• Υπηρεσίες υποστήριξης συστημάτων πληροφορικής
  • info@natigon.gr
  • 2321 321 516

GDPR: απλές απαντήσεις στις συχνότερες ερωτήσεις

  • Home / GDPR: απλές απαντήσεις στις συχνότερες ερωτήσεις

Ποιον προστατεύει;

Ο ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 έχει σκοπό να προστατεύσει τα φυσικά πρόσωπα έναντι της επεξεργασίας των προσωπικών τους δεδομένων και την ελεύθερη κυκλοφορία των δεδομένων αυτών και να καταργήσει την οδηγία 95/46/ΕΚ. Ρυθμίζει επίσης θέματα διαβίβασης δεδομένων εκτός Ευρωπαϊκών συνόρων. Ο Κανονισμός προστατεύει φυσικά πρόσωπα που βρίσκονται στην Ένωση, ανεξαρτήτως ιθαγένειας ή τόπου διαμονής τους (Προοίμιο, αιτιολογικές σκέψεις 2, 14).

Δεν καλύπτει:

  • τα νομικά πρόσωπα και ιδίως επιχειρήσεις συσταθείσες ως νομικά πρόσωπα (δεν καλύπτει δηλαδή την επωνυμία, τον τύπο και τα στοιχεία επικοινωνίας του νομικού προσώπου).
  • την επεξεργασία προσωπικών δεδομένων η οποία διενεργείται από φυσικά πρόσωπα και αποκλειστικά στα πλαίσια προσωπικής ή οικιακής δραστηριότητας και χωρίς σύνδεση με κάποια επαγγελματική ή εμπορική δραστηριότητα. Για παράδειγμα, δεν αφορά την προσωπική ατζέντα τηλεφώνων, τις λίστες γενεθλίων που έχουμε στο σπίτι, την κοινωνική δικτύωση και την επιγραμμική (online) δραστηριότητα που ασκείται στα πλαίσια τέτοιων αμιγώς οικιακών δραστηριοτήτων. Ωστόσο, ο παρών κανονισμός εφαρμόζεται σε υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία (αυτοί δεν είναι φυσικά πρόσωπα!), οι οποίοι παρέχουν τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τέτοιες προσωπικές ή οικιακές δραστηριότητες (αιτιολογικές σκέψεις 15- 21).
  • τους θανόντες.

Ποιον αφορά;

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (EU GDPR) αφορά κάθε επιχείρηση και οργανισμό που διατηρεί ή επεξεργάζεται προσωπικά δεδομένα φυσικών προσώπων που βρίσκονται στην Ευρώπη, ανεξαρτήτως ιθαγένειας ή τόπου διαμονής τους. Αφορά όλους τους οργανισμούς, από τις πιο μικρές εταιρίες έως τους πιο μεγάλους ομίλους, δημοσίου και ιδιωτικού δικαίου. Αφορά τόσο τους υπευθύνους επεξεργασίας, όσο και τους εκτελούντες την επεξεργασία δεδομένων (δείτε παρακάτω – data controllers και data processors).

Πότε τίθεται σε ισχύ;

Ο Κανονισμός είναι σε ισχύ. Δεν απαιτείται επιπλέον έγκριση από κυβερνήσεις κρατών. ‘Εχει ήδη ψηφιστεί από το Ευρωκοινοβούλιο τον Απρίλιο του 2016 και δημοσιεύθηκε στην εφημερίδα της ΕΕ. Δόθηκε απλώς μια 2-ετής περίοδος προσαρμογής μέχρι τις 25 Μαΐου 2018, οπότε ο Κανονισμός τίθεται σε πλήρη εφαρμογή, καθώς και τα υψηλά πρόστιμα. Ο Γενικός Κανονισμός Προστασίας Δεδομένων δεν είναι ένας εντελώς καινούργιος νόμος. Αποτελεί μια ισχυρότερη και εκσυγχρονισμένη εκδοχή της Οδηγίας του 1995 (Data Protection Directive 95/46/EC), με τηδιαφορά ότι τώρα ο Κανονισμός έχει καθολική ισχύ στα κράτη μέλη, ορίζει αυστηρότερες απαιτήσεις και προβλέπει υψηλά πρόστιμα για τους παραβάτες.

Ποια είναι τα πρόστιμα;

Τα πρόστιμα που προβλέπει ο Γενικός Κανονισμός είναι υψηλά. Το ανώτερο ανέρχεται στα €20 εκατομμύρια ή στο 4% του παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, εφόσον πρόκειται για επιχείρηση – όποιο είναι υψηλότερο. Το πρόστιμο αυτό δύναται να επιβληθεί σε σοβαρές παραβιάσεις του Κανονισμού, όπως: παραβιάσεις που αφορούν την συγκατάθεση του ατόμου, τις βασικές αρχές προστασίας δεδομένων, τη μεταφορά δεδομένων Ευρωπαίων πολιτών εκτός Ευρώπης, τη μη συμμόρφωση με τις υποδείξεις των Εποπτικών Αρχών. Υπάρχουν και περιπτώσεις όπου προβλέπεται πρόστιμο €10 εκατομμύρια, ή το 2% του παγκόσμιου ετήσιου κύκλου εργασιών – όποιο είναι υψηλότερο – για παράδειγμα: για τη μη τήρηση οργανωμένων αρχείων, τη μη γνωστοποίηση για παραβίαση ασφαλείας, την παράλειψη ορισμού DPO στις περιπτώσεις που επιβάλλεται, την παράλειψη διενέργειας  Εκτίμησης Αντικτύπου, την ατελή εφαρμογή ή απουσία τεχνικών και οργανωτικών μέτρων για την εξασφάλιση της προστασίας δεδομένων από το σχεδιασμό και εξ’ ορισμού – data privacy by design and by default (Άρθρο 83).

Ποιες είναι οι κυριότερες απαιτήσεις;

  1. Αρχές επεξεργασίας: α) «Νομιμότητα, αντικειμενικότητα και διαφάνεια», β) «Περιορισμός του σκοπού» δηλ. κάθε οργανισμός οφείλει να προσδιορίζει ρητά – και να είναι σε θέση να τεκμηριώσει – τους νόμιμους σκοπούς, για τους οποίους συλλέγει και επεξεργάζεται προσωπικά δεδομένα. Οφείλει επίσης να μην διενεργεί περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς, γ) «Ελαχιστοποίηση των δεδομένων»: τα δεδομένα που συλλέγονται οφείλουν να είναι κατάλληλα, συναφή και απολύτως αναγκαία για τους συγκεκριμένους σκοπούς που ορίστηκαν, δ) «Ακρίβεια», δηλ. τα δεδομένα να είναι ορθά κι επίκαιρα, ε) «Περιορισμός περιόδου αποθήκευσης»: να τηρούνται μόνο για όσο χρονικό διάστημα απαιτείται σύμφωνα με το νόμιμο σκοπό, στ) «Ακεραιότητα και εμπιστευτικότητα», να διασφαλίζεται η προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με χρήση κατάλληλων τεχνικών ή οργανωτικών μέτρων, ζ) «Λογοδοσία» του υπευθύνου επεξεργασίας, ο οποίος φέρει την ευθύνη και επιπλέον πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τα όλα παραπάνω. Γι΄αυτό, η αρχή της λογοδοσίας αποκαλείται μεταξύ νομικών η “αρχή-ομπρέλα”.  (Άρθρο 5).
  2. Ρητή συγκατάθεση: απαιτείται η συγκατάθεση του ατόμου, η οποία ορίζεται ως “κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν”. Είναι σαφές ότι η μη αντίδραση του ατόμου, όπως π.χ. η παθητική παραμονή του σε λίστες newsletter, δεν ισοδυναμεί με συγκατάθεση, σύμφωνα με τον νέο Κανονισμό. Για προσωπικά δεδομένα ανηλίκων κάτω των 16 ετών, απαιτείται σαφής συγκατάθεση γονέα ή κηδεμόνα. Ο οργανισμός οφείλει να τηρεί αρχείο και διαδικασία η οποία να επιτρέπει στο άτομο να διαφοροποιήσει τη συγκατάθεση που έδωσε για μια συγκεκριμένη χρήση, όσες φορές αλλάξει γνώμη (Άρθρα 6,7,8).
  3. Σαφής Πολιτική Απορρήτου: οι οργανισμοί απαιτούνται να δηλώνουν με διαφάνεια, σαφή γλώσσα και κατανοητό τρόπο την πολιτική απορρήτου που εφαρμόζουν. Δηλαδή, να δηλώνουν αναλυτικά ποια δεδομένα συλλέγουν, για ποιο νόμιμο σκοπό, πώς τα διαχειρίζονται, για πόσο χρονικό διάστημα τα διατηρούν, με ποιες μεθόδους ασφαλείας τα προστατεύουν κλπ. (Άρθρο 12).
  4. Πλήθος νέα Ατομικά δικαιώματα: όλα τα άτομα έχουν δικαίωμα να επεμβαίνουν στα δεδομένα τους προκειμένου να τα διορθώσουν (Δικαίωμα Διόρθωσης), να ζητήσουν την παραλαβή των δεδομένων τους, σε δομημένο, συμβατό και διαλειτουργικό μορφότυπο, αναγνώσιμο από μηχανήματα, προκειμένου να τα διαβιβάσουν σε άλλον υπεύθυνο επεξεργασίας (Δικαίωμα στη Φορητότητα), ακόμη και τη διαγραφή (Δικαίωμα στη Λήθη) των προσωπικών τους δεδομένων υπό προϋποθέσεις (Άρθρα 13 ως 23).
  5. Ευθύνη και Λογοδοσία: οι οργανισμοί είναι διαρκώς υπόλογοι στα άτομα και στις Αρχές. Οφείλουν, όχι απλώς να εφαρμόζουν το νέο Κανονισμό, αλλά και να είναι κάθε στιγμή σε θέση να αποδείξουν ότι συμμορφώνονται με όλες τις απαιτήσεις του (Άρθρο 24).
