Το GDPR φέρνει τον DPO
Πόσο θα δυσκολέψει το marketing και τη διαφήμιση η (υπερ)προστασία δεδομένων προσωπικού χαρακτήρα;
Γράφει η ΣΟΝΙΑ ΧΑΪΜΑΝΤΑ
Με διαφορετικές ταχύτητες ενεργοποιούνται οι εταιρείες που δραστηριοποιούνται στην Ελλάδα, τόσο οι διαφημιζόμενοι όσο και οι διαφημιστικές και τα ΜΜΕ, αναφορικά με την επικείμενη εφαρμογή του Ευρωπαϊκού Κανονισμού για την προστασία δεδομένων (EU GDPR - General Data Protection Regulation). Με ανοικτά όλα τα ζητήματα και με τους θεσμούς να αναλαμβάνουν το βάρος της αποσαφήνισής τους, κεντρικό ζητούμενο είναι να αντιληφθούν όλοι -κυβέρνηση, αγορά και θεσμοί- σε ποιο βαθμό θα επηρεαστούν οι παίκτες και οι πολίτες από έναν κανονισμό που θα ζητεί συμμόρφωση και θα επιβάλλει αυστηρούς κανόνες στην αποθήκευση, επεξεργασία προσωπικών δεδομένων των κατοίκων της Ε.Ε. από τον Μάιο του 2018. Οι έρευνες είναι αποκαλυπτικές: 4 στις 6 επιχειρήσεις αναφέρουν ότι δεν γνωρίζουν ότι ο Κανονισμός θα εφαρμοστεί στις υπάρχουσες δομές τους, ούτε επίσης τον τρόπο με τον οποίο θα επηρεάσει τη λειτουργία τους. Την ίδια στιγμή, οι ίδιες εταιρείες, τα τμήματα marketing, οι νομικές υπηρεσίες, οι υπεύθυνοι διαφήμισης κυρίως στο digital- επιβεβαιώνουν ότι επεξεργάζονται και αποθηκεύουν προσωπικά δεδομένα.
Αυτορρύθμιση μετά τσουχτερών προστίμων
Συνοπτικά θα μπορούσε να πει κανείς ότι ο Κανονισμός εισάγει μια λογική αυτορρύθμισης στο πεδίο της προστασίας των δεδομένων προσωπικού χαρακτήρα όπου την πρωτοβουλία εφαρμογής και συμμόρφωσης έχουν πλέον οι βασικοί παίκτες (υπεύθυνος και εκτελών την επεξεργασία) από μόνοι τους, ενώ ο συναφής εποπτικός έλεγχος διενεργείται κατά βάση κατασταλτικά, αφού αφενός καταργείται η διαδικασία γνωστοποίησης της επεξεργασίας στην εποπτική αρχή και περιορίζεται η συναφής αδειοδότηση και αφετέρου εισάγονται νέες ρυθμιστικές μέθοδοι, εργαλεία και ρόλοι προς ενδυνάμωση της πρόληψης αλλά και δημιουργίας μιας κουλτούρας προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως η τήρηση αρχείων καταγραφής της δραστηριότητας των δεδομένων, η εφαρμογή μέτρων προστασίας δεδομένων ή από το σχεδιασμό και εξ ορισμού, η διενέργεια εκτίμησης αντικτύπου, η προηγούμενη διαβούλευση με την εποπτική αρχή και, πάνω από όλα, ο ορισμός Υπευθύνου Προστασίας Δεδομένων (DPO).
Τι είναι όμως προσωπικά δε- δομένα και γιατί θα δυσκολέψει η ζωή των ανθρώπων του marketing και της επικοινωνίας, που λογικά κάνουν τη δουλειά τους αξιοποιώντας σχετικά στοιχεία; Προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται σε ένα συγκεκριμένο άτομα και το περιγράφει: στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση), φυσικά χαρακτηριστικά (εκπαίδευση, εργασία, εργασιακή συμπεριφορά, ενδιαφέροντα, δραστηριότητες, συνήθειες) αποτελούν μέρος των προσωπικών μας δεδομένων. Στοιχεία που έχουν αυθορμήτως παραχωρήσει οι καταναλωτές, είτε ζητώντας έκδοση τιμολογίου σε ένα ταμείο είτε συμμετέχοντας σε έναν digital διαγωνισμό, με αντάλλαγμα μια δωρεάν πρόσκληση σε event ή ένα δώρο….
Άλλο προσωπικά δεδομένα, άλλο ευαίσθητα προσωπικά δεδομένα
Προσοχή όμως: άλλο είναι τα προσωπικά δεδομένα και άλλο τα ευαίσθητα προσωπικά δεδομένα, που συχνά τα μπερδεύουμε. Ευαίσθητα χαρακτηρίζονται τα προσωπικά δεδομένα ενός ατόμου που αναφέρονται στη φυλετική ή εθνική του προέλευση, στα πολιτικά του φρονήματα, στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις, στη συμμετοχή του σε συνδικαλιστική οργάνωση, στην υγεία του, στην κοινωνική του πρόνοια, στην ερωτική του ζωή, στις ποινικές του διώξεις, στις καταδίκες του, καθώς και στη συμμετοχή σου σε συναφείς ενώσεις προσώπων. Τα ευαίσθητα δεδομένα προστατεύονται ήδη με αυστηρότερες ρυθμίσεις από τα απλά προσωπικά δεδομένα.
Τι εστί επεξεργασία;
Τι σημαίνει όμως επεξεργασία των προσωπικών δεδομένων; Επεξεργασία είναι κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα όπως η συλλογή, καταχώριση, οργάνωση, διατήρηση, αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, συσχέτιση ή συνδυασμός, διασύνδεση, δέσμευση, διαγραφή ή καταστροφή.
Το δικαίωμα στη λήθη
Τα ερωτήματα αυτήν την περίοδο είναι πολλά και ήδη αρκετές εταιρείες τείνουν να ολοκληρώσουν τις απαντήσεις τους και να είναι έτοιμες για τον Μάϊο του 2018, οπότε και θα εφαρμοστεί (;) -άγνωστο σε ποιο βαθμό- ο κανονισμός.
• Κατανόηση κανονισμού GDPR
• Χάρτης συμμόρφωσης
• Διαπίστωση και αναζήτηση χώρου που αποθηκεύονται τα προσωπικά δεδομένα των πελατών/επισκεπτών/αναγνωστών. Όλες αυτές οι κατηγορίες έχουν πλέον τη δυνατότητα, «το δικαίωμα στη λήθη» (The right to be forgotten)
• Σε περίπτωση που μια εταιρεία παρέχει ή δανείζει εξοπλισμό πληροφορικής σε άτομα εντός ή εκτός εταιρείας ή αν έχει παροπλισμένο ή μη χρησιμοποιούμενο εξοπλισμό, πρέπει να αναζητηθεί τρόπος να πιστοποιηθεί ότι τα δεδομένα των προηγούμενων χρηστών έχουν ήδη αφαιρεθεί.
Πότε είναι νόμιμη η επεξεργασία προσωπικών δεδομένων
Σε κάθε περίπτωση, για να είναι νόμιμη η επεξεργασία των προσωπικών δεδομένων ενός φυσικού προσώπου, απαιτείται προηγουμένως το φυσικό αυτό πρόσωπο να έχει ενημερωθεί με σαφήνεια και πληρότητα για τη συγκεκριμένη επεξεργασία και να έχει δώσει τη ρητή και έγγραφη συγκατάθεσή του. Επίσης, πρέπει τα προσωπικά δεδομένα που υφίστανται επεξεργασία, να είναι κατάλληλα, να περιορίζονται στο αναγκαίο, να διαγράφονται μετά την παρέλευση του χρόνου τήρησής τους, να είναι ακριβή, να τηρούνται με τρόπο που εγγυάται την ασφάλειά τους (προστασία από απώλεια, καταστροφή, πρόσβαση χωρίς εξουσιοδότηση κ.λπ).
Και ο λογαριασμός….
Σε περίπτωση παραβίασης υπάρχει κίνδυνος επιβολής από την Ελληνική Αρχή Προστασίας Προσωπικών Δεδομένων διοικητικών προστίμων έως και 20 εκατ. ευρώ ή έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Και τι να κάνουμε;
Ας δούμε όμως τι πρέπει να κάνει κάθε εταιρεία, ελληνική ή πολυεθνική (που δραστηριοποιείται στη χώρα μας αλλά και σε κάθε χώρα της Ε.Ε.)
Βήμα 1
Χαρτογράφηση ροών προσωπικών δεδομένων (data flow mapping)
• Ποια είναι, πώς αποκτήθηκαν και για ποιο σκοπό, σε ποιες κατηγορίες ανήκουν (απλά, ευαίσθητα, δημόσια);
• Ποια είναι τα υποκείμενα των προσωπικών δεδομένων;
• Πού βρίσκονται (Η/Υ, φυσικό αρχείο);
• Ποιος έχει πρόσβαση σε αυτά και σε ποιους θα κοινοποιηθούν;
• Υπάρχει συγκατάθεση;
• Ισχύει ο χρόνος και ο λόγος για την επεξεργασία τους;
• Τηρείται η διαδικασία της καταστροφής τους;
• Ποια τεχνικά και οργανωτικά μέτρα έχουν ληφθεί για την προστασία τους;
Βήμα 2
Εντοπισμός κενών/προβλημάτων, ανάλυση και πρόταση λύσεων (Gap analysis)
Βήμα 3
Εφαρμογή μέτρων και λύσεων
Βήμα 4
Διαρκής υποστήριξη
• Διορισμός υπεύθυνου προστασίας δεδομένων και υποστήριξή του από ομάδα ατόμων
• Διατήρηση αρχείου για κάθε μορφή επεξεργασίας δεδομένων που λαμβάνει χώρα
• Καταγραφή και υιοθέτηση των πολιτικών προστασίας δεδομένων (εφαρμογή σε κάθε δραστηριότητα π.χ. marketing, social media, digital marketing, digital advertising, geolocation, χρήση καμερών).
• Υιοθέτηση πρακτικών για την αντιμετώπιση περιπτώσεων παραβίασης προσωπικών δεδομένων - έλεγχος αποτελεσματικότητας
• Υπογραφή από εργαζομένους και συνεργάτες δήλωσης περί αποδοχής πολιτικών προστασίας προσωπικών δεδομένων
• Ρήτρες περί προσωπικών δεδομένων στις εμπορικές συμβάσεις
• Δικαιώματα πρόσβασης, διόρθωσης, εναντίωσης, περιορισμού επεξεργασίας, φορητότητας δεδομένων κ.ά.
• Εκπαίδευση προσωπικού (σεμινάρια, εκπαιδεύσεις, ενημερωτικά mails, αφίσες, εκδηλώσεις)
• Λήψη μέτρων για προστασία -ασφάλεια προσωπικών δεδομένων (Information security- κρυπτογράφηση, ψευδωνυμοποίηση, τήρηση backup, περιορισμοί στη σύνδεση εξωτερικών συσκευασιών)
• Ενημέρωση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εντός 72 ωρών σε περίπτωση παραβίασης προσωπικών δεδομένων που μπορεί να προκαλέσει κίνδυνο σε δικαιώματα/ελευθερίες φυσικών προσώπων
• Διενέργεια εκτίμησης αντικτύπου, δηλαδή όταν μια επεξεργασία δεδομένων -ιδίως με χρήση νέων τεχνολογιών- ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, τότε ο υπεύθυνος επεξεργασίας διενεργεί πριν από την επεξεργασία εκτίμηση επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας. Εάν από την εκτίμηση αντικτύπου προκύπτει πράγματα υψηλός κίνδυνος, τότε ο υπεύθυνος επεξεργασίας πρέπει να ζητήσει τη γνώμη της αρχής προστασίας δεδομένων προσωπικού χαρακτήρα.
• Πιστοποίηση εταιρείας για τη συμμόρφωσή της με τον GDPR (General Data Protection Regulation) από αρμόδιο φορέα.
Γράφει η ΣΟΝΙΑ ΧΑΪΜΑΝΤΑ
Με διαφορετικές ταχύτητες ενεργοποιούνται οι εταιρείες που δραστηριοποιούνται στην Ελλάδα, τόσο οι διαφημιζόμενοι όσο και οι διαφημιστικές και τα ΜΜΕ, αναφορικά με την επικείμενη εφαρμογή του Ευρωπαϊκού Κανονισμού για την προστασία δεδομένων (EU GDPR - General Data Protection Regulation). Με ανοικτά όλα τα ζητήματα και με τους θεσμούς να αναλαμβάνουν το βάρος της αποσαφήνισής τους, κεντρικό ζητούμενο είναι να αντιληφθούν όλοι -κυβέρνηση, αγορά και θεσμοί- σε ποιο βαθμό θα επηρεαστούν οι παίκτες και οι πολίτες από έναν κανονισμό που θα ζητεί συμμόρφωση και θα επιβάλλει αυστηρούς κανόνες στην αποθήκευση, επεξεργασία προσωπικών δεδομένων των κατοίκων της Ε.Ε. από τον Μάιο του 2018. Οι έρευνες είναι αποκαλυπτικές: 4 στις 6 επιχειρήσεις αναφέρουν ότι δεν γνωρίζουν ότι ο Κανονισμός θα εφαρμοστεί στις υπάρχουσες δομές τους, ούτε επίσης τον τρόπο με τον οποίο θα επηρεάσει τη λειτουργία τους. Την ίδια στιγμή, οι ίδιες εταιρείες, τα τμήματα marketing, οι νομικές υπηρεσίες, οι υπεύθυνοι διαφήμισης κυρίως στο digital- επιβεβαιώνουν ότι επεξεργάζονται και αποθηκεύουν προσωπικά δεδομένα.
Αυτορρύθμιση μετά τσουχτερών προστίμων
Συνοπτικά θα μπορούσε να πει κανείς ότι ο Κανονισμός εισάγει μια λογική αυτορρύθμισης στο πεδίο της προστασίας των δεδομένων προσωπικού χαρακτήρα όπου την πρωτοβουλία εφαρμογής και συμμόρφωσης έχουν πλέον οι βασικοί παίκτες (υπεύθυνος και εκτελών την επεξεργασία) από μόνοι τους, ενώ ο συναφής εποπτικός έλεγχος διενεργείται κατά βάση κατασταλτικά, αφού αφενός καταργείται η διαδικασία γνωστοποίησης της επεξεργασίας στην εποπτική αρχή και περιορίζεται η συναφής αδειοδότηση και αφετέρου εισάγονται νέες ρυθμιστικές μέθοδοι, εργαλεία και ρόλοι προς ενδυνάμωση της πρόληψης αλλά και δημιουργίας μιας κουλτούρας προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως η τήρηση αρχείων καταγραφής της δραστηριότητας των δεδομένων, η εφαρμογή μέτρων προστασίας δεδομένων ή από το σχεδιασμό και εξ ορισμού, η διενέργεια εκτίμησης αντικτύπου, η προηγούμενη διαβούλευση με την εποπτική αρχή και, πάνω από όλα, ο ορισμός Υπευθύνου Προστασίας Δεδομένων (DPO).
Τι είναι όμως προσωπικά δε- δομένα και γιατί θα δυσκολέψει η ζωή των ανθρώπων του marketing και της επικοινωνίας, που λογικά κάνουν τη δουλειά τους αξιοποιώντας σχετικά στοιχεία; Προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται σε ένα συγκεκριμένο άτομα και το περιγράφει: στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση), φυσικά χαρακτηριστικά (εκπαίδευση, εργασία, εργασιακή συμπεριφορά, ενδιαφέροντα, δραστηριότητες, συνήθειες) αποτελούν μέρος των προσωπικών μας δεδομένων. Στοιχεία που έχουν αυθορμήτως παραχωρήσει οι καταναλωτές, είτε ζητώντας έκδοση τιμολογίου σε ένα ταμείο είτε συμμετέχοντας σε έναν digital διαγωνισμό, με αντάλλαγμα μια δωρεάν πρόσκληση σε event ή ένα δώρο….
Άλλο προσωπικά δεδομένα, άλλο ευαίσθητα προσωπικά δεδομένα
Προσοχή όμως: άλλο είναι τα προσωπικά δεδομένα και άλλο τα ευαίσθητα προσωπικά δεδομένα, που συχνά τα μπερδεύουμε. Ευαίσθητα χαρακτηρίζονται τα προσωπικά δεδομένα ενός ατόμου που αναφέρονται στη φυλετική ή εθνική του προέλευση, στα πολιτικά του φρονήματα, στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις, στη συμμετοχή του σε συνδικαλιστική οργάνωση, στην υγεία του, στην κοινωνική του πρόνοια, στην ερωτική του ζωή, στις ποινικές του διώξεις, στις καταδίκες του, καθώς και στη συμμετοχή σου σε συναφείς ενώσεις προσώπων. Τα ευαίσθητα δεδομένα προστατεύονται ήδη με αυστηρότερες ρυθμίσεις από τα απλά προσωπικά δεδομένα.
Τι εστί επεξεργασία;
Τι σημαίνει όμως επεξεργασία των προσωπικών δεδομένων; Επεξεργασία είναι κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα όπως η συλλογή, καταχώριση, οργάνωση, διατήρηση, αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, συσχέτιση ή συνδυασμός, διασύνδεση, δέσμευση, διαγραφή ή καταστροφή.
Το δικαίωμα στη λήθη
Τα ερωτήματα αυτήν την περίοδο είναι πολλά και ήδη αρκετές εταιρείες τείνουν να ολοκληρώσουν τις απαντήσεις τους και να είναι έτοιμες για τον Μάϊο του 2018, οπότε και θα εφαρμοστεί (;) -άγνωστο σε ποιο βαθμό- ο κανονισμός.
• Κατανόηση κανονισμού GDPR
• Χάρτης συμμόρφωσης
• Διαπίστωση και αναζήτηση χώρου που αποθηκεύονται τα προσωπικά δεδομένα των πελατών/επισκεπτών/αναγνωστών. Όλες αυτές οι κατηγορίες έχουν πλέον τη δυνατότητα, «το δικαίωμα στη λήθη» (The right to be forgotten)
• Σε περίπτωση που μια εταιρεία παρέχει ή δανείζει εξοπλισμό πληροφορικής σε άτομα εντός ή εκτός εταιρείας ή αν έχει παροπλισμένο ή μη χρησιμοποιούμενο εξοπλισμό, πρέπει να αναζητηθεί τρόπος να πιστοποιηθεί ότι τα δεδομένα των προηγούμενων χρηστών έχουν ήδη αφαιρεθεί.
Πότε είναι νόμιμη η επεξεργασία προσωπικών δεδομένων
Σε κάθε περίπτωση, για να είναι νόμιμη η επεξεργασία των προσωπικών δεδομένων ενός φυσικού προσώπου, απαιτείται προηγουμένως το φυσικό αυτό πρόσωπο να έχει ενημερωθεί με σαφήνεια και πληρότητα για τη συγκεκριμένη επεξεργασία και να έχει δώσει τη ρητή και έγγραφη συγκατάθεσή του. Επίσης, πρέπει τα προσωπικά δεδομένα που υφίστανται επεξεργασία, να είναι κατάλληλα, να περιορίζονται στο αναγκαίο, να διαγράφονται μετά την παρέλευση του χρόνου τήρησής τους, να είναι ακριβή, να τηρούνται με τρόπο που εγγυάται την ασφάλειά τους (προστασία από απώλεια, καταστροφή, πρόσβαση χωρίς εξουσιοδότηση κ.λπ).
Και ο λογαριασμός….
Σε περίπτωση παραβίασης υπάρχει κίνδυνος επιβολής από την Ελληνική Αρχή Προστασίας Προσωπικών Δεδομένων διοικητικών προστίμων έως και 20 εκατ. ευρώ ή έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Και τι να κάνουμε;
Ας δούμε όμως τι πρέπει να κάνει κάθε εταιρεία, ελληνική ή πολυεθνική (που δραστηριοποιείται στη χώρα μας αλλά και σε κάθε χώρα της Ε.Ε.)
Βήμα 1
Χαρτογράφηση ροών προσωπικών δεδομένων (data flow mapping)
• Ποια είναι, πώς αποκτήθηκαν και για ποιο σκοπό, σε ποιες κατηγορίες ανήκουν (απλά, ευαίσθητα, δημόσια);
• Ποια είναι τα υποκείμενα των προσωπικών δεδομένων;
• Πού βρίσκονται (Η/Υ, φυσικό αρχείο);
• Ποιος έχει πρόσβαση σε αυτά και σε ποιους θα κοινοποιηθούν;
• Υπάρχει συγκατάθεση;
• Ισχύει ο χρόνος και ο λόγος για την επεξεργασία τους;
• Τηρείται η διαδικασία της καταστροφής τους;
• Ποια τεχνικά και οργανωτικά μέτρα έχουν ληφθεί για την προστασία τους;
Βήμα 2
Εντοπισμός κενών/προβλημάτων, ανάλυση και πρόταση λύσεων (Gap analysis)
Βήμα 3
Εφαρμογή μέτρων και λύσεων
Βήμα 4
Διαρκής υποστήριξη
• Διορισμός υπεύθυνου προστασίας δεδομένων και υποστήριξή του από ομάδα ατόμων
• Διατήρηση αρχείου για κάθε μορφή επεξεργασίας δεδομένων που λαμβάνει χώρα
• Καταγραφή και υιοθέτηση των πολιτικών προστασίας δεδομένων (εφαρμογή σε κάθε δραστηριότητα π.χ. marketing, social media, digital marketing, digital advertising, geolocation, χρήση καμερών).
• Υιοθέτηση πρακτικών για την αντιμετώπιση περιπτώσεων παραβίασης προσωπικών δεδομένων - έλεγχος αποτελεσματικότητας
• Υπογραφή από εργαζομένους και συνεργάτες δήλωσης περί αποδοχής πολιτικών προστασίας προσωπικών δεδομένων
• Ρήτρες περί προσωπικών δεδομένων στις εμπορικές συμβάσεις
• Δικαιώματα πρόσβασης, διόρθωσης, εναντίωσης, περιορισμού επεξεργασίας, φορητότητας δεδομένων κ.ά.
• Εκπαίδευση προσωπικού (σεμινάρια, εκπαιδεύσεις, ενημερωτικά mails, αφίσες, εκδηλώσεις)
• Λήψη μέτρων για προστασία -ασφάλεια προσωπικών δεδομένων (Information security- κρυπτογράφηση, ψευδωνυμοποίηση, τήρηση backup, περιορισμοί στη σύνδεση εξωτερικών συσκευασιών)
• Ενημέρωση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εντός 72 ωρών σε περίπτωση παραβίασης προσωπικών δεδομένων που μπορεί να προκαλέσει κίνδυνο σε δικαιώματα/ελευθερίες φυσικών προσώπων
• Διενέργεια εκτίμησης αντικτύπου, δηλαδή όταν μια επεξεργασία δεδομένων -ιδίως με χρήση νέων τεχνολογιών- ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, τότε ο υπεύθυνος επεξεργασίας διενεργεί πριν από την επεξεργασία εκτίμηση επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας. Εάν από την εκτίμηση αντικτύπου προκύπτει πράγματα υψηλός κίνδυνος, τότε ο υπεύθυνος επεξεργασίας πρέπει να ζητήσει τη γνώμη της αρχής προστασίας δεδομένων προσωπικού χαρακτήρα.
• Πιστοποίηση εταιρείας για τη συμμόρφωσή της με τον GDPR (General Data Protection Regulation) από αρμόδιο φορέα.
