Όλα όσα πρέπει να γνωρίζετε για τον κανονισμό GDPR

Όλα όσα πρέπει να γνωρίζετε για τον κανονισμό GDPR

Επιμέλεια: Κωνσταντίνος Κίτρου, Καθηγητής Τομέα Πληροφορικής & Ηλεκτρονικών / MSc Medical Informatics

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR – General Data Protection Regulation) είναι ο νέος νόμος περί προστασίας δεδομένων της Ευρωπαϊκής Ένωσης. Έχει σχεδιαστεί για να επιτρέπει σε μεμονωμένα άτομα να έχουν μεγαλύτερο έλεγχο των προσωπικών τους δεδομένων και επιβάλλει νέες υποχρεώσεις σε επιχειρήσεις που συλλέγουν, διαχειρίζονται ή αναλύουν τέτοιου είδους δεδομένα. Η εφαρμογή του κανονισμού αφορά επιχειρήσεις εντός Ευρωπαϊκής Ένωσης, κάθε μεγέθους, ανεξαρτήτως κλάδου καθώς και σε όλες τις επιμέρους λειτουργίες όπου συλλέγονται δεδομένα.

Τι ορίζεται ως προσωπικό δεδομένο;

Οποιοδήποτε στοιχείο πληροφορίας συνδέεται με ένα άτομο  και μπορεί να χρησιμοποιηθεί άμεσα ή έμμεσα στην ταυτοποίησή του, αποτελεί σύμφωνα με το νόμο προσωπικό δεδομένο .

Αναφέρουμε ενδεικτικά παραδείγματα προσωπικών δεδομένων :

 Στοιχεία Ταυτότητας Φυσικού Προσώπου:

 Χρηματο-οικονομικά Στοιχεία:

 Όνομα

 Στοιχεία τραπεζών / αριθμοί λογαριασμού

 Διεύθυνση σπιτιού, εργασίας

 Αριθμός φορολογικού μητρώου

 Αριθμός τηλεφώνου, κινητού

 Αριθμοί πιστωτικών / χρεωστικών καρτών

 Διεύθυνση ηλεκτρονικού ταχυδρομείου

 Ηλεκτρονικά Μέσα:

 Αριθμός διαβατηρίου, ταυτότητας

 Διεύθυνση IP (περιοχή της ΕΕ)

 Αριθμός κοινωνικής ασφάλισης

 Θέση / δεδομένα GPS

Τι σημαίνει “επεξεργασία” προσωπικών δεδομένων;

Επεξεργασία σημαίνει κάθε εργασία, τόσο με αυτοματοποιημένα ή ψηφιακά μέσα, όσο και με χειροκίνητα ή φυσικά μέσα που αφορά σε προσωπικά δεδομένα, όπως:

 Συλλογή

 Ολική ή μερική διόρθωση

 Μεταβίβαση

 Καταγραφή

 Ενημέρωση

 Διάδοση

 Οργάνωση

 Τροποποίηση

 Συσχετισμός

 Διατήρηση

 Εξαγωγή

 Διασύνδεση

 Αποθήκευση

 Χρήση

 Δέσμευση

 Διαγραφή

 Καταστροφή

Ρητή συγκατάθεση

Απαιτείται ρητή, σαφής και συγκεκριμένη συγκατάθεση του ατόμου για την συλλογή, επεξεργασία και τήρηση των προσωπικών του δεδομένων.

Για προσωπικά δεδομένα ανηλίκων κάτω των 16 ετών, απαιτείται σαφής συγκατάθεση γονέα ή κηδεμόνα.

Ο οργανισμός οφείλει να τηρεί αρχείο και να επιτρέπει στο άτομο να διαφοροποιήσει τη συγκατάθεση που έδωσε για μια συγκεκριμένη χρήση, όσες φορές αλλάξει γνώμη.

Σαφής Πολιτική Απορρήτου

Οι οργανισμοί απαιτούνται να δηλώνουν με διαφάνεια, σαφή γλώσσα και κατανοητό τρόπο την πολιτική απορρήτου που εφαρμόζουν. Δηλαδή, να δηλώνουν αναλυτικά ποια δεδομένα συλλέγουν, για ποιο νόμιμο σκοπό, πώς τα διαχειρίζονται, για πόσο χρονικό διάστημα τα διατηρούν, με ποιες μεθόδους ασφαλείας τα προστατεύουν.

Ποια είναι τα πρόστιμα;

Τα πρόστιμα που ορίζει ο Γενικός Κανονισμός είναι υψηλά: 4% του παγκόσμιου ετήσιου κύκλου εργασιών του οργανισμού ή 20.000.000 € ,όποιο είναι υψηλότερο.

Το πρόστιμο αυτό δύναται να επιβληθεί σε σοβαρές παραβιάσεις του Κανονισμού, όπως:

  • παραβιάσεις που αφορούν την συγκατάθεση του ατόμου,
  • τις βασικές αρχές προστασίας δεδομένων,
  • τη μεταφορά δεδομένων Ευρωπαίων πολιτών εκτός Ευρώπης,
  • τη μη συμμόρφωση με τις υποδείξεις των Εποπτικών Αρχών.

Υπάρχουν και περιπτώσεις όπου προβλέπεται πρόστιμο 2% του παγκόσμιου ετήσιου κύκλου εργασιών, ή €10.000.000 , όποιο είναι υψηλότερο:

Το πρόστιμο αυτό δύναται να επιβληθεί σε παραβιάσεις του Κανονισμού, όπως:

  • μη τήρηση οργανωμένων αρχείων,
  • μη γνωστοποίηση για παραβίαση ασφαλείας,
  • μη διορισμός DPO (Υπευθύνου Προστασίας Προσωπικών Δεδομένων) στις περιπτώσεις που επιβάλλεται,

παράλειψη διενέργειας Εκτίμησης Αντικτύπου, ατελής εφαρμογή ή απουσία τεχνικών και οργανωτικών μέτρων για την εξασφάλιση της προστασίας δεδομένων από το σχεδιασμό και εξ’ ορισμού – Data Privacy by Design and by Default.