GDPR Hub
GDPR
ΕΜΠΕΙΡΙΑ

Επικεφαλής της Ομάδας μας είναι ο Αν. Καθηγητής Γρηγόρης Λαζαράκος

Από τον Σεπτέμβριο του 2016 η ομάδα μας έχει αναλάβει και παρέχει νομική υποστήριξη και υπηρεσίες συμμόρφωσης στον Γενικό Κανονισμό σε μεγάλες ελληνικές και πολυεθνικές εταιρείες και ενδεικτικά σε
  1. Το Εθνικό Κέντρο Έρευνας Φυσικών Επιστημών «ΔΗΜΟΚΡΙΤΟΣ»
  2. Τον Σύνδεσμο Ιδιωτικών Σχολείων και, μέσω αυτού, 55 ιδιωτικά σχολεία
  3. Έξι ασφαλιστικές εταιρείες
  4. Δύο ναυτιλιακές εταιρείες
  5. Μία εταιρεία παροχής προγραμμάτων εκπαίδευσης σε ναυτικούς
  6. Μία πολυεθνική εταιρεία που δραστηριοποιείται στο χώρο των Μέσων Μαζικής Ενημέρωσης και της παραγωγής και προβολής κινηματογραφικών ταινιών
  7. Μία πολυεθνική και μία ελληνική φαρμακευτική εταιρεία
  8. Μία επιχείρηση διαχείρισης εμπορικών κέντρων
  9. Μία ελληνική αεροπορική εταιρεία
  10. Μία ελληνική (συστημική) τράπεζα
  11. Ένα μεγάλο ελληνικό ειδησεογραφικό Ιστότοπο
  12. Ένα μεγάλο φορέα διεξαγωγής τυχερών παιγνίων
  13. Μία εταιρεία πληροφορικής που δραστηριοποιείται στο χώρο της τηλεϊατρικής (e-Health)
  14. Μία εταιρεία που δραστηριοποιείται στο κλάδο του Λιανικού Εμπορίου (retail)
  15. Δύο εταιρείες χρηματοδοτικής μίσθωσης (Leasing)
  16. Μία εταιρεία που δραστηριοποιείται στην παροχή Υπηρεσιών Factoring
  17. Μία εταιρεία διαχείρισης αμοιβαίων κεφαλαίων (Α.Ε.Δ.Α.Κ.)
  18. Μία εταιρεία διαχείρισης απαιτήσεων
  19. Μία εταιρεία Πραγματογνωμόνων
ΒΗΜΑΤΑ ΣΥΜΜΟΡΦΩΣΗΣ ΠΡΟΣ ΤΟΝ ΓΚΠΔ
  • ΔΙΑΦΑΝΕΙΑ ΚΑΤΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ – ΑΡΧΗ ΤΗΣ ΔΙΑΦΑΝΕΙΑΣ (αιτ. σκ. 39 ΓΚΠΔ)

    Θα πρέπει να είναι σαφές για τα φυσικά πρόσωπα -μέσω ειδικής ενημέρωσης που τους παρέχεται- ότι δεδομένα προσωπικού χαρακτήρα που τα αφορούν συλλέγονται, χρησιμοποιούνται, λαμβάνονται υπόψη ή υποβάλλονται κατ' άλλο τρόπο σε επεξεργασία, καθώς και σε ποιο βαθμό τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται ή θα υποβληθούν σε επεξεργασία. Η αρχή αυτή απαιτεί κάθε πληροφορία και ανακοίνωση σχετικά με την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιεί σαφή και απλή γλώσσα.

  • ΔΗΜΙΟΥΡΓΙΑ ΚΑΙ ΔΙΑΤΗΡΗΣΗ ΑΡΧΕΙΟΥ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ (άρθρο 30 ΓΚΠΔ)

    Η υποχρέωση αυτή αφορά τόσο τον υπεύθυνο όσο και τον εκτελούντα την επεξεργασία. Το αρχείο πρέπει να περιλαμβάνει συγκεκριμένη πληροφόρηση και για το λόγο αυτό συστήνεται η σχετική εργασία να εκτελείται με ιδιαίτερη προσοχή.

  • ΕΦΑΡΜΟΓΗ ΚΑΤΑΛΛΗΛΩΝ ΤΕΧΝΙΚΩΝ ΚΑΙ ΟΡΓΑΝΩΤΙΚΩΝ ΜΕΤΡΩΝ (άρθρα 5, 25, και 32 ΓΚΠΔ)

    Υπεύθυνος και εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των εκάστοτε επαπειλούμενων κινδύνων, λαμβάνοντας όμως υπόψη την εξέλιξη της τεχνολογίας αλλά και το κόστος της εφαρμογής σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν. Επιπλέον, κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία.

  • ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΗΔΗ ΑΠΟ ΤΟ ΣΧΕΔΙΑΣΜΟ Ή ΕΞ ΟΡΙΣΜΟΥ (άρθρο 5 ΓΚΠΔ)

    Προκειμένου να μπορεί να αποδείξει συμμόρφωση προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας (ή ο εκτελών) θα πρέπει να εφαρμόζει μέτρα, τα οποία ανταποκρίνονται στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού (privacy by design and by default).

  • ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (DPIA - άρθρα 35 και 36 ΓΚΠΔ)

    Μελέτη αντικτύπου για την προστασία των δεδομένων πραγματοποιείται ανά είδος επεξεργασίας που ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ενώ σε μία εκτίμηση αντικτύπου μπορεί να εξετάζεται και ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους. Σε περίπτωση που η διενεργηθείσα εκτίμηση αντικτύπου υποδεικνύει ότι η σκοπούμενη επεξεργασία εξακολουθεί να ενέχει υψηλό κίνδυνο παρά τα μέτρα μετριασμού του κινδύνου που προβλέπει η εκτίμηση αντικτύπου, ο υπεύθυνος επεξεργασίας θα πρέπει να ζητεί τη γνώμη της εποπτικής αρχής πριν την επεξεργασία.

  • ΟΡΙΣΜΟΣ ΥΠΕΥΘΥΝΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (DPO) (άρθρα 37 - 39 ΓΚΠΔ)

    Υπεύθυνος και εκτελών την επεξεργασία υποχρεούνται να ορίσουν DPO στις εξής περιπτώσεις:

    1. όταν η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
    2. όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία αποτελούνται από επεξεργασίες, οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, και
    3. όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία αποτελούνται από μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα ή δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα.
  • ΓΝΩΣΤΟΠΟΙΗΣΗ ΠΕΡΙΣΤΑΤΙΚΩΝ ΠΑΡΑΒΙΑΣΗΣ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΑΠΔΠΧ (άρθρα 33 και 34 ΓΚΠΔ)

    Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

    Με τη γνωστοποίηση στην εποπτική αρχή θα πρέπει να περιγράφεται η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, οι ενδεχόμενες συνέπειες της παραβίασης, καθώς και τα ληφθέντα (ή τα προτεινόμενα προς λήψη) μέτρα για την αντιμετώπιση της παραβίασης ή το μετριασμό των δυσμενών συνεπειών της. Θα πρέπει επίσης να ανακοινώνονται το όνομα και τα στοιχεία επικοινωνίας του DPO.

  • ΕΠΟΠΤΕΙΑ ΤΟΥ ΕΚΤΕΛΟΥΝΤΟΣ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ (άρθρα 4 παρ. 8, 28 και 29 ΓΚΠΔ)

ΟΙ ΥΠΗΡΕΣΙΕΣ ΜΑΣ - ΤΙ ΑΝΑΛΑΜΒΑΝΟΥΜΕ
  • ΑΡΧΕΙΟ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ (DATA MAPPING)

    Η δημιουργία του αρχείου δραστηριοτήτων είναι το πρώτο απαραίτητο βήμα συμμόρφωσης προς τις απαιτήσεις του ΓΚΠΔ. Πιστεύουμε ότι πριν ξεκινήσει μια επιχείρηση ή ένας οργανισμός να ασχολείται με τις επιμέρους απαιτήσεις του ΓΚΠΔ και πριν καν καταπιαστεί με τον Έλεγχο Αποκλίσεων (Gap analysis) είναι ΑΠΑΡΑΙΤΗΤΟ να καταγράψει με προσοχή τις επεξεργασίες, για τις οποίες η επιχείρηση είναι υπεύθυνη. Το ίδιο ισχύει και για επιχειρήσεις/οργανισμούς, που έχουν το ρόλο του εκτελούντος την επεξεργασία.

    Με βάση την εμπειρία μας σε ζητήματα προσωπικών δεδομένων εφαρμόζουμε άρτια σχεδιασμένες μεθόδους προσέγγισης των δραστηριοτήτων της εταιρείας και είτε βελτιώνουμε υφιστάμενα αρχεία δραστηριοτήτων είτε ξεκινάμε την καταγραφή από την αρχή εντοπίζοντας και καταγράφοντας τα τμήματα της Εταιρίας, τις επεξεργασίες και τη ροή των δεδομένων, τη νομική βάση αλλά και όλα τα στοιχεία που προβλέπονται στην ισχύουσα νομοθεσία.

    Κύριο μέλημά μας είναι το αρχείο προσωπικών δεδομένων της Εταιρίας/Οργανισμού να είναι πλήρες και να συμφωνεί με το γράμμα και το πνεύμα του ΓΚΠΔ (άρθρο 30 του ΓΚΠΔ).

  • ΕΛΕΓΧΟΣ ΑΠΟΚΛΙΣΕΩΝ (GAP ANALYSIS)

    Αναλαμβάνουμε τη διερεύνηση τυχόν αποκλίσεων της Εταιρείας/Οργανισμού σε σχέση με τις απαιτήσεις του Κανονισμού και, ακολούθως, τον εντοπισμό των ζητημάτων που χρήζουν διόρθωσης ή/και συμπλήρωσης. Ο έλεγχος πραγματοποιείται επί τη βάσει των αρχών, που διέπουν την επεξεργασία των προσωπικών δεδομένων, καθώς και των δικαιωμάτων των υποκειμένων, όπως οι αρχές και τα δικαιώματα αυτά εξειδικεύονται στα επιμέρους άρθρα του Κανονισμού.

    Κάθε απόκλιση που αναγνωρίζεται ανά περιοχή ελέγχου σε σχέση με τις απαιτήσεις του Κανονισμού συνοδεύεται από αναλυτική πρόταση διορθωτικών ενεργειών.

    Οι ανωτέρω ενέργειες παρέχουν στην Εταιρία τη δυνατότητα να αποκτήσει μια πιο ξεκάθαρη εικόνα των τομέων / εταιρικών δραστηριοτήτων που χρήζουν βελτίωσης σε σχέση με τις απαιτήσεις της εκάστοτε ισχύουσας νομοθεσίας για τα προσωπικά δεδομένα.

  • ΥΛΟΠΟΙΗΣΗ ΜΕΤΡΩΝ ΣΥΜΜΟΡΦΩΣΗΣ

    Αναλαμβάνουμε είτε τον έλεγχο και την προσαρμογή τυχόν υπάρχοντος σχεδίου δράσης της Εταιρείας/Οργανισμού είτε την υλοποίηση συγκεκριμένων μέτρων συμμόρφωσης στον ΓΚΠΔ. Επί παραδείγματι, αναλαμβάνουμε την σύνταξη Πολιτικών και Διαδικασιών επεξεργασίας προσωπικών δεδομένων, κειμένων ενημέρωσης (χρηστών διαδικτύου, εργαζομένων, προμηθευτών κ.ά.), συμβάσεων μεταξύ υπεύθυνων και εκτελούντων την επεξεργασία ή από κοινού υπεύθυνων επεξεργασίας κλπ..

  • ΕΚΠΟΝΗΣΗ DPIAs ΚΑΙ PIAs

    • Σε συνεργασία με τον DPO της Εταιρείας, αξιολογούμε το κατά πόσον μια επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Σε καταφατική περίπτωση, αναλαμβάνουμε την εκπόνηση της Μελέτης Εκτίμηση Αντικτύπου και ερχόμαστε με την ΑΠΔΠΧ, εφόσον τούτο κριθεί αναγκαίο.
    • Υποστηρίζουμε επίσης Εταιρείες/Οργανισμούς που ως Εκτελούντες την επεξεργασία και/ή Κατασκευαστές προϊόντων πληροφορικής οφείλουν να συνδράμουν τον εκάστοτε υπεύθυνο επεξεργασίας κατά την εκπόνηση DPIA. Σε αυτό το πλαίσιο, αναλαμβάνουμε την παροχή συμβουλευτικών υπηρεσιών κατά την εκπόνηση σχετικών Μελετών (Privacy Impact Assessment - PIA). Ο σκοπός μίας PIA είναι να ενημερώσει τον υπεύθυνο επεξεργασίας σε σχέση με πτυχές του προϊόντος που αφορούν σε προσωπικά δεδομένα (και όχι να αποδείξει ότι το προϊόν βρίσκεται σε συμμόρφωση με τη νομοθεσία).
  • ΥΠΗΡΕΣΙΕΣ ΥΠΕΥΘΥΝΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΩΝ (DPO SERVICES) Ή ΥΠΟΣΤΗΡΙΞΗΣ ΤΟΥ ΥΠΕΥΘΥΝΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΟΜΕΝΩΝ (DPO SUPPORT)

    • Παρέχουμε υπηρεσίες εξωτερικού DPO (DPO as a service), αναλαμβάνοντας την εκτέλεση των καθηκόντων που προβλέπονται στον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ), όπως εξειδικεύονται στο WP 243 της Ομάδας Εργασίας του άρθρου 29.
    • Εναλλακτικώς λειτουργούμε υποστηρικτικά προς τον Εσωτερικό DPO της Εταιρείας (DPO support), παρέχοντας συμβουλευτικές υπηρεσίες κατά την άσκηση των καθηκόντων του, όπως ορίζονται στο άρθρο 39 του Γενικού Κανονισμού Προστασίας Δεδομένων.
  • ΝΟΜΙΚΗ ΥΠΟΣΤΗΡΙΞΗ ΣΕ ΠΕΡΙΠΤΩΣΗ ΠΕΡΙΣΤΑΤΙΚΟΥ ΠΑΡΑΒΙΑΣΗΣ ΔΕΔΟΜΕΝΩΝ

    Αναλαμβάνουμε την παροχή συμβουλευτικών υπηρεσιών σε σχέση με τις ενέργειες που πρέπει να αναληφθούν από την Εταιρεία/Οργανισμό σε περίπτωση παραβίασης δεδομένων.

  • ΕΚΠΡΟΣΩΠΗΣΗ ΕΝΩΠΙΟΝ ΤΗΣ ΑΠΔΠΧ ΚΑΙ ΤΩΝ ΔΙΚΑΣΤΗΡΙΩΝ.

    Αναλαμβάνουμε την εκπροσώπηση των εντολέων μας ενώπιον δικαστηρίων καθώς και της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα – ΑΠΔΠΧ σε σχέση με διαφορές που ανακύπτουν κατά την εφαρμογή της εκάστοτε ισχύουσας ευρωπαϊκής και εθνικής νομοθεσίας.

  • EuroPriSe Seal

    Δεδομένου ότι ο επικεφαλής της ομάδας μας είναι νομικός εμπειρογνώμονας (CEPE L PS) στον γερμανικό φορέα πιστοποίησης “European Privacy Seal GmbH” (“EuroPriSe”), είμαστε στην ευχάριστη θέση να συμβάλλουμε στη διαδικασία πιστοποίησης προϊόντων και υπηρεσιών πληροφορικής. Στο προσεχές μέλλον θα είμαστε σε θέση να προσφέρουμε την ίδια υπηρεσία και για Ιστοσελίδες που έχουν συμμορφωθεί με την ευρωπαϊκή νομοθεσία για τα προσωπικά δεδομένα και πληρούν τις υψηλής ποιότητας προδιαγραφές για την προστασία προσωπικών δεδομένων της EuroPriSe.