GDPR

Γενικός Κανονισμός Προστασίας Δεδομένων ΓΚΠΔ/GDPR (ΕΕ) 2016/679

Ο GDPR (ΓΚΠΔ) αφορά οποιαδήποτε επιχείρηση (ατομική ή νομικό πρόσωπο κάθε είδους) το οποίο προσφέρει προϊόντα ή υπηρεσίες σε πολίτες της ΕΕ, ή που επεξεργάζεται προσωπικά δεδομένα πολιτών της ΕΕ.

Ποιες οι συνέπειες μη τήρησης του κανονισμού;

Σε περίπτωση παράβασης του κανονισμού επιβάλλονται διοικητικά πρόστιμα μέχρι 20.000.000 € ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. Επιπλέον αυτών, το υποκείμενο των δεδομένων έχει αξίωση αποζημίωσης για την παράβαση, ενώ υπάρχει και ποινική ευθύνη των παραβατών.

Τι είναι προσωπικά δεδομένα;

Κάθε δεδομένο που αφορά φυσικό εν ζωή πρόσωπο που ταυτοποιείται ή μπορεί να ταυτοποιηθεί (πχ όνομα, αριθμός ταυτότητας/μητρώου, δεδομένα θέσεις κλπ.).

Τι είναι επεξεργασία;

Η αποθήκευση, επεξεργασία, αποθήκευση ή ακόμη και καμία απολύτως ενέργεια επί προσωπικών δεδομένων στα οποία έχει πρόσβαση ο υπεύθυνος/εκτελών την επεξεργασία είτε πραγματοποιείται με αυτοματοποιημένα μέσα είτε όχι.

Ποιος είναι ο υπεύθυνος επεξεργασίας;

Το φυσικό ή νομικό πρόσωπο ή δημόσια αρχή που καθορίζει (μόνος ή από κοινού με άλλον) τον σκοπό και τα μέσα της επεξεργασίας των προσωπικών δεδομένων.

Ποιος είναι ο εκτελών την επεξεργασία;

Το φυσικό ή νομικό πρόσωπο ή δημόσια αρχή που επεξεργάζεται τα προσωπικά δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας (όταν δεν το κάνει ο ίδιος).

Πότε είναι νόμιμη η επεξεργασία προσωπικών δεδομένων;
  • Όταν έχει συναινέσει ρητά το υποκείμενο
  • για την εκτέλεση σύμβασης
  • για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας
  • για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου
  • για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον
  • για τους σκοπούς των έννομων συμφερόντων του, εκτός αν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα των υποκειμένων
Τι πρέπει να κάνουν οι επιχειρήσεις;

Κάθε επιχείρηση που επεξεργάζεται ή είναι υπεύθυνη επεξεργασίας προσωπικών δεδομένων πρέπει να λάβει και να μπορεί ανά πάσα στιγμή σε κάθε έλεγχο να αποδεικνύει ότι έχει λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για τη σύννομη επεξεργασία των προσωπικών δεδομένων. Ακόμη και χωρίς παραβίαση των προσωπικών δεδομένων, η μη λήψη των κατάλληλων οργανωτικών μέτρων συνιστά παραβίαση του κανονισμού.

  • Kαταγραφή επεξεργασιών (data mapping) αναγνώριση δραστηριοτήτων όπως αρχείο εγγράφων, αρχείο προσωπικού έγχαρτο ή ηλεκτρονικό, αρχείο πελατών , αρχεία από ηλεκτρονικές εφαρμογές, αρχεία επαφών για επικοινωνιακούς σκοπούς, αρχεία για σκοπούς ασφάλειας (π.χ. υλικό καμερών, καταγραφής προσβάσεων σε διαδικτυακές υπηρεσίες) που περιέχουν τα δεδομένα (data mining)
  • ανάλυση της απόκλισης από τον GDPR (gap analysis)
  • εκπαίδευση εμπλεκομένων γύρω από τον GDPR
  • ο σχεδιασμός των κατάλληλων πολιτικών (policies)
  • ανάλογα με το είδος της επεξεργασίας εισάγεται η υποχρέωση διενέργειας εκτίμησης αντικτύπου (Data Protection Impact Assessment - DPIA). Η Αρχή οφείλει να εκδώσει κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται υποχρεωτικά στην απαίτηση για DPIA
  • ορισμός υπεύθυνου προστασίας δεδομένων (Data Protection Officer - DPO) υποχρεωτικός σε περίπτωση ευρείας κλίμακας επεξεργασία δεδομένων. Σε κάθε περίπτωση είναι χρήσιμο κάθε επιχείρηση να ορίσει συντονιστή προστασίας προσωπικών δεδομένων για να διαχειριστεί αιτήματα πρόσβασης, τυχόν καταγγελίες, επικοινωνία με την αρχή, κλπ.
Υποχρέωση γνωστοποίησης παράβασης Ο εκτελών την επεξεργασία οφείλει να γνωστοποιεί στην ΑΠΔΠΧ την τυχόν παραβίαση του Κανονισμού εντός 72 ωρών. Ενημέρωση των προσώπων που αφορά το περιστατικό όταν αυτό ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες τους. Εμπλέκονται στο σχεδιασμό
  • Διοίκηση
  • Επιχειρησιακή λειτουργία
  • Νομικό τμήμα
  • Τμήμα Πληροφορικής
  • Τμήμα marketing
Τα πρόσωπα-κλειδιά του φορέα πρέπει να κατανοήσουν την αλλαγή στο νομικό πλαίσιο με τις συνέπειες που αυτή επιφέρει. Όλο το ανθρώπινο δυναμικό θα πρέπει να είναι ενήμερο για την αλλαγή του νομικού πλαισίου. Π.χ.: Περιστατικά παραβίασης δεδομένων ενδέχεται να υποπέσουν στην αντίληψη του οποιουδήποτε.
  • Ο ΓΚΠΔ ενισχύει το θεμελιώδες δικαίωμα της προστασίας προσωπικών δεδομένων
  • Ενσωματώνει την προστασία δεδομένων στις επιχειρησιακές διαδικασίες
  • «Μεταφέρει» το βάρος στους ίδιους φορείς στο να αυτο-συμμορφώνονται και να μπορούν να το αποδεικνύουν όποτε χρειαστεί
  • Καταργούνται «γραφειοκρατικές» διαδικασίες που δεν παρείχαν ουσιαστικό επίπεδο προστασίας
  • Νέα δικαιώματα για τα φυσικά πρόσωπα
  • Νέες υποχρεώσεις για υπευθύνους και εκτελούντες
  • Νέος ρόλος της Αρχής Προστασίας Προσωπικών Δεδομένων