GDPR: Συχνές Ερωτήσεις / Απαντήσεις

GDPR: Συχνές Ερωτήσεις

Περιεχόμενα

Πότε τίθεται σε ισχύ ο κανονισμός General Data Protection Regulation (GDPR);

Ο κανονισμός General Data Protection Regulation (GDPR) εγκρίθηκε από το κοινοβούλιο της ΕΕ τον Απρίλιο του 2016. Ο κανονισμός θα τεθεί σε ισχύ μετά από μια μεταβατική περίοδο δύο ετών και, αντίθετα από μια οδηγία, δεν απαιτεί τη θέσπιση νομοθετικών πράξεων από την κυβέρνηση.

Αυτό σημαίνει ότι ο κανονισμός GDPR θα τεθεί σε ισχύ στις 25 Μάιου του 2018.

Εκπροσωπώ έναν υπεύθυνο επεξεργασίας δεδομένων στο Ηνωμένο Βασίλειο και θέλω να μάθω αν θα πρέπει να συνεχίσω με τον σχεδιασμό και την προετοιμασία του GDPR;

Εάν επεξεργάζεστε δεδομένα σχετικά με άτομα στο πλαίσιο πώλησης αγαθών ή υπηρεσιών σε πολίτες άλλων χωρών της ΕΕ, τότε θα πρέπει να συμμορφωθείτε με το GDPR, ανεξάρτητα από το αν το Ηνωμένο Βασίλειο διατηρεί το GDPR και μετά το Brexit ή όχι. Εάν οι δραστηριότητές σας περιορίζονται στο Ηνωμένο Βασίλειο, τότε η θέση σας (μετά την αρχική περίοδο εξόδου) είναι πολύ λιγότερο σαφής.

Η κυβέρνηση του Ηνωμένου Βασιλείου δήλωσε ότι θα εφαρμόσει ισοδύναμους ή εναλλακτικούς νομικούς μηχανισμούς.

Η προσδοκία είναι ότι οποιαδήποτε τέτοια νομοθεσία θα ακολουθήσει σε μεγάλο βαθμό το GDPR, δεδομένης της υποστήριξης που παρείχε προηγουμένως στο GDPR από την ICO και την κυβέρνηση του Ηνωμένου Βασιλείου ως αποτελεσματικό πρότυπο προστασίας της ιδιωτικής ζωής, καθώς και το γεγονός ότι το GDPR παρέχει μια ξεκάθαρη βασική γραμμή έναντι της οποίας συνεχή πρόσβαση στην ψηφιακή αγορά της ΕΕ.

Ποιους επηρεάζει το GDPR;

Το GDPR δεν ισχύει μόνο για οργανισμούς εγκατεστημένους εντός της ΕΕ, αλλά θα ισχύει και για οργανισμούς που βρίσκονται εκτός της ΕΕ εάν προσφέρουν αγαθά ή υπηρεσίες ή καταγράφουν τη συμπεριφορά των υποκειμένων των δεδομένων της ΕΕ.

Εφαρμόζεται σε όλες τις εταιρείες που επεξεργάζονται και κατέχουν τα προσωπικά δεδομένα των υποκειμένων των δεδομένων που διαμένουν στην Ευρωπαϊκή Ένωση, ανεξαρτήτως της τοποθεσίας της εταιρείας.

Ποιες είναι οι κυρώσεις για τη μη συμμόρφωση ως προς τον GDPR;

Οι οργανισμοί μπορούν να υποχρεωθούν σε πρόστιμο έως 4% του ετήσιου παγκόσμιου κύκλου εργασιών για παραβίαση του GDPR ή € 20 εκατομμυρίων. Πρόκειται για το ανώτατο πρόστιμο που μπορεί να επιβληθεί για τις πιο σοβαρές παραβάσεις, π.χ. δεν υπάρχει επαρκής συναίνεση του πελάτη για επεξεργασία δεδομένων ή παραβίαση του πυρήνα των εννοιών «Απόρρητο από το σχεδιασμό».

Υπάρχει κλιμακωτή προσέγγιση όσον αφορά τα πρόστιμα, π.χ. μια εταιρεία μπορεί να υποχρεωθεί σε πρόστιμο 2% για μη τήρηση των αρχείων της (άρθρο 28), μη κοινοποιώντας στην εποπτεύουσα αρχή και στο υποκείμενο των δεδομένων την παραβίαση ή μη διενέργεια εκτίμησης επιπτώσεων.

Είναι σημαντικό να σημειωθεί ότι αυτοί οι κανόνες ισχύουν τόσο για τους υπεύθυνους επεξεργασίας όσο και για τους μεταποιητές - που σημαίνει ότι οι “cloud” υπηρεσίες δεν θα εξαιρούνται από την επιβολή και συμμόρφωση ως προς το GDPR.

Τι συνιστά προσωπικά δεδομένα;

Οποιαδήποτε πληροφορία αφορά φυσικό πρόσωπο ή «υποκείμενο δεδομένων», που μπορεί να χρησιμοποιηθεί για την άμεση ή έμμεση αναγνώριση του ατόμου. Μπορεί να είναι οτιδήποτε από όνομα, φωτογραφία, διεύθυνση ηλεκτρονικού ταχυδρομείου, στοιχεία τράπεζας, αναρτήσεις σε ιστότοπους κοινωνικής δικτύωσης, ιατρικές πληροφορίες ή διεύθυνση IP υπολογιστή.

Παραδείγματα προσωπικών δεδομένων:

Στοιχεία Ταυτότητας Φυσικού Προσώπου:

  • Ονομα
  • Διεύθυνση σπιτιού
  • Διεύθυνση εργασίας
  • Αριθμός τηλεφώνου
  • Αριθμός κινητού
  • Διεύθυνση ηλεκτρονικού ταχυδρομείου
  • Αριθμός διαβατηρίου
  • Εθνική ταυτότητα
  • Αριθμός κοινωνικής ασφάλισης (ή ισοδύναμο)
  • Αδεια οδήγησης
  • Φυσικές, φυσιολογικές ή γενετικές πληροφορίες
  • Ιατρικές πληροφορίες
  • Πολιτιστική ταυτότητα

Χρηματο-οικονομικά Στοιχεία

  • Στοιχεία τραπεζών / αριθμοί λογαριασμού
  • Αριθμός φορολογικού αρχείου
  • Αριθμοί πιστωτικών / χρεωστικών καρτών
  • Δημοσιεύσεις σε κοινωνικά δίκτυα / μέσα

Ηλεκτρονικά Μέσα

  • Διεύθυνση IP (περιοχή της ΕΕ)
  • Θέση / δεδομένα GPS
  • Cookies

Ποια δικαιώματα πρέπει να επιτρέπουν οι εταιρείες βάσει του GDPR;

Το GDPR παρέχει στους κατοίκους της ΕΕ τον έλεγχο των προσωπικών τους δεδομένων μέσω ενός συνόλου «δικαιωμάτων υποκειμένων των δεδομένων». Αυτά περιλαμβάνουν τα παρακάτω:

  • Πρόσβαση σε πληροφορίες σχετικά με τον τρόπο χρήσης των προσωπικών δεδομένων των υποκειμένων
  • Πρόσβαση σε προσωπικά δεδομένα του υποκειμένου που διατηρεί ένας οργανισμός
  • Δικαίωμα διαγραφής ή διόρθωσης εσφαλμένων προσωπικών δεδομένων
  • Δικαίωμα διορθωσής και διαγραφής προσωπικών δεδομένων σε ορισμένες περιπτώσεις (μερικές φορές αναφέρεται ως "το δικαίωμα στη λήθη")
  • Περιορισμός ή αντίθεση στην αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων
  • Λήψη αντίγραφου προσωπικών δεδομένων

Ποιά είναι τα ελάχιστα Απαιτούμενα Συγκατάθεσης Χρήσης / Επεξεργασίας Προσωπικών Δεδομένων στο GDPR

Για να υπάρχει ορθή συναίνεση χρήσης / επεξεργασίας δεδομένων, είναι απαραίτητο να ενημερωθεί το υποκείμενο των δεδομένων για ορισμένα στοιχεία που είναι
είναι σημαντικό ώστε να κάνει μια σωστή επιλογή.

Συνεπώς, το WP29 είναι της γνώμης ότι τουλάχιστον οι ακόλουθες πληροφορίες
απαιτούνται για την απόκτηση έγκυρης συναίνεσης:

  • Ταυτότητα του ελεγκτή,
  • Σκοπός καθεμίας από τις εργασίες επεξεργασίας για τις οποίες ζητείται συγκατάθεση
  • Είδος δεδομένων που θα συλλεχθούν και θα χρησιμοποιηθούν,
  • Ύπαρξη του δικαιώματος υπαναχώρησης,
  • Πληροφορίες σχετικά με τη χρήση των δεδομένων για αποφάσεις που βασίζονται αποκλειστικά σε αυτοματοποιημένες διαδικασίες συμπεριλαμβανομένης της μορφοποίησης και
  • Εάν η συγκατάθεση αφορά μεταφορές δεδομένων, ενημέρωση σχετικά με τους πιθανούς κινδύνους μεταφοράς δεδομένων σε τρίτους

Ποια είναι η διαφορά μεταξύ ενός επεξεργαστή δεδομένων και ενός ελεγκτή δεδομένων;

Ένας ελεγκτής είναι η οντότητα που καθορίζει τους σκοπούς, τους όρους και τα μέσα επεξεργασίας των προσωπικών δεδομένων, ενώ ο επεξεργαστής είναι μια οντότητα που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας.

Οι επεξεργαστές δεδομένων χρειάζονται «ρητή» ή «ξεκάθαρη» συγκατάθεση για τα δεδομένα - και ποια είναι η διαφορά;

Οι προϋποθέσεις συγκατάθεσης έχουν ενισχυθεί, δεδομένου ότι οι εταιρείες δεν θα μπορούν πλέον να χρησιμοποιούν μακρούς δυσανάγνωστους όρους νομικής φύσεως, δεδομένου ότι η αίτηση συναίνεσης πρέπει να παρέχεται με κατανοητή και εύκολα προσπελάσιμη μορφή, με σκοπό την επεξεργασία δεδομένων συνδεδεμένη με αυτή τη συναίνεση - που σημαίνει ότι πρέπει να είναι σαφής.

Η συγκατάθεση πρέπει να είναι σαφής και διακριτή από άλλα θέματα και να παρέχεται με κατανοητή και εύκολα προσιτή μορφή, χρησιμοποιώντας σαφή και απλή γλώσσα. Πρέπει να είναι τόσο εύκολο να αποσύρει τη συγκατάθεσή της, όπως και να την δώσει.

Η ρητή συγκατάθεση απαιτείται μόνο για την επεξεργασία ευαίσθητων προσωπικών δεδομένων - σε αυτό το πλαίσιο, δεν αρκεί τίποτα λιγότερο από το "opt in". Ωστόσο, για τα μη ευαίσθητα δεδομένα, αρκεί η "σαφής" συγκατάθεση.

Τι γίνεται με τα θέματα δεδομένων κάτω από την ηλικία των 16 ετών;

Η γονική συναίνεση θα απαιτείται για την επεξεργασία των προσωπικών δεδομένων παιδιών ηλικίας κάτω των 16 ετών για τις ηλεκτρονικές υπηρεσίες. τα κράτη μέλη μπορούν να νομοθετούν για χαμηλότερη ηλικία συγκατάθεσης αλλά σε κάθε περίπτωση η συγκατάθεση δεν θα είναι κάτω από την ηλικία των 13 ετών.

Ποια είναι η διαφορά μεταξύ κανονισμού και οδηγίας;

Ένας κανονισμός είναι μια δεσμευτική νομοθετική πράξη. Πρέπει να εφαρμοστεί στο σύνολό σε ολόκληρη την ΕΕ, ενώ μια οδηγία είναι μια νομοθετική πράξη που θέτει έναν στόχο που πρέπει να επιτύχουν όλες οι χώρες της ΕΕ. Ωστόσο, εναπόκειται στις μεμονωμένες χώρες να αποφασίσουν πώς.

Είναι σημαντικό να σημειωθεί ότι το GDPR είναι ένας κανονισμός, σε αντίθεση με την προηγούμενη νομοθεσία, η οποία αποτελεί οδηγία.

Πρέπει η επιχείρησή μου να διορίσει έναν υπεύθυνο προστασίας δεδομένων (DPO);

Οι ΥΠΔ πρέπει να διορίζονται στην περίπτωση:

  1. α) δημόσιων αρχών,
  2. β) οργανισμών που ασκούν συστηματική παρακολούθηση μεγάλης κλίμακας, ή
  3. γ) οργανισμών που ασχολούνται με την επεξεργασία ευαίσθητων προσωπικών δεδομένων σε ευρεία κλίμακα (άρθρο 37). Εάν ο οργανισμός σας δεν εμπίπτει σε μία από αυτές τις κατηγορίες, τότε δεν χρειάζεται να διορίσετε έναν ΥΠΔ.

Πώς επηρεάζει το GDPR την πολιτική που περιβάλλει τις παραβιάσεις δεδομένων;

Οι προτεινόμενοι κανονισμοί που αφορούν παραβιάσεις δεδομένων σχετίζονται κυρίως με τις πολιτικές κοινοποίησης των εταιρειών που έχουν παραβιαστεί.

Οι παραβιάσεις δεδομένων που ενδέχεται να θέτουν σε κίνδυνο τα άτομα πρέπει να κοινοποιούνται στην DPA εντός 72 ωρών και στα πληγέντα άτομα χωρίς αδικαιολόγητη καθυστέρηση.

Μπορείτε να κατεβάσετε το πλήρες κείμενο για τον Κανονισμό GDPR εδώ: GDPR Regulation - ST-5419-2016 (EL) (1264 downloads)

 

Summary
GDPR: Συχνές Ερωτήσεις / Απαντήσεις
Article Name
GDPR: Συχνές Ερωτήσεις / Απαντήσεις
Description
GDPR: Συχνές Ερωτήσεις / Απαντήσεις του Κανονισμού General Data Protection Regulation (GDPR) της Ευρωπαϊκής Ένωσης. Ποιόν αφορά, κυρώσεις και παραδείγματα
Author
Publisher Name
Niriis S.A.
Publisher Logo

Comments are closed.