Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων GDPR

Αποποίηση ευθυνών: Το παρόν κείμενο είναι ενημερωτικό και οι συμβουλές στο κείμενο δεν αποτελούν νομική συμβουλή.

Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων στο (εξής: GDPR), καθιερώνει ένα ενιαίο νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων σε όλη την Ευρωπαϊκή Ένωση.

Κατεβάστε από εδώ όλο το επίσημο κείμενο του GDPR

Ο GDPR, ο οποίος τίθεται σε εφαρμογή στις 25 Μαΐου 2018, επηρεάζει άμεσα ή έμμεσα κάθε πολίτη, επιχείρηση και οργανισμό.

Ο νόμος εφαρμόζεται σε εταιρίες οι οποίες επεξεργάζονται και διαχειρίζονται προσωπικά δεδομένα Ευρωπαίων πολιτών, είτε η έδρα τους βρίσκεται εντός Ευρωπαϊκής Ένωσης είτε εκτός.

Ποια θεωρούνται «προσωπικά δεδομένα» και τι είναι η “επεξεργασία“;

  • Προσωπικά δεδομένα: κάθε πληροφορία που σχετίζεται, χαρακτηρίζει ένα φυσικό πρόσωπο όπως είναι: το όνομα & το επάγγελμά, η οικογενειακή κατάσταση, η ηλικία, η κατοικία, η διεύθυνση ηλεκτρονικού ταχυδρομείου, τα στοιχεία του τραπεζικού λογαριασμού, αλλά και η διεύθυνση IP του ηλεκτρονικού υπολογιστή.
  • Ευαίσθητα προσωπικά δεδομένα: τα δεδομένα που αφορούν φυλετική ή εθνική προέλευση, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις και οι πληροφορίες σχετικά με το ιατρικό ιστορικό, την ερωτική ζωή και τις ποινικές διώξεις ή καταδίκες.
  • Μερικά από αυτά συλλέγονται και χρησιμοποιούνται μόνο υπό συγκεκριμένες συνθήκες, για παράδειγμα με δική σου συγκατάθεση ή όταν η εθνική νομοθεσία το επιτρέπει.
  • «Επεξεργασία» δεδομένων θεωρείται κάθε πράξη που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα. Μερικά παραδείγματά είναι η συλλογή, η οργάνωση, η αποθήκευση, η προσαρμογή, η χρήση, η διάδοση και η διαγραφή τους.

Ακολουθούν ορισμένες κυρώσεις και άλλα πιθανά προβλήματα που προκύπτουν από τη μη συμμόρφωση με το GDPR:

  • Άμεσες ή έμμεσες οικονομικές επιπτώσεις. Αυτά θα μπορούσαν να προκύψουν από συμβάντα ασφαλείας που προέρχονται εκτός της εταιρείας ή από υπαλλήλους και συνεργάτες της εταιρείας.
  • PR αποζημιώσεις. Βλάβες στη φήμη της επιχείρησης σας θα μπορούσαν να προκύψουν από γεγονότα ασφαλείας που δεν αναφέρθηκαν σωστά στο κοινό.
  • Η απώλεια υφιστάμενων ή δυνητικών πελατών μπορεί να συμβεί όταν η εταιρεία δεν είναι σε θέση να αποδείξει ότι συμμορφώνεται με τον κανονισμό.
  • Ο κίνδυνος των ορίων επεξεργασίας δεδομένων ή των απαγορεύσεων που επιβάλλονται από ελέγχους προστασίας δεδομένων, οι οποίοι θα μπορούσαν να επηρεάσουν την κανονική λειτουργία μιας επιχείρησης.
  • Η πιθανή αναστολή της υπηρεσίας σας για τους πελάτες σας, η οποία θα μπορούσε να τους αναγκάσει να εγκαταλείψουν την υπηρεσία σας ή ακόμα και να αναλάβουν νομικές ενέργειες.
  • Αποζημίωση την οποία τα ενδιαφερόμενα μέρη θα έχουν το δικαίωμα να ζητήσουν σε περίπτωση παράβασης.
  • Κόστος – πρόστιμο που θα μπορούσε να φθάσει έως και 20.000.000 € ή 4% του συνολικού ετήσιου κύκλου εργασιών παγκοσμίως του προηγούμενου οικονομικού έτους, όποιο είναι υψηλότερο.

Mερικά από τα βασικά δικαιώματα που έχουμε ως Ευρωπαίοι πολίτες σύμφωνα με τον GDPR.

  • Δικαίωμα πρόσβασης: Μπορείς να ζητήσεις πρόσβαση στα προσωπικά σου δεδομένα, να ρωτήσεις πως αυτά χρησιμοποιούνται και από ποιόν επεξεργάζονται μετά τη συλλογή τους.
  • Δικαίωμα στη “λήθη”: Μπορείς να αποσύρεις τη συγκατάθεση που έχεις δώσει για χρήση των προσωπικών σου δεδομένων από ένα οργανισμό ή εταιρία καθώς μπορείς να ζητήσεις ακόμα και τη διαγραφή τους.
  • Δικαίωμα στη μεταφορά: Μπορείς να μεταφέρεις τα δεδομένα σου όποτε εσύ το επιθυμείς από έναν πάροχο υπηρεσιών σε άλλο.
  • Δικαίωμα στην ενημέρωση: Οι εταιρίες που συλλέγουν δεδομένα θα πρέπει να σε ενημερώσουν σχετικά πριν την αποθήκευση των πληροφοριών σου. Η συγκατάθεση σου δεν θα πρέπει να θεωρείται δεδομένη αλλά θα πρέπει να σου παρέχεται το δικαίωμα της ελεύθερης επιλογής.
  • Δικαίωμα διόρθωσης: Διαπίστωσες ότι τα στοιχεία σου είναι ελλιπή ή λανθασμένα; Μπορείς να ζητήσεις την ενημέρωση τους.
  • Δικαίωμα απαγόρευσης της επεξεργασίας: Μπορείς να ζητήσεις από μια εταιρία να μην επεξεργάζεται τα δεδομένα που έχει αποθηκεύσει για σένα. Οι πληροφορίες θα παραμείνουν αποθηκευμένες, η εταιρία όμως δεν θα έχει το δικαίωμα να τις χρησιμοποιεί.
  • Δικαίωμα διατύπωσης αντίρρησης: Μπορείς να διακόψεις άμεσα την επεξεργασία των δεδομένων σου για εμπορική προώθηση. Μόλις στείλεις το αίτημα θα πρέπει οποιαδήποτε επεξεργασία να διακοπεί αμέσως.
  • Δικαίωμα ειδοποίησης: Σε περίπτωση παραβίασης δεδομένων που θέτει σε κίνδυνο τα προσωπικά σου δεδομένα, θα πρέπει να λάβεις σχετική ενημέρωση εντός 72 ωρών από την στιγμή που αναγνωρίστηκε η παραβίαση.

Βασικές υποχρεώσεις της επιχείρησης σου:

1. Ενημερώσου σχετικά με τον GDPR

Ο GDPR θα έχει αντίκτυπο στις εταιρίες που διατηρούν και επεξεργάζονται δεδομένα, οπότε αν η επιχείρησή σου κρατάει τα δεδομένα των πελατών, είναι καλό να ενημερωθείς σχετικά. Αρχικά θα χρειαστεί να αντιληφθείς πλήρως τους ορισμούς των προσωπικών δεδομένων, αλλά και τους περιορισμούς του Κανονισμού και έπειτα να εντοπίσεις τις αλλαγές που πρέπει να γίνουν στην εταιρία σου, ώστε να αρχίσεις να προσαρμόζεσαι στις νέες διατάξεις.

2. Χαρτογράφησε τα δεδομένα που λαμβάνεις και επεξεργάζεσαι

Το να αντιληφθείς ποια δεδομένα ορίζονται ως προσωπικά και το να βρεις πού και πώς αποθηκεύεις αυτά τα στοιχεία είναι δυο διαφορετικά πράγματα. Οι περισσότερες εταιρίες δεν αντιλαμβάνονται τις μισές πληροφορίες που αποθηκεύουν – οι πληροφορίες αυτές χαρακτηρίζονται ως “dark” data.

Αρχικό σου μέλημα είναι η εύρεση καθώς και η χαρτογράφηση των προσωπικών δεδομένων, ώστε να γνωρίζεις ανά πάσα στιγμή πού βρίσκονται και πώς καταλήγουν εκεί.

Μπορείς να ξεκινήσεις την έρευνα από:

  • το site σου
  • τα ηλεκτρονικά αρχεία που διατηρείς, όπως βάσεις δεδομένων σε excel, πληροφορίες σε pdf, ακόμα και αρχεία που αποθηκεύονται στο cloud
  • email & email marketing software
  • social media
  • messaging apps, όπως το Facebook
  • managment software της εταιρίας

Αφού εντοπίσεις όλα τα δεδομένα που αποθηκεύεις, οργάνωσε ένα αρχείο με αυτά και διάγραψε ό,τι δεν χρειάζεται πλέον.

3. Επικοινωνία με τον πελάτη

Επικοινώνησε την πολιτική απορρήτου με απλή γλώσσα. Δώσε στους πελάτες σου όλες τις απαραίτητες πληροφορίες όταν ζητάς τα προσωπικά τους δεδομένα: τον σκοπό για τον οποίο τα επεξεργάζεσαι, για πόσο καιρό θα τα κρατήσεις και ποιος άλλος έχει τη δυνατότητα να τα επεξεργαστεί.

4. Δικαιώματα του πολίτη που είναι υποκείμενο επεξεργασίας δεδομένων

Τα προσωπικά δεδομένα θεωρούνται ένα πολύτιμο περιουσιακό στοιχείο και για τον λόγο αυτό ο GDPR δίνει τον έλεγχο στους πολίτες για τη διαχείριση αυτών. Τα δικαιώματα των πολιτών σχετικά με τα δεδομένα τους περιλαμβάνουν:

  • την σωστή πληροφόρηση για την επεξεργασία τους
  • την ανεμπόδιστη πρόσβαση του ιδιοκτήτη σε αυτά
  • την άμεση διόρθωσή τους όταν παρατηρηθεί λάθος
  • την διαγραφή τους όταν δεν είναι πια απαραίτητα
  • την μεταφορά τους όταν το επιθυμεί ο ιδιοκτήτης
  • το δικαίωμα στην ένσταση όταν αυτά χρησιμοποιούνται αθέμιτα
  • τους περιορισμούς στην επεξεργασία τους

Η διαδικασία που επιτρέπει τις παραπάνω λειτουργίες θα πρέπει να είναι απλή και προσιτή στον πολίτη.

5. Πρόσεξε τις νομικές σου υποχρεώσεις

Όπως είδαμε παραπάνω, ένας πελάτης έχει το δικαίωμα να ζητήσει διαγραφή των προσωπικών του δεδομένων. Ταυτόχρονα, εσύ σαν επαγγελματίας ίσως χρειάζεται να διατηρείς κάποια από αυτά. Ένα χαρακτηριστικό παράδειγμα τέτοιας περίπτωσης είναι η διατήρηση ενός αρχείου πληρωμών για φορολογικούς λόγους, για ένα συγκεκριμένο χρονικό διάστημα. Από τη στιγμή που έχεις νομική υποχρέωση απέναντι σε φορολογικούς φορείς, μπορείς να διαγράψεις όλα τα στοιχεία του πελάτη εκτός από αυτά που χρειάζεσαι για το φορολογικό σου αρχείο και τα οποία δεν μπορείς να επεξεργαστείς για άλλους σκοπούς.

Υπάρχουν διάφοροι λόγοι που σε υποχρεώνουν νομικά να διατηρείς αρχείο με προσωπικά δεδομένα, οπότε φρόντισε να ενημερωθείς γι’ αυτούς και στη συνέχεια να ενημερώσεις και τους πελάτες σου σχετικά.

6. Διαρροή δεδομένων

Σε περίπτωση παραβίασης των συστημάτων σου και διαρροής προσωπικών δεδομένων οφείλεις να γνωστοποιήσεις το γεγονός εντός 72 ωρών τις αρμόδιες Αρχές αλλά και στα ενδιαφερόμενα άτομα, εφόσον η παραβίαση αυτή μπορεί να αποτελέσει ρίσκο για τα δικαιώματα και τις ελευθερίες τους.

7. Προστάτευσε τα ευαίσθητα δεδομένα

Χρησιμοποίησε πρόσθετα μέτρα προστασίας για πληροφορίες που αφορούν την υγεία, τη φυλή, τον σεξουαλικό προσανατολισμό, τη θρησκεία και τις πολιτικές πεποιθήσεις. Σε αυτές τις περιπτώσεις θα χρειαστεί να πάρεις ειδική συγκατάθεση για την επεξεργασία των δεδομένων. Ενημέρωσε το κοινό σου σχετικά και διαβεβαίωσέ τους για την ασφάλεια των προσωπικών τους δεδομένων.

8. Όρισε έναν Υπεύθυνο Προστασίας Δεδομένων

Σε μερικές περιπτώσεις είναι αναγκαίος ο καθορισμός ενός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer), κυρίως για τις δημόσιες αρχές, τους οργανισμούς που παρακολουθούν συστηματικά δεδομένα σε μεγάλη κλίμακα και τους οργανισμούς που παρακολουθούν ευαίσθητα δεδομένα σε μεγάλη κλίμακα ή επεξεργάζονται ποινικά μητρώα.

9. Διαβίβαση δεδομένων εκτός της Ε.Ε.

Η μεταφορά δεδομένων σε χώρες εκτός Ε.Ε. πρέπει να γίνεται υπό συγκεκριμένες προϋποθέσεις. Πριν διαβιβάσεις τα δεδομένα κάποιου πελάτη σου σε χώρα εκτός της Ε.Ε., σύναψε μαζί του μια συμφωνία, ώστε να καλυφθείς νομικά.

10. Διαμοιρασμός δεδομένων σε συνεργάτες

Οι συνεργάτες που εκτελούν εκ μέρους σου ενέργειες σχετιζόμενες με προσωπικά δεδομένα πελατών (όπως π.χ. ηλεκτρονικές πληρωμές) πρέπει να συμβαδίζουν με τους κανόνες του GDPR. Επανεξέτασε τις συνεργασίες σου, ελέγχοντας τις προθέσεις τους γύρω από τον κανονισμό και αν δεν έχουν ξεκινήσει να λαμβάνουν μέτρα για διαδικασίες συμμόρφωσης, ψάξε για άλλες εναλλακτικές.

 

Μενού