GDPR ποιούς αφορά.Λίστα ελέγχου για τον Κανονισμό για την Προστασία των Προσωπικών Δεδομένων
Τα πρώτα βήματα προς συμμόρφωση με τον γενικό κανονισμό για την προστασία των προσωπικών δεδομένων είναι η κατανόηση των υποχρεώσεων σας, των τρεχουσών επεξεργασιών σας και ο προσδιορισμός οποιονδήποτε κενών. Η διεξαγωγή ενός ελέγχου για την προστασία δεδομένων είναι απαραίτητη για την συμμόρφωση. Αυτή η λίστα ελέγχου προορίζεται για να αποτελέσει την αρχή και όχι ένα ενδελεχή έλεγχο. Ο Data Protection Officer σας (Υπεύθυνος Προστασίας Προσωπικών Δεδομένων ) πρέπει να είναι σε θέση να μπορεί να αντιληφθεί όλες αυτές τις έννοιες , να προχωρήσει σε όλα τα απαραίτητα στάδια υλοποίησης και φυσικά να γίνει η ανναγγελία του στις επίσημες αρχές. Αυτή είναι η βάση της διαδικασίας και οποιαδήποτε τυχόν απόπειρα σας εικονικής προσομοίωσης της διαδικασίας πολύ φοβούμαστεότι δεν θα σας καλύψει από το πρόστιμο 4% επί του τζίρου σας.
Θυμηθείτε ότι τα “νι” στην στήλη του επεξεργαστή σχετίζονται με άμεσες υποχρεώσεις των επεξεργαστών δεδομένων. Παρόλα αυτά, αν και δεν ισχύουν όλες οι υποχρεώσεις για τους επεξεργαστές δεδομένων, πρέπει να κατανοήσουν τις απαιτήσεις των ελεγκτών μιας και αυτοί θα είναι υπεύθυνοι για να βοηθήσουν τους ελεγκτές να κάνουν πολλές από αυτές. Μερικές υποχρεώσεις μπορεί να εξαρτώνται από το μέγεθος της επιχείρησης.
Για το ποιους αφορά το GDPR θα σας φανεί ιδιαίτερα χρήσιμη η ακόλουθη λίστα
Αν το ενδιαφέρον εστιάζεται στην ιστοσελίδα / ηλεκτρονικό σας κατάστημα θα πρέπει να ρίξετε μια ματιά στο άρθρο μας εδώ ενώ για την σύνταξη επιστολήςανακοίνωσης απορρήτου να κάνετε κλικ εδώ .
Προσωπικά δεδομένα
| Ερώτηση | Ελεγκτής | Επεξεργαστής | |
| Προσωπικά δεδομένα | Επεξεργάζεστε προσωπικά δεδομένα; | ✓ | ✓ |
| Ευαίσθητα (ειδικά) προσωπικά δεδομένα | Επεξεργάζεστε ευαίσθητα προσωπικά δεδομένα; | ✓ | ✓ |
| Παιδικά προσωπικά δεδομένα | Συλλέγονται και επεξεργάζονται προσωπικά δεδομένα παιδιών; | ✓ | ✓ |
Σκοπός της εφαρμογής
| Ερώτηση | Ελεγκτής | Επεξεργαστής | |
| Ελεγκτής ΕΕ | Είστε ελεγκτής; | ✓ | |
| Επεξεργαστής ΕΕ | Είστε επεξεργαστής; | ✓ | |
| Κύρια Ίδρυση | Που είναι τα κεντρικά στην ΕΕ; | ✓ | ✓ |
| Ελεγκτής / Επεξεργαστής Εκτός ΕΕ | Υπάρχουν συλλογικές εταιρείες που βρίσκονται εκτός ΕΕ και στοχεύουν/παρακολουθούν άτομα από την ΕΕ; | ✓ | ✓ |
| Αν ναι, έχει οριστεί για την συγγραφή (όπου είναι απαραίτητο) αντιπρόσωπος από την ΕΕ, σε ένα από τα κράτη της ΕΕ όπου βρίσκονται τα υποκείμενα άτομα; | ✓ | ✓ | |
| Είναι ο αντιπρόσωπος από την ΕΕ υποχρεωμένος να ελέγχεται σε θέματα που είναι υπό επεξεργασία (επιπρόσθετα από τον ελεγκτή/επεξεργαστή) από επιβλέπουσες αρχές και τα άτομα που υποβάλλουν τα στοιχεία τους; | ✓ | ✓ | |
| Κοινοί ελεγκτές | Υπάρχουν οποιεσδήποτε σχέσεις κοινών ελεγκτών δεδομένων; | ✓ |
Έννομα εδάφη για επεξεργασία
| Ερώτηση | Ελεγκτής | Επεξεργαστής | |
| Έννομα εδάφη για επεξεργασία | Υπάρχει έννομη βάση για την επεξεργασία προσωπικών δεδομένων για κάθε λειτουργία επεξεργασίας; | ✓ | |
| Υπάρχει έννομη βάση για την επεξεργασία οποιονδήποτε ευαίσθητων προσωπικών δεδομένων για κάθε λειτουργία επεξεργασίας; | ✓ | ||
| Συγκατάθεση | Πως συλλέγεται η συγκατάθεση; | ✓ | |
| Πως δηλώνεται η συγκατάθεση; | ✓ | ||
| Μπορούν τα υποκείμενα άτομα να αποσύρουν την συγκατάθεση τους; | ✓ |
Απαιτήσεις διαφάνειας
| Ερώτηση | Ελεγκτής | Επεξεργαστής | |
| Ειδοποίηση των ατόμων που υποβάλλουν τα στοιχεία τους | Έχει ειδοποιηθεί το άτομο που υποβάλλει τα στοιχεία του για την επεξεργασία; | ✓ | |
| Πηγή προσωπικών δεδομένων και πληροφορίες που δίνονται στο άτομο | Συλλέγονται τα δεδομένα απευθείας από το άτομο και δίνονται οι απαιτούμενες πληροφορίες σε αυτό; | ✓ | |
| Τα δεδομένα δεν συλλέγονται από τον υποβληθέντα και δίνονται οι απαιτούμενες πληροφορίες σε αυτόν; | ✓ |
Άλλες αρχές για την προστασία δεδομένων και ανάληψη ευθυνών
| Ερώτηση | Ελεγκτής | Επεξεργαστής | |
| Περιορισμός σκοπού | Τα προσωπικά δεδομένα χρησιμοποιούνται μόνο για τους σκοπούς για τους οποίους συλλέχτηκαν αρχικά; | ✓ | |
| Ελαχιστοποίηση δεδομένων | Τα προσωπικά δεδομένα περιορίζονται στο τι είναι αναγκαίο για τους σκοπούς για τους οποίους επεξεργάζονται; | ✓ | |
| Ακρίβεια | Οι πολιτικές και η εκπαίδευση ισχύουν για να διασφαλιστεί ο έλεγχος των στοιχείων και η έγκαιρη διόρθωση τους σε περίπτωση ανακρίβειας; | ✓ | |
| Περιορισμός αποθήκευσης (διατήρηση) | Οι προσωπικές πολιτικές εμπεριέχουν πληροφορίες για την διατήρηση των στοιχείων; Υπάρχουν διαδικασίες για την αρχειοθέτηση και την καταστροφή των δεδομένων; | ✓ | |
| Εντιμότητα και εμπιστευτικότητα | Χρησιμοποιούνται κατάλληλα μέτρα ασφαλείας για την προστασία των δεδομένων; | ✓ | |
| Ανάληψη ευθυνών | Μπορείτε να επιδείξετε συμμόρφωση με τις αρχές προστασίας δεδομένων; | ✓ |
Δικαιώματα αυτών που υποβάλλουν τα δεδομένα τους
| Ερώτηση | Ελεγκτής | Επεξεργαστής | |
| Πρόσβαση σε προσωπικά δεδομένα | Υπάρχει μια καταγεγραμμένη πολιτική/διαδικασία για τον χειρισμό αιτήσεων πρόσβασης από τον υποκείμενο;(SARs) | ✓ | |
| Δίνεται στα άτομα μηχανισμός για να ζητήσουν πρόσβαση σε πληροφορίες που διατηρούνται για αυτούς; | ✓ | ||
| Είναι ο ελεγκτής δεδομένων ικανός να απαντήσει σε SARs μέσα σε ένα μήνα; | ✓ | ||
| Φορητότητα δεδομένων | Μπορεί ο υποκείμενος που υποβάλλει τα δεδομένα του να τα λάβει σε μια δομημένη, συνηθισμένη και αναγνώσιμη από μηχανές μορφή; | ✓ | |
| Διαγραφή και διόρθωση | Ενημερώνονται τα άτομα για το δικαίωμα τους να απαιτήσουν διαγραφή ή διόρθωση των προσωπικών τους στοιχείων που διατηρούνται (όπου ισχύει); | ✓ | |
| Εφαρμόζονται αυτοί οι έλεγχοι και οι επίσημες διαδικασίες για να επιτραπεί η διαγραφή ή η παρεμπόδιση των προσωπικών δεδομένων; | ✓ | ||
| Μπορούν οι λίστες και οι διαδικασίες να διαχειριστούν τέτοια αιτήματα; | ✓ | ||
| Δικαίωμα για διαφωνία | Έχετε ενημερώσει το κάθε άτομο για το δικαίωμα που διατηρεί να διαφωνήσει με συγκεκριμένα είδη επεξεργασίας; | ✓ | |
| Υπάρχουν πολιτικές για να διασφαλίσετε ότι τα δικαιώματα μπορούν εφαρμοστούν στην πράξη; | ✓ | ||
| Δημιουργία προφίλ και αυτοματοποιημένη επεξεργασία | Βασίζεται η δημιουργία προφίλ σε συναίνεση; (αν ναι, αυτή θα πρέπει να είναι σαφής). | ✓ | |
| Χρησιμοποιεί η δημιουργία προφίλ οποιαδήποτε ευαίσθητα δεδομένα; | ✓ | ||
| Περιλαμβάνει η δημιουργία προφίλ δεδομένα παιδιών; | ✓ |
Ασφάλεια δεδομένων
| Ερώτηση | Ελεγκτής | Επεξεργαστής | |
| Κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας | Οι κίνδυνοι που περιλαμβάνονται στην επεξεργασία, αξιολογούνται επίσημα, ελέγχονται, υπολογίζονται και έχουν μέτρα για να περιορίσουν αυτούς τους κινδύνους και να διασφαλίσουν την ασφάλεια της επεξεργασίας που έχει εφαρμοστεί; | ✓ | ✓ |
| Υπάρχει καταγεγραμμένο πρόγραμμα ασφαλείας που προσδιορίζει τα τεχνικά, διαχειριστικά και υλικά μέτρα ασφαλείας για τα προσωπικά δεδομένα; | ✓ | ✓ | |
| Υπάρχει μια καταγεγραμμένη διαδικασία για την επίλυση παραπόνων και προβλημάτων που σχετίζονται με την ασφάλεια; | ✓ | ✓ | |
| Υπάρχει ένα διορισμένο άτομο το οποίο είναι υπεύθυνο για την εφαρμογή σχεδίων αποκατάστασης για τα κενά στην ασφάλεια; | ✓ | ✓ | |
| Εφαρμόζεται αποκρυπτογράφηση με βιομηχανικά στάνταρ και τεχνολογίες για την μεταφορά, αποθήκευση και λήψη ευαίσθητων προσωπικών δεδομένων από τα άτομα; | ✓ | ✓ | |
| Καταστρέφονται, διαγράφονται ή γίνονται ανώνυμες συστηματικά οι προσωπικές πληροφορίες, όταν δεν είναι πλέον νομικά απαραίτητο να διατηρηθούν για να ολοκληρώσουν τον σκοπό για τον οποίο αποκτήθηκαν; | ✓ | ✓ | |
| Έχουν ληφθεί μέτρα για την δημιουργία ψευδωνύμων των προσωπικών δεδομένων όπου αυτό είναι εφικτό; | ✓ | ✓ | |
| Μπορεί η διαθεσιμότητα και η πρόσβαση στα προσωπικά δεδομένα να αποκατασταθεί με έγκαιρο τρόπο σε περίπτωση ενός υλικού ή τεχνικού προβλήματος; | ✓ | ✓ |
Παραβιάσεις δεδομένων
| Ερώτηση | Ελεγκτής | Επεξεργαστής | |
| Παραβίαση υποχρεώσεων απάντησης | Έχει η επιχείρηση συστήματα καταγεγραμμένου απορρήτου και σχέδιο απάντησης σε περίπτωση προβλήματος και αναγνώρισης του προβλήματος; | ✓ | ✓ |
| Ανανεώνονται και ελέγχονται τα σχέδια και οι διαδικασίες τακτικά; | ✓ | ✓ | |
