Πολιτική συμμόρφωσης με τον GDPR
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων της ΕΕ ("GDPR") τίθεται σε ισχύ σε ολόκληρη την Ευρωπαϊκή Ένωση στις 25 Μαΐου 2018 και θέτει τις σημαντικότερες αλλαγές στη νομοθεσία για την προστασία των δεδομένων τις τελευταίες δύο δεκαετίες. Με βάση την προστασία της ιδιωτικής ζωής από το σχεδιασμό και τη λήψη μιας προσέγγισης σχετικά με τον κίνδυνο, το GDPR σχεδιάστηκε για να καλύψει τις απαιτήσεις της ψηφιακής εποχής.
Ο 21ος αιώνας συνεπάγεται με ευρύτερη χρήση της τεχνολογίας, νέους ορισμούς για τα δεδομένα προσωπικού χαρακτήρα και τεράστια αύξηση στις διασυνοριακές διαδικασίες. Ο νέος κανονισμός στοχεύει στην τυποποίηση των νόμων περί προστασίας δεδομένων και της επεξεργασίας τους, σε ολόκληρη την ΕΕ, παρέχοντας στα άτομα ισχυρότερα και σαφέστερα δικαιώματα πρόσβασης και ελέγχου των προσωπικών τους πληροφοριών.
Η δέσμευσή μας
Η Siima MotoWear («εμείς») δεσμεύεται να διασφαλίζει την ασφάλεια και την προστασία των προσωπικών πληροφοριών που επεξεργαζόμαστε και να παρέχουμε μια συμβατή και συνεπή προσέγγιση στην προστασία των δεδομένων. Είχαμε πάντα ένα ισχυρό και αποτελεσματικό πρόγραμμα προστασίας δεδομένων, το οποίο είναι σύμφωνο με την ισχύουσα νομοθεσία και τηρεί τις αρχές προστασίας δεδομένων. Ωστόσο, αναγνωρίζουμε τις υποχρεώσεις μας, όσον αφορά την ενημέρωση και την επέκταση αυτού του προγράμματος, ώστε να ανταποκριθούμε στις απαιτήσεις των νόμων GDPR και Κύπρου, για την Προστασία των Δεδομένων.
Η Siima MotoWear είναι αφιερωμένη στη διασφάλιση των προσωπικών πληροφοριών που εμπίπτουν στην αρμοδιότητά μας και στην ανάπτυξη ενός καθεστώτος προστασίας δεδομένων που είναι αποτελεσματικό, κατάλληλο για σκοπό και καταδεικνύει την κατανόηση και την εκτίμηση του νέου Κανονισμού. Η προετοιμασία και οι στόχοι μας για συμμόρφωση με το GDPR συνοψίστηκαν σε αυτή τη δήλωση και περιλαμβάνουν την ανάπτυξη και εφαρμογή νέων ρόλων, πολιτικών, διαδικασιών, ελέγχων και μέτρων προστασίας δεδομένων, προκειμένου να διασφαλιστεί η μέγιστη και η συνεχής συμμόρφωση.
Πώς προετοιμαζόμαστε για το GDPR
Η Siima MotoWear έχει ήδη ένα σταθερό επίπεδο προστασίας και προστασίας δεδομένων σε ολόκληρο τον οργανισμό μας, όμως στόχος μας είναι να συμμορφωθούμε πλήρως με το GDPR, μέχρι τις 25 Μαΐου 2018. Η προετοιμασία μας περιλαμβάνει:
• Έλεγχο Λογιστικών Πληροφοριών - διεξαγωγή ενός λογιστικού ελέγχου σε επίπεδο εταιρείας για τον εντοπισμό και την αξιολόγηση των προσωπικών πληροφοριών που διατηρούμε, από πού προέρχονται, του τρόπου και του λόγου, για τον οποίο γίνεται η επεξεργασία τους και του εάν και σε ποιον αποκαλύπτονται.
• Πολιτικές & Διαδικασίες - αναθεώρηση πολιτικών και διαδικασιών προστασίας δεδομένων, για την εκπλήρωση των απαιτήσεων και προτύπων του GDPR και των σχετικών νόμων, για την προστασία των δεδομένων, όπως:
o Προστασία Προσωπικών Δεδομένων - το κύριο έγγραφο πολιτικής και διαδικασιών για την προστασία των δεδομένων έχει αναθεωρηθεί ώστε να πληροί τα πρότυπα και τις απαιτήσεις του GDPR. Υλοποιούνται μέτρα λογοδοσίας και διακυβέρνησης ώστε να κατανοήσουμε και να διαδώσουμε επαρκώς και να αποδείξουμε τις υποχρεώσεις και τις ευθύνες μας, με ιδιαίτερη έμφαση στην προστασία της ιδιωτικής ζωής από το σχεδιασμό και τα δικαιώματα των ατόμων.
