Όπως η ίδια ανέφερε, λέξη - κλειδί στο GDPR είναι η έννοια της λογοδοσίας. Σημαίνει ότι έχω την ευθύνη να συμμορφώνομαι, να επιδεικνύω και να αποδεικνύω τη συμμόρφωση με τον Κανονισμό ανά πάσα στιγμή. Ο GDPR ενισχύει τη διαφάνεια, καθώς η πληροφόρηση που πρέπει να παρέχουν οι εταιρείες στα φυσικά πρόσωπα για τα δεδομένα τους διευρύνεται, ενώ, παράλληλα, πλέον, υποχρεούνται να δημοσιοποιούν στα υποκείμενα οποιαδήποτε παραβίαση της ασφάλειας των δεδομένων τους εντός 72 ωρών αφού λάβουν γνώση του περιστατικού παραβίασης.
Εστιαζόμενη στην Αρχή της Λογοδοσίας τόνισε ότι καταρχήν ο υπεύθυνος επεξεργασίας φέρει την ευθύνη ενώ οφείλει να αποδεικνύει ανά πάσα στιγμή ότι συμμορφώνεται με τον GDPR με τις αρχές που διέπουν την επεξεργασία (Α5 παρ. 2). Ήτοι την:
- Αρχή της νομιμότητας, αναλογικότητας, αντικειμενικότητας και διαφάνειας
- Αρχή του περιορισμού του σκοπού
- Αρχή της ακρίβειας
- Αρχή του περιορισμού της περιόδου αποθήκευσης
- Αρχή της ακεραιότητας και εμπιστευτικότητας (Α5 παρ. 1)
Σημείωσε δε ότι η Αρχή της Λογοδοσίας καταλαμβάνει και τον εκτελούντα την επεξεργασία (Α28 παρ.3)
Μέτρα προς επίτευξη της Αρχής της Λογοδοσίας
Σύμφωνα με την κα. Ι. Μιχαλοπούλου τα επιμέρους μέτρα οργάνωσης και επίδειξης της συμμόρφωσης που οφείλει να τηρεί η φαρμακευτική βιομηχανία στα πλαίσια της αρχής της λογοδοσίας είναι τα εξής:
- Η διενέργεια εκτίμησης αντικτύπου (DPIA) που σύμφωνα με την Ομάδα Εργασίας του Άρθρου 29 συνδράμει στη διαχείριση των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που συνεπάγεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τον Υπεύθυνο Επεξεργασίας (Α35)
- Η προηγούμενη διαβούλευση με την εποπτική αρχή όταν η επεξεργασία δύναται να προκαλέσει υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον Υπεύθυνο Επεξεργασίας (Α36)
- Η εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας τα οποία διασφαλίζουν το απόρρητο και εξασφαλίζουν τη διαθεσιμότητα καθώς και την δυνατότητα απόδειξης συμμόρφωσης με τις αρχές του GDPR από τον Υπεύθυνο Επεξεργασίας και τον Εκτελούντα την Επεξεργασία (Α32)
- Η τήρηση Αρχείου Δραστηριοτήτων Επεξεργασίας εγγράφως ή ηλεκτρονικά προς την κατεύθυνση της διαφάνειας και της απόδειξης της συμμόρφωσης από τον Υπεύθυνο Επεξεργασίας και τον Εκτελούντα την Επεξεργασία (Α30)
Προς την κατεύθυνση της Λογοδοσίας οι επιχειρήσεις που δραστηριοποιούνται στον κλάδο της υγείας για να επιτύχουν την συμμόρφωση οφείλουν να λάβουν επιπρόσθετα μέτρα και συγκεκριμένα:
- Τον διορισμό Υπευθύνου Προστασίας Δεδομένων (DPO), ο οποίος θα έχει την ευθύνη παρακολούθησης της συμμόρφωσης της εταιρείας (Α37-39)
- Την πρόβλεψη διαδικασιών γνωστοποίησης παραβίασης δεδομένων. Εντός 72 ωρών πρέπει να γίνει γνωστοποίηση στην Αρχή και στο υποκείμενο των δεδομένων (Α33)
- Την έγκαιρη χαρτογράφηση των δεδομένων και της επεξεργασίας που επιδέχονται (Α30)
- Την θέσπιση διαδικασιών ανταπόκρισης στα αιτήματα των υποκειμένων (Α16-22)
- Η επεξεργασία των δεδομένων πρέπει να διενεργείται με βάση γραπτή σύμβαση που θα καταρτιστεί μεταξύ του Εκτελούντα την Επεξεργασία και του Υπεύθυνου Επεξεργασίας και σύμφωνα με τις καταγεγραμμένες εντολές του τελευταίου. (Α28)
Σύμφωνα με την ομιλία της οι κατηγορίες κυρώσεων διακρίνονται σε τρεις ανάλογα με το είδος της παράβασης. Στο πλαίσιο αυτό υπάρχει καταρχήν η δυνατότητα της Αρχής να απευθύνει προειδοποιήσεις ή να επιβάλλει περιορισμούς. Σε μικρής σημασίας παράβασης προς αποφυγή δυσανάλογης επιβάρυνσης του Υπευθύνου επεξεργασίας υπάρχει η δυνατότητα επιβολής επίπληξης αντί προστίμου. Σε παραβάσεις σημαντικές - όπως παραβίαση των δικαιωμάτων των υποκειμένων ή διαβίβαση δεδομένων σε αποδέκτη τρίτης χώρας ή διεθνή οργανισμό- οι εποπτικές αρχές μπορούν να επιβάλλουν διοικητικά πρόστιμα έως 20 εκατ. ευρώ ή σε περίπτωση επιχειρήσεων έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους.
Oλοκληρώνοντας την παρουσίαση της, η κα. Ι. Μιχαλοπούλου αναφέρθηκε στα βήματα που πρέπει να γίνουν από την πλευρά της φαρμακοβιομηχανίας για την πλήρη συμμορφωσή της στον Κανονισμό. Βήματα οργάνωσης και λειτουργίας, όπως η καταγραφή των κενών συμμόρφωσης, η επικαιροποίηση των εντύπων συγκατάθεσης, η αναμόρφωση της επικοινωνικής πολιτικής, η επικαιροποίηση του τρόπου χρήσης των μέσων κοινωνικής δικτύωσης, η επικαιροποίηση των συμβάσεων με τους εκτελούντες την επεξεργασία, η τήρηση της νομοθεσίας σχετικά με την φαρμακοεπαγρύπνηση, η θωράκιση του τρόπου διαβίβασης των προσωπικών δεδομένων, η οργάνωση του εσωτερικού μηχανισμού χειρισμού καταγγελιών κ.λπ.
{{dname}} - {{date}}
{{body}}
Απάντηση Spam
{{#subcomments}} {{/subcomments}}