Free VPS Trial, no credit card required
Learn More
NetShop logo

Αρχική

Συμμόρφωση με τον ΓΚΠΔ/GDPR

Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ/GDPR).

Ο Γενικός Κανονισμός Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης 2016/679 (ΓΚΠΔ/GDPR) τίθεται σε ισχύ στις 25 Μαΐου 2018 και πρόκειται να επηρεάσει κάθε επιχείρηση που δραστηριοποιείται στην ΕΕ ή ασχολείται με πελάτες της ΕΕ. Ο νέος κανονισμός καταργεί την Ευρωπαϊκή οδηγία για την προστασία των δεδομένων 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) που εκδόθηκε το 1995 και έχει σχεδιαστεί για την εναρμόνιση των νόμων περί απορρήτου δεδομένων σε όλα τα κράτη μέλη της ΕΕ, προστατεύοντας τα προσωπικά δεδομένα των πολιτών της ΕΕ.

Ο ΓΚΠΔ/GDPR έχει να κάνει με την τυποποίηση του τρόπου με τον οποίο οι επιχειρήσεις χειρίζονται τα προσωπικά δεδομένα των ατόμων και να καταστήσει σαφές στους καταναλωτές ότι τα δεδομένα τους είναι σε ασφαλή χέρια. Κάθε φορά που δεσμεύεστε για κάτι στο Διαδίκτυο - όπως άνοιγμα τραπεζικού λογαριασμού, συμμετοχή σε ιστότοπο κοινωνικής δικτύωσης ή κράτηση πτήσης, παραδίδετε ζωτικά προσωπικά στοιχεία όπως το όνομα, τη διεύθυνση και τον αριθμό της πιστωτικής σας κάρτας. Αυτές είναι προσωπικές και / ή ευαίσθητες πληροφορίες. Με τις παραβιάσεις δεδομένων υψηλού επιπέδου και το hacking να αυξάνεται, ο ΓΚΠΔ/GDPR φαίνεται να ενισχύει την ασφάλεια.

Βασικοί όροι και ορισμοί:

Υπεύθυνος Επεξεργασίας - το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Αυτός είστε εσείς, η επιχείρηση σας που εδράζεται στην ΕΕ ή ασχολείται με πελάτες στην ΕΕ.

Εκτελών την επεξεργασία - το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας. Αυτός είναι ο πάροχος υπηρεσιών cloud ή / και ο πάροχος προστασίας δεδομένων όπως η NetShop ISP.

Δεδομένα προσωπικού χαρακτήρα - κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Αυτός είναι ο κύριος λόγος ύπαρξης του Κανονισμού.

Υποκείμενο των δεδομένων – το φυσικό ή νομικό πρόσωπο που μπορεί να αναγνωριστεί με βάση τα δεδομένα προσωπικού χαρακτήρα.

Δικαίωμα στη λήθη – Σύμφωνα με τον Κανονισμό 'το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν' και να σταματήσει η επεξεργασία τους. Το υποκείμενο των δεδομένων μπορεί να ζητήσει την διαγραφή όλων των προσωπικών του δεδομένων που είναι αποθηκευμένα στους servers. Σε αυτό το σημείο, δεν είναι ακόμα ξεκάθαρο εάν το 'δικαίωμα στην λήθη' σημαίνει επίσης και διαγραφή δεδομένων απο τα backups, καθώς κάποια μέσα φύλαξης δεδομένων, π.χ. βιντεοκασέτες, δεν επιτρέπουν την μερική διαγραφή χωρίς την καταστροφή ολόκληρου του backup. Η επιχείρησή σας ενδέχεται επίσης να υπόκειται σε ορισμένες πολιτικές εφεδρικής διατήρησης δεδομένων για αρχειοθέτηση και νομικούς σκοπούς.

Παραβίαση δεδομένων προσωπικού χαρακτήρα - η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία. Θα πρέπει να αναφέρετε περιστατικά παραβίασης δεδομένων στην Eποπτική Aρχή εντός 72 ωρών από τη στιγμή που υπέπεσε στην αντίληψη σας.

Σύμβαση υπηρεσίας – μια συμφωνία για υπηρεσία μεταξύ 'Υπεύθυνου επεξεργασίας' και 'Εκτελών την επεξεργασία'.

Yπεύθυνος Προστασίας Δεδομένων (Data Protection Officer - DPO) – μια νέα θέση στις εταιρείες που θα είναι υπεύθυνη για όλα τα θέματα που σχετίζονται με την προστασία των προσωπικών δεδομένων.

Βασικές απαιτήσεις το ΓΚΠΔ/GDPR

Ο ΓΚΠΔ/GDPR απαιτεί από οποιαδήποτε επιχείρηση που δραστηριοποιείται στην ΕΕ ή ξένη επιχείρηση που ασχολείται με πελάτες της ΕΕ να αποθηκεύει και να επεξεργάζεται όλα τα προσωπικά δεδομένα εντός των ευρωπαϊκών συνόρων (εκτός εάν υπάρχει ρητή άδεια από το 'υποκείμενο των δεδομένων' να διατηρήσει τα δεδομένα του εκτός ΕΕ).

Τα προσωπικά δεδομένα μπορούν να διατηρηθούν μόνο για όσο διάστημα απαιτούνται για την εξυπηρέτηση του αρχικού σκοπού και πρέπει να προστατεύονται σύμφωνα με τους νέους κανόνες. Τόσο ο 'Υπεύθυνος επεξεργασίας' όσο και ο 'Εκτελών την επεξεργασία' υποχρεούνται να εφαρμόσουν 'κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων'

Ο ΓΚΠΔ/GDPR ζητά επίσης έναν ολοκληρωμένο μηχανισμό αναφοράς για να βοηθήσει τον 'Υπεύθυνο επεξεργασίας' να εντοπίσει τα προσωπικά δεδομένα που είναι αποθηκευμένα στους server του καθώς επίσης να επιβεβαιώσει τη θέση αποθήκευσης, την κρυπτογράφηση ή τη διαγραφή τους όταν ζητηθεί. Πρέπει επίσης να υπάρχει ένας εύκολος τρόπος για έναν εξωτερικό ελεγκτή να επαληθεύσει τις αναφορές.T

Τι γίνεται με τις εταιρείες εκτός ΕΕ; Πως ο ΓΚΠΔ/GDPR επηρεάζει τις ίδιες και τις λειτουργίες τους;

Πολλές επιχειρήσεις της ΕΕ έχουν γραφεία εκτός ΕΕ ή πραγματοποιούν συναλλαγές με εταιρείες εκτός ΕΕ. Ο ΓΚΠΔ επεκτείνει το πεδίο εφαρμογής του νόμου περί προστασίας δεδομένων της ΕΕ σε όλες τις ξένες εταιρείες που επεξεργάζονται δεδομένα κατοίκων της ΕΕ. Με αυτόν τον τρόπο, τα πράγματα διευκολύνονται για τις εταιρείες που δεν ανήκουν στην ΕΕ. Θα συμμορφωθούν με ένα σύνολο τυποποιημένων κανονισμών προστασίας δεδομένων, οπότε δεν θα χρειαστεί να περάσουν από μια πληθώρα διαφορετικών κανόνων ανάλογα με τη χώρα με την οποία εργάζονται.

Πάροχοι cloud storage και φύλαξης δεδομένων

Ο ΓΚΠΔ/GDPR επιβάλλει νέες απαιτήσεις και προϋποθέσεις ασφάλειας σε οργανισμούς (Υπεύθυνοι Επεξεργασίας) που συνεργάζονται με παρόχους υπηρεσιών cloud και προστασίας δεδομένων όπως η NetShop ISP (Εκτελών την επεξεργασία)

Η σχέση μεταξύ 'Υπεύθυνου επεξεργασίας' και 'Εκτελών την επεξεργασία' μπορεί να συνοψιστεί με τα ακόλουθα σημεία:

– Οι πάροχοι υπηρεσιών Cloud πρέπει να προσφέρουν επαρκή εγγύηση ότι η υπηρεσία πληροί τις τεχνικές και οργανωτικές απαιτήσεις του νέου κανονισμού.

– Οι συμφωνίες υπηρεσιών μεταξύ 'Υπεύθυνου επεξεργασίας' και 'Εκτελών την επεξεργασία' απαγορεύουν την επεξεργασία δεδομένων απο τρίτους, χωρίς τη συγκατάθεση του 'Υπεύθυνου επεξεργασίας'.

– Κατά την λήξη της Σύμβασης υπηρεσίας, όλα τα δεδομένα πρέπει να διαγραφούν απο το cloud και ο 'Εκτελών την επεξεργασία' πρέπει να παρέχει επαρκή στοιχεία ότι έχει πραγματοποιηθεί η διαγραφή.

– Ο 'Εκτελών την επεξεργασία' οφείλει να ενημερώσει την Eποπτική Aρχή για οποιαδήποτε περιστατικά παραβίασης δεδομένων προσωπικού χαρακτήρα.