o Διατήρηση & Διαγραφή Δεδομένων - έχουμε ενημερώσει την πολιτική κράτησης και το χρονοδιάγραμμά μας, για να διασφαλίσουμε ότι τηρούμε τις αρχές της «ελαχιστοποίησης των δεδομένων» και του «περιορισμού της αποθήκευσης» και ότι οι προσωπικές πληροφορίες αποθηκεύονται, αρχειοθετούνται και καταστρέφονται με συμμόρφωση και δεοντολογία. Έχουμε θεσπίσει διαδικασίες διάσχισης για να ανταποκριθούμε στη νέα υποχρέωση "Δικαίωμα στην διαγραφή" και γνωρίζουμε πότε ισχύουν αυτά τα δικαιώματα και τα άλλα δικαιώματα των υποκειμένων των δεδομένων, μαζί με οποιεσδήποτε εξαιρέσεις, χρονοδιαγράμματα απόκρισης και ευθύνες κοινοποίησης.
o Παραβιάσεις δεδομένων - οι διαδικασίες παραβίασης διασφαλίζουν ότι υπάρχουν διασφαλίσεις και μέτρα για τον εντοπισμό, την αξιολόγηση, τη διερεύνηση και την αναφορά κάθε παραβίασης των προσωπικών δεδομένων το συντομότερο δυνατό. Οι διαδικασίες μας είναι ισχυρές και έχουν διανεμηθεί σε όλους τους εργαζομένους, κάνοντάς τους ενήμερους για τις γραμμές αναφοράς και τα βήματα που πρέπει να ακολουθήσουν.
o Διεθνείς μεταδόσεις δεδομένων & γνωστοποιήσεις σε τρίτους - όπου η Siima MotoWear αποθηκεύει ή μεταφέρει προσωπικά δεδομένα εκτός της ΕΕ, έχουμε ισχυρές διαδικασίες και μέτρα διασφάλισης για την ασφάλεια, κρυπτογράφηση και διατήρηση της ακεραιότητας των δεδομένων. Οι διαδικασίες μας περιλαμβάνουν μια συνεχή αναθεώρηση των χωρών με επαρκή μέτρα, καθώς και διατάξεις για δεσμευτικούς εταιρικούς κανόνες, τυποποιημένες ρήτρες προστασίας δεδομένων ή εγκεκριμένους κώδικες δεοντολογίας για τις χώρες, που δεν τα διαθέτουν. Διεξάγουμε αυστηρούς ελέγχους δέουσας επιμέλειας με όλους τους παραλήπτες δεδομένων προσωπικού χαρακτήρα, για να αξιολογήσουμε και να επαληθεύσουμε ότι διαθέτουν τις κατάλληλες διασφαλίσεις για την προστασία των πληροφοριών, τη διασφάλιση των εκτελεστικών δικαιωμάτων των υποκειμένων των δεδομένων και την άσκηση αποτελεσματικών δικαστικών μέσων για τα υποκείμενα των δεδομένων, κατά περίπτωση.
o Αίτηση Υποβολής Αιτήματος (SAR) - αναθεωρήσαμε τις διαδικασίες SAR για να προσαρμόσουμε το αναθεωρημένο χρονοδιάγραμμα των 30 ημερών για την παροχή των ζητούμενων πληροφοριών και για την δωρεάν παροχή αυτής της πρόβλεψης. Οι νέες μας διαδικασίες περιγράφουν λεπτομερώς τον τρόπο επαλήθευσης των δεδομένων του υποκειμένου, τα μέτρα που πρέπει να ληφθούν για την επεξεργασία μιας αίτησης πρόσβασης, ποιες εξαιρέσεις ισχύουν και μια δέσμη προτύπων απόκρισης για να εξασφαλιστεί ότι οι επικοινωνίες των δεδομένων είναι συμβατές, συνεπείς και επαρκείς.
• Νομική Βάση για την Διαδικασία - εξετάζουμε όλες τις δραστηριότητες επεξεργασίας για τον προσδιορισμό της νομικής βάσης για τη διεκπεραίωση και την εξασφάλιση ότι κάθε βάση είναι κατάλληλη για τη δραστηριότητα, που σχετίζεται με αυτήν. Όπου ισχύει, διατηρούμε επίσης αρχεία των δραστηριοτήτων επεξεργασίας, διασφαλίζοντας ότι τηρούνται οι υποχρεώσεις μας βάσει του άρθρου 30 του GDPR και της Ενότητας 1 του Νόμου Προστασίας Δεδομένων.
