Όλα όσα θέλουν οι διαφημιστικές και οι εταιρείες επικοινωνίας να μάθουν για το GDPR και το e privacy


Όλα όσα θέλουν οι διαφημιστικές και οι εταιρείες επικοινωνίας να μάθουν για το GDPR και το e privacy.


Γράφει η Σόνια Χαϊμαντά στο advertising.gr

Έναν εξαιρετικά κατατοπιστικό χάρτη για τον λαβύρινθο της εφαρμογής της οδηγίας για το GDPR κυκλοφόρησε πρόσφατα η Ευρωπαϊκή Ένωση Εταιριών Επικοινωνίας (EACA) η οποία αριθμεί περί τις 2.500 εταιρείες, τόσο online όσο και offline (από 30 ευρωπαϊκές χώρες) μεταξύ των οποίων και η "δική" μας ΕΔΕΕ.

Τον Χάρτη πλοήγησης στο θέμα της διαχείρισης δεδομένων συνυπογράφει η Αurélie Pols (Διαχειρίστρια Δεδομένων και Μηχανικός Προστασίας Προσωπικών Δεδομένων, η οποία θεωρείται ειδική στον σχεδιασμό βέλτιστων πρακτικών προστασίας προσωπικών δεδομένων και διδάσκει θέματα κατάρτισης DPO για το GDPR στο Πανεπιστήμιο του Μάαστριχτ.

Ο Χάρτης

Σύμφωνα με τον "οδηγό" πλοήγησης που συνέταξε η EACA, η οδηγία για το GDPR θα επηρεάσει σε υψηλό βαθμό τις εκστρατείες επικοινωνίας και μάρκετινγκ, επιβάλλοντας νέους κανόνες για τον τρόπο χειρισμού των δεδομένων προσωπικού χαρακτήρα. Ως εκ τούτου θεωρείται κρίσιμης σημασίας να γνωρίζουν οι εταιρείες επικοινωνίας ποιες ακριβώς εσωτερικές διαδικασίες θα πρέπει να εφαρμόσουν προκειμένου να διασφαλιστεί η συμμόρφωση και ασφαλώς η ελαχιστοποίηση του κινδύνου.

Αγγίζει τις εταιρείες επικοινωνίας το GDPR;

Ο κανονισμός γενικής προστασίας δεδομένων (GDPR) θα αντικαταστήσει την υπάρχουσα νομοθεσία

για την επεξεργασία δεδομένων που πραγματοποιούνται από φορείς επικοινωνίας (διαφημιστικές, media shops, εταιρείες PR, marketing και ψηφιακής επικοινωνίας). Συνοπτικά το νέο πλαίσιο θα επηρεάζει τον τρόπο με τον οποίο οι οργανισμοί/εταιρείες χρησιμοποιούν δεδομένα για την κατασκευή και την προβολή καμπανιών.

Πότε θα ισχύσει;

Ισχύει ήδη και θα εφαρμόζεται από τις 25 Μαΐου 2018.

Ποιούς αφορά;

Κάθε εταιρεία ή οργανισμό που ελέγχει και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα των «προσώπων στα οποία αναφέρονται τα δεδομένα», είτε προσφέρει αυτή αγαθά είτε παρέχει υπηρεσίες, ακόμη και δωρεάν, είτε απλώς παρακολουθεί τη συμπεριφορά τους (εταιρείες ερευνών), ανεξάρτητα από τη γεωγραφική τους θέση.

Οι ποινικές ρήτρες

Οι παραβάτες που εντοπίζονται να καταστρατηγούν τους όρους της οδηγίας θα καλούνται να καταβάλουν πρόστιμο αντίστοιχο με το 4% του συνολικού κύκλου εργασιών τους ή 20 εκατ. ευρώ - όποιο από τα δύο είναι υψηλότερο.

Ποιος είναι ο ελεγκτής;

Κάθε εταιρεία που καθορίζει τον σκοπό και τα μέσα επεξεργασίας δεδομένων αποτελεί και ταυτίζεται με τον ελεγκτή δεδομένων των πελατών της. Ένας "επεξεργαστής" δεδομένων ενεργεί εξ ονόματος του υπεύθυνου επεξεργασίας δεδομένων, μέσω γραπτών οδηγιών και η σχέση τους διέπεται από σύμβαση. Αν

ο επεξεργαστής καθορίζει έναν άλλο σκοπό για τη χρήση των δεδομένων - ακόμα και αν έχει ψευδονυμία, ή κρυπτογραφημένο τίτλο - τότε γίνεται και ελεγκτής. Στο GDPR, υιοθετείται μια νέα προσέγγιση, αυτή των κοινών ελεγκτών, όπου δύο ή περισσότεροι ελεγκτές καθορίζουν τους σκοπούς και τα μέσα επεξεργασίας για την εξισορρόπηση πιθανών "ασυμμετριών" σε θέματα ευθύνης ή εξουσίας.

Πώς μπορεί να αποκτηθεί η συναίνεση;

Πρέπει να τηρούνται από τον υπεύθυνο επεξεργασίας λεπτομερή αρχεία της συγκατάθεσης έτσι ώστε ο DPΟ να μπορεί να αποδείξει τη συμμόρφωσή του. Η συγκατάθεση πρέπει να διαχωρίζεται από άλλες προσπάθειες επεξεργασίας δεδομένων, όπως τους όρους και τις προϋποθέσεις και πρέπει να «διακρίνεται σαφώς από άλλα θέματα, σε κατανοητή και εύκολα προσιτή μορφή, χρησιμοποιώντας σαφή και απλή γλώσσα».

Η Συγκατάθεση

Η συγκατάθεση του προσώπου / πελάτη μπορεί να αποσυρθεί ανά πάσα στιγμή, και αυτή η απόσυρση θα πρέπει να είναι τόσο εύκολη όσο και η "παροχή" της και φυσικά πρέπει να παρέχεται ελεύθερα.

Τα Παιδιά

Η γονική συναίνεση πρέπει να λαμβάνεται για τα παιδιά ηλικίας κάτω των 16 ετών ενώ οι χώρες - μέλη μπορούν να καθορίσουν και ένα κατώτατο όριο π.χ. τα 13 έτη.

Πληροφορίες για τους καταναλωτές

Οι υπεύθυνοι επεξεργασίας δεδομένων υποχρεούνται να παρέχουν λεπτομερείς πληροφορίες σχετικά με τα δεδομένα επεξεργασίας δεδομένων στα πρόσωπα στα οποία αναφέρονται τα δεδομένα μόλις συλλεχθούν τα επιμέρους προσωπικά data. Θα πρέπει να είναι προφανές στους καταναλωτές πού ακριβώς θα αναζητήσουν και θα βρουν αυτές τις πληροφορίες και θα πρέπει τουλάχιστον περιλαμβάνουν στοιχεία όπως ποιος επεξεργάζεται τα δεδομένα, πώς να διαμαρτύρονται για την παραβίασή τους κ.λ.π.

