GDPR: Τι είναι; Ορισμός, Πεδίο Εφαρμογής και Παραδείγματα του Γενικού Κανονισμού για την Προστασία των Δεδομένων (General Data Protection Regulation ή αλλιώς “GDPR”) σε οργανισμούς και φυσικά πρόσωπα

GDPR: Τι είναι; Ορισμός και Αρχική Εισαγωγή

To GDPR είναι ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (General Data Protection Regulation GDPR). Στοχεύει να προσφέρει στους πολίτες της ΕΕ μια ενιαία και εναρμονισμένη προσέγγιση όσον αφορά την προστασία της ιδιωτικής ζωής στην Ευρωπαϊκή Ένωση. Επιδιώκει να ενισχύσει τα δικαιώματα των πολιτών για την προστασία των δεδομένων τους, όπως ορίζεται στο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ.

Μετά από σχεδόν τέσσερα χρόνια συζήτησης και συζήτησης, το GDPR εγκρίθηκε από το κοινοβούλιο της ΕΕ στις 14 Απριλίου 2016.

GDPR: Πότε γίνεται υποχρεωτική η εφαρμογή του;

Παρόλο που το έγγραφο άρχισε να ισχύει 20 ημέρες μετά την ημερομηνία έγκρισης, η ημερομηνία υποχρεωτικής εφαρμογής του GDPR καθορίστηκε στις 25 Μαΐου 2018. Μπορεί να φαίνεται πολύς χρόνος προετοιμασίας, αλλά η αλήθεια είναι ότι υπάρχουν πολλά πράγματα που πρέπει να γίνουν.

GDPR: Είναι Κανονισμός ή απλή Οδηγία;

Μια από τις πρώτες αλλαγές σχετικά με το GDPR και μια θεμελιώδη αλλαγή από το προηγούμενο πλαίσιο προστασίας δεδομένων (οδηγία της ΕΕ για την προστασία των δεδομένων – οδηγία 95/46 / ΕΕ) είναι ότι, μετά από πολλές συζητήσεις, το κοινοβούλιο της ΕΕ αποφάσισε ότι το νέο πλαίσιο προστασίας της ιδιωτικής ζωής θα δημιουργηθεί τη μορφή κανονισμού και όχι οδηγίας.

Γιατί το GDPR είναι Κανονισμός και τι σημαίνει αυτό;

Η απάντηση είναι απλή – ένας κανονισμός είναι μια δεσμευτική νομοθετική πράξη που εφαρμόζεται άμεσα σε όλα τα κράτη μέλη της ΕΕ, εξαλείφοντας την ανάγκη κατάρτισης τοπικών νομοθετικών πράξεων. Ωστόσο, παρά την ανάγκη τοπικής νομοθεσίας, είναι πιθανό να υπάρξουν διαφορές ως προς τον τρόπο με τον οποίο ο κανονισμός ερμηνεύεται και επιβάλλεται σε διάφορα κράτη μέλη.

Εκτός από την ανάγκη για ένα κοινό πλαίσιο προστασίας της ιδιωτικής ζωής, η ΕΕ στέλνει ένα ισχυρό μήνυμα σχετικά με τη δέσμευσή της για την προστασία των προσωπικών δεδομένων των υποκειμένων των δεδομένων της ΕΕ (το υποκείμενο των δεδομένων είναι ένα ζωντανό άτομο στο οποίο αναφέρονται προσωπικά δεδομένα) όχι μόνο από εταιρείες που δραστηριοποιούνται στην ΕΕ.

GDPR: Αφορά μόνο την Ευρωπαϊκή Ένωση;

Σύντομη απάντηση: Όχι.

Η εξωεδαφική εμβέλεια του GDPR είναι ένα από τα νέα χαρακτηριστικά που συμβάλλουν σημαντικά στο αυξημένο επίπεδο προστασίας των προσωπικών δεδομένων.

Τι σημαίνει εξωεδαφική εμβέλεια ισχύς του GDPR;

Πιθανώς μια από τις σημαντικότερες αλλαγές, το GDPR απολαμβάνει εκτεταμένη ισχύ που επηρεάζει οντότητες που δεν είναι εγκατεστημένες στην ΕΕ. Φυσικά, πρέπει να πληρούνται ορισμένοι όροι για να εφαρμοστεί η εξωεδαφικότητα.

