Τι είναι ο κανονισμός GDPR;
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) είναι ο νέος νόμος περί προστασίας δεδομένων της Ευρωπαϊκής Ένωσης. Αντικαθιστά την Οδηγία για την προστασία των δεδομένων, η οποία εφαρμόζεται από το 1995. Μεταξύ των πιο αξιοσημείωτων αλλαγών του, ο κανονισμός GDPR παρέχει τη δυνατότητα σε μεμονωμένα άτομα να έχουν μεγαλύτερο έλεγχο στα προσωπικά δεδομένα τους και επιβάλλει πολλές νέες υποχρεώσεις στους οργανισμούς που συλλέγουν, χειρίζονται ή αναλύουν προσωπικά δεδομένα.
Ο κανονισμός GDPR παρέχει επίσης στους εθνικούς νομοθέτες νέες εξουσίες για την επιβολή σημαντικών προστίμων σε οργανισμούς που παραβιάζουν το νόμο. Εξαιτίας του κανονισμού GDPR όλες οι τεχνολογικές επιχειρήσεις ανά την Ε.Ε. έχουν ήδη αρχίσει να πραγματοποιούν θεμελιώδεις αλλαγές στον τρόπο λειτουργίας τους και στις μεθόδους διαχείρισης των δεδομένων που εφαρμόζουν.
Σε έναν μήνα από σήμερα, οι επιχειρήσεις πρέπει να προσαρμόσουν τις υποδομές τους, για να αποφύγουν πολύ αυστηρές ποινές και υψηλά πρόστιμα.
Ποιες είναι οι βασικές απαιτήσεις του κανονισμού GDPR;
Ο κανονισμός GDPR επιβάλλει ένα ευρύ φάσμα απαιτήσεων στους οργανισμούς που συλλέγουν ή αναλύουν προσωπικά δεδομένα, καθώς και την υποχρέωση να συμμορφώνονται με έξι βασικές αρχές:
• Διαφάνεια, αντικειμενικότητα και νομιμότητα ως προς το χειρισμό και τη χρήση των προσωπικών δεδομένων.
• Περιορισμός της επεξεργασίας των προσωπικών δεδομένων για καθορισμένους, ρητούς και νόμιμους σκοπούς.
• Συλλογή και αποθήκευση μόνο των ελάχιστων προσωπικών δεδομένων που απαιτούνται για έναν σκοπό.
• Διασφάλιση της ακρίβειας των δεδομένων, συμπεριλαμβανομένης της δυνατότητας διαγραφής και επεξεργασίας τους.
• Περιορισμός της περιόδου αποθήκευσης των προσωπικών δεδομένων.
• Διασφάλιση της ασφάλειας, της ακεραιότητας και της εμπιστευτικότητας των προσωπικών δεδομένων.
Ο GDPR εστιάζει στα προσωπικά δεδομένα των χρηστών. Ποια είναι αυτά;
Πληροφορίες όπως το ονοματεπώνυμο, η διεύθυνση κατοικίας, το email, τραπεζικοί λογαριασμοί ή η τοποθεσία, με τη βοήθεια των οποίων μπορεί να γίνει ταυτοποίηση ενός ατόμου. Στόχος του είναι να υποχρεώσει τις εταιρείες που συλλέγουν και διαχειρίζονται τέτοια δεδομένα, να το κάνουν τηρώντας συγκεκριμένα πρότυπα ασφαλείας, με σκοπό την αντιμετώπιση κινδύνων όπως η κλοπή ταυτότητας, ή μη εξουσιοδοτημένη δημοσιοποίηση και η διαδικτυακή παρενόχληση –μεταξύ άλλων.
Για ποιους οργανισμούς ισχύει ο GDPR;
Ο κανονισμός της Ευρωπαϊκής Ένωσης είναι ο ίδιος για όλα τα κράτη-μέλη ενώ αφορά ακόμη και φυσικά ή νομικά πρόσωπα που έχουν έδρα σε άλλη χώρα εκτός της Ένωσης, αρκεί να διαχειρίζονται και να επεξεργάζονται προσωπικά δεδομένα πολιτών της Ένωσης – κίνηση που διευκολύνει σε μεγάλο βαθμό τις εταιρείες με διακρατική δραστηριοποίηση καθώς πλέον δεν χρειάζεται να λάβουν υπ’ όψη τυχόν εθνικές νομοθεσίες αλλά να προσαρμοστούν στον GDPR. Ο κανονισμός GDPR ισχύει για οργανισμούς κάθε μεγέθους, ανεξαρτήτως κλάδου.
Ειδικότερα, ο κανονισμός GDPR ισχύει για τα εξής:
• Την επεξεργασία των προσωπικών δεδομένων κάθε ατόμου, αν η επεξεργασία πραγματοποιείται στο πλαίσιο των δραστηριοτήτων ενός οργανισμού εγκατεστημένου στην ΕΕ (ανεξάρτητα από το πού πραγματοποιείται η επεξεργασία).
• Την επεξεργασία των προσωπικών δεδομένων ατόμων που κατοικούν στην ΕΕ από έναν οργανισμό εγκατεστημένο εκτός της ΕΕ, εφόσον η επεξεργασία σχετίζεται με την παροχή προϊόντων ή υπηρεσιών σε αυτά τα άτομα ή την παρακολούθηση της συμπεριφοράς τους.
Πότε γίνεται υποχρεωτική η εφαρμογή του νέου Ευρωπαϊκού Κανονισμού για την Προστασία Δεδομένων;
Η 25η Μαΐου 2018 είναι η ημερομηνία υποχρεωτικής εφαρμογής του 679 / 2016 ΓΚΠΔ και της υποχρέωσης για συμμόρφωση με τις απαιτήσεις του απο όλες τις επιχειρήσεις του δημόσιου και ιδιωτικού τομέα που έχουν την έδρα τους σε χώρες της Ευρωπαϊκής Ένωσης.
Ποια μέτρα πρέπει να λάβουν οι επιχειρήσεις που υπόκεινται στον GDPR;
Κάθε εταιρεία που υπόκειται στο νέο κανονισμό προστασίας δεδομένων, πρέπει να εξετάσει την αλλαγή ή και προσαρμογή των πληροφοριακών της συστημάτων για να συμμορφωθεί με όρους, όπως είναι η προσεκτική συγκέντρωση και ασφαλής αποθήκευση προσωπικών δεδομένων των χρηστών, η μη επεξεργασία των προσωπικών δεδομένων χωρίς συγκατάθεση των χρηστών, η κωδικοποίηση των προσωπικών στοιχείων για αποφυγή αναγνώρισης ταυτότητας, η δυνατότητα διαγραφής ή εξαγωγής και παράδοσης των δεδομένων κατ’ απαίτηση του χρήστη και σε όποια χρονική στιγμή ο ίδιος το επιθυμεί, η εφαρμογή της αρχής συλλογής των δεδομένων που είναι απαραίτητα, η διασφάλιση συμμόρφωσης στο νέο κανονισμό και από τις συνεργαζόμενες εταιρείες που διαχειρίζονται τα προσωπικά δεδομένα για λογαριασμό της.
Τι ποινές προβλέπει η μη συμμόρφωση με τον GDPR;
Σχετικά με τον GDPR, αξίζει να διευκρινιστεί πως πρόκειται για κανονισμό και όχι οδηγία – όπως αυτή του 1995 που στην ουσία αντικαθιστά. Πρακτικά, αυτό σημαίνει πως ό,τι αναφέρει, εφαρμόζεται άμεσα (από τις 25 Μαΐου) σε όλα τα κράτη – μέλη της Ευρωπαϊκής Ένωσης, χωρίς την ανάγκη για επιπλέον τοπικές νομοθετικές πράξεις. Στην Ελλάδα, απομένει η ψήφιση του σχεδίου νόμου που θα ρυθμίζει τις νέες αρμοδιότητες της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία και είναι υπεύθυνη για την εξέταση των καταγγελιών, την επιβολή και την είσπραξη των προστίμων. Ακόμη όμως και αν δεν έχει προλάβει να τεθεί σε εφαρμογή τέτοιος νόμος (ο οποίος είναι ήδη στο στάδιο της δημόσιας διαβούλευσης), ο GDPR θα έχει άμεση εφαρμογή άνευ ετέρου. Σε περιπτώσεις μη συμμόρφωσης με τις απαιτήσεις του GDPR προβλέπεται η επιβολή διοικητικών προστίμων ύψους έως και 20.000.000 ευρώ ή έως το 4% του παγκόσμιου κύκλου εργασιών μίας εταιρείας για το προηγούμενο οικονομικό έτος – όποιο από τα δύο είναι υψηλότερο.