GDPR: Τι είναι και πως θα προετοιμάσεις την επιχείρησή σου
Ο Ευρωπαϊκός Κανονισμός Προστασίας Δεδομένων ή αλλιώς GDPR (General Data Protection Regulation) αποτελεί τη μεγαλύτερη αλλαγή στην νομοθεσία περί προστασίας των δεδομένων τα τελευταία σχεδόν 20 χρόνια. Επιβάλλει ένα ενιαίο νομοθετικό πλαίσιο για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης και αντικαθιστά την προηγούμενη Νομοθεσία «Οδηγία 95/46/ΕΚ», που είχε ενσωματωθεί στην Ελληνική Νομοθεσία με το Ν.2472/1997. Τίθεται σε εφαρμογή από τις 25 Μαΐου 2018 για όλες τις επιχειρήσεις της Ε.Ε. και αφορά τα προσωπικά δεδομένα που επεξεργάζεται η κάθε επιχείρηση.
Που αποσκοπεί ο νέος κανονισμός;
Ο νέος κανονισμός ρυθμίζει την επεξεργασία από άτομο, εταιρεία ή οργανισμό των δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα της ΕΕ. Προστατεύει με λίγα λόγια τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους, αποσκοπώντας στη ομοιόμορφη και αποτελεσματική προστασία των πολιτών.
Ποια είναι τα δεδομένα προσωπικού χαρακτήρα;
Είναι κάθε πληροφορία, που δίνει τη δυνατότητα αναγνώρισής ενός ατόμου, είτε αυτή σχετίζεται με την προσωπική, επαγγελματική ή δημόσια ζωή του/της. Μπορεί να είναι οτιδήποτε από ένα όνομα, φωτογραφία, διεύθυνση email, στοιχεία τραπεζικού λογαριασμού, δημοσιεύσεις σε ιστοσελίδες κοινωνικής δικτύωσης, ιατρικά δεδομένα, διεύθυνση IP ή ένα συνδυασμό δεδομένων που ταυτοποιεί άμεσα ή έμμεσα το πρόσωπο.
Ειδική κατηγόρια αποτελούν τα ευαίσθητα προσωπικά δεδομένα αναφερόμενα ως «ειδικές κατηγορίες προσωπικών δεδομένων», τα οποία περιλαμβάνουν φυλετική ή εθνική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές απόψεις, συμμετοχή σε συνδικάτα, σεξουαλικό προσανατολισμό, δεδομένα υγείας, γενετικά και βιομετρικά.
Τι θεωρείται επεξεργασία των προσωπικών δεδομένων;
Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, διάδοση, ανάκτηση, χρήση, διαγραφή, καταστροφή, κ.λπ..
Ποια είναι τα δικαιώματα των υποκειμένων;
Τα άτομα ή αλλιώς τα υποκείμενα των προσωπικών δεδομένων σύμφωνα με τον GDPR έχουν τα εξής δικαιώματα:
- Να αποκτούν πρόσβαση στα προσωπικά τους δεδομένα ( δικαίωμα πρόσβασης)
- Να ενημερώνονται πλήρως για τον τρόπο χρήσης και επεξεργασίας των προσωπικών τους δεδομένων(δικαίωμα ενημέρωσης).
- Να εξάγουν τα προσωπικά τους δεδομένα και να τα επαναχρησιμοποιούν για δικό τους σκοπό (δικαίωμα μεταφοράς δεδομένων)
- Να αρνηθούν τη χρήση των προσωπικών τους δεδομένων ( δικαίωμα αντικρούσεως)
- Να διαγράφουν τα προσωπικά τους δεδομένα (δικαίωμα διαγραφής ή λήθης)
- Να διορθώνουν σφάλματα στα προσωπικά τους δεδομένα (δικαίωμα διόρθωσης)
- Να εναντιώνονται στην επεξεργασία των προσωπικών τους δεδομένων (δικαίωμα περιορισμού της επεξεργασίας).
- Την άρνηση συλλογής και επεξεργασίας των προσωπικών τους δεδομένων με αυτοματοποιημένα μέσα με σκοπό την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του.
Παραδείγματα τέτοιων πρακτικών είναι ο σχεδιασμός στοχευμένων εκστρατειών εμπορικής προώθησης ή τιμολόγησης προϊόντων(δικαίωμα αυτοματοποιημένης λήψης αποφάσεων και κατάρτιση προφίλ).
Να εναντιωθούν, δηλαδή, σε αυτοματοποιημένες αποφάσεις, που βασίζονται στα προσωπικά τους δεδομένα και οι οποίες μπορούν να τα επηρεάσουν σημαντικά.
Ποιες είναι οι υποχρεώσεις των επιχειρήσεων που επεξεργάζονται προσωπικά δεδομένα;
Οι εταιρείες και οι οργανισμοί οφείλουν:
- Να παρέχουν σαφή γνωστοποίηση για τη συλλογή των προσωπικών δεδομένων των υποκειμένων.
- Να τα συλλέγουν για συγκριμένο νόμιμο σκοπό και μόνο όσα είναι απολύτως απαραίτητα.
- Να περιγράφουν το λόγο και τις περιπτώσεις επεξεργασίας τους.
- Να τα αποθηκεύουν για το μικρότερο δυνατό χρονικό διάστημα που απαιτείται και να μην τα υποβάλλουν σε περαιτέρω επεξεργασία κατά ασύμβατο τρόπο με σκοπό την επικαιροποίηση τους.
- Να ορίζουν πολιτικές διατήρησης και διαγραφής δεδομένων
- Να λαμβάνουν τα κατάλληλα μέτρα ασφαλείας για την προστασία τους
- Να γνωστοποιούν την κάθε παραβίαση τους (εντός 72 ωρών) στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα.
- Να λαμβάνουν σαφή συγκατάθεση για τη συλλογή και την επεξεργασία τους.
- Να τηρούν αρχεία που θα παρέχουν αναλυτικές πληροφορίες για τις δραστηριότητες επεξεργασίας τους.
- Να τα μεταφέρουν σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις.