Όλα όσα θα πρέπει να γνωρίζετε για τo νέο κανονισμό της Ευρωπαϊκής Ένωσης για την προστασία των προσωπικών δεδομένων.

Τι είναι το GDPR

Στις 25 Μαΐου του 2018 ενεργοποιείται και τίθεται σε άμεση και υποχρεωτική εφαρμογή η πιο σημαντική Ευρωπαϊκή νομοθεσία που αφορά στην προστασία δεδομένων τα τελευταία 20 χρόνια. Ο Ευρωπαϊκός Κανονισμός Προστασίας Δεδομένων (GDPR) αντικαθιστά την από 1995 Ευρωπαϊκή Οδηγία περί Προστασίας Δεδομένων.

Η προηγούμενη Ευρωπαϊκή νομοθεσία περί Προστασίας Δεδομένων σχεδιάστηκε και τέθηκε σε εφαρμογή πριν 20 χρόνια. Την εποχή εκείνη το Διαδίκτυο δεν είχε διεισδύσει σημαντικά στην καθημερινή μας ζωή, η ψηφιακή αποθήκευση, ανταλλαγή και επεξεργασία δεδομένων ήταν πολύ περιορισμένη και τα Μέσα Κοινωνικής Δικτύωσης δεν υπήρχαν. Το Cloud Computing ήταν μια μακρινή ιδέα και η ιδιωτικότητα του ατόμου στο Διαδίκτυο δεν ήταν σε απειλή.

20 χρόνια μετά η κατάσταση έχει αλλάξει δραματικά και έτσι η ανάγκη για μια Ευρωπαϊκή κοινή νομοθεσία που να προστατεύει τα ατομικά δικαιώματα και τα προσωπικά δεδομένα είναι πιο επιβεβλημένη από ποτέ.

Ο νέος κανονισμός αυξάνει σημαντικάτις υποχρεώσεις των επιχειρήσεων, ενώ το μέγεθος των προβλεπόμενων προστίμων τον τοποθετεί πολύ υψηλά στην ατζέντα της ανώτατης διοίκησης. Σε περίπτωση παράβασης προβλέπονται σημαντικά αυξημένα πρόστιμα, που ανάλογα με το είδος και το μέγεθός της, φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης.

Υπάρχουν διάφορες υποχρεώσεις που παρουσιάζονται από τον Ευρωπαϊκό κανονισμό (GDPR) σχετικά με τους ελέγχους και την ασφάλεια γύρω από τη διαχείριση των προσωπικών δεδομένων. Ο κανονισμός υποχρεώνει τον επεξεργαστή ή τον υπεύθυνο επεξεργασίας δεδομένων να «εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα» για να τις αντιμετωπίσει.

Ποιους αφορά

Αφορά εταιρείες, ανεξαρτήτου μεγέθους και δραστηριότητας, οι οποίες συλλέγουν, κατέχουν και επεξεργάζονται μέσα στο πλαίσιο των δραστηριοτήτων τους, έμμεσα ή άμεσα, προσωπικά δεδομένα πολιτών της Ευρωπαϊκής Ένωσης.

Επιπλέον ο συγκεκριμένος κανονισμός αφορά και επιχειρήσεις με έδρα ακόμα και εκτός της Ε.Ε., εφόσον κατέχουν στοιχεία των πολιτών της.

Η 25η Μαΐου είναι υποχρεωτική;

Από τις 25 Μαΐου 2018 και μετά, θεμελιώνονται τα δικαιώματα και οι υποχρεώσεις που προβλέπει ο Κανονισμός. Δεν είναι απαραίτητο να αποδείξει κάποιος ότι στις 25 Μαΐου είχε προσαρμοστεί σε όσα προβλέπει ο Κανονισμός, αλλά από την ημερομηνία αυτή και μετά θα ενδέχεται να ελεγχθεί -βάσει π.χ. κάποιας καταγγελίας- και θα πρέπει να είναι σύννομος με τον Κανονισμό.

 

Ο κανονισμός τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης από 25/05/2018

Ποια δεδομένα θεωρούνται «Προσωπικά»

Σύμφωνα με τον GDPR προσωπικά δεδομένα θεωρούνται οι πληροφορίες που συνδέονται με ένα εν ζωή φυσικό πρόσωπο έμμεσα ή άμεσα όπως:

  • Στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κλπ.)
  • Εκπαίδευση
  • Εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κλπ)
  • Οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά)
  • Ενδιαφέροντα, δραστηριότητες, Συνήθειες
  • Διεύθυνση email
  • Προσωπικοί αριθμοί εγγράφων (Αριθμός δελτίου ταυτότητας, διαβατηρίου, ΑΦΜ, ΑΜΚΑ κλπ.)
  • Αριθμοί πιστωτικών και χρεωστικών καρτών κλπ.Σημείωση: Τα δεδομένα νομικών προσώπων δεν θεωρούνται προσωπικά δεδομένα. Αντίθετα τα δεδομένα μιας ατομικής επιχείρησης ή μιας μονοπρόσωπης εταιρίας (π.χ. ενός Λογιστή)θεωρούνται προσωπικά.

