Tον Απρίλιο του 2016 ψηφίστηκε, ο Γενικός Κανονισμός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και εφαρμόσθηκε σε όλες τις χώρες μέλη της Ε.Ε., με το χαρακτήρα του νομοθετήματος άμεσης εφαρμογής. Ο Γενικός Κανονισμός Προστασίας Δεδομένων Προσωπικού χαρακτήρα, γνωστός με τα αρκτικόλεξα GDPR, έχει ως αντικείμενο τους κανόνες που καθορίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα, καθώς και τη προστασία από την επεξεργασία δεδομένων προσωπικού χαρακτήρα για κάθε φυσικό πρόσωπο.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (GDPR), αφορά επιχειρήσεις που βρίσκονται μέσα στα σύνορα της Ευρωπαϊκής Ένωσης, επιχειρήσεις που έχουν ως αντικείμενο τη διαχείριση πληροφοριακών δεδομένων Ευρωπαίων πολιτών, καθώς και επιχειρήσεις που βρίσκονται έξω από τα σύνορα της Ευρωπαϊκής Ένωσης, αλλά σε τόπο εφαρμογής του δικαίου κράτους- μέλους.
Οι αρχές στις οποίες θα πρέπει να συμμορφώνεται κάθε επιχείρηση ως λήπτης και αποστολέας δεδομένων και που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι οι ακόλουθες: 1) η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, θα πρέπει να πραγματοποιείται με τρόπο θεμιτό και διαφανή, 2) θα πρέπει να μη γίνεται η επεξεργασία δεδομένων για σκοπούς μη αναγκαίους, αλλά οι σκοποί της συλλογής των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι συγκεκριμένοι, ρητοί και νόμιμοι, 3) επιτρέπεται να συλλεχθούν και να υποστούν επεξεργασία μόνο τα αναγκαία και συναφή δεδομένα προσωπικού χαρακτήρα, για κάθε περίπτωση, 4) τα δεδομένα που τηρούνται εκ της επιχειρήσεως, θα πρέπει να είναι επικαιροποιημένα και τα δεδομένα που είναι ανακριβή, θα πρέπει να διαγράφονται ή να διορθώνονται, 5) τα δεδομένα θα πρέπει να διατηρούνται για το χρονικό διάστημα που είναι αναγκαίο για την επεξεργασία τους και όχι περισσότερο, 6) κάθε επιχείρηση είναι υποχρεωμένη να λαμβάνει, τα κατάλληλα οργανωτικά ή τεχνικά μέτρα, ώστε η επεξεργασία που πραγματοποιείται να εγγυάται πως τα δεδομένα προσωπικού χαρακτήρα είναι ασφαλή από φθορές, απώλειες, καταστροφές, καθώς και από μη εξουσιοδοτημένες ή παράνομες επεξεργασίες, 7) κάθε επιχείρηση υποχρεούται να δύναται να αποδείξει, πως έχουν εφαρμοστεί και έχουν υιοθετηθεί οι αναφερθείσες αρχές συμμόρφωσης με τη νομοθεσία.
GDPR – Προσωπικά Δεδομένα – Ποια είναι όμως τα συνηθέστερα δεδομένα προσωπικού χαρακτήρα, που τυγχάνουν προστασίας;
Εκ του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), προστατεύονται τα ακόλουθα δεδομένα: 1) τα δεδομένα προσωπικής φύσεως όπως ονόματα, τηλέφωνα, διευθύνσεις, περιεχόμενο, e-mail, interests, 2) τα ευαίσθητα προσωπικά δεδομένα όπως η κατάσταση της υγείας κάποιου, η φυλή, οι σεξουαλικές προτιμήσεις, το εισόδημα, οι θρησκευτικές και πολιτικές πεποιθήσεις, τα ποινικά δεδομένα, η συνδικαλιστική δράση, κ.α, 3) τα λεγόμενα δεδομένα κοινωνικής ταυτότητας, 4)τα γενετικά δεδομένα, 5) τα οικονομικά δεδομένα, 6) τα πολιτισμικά δεδομένα, 7)τα τεχνολογικά δεδομένα κ.α. Ο GDPR σχετίζεται με όλο το εύρος της διακίνησης των δεδομένων στον κυβερνοχώρο από τη συλλογή τους και την αποθήκευση, μέχρι τη χρήση και την επεξεργασία τους.
