GDPR και Ναυτιλία:
Ο Κανονισμός Προστασίας Προσωπικών Δεδομένων στον Ναυτιλιακό κλάδο και τις Ναυτιλιακές Εταιρείες. Ορισμός, Σημεία Προσοχής και Συχνές Ερωτήσεις / Απαντήσεις
-
Πότε θα ενεργοποιηθεί ο GDPR για τις ναυτιλιακές εταιρείες;
- Ο GDPR θα ενεργοποιηθεί στις 25 Μαΐου 2018. Η ημερομηνία είναι τελική και για κάθε μορφή οργανισμού / δραστηριότητας.
-
Τι πρόστιμα προβλέπει ο GDPR σε περίπτωση μη συμμόρφωσης σε μια ναυτιλιακή; Παραδείγματα;
- O GDPR προβλέπει διοικητικά πρόστιμα σε περίπτωση σοβαρής μη συμμόρφωσης μέχρι € 20.000.000 ή μέχρι 4% του παγκόσμιου κύκλου εργασιών (όποιο είναι υψηλότερο). Παραδείγματα σοβαρής μη συμμόρφωσης:
- Βασικές αρχές επεξεργασίας δεδομένων, συμπεριλαμβανομένης της συγκατάθεσης (Άρθρα 5, 6, 7 και 9)
- Δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα (Άρθρα 12-22)
- Διεθνείς μεταφορές δεδομένων (Αρθρα 44-49)
- Οι λοιπές παραβάσεις υπόκεινται σε διοικητικά πρόστιμα μέχρι € 10.000.000 ή μέχρι 2% του παγκόσμιου κύκλου εργασιών, όποιο είναι υψηλότερο για παραβιάσεις σε:
- τεχνικά και οργανωτικά μέτρα
- διασφάλιση προστασίας δεδομένων από το σχεδιασμό (Άρθρο 25)
- controllers και processors που δεν είναι εγκατεστημένοι στην ΕΕ (Άρθρο 27)
- controllers σε σχέση με τη δέσμευση των υπευθύνων επεξεργασίας δεδομένων (Άρθρο 28)
- διατήρηση γραπτών αρχείων (Άρθρο 30)
- ελεγκτές και υπεύθυνους επεξεργασίας οι οποίοι αρνούνται να συνεργαστούν με εποπτικές αρχές (Άρθρο 31)
- Αδυναμία εφαρμογής τεχνικών και οργανωτικών μέτρων (Άρθρο 32)
- Μη αναφορά παραβιάσεων όταν το απαιτεί ο GDPR (Άρθρα 33-34).
- σε παράλειψη εκτίμησης των επιπτώσεων στην ιδιωτική ζωή (Άρθρα 35-36)
- σε σχέση με το διορισμό των υπευθύνων προστασίας δεδομένων (Άρθρα 37-39) ·
- Οποιαδήποτε παραβίαση υποχρεώσεων του GDPR μπορεί να επιφέρει κυρώσεις σε μια ναυτιλιακή. Ενδεικτικά, μια παραβίαση μπορεί να είναι:
- η ανεπαρκής εφαρμογή μέτρων ασφαλείας,
- η μη επαρκής τήρηση υποχρεώσεων του DPO,
- η απαγόρευση άσκησης δικαιωμάτων στα υποκείμενα των δεδομένων κ.λπ.
- O GDPR προβλέπει διοικητικά πρόστιμα σε περίπτωση σοβαρής μη συμμόρφωσης μέχρι € 20.000.000 ή μέχρι 4% του παγκόσμιου κύκλου εργασιών (όποιο είναι υψηλότερο). Παραδείγματα σοβαρής μη συμμόρφωσης:
-
Τα ναυτιλιακά club θα έχουν παρόμοια αντιμετώπιση σχετικά με το GDPR;
- Είναι πιθανό οτι θα υπάρχουν μικρές διαφορές σε Ευρωπαϊκά και Αγγλικά ναυτιλιακά club. Όμως η προσπάθεια είναι να υπάρχει κοινή αντιμετώπιση στα βασικά σημεία εφαρμογής του νόμου.
-
Πως ξεκινάει μια ναυτιλιακή να συμμορφώνεται με τις απαιτήσεις του GDPR; Υπάρχει κάτι έτοιμο;
- Η κάθε περίπτωση είναι διαφορετική αν και ισχύουν οι ίδιοι κανόνες για όλα τα νομικά πρόσωπα. Μια καλή αρχή είναι η εφαρμογή του ISO 27001.
-
Data Protection Officer: Χρειάζεται σε μια ναυτιλιακή; Είναι εσωτερικός ή εξωτερικός συνεργάτης;
- Το άρθρο 37 ορίζει τα εξής:
- Ο υπεύθυνος επεξεργασίας και ο επεξεργαστής ορίζουν Υπεύθυνο Προστασίας Δεδομένων σε περίπτωση όπου:
- η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
- οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
- οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
- 2 …
- 3 …
- 4 …
- Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39.
- Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.
- Άρα, η βασική ερώτηση που πρέπει να απαντήσει μια ναυτιλιακή είναι “αν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα”.
- Το άρθρο 37 ορίζει τα εξής:
-
Υπάρχει διαφοροποίηση στην ισχύ του κανονισμού ανάλογα με το μέγεθος της ναυτιλιακής εταιρείας; Δηλαδή, ο GDPR ισχύει και για ναυτιλιακές εταιρείες με λιγότερα από 250 άτομα προσωπικό;
- Ο GDPR ισχύει για όλα τα νομικά πρόσωπα, ανεξάρτητα του προσωπικού που απασχολούν. Όμως,
- για εταιρείες που απασχολούν λιγότερα από 250 άτομα προσωπικό δεν ισχύει το άρθρο 30 (περί τήρησης Αρχείων Δραστηριοτήτων Επεξεργασίας Δεδομένων) “εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.”
- Ο κανονισμός αφήνει περιθώριο σε κάθε κράτος-μέλος να ορίζει διαφορετικούς τρόπους συμμόρφωσης για τις ΜΜΕ.
-
Δεδομένα σε προσωπικούς υπολογιστές εμπίπτουν στο πλαίσιο του κανονισμού;
- Ναι.
-
Ο GDPR ισχύει και για δημόσιες αρχές;
- Ναι.
-
Το “Cold calling / emailing” από λίστες που διαθέτουμε απαγορεύεται;
- Ακόμα και στον υφιστάμενο κανονισμό γίνεται λόγος για την συλλογή δεδομένων για σκοπούς marketing. Η ύπαρξη μιας λίστας δεν αποτελεί παράβαση. Η χρήση, η συλλογή και η μεταφορά μιας τέτοιας λίστας είναι πιθανό να δημιουργήσει πρόβλημα υπό προϋποθέσεις. Σε κάθε περίπτωση, προτείνουμε να υπάρχει αποδεδειγμένη συγκατάθεση των υποκειμένων στη λίστα.
-
Ο GDPR ισχύει για Έλληνες πλοιοκτήτες και Ελληνικές ναυτιλιακές που δεν απασχολούν προσωπικό εντός της ΕΕ;
- Ναι. Διότι η ερώτηση προϋποθέτει οτι μια ναυτιλιακή θα επεξεργάζεται μόνο δεδομένα για το προσωπικό της, κάτι που εν τοις πράγμασι δεν γίνεται. Ο κανονισμός είναι σαφής στο Άρθρο 3, Παρ. 1. : “Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός ή εκτός της Ένωσης.”
-
Στέλνουμε ιατρικά δεδομένα του πληρώματος σε εξωτερικούς συνεργάτες / φορείς. Πως διασφαλίζουμε την προστασία τους;
- Αν η χώρα που στέλνουμε τα δεδομένα δεν είναι αναγνωρισμένα “επαρκής” στην Ε.Ε. τότε πρέπει να λάβουμε μέτρα ασφαλείας. Επι της ουσίας, αυτό σημαίνει να έχουμε ένα επίσημο συμφωνητικό σχετικά με τα μέτρα ασφάλειας που θα λάβει ο τρίτος φορέας.
-
Τα στοιχεία με τα δρομολόγια πλοίων ή φορτίων πλοίων εμπίπτουν στις απαιτήσεις του κανονισμού;
- Όχι, εκτός και αν περιλαμβάνουν προσωπικά δεδομένα.
-
Ο GDPR επηρεάζει τον τρόπο που χρησιμοποιεί και μοιράζεται δεδομένα ένα πλοίο;
- Πιθανότατα. Αν περιλαμβάνονται προσωπικά δεδομένα για πολίτες εντός ΕΕ και αν αυτά τα δεδομένα υπόκεινται σε επεξεργασία από οργανισμός εντός της ΕΕ.
-
Τι γίνεται με τα δεδομένα σε περιπτώσεις χρεοκοπίας μιας ναυτιλιακής;
- Αυτό είναι κάτι που θα αποφασιστεί ξεχωριστά από κάθε κράτος-μέλος.
-
Τι ισχύει σε περίπτωση παραβίασης και δεν λάβουμε γνώση, ούτε γνωστοποιήσουμε το περιστατικό; Είμαστε υπεύθυνοι ακόμα και αν έχουμε σωστά και επαρκή μέτρα ασφαλείας;
- Εξαρτάται από την παραβίαση καθώς και από τα μέτρα ασφαλείας που έχετε λάβει. Οι αρχές θα εξετάσουν πόσο γρήγορα και αποτελεσματικά ενεργήσατε μόλις λάβατε γνώση, αν τα μέτρα ασφαλείας σας ήταν επαρκή και αν οι διεργασίες / διαδικασίες λειτούργησαν όπως προβλεπόταν.
-
Χρειαζόμαστε νέα συγκατάθεση για όσα email έχουμε ήδη;
- Σε απλές γραμμές, αν έχουμε αρχική συγκατάθεση η οποία αποδεικνύεται με σαφήνεια, όχι.
- Το Άρθρο 6 αναφέρει:
- Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, - η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
- γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
- δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
- ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
- στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
- Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
-
Ο GDPR ισχύει και για δεδομένα που έχουν συγκεντρωθεί στο παρελθόν; Πχ ιατρικό ιστορικό εργαζομένου από το 2011;
- Ναι.
Summary
Article Name
GDPR και Ναυτιλία: Ο Κανονισμός Προστασίας Προσωπικών Δεδομένων στον Ναυτιλιακό κλάδο και τις Ναυτιλιακές Εταιρείες.
Description
GDPR και Ναυτιλία: Ο Κανονισμός Προστασίας Προσωπικών Δεδομένων στον Ναυτιλιακό κλάδο και τις Ναυτιλιακές Εταιρείες. Ορισμός, Σημεία Προσοχής και Συχνές Ερωτήσεις / Απαντήσεις. Περιλαμβάνει απαντήσεις σχετικά με δεδομένα δρομολογίων, φορτίων, πληρώματος, email, χρεοκοπίας, παραβίασης κ.α.
Author
Panagiotis Karalivanos
Publisher Name
Niriis S.A.
Publisher Logo