THE GDPR HANDBOOK

84 H ΠΡΟΣΤΑΣΙΑ ∆Ε∆ΟΜΕΝΩΝ ΣΤΗΝ ΨΗΦΙΑΚΗ ΟΙΚΟΝΟΜΙΑ ΚΑΙ ΚΟΙΝΩΝΙΑ ii. Είδη ελέγχων Ένας εσωτερικός ή εξωτερικός έλεγχος για ιδιωτικότητα και συμμόρφωση με τον ΓΚΠ∆ μπορεί να γίνει είτε «αυτοτελώς» (stand alone audit), είτε να εκτελεστεί ως μέρος ενός γενικότερου προγράμματος εσωτερικών ελέγ- χων (combined audit) ιδιωτικότητας (βάσει απαιτήσεων GDPR), ασφάλειας (βάσει ISO 27001), ποιότητας (βάσει ISO 9001) κ.λπ . Aξίζει να τονιστεί ότι ένας εσωτερικός ή εξωτερικός έλεγχος μπορεί να σχεδιαστεί και υλοποι- ηθεί οριζόντια, δηλαδή αναφορικά με τις συνολικές διεργασίες ενός οργα- νισμού π.χ. marketing, παροχή υπηρεσιών, εξυπηρέτηση πελατών (process- based audit). Εναλλακτικά, μπορεί να γίνει εξειδικευμένα ή κάθετα, δηλαδή με έμφαση σε διεργασίες ή επεξεργασίες, όπου έχει εντοπιστεί ο μεγαλύτε- ρος κίνδυνος σύμφωνα με την Εκτίμηση Αντικτύπου DPIA που έχει προηγη- θεί (risks-based audit). Για την επιτυχία του εγχειρήματος είναι καίρια η συ- γκρότηση μιας μικτής Ομάδας Ελέγχου. Ιδανικά η σύνθεση της ομάδας είναι σκόπιμο να περιλαμβάνει τόσο στελέχη με εμπειρία σε θέματα ιδιωτικότη- τας (νομικούς, μηχανικούς, πληροφορικούς) όσο και εμπειρογνώμονες με εμπειρία στη διεξαγωγή και στις τεχνικές ελέγχων γενικότερα (auditors). iii. ∆ιαρκής παρακολούθηση O παρακάτω πίνακας τεκμηριώνει τους βασικούς πυλώνες σχεδιασμού και εφαρμογής ενός συνολικού προγράμματος συνεχούς εφαρμογής και συμ- μόρφωσης με τον ΓΚΠ∆ (“on-going GDPR Compliance”). ∆ιαδικασία /Μέτρο Ενέργειες Τεχνικές / Εργαλεία 1. Συνολική ∆ιαχείριση της συμμόρφωσης με τον ΓΚΠ∆ Σχεδιασμός / οργάνωση / – συνεργασία ΥΠ∆με Τμήματα της Εταιρίας Στενή συνεργασία ΥΠ∆με Τμήμα ΙΤ, Τμήμα Ασφάλειας Πληροφοριών και Νομικό Υιοθέτηση της «φιλοσοφί- ας» και τρόπου οργάνωσης με βάση κατάλληλα Γενικά Πρότυπα ή/και Πρότυπα Ιδιωτικότητας &Ασφά- λειας (πχ. ISO 19600, ISO 27001, BS 10012 κ.ά.) ∆ιερεύνηση αναγκών / επιλογή και εφαρμογή «ολοκληρωμένων» μηχανο- γραφικών εφαρμογών για την υποστήριξη συμμόρφωσης με τον ΓΚΠ∆