Το Μάιο 2018 ξεκινά η εφαρμογή του νέου Ευρωπαϊκού Κανονισμού για την Προστασία των Δεδομένων.
Εάν ο κανονισμός σας επηρεάζει, θα πρέπει από τώρα να ξεκινήσει να σας απασχολεί η συμμόρφωση της εταιρείας σας. Το συγκεκριμένο site έχει δημιουργηθεί για να σας βοηθήσει να καταλάβετε τον Ευρωπαϊκό Κανονισμό για την Προστασία των Δεδομένων, να ποσοτικοποιήσετε τις απαιτήσεις σας και να σας προσφέρει λύσεις.
Ο GDPR θα επηρεάσει κάθε οργανισμό και εταιρεία στην Ευρώπη, η οποία διαχειρίζεται με οποιονδήποτε τρόπο προσωπικά δεδομένα κάθε μορφής. Επιπλέον, θα επηρεάσει κάθε εταιρεία που συναλλάσσεται στην επικράτεια της Ευρωπαϊκής Ένωσης.
Οι κανόνες είναι πολύπλοκοι και τα πρόστιμα για μη συμμόρφωση πολύ αυστηρά (μπορούν να φτάσουν έως τα 20 εκατομμύρια Ευρώ).
Τι είναι ο Γενικός Κανονισμός για την Προστασία Δεδομένων;
Ο Κανονισμός 2016/679 της Ευρωπαϊκής Ένωσης, ευρύτερα γνωστός ως Γενικός Κανονισμός για την Προστασία Δεδομένων – ΓΚΠΔ (και στα αγγλικά General Data Protection Regulation – GDPR), ψηφίστηκε στις 27 Απριλίου 2016 και τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25 Μαΐου 2018.
Πρόκειται για ένα νέο, ενιαίο και άμεσα εφαρμόσιμο νομικό πλαίσιο, το οποίο ρυθμίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα ατόμων που βρίσκονται στην Ευρωπαϊκή Ένωση, από άλλα άτομα, εταιρείες ή οργανισμούς.
Ο Κανονισμός δεν αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων που δεν βρίσκονται στη ζωή ή νομικών προσώπων, όπως, για παράδειγμα, εταιρειών.
Επίσης, ο GDPR δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας και, ως εκ τούτου, χωρίς σύνδεση με κάποια επαγγελματική ή εμπορική δραστηριότητα.
Μόλις τεθεί σε εφαρμογή τον Μάιο του 2018, ο GDPR καταργεί την Οδηγία 95/46/ΕΚ, η οποία είχε ενσωματωθεί από τα κράτη μέλη της ΕΕ, και συγκεκριμένα στην Ελλάδα με τον Νόμο 2472/1997.
Σύμφωνα με το σχέδιο νόμου για τον ελληνικό Νόμο για την Προστασία Δεδομένων, ο Νόμος 2472/1997 επίσης θα καταργηθεί στο σύνολό του.
Με τον νέο Κανονισμό ενισχύονται τα δικαιώματα των υποκειμένων των δεδομένων, αυξάνονται, ποσοτικά και ποιοτικά, οι υποχρεώσεις των υπεύθυνων και εκτελούντων την επεξεργασία και γενικώς ενισχύεται σημαντικά η προστασία των προσωπικών δεδομένων των πολιτών της ΕΕ.
Τα προβλεπόμενα πρόστιμα (μπορεί να φτάσουν τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου τζίρου) σε συνδυασμό με τις αυξημένες υποχρεώσεις συμμόρφωσης που οφείλουν να επιδεικνύουν οι επιχειρήσεις, αποτελούν τεράστια πρόκληση για την αγορά και τη Δημόσια Διοίκηση στην Ελλάδα αλλά και σε ολόκληρη την Ευρωπαϊκή Ένωση.
Μία από τις προκλήσεις που θέτει ο Κανονισμός είναι η κατανόηση του νομικού πλαισίου για την προστασία των δεδομένων από τους πολίτες, χωρίς δυσνόητους και σύνθετους ορισμούς.
Για την πληρέστερη κατανόηση όσων γράφονται εντός της ιστοσελίδας, έχει δημιουργηθεί ένα γλωσσάρι, στο οποίο μπορείτε να αναζητάτε την ερμηνεία των όρων που σχετίζονται με την προστασία προσωπικών δεδομένων.
