GDPR
Γενικός Κανονισμός Προστασίας Δεδομένων ΓΚΠΔ/GDPR (ΕΕ) 2016/679

GDPR
Γενικός Κανονισμός Προστασίας Δεδομένων ΓΚΠΔ/GDPR (ΕΕ) 2016/679, ισχύει σε όλες τις χώρες της ΕΕ από τις 25.05.2018
Ο GDPR (ΓΚΠΔ) αφορά οποιαδήποτε επιχείρηση (ατομική ή νομικό πρόσωπο κάθε είδους) το οποίο προσφέρει προϊόντα ή υπηρεσίες σε πολίτες της ΕΕ, ή που επεξεργάζεται προσωπικά δεδομένα πολιτών της ΕΕ.
Ποιες οι συνέπειες μη τήρησης του κανονισμού;Σε περίπτωση παράβασης του κανονισμού επιβάλλονται διοικητικά πρόστιμα μέχρι 20.000.000 € ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. Επιπλέον αυτών, το υποκείμενο των δεδομένων έχει αξίωση αποζημίωσης για την παράβαση, ενώ υπάρχει και ποινική ευθύνη των παραβατών.
Κάθε δεδομένο που αφορά φυσικό εν ζωή πρόσωπο που ταυτοποιείται ή μπορεί να ταυτοποιηθεί (πχ όνομα, αριθμός ταυτότητας/μητρώου, δεδομένα θέσεις κλπ.).
Τι είναι επεξεργασία;Η αποθήκευση, επεξεργασία, αποθήκευση ή ακόμη και καμία απολύτως ενέργεια επί προσωπικών δεδομένων στα οποία έχει πρόσβαση ο υπεύθυνος/εκτελών την επεξεργασία είτε πραγματοποιείται με αυτοματοποιημένα μέσα είτε όχι.
Ποιος είναι ο υπεύθυνος επεξεργασίας;Το φυσικό ή νομικό πρόσωπο ή δημόσια αρχή που καθορίζει (μόνος ή από κοινού με άλλον) τον σκοπό και τα μέσα της επεξεργασίας των προσωπικών δεδομένων.
Ποιος είναι ο εκτελών την επεξεργασία;Το φυσικό ή νομικό πρόσωπο ή δημόσια αρχή που επεξεργάζεται τα προσωπικά δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας (όταν δεν το κάνει ο ίδιος).
Πότε είναι νόμιμη η επεξεργασία προσωπικών δεδομένων;- Όταν έχει συναινέσει ρητά το υποκείμενο
- για την εκτέλεση σύμβασης
- για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας
- για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου
- για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον
- για τους σκοπούς των έννομων συμφερόντων του, εκτός αν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα των υποκειμένων
Κάθε επιχείρηση που επεξεργάζεται ή είναι υπεύθυνη επεξεργασίας προσωπικών δεδομένων πρέπει να λάβει και να μπορεί ανά πάσα στιγμή σε κάθε έλεγχο να αποδεικνύει ότι έχει λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για τη σύννομη επεξεργασία των προσωπικών δεδομένων. Ακόμη και χωρίς παραβίαση των προσωπικών δεδομένων, η μη λήψη των κατάλληλων οργανωτικών μέτρων συνιστά παραβίαση του κανονισμού.
- Kαταγραφή επεξεργασιών (data mapping) αναγνώριση δραστηριοτήτων όπως αρχείο εγγράφων, αρχείο προσωπικού έγχαρτο ή ηλεκτρονικό, αρχείο πελατών , αρχεία από ηλεκτρονικές εφαρμογές, αρχεία επαφών για επικοινωνιακούς σκοπούς, αρχεία για σκοπούς ασφάλειας (π.χ. υλικό καμερών, καταγραφής προσβάσεων σε διαδικτυακές υπηρεσίες) που περιέχουν τα δεδομένα (data mining)
- ανάλυση της απόκλισης από τον GDPR (gap analysis)
- εκπαίδευση εμπλεκομένων γύρω από τον GDPR
- ο σχεδιασμός των κατάλληλων πολιτικών (policies)
- ανάλογα με το είδος της επεξεργασίας εισάγεται η υποχρέωση διενέργειας εκτίμησης αντικτύπου (Data Protection Impact Assessment - DPIA). Η Αρχή οφείλει να εκδώσει κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται υποχρεωτικά στην απαίτηση για DPIA
- ορισμός υπεύθυνου προστασίας δεδομένων (Data Protection Officer - DPO) υποχρεωτικός σε περίπτωση ευρείας κλίμακας επεξεργασία δεδομένων. Σε κάθε περίπτωση είναι χρήσιμο κάθε επιχείρηση να ορίσει συντονιστή προστασίας προσωπικών δεδομένων για να διαχειριστεί αιτήματα πρόσβασης, τυχόν καταγγελίες, επικοινωνία με την αρχή, κλπ.
- Διοίκηση
- Επιχειρησιακή λειτουργία
- Νομικό τμήμα
- Τμήμα Πληροφορικής
- Τμήμα marketing
- Ο ΓΚΠΔ ενισχύει το θεμελιώδες δικαίωμα της προστασίας προσωπικών δεδομένων
- Ενσωματώνει την προστασία δεδομένων στις επιχειρησιακές διαδικασίες
- «Μεταφέρει» το βάρος στους ίδιους φορείς στο να αυτο-συμμορφώνονται και να μπορούν να το αποδεικνύουν όποτε χρειαστεί
- Καταργούνται «γραφειοκρατικές» διαδικασίες που δεν παρείχαν ουσιαστικό επίπεδο προστασίας
- Νέα δικαιώματα για τα φυσικά πρόσωπα
- Νέες υποχρεώσεις για υπευθύνους και εκτελούντες
- Νέος ρόλος της Αρχής Προστασίας Προσωπικών Δεδομένων