Ο ΚΑΝΟΝΙΣΜΟΣ ΣΕ PDF
Μια επισκόπηση των κυριότερων αλλαγών στο πλαίσιο του GPDR και του τρόπου με τον οποίο διαφέρουν από την προηγούμενη οδηγία.
Ο στόχος του GDPR είναι να προστατεύσει όλους τους πολίτες της ΕΕ από την ιδιωτική ζωή και τις παραβιάσεις των δεδομένων σε έναν κόσμο όλο και περισσότερο βασισμένο στις πληροφορίες, ο οποίος είναι πολύ διαφορετικός από τον χρόνο σύστασης της οδηγίας του 1995. Μολονότι οι βασικές αρχές της ιδιωτικής ζωής των δεδομένων εξακολουθούν να ισχύουν στην προηγούμενη οδηγία, έχουν προταθεί πολλές αλλαγές στις ρυθμιστικές πολιτικές. Τα βασικά σημεία του GDPR καθώς και πληροφορίες για τις επιπτώσεις που θα έχει στις επιχειρήσεις μπορούν να βρεθούν παρακάτω.
Αυξημένο εδαφικό πεδίο εφαρμογής (εξωεδαφική εφαρμογή)
Αναμφισβήτητα η μεγαλύτερη αλλαγή στο ρυθμιστικό περιβάλλον της ιδιωτικής ζωής των δεδομένων έρχεται με την εκτεταμένη αρμοδιότητα του GDPR, καθώς ισχύει για όλες τις εταιρείες που επεξεργάζονται τα προσωπικά δεδομένα των υποκειμένων των δεδομένων που διαμένουν στην Ένωση, ανεξάρτητα από την τοποθεσία της εταιρείας. Προηγουμένως, η εδαφική εφαρμογή της οδηγίας ήταν διφορούμενη και αναφέρεται σε διαδικασία επεξεργασίας δεδομένων «στο πλαίσιο εγκατάστασης». Αυτό το θέμα έχει προκύψει σε πολλές δικαστικές υποθέσεις υψηλού προφίλ. Ο GPDR καθιστά σαφή την εφαρμογή του – θα εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων από υπεύθυνους και επεξεργαστές στην ΕΕ, ανεξάρτητα από το εάν η επεξεργασία πραγματοποιείται στην ΕΕ ή όχι. Ο GDPR θα εφαρμόζεται επίσης στην επεξεργασία δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων στην ΕΕ από υπεύθυνο επεξεργασίας ή επεξεργαστή μη εγκατεστημένο στην ΕΕ, όπου οι δραστηριότητες αφορούν: προσφορά αγαθών ή υπηρεσιών σε πολίτες της ΕΕ (ανεξάρτητα από το αν απαιτείται πληρωμή) και την παρακολούθηση της συμπεριφοράς που λαμβάνει χώρα εντός της ΕΕ. Οι επιχειρήσεις εκτός ΕΕ που επεξεργάζονται τα δεδομένα των πολιτών της ΕΕ θα πρέπει επίσης να διορίσουν έναν εκπρόσωπο στην ΕΕ.
Ποινικές ρήτρες
Σύμφωνα με τους οργανισμούς GDPR που παραβιάζουν το GDPR, μπορεί να επιβληθεί πρόστιμο μέχρι 4% του ετήσιου συνολικού κύκλου εργασιών ή € 20 εκατ. (Όποιο είναι μεγαλύτερο). Πρόκειται για το μέγιστο πρόστιμο που μπορεί να επιβληθεί για τις πιο σοβαρές παραβάσεις, π.χ. δεν υπάρχει επαρκής συναίνεση του πελάτη για επεξεργασία δεδομένων ή παραβίαση του πυρήνα των εννοιών «Απόρρητο από το σχεδιασμό». Υπάρχει μια κλιμακωτή προσέγγιση στα πρόστιμα, π.χ. σε μια εταιρεία μπορεί να επιβληθεί πρόστιμο κατά 2% για μη τήρηση των αρχείων της (άρθρο 28), μη κοινοποιώντας στην εποπτεύουσα αρχή και στο υποκείμενο των δεδομένων την παραβίαση ή τη μη διενέργεια εκτίμησης επιπτώσεων. Είναι σημαντικό να σημειωθεί ότι αυτοί οι κανόνες ισχύουν τόσο για τους υπεύθυνους επεξεργασίας όσο και για τους μεταποιητές – που σημαίνει ότι τα “σύννεφα” δεν θα εξαιρούνται από την επιβολή του GDPR.