  6. Προστασία ήδη από τον αρχικό σχεδιασμό και εξ’ ορισμού (Privacy by Design and by Default): ο οργανισμός οφείλει να εφαρμόζει αποτελεσματικά, τα κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, η ελαχιστοποίηση των δεδομένων και η ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία τους, κατά τρόπο ώστε να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων (Άρθρο 25). Για παράδειγμα, πρέπει να υπάρχουν ρυθμίσεις ασφάλειας δεδομένων ενσωματωμένες στις υπηρεσίες του οργανισμού και αυτές οι ρυθμίσεις ασφαλείας να είναι κατανοητές και φιλικές προς το χρήστη, είτε πρόκειται για υπάλληλο, είτε για Πελάτη, ή εξωτερικό Συνεργάτη ή Προμηθευτή. Επίσης, πρέπει να είναι εξ’ ορισμού (by default) ενεργοποιημένες οι ρυθμίσεις στην ύψιστη προστασία απορρήτου και πάντα σύμφωνα με τις αρχές της ελαχιστοποίησης και της νομιμότητας του σκοπού. Για παράδειγμα, στις “φόρμες επικοινωνίας” που υπάρχουν συνήθως στον ιστότοπο ενός οργανισμού, να συλλέγονται αυστηρά και μόνο τα δεδομένα που είναι απαραίτητα για τον νόμιμο σκοπό της επικοινωνίας και όχι περισσότερα.
  7. Ασφάλεια Επεξεργασίας: ο οργανισμός που τηρεί και διαχειρίζεται προσωπικά δεδομένα οφείλει να εφαρμόζει τα απαραίτητα συστήματα, πολιτικές και διαδικασίες που εξασφαλίζουν τα απαιτούμενα επίπεδα προστασίας των δεδομένων αυτών, συμπεριλαμβανομένης της προστασίας από την παράνομη πρόσβαση κι επεξεργασία, τόσο από το προσωπικό του οργανισμού, όσο και από τρίτους, την κατά λάθος απώλεια, καταστροφή ή αλλοίωσή τους. Οφείλει επίσης να διασφαλίζει ότι τα δεδομένα που τηρεί είναι ορθά και επίκαιρα (Άρθρο 32).
  8. Γνωστοποίηση παραβίασης εντός 72 ωρών: Σε περίπτωση παραβίασης ασφαλείας που αφορά προσωπικά δεδομένα, οι οργανισμοί οφείλουν να ενημερώνουν εντός 72 ωρών – από τη στιγμή που αποκτούν γνώση του γεγονότος – τις αρμόδιες Αρχές. Υπό προϋποθέσεις, οφείλουν να ενημερώνουν και τα ίδια τα άτομα (Υποκείμενα) των οποίων τα προσωπικά δεδομένα έχουν τεθεί σε κίνδυνο. Οφείλουν επίσης να τηρούν αρχείο με όλα τα περιστατικά παραβίασης ασφαλείας προσωπικών δεδομένων (Άρθρα 33, 34).
  9. Εκτίμηση αντικτύπου: οι οργανισμοί οφείλουν να διεξάγουν μελέτες εκτίμησης αντικτύπου, με σκοπό την εκτίμηση των επιπτώσεων της επεξεργασίας προσωπικών δεδομένων, τον εντοπισμό των κινδύνων ασφάλειας και τον σχεδιασμό της αντιμετώπισης αυτών (Άρθρα 35, 36).
  10. Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer, εν συντομία “DPO”): οι οργανισμοί οφείλουν υπό προϋποθέσεις να ορίσουν έναν Υπεύθυνο Προστασίας Δεδομένων. Ο ρόλος του είναι να παρακολουθεί τη διαρκή και επαρκή συμμόρφωση του οργανισμού με τον νόμο, ενώ παράλληλα αποτελεί τον σύνδεσμο του οργανισμού με την αρμόδια εποπτική Αρχή. Υποχρέωση για διορισμό DPO έχουν: α) όσοι διενεργούν μεγάλης κλίμακας συστηματική επεξεργασία και παρακολούθηση, β) όσοι διενεργούν μεγάλης κλίμακας επεξεργασία ευαίσθητων προσωπικών δεδομένων του Άρθρου 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα του Άρθρου 10, και γ) το δημόσιο. Ο DPO δύναται να είναι μέλος του προσωπικού υπό προϋποθέσεις, ή εξωτερικός Συνεργάτης, με δελτίο παροχής υπηρεσιών (Άρθρα 37, 38, 39).
  11. Εκπαίδευση προσωπικού: οι οργανισμοί οφείλουν να εκπαιδεύσουν το προσωπικό τους στο πως να εφαρμόζει καθημερινά την πολιτική προστασίας προσωπικών δεδομένων.

Αναλυτικότερη πληροφόρηση στην στην αυθεντική Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης  (http://eur-lex.europa.eu/legal-content/EL/TXT/?uri=CELEX%3A32016R0679) και στον ιστότοπο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (http://www.dpa.gr/pls/portal/docs/PAGE/APDPX/GDPR/FILES/FILLADIO%20GDPR.PDF).

Τι ορίζεται ως προσωπικό δεδομένο;

Οποιοδήποτε στοιχείο πληροφορίας συνδέεται με ένα άτομο (Το Υποκείμενο των δεδομένων) και μπορεί να χρησιμοποιηθεί άμεσα ή έμμεσα για την ταυτοποίησή του, αποτελεί σύμφωνα με τον Κανονισμό προσωπικό δεδομένο. Μπορεί να είναι ένα όνομα, αριθμός ταυτότητας, δεδομένα θέσης, ακόμη και online ID, ή ένα ή περισσότερα στοιχεία που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα ενός φυσικού προσώπου.  Υπάρχουν επίσης και οι ειδικές κατηγορίες προσωπικών δεδομένων, όπως η φυλετική ή εθνική προέλευση, τα πολιτικά φρονήματα, οι θρησκευτικές ή φιλοσοφικές πεποιθήσεις, η συμμετοχή σε συνδικαλιστική οργάνωση, τα γενετικά και βιομετρικά δεδομένα, η κατάσταση της υγείας, η σεξουαλική ζωή και ο γενετήσιος προσανατολισμός του ατόμου. Ο Κανονισμός απαγορεύει την επεξεργασία αυτών των ειδικών κατηγοριών, πλην ορισμένων περιπτώσεων και υπό συγκεκριμένες προϋποθέσεις, που προβλέπονται στο Άρθρο 9. Επιπλέον, υπάρχει ειδική μέριμνα για την επεξεργασία προσωπικών δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα του ατόμου (Άρθρο 10). Γι’ αυτό, είναι εξαιρετικά σημαντικό για την επιτυχή συμμόρφωση ενός οργανισμού, να προσδιορίζονται με ακρίβεια τα προσωπικά δεδομένα και οι ειδικότερες κατηγορίες δεδομένων που αυτός τηρεί και επεξεργάζεται. Για παράδειγμα, εάν γίνεται επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων σε μεγάλη κλίμακα, τότε ο οργανισμός οφείλει να διορίσει Υπεύθυνο Προστασίας Δεδομένων (DPO), όπως εξηγείται παρακάτω.

Τι σημαίνει “επεξεργασία” προσωπικών δεδομένων;

Επεξεργασία σημαίνει κάθε εργασία, τόσο με αυτοματοποιημένα ή ψηφιακά μέσα, όσο και με χειροκίνητα ή φυσικά μέσα (π.χ. φυσική αρχειοθήκη),  που αφορά σε προσωπικά δεδομένα, όπως: συλλογή, καταγραφή, οργάνωση, διατήρηση, αποθήκευση, ολική ή μερική διόρθωση, ενημέρωση, τροποποίηση, εξαγωγή, χρήση, μεταβίβαση, διάδοση, συσχετισμός, διασύνδεση, δέσμευση, διαγραφή, καταστροφή.

Ποιος είναι ο Υπεύθυνος Επεξεργασίας (data controller) και ποιος ο Εκτελών την Επεξεργασία (data processor);

Ο Υπεύθυνος Επεξεργασίας (data controller) είναι η οντότητα (το φυσικό ή νομικό πρόσωπο δημοσίου ή ιδιωτικού δικαίου) που καθορίζει το σκοπό, τις προϋποθέσεις και τον τρόπο επεξεργασίας προσωπικών δεδομένων. Για παράδειγμα, Υπεύθυνος Επεξεργασίας είναι κάθε εταιρία, σωματείο, σύλλογος κλπ. που τηρεί προσωπικά δεδομένα τουλάχιστον ενός φυσικού προσώπου: των Υπαλλήλων ή των υποψηφίων Υπαλλήλων της, των Μελών, Πελατών, Προμηθευτών, Συνεργατών και Συμβούλων της,  κλπ. Ο Εκτελών την Επεξεργασία (data processor) είναι αντίστοιχα η οντότητα που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Υπευθύνου Επεξεργασίας. Στο ως άνω παράδειγμα, Εκτελών την Επεξεργασία είναι μεταξύ άλλων και ο Πάροχος ηλεκτρονικού ταχυδρομείου της εταιρίας, καθώς επεξεργάζεται και προσωπικά δεδομένα φυσικών προσώπων (π.χ. τα προσωπικά δεδομένα που υπάρχουν σε αφθονία μέσα στα βιογραφικά σημειώματα που οι υποψήφιοι αποστέλλουν στην εταιρία). Λέγοντας οντότητα, εννοούμε νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα.

