• 1

Πιστοποιητικό Συμμόρφωσης Ευρωπαϊκού κανονισμού Προστασίας Γενικών Δεδομένων (GDPR)

logo gia Man

Πιστοποιητικό Συμμόρφωσης SWISS APPROVAL

Το πιστοποιητικό συμμόρφωσης SWISS APPROVAL βασίζεται στις απαιτήσεις του Νέου Ευρωπαϊκού Κανονισμού για την Προστασία Γενικών Δεδομένων (GDPR), ο οποίος ψηφίστηκε στις 27 Απριλίου 2016 και τίθεται σε ισχύ με σημαντικές αλλαγές σε σχέση με το προηγούμενο εφαρμοζόμενο πλαίσιο, που με τη σειρά του θα οδηγήσει σε λειτουργικές αλλαγές στις επιχειρήσεις/οργανισμούς, σε διαρθρωτικές απαιτήσεις αλλά και σε αλλαγές στην κουλτούρα διαχείρισης πληροφοριών.

Προκειμένου να διασφαλιστεί η πλήρης συμμόρφωση με το νέο Κανονισμό, τόσο οι πολίτες όσο και οι νομικές οντότητες (οργανισμοί, εταιρείες, επιχειρήσεις) πρέπει να ενημερωθούν επαρκώς και, ιδίως σε ό,τι αφορά τις επιχειρήσεις, θα πρέπει να καταρτίσουν και να θέσουν σε εφαρμογή σχέδιο δράσης για την κάλυψη ενδεχόμενων λειτουργικών κενών σύμφωνα με τις νέες απαιτήσεις του νομικού πλαισίου.

Η ΕΕ στοχεύει στην ενίσχυση του ελέγχου των προσωπικών δεδομένων από τους ίδιους τους πολίτες, αλλά στον προσδιορισμό  των αρχών διατήρησης και ανάκτησής τους. Οι επιχειρήσεις/οργανισμοί έχουν χρονικό περιθώριο έως τον Μάιο του 2018 για να προετοιμαστούν και να συμμορφωθούν πλήρως με το νέο πλαίσιο. Για να δείτε το Νέο Κανονισμό στα Ελληνικά κάντε κλικ ΕΔΩ.

Η Swiss Approval, μέσω της εξειδικευμένης ομάδας εμπειρογνωμόνων που διαθέτει, παρέχει την υπηρεσία ελέγχου συμμόρφωσης σύμφωνα με τους όρους του GDPR και δύναται να εκδώσει πιστοποιητικά συμμόρφωσης εφόσον έχουν επιτευχθεί όλες οι προσαρμογές στο νέο κανονιστικό πλαίσιο από την ενδιαφερόμενη επιχείρηση/οργανισμό.

Τα πιστοποιητικά συμμόρφωσης της SWISS APPROVAL διασφαλίζουν ότι οι Απαιτήσεις του Κανονισμού:

  • Έχουν Αναπτυχθεί και Υπάρχουν διαθέσιμες και προσαρμοσμένες στο συγκεκριμένο αντικείμενο εργασιών της επιχείρησης,
  • Λειτουργούν πραγματικά στην καθημερινότητα της επιχείρησης, 
  • Έχουν πλήρως κατανοηθεί απο το εμπλεκόμενο προσωπικό, και τέλος,
  • Αναγνώριση της επάρκειας του DPO, του λεγόμενου Data Protection Officer της επιχείρησης, έναντι των απαιτήσεων του εν λόγω κανονισμού, χωρίς να είναι απαραίτητη η φερόμενη ως "υποχρεωτική" εκπαίδευση του, αφού κατά την διάρκεια της επιθεώρησης ταυτοποιείται η επάρκειά του απο την Ομάδα Επιθεώρησης, και αναγνωρίζεται έναντι οποιουδήποτε Τρίτου μέρους, η ικανή και αναγκαία καταλληλότητά του, εντός της εταιρείας.

Ουσιαστικές μεταβολές στην Αγορά λόγω GDPR

 Οι εταιρείες πλέον θα έχουν να κάνουν όχι με μια γραφειοκρατική πανσπερμία διαφορετικών εθνικών κανονισμών, αλλά με ενιαίους πανευρωπαϊκούς και προβλέψιμους κανόνες. Αυτό θα διευκολύνει, σύμφωνα με την Ευρωπαϊκή Επιτροπή, τις διεθνείς ψηφιακές συναλλαγές και την επέκταση σε άλλες χώρες και νέες αγορές, ιδίως όσον αφορά τις μικρότερες εταιρείες. Οι κανόνες θα είναι ίδιοι για τις εγκατεστημένες στην ΕΕ εταιρείες και για όσες έχουν έδρα εκτός ΕΕ (π.χ. ΗΠΑ), αλλά λειτουργούν στην ΕΕ.

Εκτιμάται, ότι η αύξηση της εμπιστοσύνης των καταναλωτών χάρη στους νέους κανόνες προστασίας των προσωπικών δεδομένων, τελικά θα ωφελήσει οικονομικά τις Μικρομεσαίες κυρίως εταιρείες.

Άποψη που εμείς εδώ στην SWISS APPROVAL δεν συμμεριζόμαστε απολύτως, καθότι θα αναδειχθεί πλέον ως αποκλειστικό κανάλι επικοινωνίας μιας επιχείρησης με τους δυνητικούς πελάτες της η Google είτε άλλοι παρόμοιοι πάροχοι, αφού το direct marketing που ευνοούσε την επαφή των μικρών επειχηρήσεων με τους δυνητικούς πελάτες σε χαμηλό κόστος, θα περιοριστεί σημαντικά εξαιτίας των περιορισμών στη χρήση των προσωπικών δεδομένων. Ο ισχυρότερος οικονομικά πλέον, που θα δαπανά το υψηλότερο "Κόστος ανα Κλίκ", θα προηγείται στις προτιμήσεις της αγοράς, με αποτέλεσμα η βιωσιμότητα των μικρομεσαίων επιχειρήσεων και δικτύων διανομής Προϊόντων και Υπηρεσιών, να απειληθεί εμπράκτως στο μέλλον.  

Η Πιστοποίηση των Επιχειρήσεων, έναντι των απαιτήσεων του Κανονισμού GDPR, και η Συνεισφορά στη βιωσιμότητα και οργάνωση της Μικρομεσαίας και Μεγάλης Επιχείρησης

Ευτυχώς ή Δυστυχώς, η βιωσιμότητα μιας Μικρομεσαίας Επιχείρησης ή ακόμη και μεγαλύτερης επιχείρησης, σε μακροχρόνιο ορίζοντα, εξαρτάται πλεόν απο την Πιστοποίησή της ότι συμμορφώνεται με τις απαιτήσεις του Κανονισμού GDPR.

Όπως αναλύθηκε και παραπάνω, οι Μικρομεσαίες επιχειρήσεις θα βρεθούν αντιμέτωπες με αύξηση των δαπανών διαφήμισης και προώθησης προϊόντων και υπηρεσιών, αφού το λεγόμενο Direct Marketing με τον τρόπο που το γνωρίζαμε ως σήμερα, θα αποτελεί πλέον κύριο παράγοντα απειλής με την μορφή βιομηχανίας αγωγών από υποψήφιους "θιγόμενους" καταναλωτές, με δεδομένο μάλιστα το εξαντλητικό ύψος των προβλεπόμενων προστίμων από τις Εθνικές Αρχές.

Η λύση όμως δεν έγκειται στην εγκατάλειψη των χαμηλού κόστους μεθόδων marketing, προώθησης και πωλήσεων, αλλά στη θωράκιση της επιχείρησης έναντι των κινδύνων που απορρέουν από την εφαρμογή του Κανονισμού, δίνοντας έμφαση στην ορθολογική διαχείριση του υφιστάμενου πελατολογίου, στοχεύοντας μάλιστα σε συνειδητοποιημένους καταναλωτές και ώριμους κοινωνικά πολίτες.

Η Πιστοποίηση Συμμόρφωσης στις προβλέψεις και απαιτήσεις του GDPR, αποτελεί το Ευρωπαϊκό Διαβατήριο για τη διασφάλιση των Νομικών Προσώπων, την υποστήριξη των διεθνών συνεργασιών και κατ’ επέκταση τη βιωσιμότητά τους.

Η Επιθεώρηση και ο Έλεγχος των επιχειρήσεων από Διεθνείς Φορείς Πιστοποίησης, διασφαλίζει σε υψηλό βαθμό, την πραγματική προσαρμογή της Επιχείρησης στις απαιτήσεις του κανονισμού, και την ουσιαστική και εποικοδομητική προσαρμοσμένη στο αντικείμενό της, εφαρμοσμένων μέτρων προσαρμογής.

 Στην πρώτη χρονική περίοδο εφαρμογής του Κανονισμού, στην Ελληνική κυρίως αγορά, επικρατεί ένα χάος προσφερόμενων συμβουλευικών υπηρεσιών, αμφιβόλου ποιότητας, και εξαιρετικά υψηλού κόστους στις περισσότερες περιπτώσεις.
Υψηλού κόστους, αναντίστοιχου του πραγματικού επιπέδου της παρεχόμενης τεχνογνωσίας, αφού παρατηρείται σε ευρύ φάσμα περιπτώσεων, η λεγόμενη COPY/PASTE συμβουλευτική υπηρεσία.
 
Η πραγματικότητα στο επόμενο διάστημα θα είναι εξαιρετικά δυσάρεστη.
Επιχειρήσεις που μάλιστα δαπάνησαν υψηλά κατά περίπτωση ποσά για την προετοιμασία τους έναντι των απαιτήσεων του Κανονισμού GDPR, θα βρεθούν αντιμέτωπες με προσφυγές Φυσικών Προσώπων, και με έκπληξη θα ανακαλύψουν τις λεγόμενες "τρύπες" στο δομημένο σύστημα προστασίας προσωπικών δεδομένων που εφαρμόζουν. 
 
Η Επιθεώρηση και ο Έλεγχος των επιχειρήσεων απο Αρμόδιους Φορείς Πιστοποίησης, διασφαλίζει σε υψηλό βαθμό, την πραγματική προσαρμογή της Επιχείρησης στις απαιτήσεις του κανονισμού, κυρίως μέσω του εντοπισμού πάσης φύσεως "λειτουργικών κενών".
Με τον τρόπο αυτό, επιτυγχάνεται η ουσιαστική και επικοδομητική προσαρμογή των απαιτήσεων του Κανονισμού, με εξατομικευμένο τρόπο, στο αντικείμενό των εργασιών της Εταιρείας, 
 
____________________________________________________

 

10 + 1 Ερωτήσεις και Απαντήσεις, διατυπωμένες με απλό τρόπο, για την κατανόηση των απαιτήσεων του Κανονισμού GDPR και του ρόλου της Πιστοποίησης.

Σημαντικές αλλαγές θα υπάρξουν από την Παρασκευή 25 Μαΐου στην Ελλάδα και στις άλλες χώρες της Ευρωπαϊκής Ένωσης, με την εφαρμογή του νέου ευρωπαϊκού Γενικού Κανονισμού για την Προστασία των Δεδομένων.
Η Swiss Approval δίνει ένα γενικό πλαίσιο πληροφόρησης, που θα βοηθήσει τον επισκέπτη της σελίδας μας, να κατανοήσει καλύτερα καλύτερα τις επερχόμενες αλλαγές.
 
Στα πλάισια της Εταιρικής Κοινωνικής μας Ευθύνης, η SWISS APPROVAL TECHNISCHE BEWERTUNG διαθέτει μόνιμο Νομικό και Τεχνικό προσωπικό, για να παρέχει διευκρινήσεις αποκλειστικά σε Νομικά Πρόσωπα, αναφορικά με ζητήματα Ερμηνείας του Κανονισμού και των πλεονεκτημάτων της Πιστοποίησης των Νομικών Προσώπων, στα πλαίσια της εφαρμογής αυτού.
 
1. Τι αφορά και ποιούς καλύπτει ο νέος Κανονισμός;
Ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) της ΕΕ ρυθμίζει την επεξεργασία από Φυσικά Πρόσωπα, Εταιρείες ή Οργανισμούς, των δεδομένων προσωπικού χαρακτήρα που αφορούν αποκλειστικά Φυσικά Πρόσωπα (και όχι εταιρείες) εντός της ΕΕ.
Ρητά ορίζεται ότι Δεν Υπάγεται σε αυτόν τον Κανονισμό, η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποθανόντων προσώπων ή Νομικών Προσώπων.
 
2. Πότε δεν θα εφαρμόζεται ο κανονισμός;
Οι νέοι κανόνες δεν εφαρμόζονται σε δεδομένα που υποβάλλονται σε επεξεργασία από ένα άτομο για αυστηρά προσωπικούς λόγους ή για δραστηριότητες που διενεργούνται κατ' οίκον, εφόσον δεν συνδέονται με επαγγελματική ή εμπορική δραστηριότητα. Δεν θα εφαρμόζονται αν π.χ. ένα άτομο χρησιμοποιεί το ιδιωτικό του βιβλίο διευθύνσεων για να προσκαλέσει φίλους μέσω ηλεκτρονικού μηνύματος σε μια γιορτή που διοργανώνει (ισχύει η εξαίρεση των οικιακών δραστηριοτήτων).
 
3. Ποια θεωρούνται δεδομένα προσωπικού χαρακτήρα; 
Τα δεδομένα προσωπικού χαρακτήρα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα.
Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα, αλλά τα οποία μπορούν να χρησιμοποιηθούν για την επαναταυτοποίηση ενός ατόμου, παραμένουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ.
Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα έτσι ώστε το άτομο να μην είναι ταυτοποιήσιμο, δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη.
Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Είναι τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία. Επίσης, δεν έχει σημασία ο τρόπος που αποθηκεύονται τα δεδομένα - σε ψηφιακή ή έντυπη μορφή.
 
4. Ποιά είναι χαρακτηριστικά παραδείγματα δεδομένων προσωπικού χαρακτήρα και ποιά όχι;
- Το Όνομα και Επώνυμο,
- Η Διεύθυνση κατοικίας,
- Ο Αριθμός Ταυτότητας,
- Η Προσωπική Ηλεκτρονική διεύθυνση (e-mail),
- Ο αναγνωριστικός αριθμός τραπεζικής κάρτας,
- Τα δεδομένα τοποθεσίας (π.χ. GPS σε κινητό τηλέφωνο),
- Η διεύθυνση διαδικτυακού πρωτοκόλλου (IP) και,
- Τα δεδομένα υγείας που φυλάσσονται από νοσοκομείο ή γιατρό.
 
Παραδείγματα δεδομένων που δεν θεωρούνται προσωπικού χαρακτήρα, είναι ο αριθμός μητρώου εταιρείας, η εταιρική ηλεκτρονική διεύθυνση του τύπου «Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε.» και κάθε είδους ανώνυμα δεδομένα.
 
5. Τι αποτελεί επεξεργασία δεδομένων;
Ο όρος «επεξεργασία» καλύπτει ένα ευρύ φάσμα πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα, είτε με χειροκίνητα είτε με αυτοματοποιημένα μέσα. Περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.
Παραδείγματα επεξεργασίας αποτελούν:
- Η διαχείριση προσωπικού και η μισθοδοσία,
- Η προσπέλαση/αναζήτηση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα,
- Η αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων,
- Η δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου σε ιστότοπο,
- Η αποθήκευση διευθύνσεων IP, και,
- Η μαγνητοσκόπηση με τηλεόραση κλειστού κυκλώματος.
 
6. Θα δει αλλαγές ο χρήστης στο Διαδίκτυο μετά τις 25 Μαΐου 2018;
Αναμφισβητητα Όχι αισθητές.
Μια αλλαγή για όσους ζουν στην ΕΕ, θα είναι ότι θα βλέπουν πια να τους «ακολουθούν» λιγότερες online διαφημίσεις μετά από κάποια ηλεκτρονική αγορά τους. Με τους νέους κανόνες, θα γίνει πιο δύσκολη η στοχευμένη ηλεκτρονική διαφήμιση που παίρνει «κατά πόδας» τον χρήστη από ιστοσελίδα σε ιστοσελίδα που επισκέπτεται, καθώς θα είναι πιο δύσκολο για τις εταιρείες να συλλέγουν και να πουλάνε πληροφορίες για τις διαδικτυακές συνήθειες των χρηστών, αφού πρώτα πάρουν την άδεια τους. Έτσι, η online διαφήμιση στην Ευρώπη θα τείνει να γίνει πιο γενική, όπως αυτή στην τηλεόραση, και όχι τόσο στοχευμένη όπως στις ΗΠΑ.
 
7. Ποια θα είναι τα νέα δικαιώματα των χρηστών;
- Θα έχουν το δικαίωμα να λαμβάνουν σαφείς και κατανοητές πληροφορίες για το ποιός επεξεργάζεται τα προσωπικά δεδομένα τους και γιατί.
- Θα μπορούν να ζητούν από όλες τις εταιρείες να έχουν οι ίδιοι πρόσβαση και να μαθαίνουν ποιά ακριβώς στοιχεία οι εταιρείες διατηρούν γι' αυτούς.
 - Θα έχουν επίσης το δικαίωμα στη «λήθη», δηλαδή, αν θέλουν, θα απαιτούν αυτά τα δεδομένα να διαγραφούν από τις βάσεις δεδομένων των εταιρειών. Αυτό δεν θα αφορά μόνο τις εταιρείες τεχνολογίας (π.χ. Facebook ή Google), αλλά τράπεζες, καταστήματα λιανεμπορίου και οποιαδήποτε άλλη εταιρεία ή οργανισμό κρατά προσωπικά δεδομένα, του εργοδότη συμπεριλαμβανομένου. Για παράδειγμα, θα μπορεί κανείς, αν δεν είναι δημόσιο πρόσωπο, να ζητήσει από μία μηχανή αναζήτησης (π.χ. Google) να διαγράψει τους συνδέσμους (links), όπως ένα άρθρο εφημερίδας, που αναφέρονται σε μια προσωπική υπόθεση του παρελθόντος.
Αν, αντίστροφα, online προσωπικά δεδομένα χαθούν ή κλαπούν, η εταιρεία πρέπει μέσα σε 72 ώρες να ενημερώσει το άτομο και, αν δεν το κάνει, κινδυνεύει με πρόστιμο. Εάν κάποιος έχει υποστεί ζημία, μπορεί επίσης να ζητήσει αποζημίωση προσφεύγοντας στη δικαιοσύνη. Με δεδομένες τις συχνές κυβερνοεπιθέσεις χάκερ κατά εταιρειών, γίνεται αντιληπτή η σημασία αυτού του δικαιώματος.

Αν ο χρήστης-πολίτης υποψιάζεται ότι γίνεται κατάχρηση στη συλλογή δεδομένων που τον αφορούν, μπορεί να προσφύγει στην αρμόδια εθνική αρχή προστασίας προσωπικών δεδομένων, η οποία υποχρεούται να ερευνήσει το ζήτημα. Οι πολίτες μπορούν να προσφύγουν και ομαδικά εναντίον κάποιας εταιρείας, κάτι που έως τώρα ήταν ασυνήθιστο στην Ευρώπη, αντίθετα με τις ΗΠΑ.

Οργανώσεις πολιτών μπορούν να προσφύγουν για λογαριασμό ομάδων πολιτών. Αν μία υπόθεση κερδηθεί, αναμένεται να δημιουργηθεί νομικό προηγούμενο και για άλλες υποθέσεις, κάτι που θα αναγκάσει τις εταιρείες να πάρουν το ζήτημα της ιδιωτικότητας πιο σοβαρά.
 
Επίσης, δίνεται το δικαίωμα της «φορητότητας δεδομένων», δηλαδή δεν θα επιτρέπεται τα δεδομένα ενός προσώπου να «κλειδώνονται» σε μια εταιρεία ή πάροχο υπηρεσιών. Οι εταιρείες είναι υποχρεωμένες να επιτρέπουν στο χρήστη-καταναλωτή να «κατεβάζει» τα προσωπικά δεδομένα του και να τα μεταφέρει σε ανταγωνιστική εταιρεία, είτε πρόκειται για οικονομικά στοιχεία από τράπεζα σε τράπεζα, είτε για τη μεταφορά μιας playlist τραγουδιών από το Spotify σε ανταγωνιστική μουσική υπηρεσία streaming.
 
8. Οι χρήστες-καταναλωτές έχουν καταλάβει τι γίνεται;
Οι περισσότεροι όχι δυστυχώς.
Ήδη αρκετές εταιρείες ενημερώνουν με e-mail και άλλους τρόπους τους χρήστες για τη νέα πολιτική τους σχετικά με τα προσωπικά δεδομένα, αλλά ο νόμος επιβάλλει οι όροι να είναι γραμμένοι απλά και όχι νομικίστικα, κάτι που συχνά δεν συμβαίνει. Επίσης οι εταιρείες πρέπει να δίνουν στον καθένα την επιλογή να μπλοκάρει τη συλλογή πληροφοριών που τον αφορούν. Όμως συχνά οι χρήστες συναινούν βιαστικά, χωρίς να καταλαβαίνουν και χωρίς να αξιοποιούν τις νέες δυνατότητες που έχουν.
 
9. Εκτός από τους χρήστες, οι εταιρείες έχουν κάτι να ωφεληθούν από τους νέους κανόνες;
Οι εταιρείες πλέον θα έχουν να κάνουν όχι με μια γραφειοκρατική πανσπερμία διαφορετικών εθνικών κανονισμών, αλλά με ενιαίους πανευρωπαϊκούς και προβλέψιμους κανόνες.
Αυτό θα διευκολύνει, σύμφωνα με την Ευρωπαϊκή Επιτροπή, τις διεθνείς ψηφιακές συναλλαγές και την επέκταση σε άλλες χώρες και νέες αγορές, ιδίως όσον αφορά τις μικρότερες εταιρείες. Οι κανόνες θα είναι ίδιοι για τις εγκατεστημένες στην ΕΕ εταιρείες και για όσες έχουν έδρα εκτός ΕΕ (π.χ. ΗΠΑ), αλλά λειτουργούν στην ΕΕ.
 
Εκτιμάται, ότι η αύξηση της εμπιστοσύνης των καταναλωτών χάρη στους νέους κανόνες προστασίας των προσωπικών δεδομένων, τελικά θα ωφελήσει οικονομικά τις Μικρομεσαίες κυρίως εταιρείες.
 
Άποψη που εμείς εδώ στην SWISS APPROVAL δεν συμεριζόμαστε απολύτως, καθότι θα αναδειχθεί πλέον ως αποκλειστικό κανάλι επικοινωνίας μιας επιχείρησης με τους δυνητικούς πελάτες της η Google είτε άλλοι παρόμιοι πάροχοι, αφού το direct marketing που ευνοούσε την επαφή των μικρών επειχηρήσεων με τους δυνητικούς πελάτες σε χαμηλό κόστος, τελείωσε. Ο ισχυρότερος οικονομικά πλέον, που θα δαπανά το υψηλότερο "Κόστος ανα Κλίκ", θα προηγείται στις προτιμήσεις της αγοράς, με αποτέλεσμα η βιωσιμότητα των μικρομεσαίων επιχειρήσεων και δικτύων διανομής Προϊόντων και Υπηρεσιών, να απειληθεί εμπράκτως στο μέλλον.  
 
10. Πόσο αποτελεσματικός θα είναι ο νέος Κανονισμός στην πράξη;
Είναι πολύ νωρίς να εκτιμήσει κανείς, ίσως χρειασθούν χρόνια.
Πολλά θα εξαρτηθούν από το πόσο αυστηρά οι Εθνικές Εποπτικές αρχές θα εφαρμόσουν τους νέους κανόνες. Δυστυχώς, μια πρόσφατη έρευνα του πρακτορείου Ρόιτερς μεταξύ των ρυθμιστικών αρχών των χωρών της ΕΕ, κατέληξε στο συμπέρασμα ότι πολλοί από αυτούς τους ανεξάρτητους φορείς δεν είναι έτοιμοι ακόμη.

Δημοσιογραφικές πληροφορίες αναφέρους επίσης, ότι προβλέπονται μαζικές καταγγελίες απο Φυσικά Πρόσωπα στην εκάστοτε Εθνική Αρχή για παραβίαση των προβλέψεων του κανονισμού, και το γεγονός αυτό θα είναι το έναυσμα για την αυστηρότερη τήρηση του Κανονισμού εκ μέρους των Επιχειρήσεων, αλλά ταυτόχρονα και για την άρτια προετοιμασία των ιδίων των Εθνικών Αρχών, αφού οι 17 από τις 24 Αρχές που απάντησαν σε σχετικά ερωτήματα, δήλωσαν ότι είτε δεν έχουν την αναγκαία χρηματοδότηση, είτε επαρκές προσωπικό, είτε τις αναγκαίες εξουσίες για να εφαρμόσουν τους νέους κανόνες

10 + 1. Πόσο σημαντική θεωρείται στήν Πράξη, η Πιστοποίηση των Επιχειρήσεων, έναντι των απαιτήσεων του Κανονισμού GDPR;
Ευτυχώς ή Δυστυχώς, η βιωσιμώτητα μιας Μικρομεσαίας Επιχείρησης σε μακροχρόνιο ορίζοντα, εξαρτάται πλεόν απο την Πιστοποίησή της ότι συμμορφώνεται με τις απαιτήσεις του Κανονισμού GDPR.
 
Στο Ερώτημα 9 ανωτέρω, αναλύσαμε την συλλογιστική σύμφωνα με την οποία οι Μικρομεσαίαες επιχειρήσεις θα βρεθούν αντιμέτωπες με αύξηση των δαπανών διαφήμισης και προώθησης προϊόντων και υπηρεσιών, αφού το λεγόμενο Direct Marketing με τον τρόπο που το γνωρίζαμε ως σήμερα, θα αποτελεί πλέον κύριο παράγοντα απειλής με την μορφή βιομηχανίας αγωγών απο "θιγόμενους" καταναλωτές, με δεδομένο μάλιστα το εξαντλητικό ύψος των προβλεπομένων προστίμων απο τις Εθνικές Αρχές.
Η λύση όμως δεν έγκειται στην εγκατάλλειψη των χαμηλού κόστους μεθόδων marketing, προώθησης και πωλήσεων, αλλά στην θωράκιση της επιχείρησης έναντι των κινδύνων που απορρέουν απο την εφαρμογή του Κανονισμού.
Και η Πιστοποίηση GDPR, αποτελεί το Ευρωπαϊκό Διαβατήριο στην επιβίωση των Νομικών Προσώπων.
 
Στην πρώτη χρονική περίοδο εφαρμογής του Κανονισμού, στην Ελληνική κυρίως αγορά, επικρατεί ένα χάος προσφερόμενων συμβουλευικών υπηρεσιών, αμφιβόλου ποιότητας, και εξαιρετικά υψηλού κόστους στις περισσότερες περιπτώσεις.
Υψηλού κόστους, αναντίστοιχου του πραγματικού επιπέδου της παρεχόμενης τεχνογνωσίας, αφού παρατηρείται σε ευρύ φάσμα περιπτώσεων, η λεγόμενη COPY/PASTE συμβουλευτική υπηρεσία.
Η πραγματικότητα στο επόμενο διάστημα θα είναι εξαιρετικά δυσάρεστη.
Επιχειρήσεις που μάλιστα δαπάνησαν υψηλά κατά περίπτωση ποσά για την προετοιμασία τους έναντι των απαιτήσεων του Κανονισμού GDPR, θα βρεθούν αντιμέτωπες με προσφυγές Φυσικών Προσώπων, και με έκπληξη θα ανακαλύψουν τις λεγόμενες "τρύπες" στο δομημένο σύστημα προστασίας προσωπικών δεδομένων που εφαρμόζουν. 
Η Επιθεώρηση και ο Έλεγχος των επιχειρήσεων απο Αρμόδιους Φορείς Πιστοποίησης, διασφαλίζει σε υψηλό βαθμό, την πραγματική προσαρμογή της Επιχείρησης στις απαιτήσεις του κανονισμού, και την ουσιαστική και επικοδομητικά προσαρμοσμένη στο αντικείμενό της, εφαρμοσμένων μέτρων προσαρμογής.
 
Η Πιστοποίηση SWISS APPROVAL, αποτελεί την ουσιαστική εγγύηση για μια επιχείρηση, ότι οι απαιτήσεις του κανονισμού:
  • Έχουν Αναπτυχθεί και Υπάρχουν διαθέσιμες και προσαρμοσμένες στο συγκεκριμένο αντικείμενο εργασιών της επιχείρησης, 
  • Λειτουργούν πραγματικά στην καθημερινότητα της επιχείρησης, 
  • Έχουν πλήρως κατανοηθεί απο το εμπλεκόμενο προσωπικό, και τέλος,
  • Αναγνώριση της επάρκειας του DPO, του λεγόμενου Data Protection Officer της επιχείρησης, έναντι των απαιτήσεων του εν λόγω κανονισμού, χωρίς να είναι απαραίτητη η φερόμενη ως "υποχρεωτική" εκπαίδευση του, αφού κατά την διάρκεια της επιθεώρησης ταυτοποιείται η επάρκειά του απο την Ομάδα Επιθεώρησης, και αναγνωρίζεται έναντι οποιουδήποτε Τρίτου μέρους, η ικανή και αναγκαία καταλληλότητά του, εντός της εταιρείας.
 

European General Data Protection Regulation (GDPR) Compliance Certificate

 logo gia Man

SWISS APPROVAL Certificate of Compliance

The SWISS APPROVAL compliance certificate is based on the requirements of the New European General Data Protection Regulation (GDPR), which was passed on April 27, 2016 and comes into force with significant changes compared to the previous applicable framework, which in turn will lead to operational changes in companies/organizations, structural requirements and changes in the information management culture.

In order to ensure full compliance with the new Regulation, both citizens and legal entities (organisations, companies, businesses) need to be adequately informed and, particularly in the case of businesses, should draw up and implement an action plan to fill any functional gaps in accordance with the new requirements of the legal framework.

The EU aims to strengthen the control of personal data by the citizens themselves, but also to define the principles for their retention and retrieval. Businesses/organisations have until May 2018 to prepare and fully comply with the new framework. To view the New Regulation in Greek click HERE.

Swiss Approval, through its specialised team of experts, provides the compliance verification service in accordance with the terms of the GDPR and can issue compliance certificates once all adaptations to the new regulatory framework have been achieved by the business/organisation concerned.

 

SWISS APPROVAL's compliance certificates ensure that the Requirements of the Regulation:

  • Have been developed and are available and adapted to the specific scope of work of the company,
  • Are actually operational in the day-to-day running of the business,
  • They are fully understood by the personnel involved, and finally,
  • Recognition of the competence of the DPO, the so-called Data Protection Officer of the company, against the requirements of this Regulation, without the need for his allegedly "mandatory" training, since during the inspection his competence is identified by the Inspection Team, and his competence and necessary suitability is recognized against any third party, within the company.

 

Substantial changes in the market due to GDPR

 Companies will no longer have to deal with a bureaucratic plethora of different national regulations, but with uniform pan-European and predictable rules. This will, according to the European Commission, facilitate international digital transactions and expansion into other countries and new markets, especially for smaller companies. The rules will be the same for companies established in the EU and for those based outside the EU (e.g. the US) but which operate in the EU.

It is expected that the increase in consumer confidence resulting from the new data protection rules will ultimately benefit small and medium-sized companies in particular.

An opinion that is not entirely supported by us here at SWISS APPROVAL, as Google or other similar providers will now emerge as the exclusive communication channel of a company with its potential customers, since direct marketing, which used to favour the contact of small businesses with potential customers at low cost, will be significantly limited due to the restrictions on the use of personal data. The financially strongest now, who will spend the highest "Cost per Click", will be ahead in market preferences, with the result that the viability of small and medium sized businesses and Product and Service distribution networks will be threatened in the future. 

 

The Certification of Businesses, against the requirements of the GDPR Regulation, and the Contribution to the sustainability and organization of the SME and Large Business.

Fortunately or not, the viability of an SME or even a larger business, in the long term, is nowadays dependent on its certification of compliance with the requirements of the GDPR Regulation.

As discussed above, SMEs will be faced with an increase in advertising and promotion costs for products and services, since the so-called Direct Marketing as we have known it until today will now be the main threat factor in the form of an industry of lawsuits from potential "affected" consumers, given the exhaustive amount of fines foreseen by the National Authorities.

The solution, however, does not lie in abandoning low-cost marketing, promotion and sales methods, but in shielding the business against the risks arising from the application of the Regulation, by emphasising the rational management of the existing customer base, and even targeting conscious consumers and mature socially aware citizens.

 

The Certification of Compliance with the provisions and requirements of the GDPR, is the European Passport for the safeguarding of Legal Entities, the support of international partnerships and, consequently, their sustainability.

The Inspection and Audit of Businesses by International Certification Bodies, ensures to a high degree, the actual adaptation of the Business to the requirements of the Regulation, and the effective and constructive adaptation measures applied, adapted to its object.

 In the first period of implementation of the Regulation, in the Greek market in particular, there is a chaos of offered consulting services, of dubious quality, and extremely high costs in most cases.

High cost, which is not commensurate with the actual level of expertise provided, since the so-called COPY/PASTE consultancy service is observed in a wide range of cases.

The reality in the coming period will be extremely unpleasant.

Enterprises that even spent high individual amounts to prepare themselves against the requirements of the GDPR Regulation will find themselves confronted with appeals from Individuals, and will be surprised to discover the so-called " holes " in the structured system of personal data protection that they apply.

The Inspection and Audit of businesses by Competent Certification Bodies, ensures to a high degree, the actual adaptation of the Business to the requirements of the Regulation, mainly through the identification of all kinds of "functional gaps".

In this way, the effective and constructive adaptation of the requirements of the Regulation is achieved in a personalized manner to the Company's business object,

____________________________________________________

10+1 Q&A, presented in a simple way, in order to understand the requirements of the GDPR Regulation and the role of Certification.

Significant changes will take place from Friday 25 May in Greece and other countries of the European Union, with the implementation of the new European General Data Protection Regulation.

Swiss Approval provides a general framework of information, which will help the visitor of our website to better understand the upcoming changes.

As part of our Corporate Social Responsibility, SWISS APPROVAL TECHNISCHE BEWERTUNG has permanent legal and technical staff to provide clarifications exclusively to Legal Persons, regarding issues of Interpretation of the Regulation and the advantages of the Certification of Legal Persons in the context of its implementation.

  1. What does the new Regulation concern and who is covered by the new Regulation?

The new EU General Data Protection Regulation (GDPR) regulates the processing by Natural Persons, Companies or Organisations of personal data relating exclusively to Natural Persons (and not companies) within the EU.

It is expressly stated that the processing of personal data of deceased persons or legal entities is not subject to this Regulation.

  1. When will the Regulation not apply?

The new rules will not apply to data processed by an individual for strictly personal reasons or for activities carried out at home, provided they are not connected with a professional or commercial activity. They will not apply if, for example, an individual uses their private address book to invite friends by email to a party they are organising (the household activities exemption applies).

  1. What is considered personal data?

Personal data is information about an identified or identifiable living individual. Different information which, if put together, can lead to the identification of a specific individual, is also personal data.

Personal data which have been rendered anonymous, encrypted or for which pseudonyms have been used, but which can be used to re-identify an individual, remain personal data and fall within the scope of the GDPR.

Personal data that have been rendered anonymous so that the individual is not identifiable are no longer considered personal data. For data to be truly anonymous, the anonymisation must be irreversible.

The GDPR protects personal data irrespective of the technology used to process them. It is technology neutral and applies to both automated and manual processing. It also does not matter how the data is stored - in digital or paper form.

  1. Which are typical examples of personal data and which are not?

- First and last name,

- The address of residence,

- Identification number,

- The Personal E-mail address,

- The bank card identification number,

- The location data (e.g. GPS on a mobile phone),

- The Internet Protocol (IP) address; and,

- The health data held by a hospital or doctor.

Examples of data that are not considered personal are the company registration number, the company email address of the type "Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε." and any kind of anonymous data.

  1. What constitutes data processing?

The term "processing" covers a wide range of operations carried out on personal data, either by manual or automated means. It includes the collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or any other form of making available, association or combination, restriction, erasure or destruction of personal data.

Examples of processing include:

- Personnel management and payroll,

- Accessing/searching information in a contact database that includes personal data,

- The sending of promotional emails,

- Publishing/posting a photograph of an individual on a website,

- Storing IP addresses, and,

- Filming with a closed circuit television.

  1. Will users see changes on the Internet after 25 May 2018?

Undoubtedly not noticeable.

A change for those living in the EU will be seeing fewer online ads "following" them after an online purchase. With the new rules, it will become more difficult for targeted online advertising that takes users "by the foot" from website to website they visit, as it will be harder for companies to collect and sell information about users' online habits after getting their permission. Thus, online advertising in Europe will tend to become more generic, like that on TV, rather than as targeted as in the US.

  1. What will be the new rights of users?

- They will have the right to receive clear and understandable information about who is processing their personal data and why.

- They will be able to ask all companies for access themselves and find out exactly what data companies hold about them.

 - They will also have the right to 'opt-out', meaning that if they want, they can demand that this data be deleted from companies' databases. This will not just apply to tech companies (e.g. Facebook or Google), but banks, retail outlets and any other company or organisation that holds personal data, including employers. For example, it will be possible, if you are not a public figure, to ask a search engine (e.g. Google) to delete links, such as a newspaper article, that refer to a personal past affair.

Conversely, if online personal data is lost or stolen, the company must within 72 hours inform the individual and, if it fails to do so, risks a fine. If a person has suffered a loss, they can also seek compensation by taking legal action. Given the frequent cyber attacks by hackers against companies, the importance of this right is clear.

If a citizen-user suspects that there is an abuse in the collection of data concerning him or her, he or she can appeal to the competent national data protection authority, which is obliged to investigate the matter. Citizens can also take collective action against a company, which has so far been uncommon in Europe, unlike in the US.

Citizens' organisations can bring actions on behalf of groups of citizens. If one case is won, it is expected that a legal precedent will be set for other cases, which will force companies to take the issue of privacy more seriously.

The right to "data portability" is also given, meaning that a person's data will not be allowed to be "locked" to a company or service provider. Companies are required to allow a consumer user to "download" their personal data and transfer it to a competing company, whether it's financial data from bank to bank, or transferring a song playlist from Spotify to a competing music streaming service.

  1. Do consumer users understand what is happening?

Most people don't, unfortunately.

Already several companies are informing users by e-mail and other means about their new policy on personal data, but the law requires the terms to be written simply and not legally, which is often not the case. Also, companies must give everyone the option to block the collection of information about them. But often users give their consent in haste, without understanding and without taking advantage of the new possibilities they have.

  1. Apart from users, do companies have anything to gain from the new rules?

Companies will no longer have to deal with a bureaucratic patchwork of different national regulations, but with uniform pan-European and predictable rules.

This will, according to the European Commission, facilitate international digital transactions and expansion into other countries and new markets, especially for smaller companies. The rules will be the same for companies established in the EU and for those based outside the EU (e.g. the US) but operating in the EU.

It is expected that the increase in consumer confidence resulting from the new data protection rules will ultimately benefit small and medium-sized companies in particular.

  1. How effective will the new Regulation be in practice?

It is too early to assess, it may take years.

Much will depend on how strictly the National Supervisory Authorities will apply the new rules. Unfortunately, a recent Reuters survey of EU country regulators concluded that many of these independent bodies are not yet ready.

Media reports also indicate that massive complaints from natural persons to the respective National Authority for violation of the provisions of the Regulation are foreseen, and this will be the trigger for stricter compliance with the Regulation by companies, but also for the National Authorities themselves to be well prepared, since 17 of the 24 Authorities that responded to questions on the subject stated that they either do not have the necessary funding, sufficient staff or the necessary powers to implement the new rules.

10 + 1.Fortunately or not, the viability of an SME in the long term depends on its certification of its compliance with the requirements of the GDPR Regulation.

In Question 9 above, we analysed the reasoning according to which SMEs will be faced with an increase in advertising and promotion costs for products and services, since the so-called Direct Marketing as we have known it until today will now be the main threat factor in the form of an industry of lawsuits from "aggrieved" consumers, given the exhaustive amount of fines foreseen by the National Authorities.

The solution, however, is not to abandon low-cost marketing, promotion and sales methods, but to shield the business against the risks arising from the application of the Regulation.

And the GDPR Certification is the European Passport to the survival of legal entities.

In the first period of implementation of the Regulation, in the Greek market in particular, there is a chaos of offered consulting services, of questionable quality, and extremely high costs in most cases.

High cost, which is not commensurate with the actual level of expertise provided, since the so-called COPY/PASTE consultancy service is observed in a wide range of cases.

The reality in the coming period will be extremely unpleasant.

Enterprises that even spent high individual amounts to prepare themselves against the requirements of the GDPR Regulation will find themselves confronted with appeals from Individuals, and will be surprised to discover the so-called "holes" in the structured system of personal data protection that they apply.

The Inspection and Audit of companies by Competent Certification Bodies, ensures to a high degree, the actual adaptation of the Company to the requirements of the Regulation, and the effective and constructive adaptation measures applied to its object.

The SWISS APPROVAL Certification is the essential guarantee for an enterprise that the requirements of the regulation:

  • Have been developed and are available and adapted to the specific scope of business of the company,
  • They actually work in the day-to-day operations of the business,
  • They are fully understood by the personnel involved, and finally,
  • Recognition of the competence of the DPO, the so-called Data Protection Officer of the company, against the requirements of the regulation in question, without the need for his allegedly "mandatory" training, since during the inspection his competence is identified by the Inspection Team, and his competence and necessary suitability within the company is recognised against any third party.