GDPR | Ολοκληρωμένη Μελέτη και εφαρμογή

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Προετοιμαστείτε
άμεσα για το GDPR

ΝΕΟΣ ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ 2016/679 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΦΥΣΙΚΩΝ ΠΡΟΣΩΠΩΝ ΕΝΑΝΤΙ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Όπως ήδη θα γνωρίζετε, από 25 Μαίου 2018 επίκεινται σοβαρές αλλαγές στη λειτουργία των επιχειρήσεων σε ολόκληρη την Ευρωπαϊκή Ενωση, συνεπώς και στην Ελλάδα, λόγω της άμεσης ισχύος του Ευρωπαϊκου Κανονισμού 2016/679 με την δόκιμη ονομασία G.D.P.R. « General Data Protection Regulation Services» και στα Ελληνικά «Γενικός Κανονισμός Προστασίας Δεδομένων» -Γ.Κ.Π.Δ.

Ο Κανονισμός αυτός εν γένει ρυθμίζει τα δικαιώματα των φυσικών προσώπων σχετικά με την συλλογή, την νόμιμη επεξεργασία, την τήρηση και εξασφάλιση, την αποθήκευση, την μεταβίβαση και την διαγραφή των δεδομένων τους. Εφαρμόζεται επίσης στην επεξεργασία των προσωπικών δεδομένων των εργαζομένων των επιχειρήσεων.

Ολοι οι οργανισμοί και οι επιχειρήσεις μέχρι την 25/5/2018 πρέπει να είναι έτοιμες και να έχουν εκπονήσει αρχεία δραστηριοτήτων επεξεργασίας τα οποία να τηρούν σε έγγραφη και σε ηλεκτρονική μορφή τιθέμενα στην διάθεση της εποπτικής αρχής ( κατόπιν αιτήματός της) και να έχουν έτοιμη μελέτη εκτίμησης αντικτύπου παραβίασης της ιδιωτικότητας. Εφόσον έχουν πάνω από 250 υπαλλήλους ή επεξεργάζονται σε μεγάλη κλίμακα προσωπικά δεδομένα, οφείλουν να διορίσουν είτε σε μορφή υπαλληλική είτε με εξωτερική συνεργασία Υπεύθυνο Προστασίας Δεδομένων ( Data Protection Officer > D.P.O. ) o οποίος ενημερώνει και συμβουλεύει την εταιρία και τους εργαζόμενους, παρακολουθεί την συμμόρφωση με τον κανονισμό και άλλες κανονιστικές απαιτήσεις, αναθέτει αρμοδιότητες για εκπαίδευση και ευαισθητοποίηση, συνεργάζεται και είναι το σημείο επαφής με την Εποπτική Αρχή. Σε κάθε περίπτωση, ακόμη κι αν δεν εμπίπτουν στις αυστηρά προσδιορισμένες κατηγορίες, και δεδομένου ότι σχεδόν όλες οι επιχειρήσεις, ανεξάρτητα από το μέγεθός τους, επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, ο διορισμός DPO διευκολύνει τις επιχειρήσεις και τις απαλλάσσει από « πονοκεφάλους» και εμπλοκές με την Αρχή ή τα Δικαστήρια (θα έχουμε και σωρεία από αγωγές φυσικών προσώπων που θα θεωρούν ότι έχετε συλλέξει και επεξεργαστεί με παράνομο τρόπο τα προσωπικά τους δεδομένα και θα ζητούν την διαγραφή + ηθική βλάβη ~ 10 – 15.000 ευρώ minimum ανάλογα με την βαρύτητα και την βλάβη )

Τα πρόστιμα που προβλέπονται ρητά για παραβιάσεις του κανονισμού από την εποπτική αρχή είναι :

Μέχρι 2% του τζίρου, ή 10.000.000 ευρώ όποιο είναι μεγαλύτερο και για σοβαρότερες 4% του παγκοσμίου τζίρου ή 20.000.000 ευρώ, όποιο είναι μεγαλύτερο.

Συνήθεις ερωτήσεις

01
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) είναι ο νέος νόμος περί προστασίας δεδομένων της Ευρωπαϊκής Ένωσης. Αντικαθιστά την Οδηγία για την προστασία των δεδομένων, η οποία εφαρμόζεται από το 1995. Παρόλο που ο κανονισμός GDPR διατηρεί πολλές από τις αρχές που θεσπίστηκαν με την Οδηγία, είναι πολύ πιο φιλόδοξος. Μεταξύ των πιο αξιοσημείωτων αλλαγών του, ο κανονισμός GDPR παρέχει τη δυνατότητα σε μεμονωμένα άτομα να έχουν μεγαλύτερο έλεγχο στα προσωπικά δεδομένα τους και επιβάλλει πολλές νέες υποχρεώσεις στους οργανισμούς που συλλέγουν, χειρίζονται ή αναλύουν προσωπικά δεδομένα. Ο κανονισμός GDPR παρέχει επίσης στους εθνικούς νομοθέτες νέες εξουσίες για την επιβολή σημαντικών προστίμων σε οργανισμούς που παραβιάζουν το νόμο.
02
Ο κανονισμός GDPR επιβάλλει ένα ευρύ φάσμα απαιτήσεων στους οργανισμούς που συλλέγουν ή επεξεργάζονται προσωπικά δεδομένα, καθώς και την υποχρέωση να συμμορφώνονται με έξι βασικές αρχές:
• Διαφάνεια, αντικειμενικότητα και νομιμότητα ως προς το χειρισμό και τη χρήση των προσωπικών δεδομένων
• Περιορισμός της επεξεργασίας των προσωπικών δεδομένων για καθορισμένους, ρητούς και νόμιμους σκοπούς
• Συλλογή και αποθήκευση μόνο των ελάχιστων προσωπικών δεδομένων που απαιτούνται για έναν σκοπό
• Διασφάλιση της ακρίβειας των δεδομένων, συμπεριλαμβανομένης της δυνατότητας διαγραφής και επεξεργασίας τους
• Περιορισμός της περιόδου αποθήκευσης των προσωπικών δεδομένων
• Διασφάλιση της ασφάλειας, της ακεραιότητας και της εμπιστευτικότητας των προσωπικών δεδομένων
03
Ο κανονισμός GDPR ισχύει για οργανισμούς κάθε μεγέθους, ανεξαρτήτως κλάδου. Ειδικότερα, ο κανονισμός GDPR ισχύει για τα εξής:
• την επεξεργασία των προσωπικών δεδομένων κάθε ατόμου, αν η επεξεργασία πραγματοποιείται στο πλαίσιο των δραστηριοτήτων ενός οργανισμού εγκατεστημένου στην ΕΕ (ανεξάρτητα από το πού πραγματοποιείται η επεξεργασία),
• την επεξεργασία των προσωπικών δεδομένων ατόμων που κατοικούν στην ΕΕ από έναν οργανισμό εγκατεστημένο εκτός της ΕΕ, εφόσον η επεξεργασία σχετίζεται με την παροχή προϊόντων ή υπηρεσιών σε αυτά τα άτομα ή την παρακολούθηση της συμπεριφοράς τους.
04
Ο κανονισμός GDPR διέπει τη συλλογή, την αποθήκευση, τη χρήση και την κοινή χρήση των "προσωπικών δεδομένων". Τα προσωπικά δεδομένα ορίζονται ευρέως στα πλαίσια του κανονισμού GDPR ως οποιαδήποτε δεδομένα σχετίζονται με ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Σε αυτά ενδέχεται να περιλαμβάνονται πληροφορίες, όπως διευθύνσεις IP, βάσεις δεδομένων πωλήσεων, δεδομένα εξυπηρέτησης πελατών, φόρμες παρατηρήσεων και άλλα.
05
Σύμφωνα με τον κανονισμό GDPR, υποχρεούστε να ενσωματώσετε δυνατότητες και λειτουργίας προστασίας του ιδιωτικού απορρήτου στα προϊόντα και τις υπηρεσίες σας από την πρώτη στιγμή της σχεδίασής τους. Πρέπει να αναπτύξετε δυνατότητες με βάση παράγοντες, όπως τη φύση της επεξεργασίας και τους κινδύνους που ενέχει για το ιδιωτικό απόρρητο, την ανάγκη για ασφάλεια και το κόστος υλοποίησης. Πρέπει επίσης να θέσετε σε εφαρμογή μέτρα, για να διασφαλίσετε ότι βάσει προεπιλογής δεν θα υποβάλλονται σε επεξεργασία περισσότερα δεδομένα από όσα απαιτούνται.
06
Το πρόστιμο για σοβαρές παραβιάσεις θα αγγίζει τα 20 εκατομμύρια ευρώ το μέγιστο ή το 4% των παγκόσμιων εσόδων ενός οργανισμού, όποιο είναι μεγαλύτερο. Επίσης, ο κανονισμός GDPR δίνει στους καταναλωτές (και στους οργανισμούς που ενεργούν για λογαριασμό τους) τη δυνατότητα να κινήσουν αστικές δικαστικές διαδικασίες κατά οργανισμών που παραβιάζουν τον κανονισμό GDPR.
07
Το Άρθρο 4 του κανονισμού GDPR περιλαμβάνει μια λίστα όρων με ορισμούς οι οποίοι χρησιμοποιούνται στον κανονισμό. Ακολουθούν οι βασικοί όροι που πρέπει να κατανοήσετε:
• Ελεγκτής. Ο ελεγκτής είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνος ή από κοινού με άλλους, καθορίζει τον τρόπο και τους λόγους της επεξεργασίας δεδομένων.
• Υπεύθυνος επεξεργασίας. Ο υπεύθυνος επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του ελεγκτή.
• Προσωπικά δεδομένα. Πρόκειται για κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, το οποίο ονομάζεται και "υποκείμενο των δεδομένων". Η ταυτότητα ενός ατόμου μπορεί να εξακριβωθεί άμεσα ή έμμεσα μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, αριθμό ταυτότητας, δεδομένα θέσης, ηλεκτρονικό αναγνωριστικό ταυτότητας ή παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του.
• Επεξεργασία. Αναφέρεται σε κάθε πράξη ή σειρά πράξεων που πραγματοποιούνται, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε προσωπικά δεδομένα ή σε σύνολα προσωπικών δεδομένων. Οι πράξεις ενδέχεται να περιλαμβάνουν τη συλλογή, την καταχώριση, την οργάνωση, τη διάρθρωση, την αποθήκευση και άλλα.
• Ψευδωνυμοποίηση. Είναι η επεξεργασία προσωπικών δεδομένων κατά τρόπο ώστε τα προσωπικά δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά.

Θα πρέπει να διαβάσετε το πλήρες κείμενο του Άρθρου 4 του κανονισμού GDPR για την αναλυτική περιγραφή κάθε βασικού όρου.
08
Σύμφωνα με τον κανονισμό GDPR, ο οργανισμός σας υποχρεούται να λαμβάνει μέτρα για τη διατήρηση της ασφάλειας των προσωπικών δεδομένων σας. Σε αυτά τα μέτρα περιλαμβάνονται "οργανωτικά μέτρα", όπως ο περιορισμός του αριθμού των ατόμων εντός του οργανισμού σας που μπορούν να αποκτούν πρόσβαση στα προσωπικά δεδομένα και "τεχνικά μέτρα", όπως η κρυπτογράφηση.
Ο κανονισμός GDPR δεν καθορίζει ούτε επιβάλλει τα ακριβή μέτρα ασφαλείας που πρέπει να λαμβάνουν οι οργανισμοί. Αντίθετα, εσείς υποχρεούστε να καθορίσετε ποια μέτρα ασφαλείας πρέπει να λάβετε με βάση παράγοντες, όπως η φύση των προσωπικών δεδομένων που συλλέγετε, η ευαισθησία τους και οι κίνδυνοι τους οποίους ενέχει η επεξεργασία.
Υπάρχουν πολλοί τύποι κινδύνων ασφαλείας που πρέπει να ληφθούν υπόψη. Στους συνήθεις κινδύνους περιλαμβάνονται η φυσική εισβολή, η παραπλανητική συμπεριφορά υπαλλήλων, η τυχαία απώλεια δεδομένων και οι εισβολείς στο διαδίκτυο. Η ανάπτυξη ενός προγράμματος διαχείρισης κινδύνων και η λήψη βημάτων μετριασμού των κινδύνων, όπως η προστασία κωδικών πρόσβασης, τα αρχεία καταγραφής ελέγχου και η υλοποίηση διαδικασιών κρυπτογράφησης, μπορούν να βοηθήσουν στη διασφάλιση της συμμόρφωσης.
09
Ο κανονισμός GDPR ορίζει την "παραβίαση προσωπικών δεδομένων" ως "παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας γνωστοποίηση ή πρόσβαση προσωπικών δεδομένων που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία."
Σε περίπτωση τέτοιου είδους παραβίασης, υποχρεούστε να τη γνωστοποιήσετε στις ρυθμιστικές αρχές εντός 72 ωρών από τον εντοπισμό της. Ενδέχεται επίσης να πρέπει να ενημερώσετε τους πελάτες σας (ή τα "υποκείμενα δεδομένων") αν υπάρχει σημαντικός κίνδυνος βλάβης για αυτούς λόγω της παραβίασης.
10
Σημαίνει ότι πρέπει να παρέχετε ειλικρινείς και σαφείς διευκρινίσεις για τον λόγο και τον τρόπο επεξεργασίας των δεδομένων των ατόμων. Ο κανονισμός GDPR περιλαμβάνει αναλυτικές πληροφορίες σχετικά με την ενημέρωση που πρέπει να παρέχετε στα άτομα για την επεξεργασία των προσωπικών δεδομένων και σε αυτές περιλαμβάνονται, μεταξύ άλλων, πληροφορίες για τα εξής:
• Το λόγο για τον οποίο επεξεργάζεστε τα προσωπικά δεδομένα,
• Τη διάρκεια αποθήκευσης αυτών των δεδομένων (ή τα κριτήρια για τον καθορισμό της διάρκειας αποθήκευσης των δεδομένων),
• Τα άτομα ή τους οργανισμούς με τους οποίους θα γίνει κοινή χρήση των προσωπικών δεδομένων και
• Εάν θα πραγματοποιείται διαβίβαση των προσωπικών δεδομένων εκτός του Ευρωπαϊκού Οικονομικού Χώρου.
Οφείλετε να παρουσιάζετε αυτές τις πληροφορίες με σαφή και εύκολα προσβάσιμο τρόπο. Για αυτόν το λόγο, είναι καλή ιδέα να ελέγχετε προσεκτικά τις γνωστοποιήσεις σας αναφορικά με τις απαιτήσεις του κανονισμού GDPR.

