Ασφαλής Διαχείριση Πληροφοριών και Συμμόρφωσης GDPR

Τι σημαίνει για τον Οργανισμό / Εταιρεία σας;

Το GDPR ισχύει για οποιονδήποτε Οργανισμό εντός ή εκτός της Ευρωπαϊκής Ένωσης που εμπορεύεται αγαθά ή υπηρεσίες ή / και παρακολουθεί τις συμπεριφορές των πολιτών της ΕΕ. Αυτό σημαίνει ότι εάν συνεργάζεστε με Ευρωπαίους το οποίο περιλαμβάνει την επεξεργασία των προσωπικών τους δεδομένων, τότε αυτή η νομοθεσία ισχύει για εσάς.

Βασικές Προκλήσεις

Ο νέος κανονισμός επηρεάζει τις επιχειρήσεις με πολλούς τρόπους. Το απόρρητο και η προστασία δεδομένων αποτελούν μέρος των βασικών απαιτήσεων μιας εταιρείας που οδηγούν στη συλλογή και αποθήκευση δεδομένων. Όλοι οι οργανισμοί πρέπει να προετοιμαστούν και να συμμορφωθούν σωστά με τις νέες πολιτικές, διαφορετικά μπορεί να τους επιβληθεί πρόστιμο. Αυτός ο κανονισμός ισχύει τόσο για τους ελεγκτές δεδομένων όσο και για τους επεξεργαστές αυτών.

Η The Records Hub S.A. σας παρέχει εξατομικευμένες υπηρεσίες συμμόρφωσης, υλοποίησης, εκπαίδευσης και υποστήριξης οι οποίες καλύπτουν όλο το φάσμα του GDPR.

Aξιολόγηση

Πλήρης και λεπτομερής καταγραφή των δραστηριοτήτων της επιχείρησης, οι οποίες εμπεριέχουν επεξεργασία δεδομένων προσωπικού χαρακτήρα και όλη τη ροή των σχετικών με αυτές δεδομένων.
Σχεδιασμός των διαγραμματικών ροών δεδομένων (Data Flow Diagrams) των επιχειρησιακών δραστηριοτήτων με σκοπό την σχηματική απεικόνιση της επεξεργασίας αυτών, αποτυπώνοντας τα εμπλεκόμενα μέρη, το είδος των δεδομένων, τον τρόπο μεταφοράς, τα σημεία και τη μορφή της αποθήκευσης και τα παρεμβαλλόμενα συστήματα.
Λεπτομερής διεξαγωγή μελέτης εκτίμησης αποκλίσεων (Gap Analysis) ανά δραστηριότητα αξιολογούμενη ανά άρθρο του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), με σκοπό τον προσδιορισμό των ελλείψεων σε σχέση με τα όσα ορίζονται από αυτόν.
Διεξαγωγή μελέτης εκτίμησης αντικτύπου (Data Privacy Impact Assessment), στις δραστηριότητες όπου απαιτείται σύμφωνα με τις οδηγίες της αρμόδιας Αρχής, για την προστασία των δεδομένων προσωπικού χαρακτήρα, τον προσδιορισμό των πιθανών κινδύνων, την αξιολόγηση των αντίστοιχων μέτρων ασφαλείας καθώς και των επιπτώσεων που ενδέχεται να προκληθούν στο υποκείμενο από μια παραβίαση των προσωπικών του δεδομένων και τα προτεινόμενα μέτρα για την αντιμετώπιση των κινδύνων.
Κατάρτιση σχεδίου δράσης (Action Plan) όπου αναλύονται και παρουσιάζονται οι προτεινόμενες ενέργειες ανά τμήμα και δραστηριότητα της επιχείρησης σύμφωνα με τις πληροφορίες και τα δεδομένα που συλλέχθηκαν στο στάδιο της καταγραφής και αναλύθηκαν στο στάδιο της ανάλυσης.
Αναλυτική έκθεση της διαδικασίας και της μεθοδολογίας που ακολουθήθηκε, των ευρημάτων που προέκυψαν και των προτεινόμενων ενεργειών, με αναλυτική αναφορά στις οδηγίες συμμόρφωσης και παράθεση υποδειγμάτων και προτάσεων.

Υλοποίηση

Κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα κατά τη μεταβίβαση (ιστοσελίδες, emails, κ.λπ.), αλλά και κατά την αποθήκευση (βάσεις δεδομένων, αρχεία, τερματικά χρηστών, κ.λπ.), με γνώμονα τη μέγιστη διασφάλιση των δεδομένων, αλλά και την ομαλή και εύρυθμη λειτουργία της επιχείρησης.
Αναδιαμόρφωση των αντιγράφων ασφαλείας και των διαδικασιών λήψης αυτών προς αντιμετώπιση των σύγχρονων απειλών και προς συμμόρφωση με τις επιταγές του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) (χρόνοι διατήρησης, διαδικασίες ασφαλούς διαγραφής, κ.λπ.)
Εξειδικευμένος και εξατομικευμένος σχεδιασμός όλων των απαραίτητων Πολιτικών Ασφάλειας Προσωπικών Δεδομένων σύμφωνα με τα όσα επιτάσσει ο Κανονισμός, τις βέλτιστες πρακτικές ασφαλείας, τα διεθνή πρότυπα αλλά και τις εξειδικευμένες ανάγκες του πελάτη.
Συμβουλευτική υποστήριξη για τον ανασχεδιασμό των διαδικασιών που απαιτούνται βάσει των οριζόμενων από το Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) όπως: διαδικασίες αντιμετώπισης περιστατικών παραβίασης, διαδικασίες άσκησης και εξυπηρέτησης των δικαιωμάτων των υποκειμένων, διαδικασίες διεθνών διαβιβάσεων, κ.λπ.
Συμβουλευτική στην αναβάθμιση της τρωτότητας της Δικτυακής Περιμέτρου, στην ορθή διαβάθμιση και ασφάλεια του εσωτερικού δικτύου και στην εφαρμογή των πολιτικών ασφαλείας.
Διερεύνηση των σημείων τρωτότητας και αξιολόγηση της επικινδυνότητας μετά από περιστατικά παραβίασης τόσο σε δικτυακό επίπεδο όσο και σε επίπεδο εφαρμογών.
Εξατομικευμένη και πλήρη αναδιαμόρφωση των συμβάσεων της εταιρείας (με το προσωπικό, τους συνεργάτες, τους προμηθευτές, κ.λπ.), σύμφωνα με τις επιταγές του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), λαμβάνοντας υπ’ όψιν το είδος και τη φύση της εκάστοτε επεξεργασίας, τις κατηγορίες των υποκειμένων και το χαρακτήρα των δεδομένων.
Σύνταξη εξατομικευμένων όρων χρήσης και πολιτικών προστασίας δεδομένων προσωπικού χαρακτήρα για ιστοσελίδες, υπηρεσίες κ.ά.

Εκπαίδευση

Εκπαίδευση σε κάθε επίπεδο στελέχωσης της επιχείρησης (διοίκηση, IT, προσωπικό, νομικό τμήμα, κ.ά.) αναφορικά με το Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ). Το εκάστοτε σεμινάριο είναι προσαρμοσμένο στις ανάγκες του πελάτη και το υλικό και τα παραδείγματα αντλούνται από τις καθημερινές δραστηριότητες των επιμέρους τμημάτων της επιχείρησης. Η εκπαίδευση περιλαμβάνει ενδεικτικά: βασικές αρχές και έννοιες του ΓΚΠΔ, σφαιρική γνώση για τις απαιτήσεις και τις νέες υποχρεώσεις που ανακύπτουν από την εφαρμογή του ΓΚΠΔ, ενημέρωση για τις σύγχρονες απειλές στον κυβερνοχώρο και τα μέτρα αντιμετώπισης και προστασίας, θέματα οργάνωσης, διαδικασιών και διαχείρισης φυσικών εγγράφων, γνώση των βημάτων που απαιτούνται για τη συμμόρφωση με το ΓΚΠΔ, κατανόηση των πιθανών επιπτώσεων μιας ενδεχόμενης παραβίασης των προσωπικών δεδομένων, βασικοί κανόνες και μέτρα προστασίας για την πρόληψη περιστατικών παραβίασης, αναφορά ειδικών ζητημάτων που απασχολούν και θα απασχολήσουν την επιχείρηση, κ.ά.
Τα σεμινάρια δύναται να συνδυαστούν με αξιολόγηση των εκπαιδευομένων. Η αξιολόγηση μπορεί να πραγματοποιηθεί με τεστ πολλαπλών απαντήσεων ή με διαδραστική αξιολόγηση μέσα από ρεαλιστικά σενάρια. Τα αποτελέσματα μπορούν να αποθηκεύονται ή να συλλέγονται ονομαστικά ή ανώνυμα ανάλογα με τις απαιτήσεις του πελάτη και τις διαδικασίες της επιχείρησης με το προσωπικό.
Σε συνεννόηση με τη διοίκηση, αναλαμβάνουμε την αποστολή περιοδικών παραπλανητικών emails στους λογαριασμούς του προσωπικού της εταιρείας με σκοπό την αξιολόγηση της αφομοίωσης των μέτρων ασφαλείας τόσο σε θέματα cyber-security όσο και σε θέματα προστασίας δεδομένων προσωπικού χαρακτήρα.

Διατήρηση

Αξιολόγηση της κατάστασης μετά την εφαρμογή του σχεδίου συμμόρφωσης με την προσομοίωση περιστατικών παραβίασης και ελέγχων με σκοπό τη διασφάλιση της συνεχούς συμμόρφωσης του πελάτη με το Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ), μέσω τακτικών επανελέγχων.
Περιοδική επικαιροποίηση των πολιτικών ασφαλείας και των διαδικασιών σε τακτά χρονικά διαστήματα, σύμφωνα με τυχόν νέες οδηγίες από την αρμόδια Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, το Ευρωπαϊκό Εποπτικό Συμβούλιο, την Ευρωπαϊκή Επιτροπή και τις λοιπές αρμόδιες εποπτικές Αρχές.
Αναλαμβάνουμε τη διαχείριση και διεκπεραίωση περιστατικών παραβίασης με τη συλλογή των απαραίτητων στοιχείων, τη διαχείριση των επικοινωνιών με την αρμόδια Αρχή, τη σύνταξη των απαραίτητων δηλώσεων γνωστοποίησης, των απαραίτητων υπομνημάτων, τη συμβουλευτική υποστήριξη σε θέματα ανακοίνωσης στο υποκείμενο κ.λπ.