Τι είναι ο GDPR
2310566767

 

 

Τι είναι ο GDPR και τι ρυθμίζει;

Ο Νέος Κανονισμός:

  • δημιουργήθηκε για να αντιμετωπίσει τις δυσκολίες που ανακύπτουν από την αυξανόμενη μετακίνηση δεδομένων σε Διεθνές Επίπεδο
  • αφορά σε όλη την Ευρωπαϊκή Ένωση
  • έχει σχεδιαστεί για να αντιμετωπίσει τεχνολογικές και κοινωνικές αλλαγές που έλαβαν χώρα τα τελευταία 20 χρόνια, υιοθετώντας μια τεχνολογικά ουδέτερη προσέγγιση στον Κανονισμό
  • έχει τεθεί σε ισχύ στις 4 Μαΐου 2016 και εφαρμόζεται ΥΠΟΧΡΕΩΤΙΚΑ από τις 25 Μαΐου 2018
  • σκοπός του είναι η ενδυνάμωση των θεμελιωδών δικαιωμάτων των πολιτών στην ψηφιακή εποχή και η διευκόλυνση των επιχειρήσεων, απλοποιώντας του κανόνες για τις εταιρείες στην Ελεύθερη Ψηφιακή Αγορά.
  • δεν απαιτεί προηγουμένως συγκεκριμένη νομοθετική πράξη του Κράτους Μέλους προκειμένου να εφαρμοστεί.

Ρυθμίζει τα δικαιώματα των φυσικών προσώπων σχετικά με:

  • τα προσωπικά τους δεδομένα
  • την επεξεργασία των προσωπικών τους δεδομένων
  • την ελεύθερη και ανεμπόδιστη κυκλοφορία και μεταβίβαση των προσωπικών τους δεδομένων εντός των ορίων της Ε.Ε.
  • τις διαδικασίες διαβίβασης προσωπικών δεδομένων εκτός Ε.Ε.

Ποια είναι τα προσωπικά δεδομένα;

  • Παραδείγματα Προσωπικών Δεδομένων: ΑΜΚΑ, e-mail, Οικονομικές πληροφορίες, Επάγγελμα, εμπειρία, εκπαίδευση, Δεδομένα συμπεριφοράς (προτιμήσεις, συνήθειες, συμπεριφορά στην διαδικτυακή περιήγηση), διεύθυνση IP.
  • Ειδικές Κατηγορίες Δεδομένων (ευαίσθητα): φυλετική, εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές, φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά, βιομετρικά δεδομένα, δεδομένα υγείας, σεξουαλική ζωή, γενετήσιος προσανατολισμός.

Βασικοί ορισμοί

  • Υποκείμενο: Φυσικό Πρόσωπο
  • Δεδομένα Προσωπικού Χαρακτήρα: Κάθε πληροφορία που αφορά στο υποκείμενο και μπορεί να το ταυτοποιήσει με άμεσο ή έμμεσο τρόπο
  • Αρχείο: filing system με δεδομένα διαρθρωμένα και προσβάσιμα
  • Υπεύθυνος Επεξεργασίας: (στο εξής ΥΕ) είναι ο Οργανισμός – καθορίζει κατά τρόπο αποκλειστικό και κυρίαρχα τους σκοπούς και τα μέσα επεξεργασίας [Ο υπάλληλος του ΥΕ ταυτίζεται με τον ΥΕ]
  • Ο Εκτελών την Επεξεργασία: (στο εξής ΕΕ) είναι πάντοτε ένα τρίτο πρόσωπο (Φυσικό ή Νομικό) που συνδέεται με κάποια έννοια με τον Υπεύθυνο Επεξεργασίας (π.χ. με κάποια σύμβαση). Μπορεί κάποιος να είναι Υπεύθυνος Επεξεργασίας για μία ομάδα δεδομένων και εκτελών την επεξεργασία για άλλη
  • DPO: εντός ή εκτός Επιχείρησης - σε άμεση συνεργασία με τη Διοίκηση της Επιχείρησης / Οργανισμού / Φορέα κτλπ.

Αρχές που διέπουν την προστασία δεδομένων

  1. Νομιμότητα: δεν παραβιάζει κανόνα δικαίου
  2. Αναλογικότητα:
    • δεν είναι επαχθής
    • είναι αναλογικά ανεκτή σε σχέση με αυτό που πρέπει να προστατεύσει
  3. Διαφάνεια: μπορεί να ελεγχθεί τι έγινε- να διορθωθεί- να περιορισθεί- να αρθεί

Υποχρεώσεις του Υπεύθυνου Επεξεργασίας

ΕΦΑΡΜΟΓΗ: Κατάλληλων τεχνικών και οργανωτικών μέτρων που θα διασφαλίζουν και θα αποδεικνύουν τη συμμόρφωση με τον Κανονισμό
ΣΥΝΕΡΓΑΣΙΑ: Με την εποπτική αρχή (βέλτιστα διά του DPO όπου αυτός απαιτείται)
ΔΙΑΣΦΑΛΙΣΗ: Του απορρήτου και της ασφάλειας της επεξεργασίας
ΕΠΙΠΡΟΣΘΕΤΑ