Το GDPR της ΕΕ εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων των προσώπων στα οποία αναφέρονται τα δεδομένα της ΕΕ, ανεξαρτήτως του εάν οι δραστηριότητες επεξεργασίας πραγματοποιούνται στην ΕΕ ή όχι.

Το GDPR της ΕΕ εφαρμόζεται επίσης σε οντότητες που είναι εγκατεστημένες εκτός ΕΕ εάν προσφέρουν αγαθά ή υπηρεσίες σε άτομα στην Ένωση ή αν παρακολουθούν τη συμπεριφορά των ατόμων στην Ένωση (δηλ. Δραστηριότητες σχετικές με τη δημιουργία προφίλ, παρακολούθηση των δραστηριοτήτων των ατόμων στο Διαδίκτυο κ.λπ. .).

Μία από τις συνέπειες της εξωεδαφικής προσέγγισης είναι ότι οι εταιρείες που δεν είναι εγκατεστημένες στην ΕΕ πρέπει να διορίσουν έναν εκπρόσωπο.

Ο εν λόγω αντιπρόσωπος πρέπει να είναι εγκατεστημένος σε κράτος μέλος στο οποίο βασίζονται τα σχετικά πρόσωπα στα οποία αναφέρονται τα δεδομένα. Μόνο μια περιορισμένη παρέκκλιση επιτρέπεται όταν η επεξεργασία είναι περιστασιακή, δεν συνεπάγεται μεγάλης κλίμακας επεξεργασία ευαίσθητων προσωπικών δεδομένων και ο σκοπός και το αποτέλεσμα της επεξεργασίας είναι απίθανο να αποτελούν κίνδυνο για τα άτομα.

GDPR: Πως γίνεται η μεταφορά δεδομένων προσωπικού χαρακτήρα πέρα ​​από τα σύνορα της ΕΕ;

Κατά τη διαβίβαση δεδομένων, το GDPR επιβάλλει αυστηρούς περιορισμούς στις μεταφορές σε σημεία εκτός της Ευρωπαϊκής Ένωσης. Αυτό γίνεται προκειμένου να διασφαλιστεί η προστασία των δεδομένων προσωπικού χαρακτήρα σε κατάλληλο επίπεδο. Οι μεταφορές δεδομένων προς χώρες εκτός της ΕΕ μπορούν να πραγματοποιηθούν εάν υπάρχουν:

• μια απόφαση επάρκειας της ΕΕ (η ΕΕ έχει αποφασίσει ότι μια συγκεκριμένη χώρα έχει νόμους προστασίας δεδομένων ισοδύναμους με αυτούς της ΕΕ)
• υπάρχουν κατάλληλες διασφαλίσεις (για παράδειγμα, οι συμβάσεις που περιλαμβάνουν τις πρότυπες ρήτρες της ΕΕ για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα)
• ειδικές παρεκκλίσεις (για παράδειγμα, σαφή ενημέρωση από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα)
  Οι μεταφορές δεδομένων αποτελούν περίπλοκο τομέα της GDPR, ιδίως επειδή το ζήτημα της συναίνεσης αμφισβητείται από την ΕΕ και η συγκατάθεση χρησιμοποιείται ευρέως για να δικαιολογήσει τη διασυνοριακή μεταφορά προσωπικών δεδομένων. Ως εκ τούτου, οι οργανισμοί που έχουν ιστορικά προστατευθεί μέσω της συγκατάθεσης του χρήστη μπορεί να βρεθούν να χρειαστεί να επεξεργαστούν το πλαίσιο μεταφοράς δεδομένων τους ή να αντιμετωπίσουν υψηλές ποινές.

GDPR: Πως γίνεται η διατήρηση ασφαλών προσωπικών δεδομένων;

Το GDPR της ΕΕ απαιτεί από τις επιχειρήσεις να διατηρούν τα προσωπικά τους δεδομένα ασφαλή, όπως ακριβώς ορίζει και η ισχύουσα οδηγία. Παρόλο που η υποχρέωση αυτή εκφράζεται γενικά, παρέχει ορισμένες ενδείξεις σχετικά με τα μέτρα που αποσκοπούν στην προστασία προσωπικών δεδομένων, όπως:

1. κρυπτογράφηση και ψευδονυμοποίηση
2. την εξασφάλιση και διατήρηση της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ανθεκτικότητας των συστημάτων πληροφορικής
3. της δυνατότητα αποκατάστασης της διαθεσιμότητας και πρόσβασης σε δεδομένα προσωπικού χαρακτήρα εγκαίρως
4. βοηθώντας τακτικά και δοκιμάζοντας την αποτελεσματικότητα των μέτρων ασφαλείας που εφαρμόζονται για την προστασία των δεδομένων

Τα προαναφερθέντα μέτρα είναι απλά παραδείγματα – όχι υποχρεωτικά – και θα πρέπει να εφαρμόζονται μόνο “όπου ενδείκνυται”. Επομένως, είναι ευθύνη της εταιρείας να αποδείξει ότι τα μέτρα ασφαλείας είναι κατάλληλα.

