H εφαρμογή του νέου Ευρωπαϊκού Κανονισμού [EE 2016/979] για την ασφάλεια των προσωπικών δεδομένων, δημιουργεί νέες, αυξημένες ανάγκες σε όλους τους υπόχρεους φορείς, για ανασχεδιασμό των διαδικασιών τους με σκοπό τη συμμόρφωση στα νέα πρότυπα.
Ο νέος Κανονισμός, όπως όλοι οι κανονισμοί της ΕΕ, έχει γενική υπερνομοθετική ισχύ, είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε όλες τις χώρες της Ευρωπαϊκής Ένωσης (ΕΕ), από τότε που ορίζει, ήτοι τον Μάιο του 2018, ασχέτως της εθνικής νομοθέτησης. Ήδη στην Ελλάδα, μετά την θέση σε εφαρμογή του Κανονισμού, ψηφίστηκε ο ν. 4624/2019, ο οποίος ρυθμίζει σημεία του Κανονισμού τα οποία είχαν αφεθεί στη διακριτική ευχέρεια του εθνικού νομοθέτη.
Ποιους αφορά η συμμορφωση του GDPR
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (EU GDPR – 2016/979) αφορά κάθε οργανισμό που διατηρεί ή επεξεργάζεται προσωπικά δεδομένα Ευρωπαίων πολιτών, ανεξαρτήτως εθνικότητας ή τόπου κατοικίας τους. Αφορά εξίσου όλους τους οργανισμούς, από τις πιο μικρές εταιρείες έως τους πιο μεγάλους ομίλους, δημοσίου και ιδιωτικού δικαίου. Ο Κανονισμός έχει ευρύτατο πεδίο εφαρμογής, οφείλουν δε, να συμμορφώνονται σ’ αυτόν τόσο ο ιδιωτικός όσο και ο δημόσιος τομέας. Επίσης, αφορά τόσο τους υπευθύνους επεξεργασίας, όσο και τους εκτελούντες την επεξεργασία δεδομένων.
Ο Κανονισμός εφαρμόζεται στην αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, δηλ. κάθε πληροφορίας που αναφέρεται σε ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.
Αρμόδια Αρχή στην Ελλάδα για την εφαρμογή αυτού του νομοθετήματος είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Στο επίπεδο των κυρώσεων, ο Γενικός Κανονισμός επιφυλάσσει ιδιαίτερα αυστηρές διατάξεις, οι οποίες επιβάλλουν την αυστηρή συμμόρφωση προκειμένου να αποφευχθούν τα υπέρογκα πρόστιμα, τα οποία υπολογίζονται πλέον με ποσοστιαίες μονάδες επί του τζίρου των εταιριών – παραβατών.
Συμμόρφωση επιχειρήσεων & ΝΠΔΔ
Νέες υποχρεώσεις που εισάγονται για τις επιχειρήσεις και τα ΝΠΔΔ με τον Γενικό Κανονισμό είναι η τήρηση μητρώου δραστηριοτήτων επεξεργασιών δεδομένων (εφόσον η επεξεργασία “δεν είναι περιστασιακή” όπως αναφέρει το άρθρο 30 παρ. 5 GDPR), η διεξαγωγή εκτίμησης αντικτύπου για τις εν δυνάμει επικίνδυνες επεξεργασίες δεδομένων, η υποχρέωση κοινοποίησης παραβάσεων στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (άρθρο 33 GDPR) και ενημέρωσης των ίδιων των υποκειμένων σε ορισμένες τέτοιες περιπτώσεις (άρθρο 34 GDPR).
Παράλληλα, η επιχείρηση/ΝΠΔΔ θα πρέπει να επανεξετάσει και αναδιατυπώσει τους όρους γραπτών συμβάσεων, σύμφωνα με τις νέες διατάξεις του Γενικού Κανονισμού. Σε περιπτώσεις διασυνοριακών διαβιβάσεων προσωπικών δεδομένων προς χώρες εκτός ΕΕ, θα πρέπει να εξεταστεί το νέο καθεστώς, ανά περίπτωση.
Data breach & υποχρέωση γνωστοποίησης
στην Αρχή προστασίας
Όταν διαπιστώνεται παραβίαση δεδομένων προσωπικού χαρακτήρα υπό την έννοια του άρθρου 33 του Κανονισμού, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί την παραβίαση στην αρμόδια εθνική Αρχή και μάλιστα, εφόσον είναι δυνατόν, εντός εβδομήντα δύο (72) ωρών από τη στιγμή που αποκτά γνώση της παραβίασης. Στην περίπτωση που δεν διαθέτει εξαρχής όλες τις ανωτέρω πληροφορίες, προβαίνει αμελλητί στη γνωστοποίηση κάποιων από αυτές και στη συνέχεια συμπληρώνει σταδιακά τις αναγκαίες πληροφορίες, χωρίς αδικαιολόγητη καθυστέρηση.
Σοβαρός κίνδυνος τεκμαίρεται ότι μπορεί να προκληθεί στις περιπτώσεις που η παραβίαση των δεδομένων προσωπικού χαρακτήρα μπορεί να προκαλέσει οποιαδήποτε σωματική, υλική ή ηθική – βλάβη σε φυσικά πρόσωπα, όπως ενδεικτικά: κίνδυνος δημοσιοποίησης των δεδομένων, κίνδυνος για τη ζωή και την ακεραιότητα των υποκειμένων των δεδομένων, υποκλοπή ταυτότητας, σοβαρή οικονομική βλάβη ή βλάβη εννόμων συμφερόντων τους, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό ή άλλο απόρρητο.
Δικαιώματα Φυσικού Προσώπου - Υποκειμένου δεδομένων
- Δικαίωμα πρόσβασης και ενημέρωσης: Το υποκείμενο των δεδομένων δικαιούται να γνωρίζει αν δεδομένα του υφίστανται επεξεργασία, με ποιο τρόπο και για ποιο σκοπό
- Δικαίωμα διόρθωσης – επικαιροποίησης: Το υποκείμενο των δεδομένων δικαιούται να ζητήσει τη διόρθωση ανακριβών / ελλιπών δεδομένων
- Δικαίωμα διαγραφής (δικαίωμα στη λήθη): Το υποκείμενο των δεδομένων δικαιούται να ζητήσει τη διαγραφή εφόσον τα δεδομένα δεν είναι πλέον απαραίτητα και εφόσον η επεξεργασία δεν δικαιολογείται σύμφωνα με τον νόμο
- Δικαίωμα περιορισμού της επεξεργασίας
- Δικαίωμα εναντίωσης στην επεξεργασία
- Δικαίωμα αντίθεσης σε αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης και της κατάρτισης προφίλ.
Ως προς τα νέα δικαιώματα που εισάγει για τα άτομα ο Γενικός Κανονισμός, ιδιαίτερη σημασία έχει το δικαίωμα φορητότητας των δεδομένων, διότι αποτελεί νομική βάση διαβίβασης συνόλων δεδομένων από τον ένα υπεύθυνο επεξεργασίας στον άλλο υπεύθυνο επεξεργασίας, δηλαδή από μια εταιρεία στην ανταγωνίστριά της, οπότε με την υποχρέωση εγείρονται και ζητήματα ανταγωνισμού και προστασίας του εταιρικού απορρήτου, τα οποία μια επιχείρηση θα πρέπει να είναι σε θέση να αντιμετωπίσει με νομικά έξυπνο τρόπο.
Το GDPR παρέχει στους ιδιώτες- υποκείμενα δεδομένων μεγαλύτερο έλεγχο στον τρόπο με τον οποίο χρησιμοποιούνται τα δεδομένα τους και θέτει ορισμένες υποχρεώσεις στις επιχειρήσεις/ΝΠΔΔ που επεξεργάζονται τις πληροφορίες αυτών των ατόμων.