back to top
23 C
Athens
Πέμπτη, 28 Μαρτίου, 2024

23 C
Athens
Πέμπτη, 28 Μαρτίου, 2024

Ο GDPR στην Ελλάδα – Αποτυχία ή συμμόρφωση;

Διαβάστε επίσης

H επίσημη ίδρυση της GDPR Academy ανακοινώθηκε, με αφορμή την έναρξη της εφαρμογής του νέου Ευρωπαϊκού Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR).

Δημιουργήθηκε δε, ώστε να προσφέρει με ολιστικό τρόπο εξειδικευμένες υπηρεσίες, προσαρμοσμένες και προσανατολισμένες στις ιδιαιτερότητες των πελατών, με στόχο την προσαρμογή και τη συμμόρφωσή τους στο νέο περιβάλλον εφαρμογής του νέου Ευρωπαϊκού Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR).

Κατά τη διάρκεια της εκδήλωσης, παρουσιάστηκε η φιλοσοφία της GDPR Academy, που περιλαμβάνει την εκτενή ενημέρωση, την εκπαίδευση, την αξιολόγηση ετοιμότητας και τη διαρκή υποστήριξη γύρω από τα νέα δεδομένα που δημιουργούνται με την εφαρμογή του νέου Ευρωπαϊκού Κανονισμού, αλλά και ο κύριος άξονας της επικοινωνιακής στρατηγικής Be Ready, ο οποίος συνοψίζει τη φιλοσοφία αυτή.

Συγκεκριμένα, παρουσιάστηκε:

– Η υπηρεσία GDPR Academy E-Learning, η ασύγχρονη αυτοματοποιημένη εκπαίδευση, μέσω ειδικού, καινοτόμου συστήματος, το οποίο παρουσιάζει σε μορφή video game πραγματικά σενάρια, προσαρμοσμένα στις ειδικότερες συνθήκες εργασίας κάθε τομέα.

Μέσω του E-Learning, ο εργαζόμενος έχει τη δυνατότητα να ενημερώνεται στο χρόνο που αυτός επιλέγει, ενώ, παράλληλα, η εταιρεία έχει την πλήρη και συνολική εικόνα της πορείας του έργου, αξιοποιώντας το ανθρώπινο δυναμικό με το βέλτιστο δυνατό τρόπο.

– Η υπηρεσία GDPR Alert, η οποία προσφέρει απομακρυσμένη υποστήριξη για όλα τα θέματα γύρω από το Γενικό Κανονισμό, μέσα από τη χρήση ειδικά διαμορφωμένης διαδικτυακής εφαρμογής.

Εξειδικευμένοι επιστήμονες της Νομικής, αλλά και της Πληροφορικής, με πιστοποιήσεις από Διεθνείς Οργανισμούς σε θέματα που αφορούν την ασφάλεια, αλλά και το Γενικό Κανονισμό, απαντούν σε πραγματικό χρόνο και άμεσα σε κάθε αίτημα που αφορά την εφαρμογή του Κανονισμού.

Όπως αναφέρθηκε, κάθε επιχείρηση οφείλει να προσαρμοστεί στις υποχρεώσεις που απορρέουν από τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR).

Βασικό στοιχείο συμμόρφωσης με το Γενικό Κανονισμό, εκτός των νομικών, τεχνικών και οργανωτικών μέτρων, αποτελεί και η εκπαίδευση του προσωπικού, η οποία έρχεται να ενισχύσει κάθε επιχείρηση έναντι στις απαιτήσεις του Κανονισμού, αλλά και στους κινδύνους του σύγχρονου κυβερνοεγκλήματος.

Μιλώντας στην εκδήλωση, ο Ιωάννης Τέντες, Εισαγγελέας του Αρείου Πάγου και τέως εθνικός συντονιστής κατά της Διαφθοράς, δήλωσε ότι ο νέος ευρωπαϊκός κανονισμός για την προστασία των προσωπικών δεδομένων αποτελεί πρόκληση.

«Νομοθεσία και θεσμικά όργανα για την προστασία των προσωπικών δεδομένων υπήρχαν από δεκαετίες. Όμως, οι τεχνολογικές εξελίξεις “τρέχουν” με ταχύτητα φωτός, οι εφαρμογές τους πολλαπλασιάζονται συνέχεια και, κυρίως, η εξάπλωση και η διείσδυσή τους στην προσωπική καθημερινή ζωή του ανθρώπου είναι τόσο μεγάλη, που προκαλεί δέος και τρόμο» σημείωσε ο κ. Τέντες.

Παράλληλα, υπογράμμισε ότι το νέο νομοθετικό πλαίσιο της Ευρωπαϊκής Ένωσης, ο νέος κανονισμός προστασίας που τέθηκε σε υποχρεωτική εφαρμογή, πριν από λίγες ημέρες, έρχεται- έστω και με κάποια καθυστέρηση -να καλύψει την απόσταση που δημιουργήθηκε και να συμπληρώσει τις ανεπάρκειες της νομοθεσίας και, κυρίως, να ολοκληρώσει την προστασία.

Σύμφωνα με τον κ. Τέντε, ο νέος κανονισμός ενισχύει την προστασία των προσώπων από συμπεριφορές κατάχρησης των προσωπικών δεδομένων από πρόσωπα, εταιρείες και οργανισμούς, που συλλέγουν και επεξεργάζονται τα δεδομένα αυτά.

«Επίσης, με τον κανονισμό αυτό, τα φυσικά πρόσωπα, τα υποκείμενα στα οποία ανήκουν τα προσωπικά δεδομένα, αποκτούν πλέον περισσότερα ολοκληρωμένα δικαιώματα πάνω σε αυτά. Έτσι, μπορούν να αποκτούν πρόσβαση και να λαμβάνουν όλα τα δεδομένα (δικαίωμα στη φορητότητα), μπορούν να ζητούν τη διόρθωση των σφαλμάτων, έχουν τη δυνατότητα να εναντιώνονται στην επεξεργασία, υπό προϋποθέσεις και μπορούν να ζητούν τη διαγραφή των προσωπικών δεδομένων τους (δικαίωμα στη λήθη).

Επιπλέον, διευρύνονται και προσδιορίζονται οι σχετικές υποχρεώσεις των οργανισμών που τηρούν και επεξεργάζονται τα δεδομένα, οι οποίοι πλέον θα υποχρεώνονται να εφαρμόζουν πολιτικές και διαδικασίες ασφαλούς φύλαξης και χειρισμού των δεδομένων αυτών τόσο στην εσωτερική λειτουργία τους, όσο και στην επικοινωνία τους με τρίτους, με άλλες επιχειρήσεις, κλπ» τόνισε ο κ. Τέντες.

Όπως είπε, «για την προστασία των δικαιωμάτων και την αποτελεσματική επιβολή των υποχρεώσεων, απαιτούνται τεχνογνωσία, αλλά και εργαλεία εφαρμογής. Με άλλα λόγια, απαιτείται σοβαρή και διαρκής υποστήριξη της εφαρμογής των νέων θεσμών».

Παράλληλα, ο κ. Τέντες ανέφερε ότι η φιλοδοξία της Ακαδημίας είναι να συμβάλει στην εφαρμογή των καινοτομιών του κανονισμού, κυρίως, στην εκπαίδευση και στην αξιολόγηση των επιχειρήσεων στο νέο κανονιστικό περιβάλλον, στην εφαρμογή μεθόδων ασφαλούς φύλαξης και στην παροχή συμβουλευτικών υπηρεσιών, μέσω ειδικής τηλεφωνικής γραμμής, η οποία, αρχικά, θα λειτουργεί επί δωδεκαώρου και, στη συνέχεια, επί εικοσιτετραώρου βάσεως.

«Πρόκειται για μία ιδιωτική πρωτοβουλία υποστηρικτική δημόσιων θεσμών, με χαρακτηριστικά καινοτομίας, που έχει όλες τις προϋποθέσεις να παρουσιάζει μία εξωστρεφή δράση, λόγω της πανευρωπαϊκής εμβέλειας του γενικού κανονισμού προσωπικών δεδομένων, στην υπηρεσία του οποίου τίθεται, αλλά και των μεθόδων που εφαρμόζει. Είναι μία εξωστρεφής επιχείρηση» συμπλήρωσε ο ίδιος.

