Εναρξη Ισχύος
Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR - 2016/679) της ΕΕ αποτελεί τη μεγαλύτερη αλλαγή στην νομοθεσία περί προστασίας των δεδομένων τα τελευταία 20 χρόνια και έχει άμεση εφαρμογή σε όλα τα Κράτη-Μέλη από 25/05/2018 χωρίς την προϋπόθεση κρατικής νομοθεσίας.
Σκοπός του κανονισμού
Σκοπός της εφαρμογής είναι η άρση των νομικών ασαφειών και της ανασφάλειας που δημιουργούσε το προηγούμενο νομικό πλαίσιο, η ενδυνάμωση θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων καθώς και η ομοιομορφία του νομικού πλαισίου σε όλα τα κράτη-μέλη. Ο νόμος αφορά επιχειρήσεις εντός ΕΕ, αλλά και εκείνες είτε με έδρα την ΕΕ και τόπο διεξαγωγής επεξεργασίας εκτός ΕΕ, είτε έδρα εκτός ΕΕ και τόπο διεξαγωγής επεξεργασίας εκτός ΕΕ.
Κριτήριο Εφαρμογής
Ο Κανονισμός 2016/679 έχει εφαρμογή σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις, κρατικές αρχές, συλλόγους, κλπ.) που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα, είτε έχουν έδρα και δραστηριότητα σε χώρα της Ευρωπαϊκής Ένωσης είτε όχι, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς Ευρωπαίους πολίτες.
Ελεγχος και κυρώσεις
Παρέχεται στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα το δικαίωμα ελέγχου συμμόρφωσης με τον Κανονισμό. Σε περίπτωση παραβίασης προβλέπονται πρόστιμα ύψους 10.000.000 ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (ανάλογα με το ποιο είναι υψηλότερο) για παραβιάσεις των υποχρεώσεων των άρ.8, 11, 25 έως 39, 41 παρ.4, 42 και 43 και πρόστιμα ύψους 20.000.000 ευρώ ή 4% του συνολικού παγκόσμιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (ανάλογα με το ποιο είναι υψηλότερο) για παραβιάσεις των βασικών αρχών (αρ.5,6,7,9), δικαιωμάτων Υποκειμένων (άρ.12 έως 22) και των προϋποθέσεων διαβίβασης σε αποδέκτη σε 3η χώρα (άρ.44 έως 49). Τέλος, ορίζεται δικαίωμα αποζημίωσης του υποκειμένου και ευθύνη του υπεύθυνου επεξεργασίας.
Οι βασικές αλλαγές που επιφέρει ο κανονισμός
1.ΑΥΞΗΜΕΝΑ ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝΤο υποκείμενο των δεδομένων έχει πλέον αυξημένα δικαιώματα που περιλαμβάνουν: δικαίωμα στη λήθη, δικαίωμα περιορισμού της επεξεργασίας, δικαίωμα διόρθωσης, δικαίωμα στη φορητότητα, υποχρέωση γνωστοποίησης σε περίπτωση παραβίασης
2.ΕΝΙΣΧΥΣΗ ΤΗΣ ΠΑΙΔΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣΕνίσχυση της προστασίας των ανηλίκων που χαρακτηρίζονται ως “ευάλωτα φυσικά πρόσωπα” με αυστηρότερους κανόνες και υποχρεώσεις για τον υπεύθυνο επεξεργασίας καθώς και αυστηρότερο πλαίσιο για τη συναίνεση των υποκειμένων των δεδομένων
3.ΓΝΩΣΤΟΠΟΙΗΣΗ ΠΑΡΑΒΙΑΣΗΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑΟ υπεύθυνος επεξεργασίας οφείλει, σε περίπτωση παραβιάσεως, να ενημερώσει εντός 72 ωρών την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και σε ορισμένες περιπτώσεις και το ίδιο το υποκείμενο
4.ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΗΔΗ ΑΠΟ ΤΟ ΣΧΕΔΙΑΣΜΟ ΚΑΙ ΕΞ ΟΡΙΣΜΟΥ(Data protection by design and by default)O υπεύθυνος επεξεργασίας οφείλει να εφαρμόζει τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων
5.ΑΥΣΤΗΡΟΠΟΙΗΣΗ ΤΩΝ ΠΡΟΫΠΟΘΕΣΕΩΝ ΤΗΣ ΠΑΡΟΧΗΣ ΣΥΓΚΑΤΑΘΕΣΗΣ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝΌταν η επεξεργασία βασίζεται στη συγκατάθεση του υποκειμένου πρέπει πλέον να είναι ρητή και εν πλήρει επιγνώσει αυτού και επιπλέον παρέχεται σε αυτό η δυνατότητα ανάκλησης της
