Καθοδήγηση - Guidance
Υποχρεώσεις Οργανισμών υπό τον ΓΚΠΔ
1) Να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή:
α) Να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ’ αυτών είναι απαραίτηταβ) Να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπόγ) Να τα επικαιροποιούν, να τα αποθηκεύουν για το ελάχιστο χρονικό διάστημα που απαιτείταιδ) Να λαμβάνουν κατά περίπτωση την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων
2) Να τα μεταφέρουν σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις.
3) Να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με τον ΓΚΠΔ.
4) Να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα για:
α) Ανάκληση της συγκατάθεσηςβ) Πρόσβαση στα δεδομέναγ) Διόρθωση των δεδομένωνδ) Διαγραφή των δεδομένωνε) Περιορισμό της επεξεργασίαςστ) Παράδοση των δεδομένων σε ηλεκτρονική μορφήζ) Μεταφορά των δεδομένων σε άλλο φορέαη) Να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους
5) Να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους.
6) Να τηρούν σε αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση.
7) Να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.
Παρεπόμενες Υποχρεώσεις Οργανισμών υπό τον ΓΚΠΔ
- Nα ορίσουν υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer)
- Nα έχουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα που θα διασφαλίζουν τη διαθεσιμότητα της Πληροφορίας με επικαιροποιημένο Σχέδιο Επιχειρησιακής Συνέχειας (Business Continuity Planning )
- Nα έχουν διαδικασίες συνεχούς ανάλυσης των επιπτώσεων που μπορεί να προκύψουν λόγω παραβίασης ή απώλειας Προσωπικών Δεδομένων (Data Privacy Impact Assessment DPIA)
- Nνα σχεδιάζουν και να υλοποιούν προϊόντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία των Προσωπικών Δεδομένων (Privacy by Design, Privacy by Default)
- Nα έχουν εκπαιδεύσει κατάλληλα το προσωπικό τους
- Nα έχουν σχέδιο αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας Προσωπικών Δεμένων (Breach Incident Response Plan)
Κατευθυντήριες Γραμμές από την ΕΕ