Τι σημαίνει “προσωπικά δεδομένα”;
Σύμφωνα με τις βασικές κατευθυντήριες γραμμές που έχει εκδώσει η ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται σε και περιγράφει ένα άτομο, όπως:
- στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, διεύθυνση κατοικίας, επάγγελμα, οικογενειακή κατάσταση κ.λπ.),
- φυσικά χαρακτηριστικά, εκπαίδευση, εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κ.λπ),
- οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά),
- ενδιαφέροντα, δραστηριότητες, συνήθειες.
Το άτομο (φυσικό πρόσωπο) στο οποίο αναφέρονται τα δεδομένα ονομάζεται υποκείμενο των δεδομένων.
Σύμφωνα με τον ορισμό που δίνεται από τον ίδιο τον Κανονισμό στο άρθρο 4 του GDPR, δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»).
Ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας.
Χαρακτηριστικά παραδείγματα αναγνωριστικών στοιχείων ταυτότητας, τα οποία αναφέρονται στον Κανονισμό, είναι το όνομα, ο αριθμός ταυτότητας, τα δεδομένα θέσης (ακόμα και η διεύθυνση κατοικίας/εργασίας), καθώς και τα επιγραμμικά αναγνωριστικά ταυτότητας, όπως η διεύθυνση IP. Ακόμα αναφέρονται και σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
Πληροφορίες οι οποίες, συλλεγόμενες σε σύνολο, μπορούν να οδηγήσουν στην ταυτοποίηση ενός προσώπου, αποτελούν και αυτές προσωπικά δεδομένα. Προσωπικά δεδομένα που έχουν αποταυτοποιηθεί, κρυπτογραφηθεί ή ψευδωνυμοποιηθεί, αλλά μπορούν να χρησιμοποιηθούν για να ταυτοποιήσουν ένα πρόσωπο, εξακολουθούν να θεωρούνται προσωπικά δεδομένα που εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού.
Προσωπικά δεδομένα, ωστόσο, τα οποία έχουν καταστεί ανώνυμα με τέτοιο τρόπο, ώστε το υποκείμενο να μην μπορεί πλέον να ταυτοποιηθεί, δεν θεωρούνται προσωπικά δεδομένα. Για να έχουν πραγματικά ανωνυμοποιηθεί τα δεδομένα κάποιου προσώπου θα πρέπει η ανωνυμοποίηση να είναι μη αναστρέψιμη. Ωστόσο, θα πρέπει να επισημανθεί ότι η ανωνυμοποίηση, λόγω των σύγχρονων τεχνολογικών δυνατοτήτων, επιτυγχάνεται δύσκολα στην πράξη, με αποτέλεσμα σε περιπτώσεις αμφιβολίας να πρέπει να θεωρούνται δεδομένα υπό ψευδωνυμοποίηση και άρα προσωπικά δεδομένα που εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού.
Τι είναι τα προσωπικά δεδομένα “ειδικών κατηγοριών”;
Τα προσωπικά δεδομένα ειδικών κατηγοριών, τα οποία αναφέρονται στα άρθρα 9 και 10 του GDPR, αποτελούν στην πράξη τα ευαίσθητα προσωπικά δεδομένα του Ελληνικού νόμου 2472/97, τα οποία αναφέρονται στη φυλετική ή εθνική προέλευση του ατόμου, στα πολιτικά του φρονήματα, στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις, στη συμμετοχή του σε συνδικαλιστική οργάνωση, στην υγεία του, στην κοινωνική του πρόνοια, στην ερωτική του ζωή, στις ποινικές διώξεις και καταδίκες του, καθώς και στη συμμετοχή του σε συναφείς με τα ανωτέρω ενώσεις προσώπων. Τα ευαίσθητα δεδομένα προστατεύονται από τον Νόμο με αυστηρότερες ρυθμίσεις από ότι τα απλά προσωπικά δεδομένα.
Ποιες υποχρεώσεις έχουν όσοι επεξεργάζονται προσωπικά δεδομένα;
Με τον GDPR ενισχύονται σημαντικά τα δικαιώματα των υποκειμένων σχετικά με τα προσωπικά τους δεδομένα. Αντίστοιχα αυξάνονται και οι υποχρεώσεις των υπευθύνων επεξεργασίας, οι οποίοι επιφορτίζονται με την λεγόμενη αρχή της λογοδοσίας (άρθρο 5). Η αρχή αυτή αναλύεται σε πολλές επιμέρους ενέργειες που πρέπει να πραγματοποιεί ο υπεύθυνος ο οποίος «φέρει την ευθύνη και (πρέπει να) είναι σε θέση να αποδείξει τη συμμόρφωση» του με τις λοιπές γενικές αρχές που προβλέπει ο Κανονισμός.
Η αρχή της λογοδοσίας αποτελεί ομπρέλα υπό την οποία τίθενται όλες οι πράξεις επεξεργασίας και τονίζει τόσο την υποχρέωση συμμόρφωσης όσο και απόδειξης της συμμόρφωσής του αυτής.
- Για παράδειγμα στο άρθρο 7 παρ. 1 ορίζεται ότι όταν η επεξεργασία βασίζεται στην συγκατάθεση, ο υπεύθυνος πρέπει να μπορεί να αποδείξει ότι η συγκατάθεση έλαβε χώρα.
- Στο άρθρο 12 παρ. 1 υπογραμμίζεται η υποχρέωση του υπευθύνου επεξεργασίας να παρέχει στα υποκείμενα γραπτώς ή με άλλα μέσα (ακόμα και ηλεκτρονικά) τις πληροφορίες που αφορούν επεξεργασία των δεδομένων τους, και δη εντός ενός μήνα (παρ 3).
- Το άρθρο 15 κάνει λόγο για υποχρέωση παροχής αντιγράφου των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, άπαξ το υποκείμενο ασκήσει το δικαίωμα πρόσβασης προς τον υπεύθυνο.
- Στο άρθρο 24 όπου γίνεται λόγος για την ευθύνη του υπεύθυνου επεξεργασίας αναφέρεται ρητά η υποχρέωση του υπεύθυνου να αποδεικνύει ότι η επεξεργασία γίνεται σύμφωνα με τον Κανονισμό, παρέχοντας τα κατάλληλα τεχνικά και οργανωτικά μέτρα. Προβλέπεται επίσης η δυνατότητα επιλογής πολιτικών προστασίας ικανών να εφαρμοστούν, καθώς και η τήρηση εγκεκριμένου κώδικα δεοντολογίας ή μηχανισμού πιστοποίησης ως αποδεικτικά της συμμόρφωσης, οι οποίες προστίθενται στην λίστα των υποχρεώσεων του υπεύθυνου επεξεργασίας.
Privacy by Design/Privacy by Default: Ο υπεύθυνος επεξεργασίας, προκειμένου να συμμορφώνεται με τις επιταγές του Κανονισμού και να αποδεικνύει την συμμόρφωση του, λαμβάνει κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως:
- ψευδωνυμοποίηση,
- μέτρα σχεδιασμένα για την εφαρμογή των αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων και
- μέτρα σχεδιασμένα, ώστε να προάγουν την διαφάνεια, όσον αφορά τις λειτουργίες και τις επεξεργασίες δεδομένων, προκειμένου να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία και να είναι σε θέση ο υπεύθυνος επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφαλείας
H αρχή της λογοδοσίας επεκτείνεται και στον εκτελούντα την επεξεργασία (Άρθρο 28). Ο εκτελών την επεξεργασία, ο οποίος επιλέγεται από τον υπεύθυνο, οφείλει να παρέχει επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων οργανωτικών και τεχνικών μέτρων. Η επεξεργασία διενεργείται μόνο κατόπιν σύμβασης γραπτής και δεσμευτικής για τον εκτελούντα, ο οποίος επεξεργάζεται τα δεδομένα μόνο σύμφωνα με τις καταγεγραμμένες εντολές του υπευθύνου. Επίσης, οφείλει να παρέχει στον υπεύθυνο επεξεργασίας πληροφορίες ως απόδειξη της συμμόρφωσης προς τις υποχρεώσεις του. Ο υπεύθυνος, δηλαδή, επιφορτίζεται με την υποχρέωση προσεκτικής επιλογής του υπευθύνου και φέρει ευθύνη σε περίπτωση που αυτός δεν επιτελεί τα καθήκοντά του από τη μεταξύ τους σύμβαση σύμφωνα με τον Κανονισμό.
Τήρηση αρχείων δραστηριοτήτων επεξεργασίας για επιχειρήσεις (άρθρο 30)
Ο υπεύθυνος και εκτελών την επεξεργασία πρέπει να τηρούν εγγράφως ή ηλεκτρονικά αρχείο δραστηριοτήτων επεξεργασιών τους το οποίο και να μπορούν να θέτουν στην διάθεση της Εποπτικής Αρχής κατόπιν αιτήματος της.
Η τήρηση αρχείου καταγραφής των δραστηριοτήτων επεξεργασιών είναι υποχρεωτική στις ακόλουθες περιπτώσεις:
- Όταν η επιχείρηση ή ο οργανισμός απασχολεί άνω των 250 ατόμων.
- Όταν η επεξεργασία δημιουργεί κινδύνους για τα δεδομένα
- Όταν η επεξεργασία δεν είναι περιστασιακή
- Όταν η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων των άρθρων 9 και 10 ΓΚΠΔ («ευαίσθητα δεδομένα», ήτοι βιομετρικά, γενετικά δεδομένα, δεδομένα που αφορούν ποινικές καταδίκες, αδικήματα και μέτρα ασφαλείας)
Γνωστοποίηση Παραβίασης δεδομένων προσωπικού χαρακτήρα (άρθρο 33)
Εντός 72 ωρών από την στιγμή της απόκτησης γνώσης του γεγονότος της παραβίασης, ο υπεύθυνος οφείλει να την γνωστοποιήσει στην αρμόδια Εποπτική Αρχή. Αυτό δεν είναι υποχρεωτικό όταν δεν ενδέχεται να προκληθεί κίνδυνος από την παραβίαση. Την απουσία κινδύνου οφείλει να αποδείξει ο υπεύθυνος. Επίσης, οφείλει να δικαιολογήσει την παραβίαση βάσει πραγματικών περιστατικών και να αναφερθεί στις συνέπειες και τα ληφθέντα διορθωτικά μέτρα, δίνοντας την δυνατότητα στην Εποπτική Αρχή να επαληθεύσει την συμμόρφωση.
Privacy Impact Assessment (Εκτίμηση Αντικτύπου σχετικά με την προστασία των δεδομένων) (άρθρο 35)
O υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους. Η εκπόνηση της μελέτης αυτής απαιτείται ιδίως σε περιπτώσεις:
- συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ η οποία οδηγεί σε λήψη αποφάσεων,
- μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στα άρθρα 9 και 10 και
- συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.
Η εκπόνηση της μελέτης δεν είναι υποχρεωτική για τους υπευθύνους που δεν ανήκουν στις κατηγορίες που αναφέρονται στο άρθρο 35.
Ορισμός DPO (Υπεύθυνος Προστασίας Δεδομένων) (άρθρο 39)
Οι επιχειρήσεις και οι οργανισμοί ορισμένης κλίμακας και δραστηριότητας οφείλουν να ορίζουν έναν υπεύθυνο προστασίας δεδομένων (DPO) στα καθήκοντα του οποίου περιλαμβάνεται και η παρακολούθηση η συμμόρφωσης με τον Κανονισμό και τις πολιτικές προστασίας προσωπικών δεδομένων του υπευθύνου ή εκτελούντος την επεξεργασία. Επίσης, αναλαμβάνει την ανάθεση αρμοδιοτήτων και την ευαισθητοποίηση και κατάρτιση των υπαλλήλων, που διαχειρίζονται και επεξεργάζονται προσωπικά δεδομένα ενώ, παράλληλα, προβαίνει και στους απαραίτητους ελέγχους.
Πώς θα ξεκινήσω τον σχεδιασμό μου προκειμένου να ικανοποιήσω τα κριτήρια;
Η αρχή γίνεται με μια ανάλυση των ελλείψεων. Ερευνήστε τι πρέπει να κάνετε για να ευθυγραμμιστείτε με τους νέους κανόνες, καθώς υπάρχουν πολύ συγκεκριμένες κατευθυντήριες γραμμές. Κάντε σύγκριση με την υφιστάμενη δομή και τις διαδικασίες σας και στη συνέχεια εντοπίστε τις ελλείψεις.Από εκεί και πέρα, μπορείτε να χτίσετε τον οδικό χάρτη σας. Είναι σημαντικό να εξασφαλίσετε ότι η εταιρεία σας έχει επίγνωση των προσδοκιών της από τους εργαζομένους, σε κάθε σημείο της διαδρομής. Όσο πιο πολύ το καθυστερείτε, τόσο πιο πιθανό είναι να καταλήξετε σε μια κατάσταση πανικού. Άρα είναι καλό να αρχίσετε να προετοιμάζεστε από τώρα και αν δεν ξέρετε από πού να ξεκινήσετε, υπάρχουν ειδικοί που μπορούν να σας βοηθήσουν.
Πώς επηρεάζει ο κανονισμός GDPR το πώς θα αντιμετωπίσω μια παραβίαση δεδομένων;
Σήμερα, σε ορισμένες χώρες της ΕΕ, αν ένας οργανισμός υποστεί παραβίαση δεδομένων δεν είναι υποχρεωμένος να το αποκαλύψει σε κανέναν. Βέβαια, για λόγους ηθικής αλλά και δεοντολογίας, ορισμένες εταιρείες νιώθουν την υποχρέωση να το κάνουν, ειδικά αν η παραβίαση αφορά άμεσα τους πελάτες τους.Όμως τώρα με τον κανονισμό GDPR, αυτό θα είναι αναγκαστικό. Αν δεν αναφέρετε μια παραβίαση εντός 72 ωρών, θα αρχίσουν τα πρόστιμα.
Αν οι οργανισμοί δεν διαθέτουν τις κατάλληλες διαδικασίες ή την κατάλληλη τεχνολογία, δεν θα μπορούν να αξιολογήσουν το μέγεθος της παραβίασης. Όταν λοιπόν θα πρέπει να κάνουν τις σχετικές ανακοινώσεις και να απαντήσουν σε ερωτήσεις του τύπου «Ποια στοιχεία εκλάπησαν;», «Τι θα κάνετε τώρα;» ή «Μπορείτε να με διαβεβαιώσετε ότι δεν θα ξανασυμβεί;», οι απαντήσεις τους δεν θα είναι και τόσο πειστικές.Επίσης, σύμφωνα με έρευνες του Ινστιτούτου Ponemon, ο μέσος χρόνος που απαιτείται για την ανίχνευση μιας παραβίασης σε μια επιχείρηση είναι 191 ημέρες, το οποίο είναι υπερβολικά μεγάλο χρονικό διάστημα. Οι οργανισμοί πρέπει να αντιληφθούν το σημερινό τοπίο απειλών και να προετοιμαστούν για απόπειρες κλοπής των δεδομένων τους. Θα πρέπει να υπάρχουν οι κατάλληλες διαδικασίες για την αναγνώριση μιας παραβίασης και στη συνέχεια, την αντιμετώπισή της. Ο κανονισμός GDPR δημιουργήθηκε για να μας ενθαρρύνει να κινηθούμε προς την κατεύθυνση αυτή.
Ποιες επιχειρήσεις αφορά και σε ποιες προβλέπονται παρεκκλίσεις
Αφορά όλες τις επιχειρήσεις, (ιδιωτικού και δημόσιου τομέα) που με οποιοδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών, ή άλλων φυσικών προσώπων. Δηλαδή αφορά σχεδόν το σύνολο των επιχειρήσεων.
Παρόλα αυτά, για να ληφθεί υπόψη η ειδική κατάσταση των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, ο παρών κανονισμός περιλαμβάνει παρέκκλιση για οργανισμούς που απασχολούν λιγότερα από 250 άτομα (Άρθρο 30 παρ. 5) όσον αφορά την τήρηση αρχείων.
Συγκεκριμένα η παρ. 5 του άρθρου 30 του Κανονισμού αναφέρει ότι οι υποχρεώσεις που αναφέρονται στις παραγράφους του άρθρου 30 και αφορούν τις πληροφορίες που οφείλουν οι «υπεύθυνοι επεξεργασίας» να περιλαμβάνουν στο αρχείο των δραστηριοτήτων επεξεργασίας, δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
Επιπλέον, τα θεσμικά όργανα και οι οργανισμοί της Ένωσης, καθώς και τα κράτη μέλη και οι εποπτικές αρχές τους, παροτρύνονται να λαμβάνουν υπόψη τις ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων κατά την εφαρμογή του παρόντος κανονισμού. Η έννοια των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων θα πρέπει να βασίζεται στο άρθρο 2 του παραρτήματος στη σύσταση 2003/361/ΕΚ της Επιτροπής (1). (Η κατηγορία των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων (ΜΜΕ) αποτελείται από επιχειρήσεις που απασχολούν λιγότερους από 250 εργαζομένους και των οποίων ο ετήσιος κύκλος εργασιών δεν υπερβαίνει τα 50 εκατομμύρια ευρώ ή το σύνολο του ετήσιου ισολογισμού δεν υπερβαίνει τα 43 εκατομμύρια ευρώ.)
Προσωπικά δεδομένα: οι «10 εντολές» για τις επιχειρήσεις
1. Να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ’ αυτών είναι απαραίτητα.
2. Να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν.
3. Να τα αποθηκεύουν για το μικρότερο δυνατό χρονικό διάστημα που απαιτείται, να λαμβάνουν – κατά περίπτωση – την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων.
4. Να τα μεταφέρουν σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις.
5. Να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με το νέο κανονισμό.
6. Να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα για: Ανάκληση της συγκατάθεσης, πρόσβαση στα δεδομένα, διόρθωση των δεδομένων, διαγραφή των δεδομένων, περιορισμό της επεξεργασίας, παράδοση των δεδομένων σε ηλεκτρονική μορφή, μεταφορά των δεδομένων σε άλλο φορέα.
7. Να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους.
8. Να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους.
9. Να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση.
10. Να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.
Παραδείγματα δεδομένων προσωπικού χαρακτήρα
- Όνομα και επώνυμο
- Διεύθυνση κατοικίας
- Ηλεκτρονική διεύθυνση, π.χ. όνομα.επώνυμο@εταιρεία.com
- Αναγνωριστικός αριθμός κάρτας
- Δεδομένα τοποθεσίας (π.χ. η λειτουργία δεδομένων τοποθεσίας σε κινητό τηλέφωνο)*
- Διεύθυνση διαδικτυακού πρωτοκόλλου (IP)
- Αναγνωριστικό cookie*
- Το αναγνωριστικό διαφήμισης του τηλεφώνου σας
- Δεδομένα που φυλάσσονται από νοσοκομείο ή γιατρό, που θα μπορούσαν να είναι ένα σύμβολο που προσδιορίζει αποκλειστικά ένα άτομο.
Προσωπικά δεδομένα: τα δικαιώματα των καταναλωτών
- Ενημέρωση με σαφήνεια και διαφάνεια από τον υπεύθυνο επεξεργασίας (ταυτότητα και στοιχεία υπεύθυνου επεξεργασίας, είδος δεδομένων, σκοπός επεξεργασίας, πιθανοί αποδέκτες των δεδομένων κ.λπ.).
- Δυνατότητα πρόσβασης στα προσωπικά του δεδομένα, όταν αυτά υφίστανται επεξεργασία.
- Δυνατότητα απαίτησης διόρθωσης ή συμπλήρωσης ελλιπών δεδομένων, από τον υπεύθυνο επεξεργασίας.
- Αίτημα διαγραφής (λήθη) των προσωπικών του δεδομένων υπό προϋποθέσεις (ανάκληση συγκατάθεσης, παράνομη απόκτηση, απουσία επιτακτικών και νόμιμων λόγων επεξεργασίας κ.λπ.).
- Δυνατότητα εναντίωσης στην επεξεργασία προσωπικών δεδομένων, εάν ο υπεύθυνος επεξεργασίας δεν καταδείξει επιτακτικούς λόγους για την επεξεργασία αυτή.
Επιπροσθέτως, ο υπεύθυνος επεξεργασίας προσωπικών δεδομένων υποχρεούται:
- Να λαμβάνει η επιχείρηση τη συγκατάθεση του υποκειμένου των προσωπικών δεδομένων, όπου αυτή απαιτείται και να είναι σε θέση να αποδεικνύει τη συγκατάθεση αυτή αν του ζητηθεί.
- Να μην προβαίνει η εταιρεία σε επεξεργασία προσωπικών δεδομένων, ανηλίκων κάτω των 16 ετών, χωρίς προηγούμενη συγκατάθεση του γονέα. Ο υπεύθυνος επεξεργασίας, θα πρέπει να επαληθεύει τη συγκατάθεση αυτή, με κάθε μέσο που του προσφέρει η διαθέσιμη τεχνολογία. Τα κράτη μέλη μπορούν να θεσπίζουν μικρότερο ηλικιακό όριο, σε καμία περίπτωση όμως το όριο δε θα πρέπει να είναι μικρότερο από τα 13 έτη.
- Να μην επεξεργάζεται ο φορέας δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό.
Παραδείγματα επεξεργασίας Προσωπικών Δεδομένων
- Διαχείριση προσωπικού και μισθοδοσία.
- Προσπέλαση/αναζήτηση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα.
- Αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων.
- Καταστροφή διά τεμαχισμού εγγράφων που περιέχουν δεδομένα προσωπικού χαρακτήρα.
- Δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου σε ιστότοπο.
- Αποθήκευση διευθύνσεων IP ή διευθύνσεων MAC.
- Μαγνητοσκόπηση (τηλεόραση κλειστού κυκλώματος)
ΠΗΓΕΣ : WIKIPEDIA, LAWSPOT, HUBSPOT, ESET, CISCO ACADEMY