Περίληψη : | Σκοπός της παρούσας μελέτης ήταν να προκύψει ένα προτεινόμενο πλαίσιο συμμόρφωσης με τον GDPR. Το πλαίσιο αυτό απευθύνθηκε σε ένα συγκεκριμένο τύπο οργανισμών, τους πολιτιστικούς οργανισμούς. Για το σκοπό αυτό, έλαβε χώρα μία πρωτογενής έρευνα ερωτηματολόγιου, που εξέτασε το αν και πώς εφαρμόζεται ο GDPR σε διαφορετικούς ελληνικούς οργανισμούς με στόχο στη συνέχεια να προταθεί το αντίστοιχο πλαίσιο συμμόρφωσης. Στην έρευνα αυτή συμμετείχαν 16 συνολικά πολιτιστικοί οργανισμοί διαφορετικών τύπων (μουσεία, αρχεία και ούτω καθεξής), που απάντησαν μεταξύ άλλων σε εξειδικευμένες ερωτήσεις αναφορικά με την εφαρμογή του GDPR. Από την πρωτογενή αυτή έρευνα προέκυψε ότι σε γενικές γραμμές οι συμμετέχοντες πολιτιστικοί οργανισμοί έχουν ξεκινήσει να υλοποιούν τον GDPR. Μάλιστα η πρόοδος σε ό, τι αφορά την εφαρμογή του GDPR φαίνεται να έχει επιτευχθεί σε μεγαλύτερο ή μικρότερο βαθμό κυρίως σε ότι αφορά την ελαχιστοποίηση των δεδομένων, αλλά και σε ό, τι αφορά τη νόμιμη επεξεργασία των δεδομένων, την ασφάλεια των δεδομένων και τα δικαιώματα των χρηστών. Βέβαια για όλα τα παραπάνω ζητήματα εξακολουθεί να υπάρχει η ανάγκη για την βελτιστοποίηση της προόδου, ώστε οι πολιτιστικοί οργανισμοί στο σύνολό τους να μπορέσουν να εξασφαλίσουν την συμμόρφωση με τον GDPR. Από την άλλη, οι συμμετέχοντες πολιτιστικοί οργανισμοί φαίνεται να υστερούν σε μεγαλύτερο βαθμό όταν πρόκειται για τη διαδικασία εφαρμογής του GDPR και τις υποχρεώσεις εφαρμογής του. Οι παραπάνω ελλείψεις επάρκειας συνηγορούν ακόμη περισσότερο ότι οι συμμετέχοντες πολιτιστικοί οργανισμοί θα πρέπει να ακολουθήσουν ένα πλαίσιο συμμόρφωσης με τον GDPR. Το προτεινόμενο αυτό πλαίσιο εξειδικευμένα για τους πολιτιστικούς οργανισμούς περιλαμβάνει τις εξής έξι φάσεις: φάση 1 - διορισμός ομάδας ειδικών στους τομείς της νομικής, της πληροφορικής και της ασφάλειας, για την εκτέλεση της διαδικασίας συμμόρφωσης με τον GDPR, φάση 2 - ρύθμιση έργου και ευαισθητοποίηση στον οργανισμό σχετικά με βασικές πτυχές, απαιτήσεις και ανάγκες του GDPR, φάση 3 - προσδιορισμός προσωπικών δεδομένων που διατηρεί ο οργανισμός, φάση 4 - εκτίμηση της τρέχουσας συμμόρφωσης με τον GDPR, φάση 5 - αντιμετώπιση εντοπισμένων κενών και πρόταση δράσεων και τέλος φάση 6 - υλοποίηση. Βέβαια και καθώς οι παραπάνω φάσεις ενδέχεται να απαιτούν επιπλέον αποσαφήνιση, προτείνεται στους πολιτιστικούς οργανισμούς να ανατρέξουν για περισσότερες λεπτομέρειες στο ευρύτερο πλαίσιο συμμόρφωσης με τον GDPR, που ισχύει ανεξαρτήτως για όλους τους οργανισμούς, που εμπλέκονται στην επεξεργασία δεδομένων. The purpose of this study was to develop a proposed GDPR compliance framework. This framework was addressed to a specific type of organizations, cultural organizations.For this purpose, a primary questionnaire survey was conducted, which examined whether and how the GDPR is applied by different Greek organizations with the aim of then proposing the respective compliance framework. A total of 16 cultural organizations of different types (museums, archives, and so on) participated in this research, which answered, among other things, specialized questions regarding the implementation of the GDPR.From this primary research it emerged that in general the participating in the research cultural organizations have started to implement the GDPR. In fact, progress in the implementation of the GDPR seems to have been achieved to a greater or lesser extent, mainly in terms of data minimization, but also in terms of legal data processing, data security and users’ rights.. Of course, for all the above issues, there is still a need to optimize progress, so that cultural organizations as a whole can ensure compliance with the GDPR. On the other hand, the participating in the research cultural organizations seem to lag far behind when it comes to the GDPR implementation process and its implementation obligations. The above lack of competence further suggests that participating cultural organizations should follow a GDPR compliance framework.This proposed framework specifically for cultural organizations includes the following six phases: phase 1 - appointment of a team of legal, IT and security experts to carry out the GDPR compliance process, phase 2 - project regulation and organization awareness on key aspects, requirements and needs of the GDPR, phase 3 - identification of personal data maintained by the organization, phase 4 - assessment of current compliance with the GDPR, phase 5 - addressing identified gaps and proposing actions and finally phase 6 - implementation.Of course, as the above phases may require additional clarification, it is suggested to cultural organizations to refer in more detail to the broader framework of compliance with the GDPR, which applies independently to all organizations involved in data processing.
|
---|