ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ (GDPR)

Τι είναι ο Γενικός Κανονισμός για την Προστασία Δεδομένων;

Ο Ευρωπαϊκός Κανονισμός 2016/679 (General Data Protection Regulation, GDPR) ψηφίστηκε στις 27/04/2016 και τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25/05/2018, διαμορφώνοντας ένα ενιαίο νομικό πλαίσιο, χωρίς την ανάγκη ψήφισης εθνικής νομοθεσίας και καταργώντας την υφιστάμενη νομοθεσία. Ο Κανονισμός ρυθμίζει τα δικαιώματα των φυσικών προσώπων σχετικά με:

  • τα προσωπικά τους δεδομένα,
  • την επεξεργασία των προσωπικών τους δεδομένων,
  • την ελεύθερη και ανεμπόδιστη κυκλοφορία και μεταβίβαση των προσωπικών τους δεδομένων εντός των ορίων της Ευρωπαϊκής Ένωσης
  • τις διαδικασίες διαβίβασης προσωπικών δεδομένων εκτός Ευρωπαϊκής Ένωσης.

Ποιους Οργανισμούς αφορά;

Τους ιδιωτικούς και δημόσιους Οργανισμούς, καθώς και τις κρατικές Αρχές που με οποιοδήποτε τρόπο διαχειρίζονται δεδομένα προσωπικού χαρακτήρα πελατών, πελατών των πελατών τους, εργαζομένων, συνεργατών, ή άλλων φυσικών προσώπων.

Ποιες υποχρεώσεις προβλέπονται για τους Οργανισμούς;

  • Να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ’ αυτών είναι απαραίτητα, να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν, να τα αποθηκεύουν για το ελάχιστο χρονικό διάστημα που απαιτείται, να λαμβάνουν κατά περίπτωση την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων
  • Να τα μεταφέρουν σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις
  • Να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με τον GDPR
  • Να αναπτύσσουν μηχανισμούς για την ανταπόκριση σε αιτήματα για:
    • πρόσβαση στα δεδομένα
    • διόρθωση των δεδομένων, ή διαγραφή των δεδομένων
    • παράδοση των δεδομένων σε ηλεκτρονική μορφή
    • μεταφορά των δεδομένων σε άλλο φορέα
    • περιορισμό της επεξεργασίας
    • ανάκληση της συγκατάθεσης
  • Να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους
  • Να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους
  • Να τηρούν σε αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση
  • Να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.

 Τι πρέπει να κάνουν οι Οργανισμοί για την εναρμόνισή τους με τον GDPR;

  • Να λάβουν τα απαιτούμενα τεχνικά και οργανωτικά μέτρα που περιλαμβάνονται σε διεθνή πρότυπα, σε κώδικες δεοντολογίας και σε συστάσεις αρμοδίων κοινοτικών και εθνικών οργάνων
  • Να δημιουργήσουν και να επικαιροποιούν το μητρώο επεξεργασίας, όπου θα απεικονίζουν τη ροή, τους αποδέκτες και το είδος των προσωπικών δεδομένων που διαχειρίζονται
  • Να διενεργήσουν μελέτη εκτίμησης των επιπτώσεων (Privacy Impact Assessment), στην οποία θα αξιολογούν τους κινδύνους για τα προσωπικά δεδομένα που διαχειρίζονται και θα οδηγούνται στη λήψη των απαραίτητων μέτρων περιορισμού των κινδύνων
  • Να αναπτύξουν πολιτικές και διαδικασίες προστασίας και ασφάλειας των προσωπικών δεδομένων
  • Να ορίσουν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer)

Πότε καθορίζεται υποχρεωτικά ένας Data Protection Officer (DPO) σε έναν Οργανισμό;

Κάθε Οργανισμός υποχρεούται να καθορίσει έναν Υπεύθυνο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ή αλλιώς Data Protection Officer  (DPO), όταν:

  • Η επεξεργασία των δεδομένων διενεργείται από δημόσια Αρχή ή Φορέα
  • Οι βασικές δραστηριότητες του Οργανισμού συνιστούν πράξεις επεξεργασίας, οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα
  • Οι βασικές δραστηριότητες του Οργανισμού συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και δεδομένων που αφορούν καταδίκες και κατηγορίες για εγκληματικές πράξεις
  • Γίνεται επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (π.χ. δεδομένων υγείας, βιομετρικών δεδομένων).

Ποιες είναι οι βασικές υπευθυνότητες του DPO;

  • Παρακολουθεί τη συμμόρφωση του Οργανισμού με τον Κανονισμό και όλες τις σχετικές κανονιστικές απαιτήσεις
  • Αποτελεί το σημείο επίσημης επικοινωνίας του Οργανισμού με την Εποπτική Αρχή (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα), καθώς και με κάθε υποκείμενο που υπόκεινται σε επεξεργασία προσωπικών δεδομένων από τον Οργανισμό.
  • Είναι αρμόδιος για την ενημέρωση και εκπαίδευση του προσωπικού του Οργανισμού στις απαιτήσεις του Κανονισμού, για την παροχή συμβουλών, για την μελέτη εκτίμησης των επιπτώσεων καθώς και για την τήρηση των αρχείων καταγραφής.