Λεπτομέρειες: Δημοσιεύθηκε : 18 Μαϊος 2018

Τι πρέπει να κάνουν οι επιχειρήσεις για την εφαρμογή του GDPR (ΓΚΠΔ - Γενικός Κανονισμός Προστασίας Δεδομένων) από 25 Μαϊου 2018

Ιστορικό για την προστασία δεδομένων

Στις 6 Απριλίου 2016 η ΕΕ ψήφισε την μεταρρύθμιση του πλαισίου προστασίας δεδομένων στα όριά της, εγκρίνοντας δέσμη μέτρων που περιλαμβάνονται στον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ), το γνωστό GDPR στα Αγγλικά. Η ψήφιση του κανονισμού έρχεται να αντικαταστήσει την από εικοσαετίας ισχύουσα οδηγία 95/46/ΕΚ (Οδηγία για την προστασία των δεδομένων) Ημερομηνία άμεσης εφαρμογής του γενικού κανονισμού ορίστηκε η 25η Μαΐου 2018, δύο έτη μετά την έκδοση και τη θέση του σε ισχύ.

Σκοπός της εφαρμογής του νέου κανονισμού είναι η προστασία των φυσικών προσώπων όσον αφορά το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα, ως θεμελιώδους δικαιώματος για την Ευρωπαϊκή Ένωση. Προβλέπεται σε αυτόν ένα ενιαίο σύνολο κανόνων με άμεση ισχύ στην έννομη τάξη των κρατών μελών.

Τι αλλάζει για τις μικρές και μεσαίες επιχειρήσεις

Η εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) από την 25η Μαΐου 2018 σημαίνει ότι οι πολίτες θα ασκούν μεγαλύτερο έλεγχο στα δεδομένα τους αλλά παράλληλα θα υπάρχουν σημαντικά επιχειρηματικά οφέλη για τις μικρότερες επιχειρήσεις με την εφαρμογή μιας ισότιμης δέσμης κανόνων για όλες τις εταιρείες που δραστηριοποιούνται στην ΕΕ, όπου και αν βρίσκεται η έδρα τους.

Όμως τι είναι τα προσωπικά δεδομένα;

Ως προσωπικά δεδομένα νοείται οτιδήποτε περιλαμβάνει κάτι από τα ακόλουθα:

Όνομα
Διεύθυνση
Τόπο
Ηλεκτρονικό αναγνωριστικό
Πληροφορίες υγείας
Εισόδημα
Πολιτιστικά χαρακτηριστικά
και άλλα

Ποιους αφορά ο GDPR;

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων GDPR αφορά όλους όσους κάνουν:

Συλλογή δεδομένων
Αποθήκευση δεδομένων
Χρήση / επαναχρησιμοποίηση δεδομένων
Επεξεργάζονται δεδομένα για άλλες εταιρείες

Γιατί αλλάζουν τώρα οι κανόνες στην ΕΕ;

Η έλλειψη εμπιστοσύνης από την πλευρά των καταναλωτών στους παλιούς κανόνες για την προστασία των δεδομένων, ανέκοπτε την πορεία της ψηφιακής οικονομίας και περισσότερο των μικρών επιχειρήσεων στην ΕΕ. Έρευνα έδειξε ότι μόνο το 15% των ανθρώπων αισθάνονται ότι έχουν πλήρη έλεγχο των πληροφοριών που παρείχαν ηλεκτρονικά.

Με ποιο τρόπο θα συμβάλλει η εφαρμογή του GDPR στην ανάπτυξη των επιχειρήσεων;

Με την εφαρμογή του GDPR από 25 Μαϊου θα αλλάξουν οι ισορροπίες στην αγορά της ΕΕ γιατί θα ισχύει:

Μια δέσμη κανόνων για όλες τις εταιρείες που επεξεργάζονται δεδομένα στην ΕΕ.
Η επιχειρηματική δραστηριότητα θα γίνει ευκολότερη και δικαιότερη.
Το νέο σύστημα θα κρατάει τα έξοδα σε χαμηλά επίπεδα και θα συμβάλλει στην ανάπτυξη των επιχειρήσεων (130 εκατομμύρια € είναι το κόστος για την ενημέρωση 28 διαφορετικών αρχών προστασίας δεδομένων για επιχειρήσεις στην ΕΕ σύμφωνα με το παλιό σύστημα. - 2,3 δισεκατομμύρια € είναι το εκτιμώμενο οικονομικό όφελος του νέου νόμου.)
Οι νέοι κανόνες θα ενισχύσουν την εμπιστοσύνη των καταναλωτών και ως εκ τούτου τις επιχειρήσεις.

Τι πρέπει να κάνουν οι επιχειρήσεις για την εφαρμογή του GDPR

Με μια πρόταση αυτό που θα πρέπει να κάνουν οι επιχειρήσεις μετά την ημερομηνία έναρξης του GDPR είναι απλό: να προστατεύουν τα δικαιώματα των ατόμων που τους δίνουν τα δεδομένα τους. Ακολουθούν τα σημεία που θα πρέπει να προσέξουν οι επιχειρήσεις κατά την προετοιμασία τους και την εφαρμογή του κανονισμού:

Επικοινωνία

Επικοινωνήστε με τα άτομα που σας δίνουν τα δεδομένα τους χρησιμοποιώντας απλή γλώσσα. Πρέπει να τους λέτε ποιοι είστε όταν ζητάτε τα δεδομένα τους, τον λόγο που τα επεξεργάζεστε, για πόσο καιρό θα τα φυλάξετε και ποιος θα τα λαμβάνει.

Συγκατάθεση

Θ πρέπει να λάβετε τη ρητή συγκατάθεσή τους για την επεξεργασία των δεδομένων τους. Σε περίπτωση που συλλέγετε δεδομένα από παιδιά για τα μέσα κοινωνικής δικτύωσης θα πρέπει να ελέγξτε το όριο ηλικίας για τη συγκατάθεση των γονιών τους.

Πρόσβαση και δυνατότητα μεταφοράς

Θα πρέπει να δώστε στα άτομα πρόσβαση στα δεδομένα τους και να τους επιτρέψετε να τα δώσουν σε άλλη εταιρεία (π.χ. φορητότητα σύνδεσης τηλεφώνου, ηλεκτρικής ενέργειας κλπ).

Προειδοποιήσεις

Θα πρέπει να ενημερώστε τα άτομα σχετικά με παραβιάσεις των δεδομένων τους αν ενέχει σοβαρός κίνδυνος για αυτούς.

Διαγραφή δεδομένων

Θα πρέπει να τους δώστε το «δικαίωμα στη λήθη», δηλαδή να διαγράψτε τα προσωπικά τους δεδομένα αν σας το ζητήσουν, αλλά μόνο αν δεν θίγεται η ελευθερία έκφρασης ή η δυνατότητα διεξαγωγής έρευνας.

Δημιουργία προφίλ

Σε περίπτωση που χρησιμοποιείτε προφίλ για την επεξεργασία αιτήσεων για νομικά δεσμευτικές συμφωνίες, για παράδειγμα για δάνεια, πρέπει:

Να ενημερώνετε τους πελάτες σας
Να ορίζετε ένα πρόσωπο και όχι μια μηχανή να ελέγχει τη διαδικασία
αν η αίτηση τελικά απορρίπτεται
Να χορηγείτε στον αιτούντα το δικαίωμα να προσβάλλει την απόφαση.

Μάρκετινγκ

Θα πρέπει να δώστε στα άτομα το δικαίωμα να εξαιρεθούν από πρακτικές άμεσου μάρκετινγκ που χρησιμοποιούν τα δεδομένα τους. Αυτό θα έχει άμεσο αντίκτυπο στην μείωση του spam mail και των ενοχλητικών τηλεφωνικών οχλήσεων για όλους μας ως καταναλωτές.

Προστασία ευαίσθητων δεδομένων

Θα πρέπει να χρησιμοποιείτε πρόσθετα μέτρα για την προστασία ευαίσθητων πληροφοριών, δηλαδή πληροφοριών που αφορούν την υγεία των ατόμων, τη φυλή τους, τον σεξουαλικό προσανατολισμό τους, τη θρησκεία τους και τις πολιτικές τους πεποιθήσεις.

Διαβίβαση δεδομένων εκτός της ΕΕ

Θα πρέπει να συνάψετε νομικές συμφωνίες όταν πρόκειται να διαβιβάζετε δεδομένα σε χώρες που δεν έχουν λάβει έγκριση από τις αρχές της ΕΕ.

Τι άλλο θα πρέπει να προσέξετε:

Μεριμνήστε για την προστασία των δεδομένων από τον σχεδιασμό

Θα πρέπει να αναπτύξτε μέτρα προστασίας στα προϊόντα και τις υπηρεσίες σας από τα πρώιμα στάδια ανάπτυξης τους ώστε να εφαρμόζουν τον κανονισμό.

Επεξεργασία δεδομένων για άλλη εταιρεία;

Θα πρέπει να σιγουρευτείτε ότι έχετε συνάψει μια δεσμευτική σύμβαση η οποία θα απαριθμεί τις ευθύνες κάθε συμβαλλόμενου μέρους.

Ελέγξτε αν χρειάζεστε υπεύθυνο (DPO) για την προστασία των δεδομένων

Η ύπαρξη DPO δεν είναι πάντα υποχρεωτική. Εξαρτάται από τον τύπο και τον αριθμό των δεδομένων που συλλέγετε, και από το αν η επεξεργασία είναι η κύρια επιχειρηματική σας δραστηριότητα και αν το κάνετε σε μεγάλη κλίμακα. Ενδεικτικά χρειάζεστε ή όχι DPO αν:

Επεξεργάζεστε προσωπικά δεδομένα για να εξατομικεύσετε τις διαφημίσεις μέσω μηχανών αναζήτησης με βάση τη συμπεριφορά των ατόμων στο διαδίκτυο. Ναι
Αποστέλλετε στους πελάτες σας μια διαφήμιση μια φορά τον χρόνο για να προωθήσετε την τοπική επιχείριση τροφίμων που διαθέτετε. Όχι
Είστε γιατρός και συλλέγετε δεδομένα για την υγεία των ασθενών σας. Όχι
Επεξεργάζεστε προσωπικά δεδομένα σχετικά με τη γενετική και την υγεία για ένα νοσοκομείο. Ναι

Τήρηση αρχείων

Θα πρέπει να τηρείτε αρχεία αν η επεξεργασία δεδομένων:

Είναι τακτική
Αποτελεί απειλή για τα δικαιώματα και τις ελευθερίες των ατόμων
Αφορά ευαίσθητα δεδομένα ή ποινικό μητρώο

Σε αυτή την περίπτωση τι θα πρέπει να περιλαμβάνουν τα αρχεία:

Επωνυμία και στοιχεία επικοινωνίας της επιχείρισης
Τους λόγους για την επεξεργασία των δεδομένων
Περιγραφή των κατηγοριών των υποκειμένων των δεδομένων και των προσωπικών δεδομένων
Κατηγορίες των οργανισμών που λαμβάνουν τα δεδομένα
Διαβίβαση δεδομένων σε άλλη χώρα ή οργανισμό
Προθεσμία για αφαίρεση δεδομένων, εάν είναι δυνατό
Περιγραφή των μέτρων ασφαλείας που χρησιμοποιούνται κατά την επεξεργασία, εάν είναι δυνατό

Κάντε προβλέψεις με τις εκτιμήσεις των επιπτώσεων

Εκτιμήσεις επιπτώσεων θα είναι υποχρεωτικές για επεξεργασία ΥΨΗΛΟΥ ΚΙΝΔΥΝΟΥ:

Νέες τεχνολογίες
Αυτόματη, συστηματική επεξεργασία και αξιολόγηση των προσωπικών πληροφοριών
Παρακολούθηση σε μεγάλη κλίμακα μιας περιοχής που είναι προσβάσιμη για το κοινό (π.χ. τηλεόραση κλειστού κυκλώματος)
Επεξεργασία ευαίσθητων δεδομένων, για παράδειγμα βιομετρικά στοιχεία, σε μεγάλη κλίμακα

Ποιό είναι το κόστος της μη συμμόρφωσης με τον GDPR;

Η τοπική Αρχή Προστασίας Δεδομένων – υπεύθυνη για την εφαρμογή του Κανονισμού θα παρακολουθεί τη συμμόρφωση με αυτόν ενώ οι εργασίες τους συντονίζονται σε επίπεδο ΕΕ.

Το κόστος της παραβίασης των κανόνων μπορεί να είναι υψηλό.