Ποιοι υποχρεούνται να διορίσουν DPO;

  • Κάθε δημόσιος οργανισμός και ΔΕΚΟ, εκτός από δικαστήρια που ενεργούν στα πλαίσια της δικαιοδοσίας τους.
  • Κάθε οργανισμός του οποίου η βασική δραστηριότητα συνιστά:
  1. τακτική και συστηματική παρακολούθηση φυσικών προσώπων (Υποκειμένων των δεδομένων) σε μεγάλη κλίμακα, ή
  2. μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων (Άρθρο 9): φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα,  θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή και τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή
  3. μεγάλης κλίμακας επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα (Άρθρο 10).

Παραδείγματα οργανισμών που έχουν υποχρέωση διορισμού DPO: Eταιρίες Τηλεπικοινωνιών, Πάροχοι ηλεκτρονικού ταχυδρομείου, εταιρίες Μισθοδοσίας, Ασφαλιστικές, Τράπεζες, υπηρεσιών Υγείας κλπ.

Μπορεί μια εταιρία να ορίσει ως DPO έναν από τους υπαλλήλους της;

Ναι, αλλά υπό την προϋπόθεση ότι ΔΕΝ υπάρχει σύγκρουση συμφερόντων. Αν ο ρόλος ενός υπαλλήλου στην εταιρία περιλαμβάνει και το να ορίζει το σκοπό ή την μέθοδο επεξεργασίας προσωπικών δεδομένων, τότε αυτός ο υπάλληλος δεν πρέπει να διορισθεί DPO της εταιρίας. Συνήθως, σύγκρουση συμφερόντων παρατηρείται στις εξής θέσεις – αλλά όχι μόνο: CEO, COO, Επικεφαλής IT, HR, Οικονομικών, Marketing, κλπ.  Αυτά αποτελούν ενδεικτικά μόνο παραδείγματα. Στην πραγματικότητα, η σύγκρουση συμφερόντων, σε ποιες βαθμίδες και σε ποιες θέσεις υπάρχει, εξαρτάται από την οργανωτική διάρθρωση της εκάστοτε εταιρίας. Η ομάδα εργασίας του Άρθρου 29 δίνει περισσότερες διευκρινήσεις και παραδείγματα, ειδικότερα στη σελ. 15, το σημείο 3.5) Conflict of interest : http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf.

Ποια η διαφορά του νέου Ευρωπαϊκού Κανονισμού από την ισχύουσα μέχρι σήμερα Ευρωπαϊκή Οδηγία (95/46/ΕΚ);

Κατ’ αρχήν, ένας Κανονισμός έχει δεσμευτική ισχύ για όλα τα κράτη μέλη, ενώ μια Οδηγία είναι απλώς μια οδηγία, δηλαδή ένας «στόχος σύγκλισης» τον οποίο τα κράτη μέλη καλούνται να επιτύχουν, το καθένα όμως με την δική του, επιμέρους νομοθεσία. Είναι φανερό ότι μέχρι σήμερα, η Οδηγία άφηνε περιθώρια για επιμέρους ερμηνείες. Τώρα όμως, ο Γενικός Κανονισμός έχει καθολική ισχύ, ακόμη και στα πρόστιμα. Καταργεί την προηγούμενη και μέχρι τώρα ισχύουσα Οδηγία 95/46/ΕΚ (Άρθρο 94). Η καθολική ισχύς του Κανονισμού αποτρέπει την δημιουργία «νομοθετικών παραδείσων» ανάμεσα στα κράτη μέλη της Ευρωπαϊκής ένωσης, όπου εκεί η νομοθεσία θα είχε μια πιο «χαλαρή» εφαρμογή, ευνοώντας τους παραβάτες. Συνοπτικά, ο νέος Κανονισμός διαφέρει στα εξής βασικά σημεία από την Οδηγία:

