Ο GDPR (General Data Protection Regulation General Data Protection Regulation) αφορά στην διαμόρφωση ενός ενιαίου νομοθετικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης.
Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
Ποια θεωρούνται «δεδομένα προσωπικού χαρακτήρα»
«Δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
«Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
O νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, τέθηκε σε ισχύ στις 24 Μαΐου 2016 και θα αρχίσει να εφαρμόζεται από τις 25 Μαΐου 2018.
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), ρυθμίζει την επεξεργασία από άτομο, εταιρεία ή οργανισμό των δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα στην ΕΕ.
Τα δεδομένα προσωπικού χαρακτήρα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα.
Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα αλλά τα οποία μπορούν να χρησιμοποιηθούν για την επαναταυτοποίηση ενός ατόμου παραμένουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ.
Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα με τέτοιον τρόπο ώστε το άτομο να μην είναι ή να μην είναι πια ταυτοποιήσιμο δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη.
Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Είναι τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία, υπό την προϋπόθεση ότι τα δεδομένα οργανώνονται βάσει προκαθορισμένων κριτηρίων (π.χ. αλφαβητική σειρά). Επίσης, δεν έχει σημασία ο τρόπος που αποθηκεύονται τα δεδομένα – σε σύστημα τεχνολογίας πληροφοριών, μέσω βιντεοεπιτήρησης ή σε έντυπη μορφή.
Ξεκινά και επισήμως σήμερα η εφαρμογή του νέου Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR), που εγκρίθηκε τον Απρίλιο του 2016. Στόχος είναι να δοθεί στους πολίτες της ΕΕ ο έλεγχος των προσωπικών τους δεδομένων.
Ο GDPR αλλάζει ριζικά τον τρόπο με τον οποίο επιχειρήσεις και οργανισμοί συλλέγουν, επεξεργάζονται και διαχειρίζονται προσωπικά δεδομένα κάθε μορφής. Ο GDPR καθορίζει σε ποιες περιπτώσεις επιτρέπεται να χρησιμοποιούνται, αποθηκεύονται, διαγράφονται, μεταβιβάζονται και εν γένει επεξεργάζονται τα προσωπικά μας δεδομένα και κυρίως, με ποιον τρόπο μπορούμε να τα προστατεύουμε.
Ο GDPR θα επηρεάσει κάθε οργανισμό και εταιρεία στην Ευρώπη, η οποία διαχειρίζεται με οποιονδήποτε τρόπο προσωπικά δεδομένα, αλλά και κάθε εταιρεία που συναλλάσσεται στην επικράτεια της Ευρωπαϊκής Ένωσης.
Το τοπίο στα social media αλλάζει. Βάσει του νέου κανονισμού απαγορεύεται τη χρήση των social media σε παιδιά έως 16 ετών παρά μόνο με τη συγκατάθεση των γονέων.
Δικαίωμα στη λήθη: Ο χρήστης έχει το δικαίωμα να ζητήσει την διαγραφή των δεδομένων του και ο υπεύθυνος επεξεργασίας έχει υποχρέωση άμεσα να τα διαγράψει και, αν τα έχει δημοσιοποιήσει, να ενημερώσει και όλους τους άλλους που τα έχουν αναδημοσιεύσει ότι έχει ζητηθεί η διαγραφή τους.
Δικαίωμα ενημέρωσης και πρόσβασης στα δεδομένα: Ο πολίτης θα έχει περισσότερη και σαφέστερη ενημέρωση κατά τη συλλογή των δεδομένων του για την επεξεργασία τους και το δικαίωμα πρόσβασης σε αυτά.
Δικαίωμα διόρθωσης: Ο χρήστης θα έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διόρθωση ανακριβών στοιχείων καθώς και τη συμπλήρωση ελλιπών δεδομένων που τον αφορούν.
Δικαίωμα εναντίωσης στην επεξεργασία: Ο χρήστης θα έχει το δικαίωμα να αντιταχθεί στην επεξεργασία των δεδομένων του υπό συγκεκριμένες προϋποθέσεις, ιδίως όταν πρόκειται για κατάρτιση «προφίλ» ή για σκοπούς απευθείας εμπορικής προώθησης.
Με αποστολή μαζικών μηνυμάτων στα ηλεκτρονικά ταχυδρομεία αλλά και με SMS οι επιχειρήσεις καλούσαν τους πολίτες σε ολόκληρη την ΕΕ να συνεχίσουν να μοιράζονται τα προσωπικά τους δεδομένα, καθώς σε άλλη περίπτωση θα απολέσουν, αναγκαστικά, ένα σημαντικό κομμάτι υποψηφίων πελατών.
Τι πρέπει να κάνει η εταιρία σας;
Η Ευρωπαϊκή Επιτροπή έδωσε συγκεκριμένες οδηγίες:
- Επικοινωνία
- Χρησιμοποιήστε απλή γλώσσα. Πείτε τους ποιοι είστε όταν ζητάτε τα δεδομένα.Πείτε τον λόγο που επεξεργάζεστε τα δεδομένα τους, για πόσο καιρό θα τα φυλάξετε και ποιος τα λαμβάνει.
Πρόσβαση και δυνατότητα μεταφοράς
- Δώστε στα άτομα πρόσβαση στα δεδομένα τους και επιτρέψτε τους να τα δώσουν σε άλλη εταιρεία.
Διαγραφή δεδομένων
- Δώστε τους το «δικαίωμα στη λήθη». Διαγράψτε τα προσωπικά τους δεδομένα αν το ζητήσουν, αλλά μόνο αν δεν θίγεται η ελευθερία έκφρασης ή η δυνατότητα διεξαγωγής έρευνας.
Μάρκετινγκ
- Δώστε στα άτομα το δικαίωμα να εξαιρεθούν από πρακτικές άμεσου μάρκετινγκ που χρησιμοποιούν τα δεδομένα τους.
- Διαβίβαση δεδομένων εκτός της ΕΕ
- Συνάψτε νομικές συμφωνίες όταν διαβιβάζετε δεδομένα σε χώρες που δεν έχουν λάβει έγκριση από τις αρχές της ΕΕ.
Συγκατάθεση
- Λάβετε τη ρητή συγκατάθεσή τους για την επεξεργασία των δεδομένων.
- Ενημερώστε τα άτομα σχετικά με παραβιάσεις δεδομένων αν ενέχει σοβαρός κίνδυνος για αυτούς.
Δημιουργία προφίλ
Αν χρησιμοποιείτε προφίλ για την επεξεργασία αιτήσεων για νομικά δεσμευτικές συμφωνίες, για παράδειγμα για δάνεια, πρέπει:
- Να ενημερώνετε τους πελάτες σας
- Να ορίζετε ένα πρόσωπο και όχι μια μηχανή να ελέγχει τη διαδικασία αν η αίτηση τελικά απορρίπτεται
- Να χορηγείτε στον αιτούντα το δικαίωμα να προσβάλλει την απόφαση.
- Προστασία ευαίσθητων δεδομένων
- Χρησιμοποιήστε πρόσθετα μέτρα προστασίας για πληροφορίες που αφορούν την υγεία, τη φυλή, τον σεξουαλικό προσανατολισμό, τη θρησκεία και τις πολιτικές πεποιθήσεις.
Τι να κάνετε αν αγοράζετε λίστες με προσωπικά δεδομένα
Πριν να αποκτήσετε έναν κατάλογο επαφών ή μια βάση δεδομένων με στοιχεία επικοινωνίας φυσικών προσώπων από άλλον οργανισμό, ο εν λόγω οργανισμός πρέπει να μπορεί να αποδείξει ότι τα δεδομένα αποκτήθηκαν σύμφωνα με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων και ότι μπορούν να χρησιμοποιηθούν για διαφημιστικούς σκοπούς. Για παράδειγμα, εάν ο οργανισμός απέκτησε τα δεδομένα βάσει συγκατάθεσης, η συγκατάθεση θα πρέπει να περιελάμβανε τη δυνατότητα διαβίβασης των δεδομένων σε άλλους αποδέκτες για τους δικούς τους σκοπούς άμεσης εμπορικής προώθησης.
Η εταιρεία ή ο οργανισμός σας πρέπει επίσης να διασφαλίζει ότι ο κατάλογος ή η βάση δεδομένων είναι ενημερωμένα και ότι δεν αποστέλλετε διαφημιστικό υλικό σε φυσικά πρόσωπα που αρνήθηκαν την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα για σκοπούς άμεσης εμπορικής προώθησης. Η εταιρεία ή ο οργανισμός σας πρέπει επίσης να διασφαλίζει ότι, εάν χρησιμοποιεί μέσα επικοινωνίας όπως ηλεκτρονικά μηνύματα για σκοπούς άμεσης εμπορικής προώθησης, συμμορφώνεται με τους κανόνες που θεσπίζονται στην οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (οδηγία 2002/58/ΕΚ1).
Τέτοιου είδους κατάλογοι υποβάλλονται σε επεξεργασία με βάση τα έννομα συμφέροντά σας, και τα φυσικά πρόσωπα θα έχουν δικαίωμα να αρνηθούν τέτοιου είδους επεξεργασία. Η εταιρεία ή ο οργανισμός σας πρέπει επίσης να ενημερώνει τα φυσικά πρόσωπα, το αργότερο την πρώτη φορά που επικοινωνείτε μαζί τους, ότι έχει συλλέξει τα δεδομένα τους προσωπικού χαρακτήρα και ότι σκοπεύει να τα επεξεργάζεται για την αποστολή διαφημίσεων.
