Αποτύπωση της µέχρι σήµερα κατάστασης µε τη διαδικασία συνεντεύξεων. Τα τρέχοντα µέτρα ασφαλείας και οι έλεγχοι για την προστασία των Προσωπικών δεδοµένων θα τεκµηριωθούν και θα ληφθούν υπόψη.
Για τη συµµόρφωση µε το νέο Κανονισµό, κρίνεται απαραίτητη η ενηµέρωση και συµµετοχή του εµπλεκόµενου προσωπικού σε όλη τη διαδικασία εναρµόνισης της επιχείρησης µε τον Κανονισµό µε στόχο να γίνει σαφές ποιες είναι οι απαιτήσεις του και πώς η εφαρµογή του επηρεάζει τη λειτουργία όλης της επιχείρησης. Για την επίτευξη του παραπάνω στόχου κρίνονται απαραίτητες οι παρακάτω ενέργειες/δράσεις:
α) Διεξαγωγή τουλάχιστον µίας (1) εναρκτήριας συνάντησης µε στόχο την παρουσίαση του Κανονισµού, την ευαισθητοποίηση των στελεχών της επιχείρησης και την εξασφάλιση της δέσµευσης της διοίκησης.
β) Διεξαγωγή τουλάχιστον µίας (1) συνάντησης µε στελέχη της επιχείρησης που επεξεργάζονται προσωπικά δεδοµένα µε στόχο τον προγραµµατισµό και τον καθορισµό του εύρους της παρέμβασης προκειμένου αφενός να αναγνωριστούν οι βασικές επιχειρησιακές περιοχές (υπηρεσίες και τµήµατα) και οι επί µέρους επιχειρησιακοί υπεύθυνοι της επιχείρησης (οργανόγραμμαµµα µε αρμοδιότητες) και αφετέρου να εντοπιστούν/επιλεγούν οι εµπλεκόµενοι µε την επεξεργασία προσωπικών δεδοµένων που θα αποτελέσουν την Οµάδα Εργασίας του Οργανισµού.
γ) Σχεδιασµός υλοποίησης της διαδικασίας, ο οποίος περιλαµβάνει αφενός τον ορισµό σηµαντικών οροσήµων και των βασικών προαπαιτούµενων, ώστε να ξεκινήσουν τα επόµενα στάδια και αφετέρου τον καθορισµό της µεθοδολογίας και των µέσων αλληλεπίδρασης και επικοινωνίας των µελών της οµάδας έργου του Αναδόχου µε τα µέλη της Οµάδας Εργασίας από τη µεριά του Οργανισµού και των λοιπών ενδιαφερόμενων µερών.
Σε συνεργασία µε το προσωπικό της επιχείρησης, θα δημιουργηθούν τα απαραίτητα αρχεία που θα πρέπει να έχει στην κατοχή του και να µπορεί να επιδεικνύει ο Οργανισµός. Μέσω συνεντεύξεων και επιθεωρήσεων συµµόρφωσης (compliance audits) θα αναλυθούν σε βάθος οι διαδικασίες που αφορούν την επεξεργασία προσωπικών δεδοµένων.
Συνίσταται στην ενδελεχή ανάλυση των αποκλίσεων των δραστηριοτήτων της εταιρίας σε σχέση µε τις απαιτήσεις του Κανονισµού και τον εντοπισµό των σηµείων εκείνων που χρήζουν βελτίωσης ώστε µε τις απαραίτητες συµβουλευτικές, νοµικές και τεχνικές ενέργειες να επέλθει η τελική συµµόρφωση µε τον Κανονισµό. Επιπλέον, θα πρέπει να καθορισθεί ποια
τεχνικά και διαδικαστικά µέτρα και πολιτικές υπάρχουν και ποια πρέπει να σχεδιαστούν και να υλοποιηθούν για την προστασία των προσωπικών δεδοµένων που επεξεργάζεται η επιχείρηση (π.χ. κρυπτογράφηση δεδοµένων, ασφαλής αποθήκευση και κατάλληλοι µηχανισµοί ελέγχου).
Σε συνέχεια των παραπάνω, θα καταρτισθεί ένα συνολικό πλάνο δράσης εναρµόνισης (compliance plan) το οποίο θα περιλαµβάνει όλες τις απαιτούµενες ενέργειες προκειµένου η επιχείρηση να υιοθετήσει τις διαδικασίες που θα του επιτρέψουν να συµµορφωθεί µε τις απαιτήσεις του Κανονισµού. Το πλάνο θα περιλαµβάνει συγκεκριµένες προτάσεις ευθυγράµµισης µε τον Κανονισµό και θα δώσει τα µέσα - εργαλεία συµµόρφωσης στα στελέχη του οργανισµού που εµπλέκονται στις διαδικασίες επεξεργασίας προσωπικών δεδοµένων.
Το επόµενο στάδιο είναι η διάθεση στην επιχείρηση συστήµατος διαχείρισης των υποχρεώσεων του Κανονισµού που θα υποστηρίζει:
Στο πλαίσιο της ανάπτυξης των πολιτικών / διαδικασιών σύµφωνα µε τον Κανονισµό, θα παρέχουμε, υπηρεσίες νοµικής συµµόρφωσης για την προσαρµογή στις απαιτήσεις του Κανονισµού των συµβολαίων και συµβάσεων του οργανισµού µε προµηθευτές, συνεργάτες, πελάτες και εργαζοµένους καθώς επίσης και των φορµών συγκατάθεσης των υποκειµένων.
Στο πλαίσιο των εν λόγω υπηρεσιών, θα διενεργήσουμε εκπαιδευτικά σεµινάρια για τα στελέχη που θα υποδείξει η επιχείρηση και θα παρέχουμε πλήρεις υποστηρικτικές υπηρεσίες για τον Data Protection Officer (DPO) σχετικά με καθήκοντά του που αφορούν στο:
Με το πέρας της υλοποίησης των µέτρων συµµόρφωσης και του συστήµατος διαχείρισης θα διενεργηθούν εκ νέου επιθεωρήσεις ετοιµότητας (compliance audits), έλεγχοι τρωτότητας του δικτύου και του πληροφοριακού συστήµατος του Οργανισµού, αποτίµηση επικινδυνότητας και διαχείριση κινδύνων στα πλαίσια της προετοιµασίας και εκπόνησης διαδικασιών για πιστοποίηση και επαλήθευση της συµµόρφωσης µε τον Κανονισµό.
Θα παρουσιάσουμε στη Διοίκηση της επιχείρησης τα αποτελέσµατα των επιθεωρήσεων συµµόρφωσης, της αξιολόγησης ευπαθειών, των ελέγχων τρωτότητας και των διαδικασιών αποτίµησης επικινδυνότητας και διαχείρισης κινδύνων, τόσο κατά το πρώτο στάδιο καταγραφής των αποκλίσεων από τον Κανονισµό όσο και στο τέλος της παροχής των υπηρεσιών.
Επίσης, θα πρέπει να διενεργήσουμε εκπαίδευση των στελεχών στον Κανονισµό αναφορικά µε τις απαιτήσεις στο χειρισµό δεδοµένων, υπηρεσιών και περιστατικών παραβιάσεων προσωπικών δεδοµένων.
ΠΟΛΙΤΙΚΕΣ ΣΥΜΦΩΝΑ ΜΕ ΤΟ Γ.Κ.Π.Δ.
Η Πολιτική Ασφάλειας καθορίζει τη δέσμευση της Διοίκησης αναφορικά με την φυσική ασφάλεια, την ασφάλεια των πληροφοριακών συστημάτων και δικτύων και την προστασία των ΠΔ
Η παρούσα Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα παραθέτει το είδος των πληροφοριών που μπορεί να συλλέξουμε στην Ιστοσελίδα και ενημερώνουμε για το πώς χρησιμοποιούμε αυτές τις πληροφορίες.
Η παρούσα Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Εργαζομένων παραθέτει το είδος των πληροφοριών που μπορεί να συλλέξουμε κατά την συνεργασία μας και πώς χρησιμοποιούμε αυτές τις πληροφορίες.
Η Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εφαρμόζεται προς όλους τους εμπλεκόμενους με την επιχείρηση (πελάτες, συνεργάτες, προμηθευτές κλπ) και συγκεκριμένα εφαρμόζεται στη συλλογή και χρήση των προσωπικών σας πληροφοριών (π.χ. πληροφορίες που ορίζουν συγκεκριμένο πρόσωπο όπως πλήρες ονοματεπώνυμο ή ηλεκτρονική διεύθυνση).
Ο σχεδιασμός της πολιτικής εμπιστευτικότητας των εργαζομένων αποσκοπεί στο να γίνει κατανοητός στους εργαζόμενους ο τρόπος που διαχειρίζεται τα προσωπικά δεδομένα η επιχείρηση
Η πολιτική προστασίας των προσωπικών δεδομένων κατά την πρόσληψη προσωπικού διασφαλίζει την προστασία των προσωπικών δεδομένων των αιτούντων για εργασία.
