GDPR-Γενικός Κανονισμός για την Προστασία των Δεδομένων
Τι είναι ο GDPR;
GDPR είναι ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (General Data Protection Regulation GDPR). Στοχεύει να προσφέρει στους πολίτες της ΕΕ μια ενιαία και εναρμονισμένη προσέγγιση όσον αφορά την προστασία της ιδιωτικής ζωής στην Ευρωπαϊκή Ένωση. O GDPR εγκρίθηκε από το κοινοβούλιο της ΕΕ στις 14 Απριλίου 2016 και η ημερομηνία υποχρεωτικής εφαρμογής του GDPR καθορίστηκε στις 25 Μαΐου 2018 και οι επιχειρήσεις πρέπει να συμμορφωθούν με αυτόν άμεσα μέσα στο αμέσως επόμενο διάστημα σύμφωνα με πρώτη οδηγία της ΑΑΔΕ( Αρχή Προστασίας Δεδομένων).
Σε ποιους απευθύνεται;
Ο νόμος ισχύει για:
- οποιαδήποτε επιχείρηση, εταιρεία ή οντότητα εγκατεστημένη στην ΕΕ που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα ως μέρος των δραστηριοτήτων της ή
- οποιαδήποτε επιχείρηση, εταιρεία ή οντότητα εγκατεστημένη εκτός της ΕΕ που προσφέρει αγαθά / υπηρεσίες (αμειβόμενες ή δωρεάν) ή παρακολούθηση της συμπεριφοράς των ατόμων στην ΕΕ.
Εάν η εταιρεία σας είναι μια μικρή και μεσαία επιχείρηση («ΜΜΕ») που επεξεργάζεται τα προσωπικά δεδομένα όπως περιγράφεται παραπάνω, πρέπει να συμμορφώνεστε με το GDPR. Ωστόσο, εάν η επεξεργασία προσωπικών δεδομένων δεν αποτελεί βασικό μέρος της επιχείρησής σας ή δεν γίνεται σε μεγάλη κλίμακα ή η δραστηριότητά σας δεν δημιουργεί κινδύνους για τα άτομα, τότε ορισμένες υποχρεώσεις του GDPR δεν θα ισχύουν για εσάς ( πχ. ο διορισμός υπευθύνου προστασίας δεδομένων DPO για την συνεχή παρακολούθηση). Οι κατηγορίες επαγγελματιών πρυ πρέπει να συμμορφωθούν άμεσα ( ως πιο « επικίνδυνες για ελέγχους» λόγω της διαχείρισης «ευαίσθητων» δεδομένων είναι γιατροί, λογιστές, δικηγόροι, ασφαλιστές, επιχειρήσεις συστημάτων ασφαλείας και εν συνεχεία όλοι οι υπόλοιποι κλάδοι.
Ποια θεωρούνται προσωπικά δεδομένα;
Τα δεδομένα προσωπικού χαρακτήρα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα. Τα δεδομένα προστατεύονται ανεξάρτητα από την μορφή στην οποία επεξεργάζονται ψηφιακή ή έντυπη μορφή.
Τα δεδομένα αυτά μπορεί να αφορούν όχι μόνο πελάτες ή εν δυνάμει πελάτες μια επιχείρησης αλλά και τους εργαζομένους ή συνεργάτες της.
Πχ. Το όνομα και επώνυμο, η διεύθυνση κατοικίας, τηλέφωνα, ο αριθμός ταυτότητας, η προσωπική ηλεκτρονική διεύθυνση (e-mail), o αναγνωριστικός αριθμός τραπεζικής κάρτας, στοιχεία τραπεζικών λογαριασμών, τα δεδομένα τοποθεσίας (π.χ. GPS σε κινητό τηλέφωνο), η διεύθυνση διαδικτυακού πρωτοκόλλου (IP), τα δεδομένα υγείας που φυλάσσονται από νοσοκομείο ή γιατρό (βιομετρικά στοιχεία, γενετικά στοιχεία, εξετάσεις κ.α), οικονομικά στοιχεία ατόμων( ΑΦΜ, ΑΜΚΑ, ΑΜΙ, ΑΜ ΟΑΕΔ, λογιστικά στοιχεία κλπ.).
Παραδείγματα δεδομένων που δεν θεωρούνται προσωπικού χαρακτήρα, είναι ο αριθμός μητρώου εταιρείας, η εταιρική ηλεκτρονική διεύθυνση του τύπου «πληροφορίες@εταιρεία.com» και κάθε είδους ανώνυμα δεδομένα.
Κάποια δεδομένα θεωρούνται όχι μόνο προσωπικά αλλά και ευαίσθητα και ο κανονισμός είναι ιδιαίτερα αυστηρός σχετικά με την επεξεργασία τους.
Τα ακόλουθα προσωπικά δεδομένα θεωρούνται «ευαίσθητα» και υπόκεινται σε συγκεκριμένες συνθήκες επεξεργασίας:
- τα προσωπικά δεδομένα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τις πολιτικές απόψεις, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις.
- συνδικαλιστική ιδιότητα μέλους.