• Πολιτική Απορρήτου/Προστασία Προσωπικών Δεδομένων - αναθεωρούμε τις Ειδοποιήσεις Περί Απορρήτου για να συμμορφωθούμε με το GDPR, διασφαλίζοντας ότι όλα τα άτομα των οποίων τα προσωπικά δεδομένα επεξεργάζονται έχουν ενημερωθεί για το λόγο που τα χρειαζόμαστε, πώς χρησιμοποιούνται, ποια είναι τα δικαιώματά τους, ποιες πληροφορίες αποκαλύπτονται και για τα μέτρα διασφάλισης που εφαρμόζονται, στην προστασία των πληροφοριών τους.
• Επίτευξη Συναίνεσης - αναθεωρούμε τους μηχανισμούς συγκατάθεσής μας για την απόκτηση προσωπικών δεδομένων, εξασφαλίζοντας ότι τα άτομα κατανοούν τι παρέχουν, γιατί και πώς τα χρησιμοποιούμε και δίνοντας σαφείς και καθορισμένοι τρόποι να συναινέσουν στην επεξεργασία των πληροφοριών τους. Έχουμε αναπτύξει αυστηρές διαδικασίες για την καταγραφή της συγκατάθεσης, διασφαλίζοντας ότι μπορούμε να αποδείξουμε την καταφατική συμμετοχή, μαζί με τα αρχεία ημερομηνίας και ώρας, και έναν εύκολο τρόπο για να δουν και να έχουν πρόσβαση σε οποιαδήποτε συγκατάθεση ανά πάσα στιγμή.
• Άμεσο Μάρκετινγκ - αναθεωρούμε τη διατύπωση και τις διαδικασίες για το άμεσο μάρκετινγκ, συμπεριλαμβανομένων των σαφών μηχανισμών συμμετοχής για την προώθηση των συνδρομών, μιας ξεκάθαρης ειδοποίησης και μιας μεθόδου για την εξαίρεση και την παροχή των στοιχείων της κατάργησης εγγραφής σε όλα τα επόμενα υλικά του μάρκετινγκ.
• Αξιολογήσεις Επιπτώσεων Προστασίας Δεδομένων (DPIA) - όπου επεξεργαζόμαστε προσωπικές πληροφορίες που θεωρούνται υψηλού κινδύνου, αφορούν επεξεργασία μεγάλης κλίμακας ή περιλαμβάνουν δεδομένα ειδικής κατηγορίας/ποινικής καταδίκης, όπου έχουμε αναπτύξει αυστηρές διαδικασίες και πρότυπα αξιολόγησης για τη διενέργεια εκτιμήσεων αντικτύπου που συμμορφώνονται πλήρως με τις απαιτήσεις του άρθρου 35 του GDPR. Έχουμε εφαρμόσει διαδικασίες τεκμηρίωσης που καταγράφουν κάθε αξιολόγηση, μας επιτρέπουν να αξιολογήσουμε τον κίνδυνο, που δημιουργεί η δραστηριότητα επεξεργασίας και να εφαρμόσουμε μέτρα μετριασμού για τη μείωση του κινδύνου που τίθεται για το υποκείμενο των δεδομένων.
• Συμφωνίες Επεξεργαστών - όπου χρησιμοποιούμε οποιοδήποτε τρίτο μέρος για να επεξεργαστούμε προσωπικές πληροφορίες για λογαριασμό μας (δηλαδή PayPal, WireCard, Hosting κ.λπ.), έχουμε συντάξει συμμορφωμένες Συμφωνίες Επεξεργαστών και διαδικασίες δέουσας επιμέλειας για να διασφαλίσουμε ότι κι αυτοί θα ακολουθούν (όπως κι εμείς) και θα κατανοούν τις υποχρεώσεις GDPR. Τα μέτρα αυτά περιλαμβάνουν την αρχική και συνεχή επανεξέταση της παρεχόμενης υπηρεσίας, την αναγκαιότητα της δραστηριότητας επεξεργασίας, τα τεχνικά και οργανωτικά μέτρα που εφαρμόζονται και τη συμμόρφωση με το GDPR.
• Δεδομένα Ειδικών Κατηγοριών - όπου λαμβάνουμε και επεξεργαζόμαστε πληροφορίες ειδικής κατηγορίας, το κάνουμε με πλήρη συμμόρφωση στις απαιτήσεις του άρθρου 9 και έχουμε κρυπτογραφήσεις υψηλού επιπέδου και προστασία σε όλα αυτά τα δεδομένα. Τα δεδομένα ειδικών κατηγοριών υποβάλλονται σε επεξεργασία μόνο όταν είναι απαραίτητο και επεξεργάζονται μόνο όταν έχουμε πρώτα προσδιορίσει την καταλληλόλητα βάσει του άρθρου 9 παράγραφος 2 ή την Ενότητα 1 της συνθήκης Προστασίας Δεδομένων του Λογαριασμού. Σε περίπτωση που στηριζόμαστε στη συγκατάθεσή για επεξεργασία, αυτό είναι σαφές και επαληθεύεται από υπογραφή, με το δικαίωμα τροποποίησης ή κατάργησης της συγκατάθεσης με σαφή σήμανση.