Η συγκεκριμένη Πολιτική εξασφαλίζει ότι όλες οι ευαίσθητες και εμπιστευτικές πληροφορίες που διατηρούνται είτε σε χαρτί είτε σε συσκευή αποθήκευσης, καταστρέφονται με ασφάλεια, κατόπιν ορθής άσκησης από το Υποκείμενο του δικαιώματός του στη διαγραφή (δικαίωμα στη λήθη) ή κατόπιν μη ύπαρξης της νομικής βάσης για τη νόμιμη επεξεργασία τους.
Η πολιτική Πρόσβασης (access policy) καθορίζει το επίπεδο πρόσβασης χρηστών και χρηστών της Επιχείρησης, καθώς και εργαλείων λογισμικού εποπτείας σε καθένα από τα συστήματα υλικού και λογισμικού από τα οποία αποτελείται ο εξοπλισμός της Επιχείρησης. Η πολιτική πρόσβασης εφαρμόζεται για τα συστήματα τα οποία αναφέρονται σε εξωτερικές συνδέσεις, επικοινωνίες δεδομένων, τηλεπικοινωνιακές συσκευές και προγράμματα λογισμικού.
Η παρούσα πολιτική σχετικά με τη χρήση συστημάτων βιντεοεπιτήρησης (κάμερες) περιγράφει το σύστημα της επιχείρησης και τα μέτρα διασφάλισης που λαμβάνει για την προστασία των δεδομένων προσωπικού χαρακτήρα, του δικαιώματος στην ιδιωτική ζωή και άλλων θεμελιωδών δικαιωμάτων και νόμιμων
Η Πολιτική Αντιγράφων Ασφάλειας περιλαμβάνει τις διαδικασίες και τους ελέγχους που θα εξασφαλίσουν ότι ο εξοπλισμός και τα δεδομένα μπορούν να ανακτηθούν, εντός μιας λογικής χρονικής περιόδου, μετά από οποιαδήποτε ζημιά που μπορεί να οφείλεται τόσο σε κακόβουλες επιθέσεις στο δικτυακό εξοπλισμό όσο και σε αστοχία υλικού.
Οι υπάλληλοι της εταιρείας [Όνομα Εταιρίας], πρέπει να έχουν πρόσβαση σε μια ποικιλία πόρων πληροφορικής, συμπεριλαμβανομένων υπολογιστών και άλλων συσκευών υλικού, συστημάτων αποθήκευσης δεδομένων και άλλων λογαριασμών. Οι κωδικοί πρόσβασης αποτελούν βασικό κομμάτι της στρατηγικής της πληροφορικής της εταιρίας, για να διασφαλιστεί ότι μόνο τα εξουσιοδοτημένα άτομα έχουν πρόσβαση σε αυτούς τους πόρους και τα δεδομένα.
Ο σκοπός της πολιτικής διαχείρισης των εταιρικών email είναι να προστατέψει τα προσωπικά στοιχεία που περιέχονται σε αυτά από διαρροές ώστε να διασφαλιστεί η αξιοπιστία και η ακεραιότητα της εταιρείας.
Η επιχείρηση μπορεί να παρέχει στους υπαλλήλους της το προνόμιο να αγοράζουν και να χρησιμοποιούν φορητούς υπολογιστές, smartphones και tablets της επιλογής τους στην εργασία, για την ευκολία τους. Αυτή η πολιτική αποσκοπεί στην προστασία της ασφάλειας
Η πολιτική χρήσης του διαδικτύου από τους εργαζομένους περιγράφει τις οδηγίες για τη χρήση του διαδικτύου με σκοπό την αποφυγή της ακατάλληλης ή παράνομης χρήση του διαδικτύου, η οποία δημιουργεί κινδύνους για τη νομιμότητα και τη φήμη της επιχείρησης. Αυτή η πολιτική χρήσης του διαδικτύου ισχύει για όλους τους εργαζομένους και τους εξωτερικούς συνεργάτες που έχουν πρόσβαση στο δίκτυο και τους υπολογιστές της επιχείρησης
Αυτή η πολιτική ισχύει για όλους τους εργαζόμενους, την διοίκηση, τους συνεργάτες και όσους έχουν μόνιμη ή προσωρινή πρόσβαση στα πληροφοριακά συστήματα και το υλικό της επιχείρησης
Στη συγκεκριμένη Πολιτική Cookies, αναφερόμαστε σε αυτές τις τεχνολογίες, οι οποίες περιλαμβάνουν cookies, pixels και gifs, από κοινού «Cookies». Η παρούσα πολιτική εξηγεί τα διαφορετικών ειδών cookies που χρησιμοποιούνται στον Ιστοχώρο και τον τρόπο ελέγχου τους.
