Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR – 2016/679) της ΕΕ αποτελεί τη μεγαλύτερη αλλαγή στην νομοθεσία περί προστασίας των δεδομένων τα τελευταία 20 χρόνια και έχει άμεση εφαρμογή σε όλα τα Κράτη-Μέλη από 25/05/2018 χωρίς την προϋπόθεση κρατικής νομοθεσίας.

Σκοπός της εφαρμογής είναι η άρση των νομικών ασαφειών και της ανασφάλειας που δημιουργούσε το προηγούμενο νομικό πλαίσιο, η ενδυνάμωση θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων καθώς και η ομοιομορφία του νομικού πλαισίου σε όλα τα κράτη-μέλη. Ο νόμος αφορά επιχειρήσεις εντός ΕΕ, αλλά και εκείνες είτε με έδρα την ΕΕ και τόπο διεξαγωγής επεξεργασίας εκτός ΕΕ, είτε έδρα εκτός ΕΕ και τόπο διεξαγωγής επεξεργασίας εκτός ΕΕ.

Κριτήριο Εφαρμογής

Ο Κανονισμός 2016/679 έχει εφαρμογή σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις, κρατικές αρχές, συλλόγους, κλπ.) που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα, είτε έχουν έδρα και δραστηριότητα σε χώρα της Ευρωπαϊκής Ένωσης είτε όχι, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς Ευρωπαίους πολίτες.

Ποιες επιχειρήσεις αφορά;

Όλες τις ιδιωτικές και δημόσιες επιχειρήσεις, καθώς και τις κρατικές αρχές που με οποιοδήποτε τρόπο διαχειρίζονται δεδομένα προσωπικού χαρακτήρα πελατών, πελατών των πελατών τους, εργαζομένων, συνεργατών ή άλλων φυσικών προσώπων.

Ως εκ τούτου, o GDPR αφορά πρακτικά όλες τις επιχειρήσεις, εντός και εκτός Ευρωπαϊκής Ένωσης, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες.

Έλεγχος και κυρώσεις

Παρέχεται στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα το δικαίωμα ελέγχου συμμόρφωσης με τον Κανονισμό. Σε περίπτωση παραβίασης προβλέπονται πρόστιμα ύψους 10.000.000 ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (ανάλογα με το ποιο είναι υψηλότερο) για παραβιάσεις των υποχρεώσεων των άρ.8, 11, 25 έως 39, 41 παρ.4, 42 και 43 και πρόστιμα ύψους 20.000.000 ευρώ ή 4% του συνολικού παγκόσμιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (ανάλογα με το ποιο είναι υψηλότερο) για παραβιάσεις των βασικών αρχών (αρ.5,6,7,9), δικαιωμάτων Υποκειμένων (άρ.12 έως 22) και των προϋποθέσεων διαβίβασης σε αποδέκτη σε 3η χώρα (άρ.44 έως 49). Τέλος, ορίζεται δικαίωμα αποζημίωσης του υποκειμένου και ευθύνη του υπεύθυνου επεξεργασίας.

Οι βασικές αλλαγές που επιφέρει ο κανονισμός

• Αυξημένα δικαιώματα των υποκείμενων των δεδομένων
• Ενίσχυση της παιδικής προστασίας
• Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα
• Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού (data protection by design and by default)
• Αυστηροποιηση των προϋποθέσεων της παροχής συγκατάθεσης των υποκείμενων των δεδομένων
• Εκτίμηση αντίκτυπου σχετικά με την προστασία των δεδομένων
• Αρχεία των δραστηριοτήτων επεξεργασίας
• Ορισμός υπευθύνου προστασίας δεδομένων (data protection officer)

Τήρηση των αρχών που διέπει ο κανονισμός

Ο νέος κανονισμός ενισχύει το καθιερωμένο πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα, καθιερώνοντας νέες υποχρεώσεις για τον υπεύθυνο επεξεργασίας προσωπικών δεδομένων με 3 βασικούς άξονες: την τήρηση προκαθορισμένων βασικών αρχών για την επεξεργασία των προσωπικών δεδομένων, τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων και την ενίσχυση των δικαιωμάτων των υποκειμένων ως αυτές αναλυτικά παρουσιάζονται παρακάτω:

• Νομιμότητα – αντικειμενικότητα-διαφάνεια
• Περιορισμός του σκοπού
• Ελαχιστοποίηση δεδομένων
• Ακρίβεια
• Περιορισμός περιόδου αποθήκευσης
• Ακεραιότητα – εμπιστευτικότητα

Ενίσχυση των δικαιωμάτων των υποκειμένων

  • Δικαίωμα ανάκλησης της ήδη δοθείσας συναίνεσης (άρ.7)
  • Δικαίωμα πρόσβασης στα δεδομένα – δικαίωμα λήψης αντιγράφου (άρ.15)
  • Δικαίωμα διόρθωσης (άρ.16)
  • Δικαίωμα διαγραφής (άρ.17)
  • Δικαίωμα περιορισμού της επεξεργασίας (άρ.18)
  • Δικαίωμα στη φορητότητα (άρ.20)
  • Δικαίωμα εναντίωσης (άρ.21)

Απαραίτητα τεχνικά και οργανωτικά μέτρα

  • Εφαρμογή μέτρων προστασίας των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού (by design and by default)
  • Τήρηση του αρχείου δραστηριοτήτων
  • Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
  • Ορισμός Υπεύθυνου Προστασίας Προσωπικών Δεδομένων (Data Protection Officer – DPO)
  • Εκπόνηση και τήρηση Κώδικα Δεοντολογίας

Ειδικοί τομείς ρύθμισης του κανονισμού

• Συμμόρφωση και ετοιμότητα
• Σχεδιασμός τεχνικών εκθέσεων
• Ψηφιακή τεχνολογία και ιδιωτικοτητα
• Διαχείριση κινδύνων
• Ενημέρωση και εκπαίδευση
• Προηγμένη ασφάλεια

Ο ΓΚΠΔ περιέχει νομικές και τεχνικές απαιτήσεις οι οποίες για να καλυφθούν χρειάζονται εξειδικεδευμένες γνώσεις από επαγγελματίες ειδικά σε περιπτώσεις οργανισμών και επιχειρήσεων που υλοποιούν πολύπλοκα επιχειρησιακά μοντέλα. Οι επαγγελματικοί τομείς που προτείνονται είναι:

  • Engineers
  • Security consultans
  • Penetration Testers
  • Business Consultants
  • Lawyers
  • Techical Managers

πηγή: gdprgreece