ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ
Τι είναι ο κανονισμός GDPR;
Ο γενικός κανονισμός για την προστασία δεδομένων (GDPR) εισάγει νέους κανόνες οι οποίοι θα επηρεάσουν εταιρείες σε ολόκληρο τον κόσμο. Θα εφαρμοστεί τόσο σε εταιρείες του Ευρωπαϊκού Οικονομικού Χώρου, όσο και σε άλλες, οι οποίες συναλλάσσονται με αγορές ή πολίτες στο εσωτερικό της Ευρωπαϊκής Ένωσης (ΕΕ). Επιγραμματικά, ο κανονισμός GDPR δίνει στους πολίτες της ΕΕ νέα δικαιώματα σε σχέση με τα προσωπικά τους δεδομένα, όπως, μεταξύ άλλων, το δικαίωμα να αποσύρουν τη συγκατάθεσή τους, καθώς και ευκολότερη πρόσβαση στα δεδομένα που τους ανήκουν. Αναγκάζει τις επιχειρήσεις να αναλάβουν μεγαλύτερη ευθύνη για τα δεδομένα χρηστών τα οποία συλλέγουν και να εξασφαλίσουν ότι κάνουν ό,τι καλύτερο μπορούν για την προστασία των δεδομένων αυτών.Δύο είναι οι λόγοι που οδήγησαν στη δημιουργία αυτού του κανονισμού. Ο πρώτος είναι οι ίδιοι οι πολίτες να έχουν τον έλεγχο των δεδομένων τους. Οι εταιρείες δεν θα μπορούν πλέον να συλλέγουν οποιαδήποτε πληροφορία επιθυμούν, αν δεν συντρέχει σοβαρός λόγος.Δεύτερον, κάθε χώρα έχει χωριστή νομοθεσία για τον έλεγχο των δεδομένων των χρηστών. Τι συμβαίνει όμως όταν μια εταιρεία με έδρα την Ελλάδα έχει πελάτες στην Ιταλία, τη Γερμανία και την Ισπανία; Ποιος νόμος ισχύει σε αυτήν την περίπτωση; Με τον κανονισμό GDPR θα μειωθεί η «σύγχυση» και θα είναι ευκολότερο να διαπιστωθούν οι κανόνες που ισχύουν σε κάθε περίπτωση. Δεν θα υπάρχουν πλέον δικαιολογίες.Για να είμαστε ειλικρινείς, ορισμένες χώρες ήδη διαθέτουν νόμους παρόμοιους με τον κανονισμό GDPR, αλλά με μία σημαντική διαφορά: τα τρομακτικά πρόστιμα! Στην περίπτωση του GDPR, οι ποινές μη συμμόρφωσης είναι πολύ υψηλές, τρομάζοντας ακόμα και τους μεγάλους παίκτες. Τα πρόστιμα μπορούν να φτάσουν στο 4% του ετήσιου κύκλου εργασιών ή στα 20 εκατομμύρια ευρώ (οποιοδήποτε από τα δύο ποσά είναι υψηλότερο).Οι επιχειρήσεις δεν έχουν άλλη επιλογή από τη συμμόρφωση. Τα πρόστιμα και οι πιθανές κυρώσεις είναι ένα ρίσκο που κανείς δεν μπορεί να αγνοήσει. Όσο νωρίτερα αρχίσετε να προετοιμάζεστε, τόσο καλύτερα. Τί πρέπει να εξετάσει η εταιρεία; Η εταιρεία πρέπει να εξετάσει την αλλαγή ή και προσαρμογή των πληροφοριακών της συστημάτων για να συμμορφωθεί με όρους όπως: Προσεκτική συγκέντρωση και ασφαλής αποθήκευση προσωπικών δεδομένων. Καμία επεξεργασία των προσωπικών δεδομένων χωρίς συγκατάθεση Κωδικοποίηση αυτών για αποφυγή αναγνώρισης ταυτότητας (profiling) Αποφυγή συσχετισμού βάσεων δεδομένων (linked data) Δυνατότητα διαγραφής ή εξαγωγής και παράδοσης των δεδομένων κατ' απαίτηση. Εφαρμογής της αρχής «τόσα δεδομένα όσα είναι απαραίτητα» Διασφάλιση συμμόρφωσης στον Κανονισμό και από τις συνεργαζόμενες εταιρείες που διαχειρίζονται τα προσωπικά δεδομένα για λογαριασμό της.
10 ΒΗΜΑΤΑ ΓΙΑ ΝΑ ΕΙΣΤΕ ΕΤΟΙΜΟΙ
1. ΕΝΗΜΕΡΩΣΗ -ΕΤΟΙΜΟΤΗΤΑ:Ενημερώστε το ανθρώπινο δυναμικό του οργανισμού σας για τις επερχόμενες μεταβολές, υπογραμμίζοντας τις σημαντικές επιπτώσεις σε περίπτωση παραβιάσεων. Αξιολογήστε τους πιθανούς κινδύνους για τα προσωπικά δεδομένα που συλλέγετε και επεξεργάζεστε. Διαμορφώστε στρατηγική αντιμετώπισης των πιθανών κινδύνων με τεχνικά και οργανωτικά μέτρα.
2. ΚΑΤΑΓΡΑΦΗ: Οφείλετε να τηρείτε ειδικά αρχεία επεξεργασιών; Αν ναι, καταγράψτε ενδελεχώς τα δεδομένα που τηρείτε και μεταβιβάζετε, τις επεξεργασίες στις οποίες προβαίνετε, τον σκοπό τους και τη νομική βάση.
3. ΕΛΕΓΧΟΣ ΤΗΡΗΣΗΣ ΤΗΣ ΣΥΜΜΟΡΦΩΣΗΣ: Εξετάζετε συνεχώς αν κατά την επεξεργασία των δεδομένων τηρούνται οι αρχές που διέπουν τη νόμιμη επεξεργασία των δεδομένων και αν γίνονται σεβαστά τα δικαιώματα των υποκειμένων.
4. ΕΛΕΓΧΟΣ ΣΥΓΚΑΤΑΘΕΣΗΣ: Εξετάστε τις μεθόδους για εξασφάλιση συγκατάθεσης για κάθε επιδιωκόμενο σκοπό επεξεργασίας.
5. ΑΝΑΘΕΩΡΗΣΗ ΠΟΛΙΤΙΚΩΝ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΔΙΑΔΙΚΑΣΙΩΝ: Επικαιροποιήστε τις διαδικασίες για τον χειρισμό των αιτημάτων και την ικανοποίηση των δικαιωμάτων των πολιτών, ιδίως ως προς τη διαγραφή δεδομένων (δικαίωμα στη λήθη) ή την παροχή τους σε αναγνώσιμο ηλεκτρονικό μορφότυπο (φορητότητα δεδομένων).
6. ΕΚΤΙΜΗΣΗ ΕΠΙΠΤΩΣΕΩΝ: Θα πρέπει να είστε σε θέση να εκτιμήσετε τις πιθανότητες επέλευσης κινδύνων και τις συνέπειες στα προσωπικά δεδομένα.
7. ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ: Ανάλογα με τη δραστηριότητα που ασκείτε, εξετάστε αν χρειάζεται να ορίσετε «υπεύθυνο προστασίας δεδοµένων».
8. ΠΑΡΑΒΙΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ: Υιοθετήστε μεθόδους για την ανίχνευση, την καταγραφή και τη διερεύνηση περιστατικών παραβιάσεων. Διαθέτετε διαδικασία για τις γνωστοποιήσεις παραβιάσεων προς την Αρχή και τα υποκείμενα;
9. ΔΡΑΣΤΗΡΙΟΤΗTΑ ΣΕ ΠΕΡΙΣΣΟΤΕΡΑ ΚΡΑΤΗ ΜΕΛΗ: Στην περίπτωση αυτή πρέπει να προτείνετε το κράτος της κύριας εγκατάστασής σας.
10. ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΕΚΤΟΣ ΕΕ: Αν διαβιβάζετε δεδομένα και σε τρίτες χώρες, επιλέξτε κάποιο μηχανισμό διαβίβασης, όπως δεσμευτικούς εταιρικούς κανόνες (BCRs), τυποποιημένες συμβατικές ρήτρες (SCCs), πιστοποιήσεις στο Privacy Shield (για τις ΗΠΑ).
