Κεφάλαιο 5ο: Τι σημαίνει το GDPR για τις επιχειρήσεις
Οι ιδιοκτήτες μικρών επιχειρήσεων πρέπει σίγουρα να δώσουν προσοχή στο GDPR και να ρίξουν μια ματιά στο τι σημαίνει για την επιχείρησή τους ή αν θα μπορούσαν να καταλήξουν σε κυρώσεις που δεν περίμεναν. Αυτές οι κυρώσεις μπορούν να περιλαμβάνουν δαπανηρά πρόστιμα, τα οποία θα ήταν κακά νέα για κάθε μικρή επιχείρηση.
Ποια επίδραση θα μπορούσε να έχει η GDPR στις μικρές επιχειρήσεις;
Για τους σκοπούς του GDPR, μία μικρή επιχείρηση φαίνεται να ταξινομείται ως μία επιχείρηση με λιγότερους από 250 υπαλλήλους. Κάθε επιχείρηση με περισσότερους από 250 εργαζόμενους υποχρεούται να συμμορφώνεται με το GDPR και υποχρεούται να καταθέσει τις υπηρεσίες ενός Υπεύθυνου Προστασίας Δεδομένων (DPO).
Οι επιχειρήσεις με λιγότερους από 250 εργαζόμενους υποχρεούνται να συμμορφώνονται με το GDPR, εάν η επεξεργασία των δεδομένων τους μπορεί να επηρεάσει τα δικαιώματα και τις ελευθερίες των ατόμων, εάν επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα σε τακτική βάση ή επεξεργάζονται δεδομένα που καλύπτονται από το άρθρο 9 του GDPR. Εάν κάποιο από αυτά ισχύει για μια μικρή επιχείρηση, πρέπει να διασφαλίσει ότι συμμορφώνεται με όλες τις πτυχές του GDPR.
Τι αναφέρεται στο άρθρο 9 του GDPR;
Υπάρχουν ορισμένα στοιχεία προσωπικών δεδομένων που απαγορεύεται να επεξεργάζονται σύμφωνα με τους κανόνες GDPR, εκτός εάν ένα πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέχει ρητή άδεια χρήσης των δεδομένων για συγκεκριμένο σκοπό. Αυτά τα προσωπικά δεδομένα περιλαμβάνουν θρησκευτικές και πολιτικές πεποιθήσεις και σεξουαλικό προσανατολισμό. Σε ορισμένες χώρες μέλη της ΕΕ μπορεί να απαγορευθεί η επεξεργασία τέτοιου είδους δεδομένων, ακόμη και αν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα συναινεί. Οποιαδήποτε μικρή επιχείρηση πρέπει να δώσει προσοχή σε αυτό, αν εμπλέκεται στην επεξεργασία δεδομένων αυτού του είδους.
Ειδικά θέματα για τις μικρές επιχειρήσεις
Υπάρχουν κάποιες σκέψεις που είναι πιθανόν να ισχύουν περισσότερο για τις μικρές επιχειρήσεις απ 'ό, τι για οποιονδήποτε άλλο οργανισμό. Για παράδειγμα, πολλοί ιδιοκτήτες μικρών επιχειρήσεων βασίζονται σε μεγάλο βαθμό στη δικτύωση για να δημιουργήσουν σημαντικές επαφές. Έχοντας αυτό υπόψη, είναι σημαντικό να σημειώσουμε ότι οι ιδιοκτήτες μικρών επιχειρήσεων δεν θα είναι πλέον νόμιμα σε θέση να προσθέτουν απλώς μηνύματα ηλεκτρονικού ταχυδρομείου που προέρχονται από επαγγελματικές κάρτες στις λίστες επαφών ηλεκτρονικού ταχυδρομείου τους, εκτός αν έχουν τη συγκεκριμένη συγκατάθεσή τους, από το άτομο που τους έδωσε την κάρτα . Το ίδιο ισχύει και για τη οι χρήση μηνυμάτων ηλεκτρονικού ταχυδρομείου για τις επαφές του LinkedIn. Όποιος θέλει να προσθέσει λεπτομέρειες κάποιου σε μια λίστα επαφών πρέπει να έχει άμεση συναίνεση για να το πράξει, δεν αρκεί να υποθέσουμε ότι η παράδοση μιας επαγγελματικής κάρτας συνεπάγεται συναίνεση.
Πολλές μικρές επιχειρήσεις δεν επεξεργάζονται πραγματικά τα δικά τους δεδομένα, λόγω έλλειψης διαθέσιμων πόρων. Είναι σημαντικό για τις επιχειρήσεις να θυμούνται ότι τα τρίτα μέρη που χρησιμοποιούν θεωρούνται επίσης επεξεργαστές δεδομένων, όσον αφορά τη συμμόρφωση με το GDPR. Αυτό σημαίνει ότι οι μικρές επιχειρήσεις πρέπει να διασφαλίσουν ότι οι συμβάσεις θα περιλαμβάνουν όλες τις απαραίτητες απαιτήσεις για να εξασφαλιστεί η συμμόρφωση με το GDPR.
Πολλές μικρές επιχειρήσεις κάνουν μεγάλη χρήση φορητών υπολογιστών κατά την πρόσβαση και την επεξεργασία δεδομένων. Είναι σημαντικό να σημειωθεί ότι δεν αρκεί να χρησιμοποιηθούν κωδικοί πρόσβασης για την προστασία προσωπικών δεδομένων σε φορητό υπολογιστή, προκειμένου να συμμορφωθούν με το GDPR. Είναι καλή ιδέα να κρυπτογραφείτε επίσης δεδομένα, για να διασφαλίσετε την ασφάλεια.
Η παγκόσμια εμβέλεια του GDPR
Όλες αυτές οι σκέψεις δεν ισχύουν μόνο για τις μικρές επιχειρήσεις εντός της ΕΕ. Το GDPR ισχύει για τα προσωπικά δεδομένα όσων κατοικούν στην ΕΕ. Αυτό σημαίνει ότι κάθε μικρή επιχείρηση που επεξεργάζεται τα προσωπικά δεδομένα των πολιτών της ΕΕ θα μπορούσε να δεσμεύεται από το GDPR, ανεξάρτητα από τον τόπο στον οποίο βασίζεται η επιχείρηση στον κόσμο. Δεδομένου ότι ένα μεγάλο μέρος του εμπορίου, ακόμη και για τις μικρές επιχειρήσεις, πραγματοποιείται στο διαδίκτυο, είναι εύκολο να δούμε ότι το GDPR έχει παγκόσμια εμβέλεια.
Τι πρέπει να κάνουν οι ιδιοκτήτες μικρών επιχειρήσεων
Επομένως, είναι προφανές ότι το GDPR ισχύει για πολλές μικρές επιχειρήσεις σε όλο τον κόσμο. Αλλά, τι πραγματικά πρέπει να κάνουν οι ιδιοκτήτες μικρών επιχειρήσεων, προκειμένου να διασφαλίσουν ότι η επιχείρησή τους συμμορφώνεται;
1. Ελέγξτε τις λεπτομέρειες του GPDR
Το πρώτο πράγμα που πρέπει να κάνει ένας ιδιοκτήτης μικρής επιχείρησης είναι να ελέγξει τις λεπτομέρειες του GDPR. Πρέπει να έχουν επίγνωση του τι συνιστά συμμόρφωση, προκειμένου να εξετάσει κατά πόσο οι διαδικασίες και οι διαδικασίες της επιχείρησης είναι τέτοιες ώστε να πληρούν τις απαιτήσεις της GDPR.
2. Ελέγξτε ότι τα δεδομένα αποθηκεύονται και που βρίσκονται
Προκειμένου να συμμορφωθεί με το GDPR, κάθε οργανισμός, συμπεριλαμβανομένων των μικρών επιχειρήσεων, πρέπει να γνωρίζει ποια δεδομένα βρίσκονται στην κατοχή του, γιατί φυλάσσεται, γιατί κρατείται και ποιος είναι υπεύθυνος για τη διαχείριση των δεδομένων. Πρέπει επίσης να ελέγξουν αν υπάρχει κατάλληλη συγκατάθεση και εάν τα δεδομένα πρέπει ακόμη να υποβάλλονται σε επεξεργασία. Αυτό το τελευταίο σημείο μπορεί να είναι ιδιαίτερα σημαντικό για τις μικρές επιχειρήσεις, καθώς η κατοχή λιγότερων δεδομένων σημαίνει ότι είναι πολύ πιο εύκολο να το διαχειριστείτε και υπάρχει λιγότερη πιθανότητα εμφάνισης προβλημάτων. Όχι μόνο έχει νόημα η διαγραφή δεδομένων όταν ο σκοπός για τη χρήση του δεν υπάρχει πια, είναι επίσης μια διάταξη του GDPR για να το πράξει.
3. Ελέγξτε τις διαδικασίες και τις διαδικασίες
Έχουμε ήδη αναφέρει ότι οι επιχειρήσεις πρέπει να γνωρίζουν ποια δεδομένα κρατούνται, πού και πώς. καθώς και ποιος είναι υπεύθυνος για τη διαχείριση των δεδομένων. Αυτός είναι ο λόγος για τον οποίο κάθε μικρή επιχείρηση πρέπει να έχει διαδικασίες και διαδικασίες που θα επιτρέψουν τη συμμόρφωση με αυτές τις απαιτήσεις. Πρέπει επίσης να τεκμηριώσουν πλήρως αυτές τις διαδικασίες και διαδικασίες, ώστε να μπορούν να αποδείξουν τη συμμόρφωσή τους.
4. Ελέγξτε τις διαδικασίες συναίνεσης
Μόλις εισαχθεί το GDPR, οι επιχειρήσεις θα πρέπει να εξασφαλίσουν ότι έχουν τη συγκατάθεσή τους για την επεξεργασία προσωπικών δεδομένων, εκτός εάν υπάρχουν ορισμένοι άλλοι έγκυροι νομικοί λόγοι για την επεξεργασία των δεδομένων. Η συγκατάθεση πρέπει να αποκτηθεί για κάθε συγκεκριμένο λόγο επεξεργασίας και πρέπει να είναι σαφής. Αυτό σημαίνει ότι το υποκείμενο των δεδομένων πρέπει να γνωρίζει για τι συμφωνούν. Πρέπει επίσης να συμφωνήσουν. Αυτό σημαίνει ότι δεν επιτρέπεται πλέον σε μια επιχείρηση να χρησιμοποιεί προκαθορισμένα πλαίσια ελέγχου.
5. Αναγνώριση δεδομένων και διαδικασιών υψηλού κινδύνου
Ορισμένα στοιχεία προσωπικών δεδομένων, όπως αυτά που καλύπτονται από το άρθρο 9 του GDPR, παρουσιάζουν υψηλό κίνδυνο. Οι μικρές επιχειρήσεις ενδέχεται επίσης να αναγνωρίσουν ότι ορισμένες πτυχές της επεξεργασίας των δεδομένων τους ενδέχεται να παρουσιάζουν υψηλό κίνδυνο. Κάθε επιχείρηση πρέπει να καταπολεμήσει αυτούς τους κινδύνους δημιουργώντας λεπτομερή σχέδια και διαδικασίες που θα ακολουθήσουν. Εάν φαίνεται ότι δεν είναι εφικτός ο μετριασμός, η επιχείρηση πρέπει να ζητήσει άδεια από την αρμόδια αρχή επεξεργασίας δεδομένων (DPA) προκειμένου να επεξεργαστεί τα δεδομένα.