Δικαιώματα Δεδομένων Υποκειμένων
Εκτός από τις προαναφερθείσες πολιτικές και διαδικασίες που διασφαλίζουν ότι τα άτομα μπορούν να επιβάλουν τα δικαιώματά τους για προστασία δεδομένων, παρέχουμε εύκολη πρόσβαση στις πληροφορίες μέσω του www.siimajackets.com του δικαιώματος ενός ατόμου να έχει πρόσβαση σε οποιαδήποτε προσωπική πληροφορία που επεξεργάζεται η Siima MotoWear σχετικά με:
• Ποια προσωπικά δεδομένα διατηρούμε γι’ αυτά τα άτομα
• Τους σκοπούς της επεξεργασίας
• Τις κατηγορίες των σχετικών προσωπικών δεδομένων
• Τους παραλήπτες στους οποίους έχουν/θα αποκαλυφθούν τα προσωπικά δεδομένα
• Πόσο καιρό σκοπεύουμε να αποθηκεύσουμε τα προσωπικά δεδομένα των ατόμων
• Εάν δεν συλλέξαμε τα δεδομένα απευθείας από αυτά τα άτομα, πληροφορίες σχετικά με την πηγή
• Το δικαίωμα να διορθωθούν ή να συμπληρωθούν ελλιπή ή ανακριβή δεδομένα σχετικά με αυτά και τη διαδικασία αίτησης
• Το δικαίωμα για διαγραφή προσωπικών δεδομένων (όπου ισχύει) ή να περιορίζεται η επεξεργασία σύμφωνα με τους νόμους περί προστασίας δεδομένων, καθώς και να αντιτίθεται σε οποιοδήποτε άμεσο μάρκετινγκ από εμάς και ενηέρωσης για οποιαδήποτε αυτοματοποιημένη διαδικασία λήψης αποφάσεων που χρησιμοποιούμε
• Το δικαίωμα υποβολής καταγγελίας ή ένδικης προσφυγής και σε ποιον θα απευθυνθεί σε τέτοιες περιπτώσεις
Ασφάλεια Πληροφοριών & Τεχνικά και Οργανωτικά Μέτρα
Η Siima MotoWear λαμβάνει σοβαρά υπόψη την ιδιωτικότητα και την ασφάλεια των ατόμων και των προσωπικών τους πληροφοριών και λαμβάνει κάθε εύλογο μέτρο και προφύλαξη για την προστασία και την διασφάλιση των προσωπικών δεδομένων που επεξεργαζόμαστε. Έχουμε ισχυρές πολιτικές και διαδικασίες ασφάλειας πληροφοριών για την προστασία των προσωπικών πληροφοριών από μη εξουσιοδοτημένη πρόσβαση, αλλοίωση, αποκάλυψη ή καταστροφή και έχουμε διάφορα επίπεδα μέτρων ασφαλείας, όπως:
- Πρωτόκολλα SSL
-Ελέγχους πρόσβασης
- Πολιτική κωδικού πρόσβασης
- Κρυπτογραφίες
- Ψευδώνυμο
- Πρακτικές
- Περιορισμούς
- ΙΤ
- Μεθόδους Επαλήθευσης
Ρόλοι και υπάλληλοι στη νομοθεσία GDPR
Η Siima MotoWear έχει ορίσει τον Γιώργο ως Υπεύθυνο Προστασίας Προσωπικών Δεδομένων (DPO) και έχει ορίσει μια ομάδα προστασίας προσωπικών δεδομένων για την ανάπτυξη και εφαρμογή του χάρτη πορείας μας, για συμμόρφωση με τον νέο κανονισμό για την προστασία των δεδομένων. Η ομάδα είναι υπεύθυνη για την ευαισθητοποίηση του GDPR σε ολόκληρη την εταιρία, την αξιολόγηση της ετοιμότητας του GDPR, τον εντοπισμό τυχόν κενών και την εφαρμογή των νέων πολιτικών, διαδικασιών και μέτρων.
Η Siima MotoWear κατανοεί ότι η συνεχής συνειδητοποίηση και κατανόηση των εργαζομένων είναι ζωτικής σημασίας για τη συνεχή συμμόρφωση στη GDPR και έχει εμπλέξει τους υπαλλήλους στα σχέδια προετοιμασίας μας. Έχουμε εφαρμόσει ένα πρόγραμμα εκπαίδευσης των εργαζομένων ειδικά, το οποίο θα παρέχεται σε όλους τους υπαλλήλους, πριν από τις 25 Μαΐου 2018 και αποτελεί μέρος του προπονητικού και ετήσιου προγράμματος κατάρτισης.
Εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με την προετοιμασία μας για το GDPR, επικοινωνήστε με τον Γιώργο στο contact@siimajackets.com.