Πότε τίθεται σε ισχύ o Κανονισμός 2016/679;

Ο GDPR εγκρίθηκε και υιοθετήθηκε από την Ευρωπαϊκή Ένωση τον Απρίλιο του 2016. Η περίοδος μετάβασης έχει ορισθεί σε 2 έτη, πράγμα που σημαίνει ότι ο Κανονισμός θα τεθεί σε πλήρη ισχύ τον Μάιο του 2018.

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation 2016/679) δεν είναι ένας εντελώς καινούργιος νόμος. Αποτελεί μια ισχυρότερη και εκσυγχρονισμένη εκδοχή της Οδηγίας του 1995 (Data Protection Directive 95/46/EC), με τη διαφορά ότι τώρα ο Κανονισμός έχει καθολική ισχύ στα κράτη μέλη, ορίζει αυστηρότερες απαιτήσεις και προβλέπει υψηλά πρόστιμα για τους παραβάτες.

Ποια η διαφορά του νέου Ευρωπαϊκού Κανονισμού 2016/679 από την ισχύουσα μέχρι σήμερα Ευρωπαϊκή Οδηγία (95/46/ΕΚ);

Κατ’ αρχήν, ένας Κανονισμός έχει δεσμευτική ισχύ για όλα τα κράτη μέλη, ενώ μια Οδηγία είναι απλώς μια οδηγία, δηλαδή ένας «στόχος σύγκλισης» τον οποίο τα κράτη μέλη καλούνται να επιτύχουν, το καθένα όμως με την δική του, επιμέρους νομοθεσία.

Είναι φανερό ότι μέχρι σήμερα, η Οδηγία άφηνε περιθώρια για επιμέρους ερμηνείες. Τώρα όμως, ο Γενικός Κανονισμός έχει καθολική ισχύ, ακόμη και στα πρόστιμα. Καταργεί την προηγούμενη και μέχρι τώρα ισχύουσα Οδηγία 95/46/ΕΚ (Άρθρο 94).

  • Συνοπτικά, ο νέος Κανονισμός διαφέρει στα εξής βασικά σημεία από την Οδηγία:
  • Έχει καθολική ισχύ σε όλα τα κράτη μέλη, χωρίς να απαιτείται έγκριση από τα κοινοβούλιά τους
  • Είναι πιο αυστηρός και πιο σαφής με στόχο την αποτελεσματική προστασία των προσωπικών δεδομένων. Ενδεικτικά, εισάγει και ρυθμίζει με πολύ αυστηρό τρόπο την συγκατάθεση του ατόμου.
  • Προβλέπει υψηλά πρόστιμα, που θα επιβάλλονται από 25.05.2018 στους παραβάτες.
  • Εισάγει νέα δικαιώματα για τα φυσικά πρόσωπα (Υποκείμενα των δεδομένων):
    • Δικαίωμα διόρθωσης (Άρθρο 16),
    • Δικαίωμα στην Λήθη (Άρθρο 17),
    • Δικαίωμα περιορισμού της επεξεργασίας (Άρθρο 18),
    • Υποχρέωση γνωστοποίησης διόρθωσης ή τη διαγραφή δεδομένων ή τον περιορισμό της επεξεργασίας (Άρθρο 19),
    • Δικαίωμα Φορητότητας (Άρθρο 20).

Ποιον προστατεύει;

Ο Κανονισμός 2016/679 έχει σκοπό να προστατεύσει τα φυσικά πρόσωπα έναντι της επεξεργασίας των προσωπικών τους δεδομένων και την ελεύθερη κυκλοφορία των δεδομένων αυτών και να καταργήσει την οδηγία 95/46/ΕΚ.

Ρυθμίζει επίσης θέματα μεταβίβασης δεδομένων εκτός Ευρωπαϊκών συνόρων. Προστατεύει τα εν ζωή φυσικά πρόσωπα που βρίσκονται στην Ένωση, ανεξαρτήτως τόπου διαμονής και ιθαγένειας.

Ποιον δεν καλύπτει:

  • Τα νομικά πρόσωπα και ιδίως επιχειρήσεις συσταθείσες ως νομικά πρόσωπα, περιλαμβανομένων της επωνυμίας, του τύπου και των στοιχείων επικοινωνίας του νομικού προσώπου.
  • Την επεξεργασία προσωπικών δεδομένων η οποία διενεργείται από φυσικά πρόσωπα και αποκλειστικά στα πλαίσια προσωπικής ή οικιακής δραστηριότητας και χωρίς σύνδεση με κάποια επαγγελματική ή εμπορική δραστηριότητα.
  • Τους θανόντες.

Ποιον αφορά;

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (EU GDPR) αφορά κάθε οργανισμό που διατηρεί ή επεξεργάζεται προσωπικά δεδομένα Ευρωπαίων πολιτών, ανεξαρτήτως εθνικότητας ή τόπου κατοικίας τους.

Το GDPR δεν ισχύει μόνο για οργανισμούς εγκατεστημένους εντός της ΕΕ, αλλά θα ισχύει και για οργανισμούς που βρίσκονται εκτός της ΕΕ εάν προσφέρουν αγαθά ή υπηρεσίες ή καταγράφουν τη συμπεριφορά των υποκειμένων των δεδομένων της ΕΕ.

Αφορά εξίσου όλους τους οργανισμούς, από τις πιο μικρές εταιρίες έως τους πιο μεγάλους ομίλους, δημοσίου και ιδιωτικού δικαίου. Αφορά τόσο τους υπευθύνους επεξεργασίας(Data Controllers), όσο και τους εκτελούντες (Data Processors) την επεξεργασία δεδομένων.

Τι ορίζεται ως προσωπικό δεδομένο;

Οποιοδήποτε στοιχείο πληροφορίας συνδέεται με ένα άτομο (Το Υποκείμενο των δεδομένων) και μπορεί να χρησιμοποιηθεί άμεσα ή έμμεσα στην ταυτοποίησή του, αποτελεί σύμφωνα με το νόμο προσωπικό δεδομένο .

Αναφέρουμε ενδεικτικά παραδείγματα προσωπικών δεδομένων :

  • Στοιχεία Ταυτότητας Φυσικού Προσώπου:
    • Όνομα
    • Διεύθυνση σπιτιού, εργασίας
    • Αριθμός τηλεφώνου, κινητού
    • Διεύθυνση ηλεκτρονικού ταχυδρομείου
    • Αριθμός διαβατηρίου, ταυτότητας
    • Αριθμός κοινωνικής ασφάλισης
  • Χρηματο-οικονομικά Στοιχεία:
    • Στοιχεία τραπεζών / αριθμοί λογαριασμού
    • Αριθμός φορολογικού μητρώου
    • Αριθμοί πιστωτικών / χρεωστικών καρτών
  • Ηλεκτρονικά Μέσα:
    • Διεύθυνση IP (περιοχή της ΕΕ)
    • Θέση / δεδομένα GPS
    • Αναγνωριστικά στοιχεία συσκευής (mac address, serial number κλπ)

Τι σημαίνει “επεξεργασία” προσωπικών δεδομένων;

Επεξεργασία σημαίνει κάθε εργασία, τόσο με αυτοματοποιημένα ή ψηφιακά μέσα, όσο και με χειροκίνητα ή φυσικά μέσα που αφορά σε προσωπικά δεδομένα, όπως:

  • Συλλογή
    • Καταγραφή
    • Οργάνωση
    • Διατήρηση
    • Αποθήκευση
    • Διαγραφή
  • Ολική ή μερική διόρθωση
    • Ενημέρωση
    • Τροποποίηση
    • Εξαγωγή
    • Χρήση
    • Καταστροφή
  • Μεταβίβαση
    • Διάδοση
    • Συσχετισμός
    • Διασύνδεση
    • Δέσμευση

Υπεύθυνος Επεξεργασίας (Data Controller)

Ο Υπεύθυνος Επεξεργασίας (Data Controller) είναι η οντότητα (το φυσικό ή νομικό πρόσωπο δημοσίου ή ιδιωτικού δικαίου) που καθορίζει το σκοπό, τις προϋποθέσεις και τον τρόπο επεξεργασίας προσωπικών δεδομένων.

Για παράδειγμα, Υπεύθυνος Επεξεργασίας είναι κάθε νομικό πρόσωπο που τηρεί προσωπικά δεδομένα τουλάχιστον ενός φυσικού προσώπου:

  • Των Υπαλλήλων ή των υποψηφίων Υπαλλήλων του,
  • Των Μελών,
  • Πελατών,
  • Προμηθευτών,
  • Συνεργατών και Συμβούλων του

Εκτελών την Επεξεργασία (Data Processor)

Ο Εκτελών την Επεξεργασία (Data Processor) είναι αντίστοιχα η οντότητα (το φυσικό ή νομικό πρόσωπο δημοσίου ή ιδιωτικού δικαίου) που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Υπευθύνου Επεξεργασίας.