Από την πλευρά του, ο διευθύνων σύμβουλος της G.A. Holdings S.A. Δρ. Βασίλης Αποστολόπουλος, δήλωσε ότι ο όμιλος Ιατρικού Αθηνών δεν θα μπορούσε να μείνει αμέτοχος σε μία τόσο μεγάλη αλλαγή, που επηρεάζει σε βάθος την καθημερινή λειτουργία.

Σύμφωνα με τον κ. Αποστολόπουλο, πρόκειται για μία καινούργια κουλτούρα, η οποία έρχεται, για να μείνει. «Ο όμιλος Ιατρικού Αθηνών είναι πάντα πρωτοπόρος, είμαστε πάντοτε ένα βήμα μπροστά και σε αυτό το πλαίσιο αντιμετωπίσαμε με σοβαρότητα και υπευθυνότητα αυτόν τον κανονισμό. Νομίζω ότι είμαστε από τις ελάχιστες ελληνικές επιχειρήσεις η οποία είναι πλήρως προετοιμασμένη και όλα είναι τεκμηριωμένα σε σχέση με την εφαρμογή του προτύπου.

»Επίσης, διέκρινα μία επιχειρηματική ευκαιρία, η οποία έχει τα χαρακτηριστικά της καινοτομίας και της εξωστρέφειας» σχολίασε ο κ. Αποστολόπουλος, διευκρινίζοντας ότι η μη συμμόρφωση στο νέο γενικό κανονισμό επιφέρει τεράστια πρόστιμα, τα οποία μπορούν να φτάσουν, μέχρι και το 4% του τζίρου της επιχείρησης.

Ο Μανώλης Σφακιανάκης, Αντιστράτηγος εν αποστρατεία της ΕΛ.ΑΣ. και συνιδρυτής της GDPR Greece, δήλωσε, μεταξύ άλλων: «Η Ακαδημία μας ενημερώνει, εκπαιδεύει και αξιολογεί τους εμπλεκόμενους είτε ηλεκτρονικά, μέσω e-learning είτε δια ζώσης, διότι δεν πρέπει να ξεχνάμε ότι τα κάστρα τις περισσότερες φορές πέφτουν από μέσα, όταν δεν υπάρχει γνώση».

«Είμαστε δυναμικά έτοιμοι να μπούμε στην αγορά, για να προσφέρουμε τη γνώση στο προσωπικό» υπογράμμισε ο κ. Σφακιανάκης, προσθέτοντας ότι απαραίτητη είναι η κρυπτογράφηση όλων των δεδομένων, έτσι ώστε, όταν γίνει υποκλοπή, τα στοιχεία να είναι κρυπτογραφημένα.

Η Καλλιόπη Ρόντου, νομική σύμβουλος της GDPR Greece, σημείωσε ότι η νομοθεσία σχετικά με το συγκεκριμένο θέμα δεν είναι κάτι καινούργιο, λέγοντας ότι, από το 1955, υπάρχει μία οδηγία για την προστασία των προσωπικών δεδομένων, αλλά η εξέλιξη της τεχνολογίας ώθησε την Ευρώπη σε ένα νέο εγχείρημα που είναι ο κανονισμός, ο οποίος θέτει ουσιαστικά με συγκεκριμένες διατάξεις μία βαθύτερη ενίσχυση στα δικαιώματα των ανθρώπων.

Όπως είπε, ενισχύονται δικαιώματα, όπως η φορητότητα, η εναντίωση, το ίδιο το υποκείμενο έχει έλεγχο πλέον των δικαιωμάτων του και ο υπεύθυνος φέρει ευθύνη και λογοδοτεί για το πως προστατεύει και ασφαλίζει τα προσωπικά δεδομένα των υποκειμένων- είτε είναι εργαζόμενος είτε είναι καταναλωτής που σερφάρει είτε είναι προμηθευτής που έχει δώσει τα στοιχεία του, κάτι που δεν υπήρχε στο προηγούμενο νομοθετικό πλαίσιο.

«Όλα αυτά καλύπτονται από ένα αυστηρό νομοθετικό πλαίσιο, το οποίο παράλληλα θέτει τάξη μέσα στις επιχειρήσεις. Είναι ένα “πάντρεμα” της τεχνολογίας και της νομικής. Δεν είναι απλή διαδικασία, απαιτείται εξειδίκευση, χρειάζεται διάβασμα, προσπάθεια και οργάνωση. Πάνω από όλα, όμως, χρειάζεται αλλαγή κουλτούρας» αποσαφήνισε η κ. Ρόντου, διευκρινίζοντας ότι προηγείται η αλλαγή της κουλτούρας του προσωπικού μίας εταιρείας, για να μπορέσει, στη συνέχεια, να περάσει στην εταιρεία.

«Σε όλες τις επιχειρήσεις και στο κομμάτι της ασφάλειας, αλλά και γενικότερα, ο αδύναμος κρίκος είναι η έλλειψη ενημέρωσης στο προσωπικό» δήλωσε, από την πλευρά του, ο Ιωάννης Μακρυπούλιας, Μηχανικός Η/Υ & Πληροφορικής, MSc Επιστήμης Υπολογιστών-Συνιδρυτής της GDPR Greece, διαπιστώνοντας ότι όλα τα λάθη και στις κυβερνοεπιθέσεις που συμβαίνουν, συνήθως οφείλονται στο σφάλμα ενός υπαλλήλου.

«Άρα, μπορεί μία εταιρεία να έχει λάβει όλα τα μέτρα, αλλά, αν δεν έχει εκπαιδεύσει τους υπαλλήλους της, ουσιαστικά δεν έχει συμμορφωθεί με τον κανονισμό», υποστήριξε τονίζοντας ότι η εκπαίδευση που θα γίνει τώρα, μετά από λίγα χρόνια, θα πρέπει να ανανεωθεί.

«Η εκπαίδευση είναι το νούμερο ένα και πρέπει να είναι επαναλαμβανόμενη και συνεχής. Αυτό θα μας θωρακίσει απέναντι στον κανονισμό, αλλά και απέναντι στην ασφάλεια» συμπέρανε ο κ. Μακρυπούλιας.

Ταυτόχρονα, αναφέρθηκε και στις κακές πρακτικές του παρελθόντος. «Το γεγονός ότι δίναμε τα στοιχεία μας σε μία εταιρεία και ξαφνικά τα είχαν και άλλες δέκα, οι παράνομες πωλήσεις των προσωπικών δεδομένων που γίνονταν, η λήψη ενός spam, δικά μας λάθη, λόγω oversharing, λανθασμένες πρακτικές των επιχειρήσεων και τα μεγάλα κενά στην ασφάλεια, οδήγησαν στο να μην είναι προστατευμένα τα προσωπικά δεδομένα και ήταν αρκετά εύκολη η διαρροή. Αυτό ακριβώς έρχεται να θωρακίσει ο κανονισμός. Στο πλαίσιο αυτό, βοηθάει η εκπαίδευση όλων μας» ανέφερε χαρακτηριστικά.

Τι είναι ο GDPR;

Πρόκειται για έναν κανονισμό που εγκρίθηκε τον Απρίλιο του 2016 από τις Ευρωπαϊκές Αρχές για να τεθεί σε ισχύ στις 25 Μαΐου 2018, δίνοντας με τον τρόπο αυτό δύο χρόνια περιθώριο στις εταιρείες για να συμμορφωθούν.

Η νέα οδηγία αντικαθιστά τον προηγούμενο νόμο για την προστασία των προσωπικών δεδομένων και αφορά στην διαμόρφωση ενός ενιαίου νομοθετικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης και αντικαθιστά την προηγούμενη Νομοθεσία «Οδηγία 95/46/ΕΚ», η οποία είχε ενσωματωθεί στην Ελληνική νομοθεσία με τον Ν. 2472/1997.

Σύμφωνα με το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης άλλωστε («Χάρτης») καθώς και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

Γι αυτό και ο «κανονισμός» είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος όπερ σημαίνει ότι δεν απαιτείται ειδική προσαρμογή της Εθνικής Νομοθεσίας).

Έτσι, ο GDPR δεν αναμένεται να επηρεάσει απλώς εταιρείες που είναι εγκατεστημένες στην ΕΕ αλλά και όσες εδράζονται εκτός της Ένωσης αλλά προσφέρουν αγαθά και υπηρεσίες ή παρακολουθούν συμπεριφορά ατόμων της Ένωσης.

Ποιες είναι οι βασικές αρχές του νέου Ευρωπαϊκού Κανονισμού;

Η βασική εστίαση του GDPR είναι στους όρους συγκατάθεσης των χρηστών γι την συλλογή, διατήρηση και χρήση των προσωπικών τους δεδομένων και στόχος του να τους ενισχύσει.

Με απλά λόγια οι εταιρείες πλέον δεν μπορούν να χρησιμοποιούν ασαφείς ή συγκεχυμένους όρους για να σας ωθήσουν να συναινέσετε στην συλλογή από μεριάς τους των προσωπικών σας δεδομένων και ειδικά για πολλαπλές χρήσεις τους.

Δηλαδή εάν διαβάσετε στο τέλος μιας σελίδας στο διαδίκτυο όπου έχετε καταχωρήσει τα προσωπικά σας δεδομένα ότι «εάν κλικάρετε το παρακάτω πεδίο δίνετε την συγκατάθεσή σας για να γίνουν πολλαπλά πράγματα ταυτόχρονα είναι λάθος.

Πρόκειται για μια επιχείρηση που δεν έχει συμμορφωθεί με τον κανονισμό, ο οποίος επιτρέπει να συναινείτε για κάθε χρήση ξεχωριστά» ανέφερε ο Χάρυ Μαλ, συνεργάτης της δικηγορικής εταιρείας Baker & McKenzie.

Επιπλέον θα πρέπει να είναι πολύ εύκολο για τον πελάτη χρήση να αρθεί η συγκατάθεσή που προηγούμενα έχει δώσει.

Δηλαδή αν έχετε δώσει την έγκρισή σας για τη συλλογή των προσωπικών σας δεδομένων και έχετε αλλάξει γνώμη θα πρέπει να μπορείτε να το ζητήσετε με εύκολο τρόπο και η εταιρεία που τα κρατά να τα διαγράψει άμεσα από την βάση της.

Όσον αφορά στα παιδιά κάτω των 16 ετών, υπεύθυνοι για την έγκριση για την συλλογή των δεδομένων τους είναι οι γονείς ή όσοι έχουν την γονική μέριμνα.

Πέρα από τα παραπάνω βέβαια ο νέος κανονισμός επιφέρει και μια ακόμα σημαντικότερη αλλαγή που αφορά κατά κύριο λόγο τις επιχειρήσεις. Από τις 25 Μαΐου οι επιχειρήσεις είναι υποχρεωμένες να δηλώνουν την παραβίαση των συστημάτων τους και την συλλογή των προσωπικών δεδομένων των χρηστών από κακόβουλους κυβερνοεγκληματίες εντός 72 ωρών από την στιγμή που θα το αντιληφθούν και να ενημερώσει τους πελάτες/χρήστες τους «χωρίς αδικαιολόγητη καθυστέρηση».

Μεγαλύτερο έλεγχο θα έχουν όσον αφορά στα δεδομένα τους και οι ίδιοι οι χρήστες. Δηλαδή, ανά πάσα στιγμή θα μπορούν να έχουν πρόσβαση στα προσωπικά δεδομένα που αποθηκεύονται από εταιρείες και να μάθουν πού και για ποιο σκοπό χρησιμοποιούνται.

Θα υπάρχει επίσης το δικαίωμα στη «λήθη», δηλαδή θα μπορούν ανά πάσα στιγμή να ζητήσουν από την εταιρεία που έχει στη βάση της τα δεδομένα τους να τα διαγράψει αλλά και να διακόψει την επεξεργασία αυτών από τρίτα μέρη.

Επιτρεπτή γίνεται πλέον και η μεταφορά των δεδομένων των χρηστών σε διαφορετικό πάροχο υπηρεσιών κατόπιν αίτησής τους.

Τι ισχύει αν δεν εφαρμοστούν τα παραπάνω

Όποια επιχείρηση δεν συμμορφωθεί με τους νέους κανόνες και γίνει αντιληπτή θα υπόκειται σε υψηλά πρόστιμα.

Συγκεκριμένα εάν διαπιστωθεί παραβίαση των όρων του GDPR θα επιβάλλεται πρόστιμο έως και 4% του ετήσιου παγκόσμιου κύκλου εργασιών εάν αυτός ξεπερνάει τα 20 εκατομμύρια ευρώ (24,6 εκατομμύρια δολάρια), διαφορετικά το πρόστιμο είναι 20 εκατ. ευρώ.

Αν σκεφτεί κανείς τους κύκλους εργασιών δισεκατομμυρίων των μεγάλων τεχνολογικών εταιρειών αντιλαμβάνεται ότι μια μη συμμόρφωση με τους κανόνες και η επιβολή προστίμου που την ακολουθεί θα αποτελούσε ένα τεράστιο οικονομικό πλήγμα για αυτές.

Ποιος ο αντίκτυπος στις επιχειρήσεις;

Οι μεγάλες οργανώσεις είχαν δύο χρόνια για να προετοιμαστούν για το GDPR. Οι μεγάλες εταιρείες τεχνολογίας που έχουν τεράστιες βάσεις χρηστών και χειρίζονται τεράστια ποσά δεδομένων έχουν ήδη σχεδιάσει την πολιτική τους.

Για παράδειγμα το Facebook δημοσίευσε πρόσφατα μερικά νέα εργαλεία προστασίας προσωπικών δεδομένων που θα το βοηθήσουν να συμμορφωθεί με το GDPR.

Άλλες μεγάλες τεχνολογικές εταιρείες έχουν επίσης δημοσιεύσει τα σχέδιά τους για το GDPR.

Σε πρόσφατο σημείωμά της, η Barclays δήλωσε ότι το GDPR είναι πιθανό να επηρεάσει τα κοινωνικά δίκτυα. «Νομίζουμε ότι υπάρχει κίνδυνος οι μέσοι μηνιαίοι χρήστες να πέσουν στην περίπτωση του Facebook και του Twitter ξεκινώντας από τα τέλη του 2ου τριμήνου. Πτωτικά μπορεί να κινηθούν και οι μέσοι ημερήσιοι χρήστες σύμφωνα με τους αναλυτές .

Όσον αφορά στα έσοδα από διαφημίσεις θα έχουμε μικρότερες επιπτώσεις , αλλά δεν αποκλείεται κι εκεί μια μικρή μείωση.

Παραδείγματα δεδομένων προσωπικού χαρακτήρα

  • όνομα και επώνυμο
  • διεύθυνση κατοικίας
  • ηλεκτρονική διεύθυνση ταχυδρομείου, π.χ.
  • όνομα.επώνυμο@εταιρεία.com
  • αριθμός εγγράφου ταυτοποίησης (π.χ. αριθμός ταυτότητας, διαβατηρίου, διπλώματος οδήγησης, κ.λπ.)
  • δεδομένα τοποθεσίας (π.χ. η λειτουργία δεδομένων τοποθεσίας σε κινητό τηλέφωνο*)
  • διεύθυνση διαδικτυακού πρωτοκόλλου (IP address)
  • αναγνωριστικό διαδικτυακής περιήγησης (π.χ. cookie*)
  • το αναγνωριστικό διαφήμισης του τηλεφώνου σας
  • δεδομένα που φυλάσσονται από νοσοκομείο ή γιατρό, που θα μπορούσαν να είναι ένα σύμβολο που προσδιορίζει αποκλειστικά ένα άτομο

Σημειώστε ότι, σε ορισμένες περιπτώσεις, υπάρχει ειδική νομοθεσία σχετικά με συγκεκριμένους τομείς που ρυθμίζει, για παράδειγμα, τη χρήση δεδομένων τοποθεσίας ή τη χρήση cookie – οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες [οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002 (ΕΕ L 201 της 31.7.2002, σ. 37) και κανονισμός (ΕΚ) αριθ. 2006/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Οκτωβρίου 2004 (ΕΕ L 364 της 9.12.2004, σ. 1)].

Παραδείγματα δεδομένων που δεν θεωρούνται δεδομένα προσωπικού χαρακτήρα

  • αριθμός μητρώου εταιρίας
  • ηλεκτρονική διεύθυνση του τύπου info@εταιρία.com
  • ανώνυμα δεδομένα (όπως π.χ. σε μια ανώνυμη έρευνα αγοράς)

Σε ποιους εφαρμόζεται η νομοθεσία περί προστασίας των δεδομένων;

α) σε κάθε εταιρεία ή οντότητα η οποία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων ενός από τα υποκαταστήματά της που έχουν έδρα στην ΕΕ, ανεξάρτητα από το πού γίνεται η επεξεργασία των δεδομένων• ή

β) σε κάθε εταιρεία η οποία έχει έδρα εκτός της ΕΕ και προσφέρει αγαθά/υπηρεσίες (επί πληρωμή ή δωρεάν) ή παρακολουθεί τη συμπεριφορά φυσικών προσώπων στην ΕΕ.

Εάν η εταιρεία σας είναι μικρομεσαία επιχείρηση (ΜΜΕ) και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, όπως περιγράφεται παραπάνω, πρέπει να συμμορφώνεστε με τον GDPR.

Ωστόσο, εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν αποτελεί βασικό μέρος της επιχειρηματικής σας δραστηριότητας και η δραστηριότητά σας δεν δημιουργεί κινδύνους για φυσικά πρόσωπα, τότε ορισμένες από τις υποχρεώσεις του ΓΚΠΔ δεν ισχύουν για εσάς [π.χ. ο διορισμός υπεύθυνου προστασίας δεδομένων (ΥΠΔ)].

Σημειώνεται ότι οι «βασικές δραστηριότητες» θα πρέπει να περιλαμβάνουν δραστηριότητες όπου η επεξεργασία δεδομένων αποτελεί αναπόσπαστο μέρος της δραστηριότητας του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Παραδείγματα

Πότε εφαρμόζεται ο κανονισμός

Είστε μικρή εταιρεία τριτοβάθμιας εκπαίδευσης που δραστηριοποιείται στο διαδίκτυο με επαγγελματική εγκατάσταση που έχει έδρα εκτός της ΕΕ.

Η εταιρεία σας απευθύνεται κυρίως σε ισπανόφωνα και πορτογαλόφωνα πανεπιστήμια στην ΕΕ.

Προσφέρει δωρεάν συμβουλές σχετικά με διάφορα πανεπιστημιακά προγράμματα σπουδών, και οι φοιτητές χρειάζονται ένα όνομα χρήστη και έναν κωδικό πρόσβασης για να αποκτήσουν πρόσβαση στο υλικό σας στο διαδίκτυο.

Η εταιρεία σας παρέχει το εν λόγω όνομα χρήστη και κωδικό πρόσβασης αφού οι φοιτητές συμπληρώσουν μια φόρμα εγγραφής.

Πότε δεν εφαρμόζεται ο κανονισμός

Η εταιρεία σας είναι πάροχος υπηρεσιών με έδρα εκτός της ΕΕ. Παρέχει υπηρεσίες σε πελάτες εκτός της ΕΕ.

Οι πελάτες της μπορούν να χρησιμοποιούν τις υπηρεσίες της όταν ταξιδεύουν σε άλλες χώρες, συμπεριλαμβανομένης της ΕΕ.

Εφόσον η εταιρεία σας δεν απευθύνει ειδικά τις υπηρεσίες της σε φυσικά πρόσωπα στην ΕΕ, δεν υπόκειται στους κανόνες του ΓΚΠΔ.

Η επεξεργασία προσωπικών δεδομένων

Ο όρος «επεξεργασία» καλύπτει ευρύ φάσμα πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα, είτε με χειροκίνητα είτε με αυτοματοποιημένα μέσα.

Περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.

Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) εφαρμόζεται στην εξ ολοκλήρου ή μερική επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα καθώς και στη μη αυτοματοποιημένη επεξεργασία, εάν αποτελεί μέρος διαρθρωμένου συστήματος αρχειοθέτησης.

Παραδείγματα επεξεργασίας

  • διαχείριση προσωπικού και μισθοδοσία
  • προσπέλαση/αναζήτηση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα
    αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων
  • καταστροφή διά τεμαχισμού εγγράφων που περιέχουν δεδομένα προσωπικού χαρακτήρα
  • δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου σε ιστότοπο
    αποθήκευση διευθύνσεων IP ή διευθύνσεων MAC
  • μαγνητοσκόπηση (τηλεόραση κλειστού κυκλώματος)

 

Χριστιάννα Κούσιου

ΡΟΗ ΕΙΔΗΣΕΩΝ
ΑΘΗΝΑ +
spot_img

Συμβαίνει στην Αθήνα