directly or indirectly, by means of their names, emails, phone numbers, biometric information, location data, financial data, etc. Online identifiers (IP addresses, device IDs, …) are also in scope.
This applies in business contexts too: info@reform.gr is not considered personal, but john.smith@reform.gr is, because it can be used to identify a physical person within a company.
GDPR also requires a higher level of protection for sensitive data, which includes specific categories of personal data such as health, genetic, racial or religion information.
Data Processing Principles
In order to be compliant, processing activities must observe the following rules: (as listed in Article 5 of GDPR)
1. Lawfulness, fairness and transparency: to collect data, you must have a legal basis, a clear purpose, and you must inform the subject about it. Have a simple and clear Privacy Policy, and refer to it everywhere you collect data. Verify the legal basis for each of your data processing activities
2. Purpose limitation: once collected for a purpose, request permission if you want to use it for a different purpose. e.g. - You can't decide to sell your customer data if it was not collected for that purpose.
3. Minimisation: you must only collect the data necessary for your purpose.
4. Accuracy: reasonable steps should be taken to make sure that data is kept updated, with regard to the purpose e.g. - Be sure to handle bounced emails, and correct or delete the addresses.
5. Storage limitation: personal data should only be kept for the duration needed to fulfil its primary purpose. Define time limits for erasure or review of the personal data you process, depending on their purpose.
6. Integrity and Confidentiality: data processors must implement appropriate access control, security and data loss prevention measures, in accordance with the types and extents of data being processed. e.g. - Make sure your backup system is working, have proper security controls in place, use encryption to protect sensitive data such as passwords.
7. Accountability: data controllers are responsible for, and must be able to demonstrate compliance with all above processing principles. Establish and maintain a data mapping reference for your organization, describing the compliance of your processing activities. Inform your customers via a clear Privacy Policy.
Legal Basis
In order to be lawful under GDPR (first principle), processing of personal data must be based on one of six possible legal bases, as listed in Article 6 (1):
- Consent. Valid when the data subject has explicitly and freely given consent after being properly informed, including a clearly stated and specific purpose. The burden of proof for all of this lies on the controller.
- Necessary for the performance of a contract , or to fulfil requests from the data subject, in preparation for a contract.
- Compliance with a legal obligation that is imposed on the controller.
- Protecting a vital interest . When the processing is necessary to save a life.
- Public interest or official authority .
- Legitimate interest. Applicable when the controller has a legitimate interest that is not overridden by the interests and fundamental rights of the data subject.
One major change brought by GDPR over previous data privacy regulation is the stricter requirements for obtaining valid consent.
Data Subject Rights.
Existing data privacy rights for individuals are further expanded by the GDPR. Organizations must be prepared to handle requests from data subjects in a timely manner (within 1 month), free of charge:
- Right to Access - Individuals have the right to know what and how their personal data is being processed, in full transparency.
- Right to Rectification - Individuals have the right to obtain correction or completion of their personal data.
- Right to Erasure - Individuals have the right to obtain deletion of their personal data for legitimate reasons (consent withdrawn, no longer necessary for the purpose, etc.).
- Right to Restriction - Individuals can request that the controller stops processing their personal data, if they do not want or cannot request full deletion.
- Right to Object - Individuals have the right to object to certain processing of their personal data at any time, for example for direct marketing purposes.
-
Data Portability
- Individuals have the right to request that personal data held by a controller be provided to them, or to another controller.
B. How you should prepare for GDPR
Disclaimer
We cannot provide legal advice, this section is only provided for informational purposes. Please reach out to your legal counsel in order to determine exactly how GDPR affects your company.
Here are the key steps we suggest for a GDPR compliance roadmap:
- Establish a Data Mapping of the data processing activities of your organization to get a clear picture of the situation. Data Protection Authorities often provide spreadsheet templates to help in this task. For each process, document the type of personal data and how it was collected ; the purpose, legal basis and erasure policy of the treatment ; the technical and organizational security measures implemented, and the subcontractors (processors) involved.
You will need to maintain this data mapping regularly, as your processes evolve.
- Based on step 1, choose a Remediation Strategy for any processing where you do not have a legal basis (e.g. missing consent) or where you do not have appropriate security measures in place. Adapt your processes, your internal procedures, your access control rules, backups, monitoring, etc.
- Update and publish a clear Privacy Policy on your website. Explain what personal data you process, how you do it, and what are the rights of individuals with regard to their data.
- Review your Contracts with a legal counsel, and adapt them to GDPR.
- Decide how you will answer the various kinds of Data Subject Requests.
- Prepare your Incident Response Procedure in case of data breach.
Depending on your situation, other elements could be added to the list, such as the appointment of a Data Protection Officer. Consult your internal processing experts and your legal counsels to determine any other relevant measure.
Remember!
Establishing a clear mapping of your processes will make everything easier on the road to compliance!
C. How is Reform compliant with GDPR
At Reform, implementing privacy and security best practices is not a new idea. As a Cloud hosting company, we're constantly revising and improving our systems, tools and processes, in order to maintain a great and secure platform.
Our GDPR Roles
Our responsibilities in terms of personal data protection depend on our various data processing activities:
Our Roles |
Data Processing |
Kind of data |
Data Controller & Processor |
On Reform's premise |
Personal data provided to us by our direct customers and prospects, our partners and all direct users of Reform.gr (names, emails, addresses, passwords) |
Data Processor |
On Reform's Cloud
|
Any personal data stored in
the databases of our customers, hosted in the Reform Cloud or transferred to
us for the purpose of using one of our services. The owner of the database is
the data controller. |
No role |
On Customers' Premises |
Any data located in databases hosted on-premise or in any hosting not operated by us.
|
Our GDPR documents
As a Data Controller, our activities are covered in our
Privacy Policy
, which has been updated for GDPR. This policy explains as clearly as possible what data we process, why we process it, and how we do it. Closely related to this, our
Security Policy
explains the security best practices we implemented at Reform, at all levels (technical and organizational) in order to guarantee that your data is processed in a safe and secure manner.
In addition to those policies, our activities as a Data Processor are subject to the acceptation of our Service/Subscription Level Agreement
. This agreement has been updated in order to add the necessary Data Protection clauses, as required by the GDPR.
As a Customer of Reform you don't have anything to do to accept these changes, you already benefit from the new guarantees, and we will consider that you agree if we don't hear anything from you!
In addition to these documents, we have also updated our website to insert privacy notices in all relevant places, in order to keep our users informed at all times.
Contact Us
Please contact us to be directed to the relevant DPA contacts. As further explained in the Privacy Shield Principles, a binding arbitration option will also be made available to you in order to address residual complaints not resolved by any other means. Reform is subject to the investigatory and enforcement powers of the Greek authorities and of the European Union Trade Commission.
Reform Information Systems SA
Thessaloniki, Greece
Landline: +30 210 7777.991
e-mail: privacy@reform.gr
Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR)
Οδηγός της Reform για τους Ευρωπαϊκούς Κανόνες Προστασίας Δεδομένων
Επισκόπηση των νέων νόμων περί απορρήτου και βέλτιστων πρακτικών
Από τις 25 Μαΐου 2018, τίθεται σε ισχύ ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), ανοίγοντας μια νέα εποχή προστασίας δεδομένων και απορρήτου για όλους. Αν και σίγουρα έχετε ακούσει και διαβάσει πολλές πληροφορίες σχετικά με το GDPR, μπορεί να είναι δύσκολο να κατανοήσετε ακριβώς τι σημαίνει για την επιχείρησή σας, σε πρακτικούς όρους, και τι πρέπει να κάνετε για να συμμορφωθείτε με τους νέους κανόνες.
Στην Reform, δεσμευόμαστε να ακολουθούμε τις βέλτιστες πρακτικές όσον αφορά την ασφάλεια και το απόρρητο. Προσπαθούμε να παρέχουμε το ίδιο επίπεδο προστασίας σε όλους τους χρήστες και πελάτες, χωρίς διάκριση ως προς την τοποθεσία ή την υπηκοότητά τους. Και εφαρμόζουμε αυτές τις βέλτιστες πρακτικές για όλα τα δεδομένα, όχι μόνο για προσωπικά δεδομένα.
Η Reform και οι θυγατρικές της συμμορφώνονται με το GDPR.
A. Τι πρέπει να γνωρίζετε για το GDPR
Ο καλύτερος τρόπος για να κατανοήσετε το GDPR είναι να διαβάσετε την Επίσημη Σελίδα. Είναι λίγο μεγάλο (99 άρθρα σε 88 σελίδες), αλλά αρκετά ευανάγνωστο για μη ειδικούς. Είναι λίγο μεγάλο (99 άρθρα σε 88 σελίδες), αλλά αρκετά ευανάγνωστο για μη ειδικούς. Είναι ένας κανονισμός της ΕΕ, ο οποίος στοχεύει στην εναρμόνιση και τον εκσυγχρονισμό της υφιστάμενης νομοθεσίας περί απορρήτου, όπως η Οδηγία της ΕΕ για την Προστασία Προσωπικών Δεδομένων που αντικαθιστά. Θεσπίζει κανόνες για την προστασία των φυσικών προσώπων όσον αφορά την επεξεργασία των προσωπικών τους δεδομένων και την ελεύθερη ροή προσωπικών δεδομένων εντός της Ευρώπης. Είναι Κανονισμός και όχι Οδηγία, επομένως εφαρμόζεται άμεσα σε όλα τα κράτη μέλη της ΕΕ, χωρίς να απαιτείται μεταφορά στο εσωτερικό δίκαιο κάθε χώρας. Οι χώρες της ΕΕ έχουν περιορισμένο περιθώριο ερμηνείας για τα πιο λεπτά σημεία, αλλά οι θεμελιώδεις κανόνες θα είναι ίδιοι για όλους, παντού στην ΕΕ. Ο GDPR φέρνει επίσης τη νομοθεσία στην επόμενη χιλιετία, λαμβάνοντας υπόψη τα μέσα κοινωνικής δικτύωσης, το cloud computing, το έγκλημα στον κυβερνοχώρο και τις μεγάλες προκλήσεις που προκαλούν όσον αφορά το απόρρητο και την ασφάλεια των προσωπικών δεδομένων. Ο GDPR δεν είναι μια παγκόσμια νέα νομοθεσία και είναι θεμελιωδώς καλό για τους πολίτες και τις επιχειρήσεις.
Θέλουμε να τονίσουμε ότι το GDPR μπορεί να είναι υπέροχο για εσάς και τους πελάτες σας. Η συμμόρφωση με τον GDPR μπορεί αρχικά να αντιπροσωπεύει πολλή δουλειά, αλλά υπάρχουν θετικά στοιχεία στους νέους κανόνες:
- Αυξημένη εμπιστοσύνη από τους πελάτες σας και τους χρήστες
- Απλοποίηση: εφαρμόζονται οι ίδιοι κανόνες σε όλες τις χώρες της ΕΕ
- Εξορθολογισμός και συγκέντρωση των οργανωτικών διαδικασιών σας
Ο σκοπός του GDPR είναι να παρέχει στα άτομα μεγαλύτερη εποπτεία στα προσωπικά τους δεδομένα. Εάν η εταιρεία σας εφαρμόζει τις σωστές στρατηγικές και συστήματα, θα είναι ευκολότερη η διαχείριση και ασφαλέστερη για τα επόμενα χρόνια.
Ποιοι είναι οι κίνδυνοι εάν δεν συμμορφώνεστε?
Η μέγιστη ποινή για μη συμμόρφωση είναι ένα διοικητικό πρόστιμο 20 εκατομμυρίων ευρώ, ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών σας, όποιο από τα δύο είναι υψηλότερο. Για μικρότερες παραβάσεις ισχύει μικρότερο μέγιστο ποσό 10 εκατομμυρίων ευρώ ή 2% του παγκόσμιου ετήσιου κύκλου εργασιών σας. Αυτά τα ανώτατα όρια προορίζονται να είναι αποτρεπτικά για επιχειρήσεις όλων των μεγεθών, αλλά ο GDPR απαιτεί επίσης τα πρόστιμα να διατηρούνται αναλογικά. Οι εποπτικές αρχές (γνωστές και ως Αρχές Προστασίας Δεδομένων: ΑΠΔ) πρέπει να λαμβάνουν υπόψη τις συνθήκες κάθε περίπτωσης, συμπεριλαμβανομένης της φύσης, της σοβαρότητας και της διάρκειας της παράβασης. Σε αυτές τις ΑΠΔ εκχωρούνται επίσης εξουσίες να διερευνούν και να επιβάλλουν διορθωτικές ενέργειες, οι οποίες περιλαμβάνουν τον περιορισμό των παραβατικών δραστηριοτήτων, χωρίς απαραίτητα να επιβάλλουν πρόστιμο. Ένας άλλος κίνδυνος εάν δεν συμμορφωθείτε είναι η απώλεια εμπιστοσύνης από τους πελάτες και τους υποψήφιους πελάτες σας, οι οποίοι ενδιαφέρονται για τον τρόπο με τον οποίο επεξεργάζεστε τα δεδομένα τους! Τέλος, πολλές ΑΠΔ έχουν αφήσει να εννοηθεί ότι δεν θα επιβάλουν πρόστιμα το 2018 ακόμη, αλλά περιμένουν από τις επιχειρήσεις να αποδείξουν ότι εργάζονται για τη συμμόρφωση.
Βασικές αρχές του GDPR
Σκοπός
Ο κανονισμός ισχύει για οποιαδήποτε επεξεργασία προσωπικών δεδομένων από οποιονδήποτε οργανισμό:
-
Εάν ο οργανισμός ελέγχου ή επεξεργασίας βρίσκεται στην Ε.Ε.
- Εάν ο οργανισμός δεν βρίσκεται στην ΕΕ, αλλά η επεξεργασία περιλαμβάνει προσωπικά δεδομένα υποκειμένων των δεδομένων που βρίσκονται στην ΕΕ και σχετίζεται με εμπορικές προσφορές ή παρακολούθηση συμπεριφοράς.
Ως εκ τούτου, το πεδίο εφαρμογής περιλαμβάνει εταιρείες εκτός ΕΕ, κάτι που δεν συνέβαινε με την παλαιότερη νομοθεσία.
Ρόλους
Ο κανονισμός διακρίνει δύο βασικούς τύπους οντοτήτων:
- Υπεύθυνος επεξεργασίας δεδομένων: κάθε οντότητα που καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα, μόνος ή από κοινού. Κατά γενικό κανόνα, κάθε οργανισμός είναι υπεύθυνος επεξεργασίας για τα δικά του δεδομένα
- Ο εκτελών της επεξεργασίας δεδομένων: κάθε οντότητα που επεξεργάζεται δεδομένα για λογαριασμό υπεύθυνου επεξεργασίας δεδομένων .
Για παράδειγμα, εάν η εταιρεία σας διαθέτει μια βάση δεδομένων που φιλοξενείται στο Reform Cloud, είστε υπεύθυνος επεξεργασίας αυτής της βάσης δεδομένων και η Reform είναι μόνο ο εκτελών της επεξεργαστής δεδομένων. Αν αντ 'αυτού χρησιμοποιείτε το Reform on premise, είστε και ο υπεύθυνος και ο εκτελών της επεξεργασία των δεδομένων.
Personal Data
Ο GDPR δίνει έναν ευρύ ορισμό των προσωπικών δεδομένων: κάθε πληροφορία που σχετίζεται με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Ένα αναγνωρίσιμο άτομο είναι αυτό που μπορεί να αναγνωριστεί, άμεσα ή έμμεσα, μέσω των ονομάτων, των email, των αριθμών τηλεφώνου, των βιομετρικών στοιχείων, των δεδομένων τοποθεσίας, των οικονομικών δεδομένων κ.λπ. Τα διαδικτυακά αναγνωριστικά (διευθύνσεις IP, αναγνωριστικά συσκευών, …) περιλαμβάνονται επίσης στο πεδίο εφαρμογής.
Αυτό ισχύει και σε επιχειρηματικά πλαίσια: το info@reform.gr δεν θεωρείται προσωπικό, αλλά το john.smith@reform.gr, επειδή μπορεί να χρησιμοποιηθεί για την αναγνώριση ενός φυσικού προσώπου σε μια εταιρεία.
Ο GDPR απαιτεί επίσης υψηλότερο επίπεδο προστασίας για ευαίσθητα δεδομένα, το οποίο περιλαμβάνει συγκεκριμένες κατηγορίες προσωπικών δεδομένων όπως πληροφορίες υγείας, γενετικές, φυλετικές ή θρησκευτικές πληροφορίες.
Αρχές Επεξεργασίας Δεδομένων
Σύμφωνα με το άρθρο 5 ΓΚΠΔ, για να είναι νόμιμη η επεξεργασία προσωπικών δεδομένων (απλών και ειδικών κατηγοριών), πρέπει η επεξεργασία να διέπεται από συγκεκριμένες αρχές. Αυτές είναι:
1. Νομιμότητα, δικαιοσύνη και διαφάνεια: για τη συλλογή δεδομένων, πρέπει να έχετε νομική βάση, σαφή σκοπό και να ενημερώσετε το υποκείμενο σχετικά. Έχετε μια απλή και σαφή Πολιτική Απορρήτου και ανατρέχετε σε αυτήν οπουδήποτε συλλέγετε δεδομένα. Επαληθεύστε τη νομική βάση για κάθε δραστηριότητα επεξεργασίας δεδομένων σας.
2. Περιορισμός σκοπού: αφού συλλεχθεί για έναν σκοπό, ζητήστε άδεια εάν θέλετε να το χρησιμοποιήσετε για διαφορετικό σκοπό. π.χ. - Δεν μπορείτε να αποφασίσετε να πουλήσετε τα δεδομένα των πελατών σας εάν δεν συλλέχθηκαν για αυτόν τον σκοπό.
3. Ελαχιστοποίηση δεδομένων: Θα πρέπει να συλλέγετε και να επεξεργάζεστε μόνο όσα δεδομένα είναι απολύτως απαραίτητα για τους καθορισμένους σκοπούς.
4. Ακρίβεια: πρέπει να ληφθούν εύλογα μέτρα για να διασφαλιστεί ότι τα δεδομένα διατηρούνται ενημερωμένα, σε σχέση με το σκοπό π.χ. -Φροντίστε να χειρίζεστε τα αναπηδημένα email και να διορθώνετε ή να διαγράφετε τις διευθύνσεις.
5. Περιορισμός αποθήκευσης: τα προσωπικά δεδομένα θα πρέπει να διατηρούνται μόνο για τη διάρκεια που απαιτείται για την εκπλήρωση του πρωταρχικού τους σκοπού. Καθορίστε χρονικά όρια για τη διαγραφή ή τον έλεγχο των προσωπικών δεδομένων που επεξεργάζεστε, ανάλογα με τον σκοπό τους.
6. Ακεραιότητα και εμπιστευτικότητα: οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να εφαρμόζουν κατάλληλα μέτρα ελέγχου πρόσβασης, ασφάλειας και πρόληψης απώλειας δεδομένων, σύμφωνα με τους τύπους και την έκταση των δεδομένων που υποβάλλονται σε επεξεργασία. π.χ. - Βεβαιωθείτε ότι το εφεδρικό σύστημά σας λειτουργεί, έχετε τους κατάλληλους ελέγχους ασφαλείας, χρησιμοποιήστε κρυπτογράφηση για την προστασία ευαίσθητων δεδομένων, όπως κωδικών πρόσβασης.
7. Υπευθυνότητα: οι υπεύθυνοι επεξεργασίας δεδομένων είναι υπεύθυνοι και πρέπει να είναι σε θέση να αποδείξουν τη συμμόρφωση με όλες τις παραπάνω αρχές επεξεργασίας. Δημιουργήστε και διατηρήστε μια αναφορά χαρτογράφησης δεδομένων για τον οργανισμό σας, περιγράφοντας τη συμμόρφωση των δραστηριοτήτων επεξεργασίας σας. Ενημερώστε τους πελάτες σας μέσω μιας ξεκάθαρης Πολιτικής απορρήτου.
Νομική βάση
Προκειμένου να είναι νόμιμη βάσει του GDPR (πρώτη αρχή), η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να βασίζεται σε μία από τις έξι πιθανές νομικές βάσεις, όπως αναφέρονται στο άρθρο 6 παράγραφος 1:
- Συγκατάθεση. Ισχύει όταν το υποκείμενο των δεδομένων έχει δώσει ρητά και ελεύθερα τη συγκατάθεσή του αφού ενημερωθεί σωστά, συμπεριλαμβανομένου ενός σαφώς δηλωμένου και συγκεκριμένου σκοπού. Το βάρος της απόδειξης για όλα αυτά βαρύνει τον ελεγκτή
- Απαραίτητο για την εκτέλεση μιας σύμβασης ή για την εκπλήρωση αιτημάτων από το υποκείμενο των δεδομένων, κατά την προετοιμασία μιας σύμβασης.
- Συμμόρφωση με νομική υποχρέωση που επιβάλλεται στον υπεύθυνο επεξεργασίας.
- Προστασία ζωτικής σημασίας συμφέροντος. Όταν η επεξεργασία είναι απαραίτητη για να σωθεί μια ζωή.
- Δημόσιο συμφέρον ή επίσημη αρχή.
- Έννομο συμφέρον. Ισχύει όταν ο υπεύθυνος επεξεργασίας έχει έννομο συμφέρον που δεν υπερισχύει των συμφερόντων και των θεμελιωδών δικαιωμάτων του υποκειμένου των δεδομένων.
Μια σημαντική αλλαγή που επέφερε ο GDPR σε σχέση με τον προηγούμενο κανονισμό περί απορρήτου δεδομένων είναι οι αυστηρότερες απαιτήσεις για τη λήψη έγκυρης συναίνεσης.
Δικαιώματα υποκειμένου δεδομένων. Τα υφιστάμενα δικαιώματα προστασίας προσωπικών δεδομένων για τα άτομα επεκτείνονται περαιτέρω από τον GDPR. Οι οργανισμοί πρέπει να είναι έτοιμοι να χειριστούν αιτήματα από τα υποκείμενα των δεδομένων έγκαιρα (εντός 1 μήνα), δωρεάν:
- Δικαίωμα πρόσβασης - Τα άτομα έχουν το δικαίωμα να γνωρίζουν τι και πώς υφίστανται επεξεργασία τα προσωπικά τους δεδομένα, με πλήρη διαφάνεια.
- Δικαίωμα διόρθωσης - Τα άτομα έχουν το δικαίωμα να επιτύχουν διόρθωση ή συμπλήρωση των προσωπικών τους δεδομένων.
- Δικαίωμα διαγραφής - Τα άτομα έχουν το δικαίωμα να επιτύχουν τη διαγραφή των προσωπικών τους δεδομένων για νόμιμους λόγους (η συγκατάθεση ανακλήθηκε, δεν είναι πλέον απαραίτητη για τον σκοπό αυτό, κ.λπ.).
- Δικαίωμα περιορισμού - Τα άτομα μπορούν να ζητήσουν από τον υπεύθυνο επεξεργασίας να σταματήσει την επεξεργασία των προσωπικών τους δεδομένων, εάν δεν θέλουν ή δεν μπορούν να ζητήσουν την πλήρη διαγραφή.
- Δικαίωμα αντίρρησης - Τα άτομα έχουν το δικαίωμα να αντιταχθούν σε ορισμένη επεξεργασία των προσωπικών τους δεδομένων ανά πάσα στιγμή, για παράδειγμα για σκοπούς άμεσου μάρκετινγκ.
- Φορητότητα δεδομένων - Τα άτομα έχουν το δικαίωμα να ζητήσουν να παρασχεθούν σε αυτά ή σε άλλο υπεύθυνο επεξεργασίας τα προσωπικά δεδομένα που κατέχει ένας υπεύθυνος επεξεργασίας.
B. Πώς πρέπει να προετοιμαστείτε για το GDPR
Αποποίηση ευθυνών
Δεν μπορούμε να παρέχουμε νομικές συμβουλές, αυτή η ενότητα παρέχεται μόνο για ενημερωτικούς σκοπούς. Απευθυνθείτε στον νομικό σας σύμβουλο για να προσδιορίσετε ακριβώς πώς επηρεάζει ο GDPR την εταιρεία σας.
Ακολουθούν τα βασικά βήματα που προτείνουμε για έναν οδικό χάρτη συμμόρφωσης με τον GDPR:
-
Δημιουργήστε μια χαρτογράφηση δεδομένων των δραστηριοτήτων επεξεργασίας δεδομένων του οργανισμού σας για να έχετε μια σαφή εικόνα της κατάστασης. Οι Αρχές Προστασίας Δεδομένων παρέχουν συχνά πρότυπα υπολογιστικών φύλλων για να βοηθήσουν σε αυτό το έργο. Για κάθε διαδικασία, τεκμηριώστε τον τύπο των προσωπικών δεδομένων και τον τρόπο συλλογής τους’ ο σκοπός, η νομική βάση και η πολιτική διαγραφής της θεραπείας, τα τεχνικά και οργανωτικά μέτρα ασφαλείας που εφαρμόστηκαν και οι εμπλεκόμενοι υπεργολάβοι (μεταποιητές)
Θα χρειαστεί να διατηρείτε αυτή τη χαρτογράφηση δεδομένων τακτικά, καθώς οι διαδικασίες σας εξελίσσονται.
-
Με βάση το βήμα 1, επιλέξτε μια στρατηγική αποκατάστασης για οποιαδήποτε επεξεργασία για την οποία δεν έχετε νομική βάση (π.χ. έλλειψη συναίνεσης) ή όπου δεν έχετε λάβει τα κατάλληλα μέτρα ασφαλείας. Προσαρμόστε τις διαδικασίες σας, τις εσωτερικές σας διαδικασίες, τους κανόνες ελέγχου πρόσβασης, τα αντίγραφα ασφαλείας, την παρακολούθηση κλπ.
-
Ενημερώστε και δημοσιεύστε μια σαφή Πολιτική Απορρήτου στον ιστότοπό σας. Εξηγήστε ποια προσωπικά δεδομένα επεξεργάζεστε, πώς το κάνετε και ποια είναι τα δικαιώματα των ατόμων σε σχέση με τα δεδομένα τους.
-
Ελέγξτε τα Συμβόλαιά σας με νομικό σύμβουλο και προσαρμόστε τα στον GDPR.
-
Αποφασίστε πώς θα απαντήσετε στα διάφορα είδη αιτημάτων για το θέμα των δεδομένων.
-
Προετοιμάστε τη Διαδικασία Αντιμετώπισης Συμβάντων σε περίπτωση παραβίασης δεδομένων.
Ανάλογα με την κατάστασή σας, θα μπορούσαν να προστεθούν άλλα στοιχεία στη λίστα, όπως ο διορισμός Υπεύθυνου Προστασίας Δεδομένων. Συμβουλευτείτε τους εσωτερικούς σας εμπειρογνώμονες επεξεργασίας και τους νομικούς σας συμβούλους για να καθορίσετε οποιοδήποτε άλλο σχετικό μέτρο.
Θυμηθείτε!
Η δημιουργία μιας σαφούς χαρτογράφησης των διαδικασιών σας θα κάνει τα πάντα πιο εύκολα στο δρόμο προς τη συμμόρφωση!
Γ. Πώς συμμορφώνεται η Reform GDPR
Στην Reform, η εφαρμογή βέλτιστων πρακτικών απορρήτου και ασφάλειας δεν είναι καινούργια ιδέα. Ως εταιρεία φιλοξενίας Cloud, αναθεωρούμε και βελτιώνουμε συνεχώς τα συστήματα, τα εργαλεία και τις διαδικασίες μας, προκειμένου να διατηρήσουμε μια εξαιρετική και ασφαλή πλατφόρμα.
Οι ρόλοι μας στο GDPR
Οι ευθύνες μας όσον αφορά την προστασία των προσωπικών δεδομένων εξαρτώνται από τις διάφορες δραστηριότητές μας για την επεξεργασία δεδομένων:
Οι Ρόλοι Μας
|
Επεξεργασία δεδομένων
|
Είδος δεδομένων
|
Υπεύθυνος επεξεργασίας δεδομένων και εκτελών
|
Στις εγκαταστάσεις της Reform
|
Προσωπικά δεδομένα που μας παρέχονται από τους άμεσους και υποψήφιους πελάτες μας, τους συνεργάτες μας και όλους τους άμεσους χρήστες της Reform.gr (ονόματα, email, διευθύνσεις, κωδικοί πρόσβασης) |
Εκτελών της επεξεργασίας δεδομένων
|
Στο Cloud της Reform
|
Οποιαδήποτε προσωπικά δεδομένα αποθηκεύονται στις βάσεις δεδομένων των πελατών μας, φιλοξενούνται στο Reform Cloud ή μεταφέρονται σε εμάς με σκοπό τη χρήση μιας από τις υπηρεσίες μας. Ο ιδιοκτήτης της βάσης δεδομένων είναι ο υπεύθυνος επεξεργασίας δεδομένων. |
Χωρίς ρόλο |
Στις εγκαταστάσεις των πελατών |
Οποιαδήποτε δεδομένα βρίσκονται σε βάσεις δεδομένων που φιλοξενούνται επί τόπου ή σε οποιαδήποτε φιλοξενία που δεν διαχειριζόμαστε εμείς.
|
Τα έγγραφά μας GDPR
Ως Υπεύθυνος Επεξεργασίας Δεδομένων, οι δραστηριότητές μας καλύπτονται από την Πολιτική Απορρήτου μας , η οποία έχει ενημερωθεί για τον GDPR. Αυτή η πολιτική εξηγεί όσο το δυνατόν πιο ξεκάθαρα ποια δεδομένα επεξεργαζόμαστε, γιατί τα επεξεργαζόμαστε και πώς το κάνουμε. Σε στενή σχέση με αυτό, η Πολιτική Ασφαλείας μας εξηγεί τις βέλτιστες πρακτικές ασφάλειας που εφαρμόσαμε στη Reform, σε όλα τα επίπεδα (τεχνικό και οργανωτικό) προκειμένου να εγγυηθούμε ότι τα δεδομένα σας υποβάλλονται σε επεξεργασία με ασφαλή τρόπο.
Εκτός από αυτές τις πολιτικές, οι δραστηριότητές μας ως Υπεύθυνος Επεξεργασίας Δεδομένων υπόκεινται στην αποδοχή της Συμφωνίας Επιπέδου Υπηρεσιών/Συνδρομής. Αυτή η συμφωνία έχει ενημερωθεί προκειμένου να προστεθούν οι απαραίτητες ρήτρες Προστασίας Δεδομένων, όπως απαιτείται από τον GDPR.
Ως Πελάτης της Reform δεν έχετε τίποτα να κάνετε για να αποδεχτείτε αυτές τις αλλαγές, επωφεληθείτε ήδη από τις νέες εγγυήσεις και θα θεωρήσουμε ότι συμφωνείτε εάν δεν ακούσουμε τίποτα από εσάς!
Εκτός από αυτά τα έγγραφα, έχουμε επίσης ενημερώσει τον ιστότοπό μας για να εισάγουμε σημειώσεις απορρήτου σε όλα τα σχετικά μέρη, προκειμένου να ενημερώνουμε τους χρήστες μας ανά πάσα στιγμή.
Επικοινωνήστε μαζί μας
Επικοινωνήστε μαζί μας για να κατευθυνθείτε στις σχετικές επαφές της ΑΠΔ. Όπως εξηγείται περαιτέρω στις Αρχές της Ασπίδας Προστασίας Προσωπικών Δεδομένων, μια δεσμευτική επιλογή διαιτησίας θα τεθεί επίσης στη διάθεσή σας για την αντιμετώπιση υπολειπόμενων καταγγελιών που δεν έχουν επιλυθεί με κανένα άλλο μέσο.
Η Reform υπόκειται στις εξουσίες διερεύνησης και επιβολής των ελληνικών αρχών και της Επιτροπής Εμπορίου της Ευρωπαϊκής Ένωσης.
Reform Information Systems SA
Θεσσαλονίκη, Ελλάδα
Τηλέφωνο : +30 210 7777.991
e-mail: privacy@reform.gr