Μια καλή πρακτική όσον αφορά τα μέτρα ασφαλείας θα ήταν το πρότυπο ISO 27001, έτσι οι εταιρείες θα μπορούσαν να το χρησιμοποιήσουν ως σημείο εκκίνησης κατά την οικοδόμηση των μέτρων προστασίας των δεδομένων τους.

GDPR: Ποια είναι διαφορά ανάμεσα στους Ελεγκτές έναντι των Επεξεργαστών;

Το GDPR της ΕΕ επιβάλλει επίσης νέες κυρώσεις στους μεταποιητές δεδομένων. Πρόκειται για μια μεγάλη απόκλιση από τους προηγούμενους νόμους περί προστασίας δεδομένων, όπου όλες οι υποχρεώσεις επικεντρώνονταν γύρω από τον υπεύθυνο επεξεργασίας δεδομένων.

Μεταξύ άλλων, οι επεξεργαστές δεδομένων πρέπει τώρα να τηρούν αρχεία δραστηριοτήτων επεξεργασίας.

Όπως και πριν, ένας επεξεργαστής δεδομένων είναι μια οντότητα (όπως ένα νομικό πρόσωπο, μια δημόσια αρχή, ένας οργανισμός ή οποιοσδήποτε άλλος φορέας) που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό ελεγκτή.

Νέα δικαιώματα για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα στο πλαίσιο του GDPR

Σε μια σημαντική επικαιροποίηση, το GDPR της ΕΕ εισήγαγε νέα δικαιώματα για τα υποκείμενα των δεδομένων. Αυτά είναι:

1. δικαιώματα πρόσβασης, διόρθωσης και φορητότητας
2. δικαίωμα να αντιταχθεί στην επεξεργασία των δεδομένων του
3. δικαιώματα διαγραφής και περιορισμού της επεξεργασίας
4. Το πιο υψηλό ζήτημα των αλλαγών είναι το ευρέως συζητημένο “Δικαίωμα στη Λήθη” (το οποίο τώρα αποκαλείται “δικαίωμα διαγραφής”). Αυτό το δικαίωμα διαγραφής μπορεί να ενεργοποιηθεί σε ορισμένες συγκεκριμένες καταστάσεις, ακόμη και όταν το υποκείμενο των δεδομένων αποσύρει τη συγκατάθεσή του ή εάν δεν υπάρχει πλέον καμία αιτιολόγηση για την επεξεργασία των προσωπικών δεδομένων. Ο υπεύθυνος επεξεργασίας πρέπει να ανταποκρίνεται “χωρίς αδικαιολόγητη καθυστέρηση” κατά τη λήψη αυτών των αιτήσεων και πρέπει να ειδοποιεί όλες τις οντότητες στις οποίες έχει κοινοποιήσει αυτά τα δεδομένα. Είναι σαφές ότι για όλα τα δικαιώματα των προσώπων δεδομένων υπάρχει αυστηρή απαίτηση για τους υπευθύνους επεξεργασίας δεδομένων να καταγράφουν και να χαρτογραφούν τα δεδομένα προσωπικού χαρακτήρα που κατέχονται προκειμένου να είναι σε θέση να ανταποκρίνονται στις αιτήσεις πρόσβασης των υποκειμένων των δεδομένων (σε όλες τις μορφές) “χωρίς αδικαιολόγητη καθυστέρηση”.

GDPR: Είναι απαραίτητος ο Υπεύθυνος Προστασίας Δεδομένων;

Σύμφωνα με το GDPR υπάρχει επίσης η υποχρέωση για ορισμένους οργανισμούς να διορίζουν έναν υπεύθυνο προστασίας δεδομένων, αν και μόνο σε συγκεκριμένες περιπτώσεις:

1. όταν ο υπεύθυνος επεξεργασίας δεδομένων ή ο μεταποιητής είναι δημόσια αρχή
2. όπου οι κύριες δραστηριότητες του υπεύθυνου επεξεργασίας δεδομένων ή του επεξεργαστή είναι η “τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα”
3. όπου ο υπεύθυνος επεξεργασίας ή ο υπεύθυνος επεξεργασίας διεξάγει μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (όπως εθνικότητα, φυλετική προέλευση, πολιτικές απόψεις, θρησκευτικές πεποιθήσεις κ.λπ.)

GDPR: Τι ισχύει σχετικά με τις Παραβιάσεις δεδομένων και την ασφάλεια;

Εκτός από την εισαγωγή νέων δικαιωμάτων για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, το GDPR της ΕΕ εισάγει επίσης νέους κανόνες για παραβιάσεις δεδομένων. Σε σύγκριση με την προηγούμενη οδηγία, το GDPR επιβάλλει υποχρεώσεις τόσο στους υπεύθυνους επεξεργασίας δεδομένων όσο και στους επεξεργαστές δεδομένων. Το GDPR προσφέρει επίσης καθοδήγηση και παραδείγματα για να διευκολύνει τους οργανισμούς να μετριάσουν τον κίνδυνο.

Μεταξύ αυτών είναι:

1. ψευδονοποίηση δεδομένων προσωπικού χαρακτήρα (δηλαδή επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο που δεν μπορεί πλέον να αποδοθεί σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση πρόσθετων πληροφοριών)
2. την ικανότητα να αποκαθιστά εγκαίρως τη διαθεσιμότητα (και την πρόσβαση) σε προσωπικά δεδομένα, ύστερα από φυσικά ή τεχνικά περιστατικά
3. την ικανότητα διασφάλισης της εμπιστευτικότητας, της ακεραιότητας και της ανθεκτικότητας των συστημάτων επεξεργασίας
4. την προσθήκη διαδικασιών για την εξασφάλιση τακτικού ελέγχου και αξιολόγησης τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας των επεξεργασμένων δεδομένων προσωπικού χαρακτήρα
5. Επιπλέον, οι οργανισμοί πρέπει τώρα να πληρούν τα πρότυπα όταν πρόκειται για παραβιάσεις κοινοποιήσεων. Σε γενικές γραμμές, οι οργανώσεις που έχουν υποστεί παραβίαση δεδομένων πρέπει να ενημερώσουν την εποπτική αρχή (ανεξάρτητη δημόσια αρχή που έχει συσταθεί από ένα κράτος μέλος σύμφωνα με το άρθρο 51 του GDPR) «χωρίς αδικαιολόγητη καθυστέρηση» εκτός εάν η παραβίαση δεν θέτει σε κίνδυνο τα υποκείμενα των δεδομένων. Εάν υπάρχει κίνδυνος για τα επηρεαζόμενα άτομα, οι οργανώσεις πρέπει επίσης να το γνωστοποιήσουν στα ενδιαφερόμενα πρόσωπα στα οποία αναφέρονται, και πάλι “χωρίς αδικαιολόγητη καθυστέρηση”.

GDPR: Τι πρόστιμα προβλέπονται;

Η κακή διαχείριση των παραβιάσεων δεδομένων θα τιμωρείται με την υψηλότερη βαθμίδα κυρώσεων βάσει του GDPR.

Ένας άλλος τρόπος για το Ευρωπαϊκό Κοινοβούλιο να επιβεβαιώσει τη δέσμευσή του για την προστασία της ιδιωτικής ζωής είναι οι νέες κυρώσεις, οι οποίες είναι σημαντικά υψηλότερες από ό, τι στην προηγούμενη οδηγία.

Οι κυρώσεις και τα πρόστιμα μπορούν τώρα να φθάσουν το 4% του συνολικού κύκλου εργασιών της εταιρείας που βρίσκεται σε παραβίαση.

Η λογική πίσω από τα τεράστια πρόστιμα που αφορούν την νομοθεσία είναι αρκετά απλή: οι υψηλότερες κυρώσεις για τη μη συμμόρφωση θεωρούνται ότι οδηγούν σε υψηλότερα επίπεδα συμμόρφωσης.

Θα γίνει όλο και πιο δύσκολο για τις επιχειρήσεις να αποδεχθούν απλώς ένα ορισμένο επίπεδο κινδύνου όταν χειρίζονται προσωπικά δεδομένα, επειδή οι ποινές είναι τώρα ιδιαίτερα υψηλές.

Οι κυρώσεις στο πλαίσιο του GDPR θα εμπίπτουν σε δύο κατηγορίες όσον αφορά το ύψος του προστίμου:

1. Μέχρι 2% του ετήσιου παγκόσμιου κύκλου εργασιών ή 10 εκατ. Ευρώ, όποιο είναι υψηλότερο, για παραβάσεις σε περιπτώσεις όπου:
   1. Υπάρχει αδυναμία αναφοράς παραβίασης δεδομένων
   2. Υπάρχει παραβίαση της αρχής του απορρήτου βάσει του σχεδιασμού, όπως ορίζεται στο άρθρο 25 του GDPR
   3. Υπάρχει αδυναμία διορισμού αντιπροσώπου (όταν η οντότητα είναι εγκατεστημένη εκτός της ΕΕ)
   4. Υπαρχει αδυναμία λήψης συγκατάθεσης κατά την επεξεργασία των δεδομένων παιδιών
   5. Υπάρχει αδυναμία θέσπισης κατάλληλων ρητρών προστασίας δεδομένων στις συμβάσεις με τους μεταποιητές
   6. Υπάρχει αδυναμία ορισμού υπέυθυνου προστασίας δεδομένων
   7. Υπάρχει αδυναμία διατήρησης γραπτών αρχείων
2. Μέχρι 4% του ετήσιου παγκόσμιου κύκλου εργασιών ή 20 εκατ. Ευρώ, όποιο είναι υψηλότερο, για πιο σοβαρά αδικήματα όπως:
   1. τη μη συμμόρφωση με τις αρχές της νόμιμης επεξεργασίας δεδομένων όπως ορίζονται στο GDPR
   2. τη μη τήρηση των διατάξεων σχετικά με τις μεταφορές δεδομένων προσωπικού χαρακτήρα εκτός της ΕΕ
   3. τη μη συμμόρφωση με τα δικαιώματα των υποκειμένων των δεδομένων

Τα νέα σύνολα κυρώσεων συμπληρώνονται επίσης από πρόσθετες εξουσίες που είναι εύκολα προσπελάσιμες από τις εποπτικές αρχές προστασίας δεδομένων, όπως η έκδοση προειδοποιήσεων για μη συμμόρφωση, η διενέργεια ελέγχων, η απαιτούμενη ειδική αποκατάσταση εντός συγκεκριμένου χρονικού πλαισίου, η παραγγελία διαγραφής δεδομένων και αναστολή της μεταφοράς δεδομένων σε τρίτη χώρα.

Ο αντίκτυπος του GDPR ενδέχεται να είναι ελαφρώς διαφορετικός για τους οργανισμούς που λειτουργούν σε χώρες όπως η Γερμανία, η Γαλλία ή οι Κάτω Χώρες, όπου η νομοθεσία για την προστασία των δεδομένων είναι ιστορικά αυστηρή και, σε ορισμένες περιπτώσεις, ξεπερνούν ακόμη και την υπάρχουσα οδηγία. Η συμμόρφωση με το GDPR θα επιτευχθεί ευκολότερα από εταιρείες που δραστηριοποιούνται σε αυτούς τους τομείς, καθώς οι αρχές εποπτείας στις χώρες αυτές έχουν ήδη επιδείξει επιμέλεια για να προστατεύσουν τα δικαιώματα και τις ελευθερίες του ατόμου.

Ωστόσο, για άλλες χώρες όπως η Ελλάδα όπου οι αρχές προστασίας δεδομένων “έμειναν αδρανείς” λόγω έλλειψης διοικητικών εξουσιών και σχεδόν αμελητέων προστίμων, οι οργανώσεις αγνοούσαν τους κινδύνους για τα δικαιώματα και τις ελευθερίες των ατόμων, γνωρίζοντας ότι οι εποπτικές αρχές δεν διέθεταν τους πόρους ή τη δύναμη να επιβάλλουν κυρώσεις στους παραβάτες.

Συγκεκριμένα, οι επεξεργαστές θα επηρεαστούν σε αυτές τις δικαιοδοσίες, διότι μέχρι στιγμής δεν αποτέλεσαν ποτέ στόχο των ερευνών των αρχών προστασίας δεδομένων.

Μπορείτε να κατεβάσετε το πλήρες κείμενο για τον Κανονισμό GDPR εδώ: GDPR Regulation - ST-5419-2016 (EL) (2148 downloads)