GDPR
Καθημερινά εκατομμύρια άνθρωποι χρησιμοποιούν το διαδίκτυο και μέσα από αυτό συναλλάσονται και μοιράζονται τα προσωπικά τους δεδομένα με επιχειρήσεις, οργανισμούς, φορείς και ιδιώτες, μέσω των συναλλαγών που πραγματοποιούμε.
Η προστασία των προσωπικών δεδομένων είναι αναγνωρισμένο θεμελιώδες δικαίωμα για όλους τους πολίτες της Ε.Ε. Γι’ αυτό και θεσπίσθηκε ένα ένα νέο νομικό πλαίσιο κανόνων, το οποίο εφαρμόσθηκε στις 25 Μαΐου 2018, δίνοντας στο άτομο (πολίτη της Ε.Ε.) εργαλεία και δικαιώματα για να ελέγχει τις πληροφοριες που μοιράζεται και για να βελτιώσει την ασφάλειά των δεδομένων του.
Ο «Γενικός Κανονισμός για την Προστασία Δεδομένων» – GDPR (General Data Protection Regulation)- ουσιαστικά έφερε αλλαγές στον τρόπο που οι επιχειρήσεις επεξεργάζονται (δηλαδή συλλέγουν, αποθηκεύουν, χειρίζονται, κλπ.) τα προσωπικά δεδομένα. Στην Ελλάδα ψηφίσθηκε ο εφαρμοστικός νόμος 4624/2019 που εξειδικεύει κάποια σημεία του κανονισμού.
Σκοπός
Σκοπός του κανονισμού είναι τα προσωπικά δεδομένα των Ευρωπαίων πολιτών να προστατεύονται και να διατηρούνται ασφαλή με τον ίδιο τρόπο σε όλη την Ε.Ε.
Ο νέος κανονισμός αφορά όλες τις επιχειρήσεις (ιδιωτικού και δημόσιου τομέα) ανεξαρτήτου μεγέθους της επιχείρησης (ακόμα και τις ατομικές επιχειρήσεις ή ελεύθερους επαγγελματίες), που με οποιονδήποτε τρόπο αποθηκεύουν ή διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών ή άλλων φυσικών προσώπων. Ο κανονισμός δεν αφορά δεδομένα μη φυσικών προσώπων (εταιρείες, οργανισμούς, κλπ.).
Ανεξάρτητα από την έδρα της εταιρίας ή του οργανισμού, αν τα προϊόντα ή υπηρεσίες που προσφέρονται απευθύνονται σε πελάτες εντός της Ε.Ε., τότε είστε υποχρεωμένοι νομικά να προσαρμοστείτε στα δεδομένα που ορίζει ο νέος κανονισμός για να μην έρθετε αντιμέτωποι με τσουχτερά πρόστιμα και άλλες κυρώσεις.
Ποια είναι Προσωπικά δεδομένα;
Προσωπικά δεδομένα: κάθε πληροφορία που σχετίζεται, χαρακτηρίζει ένα φυσικό πρόσωπο όπως είναι: το όνομα & το επάγγελμά, η οικογενειακή κατάσταση, η ηλικία, η κατοικία, η διεύθυνση ηλεκτρονικού ταχυδρομείου, τα στοιχεία του τραπεζικού λογαριασμού, το ΑΦΜ, το ΑΜΚΑ, αλλά και η διεύθυνση IP του ηλεκτρονικού υπολογιστή.
Ευαίσθητα προσωπικά δεδομένα: τα δεδομένα που αφορούν φυλετική ή εθνική προέλευση, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις και οι πληροφορίες σχετικά με το ιατρικό ιστορικό, την ερωτική ζωή και τις ποινικές διώξεις ή καταδίκες. Ειδική κατηγορία δεδομένων αφορούν τα δεδομένα ανηλίκων.
Τι είναι η επεξεργασία;
«Επεξεργασία» δεδομένων θεωρείται κάθε πράξη που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα.
Μερικά παραδείγματά είναι η συλλογή, η οργάνωση, η αποθήκευση, η προσαρμογή, η χρήση, η διάδοση και η διαγραφή τους.
Τα νέα δικαιώματα του ατόμου
Τα προσωπικά δεδομένα χαρακτηρίζονται ως πόροι σημαντικότεροι του πετρελαίου. Είναι λογικό αν αναλογιστούμε τη “δύναμη” που αποκτούν εταιρίες και οργανισμοί μέσα από τη συλλογή δεδομένων. Όμως, πόσοι από εμάς γνωρίζουμε τα δικαιώματα μας όσον αφορά τις πληροφορίες που μοιραζόμαστε; Ας δούμε μερικά από τα βασικά δικαιώματα που έχουμε ως Ευρωπαίοι πολίτες σύμφωνα με τον GDPR..
Δικαίωμα πρόσβασης: Μπορείς να ζητήσεις πρόσβαση στα προσωπικά σου δεδομένα, να ρωτήσεις πως αυτά χρησιμοποιούνται και από ποιόν επεξεργάζονται μετά τη συλλογή τους.
Δικαίωμα στη “λήθη”: Μπορείς να αποσύρεις τη συγκατάθεση που έχεις δώσει για χρήση των προσωπικών σου δεδομένων από ένα οργανισμό ή εταιρία καθώς μπορείς να ζητήσεις ακόμα και τη διαγραφή τους.
Δικαίωμα στη μεταφορά: Μπορείς να μεταφέρεις τα δεδομένα σου όποτε εσύ το επιθυμείς από έναν πάροχο υπηρεσιών σε άλλο.
Δικαίωμα στην ενημέρωση: Οι εταιρίες που συλλέγουν δεδομένα θα πρέπει να σε ενημερώσουν σχετικά πριν την αποθήκευση των πληροφοριών σου. Η συγκατάθεση σου δεν θα πρέπει να θεωρείται δεδομένη αλλά θα πρέπει να σου παρέχεται το δικαίωμα της ελεύθερης επιλογής.
Δικαίωμα διόρθωσης: Διαπίστωσες ότι τα στοιχεία σου είναι ελλιπή ή λανθασμένα; Μπορείς να ζητήσεις την ενημέρωση τους.
Δικαίωμα απαγόρευσης της επεξεργασίας: Μπορείς να ζητήσεις από μια εταιρία να μην επεξεργάζεται τα δεδομένα που έχει αποθηκεύσει για σένα. Οι πληροφορίες θα παραμείνουν αποθηκευμένες, η εταιρία όμως δεν θα έχει το δικαίωμα να τις χρησιμοποιεί.
Δικαίωμα διατύπωσης αντίρρησης: Μπορείς να διακόψεις άμεσα την επεξεργασία των δεδομένων σου για εμπορική προώθηση. Μόλις στείλεις το αίτημα θα πρέπει οποιαδήποτε επεξεργασία να διακοπεί αμέσως.
Δικαίωμα ειδοποίησης: Σε περίπτωση παραβίασης δεδομένων που θέτει σε κίνδυνο τα προσωπικά σου δεδομένα, θα πρέπει να λάβεις σχετική ενημέρωση εντός 72 ωρών από την στιγμή που αναγνωρίστηκε η παραβίαση.
Ποιες είναι οι βασικές απαιτήσεις του κανονισμού GDPR;
Ο κανονισμός GDPR επιβάλλει ένα ευρύ φάσμα απαιτήσεων στους οργανισμούς που συλλέγουν ή επεξεργάζονται προσωπικά δεδομένα, καθώς και την υποχρέωση να συμμορφώνονται με έξι βασικές αρχές:
- Διαφάνεια, αντικειμενικότητα και νομιμότητα ως προς το χειρισμό και τη χρήση των προσωπικών δεδομένων
- Περιορισμός της επεξεργασίας των προσωπικών δεδομένων για καθορισμένους, ρητούς και νόμιμους σκοπούς
- Συλλογή και αποθήκευση μόνο των ελάχιστων προσωπικών δεδομένων που απαιτούνται για έναν σκοπό
- Διασφάλιση της ακρίβειας των δεδομένων, συμπεριλαμβανομένης της δυνατότητας διαγραφής και επεξεργασίας τους
- Περιορισμός της περιόδου αποθήκευσης των προσωπικών δεδομένων
- Διασφάλιση της ασφάλειας, της ακεραιότητας και της εμπιστευτικότητας των προσωπικών δεδομένων
Βασικές υποχρεώσεις της επιχείρησης σου
- Πρέπει να αναγνωρίσεις την ευθύνη που έχει η διατήρηση και η επεξεργασία προσωπικών δεδομένων. Δημιούργησε αρχεία με τα δεδομένα που συλλέγεις – κατανόησε ποια προσωπικά δεδομένα αποθηκεύονται, από πού προήλθαν, με ποιον τα μοιράζεσαι κι αν εξακολουθούν να είναι σχετικά κι απαραίτητα για το σκοπό που αρχικά είχες επιλέξει να τα αποθηκεύσεις.
- Δημιούργησε μια βάση για την επεξεργασία των προσωπικών δεδομένων στα πλαίσια του GDPR. Για να συλλέξεις προσωπικά δεδομένα θα πρέπει πρώτα να έχεις τη συγκατάθεση του προσώπου ενώ θα πρέπει να ορίζεις ξεκάθαρα το χρονικό διάστημα χρήσης τους καθώς και τον σκοπό αποθήκευσής τους. Η συγκατάθεση μπορεί να αποσυρθεί οποιαδήποτε στιγμή, οπότε είναι σοφό να εξετάσεις ποια άλλη νόμιμη βάση μπορείς να χρησιμοποιήσεις για την επεξεργασία δεδομένων
- Έλεγξε όλες τις διαδικασίες της επιχείρησης σου πως είναι συμβατές με τον κανονισμό. Κάνε όλες τις απαραίτητες αλλαγές ώστε να είναι σύμφωνες με τον GDPR
- Βεβαιώσου ότι η επιχείρηση σου μπορεί να ικανοποιήσει αιτήματα που αφορούν προσωπικά δεδομένα. Σύμφωνα με τον GDPR κάθε πολίτης της ΕΕ έχει δικαίωμα να ζητήσει την διαγραφή, την τροποποίησή και την μετακίνηση τους σε διαφορετικό οργανισμό. Τα τεχνολογικά μέσα και οι διαδικασίες που ακολουθείς θα πρέπει να επιτρέπουν την ολοκλήρωση τέτοιων αιτημάτων μέσα σε ένα μήνα.
- Προετοίμασε την επιχείρηση σου για ενδεχόμενες παραβιάσεις δεδομένων -βεβαιώσου ότι οι διαδικασίες που ακολουθούνται στην εταιρία σου, σου επιτρέπουν να ενημερώσεις την αρχή προστασίας δεδομένων μέσα σε 72 ώρες από τη στιγμή που θα την αναγνωρίσεις.
- Φρόντισε να συνάπτεις νομικές συμφωνίες όταν διαβιβάζεις δεδομένα σε χώρες που δεν έχουν λάβει έγκριση από τις αρχές της ΕΕ.
- Όρισε έναν υπεύθυνο προστασίας δεδομένων. Έλεγξε αν η επιχείρηση σου έχει ανάγκη από έναν υπεύθυνο για την προστασίας δεδομένων. Αυτό εξαρτάται από τον τύπο και τον αριθμό των δεδομένων που συλλέγει η εταιρία σου, αν η επεξεργασία είναι η κύρια επιχειρηματική της δραστηριότητα και αν η κλίμακα που γίνεται είναι μεγάλη
Τι χρειάζεται να κάνω;
Δεν υπάρχει μαγική συνταγή που θα την υιοθετήσει κάποιος και θα διασφαλιστεί. Ανάλογα με την περίπτωση (εταιρεία, οργανισμός, κλπ.) και τα δεδομένα που συλλέγει, υπάρχουν και διαφορετικές απαιτήσεις. Η διαδικασία της εναρμόνισης με τον κανονισμό θα είναι συνεχής, καθώς θα πρέπει να προσαρμόζεσαι στις αλλαγές του, αλλά και στις τεχνολογικές εξελίξεις.
Ανάλογα με τα δεδομένα που συλλέγει μια εταιρεία, αλλά και το μέγεθος του οργανισμού, θα πρέπει να προχωρήσει σε βελτιώσεις για να είναι συμβατές οι διαδικασίες που ακολουθεί με τα όσα ορίζει ο GDPR. Άρα η λύση θα είναι διαφορετική για κάθε εταιρεία ή οργανισμό, ανάλογα με το τρόπο λειτουργίας τους.