Αυτό το site περιγράφει μερικά από τα λάθη των οργανώσεων που κάνουν κατά την προετοιμασία για το GDPR, και εξηγεί πώς να αποφευχθούν.
1. "Δεν συνειδητοποίησα ότι η GDPR αφορούσε εμένα"
Ο μεγαλύτερη παγίδα που μπορείτε να πέσετε είναι η υποθέση ότι «το GDPR είναι μόνο για τις μεγάλες επιχειρήσεις και δεν ισχύει για την δική μου ". Αυτοί οι άνθρωποι αποτυγχάνουν να αντιμετωπίσουν τον Κανονισμό και αντιμετωπίζουν την αυστηρότερη τιμωρία. Αλλά δεν είναι μόνο το μέγεθος του οργανισμού που χρησιμοποιούν οι άνθρωποι για να δικαιολογήσουν την παραβίαση του GDPR. Οι άνθρωποι μας λένε, " Η οργάνωση μου δεν είναι στην ΕΕ" ή "Έχουμε μια φιλανθρωπική οργάνωση, είμαστε εντάξει, έτσι;".
Αυτές οι υποθέσεις είναι άσχετες. Δεν έχει σημασία το πού βασίζεται ο οργανισμός σας, πόσο μεγάλος είναι, πόσα προσωπικά δεδομένα συλλέγετε ή τι χρησιμοποιείτε. Το μόνο που έχει σημασία είναι αν συλλέγετε τα προσωπικά δεδομένα των κατοίκων της ΕΕ. Εάν το κάνετε, πρέπει είτε να σταματήσετε τη συλλογή είτε να συμμορφωθείτε με το GDPR. Υπάρχουν μόνο δύο παρεκκλίσεις. Το GDPR δεν ισχύει για τις "οικιακές δραστηριότητες", όπως οι προσωπικές επαφές ηλεκτρονικού ταχυδρομείου ή τηλεφώνου ,και οι απαιτήσεις είναι πιο χαλαρές για οργανώσεις με λιγότερους από 250 υπαλλήλους.
2. "Δεν χρειάζεται πάντα συναίνεση !"
Οι περισσότεροι οργανισμοί βασίζονται στη συγκατάθεση για τη νόμιμη επεξεργασία των δεδομένων των ανθρώπων, έτσι πολλοί άνθρωποι έχουν αποφύγει τις αυστηρές νέες απαιτήσεις συγκατάθεσης του GDPR. Οι επικριτές έχουν πει ότι οι κανόνες, οι οποίοι περιλαμβάνουν την ανάγκη για "σαφή θετική δράση" από το άτομο, καθιστούν πολύ δύσκολο να πάρουμε τη συναίνεση του. Χωρίς αυτήν, οι οργανισμοί δεν θα έχουν πρόσβαση σε προσωπικά δεδομένα και ορισμένες από τις σημαντικότερες διαδικασίες τους θα αποτύχουν.
Είναι αλήθεια ότι οι απαιτήσεις του GDPR αποσκοπούν να αποθαρρύνουν τους οργανισμούς να ζητούν συγκατάθεση, αλλά αυτό δεν σημαίνει ότι δεν μπορούν να επεξεργαστούν τα προσωπικά δεδομένα. Η συναίνεση είναι μόνο ένας από τους έξι νόμιμους λόγους επεξεργασίας δεδομένων προσωπικού χαρακτήρα και είναι κατά πολύ λιγότερο προτιμητέος. Η εμμονή με αυτό ως βάση σας δημιουργεί μια σειρά πιθανών προβλημάτων. Για παράδειγμα, εάν χρησιμοποιήσατε συγκατάθεση για την επεξεργασία προσωπικών δεδομένων και στη συνέχεια θέλετε να χρησιμοποιήσετε τα δεδομένα αυτά για άλλο σκοπό, θα πρέπει να ζητήσετε ξανά τη συναίνεση όλων. Όποιος αρνείται ή δεν απαντήσει στο αίτημά σας ,πρέπει να αφαιρεθεί από τα αρχεία σας.
Τα άτομα είναι επίσης ελεύθερα να αποσύρουν τη συγκατάθεσή τους οποιαδήποτε στιγμή, γεγονός που σημαίνει και πάλι ότι πρέπει να τους αφαιρέσετε από τα αρχεία σας. Αν δεν το κάνετε αυτό, ο οργανισμός σας κινδυνεύει με πειθαρχικά μέτρα από την αρμόδια εποπτική αρχή.
Οι άλλοι νόμιμοι λόγοι είναι πολύ πιο σταθεροί και παρέχουν στους οργανισμούς ασφάλεια σε περίπτωση που ένα άτομο αντιτίθεται στην επεξεργασία των δεδομένων του. Εάν ο οργανισμός παρέχει τεκμηριωμένη απόδειξη ότι η επεξεργασία πληροί τη νόμιμη απαίτηση, η ένσταση του ατόμου πιθανόν να απορριφθεί.
3. "Είμαι ο ελεγκτής ή ο υπεύθυνος επεξεργασίας;"
Το GDPR χωρίζει τις νομικές ευθύνες για τη διαχείριση των προσωπικών δεδομένων σε δύο κατηγορίες: ελεγκτές δεδομένων, οι οποίοι προσδιορίζουν τον σκοπό συλλογής δεδομένων προσωπικού χαρακτήρα και τον τρόπο με τον οποίο θα γίνει αυτό, καθώς και επεξεργαστές δεδομένων που πραγματοποιούν τη συλλογή δεδομένων.
Αυτό μπορεί να φαίνεται αρκετά απλό, αλλά η σχέση μεταξύ ελεγκτών και επεξεργαστών δεν είναι απλή. Οι οργανισμοί είναι συχνά υπεύθυνοι επεξεργασίας δεδομένων σε ορισμένα σενάρια και επεξεργαστές σε άλλα. Επιπλέον, όπως εξηγεί το VentureBeat, μπορεί να υπάρχουν πολλοί επεξεργαστές δεδομένων για τα ίδια δεδομένα: "Για παράδειγμα, η εταιρεία μου δημιουργεί μια πλατφόρμα διαχείρισης υπηρεσιών πληροφορικής (ITSM). Οι πελάτες αποθηκεύουν προσωπικά δεδομένα στο Help Desk. Αυτό κάνει τους ελεγκτές των πελατών μας και την εταιρεία μου επεξεργαστή. Ωστόσο, η πλατφόρμα μας cloud τρέχει σε Amazon Web Services, έτσι το Amazon είναι επεξεργαστής για μας. "
Το VentureBeat προσθέτει: "Το Amazon ελέγχει τα προσωπικά δεδομένα ορισμένων υπαλλήλων μας, ίσως σε ένα αρχείο CRM ή σε έναν λογαριασμό αγορών Amazon.com. Αλλά αυτές είναι ξεχωριστές, άσχετες σχέσεις. "
Οι ευθύνες για τους υπεύθυνους επεξεργασίας δεδομένων και τους επεξεργαστές δεδομένων είναι διαφορετικές, οπότε είναι απαραίτητο όλοι όσοι συμμετέχουν στη συλλογή δεδομένων να γνωρίζουν το ρόλο τους.
Πηγή: www.itgovernance.eu
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου