GDPR (General Data Protection Regulation)
H 25η Μαΐου 2018 θα είναι μια πολύ σημαντική ημερομηνία, καθώς τίθεται σε ισχύ ο Γενικός Κανονισμός (ΕΕ) 2016/679 για την Προστασία Δεδομένων, γνωστός ως GDPR (General Data Protection Regulation).
Τι είναι ο «GDPR»
Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
Ο «κανονισμός» είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος (δηλαδή δεν απαιτείται ειδική προσαρμογή της Εθνικής Νομοθεσίας). (άρθρο 83 του «Κανονισμού»).
ΟΡΙΣΜΟΙ
1)«δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
2)«επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
Τι υποχρεούνται να κάνουν οι επιχειρήσεις
Οι εταιρείες πλέον καλούνται να ασχοληθούν και επίσημα με την προστασία των πληροφοριακών τους συστημάτων και την προάσπιση των δεδομένων τους, κάνοντας τακτικά ελέγχους ασφάλειας δικτύων και υποδομών, υλοποιώντας πολιτικές ασφάλειας και διαδικασίες, αλλά και εκπαιδεύοντας τους χρήστες πληροφοριακών συστημάτων για την ορθή χρήση των πληροφοριακών συστημάτων τους.
Ο Κανονισμός επιβάλλει μια σειρά νέων υποχρεώσεων στους υπευθύνους επεξεργασίας, οι οποίες απορρέουν από τις βασικές αρχές και ιδίως την ενισχυμένη αρχή της διαφάνειας στον τρόπο συλλογής, επεξεργασίας και τήρησης δεδομένων και τη νέα αρχή της λογοδοσίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωσή του με όλες τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων.
Κάθε υπεύθυνος επεξεργασίας (άρθρο 30) και, κατά περίπτωση, ο εκπρόσωπός του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:
α) το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του από κοινού υπευθύνου επεξεργασίας, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων,
β) τους σκοπούς της επεξεργασίας,
γ) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα,
δ) τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς,
ε) όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων,
στ) όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων,
ζ) όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 παράγραφος 1.
Η εταιρεία πρέπει να εξετάσει την αλλαγή ή και προσαρμογή των πληροφοριακών της συστημάτων για να συμμορφωθεί με όρους όπως:
- Προσεκτική συγκέντρωση και ασφαλής αποθήκευση προσωπικών δεδομένων.
- Καμία επεξεργασία των προσωπικών δεδομένων χωρίς συγκατάθεση
- Κωδικοποίηση αυτών για αποφυγή αναγνώρισης ταυτότητας
- Αποφυγή συσχετισμού βάσεων δεδομένων
- Δυνατότητα διαγραφής ή εξαγωγής και παράδοσης των δεδομένων κατ’ απαίτηση.
- Εφαρμογής της αρχής «τόσα δεδομένα όσα είναι απαραίτητα»
- Διασφάλιση συμμόρφωσης στον Κανονισμό και από τις συνεργαζόμενες εταιρείες που διαχειρίζονται τα προσωπικά δεδομένα για λογαριασμό της.
Πώς θα ξεκινήσω τον σχεδιασμό μου προκειμένου να ικανοποιήσω τα κριτήρια;
Η αρχή γίνεται με μια ανάλυση των ελλείψεων. Ερευνήστε τι πρέπει να κάνετε για να ευθυγραμμιστείτε με τους νέους κανόνες, καθώς υπάρχουν πολύ συγκεκριμένες κατευθυντήριες γραμμές. Κάντε σύγκριση με την υφιστάμενη δομή και τις διαδικασίες σας και στη συνέχεια εντοπίστε τις ελλείψεις.Από εκεί και πέρα, μπορείτε να χτίσετε τον οδικό χάρτη σας. Είναι σημαντικό να εξασφαλίσετε ότι η εταιρεία σας έχει επίγνωση των προσδοκιών της από τους εργαζομένους, σε κάθε σημείο της διαδρομής. Όσο πιο πολύ το καθυστερείτε, τόσο πιο πιθανό είναι να καταλήξετε σε μια κατάσταση πανικού. Άρα είναι καλό να αρχίσετε να προετοιμάζεστε από τώρα και αν δεν ξέρετε από πού να ξεκινήσετε, υπάρχουν ειδικοί που μπορούν να σας βοηθήσουν.
Μπορώ να επιτύχω συμμόρφωση αν προμηθευτώ ένα συγκεκριμένο είδος εξοπλισμού;
Όχι. Το GDPR πάνω από όλα αφορά διαδικασίες ασφαλείας και τη διαχείριση κινδύνου. Η τεχνολογία είναι ένα κομμάτι του, αλλά δεν υπάρχει ένα συγκεκριμένο προϊόν το οποίο μπορεί να λύσει όλα σας τα προβλήματα.
Ποιες είναι οι ποινές σε περίπτωση μη εφαρμογής του «Κανονισμού»
Το ύψος προστίμου, ανάλογα με τις παραβάσεις, κυμαίνεται ως εξής:
|
ΥΨΟΣ ΠΡΟΣΤΙΜΟΥ |
ΕΙΔΟΣ ΠΑΡΑΒΑΣΗΣ |
| Έως 10.000.000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο | οι υποχρεώσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με τα άρθρα 8, 11, 25 έως 39 και 42 και 43,
|
| οι υποχρεώσεις του φορέα πιστοποίησης σύμφωνα με τα άρθρα 42 και 43 | |
| οι υποχρεώσεις του φορέα παρακολούθησης σύμφωνα με το άρθρο 41 παράγραφος 4 | |
| Έως 20.000.000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο | οι βασικές αρχές για την επεξεργασία, περιλαμβανομένων των όρων που ισχύουν για την έγκριση, σύμφωνα με τα άρθρα 5, 6, 7 και 9 |
| τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με τα άρθρα 12 έως 22 | |
| η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό σύμφωνα με τα άρθρα 44 έως 49 | |
| οποιεσδήποτε υποχρεώσεις σύμφωνα με το δίκαιο του κράτους μέλους οι οποίες θεσπίζονται δυνάμει του κεφαλαίου IX που περιλαμβάνει διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας όπως για δημοσιογραφικούς σκοπούς και για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, για σκοπούς επεξεργασίας στο πλαίσιο της απασχόλησης εργαζομένων, για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς καθώς και για σκοπούς επεξεργασίας δεδομένων εκκλησιών και θρησκευτικών ενώσεων.
|
|
| μη συμμόρφωση προς εντολή ή προς προσωρινό ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων που επιβάλλει η εποπτική αρχή δυνάμει του άρθρου 58 παράγραφος 2 ή μη παροχή πρόσβασης κατά παράβαση του άρθρου 58 παράγραφος 1 | |
| Η μη συμμόρφωση προς εντολή της εποπτικής αρχής όπως αναφέρεται στο άρθρο 58 παράγραφος 2 |
TEST ΣΥΜΜΟΡΦΩΣΗΣ
https://encryption.eset.com/gr/
ΠΗΓΕΣ
http://eur-lex.europa.eu/legal-content/EL/TXT/?uri=celex%3A32016R0679
https://www.taxheaven.gr/laws/circular/view/id/27607
www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=169,130,119,155,143,58,7,224