Ο Γενικός Κανονισμός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (GDPR) εγκρίθηκε τον Απρίλιο του 2016 και τέθηκε σε ισχύ σε όλες τις χώρες μέλη της Ε.Ε. με τη μορφή ενός νομοθετήματος που ισχύει άμεσα. Ο GDPR, γνωστός και ως Γενικός Κανονισμός Προστασίας Δεδομένων, έχει ως στόχο την ρύθμιση της ελεύθερης κυκλοφορίας των προσωπικών δεδομένων και την προστασία από την επεξεργασία τέτοιων δεδομένων για κάθε φυσικό πρόσωπο.
Ο κανονισμός GDPR ισχύει για επιχειρήσεις που εδρεύουν εντός των συνόρων της Ευρωπαϊκής Ένωσης και ασχολούνται με τη διαχείριση προσωπικών πληροφοριών των ευρωπαίων πολιτών. Επίσης, ισχύει για επιχειρήσεις που βρίσκονται εκτός της Ευρωπαϊκής Ένωσης, αλλά επεξεργάζονται δεδομένα προσωπικού χαρακτήρα σε κράτος-μέλος όπου ισχύει ο κανονισμός.
Οι αρχές που πρέπει να τηρούνται από κάθε επιχείρηση ως αποδέκτης και αποστολέας δεδομένων προσωπικού χαρακτήρα και διέπουν την επεξεργασία τέτοιων δεδομένων είναι οι εξής:
- Η επεξεργασία των προσωπικών δεδομένων πρέπει να γίνεται με θεμιτό και διαφανή τρόπο.
- Η επεξεργασία δεδομένων δεν πρέπει να γίνεται για μη αναγκαίους σκοπούς, αλλά πρέπει να υπάρχει σαφής, συγκεκριμένη και νόμιμη βάση για τη συλλογή των προσωπικών δεδομένων.
- Μόνο τα αναγκαία και συναφή δεδομένα προσωπικού χαρακτήρα πρέπει να συλλέγονται και να επεξεργάζονται για κάθε περίπτωση.
- Τα δεδομένα που καταχωρούνται πρέπει να είναι επικαιροποιημένα, και τα ανακριβή ή παρωχημένα δεδομένα πρέπει να διαγράφονται ή να διορθώνονται.
- Τα δεδομένα πρέπει να διατηρούνται μόνο για το χρονικό διάστημα που είναι απαραίτητο για την επεξεργασία τους και όχι περισσότερο.
- Κάθε επιχείρηση πρέπει να λαμβάνει τα κατάλληλα οργανωτικά ή τεχνικά μέτρα για να εξασφαλίσει την ασφάλεια των προσωπικών δεδομένων από απώλειες, καταστροφές, φθορές και μη εξουσιοδοτημένες ή παράνομες επεξεργασίες.
- Κάθε επιχείρηση είναι υποχρεωμένη να διασφαλίζει ότι έχουν ληφθεί και εφαρμοστεί οι προαναφερθείσες αρχές συμμόρφωσης με την ισχύουσα νομοθεσία.
Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) – Προσωπικά Δεδομένα – Ποια είναι όμως τα συνηθέστερα δεδομένα προσωπικού χαρακτήρα που χρήζουν προστασίας; Σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), προστατεύονται τα ακόλουθα είδη δεδομένων προσωπικού χαρακτήρα: 1) Πληροφορίες προσωπικής φύσης, όπως ονόματα, τηλέφωνα, διευθύνσεις, περιεχόμενο ηλεκτρονικής αλληλογραφίας, ενδιαφέροντα· 2) Ευαίσθητα προσωπικά δεδομένα, όπως πληροφορίες για την υγεία κάποιου, φυλή, σεξουαλικές προτιμήσεις, εισόδημα, θρησκευτικές και πολιτικές πεποιθήσεις, ποινικά αδικήματα, συνδικαλιστική δράση κ.λπ.· 3) Δεδομένα κοινωνικής ταυτότητας· 4) Γενετικά δεδομένα· 5) Οικονομικά δεδομένα· 6) Πολιτισμικά δεδομένα· 7) Τεχνολογικά δεδομένα κ.ά. Ο GDPR καλύπτει όλες τις φάσεις της διαχείρισης των δεδομένων στον ψηφιακό χώρο, από τη συλλογή και την αποθήκευση έως τη χρήση και την επεξεργασία τους.
Πότε είναι νόμιμη η επεξεργασία προσωπικών δεδομένων; Η επεξεργασία προσωπικών δεδομένων είναι νόμιμη στις ακόλουθες περιπτώσεις:
- Όταν υπάρχει συναίνεση από τον κάτοχο των δεδομένων για την επεξεργασία των δεδομένων του για συγκεκριμένο σκοπό ή σκοπούς.
- Σε περιπτώσεις όπου η επεξεργασία είναι απαραίτητη για την εκτέλεση ενός συμβολαίου, στο οποίο ο κάτοχος των δεδομένων είναι μέρος.
- Αν η επεξεργασία θεωρείται απαραίτητη για την εκπλήρωση μιας νομικής υποχρέωσης που ανατίθεται στον υπεύθυνο επεξεργασίας.
- Αν η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του κατόχου των δεδομένων ή άλλου φυσικού προσώπου.
- Στις περιπτώσεις όπου η επεξεργασία θεωρείται απαραίτητη για την εκτέλεση καθήκοντος που ανατίθεται στον υπεύθυνο επεξεργασίας και εξυπηρετεί το δημόσιο συμφέρον ή γίνεται κατά την άσκηση δημόσιας εξουσίας.
- Εάν ο υπεύθυνος επεξεργασίας ή ένας τρίτος χρειάζεται να επεξεργαστεί τα προσωπικά δεδομένα για νόμιμα συμφέροντα που εξυπηρετούνται, εκτός αν προτερεί τα θεμελιώδη δικαιώματα, το συμφέρον και η ελευθερία του κατόχου των δεδομένων έχουν προτεραιότητα και δικαιολογούν την προστασία του. Επιπλέον, η προστασία των προσωπικών δεδομένων που ανήκουν σε ανήλικα άτομα τίθεται σε προτεραιότητα.
Η συναίνεση του υποκειμένου των δεδομένων είναι πάντα απαραίτητη, καθώς ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει ότι ο υποκείμενος έχει παράσχει τη συναίνεσή του για την επεξεργασία των προσωπικών του δεδομένων. Επιπλέον, το αίτημα για συναίνεση πρέπει να είναι κατανοητά διατυπωμένο και ο υποκείμενος πρέπει να ενημερώνεται ότι έχει το δικαίωμα να ανακαλέσει τη συναίνεσή του ανά πάσα στιγμή. Επιπλέον, πρέπει να διασφαλίζεται ότι η διαδικασία για την παροχή συναίνεσης είναι εξίσου εύκολη με τη διαδικασία για την ανάκλησή της.
Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) – Βασικά δικαιώματα του υποκειμένου των προσωπικών δεδομένων: Τα βασικότερα δικαιώματα του υποκειμένου των προσωπικών δεδομένων περιλαμβάνουν: 1) το δικαίωμα πρόσβασης και ενημέρωσης για τα δεδομένα του, 2) το δικαίωμα διόρθωσης των δεδομένων του, 3) το δικαίωμα διαγραφής των δεδομένων του, γνωστό και ως δικαίωμα στη λήθη, 4) το δικαίωμα περιορισμού της επεξεργασίας των δεδομένων του, 5) το δικαίωμα αντίθεσης στην επεξεργασία των δεδομένων του και 6) το δικαίωμα φορητότητας των δεδομένων του.
Η συμμόρφωση μιας εταιρίας με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) επαληθεύεται μέσω της τήρησης εγκεκριμένων κωδίκων δεοντολογίας και της χρήσης εγκεκριμένου μηχανισμού πιστοποίησης. Ο έλεγχος της εφαρμογής των κανόνων του GDPR ανήκει σε ανεξάρτητες δημόσιες εποπτικές αρχές.
Το συμπέρασμα είναι ότι οι κυρώσεις για μη συμμόρφωση με τον GDPR είναι αυστηρές και μπορεί να φτάσουν έως το 4% του ετήσιου κύκλου εργασιών της εταιρίας ή έως και 20 εκατομμύρια ευρώ.