  • Γνώση και καταγραφή των Δεδομένων
  • Λήψη Σαφούς και Ακριβούς Συγκατάθεσης ή χρήση άλλης νόμιμης βάσης
  • Διαγραφή δεδομένων εφόσον ζητηθεί
  • Περιορισμός Πρόσβασης στα δεδομένα
  • Εκτίμηση Κινδύνου
  • Αναφορά Παραβίασης σε 72 ώρες
  • Συνεχής Παρακολούθηση των κινδύνων
  • Αξιοποίηση του Υπευθύνου Προστασίας Δεδομένων (DPO)

Συνέπειες Παραβίασης – Ποινές

  • Προειδοποίηση
  • Επίπληξη
  • Αναστολή της Επεξεργασίας Δεδομένων
  • Θέτει ένα μέγιστο πρόστιμο για μονομερή παραβίαση έως €20 εκ., ή το 4% των ετήσιων παγκόσμιων εισοδημάτων.

Έννομη προστασία – Καταγγελίες

Άρθρο 77 Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή
«…καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβαίνει τον παρόντα κανονισμό».

Έννομη προστασία – Αποζημίωση

Άρθρο 82 - Δικαίωμα αποζημίωσης και ευθύνη

  • «Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη».
  • «Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία, που παραβαίνει τον παρόντα κανονισμό…… ».
  • «Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη που έχουν δυνάμει της παραγράφου 2, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας».
  • «Εάν περισσότεροι του ενός υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία ή αμφότεροι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εμπλέκονται στην ίδια επεξεργασία και, εάν δυνάμει των παραγράφων 2 και 3 είναι υπεύθυνοι για τυχόν ζημία που προκάλεσε η επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ευθύνεται για τη συνολική ζημία, προκειμένου να διασφαλιστεί αποτελεσματική αποζημίωση του υποκειμένου των δεδομένων».

Ποιος μας εποπτεύει;

Στην Ευρωπαϊκή Ενωση για την προστασία δεδομένων γίνεται σε συνεργασία με τις υφιστάμενες εθνικές αρχές.

Στην Ελλάδα η εθνική αρχή είναι η 

Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)
Κηφισίας 1-3, Τ.Κ. 115 23, Αθήνα
Tel:+30 210 6475600 - Fax: +30 210 6475628

Τα Βήματα για τη Συμμόρφωση

  • Προετοιμασία & Δημιουργία Αρχείου Επεξεργασίας
  • Ανάπτυξη πολιτικών
  • Δημιουργία πρότυπων συμβάσεων
  • Αξιολόγηση Κινδύνων / Εκτίμηση αντικτύπου
  • Εκπαίδευση
  1. Προετοιμασία – Αποτύπωση υφιστάμενης κατάστασης
    1. Καταγραφή υπευθύνων ανά τμήμα
    2. Καταγραφή διαθέσιμων πόρων
    3. Καταγραφή και χαρτογράφηση των Δεδομένων Προσωπικού Χαρακτήρα
    4. Χαρτογράφηση του εγκατεστημένου πληροφοριακού συστήματος
    5. Καταγραφή Τεκμηρίωσης
  2. Ανάπτυξη πολιτικών, διαδικασιών & δημιουργία πρότυπων συμβάσεων
    1. Πολιτικές συλλογής και επεξεργασίας δεδομένων
    2. Πολιτικές ασφάλειας
    3. Σχέδιο ασφάλειας
    4. Σχέδιο ανάκαμψης και καταστροφών
    5. Μηχανισμός εντοπισμού παραβιάσεων
    6. Σχέδιο διαχείρισης των συμβάντων
    7. Αρχείο καταγραφής ενεργειών
    8. Προσαρμογή των συμβάσεων του οργανισμού
    9. Τεχνικά μέτρα που θα πρέπει να ληφθούν και πιθανές συστάσεις
  3. Αξιολόγηση Επιπτώσεων / Αξιολόγηση Κινδύνων
    1. Προσδιορισμός ροής/διαδικασίας χειρισμού προσωπικών δεδομένων ανά λειτουργία και αξιολόγηση επιπτώσεων.
  4. Εκπαίδευση
  5. Επιθεώρηση και αξιολόγηση συμμόρφωσης GDPR
  6. Ασφάλεια Δεδομένων
    1. Αξιολόγηση του επιπέδου ασφαλείας του εταιρικού δικτύου
    2. Έρευνα ευπαθειών (Vulnerability scanning)
    3. Προτάσεις για υιοθέτηση τεχνολογιών και εργαλείων για την ενίσχυση της ασφάλειας του δικτύου και των δεδομένων
    4. Δοκιμές διείσδυσης (Penetration tests)
    5. IT Audit