H Αρχή ξεκίνησε το τελευταίο δίμηνο του 2020, μετά από επιτυχή υποβολή πρότασης σε πρόγραμμα της Ευρωπαϊκής Επιτροπής («Δικαιώματα, Ισότητα, Ιθαγένεια»), την πραγματοποίηση του έργου με τίτλο «Διευκόλυνση της συμμόρφωσης μικρομεσαίων επιχειρήσεων με τον GDPR και προώθηση της προστασίας δεδομένων από τον σχεδιασμό σε προϊόντα και υπηρεσίες ΤΠΕ (byDesign)»

Η υλοποίηση του έργου γίνεται υπό τον συντονισμό της Αρχής και σε συνεργασία με το Πανεπιστήμιο Πειραιώς και την Ελληνική εταιρεία Πληροφορικής ‘ICT Abovo ΙΚΕ’, συγχρηματοδοτείται δε σε ποσοστό 80% από την Ευρωπαϊκή Επιτροπή.

Βασικοί στόχοι του έργου
Οι βασικοί στόχοι του έργου διακρίνονται στους εξής:
1. Παροχή εξειδικευμένης καθοδήγησης σε μικρομεσαίες επιχειρήσεις, με τη μορφή εργαλειοθήκης συμμόρφωσης, η οποία σχεδιάστηκε να περιλαμβάνει απλά στη χρήση εργαλεία υποβοήθησης των εταιρειών και επαγγελματιών, συνοδευόμενα από πρότυπα των απαραίτητων εγγράφων, κατάλληλα προσαρμόσιμα στα δεδομένα κάθε επιχείρησης. Ο απώτερος στόχος είναι να απλουστευθεί η διαδικασία συμμόρφωσης των μικρομεσαίων επιχειρήσεων και να υιοθετηθούν σε μεγαλύτερο βαθμό ορθές πρακτικές σε σχέση με την προστασία προσωπικών δεδομένων τα οποία αυτές επεξεργάζονται.
2. Παροχή εξειδικευμένης γνώσης και πρακτικής καθοδήγησης στις εταιρείες που δραστηριοποιούνται σε ΤΠΕ και νέες τεχνολογίες, ώστε να ενσωματώνουν στα προϊόντα και τις υπηρεσίες τους μεθοδολογίες και σύγχρονες τεχνικές για την προστασία των δεδομένων εκ σχεδιασμού (privacy by design). Μέσω του έργου θα διενεργηθούν εξειδικευμένες εκπαιδευτικές δραστηριότητες απευθυνόμενες σε επαγγελματίες στον χώρο της πληροφορικής οι οποίοι εργάζονται σε ελληνικές επιχειρήσεις. Ακολούθως παρουσιάζεται η υλοποίηση του πρώτου στόχου του έργου.

Ανάλυση αναγκών
Εκτός της συσσωρευμένης εμπειρίας της Αρχής, για τη συλλογή και ανάλυση απαιτήσεων διαμορφώθηκαν και απεστάλησαν κατάλληλα, ανά κατηγορία ενδιαφερομένων, ερωτηματολόγια, με τη βοήθεια της εφαρμογής EU Survey. Κυρίως προσεγγίστηκαν μικρομεσαίες επιχειρήσεις, μέσω των ενώσεών τους, αλλά και μεμονωμένα, καθώς και ενώσεις εργαζομένων και καταναλωτών. Το αρχικά διαμορφωθέν σύνολο απαιτήσεων, οριστικοποιήθηκε αφού πρώτα παρουσιάστηκε και αποτέλεσε αντικείμενο συζήτησης σε δύο εργαστήρια. Ενώ η αρχική επιλογή αφορούσε τους τομείς του τουρισμού και της φιλοξενίας, της εκπαίδευσης, του ηλεκτρονικού εμπορίου, της υγείας, του αθλητισμού και της άσκησης, καθώς και της εστίασης, το ευρύ ενδιαφέρον που εκδηλώθηκε με τη συμπλήρωση των ερωτηματολογίων και τη συμμετοχή στα εργαστήρια προέρχονταν από τους τέσσερις πρώτους εξ αυτών και για τον λόγο αυτόν οι απαιτήσεις των δυο τελευταίων τομέων δεν εξετάστηκαν περαιτέρω ξεχωριστά. Ωστόσο, το εργαλείο προσφέρει υποστήριξη στη συμμόρφωση με τον GDPR και σε υπευθύνους επεξεργασίας άλλων τομέων δραστηριότητας, ως προς τις γενικές τους απαιτήσεις.

Ανάπτυξη πρότυπων διαδικασιών και εγγράφων συμμόρφωσης
Για τους παραπάνω τομείς δραστηριότητας, εξετάστηκαν οι επιχειρηματικές δραστηριότητες που συνεπάγονται επεξεργασία δεδομένων, σε σχέση με τις αρχές της νομιμότητας και λογοδοσίας και προσδιορίστηκαν ως κύριες λειτουργίες επεξεργασίας που θα υποστηρίζονται από το εργαλείο συμμόρφωσης οι εξής: διαχείριση προσωπικού και υποψηφίων υπαλλήλων, διαχείριση πελατών και υποψηφίων πελατών, διαχείριση προμηθευτών, βιντεοεπιτήρηση και διαχείριση περιστατικών παραβίασης δεδομένων. Επίσης, διαμορφώθηκαν πρότυπες διαδικασίες και έγγραφα, προσαρμόσιμα στα δεδομένα κάθε επιχείρησης – υπευθύνου επεξεργασίας, με τη βοήθεια κατάλληλων οδηγών που υλοποιεί το εργαλείο συμμόρφωσης, κυρίως σχετικά με τη διαφάνεια, την παροχή πληροφοριών στα υποκείμενα των δεδομένων, τη συναίνεση, τα δικαιώματα προστασίας δεδομένων και τις διαδικασίες διαχείρισης αιτημάτων υποκειμένων δεδομένων, τις διαδικασίες καταστροφής δεδομένων, τα αρχεία δραστηριοτήτων επεξεργασίας, μέτρα ασφαλείας, τον χειρισμό παραβίασης δεδομένων, την ανάθεση επεξεργασίας δεδομένων σε εκτελούντες, τις απαιτήσεις ιστοσελίδων όσον αφορά τη διαφάνεια τα βασικά μέτρα ασφαλείας και τη συμμόρφωση με cookies, το άμεσο μάρκετινγκ μέσω ηλεκτρονικών μέσων, βιντεοεπιτήρηση και διαχείριση αρχείων εργαζομένων και υποψηφίων υπαλλήλων.

Ανάπτυξη και πιλοτική λειτουργία της διαδικτυακής εφαρμογής
Η προαναφερθείσα ανάλυση αναγκών και ο επακόλουθος ορισμός των απαιτήσεων καθώς και οι βέλτιστες πρακτικές για την ανάπτυξη διαδικτυακών συστημάτων έρευνας (online survey systems) αποτέλεσαν τη βάση για τον καθορισμό των προδιαγραφών της διαδικτυακής εφαρμογής. Η εφαρμογή περιλαμβάνει τη διεπαφή χρήστη για τη συμπλήρωση του ερωτηματολογίου, μέσω του οποίου προσδιορίζονται οι διαδικασίες και έγγραφα που ενδιαφέρουν τον χρήστη (επιχείρηση) και τα οποία αποτελούν προσαρμόζονται από τα σχετικά υποδείγματα της βάσης δεδομένων της εφαρμογής και παρέχονται στον χρήστη. Επίσης, περιλαμβάνεται και διεπαφή διαχείρισης, για τη βελτίωση ή διεύρυνση των υποδειγμάτων και την ενδεχόμενη τροποποίηση της λογικής προσαρμογής τους στις εκάστοτε ανάγκες των χρηστών. Οι γλώσσες στις οποίες παρέχονται τα αποτελέσματα της εφαρμογής είναι η ελληνική και η αγγλική, υπάρχει όμως η δυνατότητα πρόβλεψης και άλλων γλωσσών, υπό την προϋπόθεση αντίστοιχης μετατροπής και των περιεχομένων της βάσης δεδομένων της.
Πρόσφατα ολοκληρώθηκε η πιλοτική λειτουργία της διαδικτυακής εφαρμογής (https://bydesign.dpa.gr), διάρκειας περίπου ενός μηνός, κατά την οποία μικρομεσαίες επιχειρήσεις και επαγγελματίες που είχαν συμμετάσχει στην ανάλυση αναγκών την αξιοποίησαν δοκιμαστικά.

Παραγωγική λειτουργία της εφαρμογής
Ακολούθησε σύντομη τροποποίηση της εφαρμογής, πρόκειται δε να τεθεί σε παραγωγική λειτουργία περί τα τέλη Ιουνίου, μέσω της διαδικτυακής πύλης της Αρχής, www.dpa.gr και της ιστοσελίδας του έργου byDesign, http://www.bydesign-project.eu. Το έργο byDesign θα ολοκληρωθεί τον Οκτώβριο του 2022 και μέχρι τότε η εφαρμογή θα βελτιώνεται συνεχώς, σύμφωνα με τις παρατηρήσεις των χρηστών της. Τέλος, επισημαίνεται ότι μετά την ολοκλήρωση του έργου, η εφαρμογή θα συνεχίσει να διατίθεται προς χρήση. NW