Συγκατάθεση
Οι όροι για τη συναίνεση έχουν ενισχυθεί και οι εταιρείες δεν θα μπορούν πλέον να χρησιμοποιούν μακρούς δυσανάγνωστους όρους νόμιμους, καθώς η αίτηση συγκατάθεσης πρέπει να παρέχεται με κατανοητή και εύκολα προσβάσιμη μορφή, με σκοπό την επεξεργασία δεδομένων που επισυνάπτεται αυτή τη συναίνεση. Η συγκατάθεση πρέπει να είναι σαφής και διακριτή από άλλα θέματα και να παρέχεται με κατανοητή και εύκολα προσιτή μορφή, χρησιμοποιώντας σαφή και απλή γλώσσα. Πρέπει να είναι τόσο εύκολο να αποσύρετε τη συγκατάθεση, όπως είναι να την δώσετε.
Δικαιώματα δεδομένων υποκειμένων
Ειδοποίηση παραβίασης
Σύμφωνα με το GDPR, η κοινοποίηση παραβίασης θα καταστεί υποχρεωτική σε όλα τα κράτη μέλη όπου μια παραβίαση δεδομένων ενδέχεται να “οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων”. Αυτό πρέπει να γίνει εντός 72 ωρών από την πρώτη στιγμή της συνειδητοποίησης της παραβίασης. Οι επεξεργαστές δεδομένων θα υποχρεούνται επίσης να ειδοποιούν τους πελάτες τους, τους ελεγκτές, “χωρίς αδικαιολόγητη καθυστέρηση”, αφού πρώτα καταλάβουν την παραβίαση δεδομένων.
Δικαίωμα πρόσβασης
Μέρος των διευρυμένων δικαιωμάτων των προσώπων στα οποία αναφέρονται τα στοιχεία του GDPR είναι το δικαίωμα των υποκειμένων των δεδομένων να λαμβάνουν από τον υπεύθυνο επεξεργασίας δεδομένων την επιβεβαίωση του κατά πόσον τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν υποβάλλονται σε επεξεργασία, πού και για ποιο σκοπό. Επιπλέον, ο ελεγκτής παρέχει δωρεάν αντίγραφο των προσωπικών δεδομένων σε ηλεκτρονική μορφή. Αυτή η αλλαγή είναι μια δραματική αλλαγή στη διαφάνεια των δεδομένων και την ενδυνάμωση των υποκειμένων των δεδομένων.
Δικαίωμα να ξεχαστείς
Επίσης γνωστό ως Data Erasure, το δικαίωμα να λησμονηθεί παρέχει στο υποκείμενο των δεδομένων τη δυνατότητα να διαγράψει τα δεδομένα προσωπικού χαρακτήρα από τον ελεγκτή δεδομένων, να σταματήσει την περαιτέρω διάδοση των δεδομένων και ενδεχομένως να σταματήσει την επεξεργασία των δεδομένων από τρίτους. Οι όροι για τη διαγραφή, όπως περιγράφονται στο άρθρο 17, περιλαμβάνουν τα δεδομένα που δεν έχουν πλέον σχέση με τους αρχικούς σκοπούς επεξεργασίας ή τα υποκείμενα των δεδομένων που αποσύρουν τη συναίνεση. Πρέπει επίσης να σημειωθεί ότι το δικαίωμα αυτό απαιτεί από τους ελεγκτές να συγκρίνουν τα δικαιώματα των υποκειμένων με το “δημόσιο συμφέρον για τη διαθεσιμότητα των δεδομένων” κατά την εξέταση αυτών των αιτήσεων.
Φορητότητα δεδομένων
Το GDPR εισάγει τη φορητότητα δεδομένων – το δικαίωμα για ένα υποκείμενο των δεδομένων να λαμβάνει τα προσωπικά δεδομένα που το αφορούν, τα οποία παρείχαν προηγουμένως σε μια «ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή» και έχουν το δικαίωμα να διαβιβάσουν τα δεδομένα αυτά σε άλλο ελεγκτή.
Προστασία δεδομένων από το σχεδιασμό
Η προστασία της ιδιωτικής ζωής από τη σχεδίαση ως έννοια έχει υπάρξει εδώ και χρόνια, αλλά απλώς γίνεται μέρος μιας νομικής απαίτησης με το GDPR. Στον πυρήνα της, η προστασία της ιδιωτικής ζωής από το σχεδιασμό απαιτεί την ενσωμάτωση της προστασίας των δεδομένων από την εμφάνιση του σχεδιασμού των συστημάτων, και όχι από την προσθήκη. Ειδικότερα: «Ο υπεύθυνος της επεξεργασίας πρέπει να εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα με αποτελεσματικό τρόπο ώστε να ανταποκρίνεται στις απαιτήσεις του παρόντος κανονισμού και να προστατεύει τα δικαιώματα των υποκειμένων των δεδομένων». Το άρθρο 23 ζητεί από τους ελεγκτές να διατηρούν και να επεξεργάζονται μόνο τα δεδομένα που είναι απολύτως απαραίτητα για την εκπλήρωση των καθηκόντων τους (ελαχιστοποίηση των δεδομένων), καθώς και τον περιορισμό της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε όσους χρειάζονται τη διεξαγωγή της επεξεργασίας.
Υπεύθυνοι προστασίας δεδομένων
Επί του παρόντος, οι υπεύθυνοι επεξεργασίας υποχρεούνται να κοινοποιούν τις δραστηριότητές επεξεργασίας δεδομένων σε τοπικές αρχές προστασίας δεδομένων, οι οποίες, για τις πολυεθνικές εταιρείες, μπορούν να είναι ένας γραφειοκρατικός εφιάλτης με τα περισσότερα κράτη μέλη να έχουν διαφορετικές απαιτήσεις κοινοποίησης. Σύμφωνα με το GDPR δεν θα είναι απαραίτητο να υποβάλλονται κοινοποιήσεις / καταχωρήσεις σε κάθε τοπική DPA των δραστηριοτήτων επεξεργασίας δεδομένων, ούτε θα απαιτείται η κοινοποίηση / απόκτηση έγκρισης για μεταφορές βάσει των πρότυπων ρητρών σύμβασης (MCC). Αντ ‘αυτού, θα υπάρξουν απαιτήσεις εσωτερικής τήρησης αρχείων, όπως εξηγείται περαιτέρω παρακάτω, και ο διορισμός των DPO θα είναι υποχρεωτικός μόνο για τους υπεύθυνους και τους επεξεργαστές των οποίων οι βασικές δραστηριότητες συνίστανται σε επεξεργασίες που απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή ειδικών κατηγορίων δεδομένων ή δεδομένων σχετικά με ποινικές καταδίκες και αξιόποινες πράξεις.
Ο Υ.Π.Δ. (DPO):
Πρέπει να διορίζεται βάσει επαγγελματικών προσόντων και, ειδικότερα, εξειδικευμένων γνώσεων σχετικά με το δίκαιο και τις πρακτικές προστασίας δεδομένων
Μπορεί να είναι μέλος του προσωπικού ή εξωτερικός πάροχος υπηρεσιών.
Τα στοιχεία επικοινωνίας πρέπει να παρέχονται στην αρμόδια αρχή προστασίας δεδομένων.
Πρέπει να αναφέρεται απευθείας στο υψηλότερο επίπεδο διαχείρισης.
Δεν πρέπει να εκτελεί άλλα καθήκοντα που θα μπορούσαν να οδηγήσουν σε σύγκρουση συμφερόντων.
Τέλος πρέπει οι επιχειρήσεις να διαθέτουν τους κατάλληλους πόρους για την εκτέλεση των καθηκόντων των Υ.Π.Δ. και τη διατήρηση των ειδικών γνώσεων τους.