Analysis, Design and implementation of an Open-Source Web-Based system for GDPR compliance assessment

Abstract

The European Union (EU) has recently introduced the General Data Protection Regulation (GDPR) with the aim of giving residents additional control over their personal data. Consequently, data controllers and data processors are required to achieve and demonstrate continuous compliance with the regulation. While the regulation thoroughly describes the rights of the data subjects and the obligations of data controllers and processors, it does not offer any means of determining the compliance level and suggesting improvements if needed.

Large organisations can afford high-quality consulting services, extensive evaluations, and effective revisions and adjustments to their business processes. However, this is presumably not the case with everyone else. The software market features sophisticated products with remarkable features to help determine the alignment of an entity with the regulation and propose resolutions, but such products are usually expensive to acquire and maintain. In the meantime, there are also solutions provided free-of-charge which however lack essential features and fail to produce comprehensive assessments. There is currently an important need for appropriate solutions, directed towards individuals and Small and Medium-Sized Enterprises (SMEs), which are available free of charge and offer satisfactory quality.

The purpose of this diploma thesis is to analyse, design and implement an open-source web-based system for GDPR compliance assessment. The system’s intended users can submit the processing activities their organisation performs, evaluate the alignment of their organisation with the GDPR, and also conduct Data Protection Impact Assessments (DPIAs) which the regulation expects under certain conditions. Besides the developed system, this diploma thesis additionally proposes an elementary model for GDPR compliance assessment and meanwhile provides extensive documentation that explains the entire process.

Η Ευρωπαϊκή Ένωση (EE) πρόσφατα εισήγαγε τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) με σκοπό να δώσει στους πολίτες επιπρόσθετο έλεγχο των προσωπικών τους δεδομένων. Ως συνέπεια, οι υπέυθυνοι επεξεργασίας δεδομένων και οι εκτελούντες την επεξεργασία δεδομένων υποχρεούνται να επιτύχουν και να αποδεικνύουν διαρκώς τη συμμόρφωση τους με τον κανονισμό. Ενώ ο κανονισμός περιγράφει αναλυτικά τα δικαιώματα των υποκειμένων των δεδομένων και τις υποχρεώσεις των υπευθύνων και εκτελούντων επεξεργασίας δεδομένων, δεν προσφέρει κάποιο μέσο ώστε να προσδιοριστεί το επίπεδο συμμόρφωσης και να προταθούν προσαρμογές, εφόσον χρειάζονται.

Οι μεγάλοι οργανισμοί έχουν την οικονομική δυνατότητα για συμβουλευτικές υπηρεσίες υψηλής ποιότητας, εκτενείς αξιολογήσεις και τροποποιήσεις στις επιχειρηματικές τους διαδικασίες. Ωστόσο, αυτό πιθανώς δε συμβαίνει στις υπόλοιπες περιπτώσεις. Η αγορά λογισμικού διαθέτει εκλεπτυσμένα προϊόντα με εξαιρετικά χαρακτηριστικά που βοηθούν στην εκτίμηση της συμμόρφωσης μιας οντότητας με τον κανονισμό και προτείνουν αποφάσεις. Aλλά, τέτοια προϊόντα είναι συνήθως ακριβά στην προμήθεια και συντήρηση τους. Εν τω μεταξύ, υπάρχουν επίσης λύσεις που διατίθενται δωρεάν ωστόσο στερούνται βασικών χαρακτηριστικών και αδυνατούν να παράγουν περιεκτικές αξιολογήσεις. Υπάρχει επί του παρόντος μια σημαντική ανάγκη για κατάλληλες λύσεις, που απευθύνονται σε μεμονωμένα άτομα και μικρομεσαίους οργανισμούς, που διατίθενται δωρεάν και προσφέρουν ικανοποιητική ποιότητα.

Σκοπός αυτής της διπλωματικής εργασίας είναι να αναλύσει, να σχεδιάσει και να υλοποιήσει ένα ανοικτού κώδικα σύστημα ιστού για την εκτίμηση συμμόρφωσης με τον ΓΚΠΔ. Οι προοριζόμενοι χρήστες του συστήματος μπορούν να υποβάλλουν τις δραστηριότητες επεξεργασίας που εκτελεί ο οργανισμός τους, να αξιολογήσουν την ευθυγράμμιση του οργανισμού τους με τον ΓΚΠΔ και να διεξάγουν Εκτιμήσεις Αντικτύπου σχετικά με την Προστασία Δεδομένων (ΕΑΠΔ) που ο κανονισμός απαιτεί κάτω από συγκεκριμένες προϋποθέσεις. Εκτός από το υλοποιημένο σύστημα, αυτή η διπλωματική εργασία προτείνει επιπροσθέτως ένα στοιχειώδες μοντέλο εκτίμησης της συμμόρφωσης με τον ΓΚΠΔ και παράλληλα παρέχει εκτεταμένη τεκμηρίωση που περιγράφει τη συνολική διαδικασία.