  1. έχει καθολική ισχύ σε όλα τα κράτη μέλη, χωρίς να απαιτείται έγκριση από τα κοινοβούλιά τους
  2. έχει ευρύτερο πεδίο εφαρμογής (ευρύτερη ερμηνεία προσωπικών δεδομένων, καθώς και εδαφική κάλυψη)
  3. εισάγει νέα δικαιώματα για τα φυσικά πρόσωπα (Υποκείμενα των δεδομένων): Δικαίωμα  διόρθωσης (Άρθρο 16), Δικαίωμα στη Λήθη (Άρθρο 17), Δικαίωμα περιορισμού της επεξεργασίας (Άρθρο 18), Υποχρέωση γνωστοποίησης αλλαγής (Άρθρο 19), Δικαίωμα Φορητότητας (Άρθρο 20).
  4. είναι πιο αυστηρός και πιο σαφής με στόχο την αποτελεσματική προστασία των προσωπικών δεδομένων. Ενδεικτικά, εισάγει και ρυθμίζει με πολύ αυστηρό τρόπο την συγκατάθεσητου ατόμου, ως  θετική ενέργεια, απαιτεί να τηρούνται πάντα οι επτά αρχές και να ισχύει οπωσδήποτε μία από τις έξι προϋποθέσεις νομιμότητας, η πιο κατάλληλη για κάθε περίσταση.
  5. αναθέτει ξεκάθαρα πλέον την ευθύνη διαρκούς συμμόρφωσης και απόδειξης της συμμόρφωσης στα νομικά πρόσωπα (στους υπεύθυνους επεξεργασίας).
  6. προβλέπει υψηλά πρόστιμα, που θα επιβάλλονται από 25.05.2018 στους παραβάτες.

Το κλειδί της επιτυχίας

Ξεχάστε για μια στιγμή το νόμο. Φανταστείτε απλά τον εαυτό σας ως Πελάτη (καταναλωτή) μιας υπηρεσίας, π.χ. κινητής τηλεφωνίας.

Θέλετε από τον Πάροχο να σέβεται τα προσωπικά σας δεδομένα: να μην κάνει κατάχρηση, να μην σας ενοχλεί με διαφημιστικά μηνύματα δίχως τη ρητή συγκατάθεσή σας, να σας δίνει τη δυνατότητα να αναιρέσετε τη συγκατάθεσή σας με εύκολο τρόπο – όποτε αλλάξετε γνώμη, να μην μεταβιβάζει τα στοιχεία σας σε τρίτους εν αγνοία σας, να τα προστατεύει από κλοπή, αλλοίωση, hackers, κλπ. Θα θέλατε να σας παραδώσει τις επαφές και τις φωτογραφίες σας, σε δομημένη και συμβατή μορφή, μόλις θελήσετε να αλλάξετε Πάροχο, ιδανικά μάλιστα, να γίνει αυτή η μεταφορά απευθείας (server to server), αξιόπιστα και ανέξοδα. Τέλος, θα θέλατε να υπάρχει ένας ξεκάθαρος νόμος, με καθολική ισχύ, για να ελέγχει αυστηρά τον Πάροχο και να του επιβάλλει υψηλά πρόστιμα, αν δεν τηρεί στο ακέραιο τις υποχρεώσεις του απέναντί σας.

Το κλειδί της επιτυχίας βρίσκεται στην κουλτούρα του σεβασμού: «Σέβομαι τα προσωπικά δεδομένα»

Έχοντας αυτή τη φράση κατά νου, οι απαιτήσεις του Κανονισμού γίνονται πιο ξεκάθαρες. Και η συμμόρφωση γίνεται πιο εύκολη, σαν φυσική διαδικασία.

Τι πρέπει να κάνω;

Η πρώτη σας κίνηση είναι να συμβουλευθείτε τον νομικό σας σύμβουλο. Εκείνος θα σας κατατοπίσει αρμόδια, δίνοντας τις απαραίτητες διευκρινήσεις κι ερμηνείες που αφορούν ειδικά την δική σας εταιρία. Για παράδειγμα, θα σας βοηθήσει να ορίσετε ακριβώς – κι όχι περίπου- τι είναι για την εταιρία σας “προσωπικά δεδομένα” κι αν τυχόν τηρείτε “ευαίσθητα προσωπικά δεδομένα”, για τα οποία ο νόμος θέτει αυστηρότερες απαιτήσεις. Θα χρειαστεί να καταγράψετε τυπικά όλα  – κι όχι σχεδόν όλα – τα δεδομένα που συλλέγετε και για ποιο σκοπό. Είναι πράγματι όλα απαραίτητα; Φυσικά, απαιτείται συνεννόηση μεταξύ διαφορετικών τμημάτων της εταιρίας, ώστε να εντοπίσετε και να καταγράψετε, σε ποια σημεία τηρείτε προσωπικά δεδομένα. Για παράδειγμα, τα βιογραφικά υποψηφίων – γεμάτα προσωπικά δεδομένα! – συχνά βρίσκονται σε διάφορες θέσεις και μορφές, όχι πάντα σε ασφάλεια. Υπάρχουν σε φυσική εκτύπωση σε χαρτί (σε κάποιο συρτάρι ή ράφι), αλλά και σε ψηφιακή μορφή, σε κάποιον σκληρό δίσκο υπολογιστή, ίσως και στα εισερχόμενα του email. Ενδεχομένως να έχουν προωθηθεί και σε τρίτους,  εντός ή εκτός της εταιρίας, εν αγνοία του υποκειμένου. Εν προκειμένω, απαιτούνται τουλάχιστον οι εξής ενέργειες: λήψη απόφασης, ότι υπάρχει λόγος τήρησης για κάθε βιογραφικό, επικοινωνία με το υποκείμενο με σκοπό την λήψη συγκατάθεσης και την επικαιροποίηση των στοιχείων του, καταχώρηση της συγκατάθεσης στο σχετικό αρχείο και φύλαξη του βιογραφικού σε συγκεκριμένη ασφαλή τοποθεσία, διαβαθμισμένης πρόσβασης κλπ. Ευτυχώς, υπάρχουν δοκιμασμένες και αποτελεσματικές τεχνικές και εργαλεία που θα σας βοηθήσουν να ολοκληρώσετε την απαιτητική αυτή διεργασία, με αποτελεσματικό και σίγουρο τρόπο.

Για την τεχνική υλοποίηση, θα χρειαστείτε συμβούλους Πληροφορικής, οι οποίοι θα εφαρμόσουν τα κατάλληλα εργαλεία, μέτρα και πολιτικές ασφάλειας και προστασίας δεδομένων. Τα συνηθέστερα από αυτά είναι τα εξής: DLPfirewallencryptionsafety backup, server monitoring, security breach notifications. Θα προκύψει ενδεχομένως ανάγκη για περισσότερες εφαρμογές, ανάλογα με την δραστηριότητα της εταιρίας σας και τον όγκο των δεδομένων που συλλέγετε.

Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων είναι μια διαρκής διαδικασία.  Γι’ αυτό είναι σωστό να γίνει εξ’ αρχής ορθή υλοποίηση. Απολύτως απαραίτητο είναι, πάνω απ’ όλα, να καλλιεργηθεί συστηματικά, σε κάθε Τμήμα και Υπάλληλο του οργανισμού, η πολύτιμη κουλτούρα προστασίας δεδομένων: «Σέβομαι τα προσωπικά δεδομένα».