Παράδειγματα «Εκτελών την Επεξεργασία» (Data Processor) :

  • Ανάθεση της μισθοδοσίας υπαλλήλων σε άλλη οντότητα
    (π.χ. λογιστικό γραφείο, εταιρεία παροχής υπηρεσιών μισθοδοσίας).
  • Ανάθεση σε εταιρεία marketing της ενημέρωσης του πελατολογίου μας μέσω αποστολής ενημερωτικού υλικού με e-mail.

Ποια δικαιώματα πρέπει να επιτρέπουν οι εταιρείες βάσει του GDPR ;

O GDPR παρέχει στους κατοίκους της ΕΕ τον έλεγχο των προσωπικών τους δεδομένων μέσω ενός συνόλου «δικαιωμάτων υποκειμένων των δεδομένων».
Αυτά περιλαμβάνουν τα παρακάτω:

  • Πρόσβαση σε πληροφορίες σχετικά με τον τρόπο χρήσης των προσωπικών δεδομένων των υποκειμένων
  • Πρόσβαση σε προσωπικά δεδομένα του υποκειμένου που διατηρεί ένας οργανισμός
  • Δικαίωμα διαγραφής ή διόρθωσης εσφαλμένων προσωπικών δεδομένων
  • Δικαίωμα διόρθωσής και διαγραφής προσωπικών δεδομένων σε ορισμένες περιπτώσεις (“το δικαίωμα στη λήθη“)
  • Περιορισμός ή αντίθεση στην αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων
  • Λήψη αντίγραφου προσωπικών δεδομένων

Ποια είναι τα ελάχιστα Απαιτούμενα Συγκατάθεσης Χρήσης / Επεξεργασίας Προσωπικών Δεδομένων στο GDPR

Για να υπάρχει ορθή συναίνεση χρήσης / επεξεργασίας δεδομένων, είναι απαραίτητο να ενημερωθεί το υποκείμενο των δεδομένων για ορισμένα στοιχεία που είναι σημαντικό ώστε να κάνει μια σωστή επιλογή.

  • Ταυτότητα του Υπεύθυνου επεξεργασίας (Controller),
  • Σκοπός καθεμίας από τις εργασίες επεξεργασίας για τις οποίες ζητείται συγκατάθεση
  • Είδος δεδομένων που θα συλλεχθούν και θα χρησιμοποιηθούν,
  • Ύπαρξη του δικαιώματος υπαναχώρησης,
  • Πληροφορίες σχετικά με τη χρήση των δεδομένων για αποφάσεις που βασίζονται αποκλειστικά σε αυτοματοποιημένες διαδικασίες συμπεριλαμβανομένου του profiling
  • Εάν η συγκατάθεση αφορά μεταφορές δεδομένων καθώς και ενημέρωση σχετικά με τους πιθανούς κινδύνους μεταφοράς δεδομένων σε τρίτους

Ποια είναι τα πρόστιμα;

Τα πρόστιμα που ορίζει ο Γενικός Κανονισμός είναι υψηλά: 4% του παγκόσμιου ετήσιου κύκλου εργασιών του οργανισμού ή 20.000.000 € ,όποιο είναι υψηλότερο (Άρθρο 83).

Το πρόστιμο αυτό δύναται να επιβληθεί σε σοβαρές παραβιάσεις του Κανονισμού, όπως:

  • παραβιάσεις που αφορούν την συγκατάθεση του ατόμου,
  • τις βασικές αρχές προστασίας δεδομένων,
  • τη μεταφορά δεδομένων Ευρωπαίων πολιτών εκτός Ευρώπης,
  • τη μη συμμόρφωση με τις υποδείξεις των Εποπτικών Αρχών.

Υπάρχουν και περιπτώσεις όπου προβλέπεται πρόστιμο 2% του παγκόσμιου ετήσιου κύκλου εργασιών, ή €10.000.000 ,όποιο είναι υψηλότερο (Άρθρο 83) :

Το πρόστιμο αυτό δύναται να επιβληθεί σε παραβιάσεις του Κανονισμού, όπως:

  • μη τήρηση οργανωμένων αρχείων,
  • μη γνωστοποίηση για παραβίαση ασφαλείας,
  • μη διορισμός DPO στις περιπτώσεις που επιβάλλεται,
  • παράλειψη διενέργειας Εκτίμησης Αντικτύπου,
  • ατελής εφαρμογή ή απουσία τεχνικών και οργανωτικών μέτρων για την εξασφάλιση της προστασίας δεδομένων από το σχεδιασμό και εξ’ ορισμού – Data Privacy by Design and by Default

Εκπαίδευση προσωπικού

Για να υπάρχει ορθή συναίνεση χρήσης / επεξεργασίας δεδομένων, είναι απαραίτητο να ενημερωθεί το υποκείμενο των δεδομένων για ορισμένα στοιχεία που είναι σημαντικό ώστε να κάνει μια σωστή επιλογή.

Οι οργανισμοί οφείλουν να εκπαιδεύσουν το προσωπικό τους στο πως να εφαρμόζει καθημερινά την πολιτική προστασίας προσωπικών δεδομένων.

Περιορισμός του σκοπού

Κάθε οργανισμός οφείλει να προσδιορίζει ρητά τους νόμιμους σκοπούς, για τους οποίους συλλέγει και επεξεργάζεται προσωπικά δεδομένα.

Οφείλει να μην διενεργεί περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς  (Άρθρο 5).

Ελαχιστοποίηση των δεδομένων

Τα δεδομένα που συλλέγονται οφείλουν να είναι κατάλληλα, συναφή και απολύτως αναγκαία για τους συγκεκριμένους σκοπούς που ορίστηκαν (Άρθρο 5).

Χρονική διάρκεια

Κάθε οργανισμός οφείλει να τηρεί δεδομένα μόνο για όσο χρονικό διάστημα αυτό απαιτείται, σύμφωνα με το νόμιμο σκοπό (Άρθρο 5).

Ρητή συγκατάθεση

Απαιτείται ρητή, σαφής και συγκεκριμένη συγκατάθεση του ατόμου για την συλλογή, επεξεργασία και τήρηση των προσωπικών του δεδομένων.

Για προσωπικά δεδομένα ανηλίκων κάτω των 16 ετών, απαιτείται σαφής συγκατάθεση γονέα ή κηδεμόνα.

Ο οργανισμός οφείλει να τηρεί αρχείο και να επιτρέπει στο άτομο να διαφοροποιήσει τη συγκατάθεση που έδωσε για μια συγκεκριμένη χρήση, όσες φορές αλλάξει γνώμη. (Άρθρα 6-7-8)

Σαφής Πολιτική Απορρήτου

Οι οργανισμοί απαιτούνται να δηλώνουν με διαφάνεια, σαφή γλώσσα και κατανοητό τρόπο την πολιτική απορρήτου που εφαρμόζουν.

Δηλαδή, να δηλώνουν αναλυτικά ποια δεδομένα συλλέγουν, για ποιο νόμιμο σκοπό, πώς τα διαχειρίζονται, για πόσο χρονικό διάστημα τα διατηρούν, με ποιες μεθόδους ασφαλείας τα προστατεύουν κ.λπ (Άρθρο 12).

Σεβασμός στα Ατομικά δικαιώματα

Όλα τα άτομα έχουν δικαίωμα να επεμβαίνουν στα δεδομένα τους προκειμένου να τα διορθώσουν (Δικαίωμα Διόρθωσης), να ζητήσουν την παραλαβή των δεδομένων τους, σε δομημένο, συμβατό και διαλειτουργικό μορφότυπο, αναγνώσιμο από μηχανήματα, προκειμένου να τα διαβιβάσουν σε άλλον υπεύθυνο επεξεργασίας (Δικαίωμα στη Φορητότητα), ακόμη και τη διαγραφή (Δικαίωμα στη Λήθη) των προσωπικών τους δεδομένων υπό προϋποθέσεις. (Άρθρα 13 έως 23)

Ευθύνη και Λογοδοσία

Οι οργανισμοί είναι διαρκώς υπόλογοι στα άτομα και στις Αρχές.

Οφείλουν, όχι απλώς να εφαρμόζουν το νέο Κανονισμό, αλλά και να είναι κάθε στιγμή σε θέση να αποδείξουν ότι συμμορφώνονται με όλες τις απαιτήσεις του.

(Άρθρο 24)

Προστασία ήδη από τον αρχικό σχεδιασμό και εξ’ ορισμού

Ο οργανισμός οφείλει να εφαρμόζει αποτελεσματικά, τα κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, η ελαχιστοποίηση των δεδομένων και η ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία τους, κατά τρόπο ώστε να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων. (Άρθρο 25)

Ασφάλεια Επεξεργασίας

Ο οργανισμός που τηρεί και διαχειρίζεται προσωπικά δεδομένα οφείλει να εφαρμόζει τα απαραίτητα συστήματα, πολιτικές και διαδικασίες που εξασφαλίζουν τα απαιτούμενα επίπεδα προστασίας των δεδομένων αυτών, συμπεριλαμβανομένης της προστασίας από την παράνομη πρόσβαση κι επεξεργασία, τόσο από το προσωπικό του οργανισμού, όσο και από τρίτους, την κατά λάθος απώλεια, καταστροφή ή αλλοίωσή τους.

