gdpr
Networking Event
Hand on Laptop
Checklist
Flow Chart
Reaching Hand
4
2
1
1

Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR):

Οδικός χάρτης για την συμμόρφωση των επιχειρήσεων του κλάδου υγείας με τον νέο κανονισμό.

Τι είναι GDPR;

Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) ή αλλιώς Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Ο νέος κανονισμός τίθεται σε ισχύ από τον Μάιο του 2018. Η νέα αυτή νομοθεσία αντικαθιστά την υφιστάμενη Ευρωπαϊκή Οδηγία του 1995 για την Προστασία Δεδομένων και θέτει τις βάσεις για την νέα προσέγγιση στην προστασία των προσωπικών δεδομένων.

Βασικά σημεία GDPR

Ο γενικός κανονισμός για την προστασία των προσωπικών δεδομένων επιτρέπει την ελεύθερη ροή δεδομένων αλλά προστατεύει καλύτερα την ιδιωτική ζωή των Ευρωπαίων και θα ενισχύσει την εμπιστοσύνη και την ασφάλεια των πολιτών.

Οι κατευθυντήριες γραμμές υπενθυμίζουν τα βασικά στοιχεία των νέων κανόνων για την προστασία των δεδομένων:

  • Ένα σύνολο κανόνων σε ολόκληρη την ήπειρο, οι οποίοι εγγυώνται την ασφάλεια δικαίου για τις επιχειρήσεις και παρέχουν το ίδιο επίπεδο προστασίας των δεδομένων σε ολόκληρη την ΕΕ για τους πολίτες.

  • Οι ίδιοι κανόνες ισχύουν για όλες τις εταιρείες που παρέχουν υπηρεσίες στην ΕΕ, ακόμα και στην περίπτωση που οι εταιρείες αυτές έχουν την έδρα τους εκτός ΕΕ.

  • Ισχυρότερα και νέα δικαιώματα για τους πολίτες: το δικαίωμα ενημέρωσης, πρόσβασης και το δικαίωμα στη λήθη ενισχύονται. Ένα νέο δικαίωμα στη φορητότητα των δεδομένων δίνει τη δυνατότητα στους πολίτες να μεταφέρουν τα δεδομένα τους από τη μία εταιρεία στην άλλη. Αυτό θα δώσει στις εταιρείες νέες επιχειρηματικές ευκαιρίες.

  • Ισχυρότερη προστασία έναντι παραβιάσεων προσωπικών δεδομένων: μια εταιρεία που αντιμετωπίζει παραβίαση προσωπικών δεδομένων η οποία θέτει άτομα σε κίνδυνο οφείλει να ενημερώσει την αρχή προστασίας δεδομένων εντός 72 ωρών.

  • Αυστηροί κανόνες και αποτρεπτικά πρόστιμα: όλες οι αρχές προστασίας των δεδομένων θα έχουν την εξουσία να επιβάλλουν πρόστιμα έως 20 εκατ. EUR ή, σε περίπτωση εταιρείας, έως το 4% του παγκόσμιου ετήσιου κύκλου εργασιών της.

 

Ποια δεδομένα χαρακτηρίζονται ως τα προσωπικά δεδομένα;

Προσωπικά δεδομένα κατά τον GDPR είναι τα δεδομένα που μπορεί να αποκαλύπτουν την ταυτότητα του ατόμου, το φύλο του, την ηλικία του, τον τόπο διαμονής, την οικογενειακή του κατάσταση, την εργασιακή του σχέση αλλά και ακόμη πιο προσωπικές πληροφορίες όπως τις συνήθειές του, και τις προτιμήσεις του. Πρόκειται για έναν αρκετά ευρύ ορισμό, ο οποίος αναμένεται να διευρυνθεί περαιτέρω με την πάροδο του χρόνου. Ειδικότερα, αυτό σημαίνει ότι η νέα νομοθεσία καλύπτει ακόμα και τις διευθύνσεις διαδικτυακού πρωτοκόλλου (IP), δεδομένα τοποθεσίας ή άλλους παράγοντες μέσω των οποίων μπορεί να εξακριβωθεί η ταυτότητα ενός ατόμου.

 

Ποια είναι τα ευαίσθητα προσωπικά δεδομένα;

Ευαίσθητα προσωπικά δεδομένα κατά το γράμμα του GDPR είναι τα προσωπικά δεδομένα που αποκαλύπτουν 

Πολιτικές και θρησκευτικές πεποιθήσεις

Σεξουαλικό προσανατολισμό

Φυλετικά χαρακτηριστικά

Ιατρικά δεδομένα, γενετικά και βιομετρικά

 

Ποιες επιχειρήσεις είναι υπόχρεες;

Ο γενικός κανονισμός βρίσκει εφαρμογή σε επιχειρήσεις ή οργανισμούς που διαχειρίζονται προσωπικά δεδομένα ως μέρος της δραστηριότητάς τους στην ΕΕ. Σε περίπτωση που η διαχείριση αφορά ευαίσθητα προσωπικά δεδομένα, όπως τα ιατρικά δεδομένα, τότε ανεξάρτητα με το μέγεθος της επιχείρησης ή το πλήθος των δεδομένων θα πρέπει να γίνει πλήρης εφαρμογή των απαιτήσεων του GDPR. Απαιτείται προσεκτική συγκέντρωση και ασφαλής αποθήκευση προσωπικών δεδομένων:

  • Καμία επεξεργασία των προσωπικών δεδομένων χωρίς συγκατάθεση

  • Κωδικοποίηση αυτών για αποφυγή αναγνώρισης ταυτότητας (profiling)

  • Αποφυγή συσχετισμού βάσεων δεδομένων (linked data)

  • Δυνατότητα διαγραφής ή εξαγωγής και παράδοσης των δεδομένων κατ' απαίτηση.

  • Εφαρμογής της αρχής «τόσα δεδομένα όσα είναι απαραίτητα»

  • Διασφάλιση συμμόρφωσης στον Κανονισμό και από τις συνεργαζόμενες εταιρείες που διαχειρίζονται τα προσωπικά δεδομένα για λογαριασμό της.

 

Τι οφείλουν να κάνουν οι επιχειρήσεις;

•    Διεξαγωγή αξιολογήσεων επιπτώσεις από την ιδιωτικότητα (PIA)

•    Διατήρηση της κατάλληλης ασφάλειας των δεδομένων

•    Υιοθέτηση μέτρων προστασίας για τις διασυνοριακές μεταφορές δεδομένων

•    Υλοποίηση προστασίας της ιδιωτικότητας “εξ’ ορισμού” και “από το σχεδιασμό”

•    Ανάληψη ευθύνης για την ασφάλεια τρίτων προμηθευτών

•    Λήψη των κατάλληλων συγκαταθέσεων για την συλλογή δεδομένων και γνωστοποίηση των δραστηριοτήτων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα

•    Λήψη γονικής συγκατάθεσης για τη συλλογή δεδομένων για παιδιά κάτω των 16 ετών (εάν αυτό ισχύει)

•    Να ορίσουν Υπεύθυνο Προστασίας Δεδομένων (εάν επεξεργάζονται τακτικά πολλά δεδομένα ή ιδιαίτερα ευαίσθητα δεδομένα)

•    Να ενημερώνουν τις αρχές προστασίας σχετικά με τις παραβιάσεις δεδομένων

•    Να τηρούν αρχεία για κάθε επεξεργασία προσωπικών πληροφοριών

•    Να συμβουλεύονται τις ρυθμιστικές αρχές πριν από ορισμένες δραστηριότητες επεξεργασίας

•    Να είναι σε θέση να επιδείξουν τη συμμόρφωσή τους κατόπιν ζήτησης

 

Κλάδος υγείας και συμμόρφωση με GDPR

Το GDPR αναφέρεται αναλυτικά στις διαδικασίες ελέγχου της συμμόρφωσης στη νομοθεσία και καθιστά τους οργανισμούς υπόλογους για την προστασία των προσωπικών δεδομένων. Οι επιχειρήσεις φέρουν το βάρος της απόδειξης όσον αφορά το εάν, το πώς και το πόσο καλά προστάτευσαν τα προσωπικά δεδομένα. Μέχρι σήμερα στις περισσότερες επιχειρήσεις του κλάδου υγείας υπάρχουν κάποιες δικλείδες για την ασφαλή διαχείριση των ευαίσθητων προσωπικών δεδομένων, με το GDPR αυτό που προωθείται και ελέγχεται είναι το πόσο καλά οργανωμένες είναι οι διαδικασίες τους και κατά πόσο εφαρμόζονται. Το GDPR για τις επιχειρήσεις του κλάδου υγείας ζητά πλήρη χαρτογράφηση των ιατρικών δεδομένων, των ροών τους εντός και εκτός της επιχείρησης, του βαθμού επεξεργασίας, κλπ. Απαιτεί την προστασία της ιδιωτικότητας ήδη από τον σχεδιασμό της υπηρεσίας. Προϋποθέτει επίσης ότι υπάρχει μεγαλύτερη διαφάνεια σχετικά με τον τρόπο διαχείρισης και μεταφοράς των δεδομένων. Εισάγει δε και το δικαίωμα στην λήθη, τον καθορισμό πολιτικής για την διαγραφή των δεδομένων προσωπικού χαρακτήρα που τηρεί (Right to be Forgotten). Για όλα τα παραπάνω ζητά τεκμηριωμένες διαδικασίες και πολιτικές. Ζητά επίσης τον καθορισμό αρμοδιοτήτων αλλά και την θέσπιση εσωτερικών ελέγχων εφαρμογής. Η συμμόρφωση με τον GDPR στις επιχειρήσεις στον κλάδο υγείας περνά από την ανασκόπηση των διαδικασιών της επιχείρησης και την αναθεώρησή τους με ενσωμάτωση των απαιτήσεων του GDPR. Η επιχείρηση στο δρόμο για συμμόρφωση πρέπει να λειτουργήσει δημιουργικά, να ενημερώσει και να ευαισθητοποιήσει το προσωπικό, να αντιληφθεί πως απαιτείται έλεγχος και ανασχεδιασμός κάποιων διαδικασιών και να διενεργήσει ανάλυση επικινδυνότητας και επιπτώσεων πριν φτάσει να επενδύσει σε τεχνολογίες. Σε αυτή την διαδρομή συμμόρφωσης και καλύπτοντας την απαίτηση προστασίας της ιδιωτικότητας “εξ’ ορισμού” και “από το σχεδιασμό” της παρεχόμενης υπηρεσίας, καθοριστικό ρόλο μπορεί να παίξει ένας έμπειρος σύμβουλος οργάνωσης που θα λειτουργήσει σαν συντονιστής του έργου ενσωμάτωσης του GDPR στις διαδικασίες και σαν συνδετικός κρίκος μεταξύ της λειτουργίας, των νομικών συμβούλων και των ΙΤ συνεργατών της επιχείρησης.

 

Μεθοδολογία AG ADVENT

Η AG ADVENT με πολυετή εμπειρία στην ανασκόπηση και αναδιοργάνωση διαδικασιών σε επιχειρήσεις του κλάδου υγείας, αλλά και εξειδίκευση στον GDPR έχει σχεδιάσει οδικό χάρτη για την συμμόρφωση των επιχειρήσεων του κλάδου υγείας με τον νέο κανονισμό. Τα βασικά βήματα της μεθοδολογίας της είναι τα εξής: 

  • ΑΡΧΙΚΗ ΑΠΟΤΥΠΩΣΗ: αποτύπωση της υπάρχουσας κατάστασης σχετικά με το ποια ΠΔ διαχειρίζεται η επιχείρηση, πως τα επεξεργάζεται, πως τα εξασφαλίζει, εάν και ποιοι υπεργολάβοι της επεξεργάζονται ΠΔ για λογαριασμό της επιχείρησης

  • ΝΕΕΣ ΑΠΑΙΤΗΣΕΙΣ GDPR: εντοπισμός, μέσω gap analysis, των νέων απαιτήσεων που καλείται να καλύψει η επιχείρηση σχετικά με την προστασία των ΠΔ

  • ΑΛΛΑΓΗ ΕΣΩΤΕΡΙΚΩΝ ΔΙΑΔΙΚΑΣΙΩΝ: οι εσωτερικές διαδικασίες μπορεί να χρειαστεί να αλλάξουν ή να προστεθούν νέες μετά τον έλεγχο για: την νόμιμη συλλογή ΠΔ, την ρητή ενημέρωση και συναίνεση των υποκειμένων, την απαγόρευση επεξεργασίας ‘’δεδομένων ειδικού σκοπού’’, τον χρονικό περιορισμό τήρησης, τον μη συσχετισμό και την δημιουργία προφίλ των υποκειμένων, κλπ

  • ΑΝΑΣΧΕΔΙΑΣΜΟΣ / ΑΝΑΒΑΘΜΙΣΗ ΣΥΣΤΗΜΑΤΩΝ ΔΙΑΧΕΙΡΙΣΗΣ ΠΔ: τα συστήματα διαχείρισης ΠΔ (ψηφιακά ή φυσικά) μπορεί να χρειαστούν αναβάθμιση ώστε να εξυπηρετούν τις νέες απαιτήσεις ασφάλειας, ακεραιότητας, διαθεσιμότητας, φορητότητα, δικαιώματος στην λήθη, κλπ. Οδηγός για την αναβάθμιση είναι το gap analysis και η εκτίμηση επιπτώσεων διαρροής ΠΔ (DPIA) που θα γίνουν.

  • ΔΗΜΙΟΥΡΓΙΑ ΝΕΩΝ ΡΟΛΩΝ / ΑΡΜΟΔΙΟΤΗΤΩΝ. ΕΚΠΑΙΔΕΥΣΗ: Θα πρέπει να οριστεί υπεύθυνος προστασίας ΠΔ (DPO) στην επιχείρηση και να μοιραστούν σχετικοί ρόλοι στο κατάλληλο προσωπικό. Θα πρέπει να εκπαιδευτεί το προσωπικό για να δημιουργηθεί κουλτούρα προστασίας ΠΔ

  • ΑΠΟΔΕΙΞΗ ΟΡΘΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ. ΑΥΤΟΕΛΕΓΧΟΣ: Θα συνταχθεί διαδικασία αυτοελέγχου από τον DPO ή άλλο κατάλληλο στέλεχος ή συνεργάτη για τον έλεγχο και την απόδειξη της ορθής επεξεργασία των ΠΔ

 

H AG ADVENT εφαρμόζει μεθοδολογία που στηρίζεται στο διεθνές πρότυπο Personal Information Management System –  PIMS (BS 10012:2017)

 

Τι αναλαμβάνει η AG ADVENT

  • Εξειδικευμένο σχεδιασμό συστήματος συμμόρφωσης της επιχείρησής σας με τις απαιτήσεις GDPR

  • Χαρτογράφηση Προσωπικών Δεδομένων ΠΔ  (DP map) / Εύρεση ΠΔ (data discovery)

  • Σχεδιασμός Μητρώου ΠΔ  (DP register) με αποτύπωση τρόπου κάλυψης των επιμέρους απαιτήσεων του GDPR, όπου θα γίνει έλεγχος νόμιμης συλλογής, αποθήκευσης, διαχείρισης, επεξεργασίας και επικοινωνίας ΠΔ, καθορισμός χρόνου τήρησης των ΠΔ, ενσωμάτωση του δικαιώματος στην ψηφιακή λήθη και στην φορητότητα των ΠΔ, περιγραφή της Ασφάλειας Προσωπικών Δεδομένων (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα), κλπ 

  • Ανασκόπηση συνεργασιών που περιλαμβάνουν επεξεργασία ΠΔ (υπεργολάβοι, συνεργάτης data processing, cloud, κλπ)

  • Καθορισμός Πλαίσιου Μέτρων Περιορισμού Ευθύνης της επιχείρησης

  • Εκπόνηση της Εκτίμηση Επιπτώσεων (Data Protection Impact Assessment - DPIA)

  • Ανάπτυξη εγχειριδίου & πολιτικών προστασίας ΠΔ και ανασκόπηση διαδικασιών για την αναβάθμισή τους και την εναρμόνiση με τον GDPR

  • Καθορισμός τρόπου επικοινωνίας με υποκείμενα ΠΔ και της Αρχής (ΑΠΔΠΧ)

  • Καθορισμός υπευθυνοτήτων & αρμοδιοτήτων. Αναβάθμιση των ΠΘΕ. Νέο οργανόγραμμα.

  • Ενημέρωση / εκπαίδευση του προσωπικού

  • Απόδειξη ορθής επεξεργασίας/ αυτοέλεγχος. Εσωτερική επιθεώρηση.

  • Παρακολούθηση εξελίξεων από ΑΠΔΠΧ και συνεχή ενημέρωση της επιχείρησης

Ανοιχτή γραμμή επικοινωνίας μέχρι τις 25 Μαΐου 2018.

 

Επικοινωνήστε απευθείας μαζί μας στο info@advent.com.gr ή καλέστε μας άμεσα στο 210 9233 551