ARTICLE

Τι είναι ο GDPR και ποιές αλλαγές έγιναν;

Τι είναι ο GDPR και ποιές αλλαγές έγιναν;
0 Comments
Privacy

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) (Κανονισμός (ΕΕ) 2016/679) είναι ένας κανονισμός, μέσω του οποίου, το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο της Ευρωπαϊκής Ένωσης, και η Ευρωπαϊκή Επιτροπή έχουν ως σκοπό να ενισχύσουν και να ενοποιήσουν την προστασία των δεδομένων όλων των ατόμων εντός της Ευρωπαϊκής Ένωσης (ΕΕ).

Βασικές Αλλαγές του ΓΚΠΔ

Μία επισκόπηση των κυριότερων αλλαγών στο πλαίσιο του ΓΚΠΔ και του τρόπου με τον οποίο οι αλλαγές αυτές διαφέρουν από την προηγούμενη σχετική οδηγία.

Σκοπός του ΓΚΠΔ είναι η προστασία όλων των πολιτών της ΕΕ από παραβιάσεις του απορρήτου και των δεδομένων, σε έναν κόσμο που τροφοδοτείται με δεδομένα σε ολοένα και μεγαλύτερο βαθμό,  ο οποίος παρουσιάζει τεράστιες διαφορές από την εποχή κατά την οποία θεσπίστηκε η οδηγία του 1995. Παρότι οι βασικές αρχές τήρησης απορρήτου των δεδομένων, εξακολουθούν να ισχύουν με βάση τα όσα ορίζονται στην προηγούμενη οδηγία, έχει προταθεί πληθώρα αλλαγών ως προς τις σχετικές ρυθμιστικές πολιτικές. Έτσι, παρακάτω θα γίνουν γνωστά τα βασικά σημεία του ΓΚΠΔ, καθώς επίσης και κάθε στοιχείο σχετικά με τις επιπτώσεις που θα έχει στις επιχειρήσεις.

Αυξημένο Πεδίο Εφαρμογής Κατά Τόπους (δυνατότητα εφαρμογής εκτός των κατά τόπους περιπτώσεων)

Αναμφίβολα, η μεγαλύτερη αλλαγή στο ρυθμιστικό τοπίο σχετικά με την τήρηση απορρήτου των δεδομένων αναφέρεται στη διεύρυνση του πεδίου αρμοδιότητας του ΓΚΠΔ, καθώς εφαρμόζεται σε όλες τις επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα που προέρχονται από τα υποκείμενα των δεδομένων αυτών και τα οποία διαμένουν εντός της Ευρωπαϊκής Ένωσης, ασχέτως του τόπου της επιχείρησης. Προηγουμένως, η δυνατότητα εφαρμογής της οδηγίας κατά τόπους ήταν αμφισβητούμενη και αναφερόταν στην επεξεργασία δεδομένων ‘εντός του πλαισίου αναφοράς ενός ιδρύματος’. Το ζήτημα αυτό έχει ανακύψει σε έναν αριθμό υποθέσεων που εμπίπτουν στην αρμοδιότητα των ανώτατων δικαστηρίων. Ο ΓΚΠΔ καθιστά πολύ σαφή τα όρια της δυνατότητας εφαρμογής του.

Έτσι, θα εφαρμόζεται κατά την επεξεργασία προσωπικών δεδομένων από τα πρόσωπα που είναι αρμόδια για τον έλεγχο και επεξεργασία δεδομένων εντός της ΕΕ, ασχέτως εάν η επεξεργασία λαμβάνει χώρα εντός της ΕΕ ή όχι. Ο ΓΚΠΔ θα ισχύει επίσης κατά την επεξεργασία προσωπικών δεδομένων ατόμων, στα οποία αναφέρονται τα δεδομένα αυτά, εντός της ΕΕ, εκ μέρους του προσώπου που είναι αρμόδιο για τον έλεγχο ή την επεξεργασία και το οποίο δεν είναι εγκατεστημένο εντός της ΕΕ, όπου οι δραστηριότητες αυτές σχετίζονται με: την παροχή προϊόντων ή υπηρεσιών προς πολίτες της ΕΕ (ασχέτως εάν απαιτείται πληρωμή) και την παρακολούθηση συμπεριφοράς που λαμβάνει χώρα εντός της ΕΕ. Επιχειρήσεις εκτός της ΕΕ, οι οποίες προβαίνουν σε επεξεργασία των δεδομένων πολιτών της ΕΕ, θα πρέπει επίσης να διορίζουν αντιπρόσωπο εντός της ΕΕ.

Ποινές

Δυνάμει του ΓΚΠΔ, οι οργανισμοί που παραβαίνουν τον εν λόγω κανονισμό μπορεί να τιμωρηθούν με πρόστιμο έως και 4% του ετήσιου παγκόσμιου κύκλου εργασιών τους ή 20 εκατομμύρια ευρώ (όποιο από τα δύο είναι μεγαλύτερο). Αυτό είναι το μέγιστο πρόστιμο που μπορεί να επιβληθεί για τις πιο σοβαρές παραβάσεις, όπως είναι π.χ. η μη λήψη επαρκούς συγκατάθεσης του πελάτη για επεξεργασία των δεδομένων ή η παράβαση των βασικών διατάξεων που αναφέρονται στις έννοιες τήρησης Ιδιωτικού Απορρήτου εκ του Σχεδιασμού. Υπάρχει μία κλιμακωτή προσέγγιση ως προς τα πρόστιμα. Π.χ. μία επιχείρηση μπορεί να τιμωρηθεί με πρόστιμο 2% για τη μη τήρηση των αρχείων της με τάξη (άρθρο 28), μη ενημέρωση της εποπτεύουσας αρχής και του προσώπου στο οποίο αναφέρονται τα δεδομένα, σχετικά με κάποια παράβαση ή μη πραγματοποίηση αξιολόγησης επιπτώσεων. Θα πρέπει να τονιστεί ιδιαίτερα, ότι οι εν λόγω κανονισμοί ισχύουν τόσο για τα πρόσωπα που είναι αρμόδια για τον έλεγχο, όσο και για αυτά που είναι αρμόδια για την επεξεργασία — πράγμα που σημαίνει ότι τυχόν ασαφή σημεία δεν θα εξαιρούνται κατά την εφαρμογή του ΓΚΠΔ.

Συγκατάθεση

Οι όροι λήψης συγκατάθεσης έχουν ενισχυθεί και οι επιχειρήσεις δεν θα είναι σε θέση πλέον να χρησιμοποιούν μακροσκελείς ακατάληπτους γενικούς και ειδικούς όρους, γεμάτους με νομικές ορολογίες καθώς το αίτημα για τη λήψη συγκατάθεσης θα πρέπει να παρέχεται σε κατανοητή και προσιτή μορφή, επισυνάπτοντας τον σκοπό της επεξεργασίας δεδομένων στην εν λόγω συγκατάθεση. Η συγκατάθεση θα πρέπει να είναι σαφής και ευδιάκριτη από τα υπόλοιπα στοιχεία,  να παρέχεται σε κατανοητή και προσιτή μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Η λήψη συγκατάθεσης θα πρέπει να είναι το ίδιο εύκολη με την παροχή αυτής.

Δικαιώματα του Υποκειμένου των Δεδομένων

Γνωστοποίηση Παράβασης

Δυνάμει του ΓΚΠΔ, η γνωστοποίηση παράβασης καθίσταται υποχρεωτική σε όλα τα κράτη μέλη, όπου η παράβαση περί προστασίας δεδομένων είναι πιθανόν να «θέσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες των ατόμων». Αυτό θα πρέπει να πραγματοποιείται εντός 72 ωρών από τότε που έγινε γνωστή η παράβαση για πρώτη φορά. Τα πρόσωπα που είναι αρμόδια για την επεξεργασία των δεδομένων θα πρέπει επίσης να ενημερώνουν τους πελάτες τους, τους ελεγκτές δεδομένων, “χωρίς αδικαιολόγητη καθυστέρηση», αμέσως μόλις λάβουν γνώση της παράβασης προστασίας των δεδομένων για πρώτη φορά.

 

 

Δικαίωμα Πρόσβασης

Μέρος της διεύρυνσης των δικαιωμάτων των υποκειμένων των δεδομένων, όπως ορίζεται στον ΓΚΠΔ, αποτελεί το δικαίωμα των ατόμων αυτών να λαμβάνουν, από το άτομο που είναι αρμόδιο για τον έλεγχο, επιβεβαίωση σχετικά με το κατά πόσο προσωπικά δεδομένα που τους αφορούν υφίστανται επεξεργασία ή όχι, σε ποιο τόπο και με ποιο σκοπό. Επίσης, ο αρμόδιος για τον έλεγχο θα παρέχει αντίγραφο των προσωπικών δεδομένων, αχρεωστήτως, σε ηλεκτρονική μορφή. Η αλλαγή αυτή αποτελεί μία δραματική στροφή προς μεγαλύτερη διαφάνεια των δεδομένων και ενίσχυση του ρόλου και των δικαιωμάτων των υποκειμένων των δεδομένων.

Δικαίωμα στη Λήθη

Γνωστό επίσης και ως Διαγραφή Δεδομένων. Το δικαίωμα στη λήθη δίνει το δικαίωμα στο υποκείμενο των δεδομένων να ζητήσει από τον ελεγκτή των δεδομένων να διαγράψει τα προσωπικά δεδομένα που αναφέρονται σε αυτό, να παύσει κάθε περαιτέρω διάδοση των δεδομένων και να ζητήσει ενδεχομένως από τρίτους τη διακοπή της επεξεργασίας των δεδομένων. Οι όροι της διαγραφής, όπως περιγράφονται γενικά στο άρθρο 17, περιλαμβάνουν την περίπτωση όπου τα δεδομένα δεν σχετίζονται πλέον με τους αρχικούς σκοπούς της επεξεργασίας ή όταν τα υποκείμενα των δεδομένων αποσύρουν τη συγκατάθεσή τους. Θα πρέπει επίσης να σημειωθεί, ότι το εν λόγω δικαίωμα απαιτεί από τους ελεγκτές να αντιπαραβάλλουν τα δικαιώματα των υποκειμένων με το «δημόσιο συμφέρον για διαθεσιμότητα των δεδομένων», κατά την εξέταση αυτών των αιτημάτων.

Φορητότητα Δεδομένων

Ο ΓΚΠΔ εισάγει την έννοια της φορητότητας των δεδομένων – του δικαιώματος των υποκειμένων των δεδομένων να λαμβάνουν τα προσωπικά δεδομένα που τα αφορούν, τα οποια παρείχαν προηγουμένως για’κοινή χρήση και υπό μορφή αναγνώσιμη από μηχάνημα ‘, καθώς και να έχουν το δικαίωμα μετάδοσης των δεδομένων προς άλλον ελεγκτή.

 

 

Ιδιωτικό Απόρρητο εκ του Σχεδιασμού

Το ιδιωτικό απόρρητο εκ του σχεδιασμού αποτελεί μία έννοια που υπάρχει εδώ και χρόνια, η οποία όμως κατέστη πλέον μέρος νομικής υποχρέωσης στο πλαίσιο του ΓΚΠΔ. Κατά βάση, σύμφωνα με την έννοια του ιδιωτικού απορρήτου εκ του σχεδιασμού, απαιτείται η ενσωμάτωση της προστασίας δεδομένων από την έναρξη ακόμη του σχεδιασμού των συστημάτων, παρά με τη μορφή προσθήκης. Πιο συγκεκριμένα – ‘Ο ελεγκτής θα… λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα… με αποτελεσματικό τρόπο… προκειμένου να πληροί τις απαιτήσεις του εν λόγω Κανονισμού και να προστατεύει τα δικαιώματα των υποκειμένων των δεδομένων’. Το άρθρο 23 απαιτεί από τους ελεγκτές την τήρηση και επεξεργασία μόνο των δεδομένων εκείνων που είναι απολύτως απαραίτητα για την εκπλήρωση των καθηκόντων τους (ελαχιστοποίηση των δεδομένων), καθώς επίσης και τον περιορισμό της πρόσβασης σε προσωπικά δεδομένα, σε εκείνα τα άτομα, τα οποία θεωρούνται ως απαραίτητα για την ολοκλήρωση της εκτέλεσης της επεξεργασίας.

Υπάλληλοι Προστασίας Δεδομένων

Επί του παρόντος, απαιτείται από τους ελεγκτές να ενημερώνουν τις κατά τόπους Αρχές Προστασίας Δεδομένων (ΑΠΔ) ως προς τις δραστηριότητές τους που σχετίζονται με την επεξεργασία δεδομένων. Για τις πολυεθνικές εταιρείες, η διαδικασία αυτή μπορεί να καταλήξει σε γραφειοκρατικό εφιάλτη, καθώς τα περισσότερα Κράτη Μέλη έχουν διαφορετικές απαιτήσεις ως προς τη σχετική ενημέρωση. Δυνάμει του ΓΚΠΔ, δεν θα είναι απαραίτητη η υποβολή ενημερώσεων / καταχωρήσεων σε κάθε κατά τόπο ΑΠΔ σχετικά με τις δραστηριότητες επεξεργασίας δεδομένων, ούτε θα υπάρχει απαίτηση ενημέρωσης / λήψης έγκρισης για μεταβιβάσεις με βάση τους Όρους Πρότυπων Συμβολαίων (ΟΠΣ). Αντ’ αυτού, θα υπάρχουν απαιτήσεις ως προς την τήρηση αρχείων, όπως εξηγείται περαιτέρω παρακάτω, καθώς θα είναι υποχρεωτικός ο διορισμός ΥΠΔ μόνο για εκείνους τους ελεγκτές και υπεύθυνους επεξεργασίας, οι κύριες δραστηριότητες των οποίων απαιτούν την τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή ειδικές κατηγορίες δεδομένων που σχετίζονται με καταδικαστικές αποφάσεις και παραπτώματα. Το σημαντικότερο, ο ΥΠΔ:

• Θα πρέπει να διορίζεται με βάση τα επαγγελματικά του προσόντα,  ειδικότερα την εξειδικευμένη γνώση πάνω στη νομοθεσία και τις πρακτικές προστασίας δεδομένων.
• Μπορεί να αποτελεί μέλος του προσωπικού ή να είναι εξωτερικός πάροχος υπηρεσιών.
• Τα στοιχεία επικοινωνίας θα πρέπει να παρέχονται στη σχετική ΑΠΔ.
• Θα πρέπει να τους διατίθενται οι κατάλληλοι πόροι, έτσι ώστε να φέρουν εις πέρας το έργο τους και να υποστηρίζεται το υψηλό επίπεδο τεχνογνωσίας τους.
• Θα πρέπει να αναφέρουν απευθείας στα ανώτατα διοικητικά κλιμάκια.
• Δεν θα πρέπει να αναλαμβάνουν την εκτέλεση άλλων έργων, τα οποία μπορεί να οδηγήσουν σε σύγκρουση συμφερόντων.


Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *