GDPR – ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Τι είναι το GDPR;

O κανονισμός γενικής προστασίας δεδομένων είναι το αποτέλεσμα των ενεργειών της Ευρωπαϊκής Ένωσης για την ενίσχυση και την ενοποίηση της προστασίας των δεδομένων για τα άτομα και την ανάκτηση του ελέγχου της χρήσης των προσωπικών τους δεδομένων. Οι οργανισμοί προσπαθούν τώρα να συμμορφωθούν με όλους τους κανόνες και τις απαιτήσεις που πρέπει να πληρούνται όσον αφορά την προστασία των προσωπικών δεδομένων και της ιδιωτικής ζωής.

Έναρξη Ισχύος

Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR – 2016/679) της ΕΕ αποτελεί τη μεγαλύτερη αλλαγή στην νομοθεσία περί προστασίας των δεδομένων τα τελευταία 20 χρόνια και έχει άμεση εφαρμογή σε όλα τα Κράτη-Μέλη από 25/05/2018 χωρίς την προϋπόθεση κρατικής νομοθεσίας.

Σκοπός του κανονισμού

Σκοπός της εφαρμογής είναι η άρση των νομικών ασαφειών και της ανασφάλειας που δημιουργούσε το προηγούμενο νομικό πλαίσιο, η ενδυνάμωση θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων καθώς και η ομοιομορφία του νομικού πλαισίου σε όλα τα κράτη-μέλη. Ο νόμος αφορά επιχειρήσεις εντός ΕΕ, αλλά και εκείνες είτε με έδρα την ΕΕ και τόπο διεξαγωγής επεξεργασίας εκτός ΕΕ, είτε έδρα εκτός ΕΕ και τόπο διεξαγωγής επεξεργασίας εκτός ΕΕ.

Κριτήριο Εφαρμογής

Ο Κανονισμός 2016/679 έχει εφαρμογή σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις, κρατικές αρχές, συλλόγους, κλπ.) που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα, είτε έχουν έδρα και δραστηριότητα σε χώρα της Ευρωπαϊκής Ένωσης είτε όχι, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς Ευρωπαίους πολίτες.

Έλεγχος και κυρώσεις

Παρέχεται στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα το δικαίωμα ελέγχου συμμόρφωσης με τον Κανονισμό. Σε περίπτωση παραβίασης προβλέπονται πρόστιμα ύψους 10.000.000 ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (ανάλογα με το ποιο είναι υψηλότερο) για παραβιάσεις των υποχρεώσεων των άρ.8, 11, 25 έως 39, 41 παρ.4, 42 και 43 και πρόστιμα ύψους 20.000.000 ευρώ ή 4% του συνολικού παγκόσμιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (ανάλογα με το ποιο είναι υψηλότερο) για παραβιάσεις των βασικών αρχών (αρ.5,6,7,9), δικαιωμάτων Υποκειμένων (άρ.12 έως 22) και των προϋποθέσεων διαβίβασης σε αποδέκτη σε 3η χώρα (άρ.44 έως 49). Τέλος, ορίζεται δικαίωμα αποζημίωσης του υποκειμένου και ευθύνη του υπεύθυνου επεξεργασίας.

Οι βασικές αλλαγές που επιφέρει ο κανονισμός

  1. ΑΥΞΗΜΕΝΑ ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
    Το υποκείμενο των δεδομένων έχει πλέον αυξημένα δικαιώματα που περιλαμβάνουν: δικαίωμα στη λήθη, δικαίωμα περιορισμού της επεξεργασίας, δικαίωμα διόρθωσης, δικαίωμα στη φορητότητα, υποχρέωση γνωστοποίησης σε περίπτωση παραβίασης.
  2. ΕΝΙΣΧΥΣΗ ΤΗΣ ΠΑΙΔΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ
    Ενίσχυση της προστασίας των ανηλίκων που χαρακτηρίζονται ως “ευάλωτα φυσικά πρόσωπα” με αυστηρότερους κανόνες και υποχρεώσεις για τον υπεύθυνο επεξεργασίας καθώς και αυστηρότερο πλαίσιο για τη συναίνεση των υποκειμένων των δεδομένων.
  3. ΓΝΩΣΤΟΠΟΙΗΣΗ ΠΑΡΑΒΙΑΣΗΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
    Ο υπεύθυνος επεξεργασίας οφείλει, σε περίπτωση παραβιάσεως, να ενημερώσει εντός 72 ωρών την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και σε ορισμένες περιπτώσεις και το ίδιο το υποκείμενο.
  4. ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΗΔΗ ΑΠΟ ΤΟ ΣΧΕΔΙΑΣΜΟ ΚΑΙ ΕΞ ΟΡΙΣΜΟΥ (Data protection by design and by default)
    O υπεύθυνος επεξεργασίας οφείλει να εφαρμόζει τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
  5. ΑΥΣΤΗΡΟΠΟΙΗΣΗ ΤΩΝ ΠΡΟΫΠΟΘΕΣΕΩΝ ΤΗΣ ΠΑΡΟΧΗΣ ΣΥΓΚΑΤΑΘΕΣΗΣ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
    Όταν η επεξεργασία βασίζεται στη συγκατάθεση του υποκειμένου πρέπει πλέον να είναι ρητή και εν πλήρει επιγνώσει αυτού και επιπλέον παρέχεται σε αυτό η δυνατότητα ανάκλησης της.
  6. ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
    Στις περιπτώσεις που η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας οφείλει να διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα.
  7. ΑΡΧΕΙΑ ΤΩΝ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ
    Κάθε υπεύθυνος επεξεργασίας οφείλει να τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος.
  8. ΟΡΙΣΜΟΣ ΥΠΕΥΘΥΝΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (Data Protection Officer)
    Ορίζεται η θέση του Υπευθύνου Προστασίας Δεδομένων (DPO), η οποία σε πολλές περιπτώσεις καθίσταται υποχρεωτική.

Τήρηση των αρχών που διέπει ο κανονισμός

Ο νέος κανονισμός ενισχύει το καθιερωμένο πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα, καθιερώνοντας νέες υποχρεώσεις για τον υπεύθυνο επεξεργασίας προσωπικών δεδομένων με 3 βασικούς άξονες: την τήρηση προκαθορισμένων βασικών αρχών για την επεξεργασία των προσωπικών δεδομένων, τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων και την ενίσχυση των δικαιωμάτων των υποκειμένων ως αυτές αναλυτικά παρουσιάζονται παρακάτω:

  1. ΝΟΜΙΜΟΤΗΤΑ-ΑΝΤΙΚΕΙΜΕΝΙΚΟΤΗΤΑ-ΔΙΑΦΑΝΕΙΑ
    Η επεξεργασία των δεδομένων γίνεται με νόμιμο, θεμιτό και διαφανή τρόπο.
  2. ΠΕΡΙΟΡΙΣΜΟΣ ΤΟΥ ΣΚΟΠΟΥ
    Η συλλογή των δεδομένων πραγματοποιείται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς.
  3. ΕΛΑΧΙΣΤΟΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ
    Τα δεδομένα είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.
  4. ΑΚΡΙΒΕΙΑ
    Τα δεδομένα πρέπει να είναι ακριβή, επικαιροποιημένα και πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή σε σχέση με τους σκοπούς της επεξεργασίας.
  5. ΠΕΡΙΟΡΙΣΜΟΣ ΠΕΡΙΟΔΟΥ ΑΠΟΘΗΚΕΥΣΗΣ
    Τα δεδομένα διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
  6. ΑΚΕΡΑΙΟΤΗΤΑ-ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ
    Τα δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα.