Κανονισμός General Data Protection Regulation (GDPR)
Ο Ευρωπαϊκός Κανονισμός 2016/679 (General Data Protection Regulation, GDPR) ψηφίστηκε στις 27.04.2016 και τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25.05.2018, διαμορφώνοντας ένα ενιαίο νομικό πλαίσιο, χωρίς την ανάγκη ψήφισης εθνικής νομοθεσίας και καταργώντας την υφιστάμενη νομοθεσία. Ο νέος κανονισμός αυξάνει σημαντικά τις υποχρεώσεις των επιχειρήσεων, ενώ το μέγεθος των προβλεπόμενων προστίμων τον τοποθετεί πολύ υψηλά στην ατζέντα της ανώτατης διοίκησης.
Οι επιχειρήσεις που αφορά;
Όλες τις ιδιωτικές και δημόσιες επιχειρήσεις, καθώς και τις κρατικές αρχές που με οποιοδήποτε τρόπο διαχειρίζονται δεδομένα προσωπικού χαρακτήρα πελατών, πελατών των πελατών τους, εργαζομένων, συνεργατών ή άλλων φυσικών προσώπων. Ως εκ τούτου, o GDPR αφορά πρακτικά όλες τις επιχειρήσεις, εντός και εκτός Ευρωπαϊκής Ένωσης, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες.
Ποιες υποχρεώσεις προβλέπονται για τις επιχειρήσεις;
- Να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ’ αυτών είναι απαραίτητα, να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν, να τα αποθηκεύουν για το ελάχιστο χρονικό διάστημα που απαιτείται, να λαμβάνουν κατά περίπτωση την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων
- Να τα μεταφέρουν σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις
- Να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με τον GDPR
- Να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα για:
- Ανάκληση της συγκατάθεσης
- Πρόσβαση στα δεδομένα
- Διόρθωση των δεδομένων ή διαγραφή των δεδομένων
- Περιορισμό της επεξεργασίας
- Παράδοση των δεδομένων σε ηλεκτρονική μορφή
- Μεταφορά των δεδομένων σε άλλο φορέα
- Να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους
- Να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους
- Να τηρούν σε αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση
- Να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.
Για να ικανοποιήσουν όλα τα ανωτέρω οι επιχειρήσεις οφείλουν:
- Να λαμβάνουν τα απαιτούμενα τεχνικά και οργανωτικά μέτρα που περιλαμβάνονται σε διεθνή πρότυπα, σε κώδικες δεοντολογίας και σε συστάσεις αρμοδίων κοινοτικών και εθνικών οργάνων
- Να δημιουργήσουν και να επικαιροποιούν το μητρώο επεξεργασίας, όπου θα απεικονίζουν τη ροή, τους αποδέκτες και το είδος των προσωπικών δεδομένων που διαχειρίζονται
- Να διενεργούν μελέτη εκτίμησης των επιπτώσεων (Privacy Impact Assessment), στην οποία θα αξιολογούν τους κινδύνους για τα προσωπικά δεδομένα που διαχειρίζονται και θα οδηγούνται στη λήψη των απαραίτητων μέτρων περιορισμού των κινδύνων
- Να αναπτύξουν πολιτικές και διαδικασίες προστασίας και ασφάλειας των προσωπικών δεδομένων
- Να ορίσουν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer)
- Να συμμορφώνονται με κώδικες δεοντολογίας ή να διαθέτουν πιστοποιήσεις που αποδεικνύουν τη συμμόρφωσή τους με τον Κανονισμό.
Τι προβλέπεται για τα ευαίσθητα προσωπικά δεδομένα;
- Αλλάζει η ονομασία τους, καθώς ονομάζονται πλέον προσωπικά δεδομένα ειδικής κατηγορίας και διευρύνεται ο ορισμός τους, καθώς συμπεριλαμβάνονται τα γενετικά και βιομετρικά δεδομένα. Για τους οργανισμούς που χειρίζονται προσωπικά δεδομένα ειδικής κατηγορίας προβλέπονται επιπλέον απαιτήσεις.
Ποιες ποινές προβλέπονται;
- Σε περίπτωση παράβασης προβλέπονται σημαντικά αυξημένα πρόστιμα, που ανάλογα με το είδος και το μέγεθός της, φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών.