H B.D.K.S. έχει αναπτύξει και ήδη υλοποιεί σε οργανισμούς – επιχειρήσεις υπηρεσίες εναρμόνισης με τον Νέο Ευρωπαϊκό Κανονισμό GDPR (General Data Protection Regulation).
Οι υπηρεσίες που έχει αναπτύξει και προσφέρει η εξειδικευμένη ομάδα της B.D.K.S.είναι :
Gap Analysis, ώστε να διευρυνθούν τα σημεία απόκλισης της λειτουργίας της εταιρείας – οργανισμού από τον κανονισμό GDPR.
Data Privacy Impact Assessment – Αξιολόγηση επιπτώσεων σχετικών με την προστασία δεδομένων για τον εντοπισμό των σημαντικότερων κινδύνων.
Compliance Action Plan, με προτάσεις για την λήψη απαραίτητων μέτρων, υποστήριξη και καθοδήγηση για την υλοποίηση τους.
Ανάπτυξη όλων των απαιτούμενων πολιτικών και διαδικασιών Προστασίας προσωπικών δεδομένων, σε ενοποιημένο Σύστημα Διαχείρισης Προσωπικών Δεδομένων με το ISO 27001 ή ανεξάρτητα από αυτό, σε άλλο κατάλληλο Privacy Seal.
Δημιουργία του αρχείου δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων.
Ενημέρωση και συμμετοχή των Διευθυντών και του εμπλεκόμενου προσωπικού στη διαδικασία εναρμόνισης της εταιρείας με τον Κανονισμό GDPR (ποιες είναι οι απαιτήσεις του και πως επηρεάζει τη λειτουργία των Διευθύνσεων – Τμημάτων και όλης της εταιρείας).
Εκπαίδευση των Υπευθύνων GDPR στην μεθοδολογία των audits και σε best practices που ακολουθούνται διεθνώς.
Ανάπτυξη, όπου απαιτείται από τον GDPR, διαδικασιών αντιμετώπισης data leaks ή/και security breaches.
Υπηρεσίες DPO (Data Protection Officer).
Εκπαιδευτικά Σεμινάρια DPO (Data Protection Officer).
Νομικές Υπηρεσίες GDPR.
IT Υπηρεσίες GDPR.
Υπηρεσίες Cyber Security Insurance.
Ο Ευρωπαϊκός Κανονισμός 2016/679 GDPR (General Data Protection Regulation) είναι το νέο κανονιστικό πλαίσιο της Ευρωπαϊκής Ένωσης που αφορά στην προστασία δεδομένων ο οποίος πρόκειται να τεθεί υποχρεωτικά σε ισχύ στις 25 Μαΐου 2018 σε όλες τις ευρωπαϊκές χώρες. Παράλληλα η Ελλάδα θα έχει λάβει έως την 25.5.2018 νομοθετικά μέτρα πλαισίωσης και εκτέλεσης του εν λόγω Κανονισμού με την ψήφιση νέου Νόμου για τα Προστασία Δεδομένων Προσωπικού Χαρακτήρα ο οποίος θα καταργεί τον Ν.2472/1997.
Με τον Κανονισμό καταργείται το καθεστώς των γνωστοποιήσεων, των ερωτημάτων και των αδειών που υποβάλλονται στις εποπτικές αρχές (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα), με αποτέλεσμα το βάρος του προληπτικού ελέγχου της λήψης μέτρων συμμόρφωσης να μετατοπίζονται πλέον στον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία.
Οι επιχειρήσεις υπό την ιδιότητα τους ως υπεύθυνοι επεξεργασίας (ή εκτελούντες) υποχρεούνται πλέον να εφαρμόσουν συγκεκριμένα μέτρα, φέροντας πλέον την ευθύνη απόδειξης της συμμόρφωσης τους με τις διατάξεις του Κανονισμού.
Εποπτεύουσα αρχή για την Ελλάδα είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Σε περίπτωση μη συμμόρφωσης, τα επιβαλλόμενα πρόστιμα μπορεί να φτάσουν το 4% του ετήσιου κύκλου εργασιών της επιχείρησης, ή τα 20 εκατομμύρια ευρώ (όποιο είναι υψηλότερο).
Προσωπικά δεδομένα είναι κάθε πληροφορία που επιτρέπει την άμεση ή έμμεση εξακρίβωση της ταυτότητας ενός φυσικού προσώπου, όπως το όνομα, το επάγγελμα, τα πολιτικά του φρονήματα, τα ενδιαφέροντα, οι δραστηριότητές του κα.
Δεν θεωρούνται προσωπικά δεδομένα πληροφορίες από τις οποίες δεν δύναται να ταυτοποιηθεί ένα συγκεκριμένο άτομο.
Ως επεξεργασία δεδομένων θεωρείται κάθε εργασία ή σειρά εργασιών που πραγματοποιείται, από το Δημόσιο ή από νομικό πρόσωπο δημοσίου δικαίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο όπως η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση ή αποθήκευση, η τροποποίηση, η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλης μορφής διάθεση, η συσχέτιση ή ο συνδυασμός, η διασύνδεση, η δέσμευση (κλείδωμα), η διαγραφή, η καταστροφή δεδομένων προσωπικού χαρακτήρα.
Το είδος και ο όγκος των δεδομένων προσωπικού χαρακτήρα που μπορεί να επεξεργάζεται η εταιρεία ή ο οργανισμός σας εξαρτώνται από τον λόγο της επεξεργασίας (νομικός λόγος που χρησιμοποιείται) και από τη σκοπούμενη χρήση. Η εταιρεία ή ο οργανισμός πρέπει να τηρούν βασικούς κανόνες όπως:
Ο GDPR αφορά, όλες τις ιδιωτικές και δημόσιες επιχειρήσεις και φορείς που με οποιοδήποτε τρόπο επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πολιτών της Ε.Ε. ή νομίμως κατοικούντων στην Ε.Ε..
Οι απαιτήσεις συμμόρφωσης δεν εξαρτώνται από το μέγεθος για κάθε επιχείρηση/φορέα αλλά από τη φύση των δραστηριοτήτων τους, τον όγκο των δεδομένων, το είδος των δεδομένων που επεξεργάζονται και τον τρόπο που πραγματοποιείται η επεξεργασία. Δραστηριότητες που ενέχουν υψηλούς κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, είτε πραγματοποιούνται από μια μικρομεσαία είτε από μια μεγάλη επιχείρηση, συνεπάγονται την εφαρμογή πιο αυστηρών κανόνων.
Κάθε οργανισμός ή επιχείρηση υποχρεούται, να ορίσει έναν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer):
Για να προσδιορισθεί αν η επεξεργασία διενεργείται σε μεγάλη κλίμακα λαμβάνονται υπόψη:
Ως τέτοια παραδείγματα επεξεργασίας σε μεγάλη κλίμακα αναφέρονται ενδεικτικά:
Η επεξεργασία δεδομένων ασθενών στο πλαίσιο λειτουργίας ενός νοσοκομείου, κλινικής,, δεδομένων μετακίνησης φυσικών προσώπων , δεδομένων γεωγραφικού εντοπισμού πελατών, περιεχομένου, κίνησης, θέσης από παρόχους υπηρεσιών τηλεφωνίας ή διαδικτύου, δεδομένων πελατών μιας ασφαλιστικής εταιρείας η τράπεζας , δεδομένων προσωπικού χαρακτήρα για σκοπούς συμπεριφορικής διαφήμισης από μηχανή αναζήτησης.
Για να προσδιορισθεί αν η επεξεργασία απαιτεί τακτική και συστηματική παρακολούθηση της συμπεριφοράς των υποκειμένων εκτιμάται αν λαμβάνουν χώρα σε συνεχή βάση ή σε συγκεκριμένα χρονικά διαστήματα για συγκεκριμένη χρονική περίοδο, τακτικά ή κατ΄επανάληψη σε σταθερές χρονικές στιγμές, αδιαλείπτως ή παροδικά, σύμφωνα με κάποιο σύστημα, προκαθορισμένη, οργανωμένη ή μεθοδική, στο πλαίσιο γενικότερου σχεδίου για τη συλλογή δεδομένων
Ως παραδείγματα τέτοιων δραστηριοτήτων αναφέρονται: λειτουργία δικτύου τηλεπικοινωνιών, παροχή υπηρεσιών τηλεπικοινωνιών, επαναστόχευση μηνυμάτων ηλεκτρονικού ταχυδρομείου, δραστηριότητες μάρκετινγκ βάσει δεδομένων, διαμόρφωση προφίλ και βαθμολόγηση για σκοπούς εκτίμησης κινδύνου, εντοπισμός θέσης για παράδειγμα μέσω εφαρμογών για κινητά τηλέφωνα, προγράμματα επιβράβευσης αφοσιωμένων πελατών, συμπεριφορική διαφήμιση, παρακολούθηση δεδομένων σχετικά με την ευεξία, τη φυσική κατάσταση και την υγεία μέσω φορέσιμων συσκευών, τηλεόραση κλειστού κυκλώματος, συνδεδεμένες συσκευές, πχ έξυπνες συσκευές μέτρησης, έξυπνα αυτοκίνητα, οικιακός αυτοματισμός , κλπ.
Ο GDPR επιβάλλει στις επιχειρήσεις: