GDPR: ΟΙ 10 ΠΙΟ ΣΥΧΝΕΣ ΕΡΩΤΗΣΕΙΣ

Διατηρείτε επιχείρηση που επεξεργάζεται και αποθηκεύει δεδομένα προσωπικού χαρακτήρα;

Έχετε αναπάντητες ερωτήσεις σχετικά με τον επικείμενο νέο Κανονισμό Προστασίας Γενικών Δεδομένων (GDPR);

Μήπως δεν είστε σίγουροι τι θα σημαίνει για την επιχείρησή σας και ποια μέτρα θα χρειαστεί να λάβετε για να εξασφαλιστείτε;

 

Εδώ θα βρείτε τις 10 πιο συχνές ερωτήσεις σχετικά με το GDPR που όλοι πρέπει να διαβάσουν:

Τι είναι ο GDPR;

Ο νέος Κανονισμός της Ευρωπαϊκής Ένωσης για την Γενική Προστασία Δεδομένων (General Data Protection Regulation) αποτελεί τη μεγαλύτερη αλλαγή στην νομοθεσία περί προστασίας των δεδομένων τα τελευταία σχεδόν 20 χρόνια. Επιβάλλει ένα ενιαίο νομοθετικό πλαίσιο για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης και αντικαθιστά την προηγούμενη Νομοθεσία «Οδηγία 95/46/ΕΚ», που είχε ενσωματωθεί στην Ελληνική Νομοθεσία με το Ν. 2472/1997.

Που αποσκοπεί ο νέος Κανονισμός;

Ο Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ έχει ως στόχο να διευρύνει την προστασία των δεδομένων στην εποχή των big data και του cloud computing, εξασφαλίζοντας ότι η προστασία των δεδομένων αποτελεί θεμελιώδες βασικό δικαίωμα, το οποίο θα ρυθμίζεται με συνέπεια σε όλη την Ευρώπη. Στόχος του είναι να διευκολύνει τη ροή δεδομένων προσωπικού χαρακτήρα σε όλα τα 28 κράτη μέλη της ΕΕ. Κάθε εταιρεία που εξυπηρετεί ευρωπαίους πολίτες και συλλέγει τα δεδομένα τους, θα πρέπει να συμμορφώνεται με αυτή την οδηγία, ακόμη και αν η ίδια εδρεύει σε χώρα εκτός Ευρώπης.

Πότε θα τεθεί σε εφαρμογή ο GDPR;

Μετά από σχεδόν τέσσερα χρόνια συζήτησης, ο GDPR εγκρίθηκε από το κοινοβούλιο της ΕΕ στις 14 Απριλίου 2016 και ορίσθηκε ότι θα τεθεί σε υποχρεωτική εφαρμογή στις 25 Μαΐου 2018. Τα δύο χρόνια που μεσολάβησαν είναι το χρονικό διάστημα που δόθηκε στις επιχειρήσεις προκειμένου για την προσαρμογή τους στο νέο πλαίσιο.

Αφορά ο GDPR την επιχείρησή σας;

Αφορά όλες τις επιχειρήσεις, (ιδιωτικού και δημόσιου τομέα) που με οποιοδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα τα οποία αφορούν σε άτομα (εργαζομένους, συνεργάτες, πελάτες, ή άλλα φυσικά πρόσωπα) εντός της Ευρωπαϊκής Ένωσης. Δηλαδή αφορά σχεδόν το σύνολο των επιχειρήσεων.

Ποιες δραστηριότητες θα επηρεαστούν περισσότερο;

Όπως είδαμε όλες οι επιχειρήσεις που διατηρούν ή επεξεργάζονται προσωπικά δεδομένα ευρωπαίων πολιτών επηρεάζονται από την εφαρμογή του νέου κανονισμού. Ωστόσο, κάποιες δραστηριότητες θα επηρεαστούν σε μεγαλύτερο βαθμό λόγω της φύσης τους.

  • Υπηρεσίες Υγείας
  • Χρηματοοικονομικές Υπηρεσίες
  • Υπηρεσίες Ανθρώπινου Δυναμικού
  • Υπηρεσίες Φιλοξενίας και Μετακινήσεων
  • Υπηρεσίες Διαδικτυακών/Προσωποποιημένων Πωλήσεων
  • Παροχή Τηλεπικοινωνιακών Υπηρεσιών
  • Παροχή Υπηρεσιών Ενέργειας
  • Κρατικός Τομέας

Είναι σημαντικό να γίνει απολύτως κατανοητό πως δεν επηρεάζεται μόνο η Διεύθυνση Πληροφοριακών Συστημάτων από την εφαρμογή του νέου κανονισμού. Σε κάθε οργανισμό, οποιαδήποτε λειτουργία στην οποία χρησιμοποιούνται προσωπικά δεδομένα, σε οποιαδήποτε μορφή, θα επηρεαστούν εξίσου ή και σε μεγαλύτερο βαθμό.

Τι πρέπει να κάνουν οι Εταιρείες και οι Οργανισμοί;

Ο GDPR της ΕΕ εισάγει νέους κανόνες για τις παραβιάσεις δεδομένων. Σε σύγκριση με την προηγούμενη οδηγία, ο GDPR επιβάλλει υποχρεώσεις τόσο στους υπεύθυνους επεξεργασίας δεδομένων όσο και στους εκτελούντες την επεξεργασία.

Οι εταιρείες και οι οργανισμοί πρέπει:

  • Να προστατεύουν τα προσωπικά δεδομένα λαμβάνοντας κατάλληλα μέτρα ασφαλείας
  • Να γνωστοποιούν στις αρχές τις παραβιάσεις προσωπικών δεδομένων
  • Να λαμβάνουν συγκατάθεση για τη συλλογή και την επεξεργασία προσωπικών δεδομένων
  • Να τηρούν αρχεία που θα παρέχουν αναλυτικές πληροφορίες για τις δραστηριότητες επεξεργασίας δεδομένων
  • Να παρέχουν σαφή γνωστοποίηση για τη συλλογή δεδομένων
  • Να περιγράφουν το λόγο και τις περιπτώσεις επεξεργασίας των προσωπικών δεδομένων
  • Να ορίζουν πολιτικές διατήρησης και διαγραφής δεδομένων
  • Θα παρέχουν σαφή γνωστοποίηση για τη συλλογή δεδομένων
  • Θα περιγράφουν το λόγο και τις περιπτώσεις επεξεργασίας των προσωπικών δεδομένων
  • Θα ορίζουν πολιτικές διατήρησης και διαγραφής δεδομένων

 

Ποια θα είναι τα πρόστιμα σε περίπτωση μη συμμόρφωσης;

Ο νέος κανονισμός εξουσιοδοτεί τις εκάστοτε Αρχές Προστασίας Προσωπικών Δεδομένων στην Ευρώπη, να επιβάλουν για σοβαρές παραβάσεις πρόστιμα σε ύψος έως και 4% του ετήσιου παγκόσμιου κύκλου εργασιών τους ή 20 εκατομμύρια ευρώ, ανάλογα πάντα με το ποιο είναι το μεγαλύτερο. Το μέγεθος των προστίμων που μπορεί να επιβληθούν εξασφαλίζει ουσιαστικά ότι το απόρρητο των δεδομένων θα αποτελεί πλέον ένα θέμα που θα συζητείται σε επίπεδο διοικητικού συμβουλίου, καθώς η μη συμμόρφωση με τον GDPR θα παρουσιάζει σημαντικό οικονομικό και επιχειρηματικό κίνδυνο.

Είναι απαραίτητος ο Υπεύθυνος Προστασίας Δεδομένων (DPO);

Σύμφωνα με το GDPR υπάρχει η υποχρέωση για ορισμένους οργανισμούς να διορίζουν έναν υπεύθυνο προστασίας δεδομένων (DPO), σε συγκεκριμένες περιπτώσεις:

  • όταν ο υπεύθυνος επεξεργασίας δεδομένων ή ο εκτελών την επεξεργασία είναι δημόσια αρχή
  • όπου οι κύριες δραστηριότητες του υπεύθυνου επεξεργασίας δεδομένων ή του επεξεργαστή είναι η “τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα”
  • όπου ο υπεύθυνος επεξεργασίας ή ο υπεύθυνος επεξεργασίας διεξάγει μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (όπως εθνικότητα, φυλετική προέλευση, πολιτικές απόψεις, θρησκευτικές πεποιθήσεις κ.λπ.)

 

Ποια είναι τα δικαιώματα των υποκειμένων ;

  • Το δικαίωμα ενημέρωσης – Οι οργανισμοί πρέπει να είναι απόλυτα διαφανείς ως προς τον τρόπο με τον οποίο χρησιμοποιούν προσωπικά δεδομένα.
  • Το δικαίωμα πρόσβασης – Τα άτομα θα έχουν το δικαίωμα να γνωρίζουν επακριβώς ποιες πληροφορίες υφίστανται επεξεργασία, πώς και για ποιο σκοπό.
  • Το δικαίωμα διόρθωσης – Τα άτομα θα έχουν το δικαίωμα να ζητήσουν διόρθωση των προσωπικών τους δεδομένων αν αυτά είναι ανακριβή ή ελλιπή.
  • Το δικαίωμα διαγραφής – Επίσης γνωστό ως «το δικαίωμα λήθης», αναφέρεται στο δικαίωμα ενός ατόμου να ζητήσει διαγραφή ή κατάργηση των προσωπικών του δεδομένων χωρίς να χρειάζεται κάποιος συγκεκριμένος λόγος
  • Το δικαίωμα περιορισμού της επεξεργασίας – Αναφέρεται στο δικαίωμα ενός ατόμου να αποκλείει ή να καταστέλλει την επεξεργασία των προσωπικών του δεδομένων.
  • Το δικαίωμα μεταφοράς δεδομένων – Επιτρέπει στα άτομα να διατηρούν και να επαναχρησιμοποιούν τα προσωπικά τους δεδομένα για δικό τους σκοπό.
  • Το δικαίωμα αντικρούσεως – Σε ορισμένες περιπτώσεις, τα άτομα έχουν το δικαίωμα να αντιταχθούν στην χρήση των προσωπικών τους δεδομένων. Στην περίπτωση π.χ. που μια εταιρεία χρησιμοποιεί προσωπικά δεδομένα για σκοπούς άμεσου μάρκετινγκ, επιστημονικής και ιστορικής έρευνας ή για την εκπλήρωση μιας αποστολής προς το δημόσιο συμφέρον.
  • Το δικαίωμα (μη) αυτοματοποιημένης λήψης αποφάσεων και διαμόρφωσης προφίλ – Η κατάρτιση προφίλ και η αυτοματοποιημένη λήψη αποφάσεων μπορεί να είναι χρήσιμη για τα υποκείμενα των δεδομένων, τους οργανισμούς, παρέχοντας οφέλη όπως η αυξημένη αποτελεσματικότητα και η εξοικονόμηση πόρων. Ωστόσο, οι διαδικασίες αυτές απαιτούν την ύπαρξη των κατάλληλων ασφαλιστικών δικλείδων, καθώς μπορούν να δημιουργήσουν σημαντικούς κινδύνους για τα δικαιώματα των ατόμων και τις ελευθερίες τους. Τα άτομα μπορούν να επιλέξουν να μην αποτελέσουν αντικείμενο αυτοματοποιημένη απόφασης αν αυτή έχει έννομες συνέπειες.

Leave a Reply

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.

Top