Οφείλει επίσης να διασφαλίζει ότι τα δεδομένα που τηρεί είναι ορθά και επίκαιρα. (Άρθρο 32)

Γνωστοποίηση παραβίασης εντός 72 ωρών

Σε περίπτωση παραβίασης ασφαλείας που αφορά προσωπικά δεδομένα, οι οργανισμοί οφείλουν να ενημερώνουν εντός 72 ωρών (από τη στιγμή που λαμβάνουν γνώση του γεγονότος) τις αρμόδιες Αρχές.

Υπό προϋποθέσεις, οφείλουν να ενημερώνουν και τα ίδια τα άτομα (Υποκείμενα) των οποίων τα προσωπικά δεδομένα έχουν τεθεί σε κίνδυνο.

Οφείλουν επίσης να τηρούν αρχείο με όλα τα περιστατικά παραβίασης ασφαλείας προσωπικών δεδομένων. (Άρθρα 33, 34 ).

Εκτίμηση αντικτύπου

Οι οργανισμοί οφείλουν να διεξάγουν μελέτες εκτίμησης αντικτύπου (Data Protection Impact Assessment), με σκοπό την εκτίμηση των επιπτώσεων της επεξεργασίας προσωπικών δεδομένων, τον εντοπισμό των κινδύνων ασφάλειας και τον σχεδιασμό της αντιμετώπισης αυτών. (Άρθρο 35-36)

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer ή DPO)

Οι οργανισμοί οφείλουν υπό προϋποθέσεις να ορίσουν έναν Υπεύθυνο Προστασίας Δεδομένων. Ο ρόλος του είναι να παρακολουθεί τη διαρκή και επαρκή συμμόρφωση του οργανισμού με τον νόμο, ενώ παράλληλα αποτελεί τον σύνδεσμο του οργανισμού με την αρμόδια εποπτική Αρχή.

Ποιοι υποχρεούνται να διορίσουν DPO;

  1. Δημόσιοι οργανισμοί και ΔΕΚΟ, εκτός δικαστηρίων που ενεργούν στα πλαίσια της δικαιοδοσίας τους.
  2. Κάθε οργανισμός του οποίου η βασική δραστηριότητα συνιστά:
    • τακτική και συστηματική παρακολούθηση φυσικών προσώπων (Υποκειμένων των δεδομένων) σε μεγάλη κλίμακα, ή
    • μεγάλης κλίμακας επεξεργασία Ειδικών κατηγοριών προσωπικών δεδομένων: φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή και τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή
    • μεγάλης κλίμακας επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα

Ο DPO δύναται να είναι μέλος του προσωπικού υπό προϋποθέσεις, ή εξωτερικός Συνεργάτης, με δελτίο παροχής υπηρεσιών (Άρθρα 37-38-39).

Παραδείγματα οργανισμών που έχουν υποχρέωση διορισμού DPO:

  • Εταιρίες Τηλεπικοινωνιών
  • Πάροχοι ηλεκτρονικού ταχυδρομείου
  • Εταιρίες Μισθοδοσίας
  • Ασφαλιστικές
  • Τράπεζες
  • Εταιρείες Υπηρεσιών Υγείας

Μπορεί μια εταιρία να ορίσει ως DPO έναν από τους υπαλλήλους της;

Ναι, αλλά υπό την προϋπόθεση ότι ΔΕΝ υπάρχει σύγκρουση συμφερόντων.
Αν ο ρόλος ενός υπαλλήλου στην εταιρία περιλαμβάνει και το να ορίζει το σκοπό ή την μέθοδο επεξεργασίας προσωπικών δεδομένων, τότε αυτός ο υπάλληλος δεν πρέπει να διορισθεί DPO της εταιρίας.
Συνήθως, σύγκρουση συμφερόντων παρατηρείται στις εξής θέσεις – αλλά όχι μόνο: CEO, COO, Επικεφαλής IT, HR, Οικονομικών, Marketing, κλπ. Αυτά αποτελούν ενδεικτικά μόνο παραδείγματα.
Στην πραγματικότητα, η σύγκρουση συμφερόντων, σε ποιες βαθμίδες και σε ποιες θέσεις υπάρχει, εξαρτάται από την οργανωτική διάρθρωση της εκάστοτε εταιρίας.