| Εφαρμόζονται αυτές οι διαδικασίες για την ειδοποίηση DPAs και παραβίαση των υποβαλλόμενων των δεδομένων (όπου ισχύει); | ✓ | ||
| Υπάρχει σαφής και εσωτερική καθοδήγηση που εξηγεί πότε απαιτείται ειδοποίηση και τι πληροφορίες πρέπει να αναφερθούν; | ✓ | ||
| Υπάρχουν σαφής διαδικασίες για την ειδοποίηση του ελεγκτή στην προβλεπόμενη μορφή οποιασδήποτε παραβίασης των δεδομένων χωρίς καθυστέρηση από την στιγμή που ενημερώνεται για αυτή; | ✓ | ||
| Καταγράφονται οι παραβιάσεις των δεδομένων; | ✓ | ||
| Εφαρμόζονται αυτές οι διαδικασίες συνεργασίας από τους ελεγκτές, προμηθευτές και άλλες πλευρές για την αντιμετώπιση των παραβιάσεων δεδομένων; | ✓ | ✓ | |
| Έχετε σκεφτεί την κάλυψη ασφάλειας για την παραβίαση των δεδομένων; (δεν είναι υποχρεωτική από τον γενικό κανονισμό για την προστασία των προσωπικών δεδομένων) | ✓ | ✓ |
Διεθνείς μεταφορές δεδομένων (εκτός της Ευρωπαϊκής Οικονομικής Περιοχής)
| Ερώτηση | Ελεγκτής | Επεξεργαστής | |
| Χαρτογράφηση των διεθνών ροών δεδομένων | Μεταφέρονται δεδομένα εκτός της ΕΟΠ; | ✓ | ✓ |
| Τι είδος προσωπικών δεδομένων μεταφέρονται και περιλαμβάνουν ευαίσθητα προσωπικά δεδομένα; | ✓ | ✓ | |
| Ποιος είναι ο σκοπός αυτής της μεταφοράς; | ✓ | ✓ | |
| Προς ποιον είναι αυτή η μεταφορά; | ✓ | ✓ | |
| Καταγράφονται σε λίστες όλες οι μεταφορές-συμπεριλαμβανομένων των απαντήσεων σε προηγούμενες ερωτήσεις (π.χ. η φύση των δεδομένων, ο σκοπός της επεξεργασίας, από ποια χώρα εξάγονται τα δεδομένα και ποια χώρα τα λαμβάνει, και ποιος είναι ο αποστολέας της μεταφοράς;) | ✓ | ✓ | |
| Ο κατάλληλος μηχανισμός για κάθε νομική μεταφορά καταγράφεται σε λίστα και προσδιορίζεται; | ✓ | ✓ | |
| Νομιμότητα διεθνών μεταφορών | Οι συγκεκριμένες μεταφορές καλύπτονται κατάλληλα από έναν κατάλληλα εφαρμοσμένο μηχανισμό ή καλύπτονται από μια εξαίρεση; | ✓ | |
| Διαφάνεια | Αυτοί που υποβάλλουν τα δεδομένα είναι ενήμεροι για πιθανές μεταφορές των προσωπικών τους δεδομένων; | ✓ | |
| Μεταφορές που απαιτήθηκαν από αρχές ή δικαστήρια του εξωτερικού | Υπάρχει πολιτική για τον χειρισμό απαιτήσεων για αποκάλυψη/μεταφορά προσωπικών δεδομένων από αρχές ή δικαστήρια; ( το Η.Β. δεν συμπεριλαμβάνεται σε αυτή την παροχή.) | ✓ | ✓ |
Άλλες υποχρεώσεις του ελεγκτή
| Ερώτηση | Ελεγκτής | Επεξεργαστής | |
| Τεχνικά και οργανωτικά μέτρα | Ποια προγράμματα εκπαίδευσης απορρήτου παρέχει ο ελεγκτής δεδομένων στους υπαλλήλους; | ✓ | |
| Υπάρχουν ξεκάθαρα καταγεγραμμένες πολιτικές και διαδικασίες για όλες τις πλευρές της συμμόρφωσης απέναντι στον γενικό κανονισμό για την προστασία των προσωπικών δεδομένων; | ✓ | ||
| Εκτελείτε διαδικασία ελέγχου τακτικά; | ✓ | ||
| Απόρρητο από σχεδιασμό ή προκαθορισμό | Οι πολιτικές και οι διαδικασίες εμπεριέχουν μια απαίτηση για ενσωμάτωση συμμόρφωσης στις δραστηριότητες επεξεργασίας; | ✓ | |
| Υπάλληλοι Προστασίας Δεδομένων (DPOs) | Χρειάζεται να προσλάβετε έναν DPO; | ✓ | |
| Αν δεν απαιτείται DPO, σκεφτείτε αν χρειάζεται να προσλάβετε έναν. | ✓ | ||
| Εκεί που έχει προσληφθεί ένας, βρίσκεται στην θέση του; | ✓ | ||
| Επίδειξη συμμόρφωσης (διατήρηση αρχείων) | Πόσους υπαλλήλους έχει η εταιρεία σας; | ✓ | |
| Γίνεται επεξεργασία ευαίσθητων προσωπικών δεδομένων; | ✓ | ||
| Καταγράφονται τα νομικά εδάφη για την επεξεργασία προσωπικών δεδομένων; | ✓ | ||
| Αξιολογήσεις Επίδρασης Προστασίας Δεδομένων (DPIAs) | Έχετε μια διαδικασία για τον προσδιορισμό της ανάγκης και της διεξαγωγής (και καταγραφής) DPIAs; | ✓ | |
| Αναλαμβάνετε και καταγράφετε προηγούμενη επιμέλεια από παρόχους υπηρεσιών; | ✓ | ||
| Συμπεριλαμβάνονται όλοι οι προβλεπόμενοι όροι στη σύμβαση του επεξεργαστή; | ✓ | ||
| Συμβάσεις επεξεργαστή δεδομένων | Υπάρχουν συμβάσεις ελεγκτή/επεξεργαστή που περιέχουν όλους του προβλεπόμενους όρους; | ✓ |
Άλλες υποχρεώσεις του επεξεργαστή
| Ερώτηση | Ελεγκτής | Επεξεργαστής | |
| Συμβάσεις με ελεγκτές | Υπάρχουν σε εφαρμογή συμβάσεις ελεγκτή/επεξεργαστή που περιέχουν τους προβλεπόμενους όρους; | ||
| Χρήση υπο-επεξεργαστών | Υπάρχει γραπτή εξουσιοδότηση για τις υπάρχουσες συμφωνίες υπο-επεξεργασίας; | ✓ | |
| Υπάρχει εξουσιοδότηση για προτεινόμενη υπο-επεξεργασία; | ✓ | ||
| Έχει γίνει παροχή συγκεκριμένης ή γενικής εξουσιοδότησης; | ✓ | ||
| Αν υπάρχει γενική εξουσιοδότηση, υπάρχει διαδικασία που πληροφορεί τον ελεγκτή για σκοπούμενες αλλαγές στους επεξεργαστές; | ✓ | ||
| Είναι η επεξεργασία υποκείμενη σε σύμβαση που περιέχει τους προβλεπόμενους όρους; | ✓ | ||
| Οι ίδιες υποχρεώσεις που έχουν αναφερθεί στην σύμβαση με τον ελεγκτή, υποβάλλονται και στον υπο-επεξεργαστή; | ✓ | ||
| Επίδειξη συμμόρφωσης (διατήρηση αρχείου) | Πόσους υπαλλήλους έχει η εταιρεία; | ✓ | |
| Επεξεργάζονται ευαίσθητα προσωπικά δεδομένα; | ✓ | ||
| Υπάρχει νομική βάση για την καταγραφή των προσωπικών δεδομένων που είναι υπό επεξεργασία; | ✓ | ||
| Υπάλληλος για την προστασία δεδομένων (DPO) | Χρειάζεται να προσλάβετε έναν DPO; | ✓ | |
| Αν δεν απαιτείται ένας DPO, σκεφτείτε αν πρέπει να προσλάβετε έναν. | ✓ | ||
| Όπου υπάρχει ένας DPO, εφαρμόζονται κλιμάκωση και γραμμές αναφοράς; | ✓ | ||
| Βοήθεια προς τον ελεγκτή δεδομένων | Είστε σε θέση να βοηθήσετε τον ελεγκτή δεδομένων διασφαλίζοντας συμμόρφωση με τον Γενικό Κανονισμό προστασίας προσωπικών δεδομένων; | ✓ |
Μην διστάσετε να μας καλέσετε στο 210 77 13 284 για να συζητήσουμε τις ιδιαίτερες ανάγκες σας