ΕΚΠΑΊΔΕΥΣΗ ΜΕ ΣΚΟΠΌ ΤΗΝ ΕΝΘΆΡΡΥΝΣΗ ΤΗΣ ΑΠΑΣΧΌΛΗΣΗΣ ΤΩΝ ΓΥΝΑΙΚΏΝ ΣΤΟΝ ΨΗΦΙΑΚΌ ΤΟΜΈΑ, ΠΡΟΚΕΙΜΈΝΟΥ ΝΑ ΠΡΟΩΘΗΘΕΊ Η ΙΣΌΤΗΤΑ ΤΩΝ ΦΎΛΩΝ ΣΤΗΝ ΑΓΟΡΆ ΕΡΓΑΣΊΑΣ

4.1 Κατανόηση και επεξήγηση του ΓΚΠΔ σε εκπαιδευόμενες γυναίκες 

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) (General Data Protection Regulation – GDPR), που συμφωνήθηκε από το Ευρωπαϊκό Κοινοβούλιο και το Ευρωπαϊκό Συμβούλιο τον Απρίλιο του 2016, αντικατέστησε την Οδηγία για την Προστασία Δεδομένων 95/46/ΕΚ την άνοιξη του 2018 και αποτελεί πλέον πρωτογενή νόμο που ρυθμίζει τον τρόπο με τον οποίο οι εταιρείες προστατεύουν τα προσωπικά δεδομένα των πολιτών της ΕΕ.

Ο σκοπός του ΓΚΠΔ είναι να επιβάλει έναν ενιαίο νόμο για την ασφάλεια των δεδομένων σε όλα τα μέλη της ΕΕ, ούτως ώστε τα κράτη μέλη να μην χρειάζεται πλέον να συντάσσουν τους δικούς τους νόμους για την προστασία των δεδομένων και η σχετική νομοθεσία να είναι συνεκτική σε ολόκληρη την ΕΕ. Πέρα από τα μέλη της ΕΕ, πρέπει να σημειωθεί ότι όλες οι εταιρείες που εμπορεύονται αγαθά ή υπηρεσίες σε κατοίκους της ΕΕ, ανεξάρτητα από την τοποθεσία τους, υπόκεινται στον Κανονισμό. Ως αποτέλεσμα, ο ΓΚΠΔ έχει αντίκτυπο στις απαιτήσεις περί προστασίας των δεδομένων παγκοσμίως.

Ο ΓΚΠΔ περιέχει 11 κεφάλαια και 91 άρθρα. Ακολουθούν κάποια κεφάλαια και άρθρα που έχουν τον μεγαλύτερο πιθανό αντίκτυπο στις λειτουργίες ασφάλειας:

●    Άρθρα 17 & 18 – Τα άρθρα 17 και 18 του ΓΚΠΔ παρέχουν στα υποκείμενα των δεδομένων μεγαλύτερο έλεγχο επί των προσωπικών δεδομένων που υποβάλλονται σε αυτόματη επεξεργασία. Το αποτέλεσμα είναι ότι τα υποκείμενα των δεδομένων μπορούν να μεταφέρουν πιο εύκολα τα προσωπικά τους δεδομένα μεταξύ παρόχων υπηρεσιών (ονομάζεται και «δικαίωμα της φορητότητας») και μπορούν να ζητήσουν από τον υπεύθυνο επεξεργασίας να διαγράψει τα προσωπικά τους δεδομένα υπό ορισμένες συνθήκες (ονομάζεται και «δικαίωμα διαγραφής» ή «δικαίωμα στη λήθη»).

● Άρθρα 23 & 30 – Τα άρθρα 23 και 30 απαιτούν από τις εταιρείες να εφαρμόζουν εύλογα μέτρα προστασίας δεδομένων για την προστασία των προσωπικών δεδομένων και του απορρήτου των καταναλωτών από απώλεια ή έκθεση.

