Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR)

O Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) δημιουργήθηκε με στόχο να προστατεύσει τα φυσικά πρόσωπα από τους κινδύνους σε σχέση με τα δικαιώματα και τις ελευθερίες τους που προέρχονται από την επεξεργασία των Προσωπικών τους Δεδομένων. Είναι σημαντικό λοιπόν για κάθε επιχείρηση και εργαζόμενο να κατανοεί τι είναι τα «Δεδομένα Προσωπικού Χαρακτήρα» και τι είναι επεξεργασία των Δεδομένων αυτών.

Σημαντική για την κατανόηση του κανονισμού είναι η διάκριση των ρόλων του «Υπεύθυνου Επεξεργασίας» και του «Εκτελούντος την επεξεργασία». ο Υπεύθυνος Επεξεργασίας είναι φυσικό ή το Νομικό πρόσωπο (εταιρεία ή οργανισμός) που καθορίζει τον σκοπό και τα μέσα με τα οποία θα γίνει η επεξεργασία. Ο Εκτελών την Επεξεργασία» είναι το Φυσικό ή το νομικό πρόσωπο που εκτελεί την επεξεργασία προσωπικών δεδομένων κατόπιν εντολής και για λογαριασμό του Υπεύθυνου Επεξεργασίας.

Η επεξεργασία προσωπικών δεδομένων διέπεται από ορισμένες αρχές, όπως τη νομιμότητα, αντικειμενικότητα και διαφάνεια, τον περιορισμό του σκοπού, την ελαχιστοποίηση δεδομένων, την ακρίβεια και επικαιροποίηση, τον περιορισμό περιόδου αποθήκευσης, την ακεραιότητα και εμπιστευτικότητα. Η επεξεργασία προσωπικών δεδομένων θεωρείται νόμιμη μόνο όταν πληροί ορισμένες προϋποθέσεις.

Οι περισσότερες εταιρείες και οργανισμοί οφείλουν να τηρούν ένα αρχείο με την περιγραφή των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων. Ανάλογες υποχρεώσεις τήρησης αρχείου - αλλά με λιγότερες πληροφορίες - έχουν και Εταιρείες / Οργανισμοί που λειτουργούν σαν εκτελούντες την επεξεργασία.

Τα φυσικά πρόσωπα έχουν σαφή και διακριτά δικαιώματα σχετικά με τα προσωπικά τους δεδομένα. Συγκεκριμένα, έχουν δικαίωμα ενημέρωσης, πρόσβασης, διόρθωσης, διαγραφής, περιορισμού επεξεργασίας, φορητότητας, εναντίωσης και αυτοματοποιημένης ατομικής λήψης αποφάσεων και κατάρτισης προφίλ για τα προσωπικά τους δεδομένα.

Σημαντικό κομμάτι του κανονισμού GDPR αποτελεί η μελέτη εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων (DPIA) κατά την οποία εξετάζεται η συνέπεια επεξεργασίας των προσωπικών δεδομένων για τα φυσικά πρόσωπα. Η εκτίμηση των επιπτώσεων επεξεργασίας των δεδομένων απαιτείται σε περιπτώσεις μεγάλης κλίμακας επεξεργασίας ειδικών κατηγοριών δεδομένων και χρήσης νέων τεχνολογιών στην επεξεργασία προσωπικών δεδομένων, μεταξύ άλλων.

Στην περίπτωση που γίνει ανάθεση επεξεργασίας σε τρίτους για λογαριασμό του υπεύθυνου επεξεργασίας είναι υποχρεωτικό να χρησιμοποιηθούν μόνο Εκτελούντες την Επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων και να υπάρχει σύμβαση μεταξύ υπεύθυνου επεξεργασίας και εκτελούντος την επεξεργασία.

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων εισάγει αναλυτικές διατάξεις για τον ρόλο, τις παρεχόμενες εγγυήσεις και τα καθήκοντα του Υπευθύνου Προστασίας Δεδομένων. Ρόλος του είναι να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για υποχρεώσεις από τον Κανονισμό και γενικά για το νομικό πλαίσιο προστασίας προσωπικών δεδομένων.

Παραβίαση προσωπικών δεδομένων αποτελεί η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβά­στηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία. Οι υπεύθυνοι επεξεργασίας, σε περίπτωση που συμβεί περιστατικό παραβίασης προσωπικών δεδομένων οφείλουν να είναι σε εγρήγορση και να εκτελέσουν τις απαραίτητες ενέργειες.

Πολλά είναι τα στοιχεία που πρέπει να λαμβάνονται υπ’ όψιν σχετικά με την επιβολή διοικητικού προστίμου, καθώς και με το ύψος του προστίμου σε κάθε μεμονωμένη περίπτωση. Το ανώτατο όριο διοικητικού προστίμου φτάνει τα €20.000.000 ή το 4% του παγκόσμιου κύκλου εργασιών σε περίπτωση επιχειρήσεων (όποιο είναι υψηλότερο).

Διαβίβαση αποτελεί η αποστολή προσωπικών δεδομένων ή συνόλων προσωπικών δεδομένων σε τρίτες χώρες εκτός Ευρωπαϊκής Ένωσης προκειμένου να τύχουν επεξεργασίας. Η διαβίβαση προσωπικών δεδομένων σε χώρες εκτός Ευρωπαϊκής Ένωσης επιτρέπεται μόνο υπό προϋποθέσεις.