- γενετικά δεδομένα, βιομετρικά δεδομένα που έχουν υποστεί επεξεργασία αποκλειστικά για τον εντοπισμό ενός ανθρώπου.
- δεδομένα σχετικά με την υγεία.
- δεδομένα σχετικά με τη σεξουαλική ζωή ενός ατόμου ή τον γενετήσιο προσανατολισμό.
Τι αποτελεί επεξεργασία δεδομένων & πως πρέπει να γίνεται;
Ο όρος «επεξεργασία» καλύπτει ένα ευρύ φάσμα πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα, είτε με χειροκίνητα είτε με αυτοματοποιημένα μέσα. Περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.
Παραδείγματα επεξεργασίας αποτελούν η διαχείριση προσωπικού και η μισθοδοσία, η προσπέλαση/αναζήτηση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα, η αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων, η δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου σε ιστότοπο, η περιήγηση ενός επισκέπτη σε μια ιστοσελίδα, η αποθήκευση διευθύνσεων IP , η μαγνητοσκόπηση με τηλεόραση κλειστού κυκλώματος-κάμερες κλπ..
Ο τύπος και η ποσότητα των προσωπικών δεδομένων που μπορείτε να επεξεργαστείτε εξαρτάται από τον λόγο για τον οποίο το επεξεργάζεστε (νομικός λόγος που χρησιμοποιήθηκε) και τι θέλετε να κάνετε με αυτόν. Πρέπει να σέβεστε αρκετούς βασικούς κανόνες, μεταξύ των οποίων και:
- τα προσωπικά δεδομένα πρέπει να διεκπεραιώνονται με νόμιμο και διαφανή τρόπο, διασφαλίζοντας τη δικαιοσύνη έναντι των ατόμων των οποίων τα προσωπικά δεδομένα επεξεργάζεστε («νομιμότητα, δικαιοσύνη και διαφάνεια»).
- πρέπει να έχετε συγκεκριμένους σκοπούς για την επεξεργασία των δεδομένων και πρέπει να αναφέρετε τους σκοπούς αυτούς στα άτομα όταν συλλέγουνται τα προσωπικά τους δεδομένα. Δεν μπορείτε απλά να συλλέγετε προσωπικά δεδομένα για απροσδιόριστους σκοπούς («περιορισμός του σκοπού»).
- πρέπει να συλλέξετε και να επεξεργαστείτε μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για την εκπλήρωση αυτού του σκοπού («ελαχιστοποίηση δεδομένων»).
- πρέπει να διασφαλίσετε ότι τα προσωπικά δεδομένα είναι ακριβή και ενημερωμένα, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους έχουν υποβληθεί σε επεξεργασία και να διορθώσετε αν όχι («ακρίβεια»).
- δεν μπορείτε να χρησιμοποιήσετε περαιτέρω τα προσωπικά δεδομένα για άλλους σκοπούς που δεν είναι συμβατοί με τον αρχικό σκοπό της συλλογής.
- πρέπει να διασφαλίσετε ότι τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται για χρονικό διάστημα που δεν υπερβαίνει τα αναγκαία για τους σκοπούς για τους οποίους συλλέχθηκαν («περιορισμός αποθήκευσης»).
- πρέπει να εγκαταστήσετε τις κατάλληλες τεχνικές και οργανωτικές διασφαλίσεις που διασφαλίζουν την ασφάλεια των προσωπικών δεδομένων, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και κατά τυχαίας απώλειας, καταστροφής ή ζημίας, χρησιμοποιώντας την κατάλληλη τεχνολογία («ακεραιότητα και εμπιστευτικότητα»).
Με δεδομένες τις παραπάνω συνθήκες και την σωστή τήρησή τους, μπορείτε να επεξεργάζεστε προσωπικά δεδομένα στις ακόλουθες περιπτώσεις:
- όταν έχετε την συγκατάθεση του ατόμου (πχ. για να στείλετε ένα ενημερωτικό).
- όπου υπάρχει συμβατική υποχρέωση με τον πελάτη πχ. για να λειτουργήσει το ηλεκτρονικό σας κατάστημα (πχ. στάδια παραγγελίας).
- για να παρέχετε τις υπηρεσίες σας (πχ. γιατρός, λογιστής κλπ.).
- για να τηρείτε τις υποχρεώσεις σας προς το κράτος( πχ . τήρηση στοιχείων για εργαζομένους, μισθοδοσίες κλπ.) ή για τη συμμόρφωση με νομοθεσίες.
- για τα νόμιμα συμφέροντα της επιχείρησης και την ομαλή της λειτουργία( στο βαθμό που δεν επηρεάζονται σοβαρά τα θεμελιώδη δικαιώματα του ατόμου).
- για την προστασία της ζωής και της υγείας ενός ατόμου.
Στο παρακάτω έγγραφο μπορείτε να δείτε λεπτομέρειες για τις υποχρεώσεις των επιχειρήσεων, τους τρόπους συμμόρφωσης με τον κανονισμό και τα δικαιώματα των πολιτών, με πληροφορίες που βασίζονται στην ίδια την οδηγία της Ε.Ε και σε αξιόπιστα νομικά forums.