6.ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝΣτις περιπτώσεις που η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας οφείλει να διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα
7.ΑΡΧΕΙΑ ΤΩΝ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣΚάθε υπεύθυνος επεξεργασίας οφείλει να τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος
8.ΟΡΙΣΜΟΣ ΥΠΕΥΘΥΝΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (Data Protection Officer)Ορίζεται η θέση του Υπευθύνου Προστασίας Δεδομένων (DPO), η οποία σε πολλές περιπτώσεις καθίσταται υποχρεωτική
Τήρηση των αρχών που διέπει ο κανονισμός
Ο νέος κανονισμός ενισχύει το καθιερωμένο πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα, καθιερώνοντας νέες υποχρεώσεις για τον υπεύθυνο επεξεργασίας προσωπικών δεδομένων με 3 βασικούς άξονες: την τήρηση προκαθορισμένων βασικών αρχών για την επεξεργασία των προσωπικών δεδομένων, τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων και την ενίσχυση των δικαιωμάτων των υποκειμένων ως αυτές αναλυτικά παρουσιάζονται παρακάτω:
ΝΟΜΙΜΟΤΗΤΑ-ΑΝΤΙΚΕΙΜΕΝΙΚΟΤΗΤΑ-ΔΙΑΦΑΝΕΙΑ
Η επεξεργασία των δεδομένων γίνεται με νόμιμο, θεμιτό και διαφανή τρόπο
ΠΕΡΙΟΡΙΣΜΟΣ ΤΟΥ ΣΚΟΠΟΥ
Η συλλογή των δεδομένων πραγματοποιείται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς
ΕΛΑΧΙΣΤΟΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ
Τα δεδομένα είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία
ΑΚΡΙΒΕΙΑ
Τα δεδομένα πρέπει να είναι ακριβή, επικαιροποιημένα και πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή σε σχέση με τους σκοπούς της επεξεργασίας
ΠΕΡΙΟΡΙΣΜΟΣ ΠΕΡΙΟΔΟΥ ΑΠΟΘΗΚΕΥΣΗΣ
Τα δεδομένα διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα
ΑΚΕΡΑΙΟΤΗΤΑ-ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ
Τα δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα
Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη να αποδείξει τη συμμόρφωση με τις ανωτέρω αρχές
Ενίσχυση των δικαιωμάτων των υποκειμένων
Δικαίωμα ανάκλησης της ήδη δοθείσας συναίνεσης (άρ.7)
Δικαίωμα πρόσβασης στα δεδομένα - δικαίωμα λήψης αντιγράφου (άρ.15)
Δικαίωμα διόρθωσης (άρ.16)
Δικαίωμα διαγραφής (άρ.17)
Δικαίωμα περιορισμού της επεξεργασίας (άρ.18)
Δικαίωμα στη φορητότητα (άρ.20)
Δικαίωμα εναντίωσης (άρ.21)
Απαραίτητα τεχνικά και οργανωτικά μέτρα
Εφαρμογή μέτρων προστασίας των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού (by design and by default)
Τήρηση του αρχείου δραστηριοτήτων
Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
Ορισμός Υπεύθυνου Προστασίας Προσωπικών Δεδομένων (Data Protection Officer - DPO)
Εκπόνηση και τήρηση Κώδικα Δεοντολογίας
Ειδικοί τομείς ρύθμισης του κανονισμού
ΣΥΜΜΟΡΦΩΣΗ ΚΑΙ ΕΤΟΙΜΟΤΗΤΑ
- Αξιολόγηση της ετοιμότητας
- Χάρτης Πορείας ΓΚΠΔ
- Αξιολόγηση του επιχειρησιακού αντίκτυπου
- Πολιτικές ασφάλειας
ΣΧΕΔΙΑΣΜΟΣ ΤΕΧΝΙΚΩΝ ΕΚΘΕΣΕΩΝ
- Επιχειρησιακό πλάνο
- Μεθοδολογική προσέγγιση
- Χρονοπρογραμματισμός
- Λειτουργικός σχεδιασμός επιχειρησιακού μοντέλου
- Ασφαλής υλοποίηση
ΨΗΦΙΑΚΗ ΤΕΧΝΟΛΟΓΙΑ ΚΑΙ ΙΔΙΩΤΙΚΟΤΗΤΑ
- Χαρτογράφηση των δεδομένων
- Αποθετήριο δεδομένων
- Ψευδωνυμοποίηση
- Κρυπτογράφηση
- Ηλεκτρονική ιδιωτικότητα
ΔΙΑΧΕΙΡΙΣΗ ΚΙΝΔΥΝΩΝ
- Αποτίμηση επιχειρησιακών κινδύνων
- Επισκόπηση αξιολογήσεων
- Ασφαλής Διαχείριση των πληροφοριών
ΕΝΗΜΕΡΩΣΗ ΚΑΙ ΕΚΠΑΙΔΕΥΣΗ
- Ενημέρωση για θέματα ασφάλειας και Ιδιωτικότητας
- Εκπαίδευση προσωπικού για ασφαλή διαχείριση της πληροφορίας
- Εξοικείωση με τους ηλεκτρονικούς υπολογιστές
- Ήθη και αλλαγές της επιχειρηματικής συνέχειας
ΠΡΟΗΓΜΕΝΗ ΑΣΦΑΛΕΙΑ
- Έρευνα παραβίασης των προσωπικών δεδομένων