Γενικός Κανονισμός για την Προστασία των Δεδομένων της ΕΕ (679/2016)

Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (GDPR) ρυθμίζει τον τρόπο με τον οποίο οι επιχειρήσεις επεξεργάζονται και διαχειρίζονται δεδομένα προσωπικού χαρακτήρα.Ο GDPR, ο οποίος θα αρχίσει να ισχύει στις 25 Μαΐου 2018 και θα εφαρμόζεται σε όλες τις επιχειρήσεις και τους οργανισμούς, αποτελεί τη μεγαλύτερη αλλαγή στους κανόνες της ΕΕ για την προστασία των δεδομένων προσωπικού χαρακτήρα εδώ και πάνω από 20 χρόνια.

Ο GDPR εφαρμόζεται εάν η εταιρεία σας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα και εδρεύει στην ΕΕ, ανεξάρτητα από το πού ακριβώς πραγματοποιείται η επεξεργασία των δεδομένων· ή η εταιρεία σας εδρεύει εκτός της ΕΕ αλλά προσφέρει αγαθά ή υπηρεσίες σε φυσικά πρόσωπα στην ΕΕ ή παρακολουθεί τη συμπεριφορά τους.

Τα δεδομένα προσωπικού χαρακτήρα αναφέρονται σε οποιεσδήποτε πληροφορίες αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο.Για παράδειγμα ονοματεπώνυμο, διεύθυνση και αριθμός τηλεφώνου, τοποθεσία, ιατρικά αρχεία, εισόδημα και πληροφορίες τραπέζης, πολιτιστικές προτιμήσει, κ.α.

Ωστόσο, τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί αμετάκλητα ανώνυμα με τρόπο κατά τον οποίο το άτομο δεν είναι πια ταυτοποιήσιμο δεν θεωρούνται δεδομένα προσωπικού χαρακτήρα και δεν διέπονται από τον GDPR.

Επίσης, ο GDPR είναι τεχνολογικά ουδέτερος, κάτι που σημαίνει ότι προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται ή το πώς έχουν αποθηκευτεί τα δεδομένα προσωπικού χαρακτήρα.

Εάν τα δεδομένα προσωπικού χαρακτήρα που συλλέγετε περιλαμβάνουν πληροφορίες για την υγεία, τη φυλή, τον σεξουαλικό προσανατολισμό, τη θρησκεία, τα πολιτικά φρονήματα ή τη συμμετοχή σε συνδικαλιστική οργάνωση ενός φυσικού προσώπου, θεωρούνται ευαίσθητα.Η εταιρεία σας μπορεί να επεξεργάζεται αυτά τα δεδομένα μόνο υπό ειδικές συνθήκες και μπορεί να χρειάζεται να υλοποιήσετε πρόσθετες διασφαλίσεις, όπως κρυπτογράφηση.

Οι υποχρεώσεις σας σύμφωνα με τον GDPR

Σύμφωνα με τον GDPR, μια εταιρεία μπορεί να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνο σύμφωνα με ορισμένες προϋποθέσεις. Για παράδειγμα, η επεξεργασία πρέπει να είναι θεμιτή και διαφανής, για έναν συγκεκριμένο και νόμιμο σκοπό, και να περιορίζεται στα δεδομένα που είναι απαραίτητα για την εκπλήρωση αυτού του σκοπού.Πρέπει επίσης να βασίζεται σε έναν από τους ακόλουθους νομικούς λόγους:

• στη συγκατάθεση του οικείου ατόμου·
• σε μια συμβατική υποχρέωση ανάμεσα σε εσάς και το άτομο·
• στην εκπλήρωση μιας νομικής υποχρέωσης·
• στην προστασία των ζωτικών συμφερόντων του ατόμου·
• στην εκτέλεση ενός καθήκοντος που ασκείται για το δημόσιο συμφέρον·
• για τα έννομα συμφέροντα της εταιρείας σας, υπο προϋποθέσεις
Ο GDPR περιλαμβάνει μια σειρά από υποχρεώσεις που στοχεύουν στην προστασία του δικαιώματος του φυσικού προσώπου να έχει τον έλεγχο των δεδομένων προσωπικού χαρακτήρα που το αφορούν (Ενημέρωση και πρόσβαση, Διόρθωση και διαγραφή, Δικαίωμα εναντίωσης, κ.α.)
Οι εταιρείες πρέπει να παρέχουν στα φυσικά πρόσωπα πληροφορίες σχετικά με το ποιος επεξεργάζεται τι και γιατί. Τα φυσικά πρόσωπα έχουν το δικαίωμα να ζητήσουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν, δωρεάν και σε προσβάσιμο μορφότυπο.
Ένας Υπεύθυνος Προστασίας Δεδομένων (DPO) είναι επιφορτισμένος με την παρακολούθηση της συμμόρφωσης της εταιρείας σας με τον GDPR. Ένα από τα βασικά καθήκοντα του DPO είναι να ενημερώνει και να συμβουλεύει τους εργαζομένους που εκτελούν την πραγματική επεξεργασία των δεδομένων προσωπικού χαρακτήρα σχετικά με τις υποχρεώσεις τους. Ο DPO συνεργάζεται επίσης με την Αρχή Προστασίας Δεδομένων, λειτουργώντας ως σημείο επαφής με την Αρχή Προστασίας Δεδομένων και τα φυσικά πρόσωπα. Η εταιρεία σας υποχρεούται να διορίσει έναν ΥΠΔ όταν παρακολουθείτε φυσικά πρόσωπα σε τακτική και συστηματική βάση ή επεξεργάζεστε ειδικές κατηγορίες δεδομένων, εφόσον η εν λόγω επεξεργασία συνιστά βασική επιχειρηματική δραστηριότητα· και όταν τη διενεργείτε σε μεγάλη κλίμακα.
Η προστασία δεδομένων ήδη από τον σχεδιασμό συμβάλλει στο να διασφαλίζεται ότι μια εταιρεία λαμβάνει υπόψη την προστασία των δεδομένων από τα αρχικά στάδια του σχεδιασμού ενός νέου τρόπου επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με την εν λόγω αρχή, η εταιρία σας πρέπει να λαμβάνει όλα τα απαραίτητα τεχνικά και οργανωτικά μέτρα προκειμένου να εφαρμόζονται οι αρχές της προστασίας των δεδομένων και να προστατεύονται τα δικαιώματα των φυσικών προσώπων. Αυτά τα μέτρα θα μπορούσαν να περιλαμβάνουν, για παράδειγμα, τη χρήση της ψευδωνυμοποίησης.
Παραβίαση δεδομένων πραγματοποιείται όταν τα δεδομένα προσωπικού χαρακτήρα για τα οποία είστε υπεύθυνοι δημοσιοποιούνται είτε τυχαία είτε παράνομα σε μη εξουσιοδοτημένους αποδέκτες ή καθίστανται προσωρινά μη διαθέσιμα ή αλλοιώνονται. Είναι ζωτικής σημασίας για μια επιχείρηση να εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να αποφεύγονται οι παραβιάσεις δεδομένων.
Η διενέργεια μιας Εκτίμησης Αντικτύπου Προστασίας Δεδομένων (PIA) είναι υποχρεωτική όποτε η επιδιωκόμενη επεξεργασία μπορεί να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
Ο σκοπός της PIA είναι να εντοπίσει τους πιθανούς κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων πριν ακόμα ξεκινήσει η επεξεργασία των δεδομένων προσωπικού χαρακτήρα και πριν ανακύψει κάποιο πρόβλημα. Μετριάζοντας τον κίνδυνο εκ των προτέρων, μπορεί να αποφευχθεί η ζημία και να περιοριστούν στο ελάχιστο τα έξοδα.
Εάν τα μέτρα που επισημαίνονται στην PIA δεν καταφέρουν να άρουν όλους τους υψηλούς κινδύνους που έχουν ταυτοποιηθεί, τότε θα πρέπει να συμβουλευθείτε την Αρχή Προστασίας Δεδομένων πριν λάβει χώρα η επιδιωκόμενη επεξεργασία.
Μια από τις βασικές αρχές που διέπουν τον GDPR είναι να διασφαλίζεται ότι οι εταιρείες μπορούν να αποδεικνύουν τη συμμόρφωσή τους. Αυτό σημαίνει ότι πρέπει να είστε σε θέση να αποδεικνύετε ότι η εταιρεία σας ενεργεί σύμφωνα με τον GDPR και εκπληρώνει όλες τις ισχύουσες υποχρεώσεις της —ιδίως κατόπιν αιτήματος ή επιθεώρησης από την Αρχή Προστασίας Δεδομένων.