Ο ΚΑΝΟΝΙΣΜΟΣ

O γενικός κανονισμός για την προστασία των δεδομένων προσωπικού χαρακτήρα.

Ο γενικός κανονισμός (EΕ) 2016/679 για την προστασία των δεδομένων προσωπικού χαρακτήρα στοχεύει στη ρύθμιση της προστασίας των προσωπικών δεδομένων των πολιτών της ΕΕ και στη δημιουργία ενός συγκεκριμένου πλαισίου για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων από τις δημόσιες αρχές και τις εταιρείες. Αυτό σημαίνει ότι όχι μόνο ενδυναμώνει και ενοποιεί το καθεστώς προστασίας δεδομένων για φυσικά πρόσωπα στην ΕΕ, αλλά καθορίζει επίσης αυστηρές προϋποθέσεις για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες (εκτός του Ευρωπαϊκού Οικονομικού Χώρου, δηλαδή εκτός των 28 χωρών της Ευρωπαϊκής Ένωσης και της Νορβηγίας, της Ισλανδίας και του Λιχτενστάιν).

Οι οργανισμοί, τόσο οι δημόσιοι όσο και οι ιδιωτικοί, που λειτουργούν εντός της ΕΕ ή που επεξεργάζονται τα δεδομένα των πολιτών της ΕΕ οφείλουν να προσαρμοστούν σε αυτή τη νέα πραγματικότητα και να διασφαλίσουν ότι οι πράξεις τους είναι σύμφωνες με τις απαιτήσεις του νέου κανονισμού. Η ουσιαστική αξία του γενικού κανονισμού έγκειται στο ότι μετατοπίζει την εξουσία επί των προσωπικών δεδομένων από τα χέρια των οργανισμών, στα ίδια τα φυσικά πρόσωπα. Η μη συμμόρφωση μπορεί να είναι ένα δαπανηρό λάθος για όλους τους τύπους επιχειρήσεων, από τις μεγάλες πολυεθνικές έως τις πολύ μικρές επιχειρήσεις. Οι πιο σοβαρές παραβάσεις μπορούν να οδηγήσουν σε πρόστιμο ύψους έως 20 εκατομμύρια ευρώ ή 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. Αυτό υπογραμμίζει το γεγονός ότι οι εταιρείες δεν πρέπει να αντιμετωπίσουν τον γενικό κανονισμό ως ένα ακόμα νόμο με τον οποίο πρέπει να συμμορφωθούν τυπικά και μετά να τον προσπεράσουν. Αντιθέτως, πρέπει να θέσουν ως προτεραιότητα την καλλιέργεια μιας κουλτούρας για την προστασία της ιδιωτικής ζωής στο επιχειρηματικό τους περιβάλλον και την ενσωμάτωση της προστασίας των δεδομένων σε όλες τις πτυχές της καθημερινής τους λειτουργίας, πρωτίστως ως νοοτροπία και δευτερευόντως ως νομιμότητα/μέτρο συμμόρφωσης.

ΣΥΧΝΕΣ ΕΡΩΤΗΣΕΙΣ

  1. Ποιους επηρεάζει ο GDPR?

Ο GDPR εφαρμόζεται σε όλες τις εταιρείες που βρίσκονται εγκατεστημένες στην Ευρωπαϊκή Ένωση καθώς και στις εταιρείες που οι δραστηριότητές τους σχετίζονται με την προσφορά αγαθών και υπηρεσιών σε υποκείμενα που διαμένουν στην Ευρωπαϊκή Ένωση ή την παρακολούθηση αυτών των υποκειμένων, χωρίς να παίζει ρόλο αν οι εταιρείες αυτές είναι εγκατεστημένες εντός Ευρωπαϊκής Ένωσης ή σε τρίτο κράτος.

 

  1. Ποιες είναι οι κυρώσεις για την μη συμμόρφωση με τον GDPR?

Το πρόστιμο που δύναται να επιβληθεί σε μία επιχείρηση που παραβιάζει τις υποχρεώσεις του GDPR ενδέχεται να φτάσει το 4% του ετήσιου παγκόσμιου κύκλου εργασιών της επιχείρησης, ή 20 εκατομμύρια ευρώ ανάλογα με το ποιο είναι υψηλότερο! Πρόκειται για το μέγιστο πρόστιμο που μπορεί να επιβληθεί για τις πιο σοβαρές παραβάσεις [π.χ. αδυναμία εξασφάλισης της συναίνεσης του πελάτη για επεξεργασία δεδομένων με σύννομο τρόπο ή διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα χωρίς την τήρηση των κατάλληλων εγγυήσεων που προβλέπονται από τον κανονισμό]. Ωστόσο υπάρχει κλιμάκωση στα απειλούμενα πρόστιμα. Για παράδειγμα, μια επιχείρηση μπορεί να απειληθεί με πρόστιμο που ανέρχεται στο 2% του ετήσιου παγκόσμιου κύκλου εργασιών της, σε περιπτώσεις, μεταξύ άλλων, μη νόμιμης τήρησης των αρχείων της, μη υιοθέτησης κατάλληλων τεχνικών και οργανωτικών μέτρων, μη ορισμού υπεύθυνου προστασίας δεδομένων όταν είναι απαραίτητο.

 

  1. Ποιοι απειλούνται με πρόστιμα σε περίπτωση παραβίασης ?

Διοικητικά πρόστιμα μπορεί να επιβληθούν τόσο στον υπεύθυνο επεξεργασίας όσο και στον εκτελούντα την επεξεργασία που μπορεί να είναι φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας. 

 

  1. Ποια είναι η διαφορά μεταξύ υπεύθυνου επεξεργασίας και εκτελούντος?

Υπεύθυνος επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας που καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας των προσωπικών δεδομένων, ενώ ο εκτελών την επεξεργασία είναι το φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας.

 

  1. Πρέπει η επιχείρησή μου να διορίσει έναν Υπεύθυνο Προστασίας Δεδομένων (DPO)?

Μια επιχείρηση ή ένας οργανισμός υποχρεούται να διορίσει έναν Υπεύθυνο Προστασίας Δεδομένων (DPO) όταν:

  • H επεξεργασία δεδομένων πραγματοποιείται από δημόσιες αρχές
  • Mια επιχείρηση ασκεί τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
  • Mία επιχείρηση ασχολείται ευρέως με την επεξεργασία ευαίσθητων προσωπικών δεδομένων.

 

  1. Τι τυπικά προσόντα πρέπει να πληροί ο Υπεύθυνος Προστασίας Δεδομένων ?

Εάν και ο κανονισμός δεν αναφέρεται σε συγκεκριμένα επαγγελματικά προσόντα που πρέπει να πληροί ο Υπεύθυνος Προστασίας Δεδομένων πέραν της εμπειρογνωσίας και της ικανότητας του για εκπλήρωση των καθηκόντων του, εντούτοις προκειμένου να εκπληρώσει αποτελεσματικά τα καθήκοντά του ενδείκνυται  να διαθέτει τα εξής χαρακτηριστικά:

  • Εμπειρογνωσία του δικαίου και των πρακτικών περί προστασίας δεδομένων, τόσο σε εθνικό όσο και ευρωπαϊκό επίπεδο
  • Άριστη γνώση του GDPR
  • Χρήσιμη θεωρείται δε η γνώση του τομέα δραστηριότητας καθώς και του οργανισμού του υπευθύνου επεξεργασίας στον οποίο θα απασχοληθεί
  • Καλή γνώση των πράξεων επεξεργασίας που διενεργούνται, καθώς και των συστημάτων πληροφορικής, και των αναγκών του υπευθύνου επεξεργασίας σε επίπεδο ασφάλειας και προστασίας των δεδομένων
  • Ειδικά στην περίπτωση δημόσιας αρχής ή δημόσιου φορέα, ο υπεύθυνος προστασίας δεδομένων θα πρέπει να έχει επιπλέον καλή γνώση των διοικητικών κανόνων και διαδικασιών του οργανισμού

 

  1. Έγινε μια παραβίαση δεδομένων στην επιχείρησή μου. Τι πρέπει να κάνω?

Σε περίπτωση που συμβεί μια παραβίαση προσωπικών δεδομένων, η επιχείρηση πρέπει να προβεί άμεσα σε αξιολόγηση των κατωτέρω:

  • Ανάλυση και ταξινόμηση συμβάντος και εκτίμηση συνεπειών του
  • Αξιολόγηση ανάγκης κοινοποίησης της παραβίασης στην Εποπτική Αρχή και στα Υποκείμενα των Δεδομένων ανάλογα με τον κίνδυνο που παρουσιάζει το περιστατικό για τα δικαιώματα και τις ελευθερίες των υποκειμένων
  • Άμεση λήψη μέτρων για την αποκατάσταση της κανονικής λειτουργίας της εταιρείας/οργανισμού
  • Καταγραφή του συμβάντος στο μητρώο καταγραφής περιστατικών Παραβίασης Δεδομένων Προσωπικού Χαρακτήρα
  • Ανάπτυξη και εφαρμογή νέων μέτρων για να μην επαναληφθεί παρόμοιο περιστατικό

 

  1. Ποια είναι οι βασικές υποχρεώσεις που πρέπει να τηρεί μια επιχείρηση για να διασφαλίσει την συμμόρφωσή της με τον GDPR?

Οι εταιρείες πρέπει να πληρούν τις εξής υποχρεώσεις:

  • Να επεξεργάζονται νόμιμα, δίκαια και με διαφάνεια τα προσωπικά δεδομένα των πελατών τους
  • Να συλλέγουν προσωπικά δεδομένα μόνο για καθορισμένους, σαφείς και νόμιμους σκοπούς
  • Η επεξεργασία των δεδομένων πρέπει να είναι περιορισμένη στους σκοπούς για τους οποίους συνελέγησαν και υποβάλλονται σε επεξεργασία
  • Η επεξεργασία πρέπει να διενεργείται με ακρίβεια
  • Η διενέργεια της επεξεργασίας δεν πρέπει να επεκτείνεται πέραν του αναγκαίου διαστήματος .
  • Η επεξεργασία γίνεται κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων και την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία, απώλεια, καταστροφή ή φθορά.

 

  1. Τι ισχύει εν όψει του Brexit?

Tο Ηνωμένο Βασίλειο, με την υιοθέτηση της νομοθετικής πράξης του 2018 περί προστασίας των προσωπικών δεδομένων (Data Protection Act 2018) εναρμόνισε την εσωτερική εθνική νομοθεσία με τον γενικό κανονισμό εξειδικεύοντας και συμπληρώνοντας τα κενά που έχει αφήσει ο κανονισμός. Το γεγονός αυτό, είναι δηλωτικό της πρόθεσης του Ηνωμένου Βασιλείου να παραμείνει εναρμονισμένο με το αυστηρό πλαίσιο της ευρωπαϊκής νομοθεσίας. Μετά το Brexit, αυτομάτως το Ηνωμένο Βασίλειο θα αποτελεί «τρίτη χώρα» σύμφωνα με τον κανονισμό και θα πρέπει να ληφθεί απόφαση από την Ευρωπαϊκή Επιτροπή για ένταξη του στην λίστα με τις χώρες που παρέχουν επάρκεια προστασίας προσωπικών δεδομένων.

Ήδη η κυβέρνηση του Ηνωμένου Βασιλείου κατέστησε σαφές ότι θα επιδιώξει συμφωνία επάρκειας η οποία θα εξασφαλίσει την ομαλή ροή δεδομένων μεταξύ των χωρών του EOX και του Ηνωμένου Βασιλείου χωρίς την ανάγκη λήψης πρόσθετων μέτρων. Ωστόσο, αυτή η συμφωνία θα συναφθεί και θα εφαρμοστεί μόνο μετά την αποχώρηση του Ηνωμένου Βασιλείου από την Ευρωπαϊκή Ένωση.

 

GAGDPR

Λεωφόρος Δημοκρατίας 4 - 6
Νέο Ψυχικό - Αττική
ΤΚ 15451

Τηλ. 210 6747361 εσωτ.210
Fax. 210 6747347
[email protected]

   

Επικοινωνήστε μαζί μας

Δεσμευόμαστε να βρούμε τη κατάλληλη λύση για εσάς.

Συμπληρώστε τη πιο κάτω φόρμα επικοινωνίας και θα επικοινωνήσουμε μαζί σας το συντομότερο.

captcha