Στις 25 Μαΐου του 2018 ενεργοποιείται και τίθεται σε άμεση και υποχρεωτική εφαρμογή η πιο σημαντική Ευρωπαϊκή νομοθεσία που αφορά στην προστασία δεδομένων τα τελευταία 20 χρόνια. Ο Ευρωπαϊκός Κανονισμός Προστασίας Δεδομένων (GDPR) αντικαθιστά την από 1995 Ευρωπαϊκή Οδηγία περί Προστασίας Δεδομένων.

Ο νέος κανονισμός αυξάνει σημαντικά τις υποχρεώσεις των επιχειρήσεων, ενώ το μέγεθος των προβλεπόμενων προστίμων τον τοποθετεί πολύ υψηλά στην ατζέντα της ανώτατης διοίκησης. Σε περίπτωση παράβασης προβλέπονται σημαντικά αυξημένα πρόστιμα, που ανάλογα με το είδος και το μέγεθός της, φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης.

Υπάρχουν διάφορες υποχρεώσεις που παρουσιάζονται από τον Ευρωπαϊκό κανονισμό (GDPR) σχετικά με τους ελέγχους και την ασφάλεια γύρω από τη διαχείριση των προσωπικών δεδομένων. Ο κανονισμός υποχρεώνει τον επεξεργαστή ή τον υπεύθυνο επεξεργασίας δεδομένων να «εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα» για να τις αντιμετωπίσει.

 

Ποιους αφορά

Αφορά εταιρείες, ανεξαρτήτου μεγέθους και δραστηριότητας, οι οποίες συλλέγουν, κατέχουν και επεξεργάζονται μέσα στο πλαίσιο των δραστηριοτήτων τους, έμμεσα ή άμεσα, προσωπικά δεδομένα πολιτών της Ευρωπαϊκής Ένωσης.

Επιπλέον ο συγκεκριμένος κανονισμός αφορά και επιχειρήσεις με έδρα ακόμα και εκτός της Ε.Ε., εφόσον κατέχουν στοιχεία των πολιτών της.

Η 25η Μαΐου είναι υποχρεωτική;

Από τις 25 Μαΐου 2018 και μετά, θεμελιώνονται τα δικαιώματα και οι υποχρεώσεις που προβλέπει ο Κανονισμός. Δεν είναι απαραίτητο να αποδείξει κάποιος ότι στις 25 Μαΐου είχε προσαρμοστεί σε όσα προβλέπει ο Κανονισμός, αλλά από την ημερομηνία αυτή και μετά θα ενδέχεται να ελεγχθεί -βάσει π.χ. κάποιας καταγγελίας- και θα πρέπει να είναι σύννομος με τον Κανονισμό.

Ποια δεδομένα θεωρούνται «Προσωπικά»

Σύμφωνα με τον GDPR προσωπικά δεδομένα θεωρούνται οι πληροφορίες που συνδέονται με ένα εν ζωή φυσικό πρόσωπο έμμεσα ή άμεσα όπως:

• Στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κλπ.)
• Εκπαίδευση
• Εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κλπ)
• Οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά)
• Ενδιαφέροντα, δραστηριότητες, Συνήθειες
• Διεύθυνση email
• Προσωπικοί αριθμοί εγγράφων (Αριθμός δελτίου ταυτότητας, διαβατηρίου, ΑΦΜ, ΑΜΚΑ κλπ.)
• Αριθμοί πιστωτικών και χρεωστικών καρτών κλπ.

Σημείωση: Τα δεδομένα νομικών προσώπων δεν θεωρούνται προσωπικά δεδομένα. Αντίθετα τα δεδομένα μιας ατομικής επιχείρησης ή μιας μονοπρόσωπης εταιρίας (π.χ. ενός Λογιστή) θεωρούνται προσωπικά.

Τα δεδομένα όλων των εργαζόμενων μιας επιχείρησης, τα δεδομένα των πελατών της επιχείρησης (πλην αυτών που έχουν νομική μορφή) και των προμηθευτών της αντίστοιχα, όλα υπόκεινται στο νέο Κανονισμό.

Ποια δεδομένα θεωρούνται «Ευαίσθητα»

Ευαίσθητα χαρακτηρίζονται τα προσωπικά δεδομένα ενός ατόμου που αναφέρονται:

• στη φυλετική ή εθνική του προέλευση
• στα πολιτικά του φρονήματα
• στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις
• στη συμμετοχή του σε συνδικαλιστική οργάνωση
• στην υγεία του
• στην κοινωνική του πρόνοια
• στην ερωτική του ζωή
• τις ποινικές διώξεις και καταδίκες του

καθώς και στη συμμετοχή του σε συναφείς με τα ανωτέρω ενώσεις προσώπων.

Τα ευαίσθητα δεδομένα προστατεύονται από τον Νόμο με αυστηρότερες ρυθμίσεις από ότι τα απλά προσωπικά δεδομένα.

 

Ποια είναι τα σημαντικότερα σημεία του νέου κανονισμού

[άρθρο 15] Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων

Στο άρθρο αυτό περιγράφεται η ανάγκη για ανεμπόδιστη πρόσβαση του ιδιοκτήτη των δεδομένων σε αυτά. Δηλαδή την πλήρη αναφορά του συνόλου των δεδομένων στον ενδιαφερόμενο σε κατανοητή μορφή.

[άρθρο 16] Δικαίωμα διόρθωσης

Δυνατότητα άμεσης διόρθωσής τους όταν παρατηρηθεί λάθος αλλά και την συμπλήρωση τους.

[άρθρο 17] Δικαίωμα διαγραφής

Θα πρέπει να υπάρχει δυνατότητα διαγραφής τους όταν δεν είναι πια απαραίτητα με την προϋπόθεση ότι το επιτρέπει ο νόμος. Για παράδειγμα φορολογικά στοιχεία που απαιτούνται από τον ΚΒΣ μπορούν να διατηρηθούν.

[άρθρο 20] Δικαίωμα στη φορητότητα των δεδομένων

Τα δεδομένα θα πρέπει να έχουν τη δυνατότητα μεταφοράς τους όταν το επιθυμεί ο ιδιοκτήτης. Οι επιχειρήσεις έχουν την υποχρέωση να παρέχουν στον ιδιοκτήτη των δεδομένων όταν τους ζητηθεί το σύνολο των δεδομένων τους σε κοινά αποδεκτή ηλεκτρονική μορφή

[άρθρο 25] Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού

Βάσει του κανονισμού περιγράφεται ότι οι κατασκευαστές software θα πρέπει να παρέχουν λύσεις και προϊόντα τα οποία όχι μόνο είναι συμβατά με τα όσα -ο κανονισμός- ορίζει αλλά και τεχνικά να είναι σχεδιασμένα με έναν τρόπο που να εξυπηρετεί τις ανάγκες προστασίας των δεδομένων (π.χ. πρωτόκολλα ασφαλείας, κρυπτογράφηση κλπ)

[άρθρο 30] Αρχεία των δραστηριοτήτων επεξεργασίας

Θα πρέπει να υπάρχει σωστή πληροφόρηση για την επεξεργασία τους. Δηλαδή πλήρη και σαφή ενημέρωση κατά τη συλλογή των Δεδομένων για την επεξεργασία τους.

[άρθρο 32] Ασφάλεια επεξεργασίας

Πρέπει να εξασφαλίζεται ότι η επεξεργασία των δεδομένων όχι μόνο δύναται να εκτελεστεί από εξουσιοδοτημένους χρήστες (διαβάθμιση δικαιωμάτων) αλλά και η επεξεργασία ως διαδικασία δεν θέτει σε κίνδυνο την προστασία των δεδομένων κατά τον τρόπο που ορίζουν τα υπόλοιπα άρθρα του κανονισμού (π.χ. ιχνηλασιμότητα και ιστορικότητα στην επεξεργασία)

 

Ολόκληρο τον κανονισμό απ’ την επίσημη εφημερίδα της ευρωπαϊκής ένωσης (στα ελληνικά) θα τον βρείτε στην κονταρίδα (link)

Tο άρθρο είναι μια επιλογή-περίληψη από την σελίδα της epsilonnet (κονταρίδα link)