> Εικονογράφημα: Τι πρέπει να κάνει η επιχείρησή σας

> ΟΔΗΓΟΣ ΤΟΥ ΠΟΛΙΤΗ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΕΕ

> Ενημερωτικό δελτίο για τους πολίτες

> Ενημερωτικό δελτίο για τις επιχειρήσεις

Τι είναι ο κανονισμός GDPR;

Ποιες είναι οι βασικές απαιτήσεις του κανονισμού GDPR;

Ο κανονισμός GDPR ισχύει και για τον οργανισμό μου;

Ο οργανισμός μου επεξεργάζεται δεδομένα. Πώς θα γνωρίζω αν καλύπτονται από τον κανονισμό GDPR;

Τι είναι το "ιδιωτικό απόρρητο βάσει σχεδιασμού" και το "ιδιωτικό απόρρητο βάσει προεπιλογής";"

Τι θα συμβεί αν ο οργανισμός μου δεν συμμορφωθεί με τον κανονισμό GDPR;

Ποιους βασικούς όρους του κανονισμού GDPR πρέπει να γνωρίζω;

Τι προβλέπεται για την ασφάλεια σύμφωνα με τον κανονισμό GDPR;

Τι απαιτεί ο κανονισμός GDPR αν λάβει χώρα μια παραβίαση δεδομένων;

Αναφέρετε ότι οι οργανισμοί πρέπει να είναι "διαφανείς". Τι σημαίνει αυτό;"