Πότε είναι νόμιμη η επεξεργασία των δεδομένων προσωπικού χαρακτήρα;
Οι περιπτώσεις στις οποίες, η επεξεργασία των δεδομένων είναι νόμιμη είναι οι ακόλουθες:
1) Αν υφίσταται συναίνεση του φορέα των δεδομένων να επεξεργαστούν τα δεδομένα που κατέχει, για συγκεκριμένο σκοπό ή σκοπούς.
2) Στις περιπτώσεις που για την εκτέλεση της σύμβασης, της οποίας ο κάτοχος των δεδομένων είναι συμβαλλόμενο μέρος, είναι απαραίτητη η επεξεργασία των δεδομένων του.
3) Αν η επεξεργασία θεωρείται απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπεύθυνου επεξεργασίας.
4) Αν διακυβεύονται ζωτικά συμφέροντα του φορέα των δεδομένων ή άλλου φυσικού προσώπου και η επεξεργασία των προσωπικών δεδομένων είναι απαραίτητη για τη διαφύλαξη τους.
5) Στη περίπτωση που, η επεξεργασία των προσωπικών δεδομένων κρίνεται ως απαραίτητη για την εκπλήρωση καθήκοντος, που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση της δημόσιας εξουσίας, που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.
6) Αν για τους σκοπούς των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος είναι απαραίτητη η επεξεργασία των δεδομένων, εκτός αν προέχουν τα θεμελιώδη δικαιώματα, το συμφέρον και η ελευθερία του κατόχου των δεδομένων, γεγονός που δικαιολογεί τη προτεραιότητα της προστασίας του. Ακόμη, τίθεται σε προτεραιότητα, η προστασία των δεδομένων που ανήκουν σε ανήλικο πρόσωπο.
Η συγκατάθεση του φορέα των δεδομένων είναι πάντοτε απαραίτητη, αφού ο υπεύθυνος επεξεργασίας δεδομένων θα πρέπει να δύναται να αποδείξει, πως ο φορέας των δεδομένων παρείχε τη συγκατάθεση του, στην επεξεργασία των δεδομένων που του ανήκουν. Επιπρόσθετα, θα πρέπει το αίτημα για συγκατάθεση στην επεξεργασία δεδομένων να έχει διατυπωθεί, με κατανοητό τρόπο και ο φορέας των δεδομένων θα πρέπει να ενημερώνεται, πως έχει τη δυνατότητα ανακλήσεως της συγκατάθεσης του, όποτε το θελήσει. Ακόμη, θα πρέπει να επισημανθεί πως, όσο εύκολη θα πρέπει να είναι η συγκατάθεση για τη παροχή δεδομένων, εξίσου εύκολη θα πρέπει να είναι και η δυνατότητα για ανάκληση της συγκατάθεσης. Πλέον και στο διαδίκτυο μετά από κάθε κατασκευή ιστοσελίδων, θα πρέπει να αναφέρονται οι όροι χρήσης όπως και η πολιτική απορρήτου.
GDPR – Προσωπικά Δεδομένα – Ποια είναι τα βασικότερα δικαιώματα του υποκειμένου των δεδομένων;
Τα ουσιαστικότερα δικαιώματα του υποκειμένου των δεδομένων είναι τα ακόλουθα: 1) το δικαίωμα πρόσβασης και ενημέρωσης στα δεδομένα του, 2) το δικαίωμα πρόσβασης και διόρθωσης των δεδομένων του, 3) το δικαίωμα να μπορεί να διαγράψει τα δεδομένα του, γνωστό και ως δικαίωμα στη λήθη, 4) το δικαίωμα του να έχει τη δυνατότητα περιορισμού της επεξεργασία των δεδομένων του,5) το δικαίωμα της εναντίωσης στην επεξεργασία των δεδομένων του και 6) το δικαίωμα στη φορητότητα των δεδομένων του.
Η συμμόρφωση μιας εταιρίας με τον Γενικό Κανονισμό Προστασίας Δεδομένων (gdpr) αποδεικνύεται από το αν τηρεί εγκεκριμένου κώδικες δεοντολογίας και από το αν διατηρεί εγκεκριμένο μηχανισμό πιστοποίησης. Στις ανεξάρτητες δημόσιες εποπτικές αρχές, ανήκει ο έλεγχος της εφαρμογής της ρύθμισης GDPR.
Συμπερασματικά
Τέλος, θα πρέπει να γνωρίζετε πως το πρόστιμα σε περίπτωση μη συμμόρφωσης με τον GDPR, είναι ιδιαιτέρως αυστηρά και φθάνουν μέχρι το 4% του ετήσιου τζίρου ή έως και 20 εκατομμύρια ευρώ.