6. Σχέδιο για παραβίαση δεδομένων
Παρόλο που οι μικρές επιχειρήσεις πρέπει να κάνουν ό, τι μπορούν για να εξασφαλίσουν την ασφάλεια των δεδομένων που επεξεργάζονται, θα πρέπει επίσης να προγραμματίσουν το χειρότερο. Σύμφωνα με το GDPR, οι παραβιάσεις δεδομένων πρέπει να δηλώνονται εντός 72 ωρών. Κάθε μικρή επιχείρηση πρέπει να διασφαλίσει ότι είναι σε θέση να διασφαλίσει ότι αυτό θα συμβεί.
7. Εξετάστε την πρόσληψη ενός εμπειρογνώμονα προστασίας δεδομένων
Παρόλο που το GDPR δεν ορίζει ότι οι μικρές επιχειρήσεις πρέπει να προσλάβουν έναν υπεύθυνο προστασίας δεδομένων (DPO), θα μπορούσε να είναι μια καλή ιδέα για τις επιχειρήσεις να το πράξουν. Μπορεί επίσης να είναι απαίτηση εάν η επιχείρηση επεξεργάζεται ευαίσθητες πληροφορίες, όπως περιγράφεται στο άρθρο 9 του GDPR. Εάν η πρόσληψη ενός ΥΠΔ δεν είναι πιθανή, η επιχείρηση μπορεί να θελήσει να εξετάσει τη χρήση ενός εμπειρογνώμονα τρίτου μέρους ή την κατάλληλη εκπαίδευση σε κάποιον που ήδη εργάζεται στην επιχείρηση. Όπως αναφέρθηκε προηγουμένως, στην περίπτωση εμπειρογνωμόνων τρίτων, είναι σημαντικό η επιχείρηση να διασφαλίζει ότι ο πάροχος συμμορφώνεται επίσης με τις απαιτήσεις του GDPR. Ο ΥΠΔ πρέπει να έχει σε βάθος γνώση του GDPR και να γνωρίζει πώς να αναπτύξει μια διαδικασία διαχείρισης δεδομένων.
8. Εκπαιδεύστε τους ανθρώπους μέσα στην επιχείρηση
Εάν μια επιχείρηση πρόκειται να συμμορφωθεί με το GDPR, είναι σημαντικό οι άνθρωποι που εργάζονται μέσα σε αυτό να γνωρίζουν τις απαιτήσεις του GDPR. Αυτός είναι ο λόγος για τον οποίο είναι σημαντικό για τους ιδιοκτήτες μικρών επιχειρήσεων να διασφαλίσουν ότι όλοι όσοι εργάζονται γι 'αυτούς γνωρίζουν το GDPR και ποιες είναι οι ευθύνες τους.
Οι μικρές επιχειρήσεις πρέπει να καταλάβουν οτι το GDPR ισχύει και για αυτούς. Η πεποίθηση είναι ότι προορίζεται για μεγαλύτερες επιχειρήσεις και επιχειρήσεις. ονόματα υψηλού προφίλ που είχαν προβλήματα στο παρελθόν με παραβιάσεις δεδομένων. Όμως, αυτό δεν συμβαίνει, κάθε μικρή επιχείρηση που επεξεργάζεται τα προσωπικά δεδομένα των ατόμων που ζουν στην ΕΕ σε τακτική βάση ή ασχολείται με την επεξεργασία ευαίσθητων δεδομένων πρέπει να συμμορφώνεται με το GDPR.
Αυτό έχει νόημα, καθώς το GDPR έχει ως στόχο να παρέχει στο άτομο περισσότερο έλεγχο στον τρόπο χειρισμού των δεδομένων του, καθώς και να διασφαλίζει τη συνοχή στις διαδικασίες επεξεργασίας δεδομένων, ώστε οι μικρές επιχειρήσεις να συμμετέχουν με τον ίδιο τρόπο όπως οι μεγαλύτερες, εφόσον επεξεργάζονται δεδομένα, έχουν site, έχουν υπαλλήλους κλπ
Σχόλια
Δημοσίευση σχολίου