Παραβίαση δεδομένων

Εάν η παραβίαση δεδομένων προκαλεί ένα αποτέλεσμα «υψηλού κινδύνου», ο υπεύθυνος επεξεργασίας δεδομένων έχει υποχρέωση κοινοποίησης στις εποπτικές αρχές εντός 72 ωρών (3 ημερών). Ένας επεξεργαστής δεδομένων έχει υποχρέωση να ειδοποιεί τον ελεγκτή χωρίς καμμία απολύτως αδικαιολόγητη καθυστέρηση.

Εκτίμηση επιπτώσεων

Ο οδηγός είναι σαφής: "Mπορεί να έχετε υποχρέωση να προβείτε σε εκτίμηση επιπτώσεων για την προστασία των δεδομένων εάν η επεξεργασία είναι πιθανό να οδηγήσει σε «υψηλό κίνδυνο». Κατευθυντήριες γραμμές προς τις ομάδες εργασίας για το τι εστί υψηλός κίνδυνος θέτει το άρθρου 29.

Δικαιώματα των καταναλωτών δηλαδή… των "υποκειμένων των δεδομένων"

Η θέση των καταναλωτών ενισχύεται. Οι καταναλωτές θα έχουν νέα δικαιώματα όπως το δικαίωμα διαγραφής, το δικαίωμα περιορισμού της επεξεργασίας, της φορητότητας των δεδομένων και το δικαίωμα να μην υπόκεινται σε αυτοματοποιημένη ατομική λήψη αποφάσεων, συμπεριλαμβανομένης της μορφοποίησης. Άλλα υφιστάμενα δικαιώματα ενισχύονται, όπως τα δικαιώματα ενημέρωσης, πρόσβασης, διόρθωσης και αμφισβήτησης.

Ο Mr DPO ή ο Υπεύθυνος προστασίας δεδομένων

Ίσως χρειαστεί να ορίσετε υπεύθυνο προστασίας δεδομένων εάν οι βασικές σας δραστηριότητες συνίστανται σε εργασίες επεξεργασίας, οι οποίες απαιτούν τακτική και πάντως συστηματική παρακολούθηση των καταναλωτών σε μεγάλη κλίμακα ή περιλαμβάνουν ειδικές κατηγορίες δεδομένων ή σχετίζονται με ποινικές καταδίκες και αδικήματα. Οι οργανισμοί που δραστηριοποιούνται στον τομέα της υγείας, σε θέματα πολιτικής επικοινωνίας ή που συμμετέχουν σε συνδικαλιστικές οργανώσεις ή θρησκευτικά κινήματα, θα πρέπει να συμβουλεύονται τον DPΟ και να τεκμηριώνουν πάντα τις αποφάσεις τους.

Με αφορά το GDPR;

Σε ευρωπαϊκό επίπεδο, η βασική νομοθεσία που διέπει επί του παρόντος την επεξεργασία και τη διαβίβαση δεδομένων προσωπικού χαρακτήρα είναι η οδηγία 95/46 / ΕΚ. Μετά από σχεδόν 23 χρόνια, η Ευρωπαϊκή Ένωση θέτει σε ισχύ νέους κανόνες υπό τη μορφή του Κανονισμού Γενικής Προστασίας Δεδομένων, ο οποίος τίθεται σε ισχύ σε όλα τα κράτη μέλη από τις 25 Μαΐου 2018 συμπεριλαμβανομένου του Ηνωμένου Βασιλείου (μέχρι τώρα) και των υπολοίπων χωρών του Ευρωπαϊκού Οικονομικού Χώρου (Νορβηγία, Λιχτενστάιν και Ισλανδία). Διαπιστώνοντας την αυξημένη ανάγκη του κοινού για περισσότερη διαφάνεια και βάσει της υφιστάμενης οδηγίας, ορίζει τη νέα βασική γραμμή συμμόρφωσης. Το τελικό αποτέλεσμα είναι ότι θα δοθούν περισσότερα δικαιώματα στους πολίτες και τους καταναλωτές - τα «υποκείμενα των δεδομένων» - για τον έλεγχο του τρόπου με τον οποίο οι επιχειρήσεις μπορούν να επεξεργάζονται τα δεδομένα τους. Οι εταιρείες - συμπεριλαμβανομένων των οργανισμών - έχουν επίσης περισσότερες ευθύνες.

Σε περιπτώσεις παραβίασης των δεδομένων, η εταιρεία μπορεί να είναι υπεύθυνη για το 4% του συνολικού κύκλου εργασιών της ή 20 εκατομμύρια ευρώ - όποια είναι υψηλότερη. Το πεδίο εφαρμογής της νομοθεσίας επεκτείνει τις αρμοδιότητες μόνο από υπεύθυνους επεξεργασίας δεδομένων σε εταιρείες που επεξεργάζονται δεδομένα για λογαριασμό ελεγκτών. Όπως αναλύεται λεπτομερέστερα στο επόμενο τμήμα, οι διαφημιστικοί οργανισμοί συνήθως αναλαμβάνουν το ρόλο των "μεταποιητών". Υπάρχει επίσης ένα ευρύτερο φάσμα όσων θεωρούνται προσωπικά δεδομένα στο πλαίσιο του GDPR. Οι αιτιολογικές βάσεις υπογραμμίζουν ότι ορισμένες κατηγορίες δεδομένων σε απευθείας σύνδεση μπορεί να είναι προσωπικά δεδομένα - αναφέρονται τα αναγνωριστικά στο διαδίκτυο, τα αναγνωριστικά συσκευών, τα αναγνωριστικά cookie και οι διευθύνσεις IP. Τέτοια αναγνωριστικά θα είναι προσωπικά δεδομένα, όπου χρησιμοποιούνται για τη δημιουργία προφίλ ανθρώπων και την αναγνώρισή τους. Επιπλέον, εάν πρόκειται για έναν οργανισμό ή μια ένωση διαφημιστικών εκτός της Ε.Ε., ίσως χρειαστεί να συμμορφωθούν με τους κανόνες και να ορίσουν έναν εκπρόσωπο στην ΕΕ. Οι νέοι κανόνες GDPR συλλέγουν ελεγκτές και μεταποιητές (επεξεργαστές) δεδομένων εκτός της ΕΕ, οι δραστηριότητες επεξεργασίας των οποίων αφορούν την προσφορά αγαθών ή υπηρεσιών (ακόμη και δωρεάν) ή την παρακολούθηση της συμπεριφοράς (εντός της ΕΕ) των «υποκειμένων των δεδομένων που βρίσκονται στην Ένωση». Η νομοθεσία κάνει focus στο πού μεταποιούνται τα δεδομένα και σε ποιόν ανήκουν τελικά.

tip!

Μάθετε εάν η υπηρεσία σας επεξεργάζεται τα προσωπικά δεδομένα των υποκειμένων των δεδομένων που βρίσκονται στην Ένωση. Εάν ναι, το GDPR ισχύει για εσάς!

Τι ακριβώς είμαι; Eλεγκτής δεδομένων, επεξεργαστής ή κοινός ελεγκτής;

Κάθε κρίκος της αλυσίδας εφοδιασμού που «αγγίζει» τα δεδομένα θα πρέπει να κατανοήσει τον ρόλο του. Οι ακόλουθοι τρεις κύριοι ρόλοι έχουν εντοπιστεί στο οικοσύστημα δεδομένων GDPR:

Στοιχεία δεδομένων - άτομα τα οποία επεξεργάζονται δεδομένα. Ο ελεγκτής δεδομένων - «μόνος ή με άλλους καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα». Οι πελάτες των διαφημιστικών εταιρειών συνήθως αναλαμβάνουν τον ρόλο των ελεγκτών δεδομένων. Καθορίζουν τους σκοπούς για τους οποίους τα δεδομένα επεξεργάζονται καταρχάς και ζητούν από τους επεξεργαστές να συλλέξουν, πού και από ποιον και να τεκμηριώσουν όλες τις πληροφορίες. Σύμφωνα με το GDPR, αυτοί έχουν τις περισσότερες ευθύνες.

Επεξεργαστής δεδομένων - 'επεξεργάζεται δεδομένα εξ ονόματος του ελεγκτή'. Οι υπηρεσίες είναι συνήθως επεξεργαστές, παρέχοντας βοήθεια στον ελεγκτή. Ωστόσο, υπάρχει η δυνατότητα να θεσπιστεί και ρόλος ενός κοινού ελεγκτή - επεξεργαστή. Από αυτήν την άποψη, είναι σημαντικό να εξεταστεί ο σκοπός της επεξεργασίας δεδομένων αν ο οργανισμός κάνει περισσότερα με τα δεδομένα από ό, τι ορίζει ο ελεγκτής. Οι ελεγκτές θα πρέπει να εξετάσουν το είδος των δεδομένων που κατέχουν οι ίδιοι και οι Επεξεργαστές:

• Γιατί φυλάσσονται data;

• Πού φυλάσσονται;

• Ποιος τα χρησιμοποιεί;

• Πώς χρησιμοποιούνται;

tip

Βεβαιωθείτε ότι οι συμβάσεις με τους πελάτες σας ευθυγραμμίζονται μεταξύ τους και ότι τα δεδομένα χρησιμοποιούνται με ασφαλή τρόπο.

tip

Προσδιορίστε αν είστε ελεγκτής δεδομένων, επεξεργαστής δεδομένων ή κοινός ελεγκτής.

Οι οργανισμοί συνήθως θέλουν να ταξινομηθούν ως επεξεργαστές δεδομένων και αποφεύγουν το βαρύ φορτίο του να είναι ελεγκτές. Ενημερώστε τις συμβάσεις μεταξύ ελεγκτών και επεξεργαστών για να διευκρινίσετε τους ρόλους, τις ευθύνες και τις επιτρεπόμενες διαδικασίες.

ΤΙ ΕΙΝΑΙ ΟΙ ΒΑΣΕΙΣ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ;

Οι πιθανές βάσεις για επεξεργασία δεδομένων είναι:

• Συγκατάθεση

• Εκτέλεση σύμβασης

• Απαραίτητα σημεία για συμμόρφωση

• Προστασία ζωτικών συμφερόντων

• Απαραίτητα στοιχεία για την εκτέλεση ενός έργου που εκτελείται προς το δημόσιο συμφέρον

• Αιτιολογημένα συμφέροντα

Για τη διαφήμιση χρησιμοποιείται συνήθως συγκατάθεση ή νόμιμα συμφέροντα.

Θα μπορούσαν να υπάρχουν νόμιμα συμφέροντα και θα απαιτούσαν τουλάχιστον το υποκείμενο των δεδομένων να συνδέεται άμεσα με τον υπεύθυνο επεξεργασίας δεδομένων. Αυτό θα επέτρεπε την ευθυγράμμιση των εύλογων προσδοκιών του υποκειμένου των δεδομένων με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για λόγους άμεσης εμπορικής προώθησης μπορεί να θεωρηθεί ότι πραγματοποιήθηκε βάσει νόμιμων συμφερόντων, αλλά θα απαιτούσε τη διενέργεια δοκιμών εξισορρόπησης.

Αξίζει να σημειωθεί ότι αν τα δεδομένα είναι ανώνυμα, δεν ισχύει καμία νομοθεσία περί απορρήτου. Είναι μια ιδανική ευκαιρία για να βγούμε από τη νομοθεσία για την προστασία της ιδιωτικής ζωής, αλλά όχι πολύ ισχυρή για να στηριχθούμε, καθώς αποδεικνύει ότι η συνολική και συνεχής ανωνυμία των δεδομένων παραμένει πρόκληση. Τα δεδομένα ανωνυμοποίησης είναι διαφορετικά από τα δεδομένα που αφορούν τη φύλαξη σε "μνήμη". Τα ψευδώνυμα δεδομένα σημαίνουν ότι «τα προσωπικά δεδομένα δεν μπορούν πλέον να αποδοθούν σε ένα συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση πρόσθετων πληροφοριών», συνήθως εφαρμόζοντας τεχνικά και οργανωτικά μέτρα για τον διαχωρισμό των αρχικών δεδομένων από τα ψευδονομαζόμενα δεδομένα. Το κλειδί για την επαναπροσδιορισμό των ατόμων διατηρείται ξεχωριστά. Αυτά τα δεδομένα εξακολουθούν να εμπίπτουν στο πεδίο εφαρμογής του GDPR, αλλά μπορούν να βοηθήσουν τις εταιρείες να βασίζονται στο νόμιμο έδαφος των νόμιμων συμφερόντων, επιδεικνύοντας δοκιμές εξισορρόπησης.

Το πρόβλημα με τα ψευδώνυμα αλλά και τα ανώνυμα δεδομένα είναι ότι καθώς προστίθενται περισσότερα δεδομένα, εμφανίζονται αποκλίσεις οι οποίες θα μπορούσαν, θεωρητικά, να επαναπροσδιορίσουν τα υποκείμενα των δεδομένων. Αυτό συνέβη στην περίπτωση ενός πακέτου δεδομένων του Netflix που κυκλοφόρησε από 500.000 πελάτες, όπου οι έρευνες εντοπίζουν τους χρήστες με τη διασταύρωση δεδομένων.

Ενώ το GDPR δεν ορίζει ανώνυμα δεδομένα, η τρέχουσα οδηγία δηλώνει ότι "για να προσδιοριστεί αν ένα πρόσωπο είναι αναγνωρίσιμο, πρέπει να λαμβάνονται υπόψη όλα τα μέσα που μπορούν ευλόγως να χρησιμοποιηθούν είτε από τον υπεύθυνο της επεξεργασίας είτε από οποιοδήποτε πρόσωπο για τον προσδιορισμό των εν λόγω δεδομένων". Αυτό υποδηλώνει την αύξηση του κινδύνου επαναπροσδιορισμού σε περίπτωση που τα δεδομένα διατηρηθούν ή εμπλουτιστούν. Στην ιδανική περίπτωση, τα ανώνυμα δεδομένα πρέπει να χρησιμοποιούνται για το σκοπό της χρήσης και μόνο.

GDPR έναντι ePRIVACY

Ο κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες είναι μια ειδική προσθήκη στο GDPR, που ασχολείται με την εμπιστευτικότητα των επικοινωνιών και την πρόσβαση σε cookies, δηλαδή σε αναγνωριστικά software. Αρχικά προβλεπόταν να τεθεί σε ισχύ ταυτόχρονα με το GDPR, ωστόσο στην πορεία αποφασίστηκε το τελικό νομοθετικό κείμενο να εγκριθεί κατά το πρώτο εξάμηνο του 2019. Και τα δύο νομοθετήματα βασίζονται στον Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ, με το GDPR να ασχολείται με το δικαίωμα στην προστασία των προσωπικών δεδομένων (Άρθρο 8), και το ePrivacy να αντιμετωπίζει (άρθρο 7) θέματα Σεβασμού της ιδιωτικής και προσωπικής ζωής. Ο κανονισμός για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών αποσκοπεί κυρίως στην ευθυγράμμιση με τη χρήση διαφόρων "ιχνηλατών". Πρόκειται για την επανεξέταση αυτού που κάποτε ονομάστηκε Οδηγία cookie. Οι οργανισμοί αναμένουν να δουν περαιτέρω αλλαγές στον ορίζοντα με τον κανονισμό για την προστασία της ιδιωτικής ζωής στον τομέα του ηλεκτρονικού χρήματος. Για παράδειγμα, τα νόμιμα συμφέροντα ενδέχεται να μην αποτελούν επιλογή ως πιθανή νομική βάση για νόμιμη "μεταποίηση". Αυτό σημαίνει ότι η συγκατάθεση μπορεί να αποτελεί το κύριο μέσο διασφάλισης της νομιμότητας της επεξεργασίας για στοχοθετημένη διαφήμιση στο μέλλον και πρέπει να αναπτυχθούν οι κατάλληλοι μηχανισμοί συγκατάθεσης.

tip

Προετοιμαστείτε για τις αλλαγές και αναπτύξτε εργαλεία για να δώσετε τη συγκατάθεσή σας στους καταναλωτές.

ΤΙ ΕΙΝΑΙ ΟΙ ΣΥΝΘΗΚΕΣ ΓΙΑ ΣΥΓΚΑΤΑΘΕΣΗ;

Σύμφωνα με το νέο κείμενο, η συγκατάθεση πρέπει να είναι "ελεύθερη, συγκεκριμένη, ενημερωμένη και ξεκάθαρη"

Οι απαιτήσεις συγκατάθεσης περιλαμβάνουν τα ακόλουθα:

• Η συγκατάθεση των ατόμων πρέπει να αποδεικνύεται από τους υπεύθυνους επεξεργασίας δεδομένων - και αυτό πρέπει να γίνεται όσο το δυνατόν πιο διαφανές από την αρχή.

• Οι οργανισμοί θα πρέπει να εξασφαλίζουν ότι η συναίνεση διαχωρίζεται από θέματα όπως οι όροι και οι προϋποθέσεις, ώστε τα άτομα να έχουν πλήρη σαφήνεια ως προς το τι συναινούν.

• Πρέπει να λαμβάνονται ξεχωριστές εγκρίσεις για διαφορετικές δραστηριότητες επεξεργασίας.

• Οι οργανισμοί πρέπει να ονομάζουν πολύ συγκεκριμένα οποιουσδήποτε τρίτους με τους οποίους μοιράζονται τα προσωπικά δεδομένα μεμονωμένων ατόμων.

• Πρέπει να καταγράφονται και να τηρούνται αρχεία ατομικής συναίνεσης - με όσο το δυνατόν περισσότερες λεπτομέρειες.

• Η συγκατάθεση τεκμαίρεται ότι δεν παρέχεται ελεύθερα εάν η εκτέλεση μιας σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, εξαρτάται από τη συγκατάθεσή της, παρότι η συναίνεση αυτή δεν είναι απαραίτητη για τέτοιες επιδόσεις.

• Τα άτομα πρέπει να μπορούν εύκολα να αποσύρουν τη συγκατάθεσή τους.

• Πρέπει να παρέχεται επαληθεύσιμη γονική συναίνεση για τα παιδιά ηλικίας 13-16 ετών.

tip

Βεβαιωθείτε ότι οι καταναλωτές μπορούν να αποσύρουν εύκολα τη συναίνεση.

tip


Εάν διαθέτετε υπηρεσίες ή προϊόντα που απευθύνονται ιδιαίτερα σε παιδιά, να τοποθετήσετε μηχανισμούς για να ζητήσετε και να επαληθεύσετε τη συγκατάθεση των γονέων, προσαρμόζοντάς την σε εθνική νομοθεσία.

Τι πρέπει να πείτε στους καταναλωτές και πως;

Σύμφωνα με το GDPR, οι υπεύθυνοι επεξεργασίας έχουν την υποχρέωση να παρέχουν περισσότερες (λεπτομερείς) πληροφορίες σχετικά με την επεξεργασία δεδομένων στους καταναλωτές ή όπως λέγεται στα νομικά, τα «υποκείμενα δεδομένων». Πρέπει να διατίθενται οι πληροφορίες αυτές σε «συνοπτική, διαφανή, κατανοητή και εύκολα προσιτή μορφή, με σαφή και απλή γλώσσα». Πρόκειται για μια πρόκληση αλλά και μια ευκαιρία για τις οργανώσεις να διερευνήσουν δημιουργικούς τρόπους για να οικοδομήσουν το έργο τους, καθώς δεν υπάρχει συγκεκριμένη μορφή για την παροχή των απαραίτητων πληροφοριών.

Στο προσχέδιο κατευθυντήριων γραμμών κατά τη στιγμή της σύνταξης, η ομάδα εργασίας του άρθρου 29, η οποία επί του παρόντος απαρτίζεται από όλες τις εθνικές αρχές προστασίας δεδομένων και εκπρόσωπο της Ευρωπαϊκής Επιτροπής και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (EDPS), ορίζει τις ακόλουθες απαιτήσεις: πληροφορίες που πρέπει να παρέχονται στους καταναλωτές:

• Βεβαιωθείτε ότι οι πληροφορίες είναι κατανοητές από ένα μέσο μέλος του ακροατηρίου σας με τη διενέργεια περιοδικών ελέγχων.

• Τα παιδιά και άλλα ευάλωτα μέλη της κοινωνίας πρέπει να είναι σε θέση να αναγνωρίσουν ότι οι πληροφορίες απευθύνονται σε αυτούς.

• Θα πρέπει να είναι προφανές στους καταναλωτές που ακριβώς υπάρχουν οι πληροφορίες.

• Αποφύγετε την αποστολή μεγάλου όγκου πληροφοριών.

• Οι πληροφορίες πρέπει να είναι συγκεκριμένες και οριστικές. Οι χρήσεις λέξεων όπως «μπορεί», «κάποιο», «συχνά» και «πιθανός» πρέπει να αποφεύγονται.

• Οι υπεύθυνοι επεξεργασίας δεδομένων είναι ελεύθεροι να επιλέξουν τη μέθοδο παροχής πληροφοριών, αλλά όπου έχουν ηλεκτρονική παρουσία, συνιστάται μια διαδικτυακή φόρμα δηλώσεων προστασίας προσωπικών δεδομένων / ειδοποίησης. Η πρώτη ειδοποίηση πρέπει να περιέχει πληροφορίες που έχουν τον μεγαλύτερο αντίκτυπο στον καταναλωτή και την επεξεργασία.

• Θα πρέπει να υπενθυμίζεται η δήλωση προστασίας προσωπικών δεδομένων / ειδοποίηση σε κατάλληλα χρονικά διαστήματα.

Ο κατάλογος των πληροφοριών που πρέπει να παρέχονται θα επεκταθεί. Οι απαραίτητες πληροφορίες περιλαμβάνουν

• Την ταυτότητα και τα στοιχεία επικοινωνίας του ελεγκτή / του αντιπροσώπου του

• Τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων (DPI)

• Οι σκοποί και η νομική βάση για τη μεταποίηση

• Όταν τα νόμιμα συμφέροντα αποτελούν τη νομική βάση, τα έννομα συμφέροντα που επιδιώκει η

ελεγκτή / τρίτο μέρος

• Οι παραλήπτες ή οι κατηγορίες αποδεκτών των προσωπικών δεδομένων

• Λεπτομέρειες σχετικά με τις μεταφορές προς τρίτες χώρες, το ίδιο και τις λεπτομέρειες των σχετικών

συμπεριλαμβανομένων των αποφάσεων επάρκειας της Επιτροπής και των μέσων για την επίτευξη ενός

αντίγραφου αυτών ή όταν έχουν διατεθεί

• Η περίοδος αποθήκευσης

• Τα δικαιώματα του καταναλωτή (πρόσβαση, διόρθωση, διαγραφή, περιορισμός της επεξεργασίας

και ένσταση περί επεξεργασίας και φορητότητας)

• Όταν η επεξεργασία βασίζεται σε συναίνεση, το δικαίωμα ανάκλησης συγκατάθεσης ανά πάσα στιγμή

• Το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή

• Υπάρχει συμβατική ή συμβατική απαίτηση για την παροχή των πληροφοριών ή αν είναι αναγκαία η σύναψη σύμβασης ή εάν υπάρχει υποχρέωση να παρέχουν τις πληροφορίες και τις πιθανές συνέπειες της αποτυχίας

• Την πηγή από την οποία προέρχονται τα προσωπικά δεδομένα και, αν ισχύει, αν προέρχεται από μια δημόσια προσιτή πηγή. Η ύπαρξη αυτοματοποιημένης λήψης αποφάσεων συμπεριλαμβανομένης της μορφοποίησης και, κατά περίπτωση, σημαντικών πληροφοριών σχετικά με τη χρησιμοποιούμενη λογική και τη σημασία και τις προβλεπόμενες συνέπειες αυτής της επεξεργασίας για τον καταναλωτή

tip

Αναπτύξτε μια μέθοδο για να εμφανίσετε πληροφορίες σχετικά με την επεξεργασία δεδομένων που ικανοποιούν

όλες τις απαιτήσεις GDPR. Να είστε πεντακάθαροι σχετικά με:

• Γιατί συλλέγετε δεδομένα;

• Ποιος θα το χρησιμοποιήσει;

• Πώς θα χρησιμοποιηθεί;

ΤΑ ΠΡΟΦΙΛ και η ΣΤΟΧΟΘΕΤΗΜΕΝΗ ΔΙΑΦΗΜΙΣΗ

Μπορεί να χρειαστείτε τη ρητή συγκατάθεση του καταναλωτή εάν δημιουργείτε και φυλάσσετε αποκλειστικά αυτοματοποιημένα προφίλ τους, οδηγώντας σε λήψη αποφάσεων σχετικά με αυτές και δημιουργώντας νομικές συνέπειες ή επηρεάζοντάς τες με παρόμοιο τρόπο. Μια εναλλακτική βάση για να διασφαλιστεί ότι το προφίλ είναι νόμιμο είναι η σύναψη ή η εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπεύθυνου επεξεργασίας. Επί του παρόντος, είναι αβέβαιο το κατά πόσο η "στοχοθετημένη διαφήμιση" πρέπει να απαιτεί τη ρητή συγκατάθεση των καταναλωτών. Ωστόσο, τα ιδιαίτερα χαρακτηριστικά της διαδικτυακής διαφήμισης και των πιθανών συνεπειών της ενδέχεται να διαδραματίσουν κάποιο ρόλο. Για παράδειγμα, εάν η στοχοθετημένη διαφήμιση οδηγεί σε διαφοροποιημένη τιμολόγηση, αποκλείοντας ορισμένους από ορισμένα αγαθά ή υπηρεσίες, ενδέχεται να απαιτείται ρητή συγκατάθεση.

Σε περίπτωση που απαιτείται ρητή συγκατάθεση, θα πρέπει να ληφθούν εκτενέστερα μέτρα σε σύγκριση με τους όρους κανονικής συναίνεσης, τουλάχιστον το δικαίωμα να προκληθεί ανθρώπινη παρέμβαση από τον υπεύθυνο επεξεργασίας για να εκφράσει την άποψή του και να αμφισβητήσει την απόφαση. Πρόσθετα μέτρα θα μπορούσαν να περιλαμβάνουν, για παράδειγμα, την συμπλήρωση των ηλεκτρονικών εντύπων από τους καταναλωτές, την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου ή την αποστολή σαρωμένων εγγράφων με τις υπογραφές τους.

tip


Αναθεωρήστε τις πρακτικές δημιουργίας προφίλ και, αν χρειαστεί, αναπτύξτε νέες.

KAI ΕΚΤΟΣ ΕΥΡΩΠΗΣ;

Όταν τα δεδομένα μεταφέρονται εκτός του Ευρωπαϊκού Οικονομικού Χώρου, το πρώτο πράγμα που πρέπει να ελεγχθεί είναι κατά πόσον υπάρχουν συμφωνίες με τη χώρα αυτή σχετικά με τα κατάλληλα επίπεδα προστασίας των δεδομένων από την εθνική νομοθεσία ή από τις διεθνείς δεσμεύσεις που έχει αναλάβει. Είναι σημαντικό να σκεφτείτε και να ρωτήσετε πού αποθηκεύονται τα δεδομένα για να διασφαλίσετε ότι τα δικαιώματα των υποκειμένων των δεδομένων προστατεύονται. Συνήθως, το cloud δεν συνιστά μια έγκυρη απάντηση, καθώς είναι ένας διακομιστής που βρίσκεται "κάπου".

tip

Εάν μεταφέρετε δεδομένα εκτός της Ευρώπης, ελέγξτε την επάρκεια και προσέξτε μεταγενέστερες μεταφορές (δηλαδή μεταφορές προς άλλη χώρα, π.χ. Ινδία).

Εάν δεν υπάρχει επάρκεια, χρησιμοποιήστε ένα από τα παρακάτω μέσα: τυπικές συμβατικές ρήτρες (που ονομάζονται επίσης πρότυπες ρήτρες) ή δεσμευτικοί εταιρικοί κανόνες.

Προς το παρόν, οι μεταφορές από την ΕΕ στις ΗΠΑ μπορούν επίσης να χρησιμοποιήσουν την Ασπίδα Προστασίας Προσωπικών Δεδομένων.

ΠΩΣ ΝΑ ΕΞΑΣΦΑΛΙΣΕΤΕ ΤΗΝ ΑΣΦΑΛΕΙΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ;

Οι υπεύθυνοι επεξεργασίας υποχρεούνται να εφαρμόζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα μαζί με μια διαδικασία τακτικών δοκιμών, αξιολόγησης της αποτελεσματικότητας αυτών των μέτρων ώστε να εξασφαλίζεται η ασφάλεια της επεξεργασίας. Αυτό περιλαμβάνει την κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα. Οι οργανισμοί πρέπει να διαθέτουν ενιαία και «συμπαγή» συμμόρφωση στην προστασία των δεδομένων στις δραστηριότητές τους για την επεξεργασία δεδομένων, συλλέγοντας data μόνο για συγκεκριμένους σκοπούς και επεξεργάζοντας τον ελάχιστο απαραίτητο και αναγκαίο όγκο προσωπικών δεδομένών. Δύο συγκεκριμένα σημεία παραβίασης των δεδομένων και εκτιμήσεων επιπτώσεων εξετάζονται παρακάτω.

Παραβιάσεις δεδομένων

Για να διασφαλιστεί η ασφάλεια της επεξεργασίας δεδομένων, οι οργανισμοί και οι εταιρείες μπορεί να χρειαστεί να είναι έτοιμοι να ειδοποιήσουν τους καταναλωτές για ενδεχόμενες παραβιάσεις δεδομένων. Το GDPR δηλώνει ότι εάν η εταιρεία σας έχει υποστεί παραβίαση προσωπικών δεδομένων και είστε υπεύθυνος επεξεργασίας, τότε έχετε την υποχρέωση να ειδοποιήσετε την εποπτική αρχή εντός των επόμενων 72 ωρών (3 ημερών). Οι επεξεργαστές δεδομένων πρέπει να ειδοποιούν τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση, αφού λάβουν γνώση μιας παραβίασης προσωπικών δεδομένων. Στη συνέχεια, θα πρέπει να εκτιμήσουν κατά πόσον η παραβίαση είναι πιθανό να αποτελέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του καταναλωτή. Αν ναι, τότε ο υπεύθυνος επεξεργασίας δεδομένων θα πρέπει να ενημερώνει τους καταναλωτές χωρίς τη βοήθεια του μεταποιητή, εκτός εάν η σύμβαση μεταξύ τους ορίζει διαφορετικά.

tip


Μετακινήστε την ασφάλεια (φυσική και ψηφιακή) από την παρακολούθηση στην προειδοποίηση.

Καθορίστε τον τρόπο εγγραφής των ειδοποιήσεων εσωτερικά και τον τρόπο δράσης: ποιες διαδικασίες θα χρειαστεί και ποιος αποφασίζει τι πρέπει να κάνει μέσα στις διαδικασίες.

Εκτιμήσεις Επιπτώσεων Προστασίας Δεδομένων (DPIA)

Ένας άλλος τρόπος για να ευθυγραμμιστούν οι υποχρεώσεις λογοδοσίας και να εξασφαλιστεί η ασφάλεια της επεξεργασίας δεδομένων είναι να υποβληθούν σε εκτιμήσεις επιπτώσεων στην προστασία δεδομένων (DPIA). Σημειώστε ότι πρέπει να γίνουν πριν από την επεξεργασία των προσωπικών δεδομένων. Μια DPIA είναι υποχρεωτική όταν η επεξεργασία δεδομένων είναι πιθανό να οδηγήσει σε «υψηλό κίνδυνο». Είναι πιθανό να ισχύει για τις ψηφιακές αναλύσεις, τις πλατφόρμες διαχείρισης δεδομένων και τις πλατφόρμες δεδομένων πελατών.

Η ομάδα εργασίας του άρθρου 29, η οποία επί του παρόντος αποτελείται από όλες τις εθνικές αρχές προστασίας δεδομένων και έναν εκπρόσωπο της Ευρωπαϊκής Επιτροπής και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ), εξέδωσε οδηγίες σχετικά με το θέμα. Εάν πληρούνται τουλάχιστον δύο σημεία σε αυτά τα κριτήρια, η επεξεργασία θεωρείται ότι είναι «πιθανώς υψηλού κινδύνου» και μόνο διεξοδικά τεκμηριωτικοί λόγοι για την μη εκτέλεση μιας DPIA μπορεί να θεωρηθεί επαρκής λόγος να μην πραγματοποιηθεί κανείς. Οι εργασίες επεξεργασίας μπορούν να ομαδοποιηθούν για μια ενιαία αξιολόγηση όταν χρησιμοποιείται παρόμοια τεχνολογία για τη συλλογή των ίδιων δεδομένων για τους ίδιους σκοπούς. Οι εθνικές αρχές προστασίας δεδομένων (εποπτικές αρχές στο πλαίσιο του GDPR) θα καταρτίσουν σε εύθετο χρόνο τους δικούς τους κατάλογους των πράξεων επεξεργασίας που απαιτούν DPIA.

Ο υπεύθυνος επεξεργασίας - ο οποίος καθορίζει τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα - είναι υπεύθυνος να διασφαλίζει ότι η DPIA εκτελείται με τη συμβουλή του υπεύθυνου προστασίας δεδομένων. Εάν η επεξεργασία πραγματοποιείται συνολικά ή εν μέρει από έναν επεξεργαστή δεδομένων - δηλ. από έναν οργανισμό επεξεργασίας δεδομένων για λογαριασμό του ελεγκτή -, θα πρέπει να βοηθά τον ελεγκτή στην εκτέλεση της DPIA και να παρέχει όλες τις απαραίτητες πληροφορίες.

Οι υπεύθυνοι επεξεργασίας δεδομένων είναι ελεύθεροι να επιλέξουν μια μεθοδολογία DPIA που τους ταιριάζει, εφόσον τεκμηριώνονται τα ελάχιστα χαρακτηριστικά μιας DPIA.

tip


Βεβαιωθείτε ότι οι υπηρεσίες DPIA εκτελούνται όπως απαιτείται ή ζητήστε από τους πελάτες να ελαχιστοποιήσουν τον κίνδυνο.

ΠΩΣ ΝΑ ΔΙΑΧΕΙΡΙΣΕΤΕ ΤΑ ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΚΑΤΑΝΑΛΩΤΗ;

Καθώς οι καταναλωτές ή τα νομικά πρόσωπα που αναφέρονται στα δεδομένα αποκτούν περισσότερα δικαιώματα, πρέπει να είστε προσεκτικοί με τα data που έχετε ήδη στην κατοχή τους. Οι οργανισμοί θα πρέπει να εφαρμόσουν σαφείς διαδικασίες ώστε να είναι σε θέση να ανταποκρίνονται στα αιτήματα των καταναλωτών σχετικά με τα προσωπικά τους δεδομένα. Τα δικαιώματα, ορισμένα από τα οποία έχουν ήδη συζητηθεί στην παρούσα έκθεση, παρατίθενται παρακάτω:

• Δικαίωμα πρόσβασης από το υποκείμενο των δεδομένων

• Δικαίωμα διόρθωσης

• Δικαίωμα διαγραφής ("δικαίωμα να ξεχαστεί")

• Δικαίωμα περιορισμού της επεξεργασίας

• Υποχρέωση κοινοποίησης σχετικά με τη διόρθωση ή τη διαγραφή προσωπικών δεδομένων ή περιορισμούς

της μεταποίησης

• Δικαίωμα στη φορητότητα δεδομένων

• Δικαίωμα αντικρούσεως

• Αυτοματοποιημένη ατομική λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ

Η τήρηση αυτών των απαιτήσεων εξαρτάται από την αναγνώριση της υποχρέωσης συμμόρφωσης

(από τους πελάτες σας) και τη δυνατότητα σύνδεσης των δεδομένων. Πολλά δεδομένα συνδέονται μεταξύ διαφορετικών εργαλείων και διασυνδέσεων προγραμμάτων εφαρμογών. Θα πρέπει να αποσυνδεθεί - διασφαλίζοντας ότι δεν θα περάσει, για παράδειγμα, από τη μέτρηση του κοινού μέχρι τη στόχευση διαφημίσεων. Η αποδέσμευση πρέπει να είναι δυνατή και να αναγράφεται σωστά στη σύμβαση, εκτός εάν οι πωλητές αποδέχονται να γίνουν κοινοί ελεγκτές.

Λάβετε υπόψη ότι η ενέργεια των καταναλωτών υπόκειται σε άλλες υποχρεώσεις των υπευθύνων επεξεργασίας και των υπευθύνων επεξεργασίας δεδομένων. Είναι πιθανό να έχετε την υποχρέωση να διατηρείτε ορισμένα δεδομένα για την Πολιτεία. Βεβαιωθείτε ότι το έχετε επικοινωνήσει αυτό στους πελάτες σας.

tip

Βεβαιωθείτε ότι έχετε θεσπίσει εσωτερικές διαδικασίες για να ανταποκριθείτε στις απαιτήσεις των καταναλωτών, αιτήματα σχετικά με τα προσωπικά τους δεδομένα και ότι έχετε φυλάξει αρχεία τους για επεξεργασία, η οποία μπορεί να μεταφερθεί, να επεξεργαστεί και να διαγραφεί εάν είναι απαραίτητο

ΤΙ ΕΓΓΡΑΦΑ ΝΑ ΚΡΑΤΗΣΕΤΕ;

Για ελεγκτές:

• το όνομα και τα στοιχεία επικοινωνίας των ελεγκτών, των αντιπροσώπων τους και των δεδομένων προστασίας

• τους σκοπούς της επεξεργασίας

• περιγραφή των κατηγοριών των προσώπων στα οποία αναφέρονται τα δεδομένα και των κατηγοριών προσωπικών δεδομένων

• τις κατηγορίες των αποδεκτών στους οποίους έχουν διαβιβαστεί ή πρόκειται να αποκαλυφθούν τα προσωπικά δεδομένα συμπεριλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς

• διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, ταυτοποίηση και τεκμηρίωση των κατάλληλων διασφαλίσεων

• προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων

• γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας

Για τους επεξεργαστές:

• το όνομα και τα στοιχεία επικοινωνίας των μεταποιητών και κάθε υπεύθυνου επεξεργασίας για λογαριασμό του την οποία ενεργεί ο μεταποιητής, τους αντιπροσώπους τους και τον υπεύθυνο προστασίας δεδομένων

• τις κατηγορίες επεξεργασίας που πραγματοποιήθηκαν για λογαριασμό κάθε υπεύθυνου επεξεργασίας

• διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, τους

την ταυτοποίηση και την τεκμηρίωση των κατάλληλων διασφαλίσεων

Οι υπεύθυνοι επεξεργασίας υποχρεούνται επίσης να τηρούν αρχείο όλων των παραβιάσεων δεδομένων.

Οι πληροφορίες πρέπει να είναι γραπτές, ακόμη και σε ηλεκτρονική μορφή.

Τα αρχεία πρέπει να είναι στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος και να παρέχονται στους καταναλωτές. Υπάρχουν παρεκκλίσεις για τις μικρότερες εταιρείες, λιγότερες από 250 εργαζόμενους. η επεξεργασία δεδομένων είναι περιστασιακή, κ.λπ. Ωστόσο, δεν εφαρμόζονται σε περίπτωση επεξεργασίας ευαίσθητων δεδομένων.

ΠΩΣ ΝΑ ΠΑΡΑΚΟΛΟΥΘΕΙ Ο DPO ΤΗ ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΟ GDPR;

Υπεύθυνος προστασίας δεδομένων

Ως αποτέλεσμα του GDPR, ορισμένοι ελεγκτές και επεξεργαστές θα πρέπει να διορίσουν έναν ειδικό υπεύθυνο προστασίας δεδομένων (DPO) προκειμένου να μπορεί να βοηθήσει τους οργανισμούς να παρακολουθούν την εσωτερική συμμόρφωση με το GDPR. Είναι απαραίτητο όταν «οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του μεταποιητή συνίστανται σε εργασίες επεξεργασίας, οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα».

Ορίστε έναν DPO. Ακόμη και αν ο πελάτης σας διαθέτει DPO και χρησιμοποιείτε τα δεδομένα που παρέχει, μπορεί να χρειαστεί να έχετε δικό σας DPO εάν και οι δύο σας επεξεργάζονται δεδομένα σε μεγάλη κλίμακα. Είναι δυνατόν μια ομάδα επιχειρήσεων να ορίσει έναν ενιαίο DPO. Υπό την προϋπόθεση ότι είναι «εύκολα προσβάσιμο από κάθε εγκατάσταση» και «είναι σε θέση να επικοινωνεί αποτελεσματικά με τους καταναλωτές και να συνεργάζεται με τις ενδιαφερόμενες εποπτικές αρχές». Αυτό σημαίνει επίσης ότι η ανακοίνωση αυτή πρέπει να πραγματοποιείται στη γλώσσα ή τις γλώσσες που χρησιμοποιούν οι εποπτικές αρχές και οι ενδιαφερόμενοι καταναλωτές. Αν ο Όμιλός σας επιχειρεί σε όλη την Ευρώπη, ίσως θελήσετε να εξετάσετε το ενδεχόμενο διορισμού πολλών DPOs. Το απαιτούμενο επίπεδο εμπειρογνωμοσύνης δεν είναι αυστηρά καθορισμένο, αλλά πρέπει να είναι ανάλογο με την ευαισθησία, την πολυπλοκότητα και την ποσότητα δεδομένων που επεξεργάζεται ένας οργανισμός. Οι DPOs πρέπει να έχουν πείρα σε εθνικούς και ευρωπαϊκούς νόμους και πρακτικές για την προστασία των δεδομένων και σε μια εις βάθος κατανόηση του GDPR. Η γνώση του επιχειρηματικού τομέα και της οργάνωσης του ελεγκτή είναι χρήσιμη. Ο DPSs πρέπει επίσης να έχει επαρκή κατανόηση για τις διεργασίες επεξεργασίας που πραγματοποιούνται, καθώς και για τις ανάγκες των συστημάτων πληροφορικής και ασφάλειας δεδομένων και προστασίας των δεδομένων του υπεύθυνου επεξεργασίας. Οι Αρχές Προστασίας Δεδομένων (Εποπτικές Αρχές στο πλαίσιο του GDPR) απαριθμούν όσα πρέπει να διασφαλίσει ένας οργανισμός για τον DPO που απαριθμούνται στο Παράρτημα.29

Οι DPO δεν πρέπει να ενημερώνονται για το πώς να χειριστούν ένα ζήτημα, για παράδειγμα ποιο αποτέλεσμα πρέπει να επιτευχθεί, πώς να διερευνήσει μια καταγγελία ή αν πρέπει να συμβουλευθεί την εποπτική αρχή. Επιπλέον, δεν πρέπει να τους δοθεί η εντολή να λάβουν ορισμένη θέση σχετικά με ένα ζήτημα που σχετίζεται με το δίκαιο προστασίας των δεδομένων, για παράδειγμα, μια συγκεκριμένη ερμηνεία του νόμου. Ωστόσο, η αυτονομία των DPOs δεν σημαίνει ότι διαθέτουν εξουσίες λήψης αποφάσεων πέραν των καθηκόντων τους.

Παρόλο που οι DPOs επιτρέπεται να ασκούν άλλες λειτουργίες, μπορούν να τους ανατεθούν άλλα καθήκοντα μόνον εφόσον δεν δημιουργούν συγκρούσεις συμφερόντων. Αυτό συνεπάγεται ειδικότερα ότι ο DPO δεν μπορεί να κατέχει θέση εντός του οργανισμού που τον οδηγεί να προσδιορίσει τους σκοπούς και τα μέσα επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Λόγω της συγκεκριμένης οργανωτικής δομής σε κάθε οργανισμό, αυτό πρέπει να λαμβάνεται υπόψη κατά περίπτωση.

tip


Αξιολογήστε αν πρέπει να ορίσετε έναν DPO.

Κώδικες συμπεριφοράς, σφραγίδες, πιστοποιητικά και πρότυπα

Ορισμένες εταιρείες είναι πρόθυμες να συνεργαστούν μόνο με άλλους παρόχους εάν διαθέτουν πιστοποιητικά ή σφραγίδες στη θέση τους ή συμμορφώνονται με συγκεκριμένα πρότυπα. Αυτά μπορεί να είναι χρήσιμα όσον αφορά τις βέλτιστες πρακτικές. Η ομάδα εργασίας του άρθρου 29 θα δημοσιεύσει κατευθυντήριες γραμμές σχετικά με αυτό το σημείο εν ευθέτω χρόνω. Οι σφραγίδες και τα πιστοποιητικά ενθαρρύνονται στο GDPR, όπως αναφέρεται στην οδηγία. Λόγω της αρχής της υποχρέωσης λογοδοσίας, οι υπεύθυνοι επεξεργασίας δεδομένων συνήθως θέλουν να διασφαλίσουν ότι η επιλογή των επεξεργαστών δεδομένων είναι ευθυγραμμισμένη με τις υποχρεώσεις τους. Ως εκ τούτου, έχουν υποχρέωση επιμέλειας, η οποία θα μπορούσε να μεταφραστεί σε έλεγχο. Τα πρότυπα, οι σφραγίδες και τα πιστοποιητικά είναι μηχανισμοί που διασφαλίζουν την κατανόηση των υποχρεώσεων προστασίας δεδομένων βάσει του GDPR και των διαδικασιών που έχουν τεθεί σε εφαρμογή για να ευθυγραμμιστούν με αυτές τις υποχρεώσεις.

Ενώ τα πιστοποιητικά ποικίλλουν πιθανόν ανά περιοχή και τομέα, ορισμένες βέλτιστες πρακτικές μπορούν να βρεθούν μέσα στα υπάρχοντα πρότυπα. Συνήθως, η οικογένεια προτύπων ISO / IEC 27000 αποτελεί σημείο εκκίνησης για τις βέλτιστες πρακτικές ασφαλείας με τη μορφή κωδίκων δεοντολογίας.

ΕΥΚΑΙΡΙΑ Ή ΠΡΟΚΛΗΣΗ;

Μόνο ο διορισμός ενός υπεύθυνου προστασίας δεδομένων θα αρκεί για να διασφαλιστεί η τήρηση της αρχής της λογοδοσίας.

• Συνολικά, οι νομοθετικές αλλαγές πρέπει να δημιουργήσουν καλύτερες, βαθύτερες και πιο σεβαστές σχέσεις με τους πελάτες για τους διαφημιζόμενους και τους εκδότες. Αυτό θα είναι μια ευκαιρία.