Ανήκω στις ΜικροΜεσαίες επιχειρήσεις. Mε αφορά ο GDPR που ισχύει από 25.5.2018;… της Χρύσας Σωτηράκη
Ο GDPR Νέος Κανονισμός για την Προστασία Προσωπικών Δεδομένων τίθεται σε υποχρεωτική εφαρμογή για όλες τις επιχειρήσεις που βρίσκονται στα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25/05/2018.
- Ανήκω στις ΜικροΜεσαίες επιχειρήσεις. Mε αφορά;
Εάν η επιχείρηση/εταιρία σας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα ως μέρος των λειτουργιών της, τότε ΝΑΙ ο GDPR ισχύει και για εσάς.
- Τι σημαίνει «προσωπικά δεδομένα» και τι «επεξεργασία αυτών» σύμφωνα με τον GDPR:
- Δεδομένα προσωπικού χαρακτήρα είναι: τα δεδομένα των πελατών, των προμηθευτών καθώς και τα δεδομένα των εργαζομένων ή άλλων φυσικών προσώπων.
Δηλαδή:
- στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα κλπ.)
- φυσικά χαρακτηριστικά (ύψος, βάρος, χρώμα δέρματος κλπ)
- οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά)
- ευαίσθητα δεδομένα (ιατρικά δεδομένα, αποτελέσματα εξετάσεων κλπ)
Π.χ. Εξετάσεις ασθενών όπως ακτινολογικές, αξονικές, μαγνητικές, μαστογραφίες (ΓΙΑΤΡΟΙ) = είναι ευαίσθητα προσωπικά δεδομένα ή Χρηματοοικονομικά στοιχεία πελατών (Λογιστικά γραφεία) = είναι οικονομική κατάσταση πελατών ή Ονοματεπώνυμο – διεύθυνση (Εμπορία-Υπηρεσίες) = είναι στοιχεία αναγνώρισης πελατών ή άλλων φυσικών προσώπων.
- Επεξεργασία προσωπικών δεδομένων είναι οι ενέργειες της συλλογής, καταγραφής, καταχώρησης, επεξεργασίας (profiling κλπ), αποθήκευσης και διαγραφής αυτών.
Μini ενημέρωση περί GDPR
Ο Νέος Κανονισμός για την Προστασία Προσωπικών Δεδομένων – GDPR (General Data Protection Regulation) 2016/679 στοχεύει στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη της Ευρωπαϊκής Ένωσης, θέτοντας μία σειρά περιορισμών και νέων υποχρεώσεων στις επιχειρήσεις σχετικά με:
- την επεξεργασία των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους, από τη συλλογή έως και την καταστροφή τους
- τη δυνατότητα μεταφοράς τους σε άλλες χώρες
- την προστασία των δικαιωμάτων των φυσικών προσώπων
- την ασφάλεια (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα) των προσωπικών δεδομένων
- τις ενέργειες γνωστοποίησης που οφείλει να κάνει η επιχείρηση σε περίπτωση παραβίασης
Ο GDPR αφορά ΌΛΕΣ τις ιδιωτικές και δημόσιες επιχειρήσεις – φορείς, που με οποιοδήποτε τρόπο επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πελατών, πελατών των πελατών τους, εργαζομένων, συνεργατών ή άλλων φυσικών προσώπων.
Δηλαδή αφορά σχεδόν το σύνολο των επιχειρήσεων αλλά για τις πολύ μικρές, μικρές και μεσαίες επιχειρήσεις ο GDPR περιλαμβάνει παρέκκλιση εφόσον απασχολούν λιγότερα από 250 άτομα (ΆΡΘΡΟ 30 παραγρ. 5 του Κανονισμού) σχετικά με την τήρηση αρχείων.
Προσοχή όμως, οι υποχρεώσεις υφίστανται για κάθε επιχείρηση, (ανεξάρτητα εάν ανήκει στο άρθρο 30 παρ.5 ), που διενεργεί επεξεργασία δεδομένων, η οποία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκείμενου των δεδομένων.
Οι υποχρεώσεις της επιχείρησης σχετικά με την εναρμόνιση της στις απαιτήσεις του GDPR, διαβαθμίζονται ανάλογα με τον όγκο των δεδομένων που επεξεργάζεται, το είδος τους (π.χ. ευαίσθητα) και τον τρόπο επεξεργασίας.
Επιπτώσεις μη συμμόρφωσης για τις επιχειρήσεις;
- Πρόστιμα που μπορεί να φτάσουν το 4% του ετήσιου κύκλου εργασιών της επιχείρησης, ή τα 20 εκατομμύρια ευρώ (όποιο είναι υψηλότερο)
(Τα πρόστιμα αυτά θα ισχύουν τόσο για τους υπεύθυνους επεξεργασίας* όσο και για τους εκτελούντες* την επεξεργασία δεδομένων).
- Αμαύρωση εταιρικής εικόνας και κλονισμός της εμπιστοσύνης των πελατών
- Απώλεια πελατείας
*(“Υπεύθυνος επεξεργασίας“, είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
“Εκτελών την επεξεργασία“ θεωρείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
DPO Υπεύθυνος προστασίας δεδομένων: Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων (DPO). Ο DPO μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.)
Είμαι Μικρομεσαία επιχείρηση και η οικονομική μου κατάσταση δεν μου επιτρέπει έξοδα.
Υπάρχουν κάποιες κινήσεις που μπορώ να κάνω προκειμένου προστατεύσω την επιχείρηση μου με όσο το δυνατόν χαμηλότερο κόστος;
Ενδεικτικές κινήσεις:
1) Εξασφαλίστε τη συγκατάθεση των δεδομένων σας
• Δημιουργήστε μια φόρμα και συλλέξτε την επιβεβαίωση των δικαιούχων (πελατών ή λοιπών φυσικών προσώπων) σχετικά με το δικαίωμα που σας δίνουν για επεξεργασία των προσωπικών δεδομένων τους.
• Σαρώστε τις φόρμες/έγγραφα συγκατάθεσης και αποθηκεύστε τις.
2) Αποστολή αλληλογραφίας (μέσω email ή μαζικών newsletter) με δυνατότητα στον αποδέκτη να διαγραφεί από τη λίστα των email της επιχείρησης σας όποτε το επιθυμεί.
Απαραίτητη αναφορά της επιλογής «unsubscribe from this list/ διαγραφή από τη λίστα» σε κάθε email ή newsletter.
3) Ελέγξτε την πρόσβαση στα δεδομένα της επιχείρησης σας.
Κρυπτογραφήστε τα δεδομένα σας (Κρυπτογραφημένα NAS Storage για τα δεδομένα): προστασία δεδομένων μέσω κρυπτογράφησης και δυνατότητα ανάκτησής τους μόνο με κωδικό ασφαλείας password.
4) Ορίστε τα άτομα που θα έχουν πρόσβαση στα δεδομένα της επιχείρησης σας “Υπεύθυνο επεξεργασίας”, “Εκτελών την επεξεργασία’’, “DPO Υπεύθυνος προστασίας δεδομένων” και φροντίστε να έχουν κωδικό χρήστη (δηλαδή ο κάθε χρήστης θα έχει κωδικό ασφαλείας password για την πρόσβαση του στα δεδομένα της επιχείρησης σας), ώστε να μπορείτε ανά πάσα στιγμή να ελέγξετε την κίνηση των χρηστών στην πρόσβαση των δεδομένων της επιχείρησης σας.
5) Φροντίστε για την ασφάλεια σχετικά με τη διαχείριση των δεδομένων της επιχείρησης σας.
- Εξωτερικοί δίσκοι ή usb sticks για εύκολη και ασφαλή μεταφορά των κρυπτογραφημένων σας δεδομένων.
- Χρηματοκιβώτια για ασφαλή φύλαξη εγγράφων, συμβάσεων κλπ.
- Καταστροφείς: οριστική καταστροφή εγγράφων που περιέχουν προσωπικά δεδομένα και όχι απλώς σκίσιμο και πέταγμα σε κάδους.
- Antivirus: Φροντίστε τα ηλεκτρονικά δεδομένα σας να έχουν προστασία από ιούς ή λοιπές ηλεκτρονικές επιθέσεις του διαδικτύου.
Σε περίπτωση παραβίασης των συστημάτων της επιχείρησης και την συλλογή των προσωπικών δεδομένων των χρηστών από κακόβουλους κυβερνοεγκληματίες, η επιχείρηση οφείλει να δηλώσει την παραβίαση των συστημάτων της εντός 72 ωρών από την στιγμή που θα το αντιληφθεί και να ενημερώσει τους πελάτες/χρήστες τους «χωρίς αδικαιολόγητη καθυστέρηση».
6) Ασφαλή πρόσβαση στο διαδίκτυο.
- Επιλέξτε ασφαλή μετάδοση και λήψη των πληροφοριών σας (μέσω routers, power lines, wifi κλπ) επιλέγοντας ολοκληρωμένο πακέτο προστασίας και κρυπτογράφησης.
7) Φίλτρα εμπιστευτικότητας: φίλτρο προστασίας προσωπικών δεδομένων το οποίο συσκοτίζει την θέαση της εικόνας του υπολογιστή σας από πλάγιες θέσεις με γωνία 30ο για να αποτρέψει τα αδιάκριτα βλέμματα από την ανάγνωση της οθόνης. Τα δεδομένα είναι σαφώς ορατά μόνο από την ευθεία θέαση.
8) Αρχειοθέτηση: Διατηρήστε τα αρχεία που πρέπει να είναι σε φυσική μορφή σε τάξη (οργανωμένο σύστημα κουτιών) ως μέρος της πολιτικής διατήρησης εγγράφων της επιχείρησης σας. Έτσι έχετε την δυνατότητα άμεσης ανεύρεσης και μεταφοράς τους όποτε απαιτείται, έως ότου είναι καιρός να τα καταστρέψετε
Και ενώ η 25.5.2018 είναι η εναρκτήρια ημέρα εφαρμογής του GDPR, σύμφωνα με δημοσιεύματα (άρθρο του capital.gr) υπάρχει το ενδεχόμενο να δοθεί 6μηνη περίοδος προσαρμογής για το νέο Ευρωπαϊκό Γενικό Κανονισμό για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα (GDPR). “Επισήμως” δεν μπορεί να δοθεί παράταση στην εφαρμογή της οδηγίας, αλλά όπως αναφέρουν πληροφορίες του Capital.gr πρακτικά η οδηγία θα ισχύει από την 25η Μαΐου αλλά για μια περίοδο, πιθανώς έως το τέλος του χρόνου, δεν θα κόβονται τα τσουχτερά πρόστιμα.
Σε κάθε περίπτωση οι επιχειρήσεις θα πρέπει να λάβουν τα μέτρα τους βάσει της ημερομηνίας που έχει ανακοινωθεί επισήμως (25.5.2018).
Οπότε Ασφάλεια, Προστασία, Συμμόρφωση με τον GDPR και παράλληλα Δημιουργήστε ένα περιβάλλον ασφάλειας των δεδομένων της επιχείρησης σας για τους πελάτες σας και για την επιχείρηση σας, αναβαθμίζοντας το εταιρικό σας προφίλ.
20.05.2018 /της Χρύσας Σωτηράκη, Λογίστρια–Φοροτεχνικός–Σύμβουλος επιχειρήσεων της ομάδας «LOLplus – Λογιστικές Ολοκληρωμένες Λύσεις» website: www.lolplus.gr
Δείτε ακόμη…
• Γενικός Κανονισμός για την Προστασία Δεδομένων GDPR
• ΠΟΦΕΕ: Λίστα Ελέγχου Ετοιμότητας για τον νέο Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR)