Παρακάτω θα γίνει μια εκτενής αναφορά για το τι είναι το GDPR General Data Protection Regulation (GDPR). Ο γενικός κανονισμός για την προστασία των δεδομένων της ΕΕ (GDPR) είναι αποτέλεσμα εργασίας τεσσάρων ετών της ΕΕ για την προσαρμογή της νομοθεσίας για την προστασία των δεδομένων σε νέους, παλαιότερους απρόβλεπτους τρόπους με τους οποίους χρησιμοποιούνται τα δεδομένα.
Τι είναι το GDPR;
Για παράδειγμα, το Ηνωμένο Βασίλειο βασίζεται στον νόμο περί προστασίας δεδομένων του 1998, ο οποίος εκδόθηκε μετά την οδηγία του 1995 για την προστασία των δεδομένων της ΕΕ, αλλά αυτό θα αντικατασταθεί από τη νέα νομοθεσία. Ο νόμος αυτός εισάγει αυστηρότερα πρόστιμα για τη μη συμμόρφωση και τις παραβιάσεις και δίνει στους καταναλωτές-χρήστες κανόνες για το τι μπορούν να κάνουν οι εταιρείες με τα δεδομένα τους. Επίσης, καθιστά τους κανόνες προστασίας δεδομένων ώστε να είναι πανομοιότυποι σε ολόκληρη την ΕΕ.
Γιατί συντάχθηκε το GDPR;
Ακόμα πολλοί χρήστες και εταιρείς αναρωτιούνται για το τι είναι το GDPR. Ας δούμε τις δύο βασικές οδηγίες πίσω από το GDPR. Πρώτον, η ΕΕ θέλει να δώσει στους ανθρώπους μεγαλύτερο έλεγχο στον τρόπο με τον οποίο χρησιμοποιούνται τα προσωπικά τους δεδομένα, έχοντας κατά νου ότι πολλές εταιρείες όπως το Facebook και το Google ανταλλάσσουν πρόσβαση στα δεδομένα των ανθρώπων για τη χρήση των υπηρεσιών τους. Η ισχύουσα νομοθεσία τέθηκε σε ισχύ πριν από το διαδίκτυο και η τεχνολογία Cloud δημιούργησε νέους τρόπους εκμετάλλευσης των δεδομένων και το GDPR επιδιώκει να το αντιμετωπίσει. Με την ενίσχυση της νομοθεσίας για την προστασία των δεδομένων και την εισαγωγή αυστηρότερων μέτρων επιβολής, η ΕΕ ελπίζει να βελτιώσει την εμπιστοσύνη στην αναδυόμενη ψηφιακή οικονομία.
Παραγγείλτε Online την επικυρωμένη μετάφραση των εγγράφων σας. Βρείτε μεταφραστικές υπηρεσίες σε περισσότερες από 40 γλώσσες. Ανεβάστε ή επικολλήστε το κείμενο σας κ' ένας επαγγελματίας μεταφραστής θα ξεκινήσει άμεσα την μετάφραση. Online κοστολόγηση μετάφρασης
Δεύτερον, η ΕΕ θέλει να δώσει στις επιχειρήσεις ένα απλούστερο και σαφέστερο νομικό περιβάλλον για να λειτουργούν, καθιστώντας το νόμο για την προστασία των δεδομένων πανομοιότυπο σε όλη την ενιαία αγορά (εκτιμάται από την ΕΕ ότι αυτό θα διασώσει για τις επιχειρήσεις συλλογικώς 2,3 δισ. Ευρώ ετησίως).
Στις εταιρείες θα μπορούν να επιβληθούν μεγάλα πρόστιμα σύμφωνα με τους κανονισμούς GDPR εάν δεν παρέχουν επαρκή ασφάλεια πληροφόρησης για την προστασία των προσωπικών δεδομένων.
Η εταιρεία σας ή ο οργανισμός σας έχει συμμορφωθεί με τους νέους κανόνες προστασίας δεδομένων;
Πότε θα ισχύσει το GDPR;
Το GDPR θα εφαρμοστεί σε όλα τα κράτη μέλη της ΕΕ από τις 25 Μαΐου 2018. Επειδή το GDPR είναι ένας κανονισμός και όχι μια οδηγία, το Ηνωμένο Βασίλειο δεν χρειάζεται να καταρτίσει νέα νομοθεσία – αντ ‘αυτού θα εφαρμοστεί αυτόματα. Ενώ τέθηκε σε ισχύ στις 24 Μαΐου 2016, αφού όλα τα μέρη της ΕΕ συμφώνησαν με το τελικό κείμενο, οι επιχειρήσεις και οι οργανώσεις έχουν μέχρι τις 25 Μαΐου 2018 μέχρι να εφαρμοστεί στην πράξη ο νόμος.
Ενώ η συντριπτική πλειοψηφία των επαγγελματιών στον τομέα της πληροφορικής έχει επίγνωση του GDPR, μόλις οι μισοί από αυτούς προετοιμάζονται για την άφιξή του, σύμφωνα με την έρευνα του προσωπικού ασφαλείας του κυβερνοχώρου από την Imperva.
Μόνο το 43% αξιολογεί τον αντίκτυπο του GDPR στην επιχείρησή τους και αλλάζει τις πρακτικές τους για να παραμείνει σε βήμα με τη νομοθεσία προστασίας δεδομένων, ανέφερε ο Imperva. Ενώ οι ερωτώμενοι βασίζονταν κυρίως στις Η.Π.Α., θα εξακολουθούσαν να πλήττονται από το GDPR εάν χειρίζονται – ή συμβάλλουν σε άλλη εταιρεία που θα χειρίζεται – τα προσωπικά δεδομένα των πολιτών της ΕΕ.
Παρόλα αυτά, σχεδόν το ένα τρίτο δήλωσε ότι δεν προετοιμάζεται για την εισερχόμενη νομοθεσία και το 28% δήλωσε ότι αγνοούν τις προετοιμασίες που μπορεί να κάνει η εταιρεία τους.
Για ποιόν λοιπόν ισχύει το GDPR;
Οι «ελεγκτές» και οι «επεξεργαστές» δεδομένων πρέπει να συμμορφώνονται με το GDPR. Ένας υπεύθυνος επεξεργασίας δεδομένων δηλώνει τον επεξεργασίας των προσωπικών δεδομένων, ενώ ένας επεξεργαστής είναι ο συμβαλλόμενος που κάνει την πραγματική επεξεργασία των δεδομένων. Επομένως, ο ελεγκτής θα μπορούσε να είναι οποιοσδήποτε οργανισμός, από μια εταιρεία που αναζητά κέρδος ή μια φιλανθρωπική οργάνωση ή μια κυβέρνηση κ.α. Ένας επεξεργαστής μπορεί να είναι μια εταιρεία πληροφορικής που κάνει την πραγματική επεξεργασία δεδομένων.
Ακόμη και αν οι ελεγκτές ή επεξεργαστές εδρεύουν εκτός της ΕΕ, το GDPR θα εξακολουθήσει να ισχύει για αυτούς, εφόσον ασχολούνται με δεδομένα που ανήκουν σε κατοίκους της ΕΕ.
Είναι ευθύνη του υπεύθυνου επεξεργασίας των δεδομένων να διασφαλίζει ότι ο επεξεργαστής τηρεί τους νόμους περί προστασίας των δεδομένων και ότι πρέπει να τηρεί τους κανόνες για τη διατήρηση των στοιχείων των δραστηριοτήτων επεξεργασίας τους. Εάν οι επεξεργαστές εμπλέκονται σε παραβίαση δεδομένων, είναι πολύ πιο υπεύθυνοι βάσει του GDPR από ό, τι βάσει του νόμου περί προστασίας δεδομένων.
Πότε μπορώ να επεξεργαστώ δεδομένα βάσει του GDPR;
Μόλις τεθεί σε ισχύ η νομοθεσία, οι υπεύθυνοι επεξεργασίας πρέπει να διασφαλίσουν ότι τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε νόμιμη επεξεργασία, με διαφάνεια και για συγκεκριμένο σκοπό. Μόλις εκπληρωθεί αυτός ο σκοπός και τα δεδομένα δεν απαιτούνται πλέον, πρέπει να διαγράφονται.
Ποιο είναι το Νόμιμο;
Το “νόμιμο” έχει ένα φάσμα εναλλακτικών εννοιών, που δεν ισχύουν όλες πάντα. Πρώτον, θα μπορούσε να είναι νόμιμο εάν ο χρήστης έχει συναινέσει στην επεξεργασία των δεδομένων του. Εναλλακτικά, η νομιμότητα μπορεί να σημαίνει συμμόρφωση με συμβατική ή νομική υποχρέωση να προστατεύσει ένα συμφέρον που είναι «ουσιαστικό για τη ζωή» του χρήστη π.χ εάν η επεξεργασία των δεδομένων είναι προς το δημόσιο συμφέρον ή αν το πράττει αυτό είναι στο νόμιμο συμφέρον του υπευθύνου της επεξεργασίας – όπως η πρόληψη της απάτης κτλ
Τουλάχιστον μία από αυτές τις αιτιολογήσεις πρέπει να ισχύει για την επεξεργασία των δεδομένων.
Πώς μπορώ να λάβω συγκατάθεση βάσει του GDPR;
Η συγκατάθεση πρέπει να είναι μια ενεργή, θετική ενέργεια από τον χρήστη. Οι ελεγκτές πρέπει να τηρούν αρχείο για το πώς και πότε ένα άτομο έδωσε τη συγκατάθεσή του και το άτομο αυτό μπορεί να αποσύρει τη συγκατάθεσή του όποτε το επιθυμεί. Εάν το τρέχον μοντέλο απόκτησης συγκατάθεσης δεν πληροί αυτούς τους νέους κανόνες, θα πρέπει να επαναφέρεται στο μηδέν.
Τι μετράει ως προσωπικό δεδομένο στο GDPR;
Η ΕΕ έχει διευρύνει σημαντικά τον ορισμό των προσωπικών δεδομένων στο πλαίσιο του GDPR. Για να αντικατοπτρίζουν τους τύπους των δεδομένων που συλλέγονται τώρα για τους ανθρώπους, όπως οι διευθύνσεις IP, χαρακτηρίζονται τώρα ως προσωπικά δεδομένα. Άλλα δεδομένα, όπως πληροφορίες οικονομικής, πολιτιστικής ή ψυχικής υγείας, θεωρούνται επίσης προσωπικά δεδομένα.
Τα ψευδώνυμα σαν προσωπικά δεδομένα μπορούν επίσης να υπόκεινται στους κανόνες του GDPR, ανάλογα με το πόσο εύκολο ή δύσκολο είναι να προσδιορίσετε ποια δεδομένα είναι.
Οτιδήποτε θεωρείται ως προσωπικό δεδομένο σύμφωνα με τον νόμο περί προστασίας δεδομένων θεωρείται επίσης ως προσωπικό δεδομένο βάσει του GDPR.
Πότε μπορούν οι χρήστες να έχουν πρόσβαση στα δεδομένα που αποθηκεύουμε σε αυτά;
Οι άνθρωποι μπορούν να ζητήσουν πρόσβαση σε “εύλογα χρονικά διαστήματα” και οι ελεγκτές πρέπει γενικά να απαντήσουν μέσα σε ένα μήνα. Το GDPR απαιτεί ότι οι ελεγκτές και οι επεξεργαστές πρέπει να είναι ξεκάθαροι σχετικά με τον τρόπο συλλογής των δεδομένων, τι κάνουν με αυτό και πώς επεξεργάζονται και πρέπει να είναι σαφείς (χρησιμοποιώντας απλή γλώσσα) για να εξηγούν αυτά τα πράγματα στους ανθρώπους.
Οι χρήστες έχουν το δικαίωμα να έχουν πρόσβαση σε οποιαδήποτε πληροφορία που κατέχει μια εταιρεία σε αυτά, καθώς και το δικαίωμα να γνωρίζουν γιατί τα δεδομένα αυτά υποβάλλονται σε επεξεργασία, πόσο καιρό αποθηκεύονται και ποιος τα βλέπει. Όπου είναι δυνατόν, οι υπεύθυνοι επεξεργασίας δεδομένων θα πρέπει να παρέχουν ασφαλή και άμεση πρόσβαση στους χρήστες, προκειμένου να εξετάσουν ποιες πληροφορίες αποθηκεύει ένας ελεγκτής γι ‘αυτούς.
Μπορούν επίσης να ζητήσουν να διορθωθούν αυτά τα δεδομένα, αν είναι λανθασμένα ή ελλιπή, όποτε το επιθυμούν.
Οι χρήστε έχουν επίσης το δικαίωμα να απαιτούν τη διαγραφή των δεδομένων τους, εφόσον δεν είναι πλέον απαραίτητα για το σκοπό για τον οποίο συλλέχθηκαν. Αυτό είναι γνωστό ως το «δικαίωμα διαγραφής». Σύμφωνα με αυτόν τον κανόνα, μπορούν επίσης να ζητήσουν τη διαγραφή των δεδομένων τους, εάν αποσύρουν τη συγκατάθεσή τους για τη συλλογή των δεδομένων τους ή αντιτίθενται στον τρόπο με τον οποίο υποβάλλονται σε επεξεργασία.
Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για να ενημερώνει άλλες οργανώσεις (για παράδειγμα, την Google) για τη διαγραφή οποιωνδήποτε συνδέσμων σε αντίγραφα αυτών των δεδομένων, καθώς και για τα ίδια τα αντίγραφα.
Τι γίνεται αν θέλουν να μεταφέρουν τα δεδομένα τους αλλού;
Οι ελεγκτές πρέπει τώρα να αποθηκεύουν τις πληροφορίες των χρηστών σε μορφές που χρησιμοποιούνται συνήθως (για παράδειγμα αρχεία CSV), έτσι ώστε να μπορούν να μεταφέρουν δεδομένα ενός ατόμου σε άλλον οργανισμό (δωρεάν) αν το ζητήσει ο χρήστης. Οι ελεγκτές πρέπει να το πράξουν μέσα σε ένα μήνα.
Τι γίνεται εάν δεχτούμε παραβίαση δεδομένων;
Είναι δική σας ευθύνη να ενημερώσετε την αρχή προστασίας δεδομένων σχετικά με τυχόν παραβίαση δεδομένων που διακινδυνεύει τα δικαιώματα και τις ελευθερίες των ανθρώπων μέσα σε 72 ώρες από την στιγμή που ο οργανισμός σας θα έχει επίγνωση αυτού.
Αυτή η προθεσμία είναι αρκετά μικρή που σημαίνει ότι ίσως να μήν γνωρίζει ο χρήστης την κάθε λεπτομέρεια μιας παραβίασης μετά την ανακάλυψή της. Ωστόσο, η αρχική σας επαφή με την αρχή προστασίας δεδομένων σας θα πρέπει να περιγράφει τη φύση των δεδομένων που επηρεάζονται, τον αριθμό των ανθρώπων που επηρεάζονται, τις συνέπειες που θα μπορούσαν να συνεπάγονται γι ‘αυτές και ποια μέτρα έχετε ήδη λάβει ή σχεδιάζετε να λάβετε.
Αλλά ακόμα και προτού καλέσετε την αρχή προστασίας δεδομένων, πρέπει να πείτε στους χρήστες που επηρεάζονται από την παραβίαση δεδομένων. Όσοι δεν τηρούν την προθεσμία των 72 ωρών θα μπορούσε να επιβληθεί πρόστιμο μέχρι 2% των ετήσιων παγκόσμιων εσόδων τους, ή 10 εκατομμύρια ευρώ, όποιο είναι υψηλότερο.
Αν δεν ακολουθήσετε τις βασικές αρχές επεξεργασίας δεδομένων, όπως η κατοχή νομικής βάσης για κάτι τέτοιο, η παραβίαση των δικαιωμάτων των ατόμων σε σχέση με τα δεδομένα τους ή η μεταφορά δεδομένων σε άλλη χώρα, τα πρόστιμα είναι ακόμη χειρότερα. Η αρχή προστασίας δεδομένων θα μπορούσε να εκδώσει χρηματική ποινή μέχρι € 20 εκατ ή 4% του συνολικού ετήσιου κύκλου εργασιών, όποια είναι μεγαλύτερη.
Ωστόσο, είναι σημαντικό να σημειωθεί ότι ενώ τα μέγιστα πρόστιμα που μπορούν να εκδοθούν θα γίνουν πολύ υψηλότερα βάσει του GDPR, η νομοθεσία ορίζει ότι πρέπει να παραμείνουν «αναλογικά» με την παραβίαση. Επίσης, εάν μπορείτε να αποδείξετε ότι εργάζεστε σκληρά για να διασφαλίσετε ότι ο οργανισμός σας συμμορφώνεται με το GDPR, ο ICO πιθανότατα δεν θα εκδώσει τόσο υψηλό πρόστιμο σε περίπτωση παραβίασης.