27/04/2018
Τι είναι GDPR;
Στις 25 Μαΐου 2018, τίθεται σε ισχύ ο νέος γενικός κανονισμός προστασίας προσωπικών δεδομένων, ευρύτερα γνωστός ως GDPR (General Data Protection Regulation) ή Γ.Κ.Π.Δ.
Ο νέος κανονισμός αποτελεί το σημαντικότερο κανονιστικό πλαίσιο για τον επιχειρηματικό κόσμο, της τελευταίας δεκαετίας. Ουσιαστικά καθορίζει και καθιερώνει ένα ενιαίο νομικό πλαίσιο, βάσει του οποίου οι επιχειρήσεις θα συλλέγουν, θα χειρίζονται και θα επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, ατόμων που βρίσκονται εντός της Ευρωπαϊκής Ένωσης.
Ποιες επιχειρήσεις αφορά;
Ο κανονισμός δεν αφορά μόνο κάποιους συγκεκριμένους τύπους επιχειρήσεων ή οργανισμών και προφανώς δεν περιορίζεται στους τομείς πωλήσεων και marketing. Καλύπτει οποιαδήποτε επιχείρηση, ανεξαρτήτως μεγέθους και κλάδου, που στο πλαίσιο των δραστηριοτήτων της συλλέγει, χειρίζεται και επεξεργάζεται, άμεσα ή έμμεσα, προσωπικά δεδομένα.
Τι ορίζεται ως προσωπικό δεδομένο;
Ως προσωπικό δεδομένο χαρακτηρίζεται κάθε πληροφορία που αφορά φυσικό πρόσωπο και με βάση την οποία αυτό μπορεί να ταυτοποιηθεί. Χαρακτηριστικό παράδειγμα προσωπικών δεδομένων είναι το όνομα, το email, ο Α.Φ.Μ., αλλά και οι φωτογραφίες, οι πληροφορίες για απόψεις και πολιτικές πεποιθήσεις κλπ.
Βασικές υποχρεώσεις σύμφωνα με τον κανονισμό:
Το πνεύμα του κανονισμού συνίσταται στη συνθήκη της διασφάλισης των προσωπικών δεδομένων, σχεδιάζοντας και υλοποιώντας μηχανισμούς και διαδικασίες προστασίας. Ο κανονισμός δίνει ιδιαίτερη έμφαση:
Στην “αρχή της διαφάνειας” σχετικά με τη συλλογή, επεξεργασία και τήρηση των δεδομένων, καθώς και
Στην “αρχή της λογοδοσίας” σύμφωνα με την οποία η επιχείρηση φέρει την ευθύνη και μπορεί να αποδείξει τη συμμόρφωσή της με όλες τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων.
Επιπλέον:
Για την προστασία δεδομένων, ο κανονισμός επιβάλλει την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων που να διασφαλίζουν ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα που είναι απαραίτητα για το σκοπό της επεξεργασίας.
Για την ασφάλεια επεξεργασίας, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία πρέπει να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το ενδεδειγμένο επίπεδο ασφάλειας.
Για την γνωστοποίηση παραβιάσεων, η επιχείρηση έχει υποχρέωση, μόλις αντιληφθεί παραβίαση, να ενημερώσει τις αρμόδιες εποπτικές Αρχές και το φυσικό πρόσωπο, εφόσον η παραβίαση αυτή θέτει το φυσικό πρόσωπο σε σοβαρό κίνδυνο.
Για την εκτίμηση επιπτώσεων, όταν η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα των ατόμων - ιδίως επειδή είναι συστηματική και μεγάλης κλίμακας, αφορά ειδικές κατηγορίες δεδομένων και βασίζεται στη χρήση νέων τεχνολογιών - ο υπεύθυνος επεξεργασίας πρέπει να διενεργήσει εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων.
EU GDPR: General Data Protection Regulation.