    Τα δεδομένα όλων των εργαζόμενων μιας επιχείρησης, τα δεδομένα των πελατών της επιχείρησης (πλην αυτών που έχουν νομική μορφή) και των προμηθευτών της αντίστοιχα, όλα υπόκεινται στο νέο Κανονισμό.

    Ποια δεδομένα θεωρούνται «Ευαίσθητα»

    Ευαίσθητα χαρακτηρίζονται τα προσωπικά δεδομένα ενός ατόμου που αναφέρονται:

    • στη φυλετική ή εθνική του προέλευση
    • στα πολιτικά του φρονήματα
    • στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις
    • στη συμμετοχή του σε συνδικαλιστική οργάνωση
    • στην υγεία του
    • στην κοινωνική του πρόνοια
    • στην ερωτική του ζωή
    • τις ποινικές διώξεις και καταδίκες του

    καθώς και στη συμμετοχή του σε συναφείς με τα ανωτέρω ενώσεις προσώπων.

    Τα ευαίσθητα δεδομένα προστατεύονται από τον Νόμο με αυστηρότερες ρυθμίσεις από ότι τα απλά προσωπικά δεδομένα.

    ΠΔικαίωμα πρόσβασης του υποκειμένου των δεδομένωνοια είναι τα σημαντικότερα σημεία του νέου κανονισμού

    Άρθρο15

     

    Στο άρθρο αυτό περιγράφεται η ανάγκη για ανεμπόδιστη πρόσβαση του ιδιοκτήτη των δεδομένων σε αυτά. Δηλαδή την πλήρη αναφορά του συνόλου των δεδομένων στον ενδιαφερόμενο σε κατανοητή μορφή.

    Άρθρο16

    Δικαίωμα διόρθωσης

    Δυνατότητα άμεσης διόρθωσής τους όταν παρατηρηθεί λάθος αλλά και την συμπλήρωση τους.

    Άρθρο17

    Δικαίωμα διαγραφής

    Θα πρέπει να υπάρχει δυνατότητα διαγραφής τους όταν δεν είναι πια απαραίτητα με την προϋπόθεση ότι το επιτρέπει ο νόμος. Για παράδειγμα φορολογικά στοιχεία που απαιτούνται από τον ΚΒΣ μπορούν να διατηρηθούν.

    Άρθρο20

    Δικαίωμα στη φορητότητα των δεδομένων

    Τα δεδομένα θα πρέπει να έχουν τη δυνατότητα μεταφοράς τους όταν το επιθυμεί ο ιδιοκτήτης. Οι επιχειρήσεις έχουν την υποχρέωση να παρέχουν στον ιδιοκτήτη των δεδομένων όταν τους ζητηθεί το σύνολο των δεδομένων τους σε κοινά αποδεκτή ηλεκτρονική μορφή (π.χ. CSV files).

    Άρθρο25

    Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού

    Βάσει του κανονισμού περιγράφεται ότι οι κατασκευαστές software θα πρέπει να παρέχουν λύσεις και προϊόντα τα οποία όχι μόνο είναι συμβατά με τα όσα -ο κανονισμός- ορίζει αλλά και τεχνικά να είναι σχεδιασμένα με έναν τρόπο που να εξυπηρετεί τις ανάγκες προστασίας των δεδομένων (π.χ. πρωτόκολλα ασφαλείας, κρυπτογράφηση κλπ)

    Άρθρο30

    Αρχεία των δραστηριοτήτων επεξεργασίας

    Θα πρέπει να υπάρχει σωστή πληροφόρηση για την επεξεργασία τους. Δηλαδή πλήρη και σαφή ενημέρωση κατά τη συλλογή των Δεδομένων για την επεξεργασία τους.

    Άρθρο32

    Ασφάλεια επεξεργασίας

    Πρέπει να εξασφαλίζεται ότι η επεξεργασία των δεδομένων όχι μόνο δύναται να εκτελεστεί από εξουσιοδοτημένους χρήστες (διαβάθμιση δικαιωμάτων) αλλά και η επεξεργασία ως διαδικασία δεν θέτει σε κίνδυνο την προστασία των δεδομένων κατά τον τρόπο που ορίζουν τα υπόλοιπα άρθρα του κανονισμού (π.χ. ιχνηλασιμότητα και ιστορικότητα στην επεξεργασία)