GDPR – ΝΟΜΙΚΟ ΠΛΑΙΣΙΟ

Τι είναι ο GDPR;

Ο GDPR -General Data Protection Regulation, (στα Ελληνικά Γενικός Κανονισμός Προστασίας Δεδομένων), είναι ο Ευρωπαϊκός Κανονισμός 2016/679, που ψηφίστηκε  στις 27/04/2016 και τίθεται σε υποχρεωτική εφαρμογή για όλα τα Κράτη – Μέλη της Ευρωπαϊκής Ένωσης στις 25/05/2018, διαμορφώνοντας ένα ενιαίο νομικό πλαίσιο, χωρίς την ανάγκη ψήφισης εθνικής νομοθεσίας, καταργώντας την υφιστάμενη νομοθεσία. Ο νέος κανονισμός αυξάνει σημαντικά τις υποχρεώσεις των επιχειρήσεων, ενώ σε περίπτωση μη συμμόρφωσης μίας επιχείρησης με τον κανονισμό προβλέπονται υπέρογκα πρόστιμα.

Ποιες επιχειρήσεις αφορά;

Ο GDPR αφορά όλες τις ιδιωτικές και δημόσιες επιχειρήσεις, καθώς και τις κρατικές αρχές που με οποιονδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών ή άλλων φυσικών προσώπων. Ως εκ τούτου αφορά πρακτικά όλες τις επιχειρήσεις, εντός και εκτός Ευρωπαϊκής Ένωσης, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες.

Ποιες είναι οι υποχρεώσεις των επιχειρήσεων;

Οι επιχειρήσεις πλέον καλούνται να ασχοληθούν και επίσημα με την προστασία των προσωπικών δεδομένων που διαχειρίζονται, ακολουθώντας συγκεκριμένες διαδικασίες ασφαλείας. Μερικές από τις υποχρεώσεις που προβλέπονται για τις επιχειρήσεις είναι:  Nα συλλέγουν προσωπικά δεδομένα για συγκεκριμένο σκοπό και με συγκεκριμένο τρόπο, χωρίς να τα υποβάλλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό τους, να τα επικαιροποιούν, να τα αποθηκεύουν για το ελάχιστο χρονικό διάστημα που απαιτείται και  να λαμβάνουν τη συγκατάθεση των φυσικών προσώπων. Επιπλέον, κάθε επιχείρηση οφείλει να αναπτύξει ηλεκτρονικά εργαλεία που να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων και να τηρεί αρχείο και να γνωστοποιεί κάθε παράβαση εντός συγκεκριμένης προθεσμίας. Κάθε επιχείρηση είναι υποχρεωμένη να μπορεί να αποδείξει εγγράφως ότι τηρεί όλες τις απαιτήσεις που ορίζονται από τον GDPR.

Για να είναι «συμβατές» με τις απαιτήσεις του GDPR οι επιχειρήσεις πρέπει:

  • Να λαμβάνουν όλα τα απαιτούμενα τεχνικά και οργανωτικά μέτρα που αναφέρονται σε κώδικες δεοντολογίας και διεθνή πρότυπα.
  • Να δημιουργούν και να επικαιροποιούν μητρώο επεξεργασίας.
  • Να διενεργούν μελέτη εκτίμησης των επιπτώσεων, στην οποία θα αξιολογούν τους κινδύνους για τα προσωπικά δεδομένα που διαχειρίζονται.
  • Να αναπτύξουν πολιτικές και διαδικασίες προστασίας και ασφάλειας των προσωπικών δεδομένων.
  • Να ορίσουν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer).

 

Ποιες ποινές προβλέπονται;

Σε περίπτωση παράβασης προβλέπονται υπέρογκα πρόστιμα, τα οποία ανάλογα με το μέγεθος και το είδος της παράβασης, μπορούν να φτάσουν έως τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών.

Τι συνιστά προσωπικά δεδομένα;

Οποιαδήποτε πληροφορία αφορά φυσικό πρόσωπο, που μπορεί να χρησιμοποιηθεί για την άμεση ή έμμεση ταυτοποίηση του ατόμου συνιστά προσωπικό δεδομένο. Μπορεί να είναι οτιδήποτε, από το όνομα, τη φωτογραφία, τη διεύθυνση ηλεκτρονικού ταχυδρομείου και τα τραπεζικά στοιχεία ενός φυσικού προσώπου, μέχρι  τις  αναρτήσεις σε μέσα κοινωνικής δικτύωσης,  τις ιατρικές πληροφορίες ή τη διεύθυνση IP υπολογιστή.

Παρακάτω παρατίθενται ενδεικτικά στοιχεία που αποτελούν προσωπικά δεδομένα:

Στοιχεία Ταυτότητας Φυσικού Προσώπου:

  • Όνομα
  • Διεύθυνση σπιτιού
  • Διεύθυνση εργασίας
  • Αριθμός τηλεφώνου
  • Αριθμός κινητού
  • Διεύθυνση ηλεκτρονικού ταχυδρομείου
  • Αριθμός διαβατηρίου
  • Εθνική ταυτότητα
  • Αριθμός κοινωνικής ασφάλισης (ή ισοδύναμο)
  • Άδεια οδήγησης
  • Φυσικές, φυσιολογικές ή γενετικές πληροφορίες
  • Ιατρικές πληροφορίες
  • Πολιτιστική ταυτότητα

Χρηματο-οικονομικά Στοιχεία:

  • Στοιχεία τραπεζών / αριθμοί λογαριασμού
  • Αριθμός φορολογικού αρχείου
  • Αριθμοί πιστωτικών / χρεωστικών καρτών
  • Δημοσιεύσεις σε κοινωνικά δίκτυα / μέσα

Ηλεκτρονικά Μέσα:

  • Διεύθυνση IP (περιοχή της ΕΕ)
  • Θέση / δεδομένα GPS
  • Cookies

Το γραφείο μας διαθέτει σημαντική εμπειρία σε θέματα που αφορούν στην προστασία των προσωπικών δεδομένων και παρέχει πλήρη κάλυψη σε θέματα που σχετίζονται με τη διαδικασία τήρησης και συμμόρφωσης μίας επιχείρησης  με τον GDPR. Μη διστάσετε να επικοινωνήσετε μαζί μας για να ενημερωθείτε σχετικά.