● Άρθρα 31 & 32 – Οι γνωστοποιήσεις παραβίασης δεδομένων παίζουν μεγάλο ρόλο στον ΓΚΠΔ. Το άρθρο 31 καθορίζει τις απαιτήσεις για μεμονωμένες παραβιάσεις δεδομένων: οι υπεύθυνοι επεξεργασίας πρέπει να ειδοποιούν τις Εποπτικές Αρχές για παραβίαση προσωπικών δεδομένων εντός 72 ωρών από τη στιγμή που αποκτούν γνώση του γεγονότος της παραβίασης των δεδομένων και πρέπει να παρέχουν συγκεκριμένες λεπτομέρειες για την παραβίαση, όπως τη φύση της παραβίασης και τον κατά προσέγγιση αριθμό των επηρεαζόμενων υποκειμένων των δεδομένων. Το άρθρο 32 απαιτεί από τους υπεύθυνους επεξεργασίας δεδομένων να ενημερώνουν τα υποκείμενα των δεδομένων το συντομότερο δυνατό για παραβιάσεις, σε περίπτωση που αυτές ενδέχεται να προκαλέσουν κίνδυνο για τα δικαιώματα και τις ελευθερίες τους.

● Άρθρα 33 & 33a – Τα άρθρα 33 και 33α απαιτούν από τις εταιρείες να πραγματοποιούν Εκτιμήσεις Αντικτύπου σχετικά με την Προστασία Δεδομένων (Data Protection Impact Assessments) για τον εντοπισμό κινδύνων σε σχέση με τα δεδομένα των καταναλωτών και ελέγχους τήρησης των διατάξεων περί προστασίας δεδομένων (Data Protection Compliance Reviews) για να διασφαλίζουν ότι αυτοί οι κίνδυνοι αντιμετωπίζονται.

● Άρθρα 35 – Το άρθρο 35 απαιτεί από κάποιες εταιρείες να διορίζουν υπεύθυνους προστασίας δεδομένων. Συγκεκριμένα, κάθε εταιρεία που επεξεργάζεται δεδομένα που αποκαλύπτουν γενετικά δεδομένα, δεδομένα που αφορούν την υγεία, τη φυλετική ή εθνοτική καταγωγή, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, κλπ., των υποκειμένων πρέπει να ορίζει υπεύθυνο προστασίας δεδομένων. Οι λειτουργοί αυτοί συμβουλεύουν τις εταιρείες για τη συμμόρφωση με τον Κανονισμό και λειτουργούν ως σημείο επαφής με τις Εποπτικές Αρχές. Ορισμένες εταιρείες ενδέχεται να υπόκεινται σε αυτή την πτυχή του ΓΚΠΔ απλώς και μόνο επειδή συλλέγουν προσωπικές πληροφορίες για τους υπαλλήλους τους ως μέρος των διαδικασιών ανθρώπινου δυναμικού.

● Άρθρα 36 & 37 – Τα άρθρα 36 και 37 περιγράφουν τη θέση του υπεύθυνου προστασίας δεδομένων και τις ευθύνες του για τη διασφάλιση της συμμόρφωσης με τον ΓΚΠΔ, καθώς και τις διαδικασίες αναφοράς στις Εποπτικές Αρχές και στα υποκείμενα των δεδομένων. 

● Άρθρα 45 – Το άρθρο 45 επεκτείνει τις απαιτήσεις προστασίας δεδομένων σε διεθνείς εταιρείες που συλλέγουν ή επεξεργάζονται προσωπικά δεδομένα πολιτών της ΕΕ, υποβάλλοντάς τους τις ίδιες απαιτήσεις και κυρώσεις με τις εταιρείες που εδρεύουν στην ΕΕ.

● Άρθρα 79 – Το άρθρο 79 περιγράφει τις κυρώσεις από τη μη συμμόρφωση με τον ΓΚΠΔ, οι οποίες μπορεί να ανέρχονται έως και στο 4% των παγκόσμιων ετήσιων εσόδων της εταιρείας που τον παραβιάζει, ανάλογα με τη φύση της παραβίασης. 

Ποιες είναι οι βασικές αρχές του Κανονισμού;

1. Διαφάνεια: Πρέπει να διασφαλίζετε ότι οι διαδικασίες συλλογής δεδομένων είναι διαφανείς. Αυτό σημαίνει ότι πρέπει να είναι εύκολο για τους πελάτες και τους επισκέπτες σας να μάθουν πού αποθηκεύετε τα δεδομένα τους, τι κάνετε με αυτά και πώς μπορούν είτε να διαγράψουν το αντίγραφό σας είτε να λάβουν το αρχείο με τα δεδομένα τους.
2. Νόμιμη συλλογή και χρήση: Είναι σημαντικό να λαμβάνετε δεδομένα για τους πελάτες σας νόμιμα, αλλά αυτό που κάποιοι άνθρωποι μπορεί να μην συνειδητοποιούν είναι ότι, όταν αποκτήσετε αυτά τα δεδομένα, μπορείτε να τα χρησιμοποιήσετε μόνο για τους σκοπούς για τους οποίους τα συλλέξατε. Έτσι, για παράδειγμα, δεν μπορείτε να συλλέξετε δεδομένα για τους πελάτες σας που εγγράφονται σε ένα συγκεκριμένο εργαστήριο και, στη συνέχεια, να τα χρησιμοποιήσετε για να δημιουργήσετε τη λίστα αλληλογραφίας για μια εκδήλωση που διοργανώνετε με κάποια συνάδελφό σας για ένα άλλο θέμα.
3. Συγκατάθεση: Και πάλι είναι αυτονόητο, αλλά πρέπει να έχετε εξασφαλίσει συγκατάθεση από τα άτομα για να συλλέξετε τα δεδομένα τους. Αυτό σημαίνει ότι δεν μπορείτε να «αγοράσετε» μια λίστα αλληλογραφίας από κάποιο άλλο άτομο ή να προσθέσετε άτομα στη λίστα αλληλογραφίας σας για το μηνιαίο ενημερωτικό δελτίο, όταν αυτά π.χ. εγγράφονται για δωρεάν λήψη του ηλεκτρονικού σας βιβλίου (eBook), χωρίς να τους ρωτήσετε. Και αυτό το τελευταίο μέρος είναι πολύ σημαντικό - ΠΡΕΠΕΙ να περιλαμβάνετε ένα πλαίσιο ελέγχου (checkbox) σε όλες τις φόρμες σας που να ζητά ρητά από τους ανθρώπους να δώσουν τη συγκατάθεσή του (και το οποίο δεν πρέπει να είναι προεπιλεγμένο).
4. Δικαίωμα αποχώρησης: Πρέπει να προνοείτε ούτως ώστε τα άτομα που επιθυμούν να διαγραφούν από τη λίστα αλληλογραφίας και τη βάση δεδομένων σας να μπορούν να το πράττουν ΕΥΚΟΛΑ. 

 

Σύνδεσμοι για την αυτόνομη μάθηση

Πλήρης Οδηγός Συμμόρφωσης με τον ΓΚΠΔ

Αρχές ΓΚΠΔ για την Επεξεργασία Προσωπικών Δεδομένων

4.2. Εφαρμογή του ΓΚΠΔ στην καθοδήγηση και τήρηση εμπιστευτικότητας

 

Όσον αφορά την καθοδήγηση, οι πληροφορίες που κατέχετε δεν πρέπει να:

● συνδέονται με περισσότερα στοιχεία των πελατών

● περιέχουν φωτογραφίες των πελατών

● κοινοποιούνται σε άλλα άτομα

Ως καθοδηγητές οφείλετε να γνωρίζετε ποιες πληροφορίες επεξεργάζεστε, να εντοπίζετε και να μετριάζετε τυχόν κινδύνους και να βεβαιώνεστε ότι ακολουθείτε διαδικασίες που διασφαλίζουν το απόρρητο και τη διαφάνεια στις διαδικασίες σας.

Εάν οι πληροφορίες είναι σε έντυπη μορφή, δεν έχετε υποχρέωση εγγραφής στον ΓΚΠΔ. Για όσους αποθηκεύουν πληροφορίες σε υπολογιστή, δεν χρειάζεται ούτε και σε αυτή την περίπτωση να εγγραφούν, νοουμένου ότι οι πληροφορίες δεν χρησιμοποιούνται για την αποκόμιση κέρδους και δεν κοινοποιούνται σε άλλους, παρά μόνο χρησιμοποιούνται για:

●        την επεξεργασία των απαραίτητων πληροφοριών για τη δημιουργία ή τη διατήρηση υποστήριξης,

●        την κοινοποίηση των πληροφοριών των πελατών έχοντας λάβει τη συγκατάθεσή τους,

●        τη διατήρηση των πληροφοριών για όσο χρονικό διάστημα είναι απαραίτητο.

Αρχές ΓΚΠΔ για την Επεξεργασία Προσωπικών Δεδομένων

1. Νομιμότητα, Δικαιοσύνη και Διαφάνεια: Οι οργανισμοί πρέπει να έχουν νόμιμη βάση που να τεκμηριώνει τη λήψη προσωπικών δεδομένων για επεξεργασία και να πληρούν τα κριτήρια για τουλάχιστον μία (1) από τις έξι (6) προϋποθέσεις επεξεργασίας, που αναφέρονται ως «νόμιμες βάσεις». Η συλλογή προσωπικών δεδομένων πρέπει να πραγματοποιείται με νόμιμο τρόπο, διασφαλίζοντας ότι δεν λήφθηκαν από τα άτομα με ψευδή προσχήματα. Η επεξεργασία προσωπικών δεδομένων πρέπει να γίνεται με δίκαιο τρόπο προς τα άτομα, ούτως ώστε να ανταποκρίνεται στις εύλογες προσδοκίες τους ως προς τον τρόπο χρήσης των δεδομένων. Οι οργανισμοί πρέπει να είναι ξεκάθαροι και ειλικρινείς με τα άτομα σχετικά με τους λόγους για τους οποίους συλλέγουν προσωπικά δεδομένα και τον τρόπο με τον οποίο σκοπεύουν να τα επεξεργαστούν. Η διαφάνεια, εκτός από τη συμπερίληψή της ως αρχής για την επεξεργασία, επεκτείνεται περαιτέρω στο «δικαίωμα ενημέρωσης» των υποκειμένων των δεδομένων. Για την τήρηση αυτής της αρχής, οι οργανισμοί πρέπει να ανταποκρίνονται στις προσδοκίες και ως προς τα τρία (3) κριτήρια: νομιμότητα, δικαιοσύνη και διαφάνεια
2. Περιορισμός Σκοπού: Απαιτείται συγκεκριμένος και έννομος λόγος για κάθε είδους προσωπικά δεδομένα που συλλέγονται. Τα προσωπικά δεδομένα μπορούν να χρησιμοποιηθούν μόνο για τους καθορισμένους λόγους. Εξαιρέσεις επιτρέπονται σε περίπτωση που η περαιτέρω επεξεργασία γίνεται για οποιονδήποτε από τους ακόλουθους σκοπούς: αρχειοθέτηση προς το δημόσιο συμφέρον, επιστημονική ή ιστορική έρευνα, στατιστικοί λόγοι.
3. Ελαχιστοποίηση δεδομένων: Αναφέρεται στην οργανωτική πρακτική για ελαχιστοποίηση του συνολικού όγκου των προσωπικών δεδομένων που συλλέγονται. Οι οργανισμοί οφείλουν να περιορίζονται στη συλλογή μόνο των προσωπικών δεδομένων που χρειάζονται, τα οποία είναι συναφή για καθορισμένους σκοπούς και να διαγράφουν ή να αποκρύπτουν προσωπικά δεδομένα που δεν χρειάζονται πλέον ή δεν είναι απαραίτητα για την εκτέλεση συγκεκριμένων σκοπών. Πρέπει, λοιπόν, να είναι σε θέση να επιδεικνύουν ότι εφαρμόζουν κατάλληλες πρακτικές για την ελαχιστοποίηση των δεδομένων και να γίνονται περιοδικοί έλεγχοι για να διασφαλίζεται η επάρκεια και η συνάφεια των δεδομένων που συλλέγονται.
4. Ακρίβεια δεδομένων: Οι οργανισμοί πρέπει να λαμβάνουν τα απαραίτητα και εύλογα μέτρα για να διασφαλίζουν την ακρίβεια των προσωπικών δεδομένων που συλλέγονται από τα υποκείμενα των δεδομένων. Οι οργανισμοί πρέπει να καθορίζουν βασικά βήματα, ανάλογα με τον σκοπό της επεξεργασίας, για τη διαγραφή ή τη διόρθωση εσφαλμένων δεδομένων χωρίς καθυστέρηση, καθώς αυτό συνδέεται στενά με τα δικαιώματα των υποκειμένων των δεδομένων για διόρθωση. Πρόκειται για θεμελιώδη αρχή για την προστασία των δεδομένων, παρόμοια με τις βασικές αρχές για την ελαχιστοποίηση των δεδομένων και τον περιορισμό της περιόδου αποθήκευσης. Επισημαίνει, επίσης, σαφείς διαφορές ανάμεσα στα προσωπικά και τα ιστορικά δεδομένα υπό την έννοια ότι, παρόλο που τα προσωπικά δεδομένα ενδέχεται να αλλάζουν, δεν θα πρέπει να επηρεάζουν δυσμενώς τα ιστορικά δεδομένα σε χρήση.
5. Περιορισμός της περιόδου αποθήκευσης: Οι οργανισμοί δεν πρέπει να διατηρούν προσωπικά δεδομένα για περισσότερο διάστημα από όσο χρειάζεται. Ο περιορισμός της περιόδου αποθήκευσης είναι μια μορφή τυποποίησης δεδομένων, παρόμοια με τις αρχές ελαχιστοποίησης και ακρίβειας δεδομένων. Οι οργανισμοί θα πρέπει να προβαίνουν σε περιοδικές επανεξετάσεις για να εντοπίζουν και να χειρίζονται κατάλληλα τα δεδομένα που αποθηκεύουν για περίοδο που υπερβαίνει την προβλεπόμενη χρήση. Η αποθήκευση προσωπικών δεδομένων πέρα από τον αρχικά δηλωμένο σκοπό επιτρέπεται μόνο σε περίπτωση που τηρούνται για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, επιστημονικούς ή ιστορικούς λόγους ή στατιστικούς σκοπούς. Για την αποθήκευση δεδομένων προσωπικού χαρακτήρα πέρα από τον αρχικό σκοπό, για συμβατούς σκοπούς ή άλλους, μπορούν να εφαρμόζονται διάφορα μέτρα, όπως η τήρηση ανωνυμίας ή η παροχή ψευδωνύμων, για να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
6. Ακεραιότητα και Εμπιστευτικότητα: Οι οργανισμοί (υπεύθυνοι επεξεργασίας δεδομένων) είναι υπεύθυνοι για την ασφάλεια των προσωπικών δεδομένων που συλλέγουν και αποθηκεύουν. Πρέπει να χρησιμοποιούνται κατάλληλα τεχνικά ή οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων. Τα μέτρα ασφαλείας πρέπει να προστατεύουν από: μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά.

Όσον αφορά την αρχή της εμπιστευτικότητας, οι καθοδηγητές πρέπει να ακολουθήσουν κάποια βασικά βήματα.

Το πρώτο και ουσιαστικό βήμα είναι να προβείτε σε μια εκτίμηση κινδύνου πληροφοριών χρησιμοποιώντας εργαλεία ανακάλυψης δεδομένων, για να εξετάσετε τα προσωπικά δεδομένα σε όλα τα αποθετήρια δεδομένων εντός του οργανισμού.

Ανακάλυψη δεδομένων

●        Καθορισμός των προσωπικών δεδομένων που χρειάζεται να εξετάζει ο οργανισμός.

●        Εντοπισμός όλων των σημείων/χώρων, στα οποία/στους οποίους ο οργανισμός αποθηκεύει δεδομένα.

●        Δημιουργία μητρώου, στο οποίο καταγράφονται ποιοι χρησιμοποιούν ή έχουν πρόσβαση στα δεδομένα

Μετά την ολοκλήρωση της ανακάλυψης δεδομένων, ο οργανισμός πρέπει να αξιολογήσει προσεκτικά τα αποτελέσματα για να αντιμετωπίσει τις αδυναμίες της επιχείρησης όσον αφορά την ασφάλεια ευαίσθητων προσωπικών δεδομένων.

Διορθωτικά μέτρα

●        Επιβολή ελέγχων πρόσβασης χρήστη με βάση τα αποτελέσματα από τη διαδικασία ανακάλυψης δεδομένων.

●        Ή εφαρμογή κρυπτογράφησης ή απόκρυψης ευαίσθητων προσωπικών δεδομένων.

Μετά τη λήψη διορθωτικών μέτρων για την ασφάλεια των υφιστάμενων προσωπικών δεδομένων, ο οργανισμός πρέπει να χρησιμοποιεί εργαλεία για συνεχή παρακολούθηση, ούτως ώστε να διασφαλίζει ότι τα εφαρμοζόμενα μέτρα ασφαλείας για τα δεδομένα εξακολουθούν να είναι επαρκή.

Συνεχής Παρακολούθηση

●        Εφαρμογή εργαλείων παρακολούθησης για να διασφαλιστεί ότι ο οργανισμός προστατεύει νέα και υφιστάμενα δεδομένα.

●        Ενεργοποίηση εργαλείων ανίχνευσης παραβιάσεων για ειδοποίηση σε περίπτωση ύποπτης δραστηριότητας.

Τι οργανωτικά μέτρα πρέπει να υιοθετήσετε;

Οι οργανισμοί πρέπει να ξεκινήσουν διενεργώντας μια εκτίμηση κινδύνου πληροφοριών, χρησιμοποιώντας εργαλεία ανακάλυψης δεδομένων, για τον εντοπισμό αδυναμιών όσον αφορά την ασφάλεια προσωπικών δεδομένων και τη λήψη διορθωτικών μέτρων. Ορίστε ένα άτομο εντός του οργανισμού (π.χ. έναν υπεύθυνο προστασίας δεδομένων) για τη διαχείριση της καθημερινής ασφάλειας πληροφοριών. Βεβαιωθείτε ότι τα μέλη της ομάδας, που τους έχουν ανατεθεί τέτοια καθήκοντα, έχουν στη διάθεσή τους κατάλληλους πόρους και την αρμοδιότητα να επιβάλλουν μέτρα για την ασφάλεια δεδομένων. Τέλος, εργαστείτε για την ανάπτυξη και υιοθέτηση μιας γενικής κουλτούρας ευαισθητοποίησης σε θέματα ασφάλειας εντός του οργανισμού.

Ποιους παράγοντες πρέπει να λάβετε υπόψη κατά τον προσδιορισμό του απαιτούμενου επιπέδου ασφάλειας δεδομένων;

Το είδος των κινδύνων που συνδέεται με τα δεδομένα πρέπει να συνάδει με το είδος των μέτρων ασφαλείας για την αντιμετώπισή τους.

Πρέπει να λάβετε υπόψη και παράγοντες όπως:

●        τη φύση και την έκταση των εγκαταστάσεων και των συστημάτων υπολογιστών του οργανισμού σας,

●        τον αριθμό μελών προσωπικού που διαθέτετε και την έκταση της πρόσβασης που τους παρέχεται στα προσωπικά δεδομένα,

●        τυχόν προσωπικά δεδομένα που τηρούνται ή χρησιμοποιούνται από εκτελούντα την επεξεργασία δεδομένων, ο οποίος ενεργεί για λογαριασμό σας.

 

Σύνδεσμοι για την αυτόνομη μάθηση

Επιπτώσεις από τον ΓΚΠΔ για καθοδηγητές

Ο ΓΚΠΔ με λίγα λόγια για ψυχαναλυτές, συγγραφείς και καθοδηγητές

Τι πρέπει να γνωρίζουν οι καθοδηγητές για τον ΓΚΠΔ

Βέλτιστη πρακτική για συλλογή δεδομένων: Βασικά στοιχεία

Λίστα ελέγχου συμμόρφωσης με την προστασία δεδομένων

Εκπαίδευση για την Προστασία Δεδομένων: Τι πρέπει να διδάξετε κάθε εργαζόμενο/-η