Πολιτική που κοινοποιείται μέσω της ιστοσελίδας
Βάσει του άρθρου 5 του ΓΚΠΔ 2016/679 , τα προσωπικά δεδομένα πρέπει να διατηρούνται για το χρονικό διάστημα που είναι αναγκαίο για τους σκοπούς για τους οποίους υπόκεινται σε επεξεργασία. Η παραπάνω πολιτική δίνει τις κατευθυντήριες οδηγίες για την διατήρηση των προσωπικών δεδομένων.
Στην παρούσα διαδικασία περιγράφονται οι ενέργειες που ακολουθούνται για την διαχείριση – διεκπεραίωση των αιτημάτων των υποκειμένων (πρόσβασης, διόρθωσης, διαγραφής, περιορισμού της επεξεργασίας, φορητότητας, εναντίωσης).
Αφορά τη διαδικασία που ακολουθείται σε περίπτωση παραβίασης – διαρροής Π.Δ. ανάλογα με το αν το περιστατικό ενδέχεται να προκαλέσει κίνδυνο στα δικαιώματα και τις ελευθερίες των φυσικών προσώπων ή όχι.
Περιγράφεται η διαδικασία που θα ακολουθεί για την υλοποίηση προγραμματισμένων ελέγχων (είτε εσωτερικών είτε εξωτερικών, σε ετήσια βάση), όπου να αποτυπώνεται και να ελέγχεται η τήρηση των μέτρων ασφαλείας και η αποτελεσματικότητά τους. Αποτέλεσμα των ελέγχων μπορεί να είναι η τροποποίηση κάποιων μέτρων ασφαλείας ή η προσθήκη νέων.
Η διαδικασία θα περιλαμβάνει την τήρηση επικαιροποιημένου καταλόγου, των πληροφοριακών υποδομών και συστημάτων, των επικοινωνιακών υποδομών και συστημάτων, του λογισμικού, των κατηγοριών αρχείων και δεδομένων που χρησιμοποιούνται ή τηρούνται από τον υπεύθυνο επεξεργασίας, καθώς επίσης και τον καθορισμό ενός ή περισσοτέρων ατόμων ή ρόλων που είναι κάτοχοι ή/και υπεύθυνοι των αντίστοιχων αγαθών.
Η διαδικασία πρέπει να περιλαμβάνει τουλάχιστον τους κανόνες που αφορούν τα εξής:
Στο Σχέδιο Ασφαλείας (Security Plan) περιγράφεται το σύστημα επεξεργασίας προσωπικών δεδομένων της επιχείρησης, τα οργανωτικά και τεχνικά μέτρα ασφαλείας που εφαρμόζονται ή/και πρόκειται να εφαρμοστούν για την κάλυψη των βασικών αρχών και κανόνων ασφαλείας που αναφέρονται στην πολιτική ασφαλείας, καθώς και οι απαραίτητες ενέργειες για την υλοποίησή τους. Επίσης, περιγράφονται οι διαδικασίες συνεχούς επισκόπησης και αναθεώρησης του σχεδίου ασφαλείας.
Το Σχέδιο Ανάκαμψης από Καταστροφές (Disaster Recovery and Contingency Plan) περιγράφει τα μέτρα προστασίας, ανάκαμψης και αποκατάστασης των πληροφοριακών συστημάτων και τεχνολογικών υποδομών του/της {επωνυμία επιχείρησης/φορέα} σε περιπτώσεις έκτακτης ανάγκης, όπως φυσικές καταστροφές, εξωτερικές επιθέσεις/εισβολές, κ.λπ.
To Μητρώο πληροφοριακών συστημάτων και πόρων περιλαμβάνει όλες τις οντότητες (πχ υλικό, λογισμικό, πληροφορίες, θέσεις κλειδιά της Επιχείρησης κλπ) της υποδομής της Επιχείρησης που έχουν αξία και συμμετοχή στην προστασία και διαχείριση των προσωπικών δεδομένων και πρέπει να προστατευθούν.