Τα 10 SOS του Κανονισμού
2310566767

Τα 10 SOS που φέρνει ο Κανονισμός GDPR

Παρακάτω συγκεντρώσαμε τα 10 σημεία του Ευρωπαϊκού Κανονισμού που κατά την εκτίμησή μας αποτελούν και τα SOS που κάθε επιχείρηση οφείλει να γνωρίζει.

  • SOS 1 / Νομική Βάση

Οι επιχειρήσεις πρέπει να έχουν νόμιμο λόγο να χρησιμοποιούν τα δεδομένα του χρήστη. Αυτός ο λόγος μπορεί να είναι:

  • η συγκατάθεση (ο χρήστης συμφώνησε να εγγραφεί στη λίστα σας)
  • ενημέρωση (ενημερώσατε πως εντάσσεται στη λίστα σας και συμφώνησε),
  • εκτέλεση συμβολαίου (π.χ. είναι πελάτης σας και θέλετε να του στείλετε ένα τιμολόγιο)
  • νόμιμο ενδιαφέρον/ legitimate interest (π.χ. είναι πελάτης και θέλετε να στείλετε προϊόντα σχετικά με αυτά που αγοράζει συνήθως).

Tip: Χρειάζεται να είστε σε θέση να αποδείξετε τον προαναφερόμενο λόγο που χρησιμοποιείτε τα δεδομένα του χρήστη («νόμιμη βάση»).

  • SOS 2 / Ορθή Λήψη Συγκατάθεσης

Σύμφωνα με τον Κανονισμό GDPR, η συμπλήρωση μιας φόρμας από τον χρήστη, από μόνη της δεν εξουσιοδοτεί τις επιχειρήσεις να χρησιμοποιούν τα προσωπικά δεδομένα του χρήστη όπως εκείνες επιθυμούν.

  • SOS 3 / Ενημέρωση 

Οι επιχειρήσεις οφείλουν να ενημερώσουν τον χρήστη για το τι επιλέγει, στέλνοντας του μια ειδοποίηση (notice) και αναφέροντας ξεκάθαρα πώς θα χρησιμοποιηθούν τα στοιχεία που τους παραχώρησε ο χρήστης.

  • SOS 4 / Συναίνεση

Μόνο αν ο χρήστης απαντήσει καταφατικά, τότε και μόνο τότε η επιχείρηση μπορεί να χρησιμοποιήσει τα στοιχεία του και μόνο για τον σκοπό για τον οποίο έκανε εγγραφή ο χρήστης.

  • SOS 5 / Δικαίωμα Διαγραφής

Ο χρήστης έχει το δικαίωμα να διαγραφεί από τη λίστα της επιχείρησης όταν και όποτε το επιθυμεί. Οι επιχειρήσεις είναι υποχρεωμένες να  απλοποιήσουν τη διαδικασίας διαγραφής ενός χρήστη από τη λίστα τους.

Ο χρήστης έχει δικαίωμα να ζητήσει από μία επιχείρηση να διαγράψει όλα τα προσωπικά του δεδομένα. Ο κανονισμός GDPR απαιτεί την οριστική διαγραφή όλων των στοιχείων του χρήστη (πχ. ιστορικού παρακολούθησης ηλεκτρονικού ταχυδρομείου, των εγγραφών κλήσεων, των υποβολών φόρμας κ.ά).

  • SOS 6 / Ανταπόκριση στα Αιτήματα των Φυσικών Προσώπων 

Σε πολλές περιπτώσεις, οι επιχειρήσεις πρέπει να απαντούν στο αίτημα του χρήστη εντός 30 ημερών. (Το δικαίωμα διαγραφής δεν είναι απόλυτο και μπορεί να εξαρτάται από το πλαίσιο της αίτησης, επομένως δεν ισχύει πάντοτε).

Tip: Οι επιχειρήσεις πρέπει κρατούν αρχεία καταγραφής και να είναι σε θέση να αποδείξουν ανά πάσα στιγμή το πώς και πότε συναίνεσε ο χρήστης, συμπεριλαμβανομένης και της ειδοποίησης που έλαβε (notice).

  • SOS 7 / Δικαίωμα Πρόσβασης 

Ο χρήστης έχει το δικαίωμα να ζητήσει πρόσβαση στα προσωπικά δεδομένα που διατηρεί μία επιχείρηση για τον ίδιο. O υπεύθυνος για τα δεδομένα της επιχείρησης (ως ελεγκτής) οφείλει να παράσχει ένα αντίγραφο των δεδομένων αυτών (σε αναγνωρίσιμη μορφή τύπου πχ XLS, CSV).

  • SOS 8 / Τεχνικά Μέτρα - Κρυπτογράφηση

Η κρυπτογράφηση (encryption) των δεδομένων των χρηστών σύμφωνα με το GDPR δεν είναι υποχρεωτική. Παρόλα αυτά συστήνεται ανεπιφύλακτα από τον κανονισμό.

Tip: Πρακτικές κρυπτογράφησης (όπως πχ. ένα SSL certificate), μπορεί να γλυτώσουν τις επιχειρήσεις από μελλοντικούς πονοκεφάλους (όπως π.χ. παραβίαση της βάσης δεδομένων από χάκερ). 

  • SOS 9 / Πολιτική Cookies

Κάθε επιχείρηση μικρή ή μεγάλη που διαθέτει ιστοσελίδα (website), οφείλει να ενημερώσει τον χρήστη για το πώς χρησιμοποιεί τα cookies. O δε χρήστης θα πρέπει να συναινέσει στην χρήση αυτών των cookies.

Η ενημέρωση του χρήστη για τα cookies θα πρέπει να γίνετε στην γλώσσα που μιλά  (και όχι σε ξένη προς αυτόν γλώσσα).

  • SOS 10 / Πολιτική Απορρήτου

Κάθε επιχείρηση μικρή ή μεγάλη που διαθέτει ιστοσελίδα (website), ως Υπεύθυνος Επεξεργασίας οφείλει να ενημερώνει τον χρήστη για τα δεδομένα που συλλέγονται κατά την επίσκεψη του χρήστη στην ιστοσελίδα και κατά τη χρήση των διαδικτυακών υπηρεσιών της επιχείρησης μέσω της ιστοσελίδας. Οφείλει ακόμη να βοηθά τον χρήστη να κατανοήσει ποια είναι τα ακριβή στοιχεία που συλλέγει η επιχείρηση, για ποιο σκοπό τα συλλέγει, για πόσο χρονικό διάστημα τα διατηρεί καθώς και αν τα μεταβιβάζει σε τρίτα συνεργαζόμενα με την επιχείρηση μέρη. Τέλος, οφείλει να ενημερώνει τους χρήστες για τα δικαιώματά τους όπως αυτά προκύπτουν σύμφωνα με τον Κανονισμό. 

Συχνές Ερωτήσεις (FAQs)

Ο Κανονισμός 2016/679 της Ευρωπαϊκής Ένωσης, ευρύτερα γνωστός ως Γενικός Κανονισμός για την Προστασία Δεδομένων - ΓΚΠΔ (General Data Protection Regulation - GDPR), έχει τεθεί σε ισχύ στις 4 Μαΐου 2016 και εφαρμόζεται ΥΠΟΧΡΕΩΤΙΚΑ από τις 25 Μαΐου 2018 σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης. Ο Κανονισμός καταργεί την Οδηγία 95/46/ΕΚ, η οποία είχε ενσωματωθεί από τα κράτη μέλη της Ε.Ε., και συγκεκριμένα στην Ελλάδα με τον Νόμο 2472/1997. Να σημειωθεί ότι ο εν λόγω Κανονισμός δεν απαιτεί προηγουμένως συγκεκριμένη νομοθετική πράξη του Κράτους Μέλους προκειμένου να εφαρμοστεί.
Με τον νέο Κανονισμό ενισχύονται τα δικαιώματα των υποκειμένων των δεδομένων, αυξάνονται οι υποχρεώσεις των υπεύθυνων και εκτελούντων την επεξεργασία και προστατεύονται τα προσωπικά δεδομένα των φυσικών προσώπων.

Πρόκειται για ένα καινούριο, ενιαίο και άμεσα εφαρμόσιμο νομικό πλαίσιο, το οποίο ρυθμίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα ατόμων που βρίσκονται στην Ευρωπαϊκή Ένωση, από άλλα άτομα, εταιρίες ή οργανισμούς.
Ο Κανονισμός δεν αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων που δεν βρίσκονται στη ζωή ή νομικών προσώπων, όπως, για παράδειγμα, εταιριών με εξαίρεση τις ατομικές εταιρίες.
Επίσης, ο Κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας και, άρα, χωρίς σύνδεση με κάποια επαγγελματική ή εμπορική δραστηριότητα. Επιπρόσθετα, να σημειωθεί ότι ο Κανονισμός δεν εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα θανόντων.

Ναι ο Κανονισμός έχει τεθεί σε υποχρεωτική εφαρμογή από τις 25 Μαΐου 2018.

Με τον όρο προσωπικά δεδομένα νοείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»).
Παραδείγματα Προσωπικών Δεδομένων: (ΑΜΚΑ, e-mail, Οικονομικές πληροφορίες, Επάγγελμα, εμπειρία, εκπαίδευση, Δεδομένα συμπεριφοράς (προτιμήσεις, συνήθειες, συμπεριφορά στην διαδικτυακή περιήγηση), διεύθυνση IP.
Ειδικές Κατηγορίες Δεδομένων (ευαίσθητα): φυλετική, εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές, φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά, βιομετρικά δεδομένα, δεδομένα υγείας, σεξουαλική ζωή, γενετήσιος προσανατολισμός.

Η ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων είναι ένας από τους βασικούς στόχους του Κανονισμού.
Στο Κεφάλαιο ΙΙΙ του Κανονισμού παρουσιάζονται τα δικαιώματα των υποκειμένων των δεδομένων. Τα βασικά δικαιώματα των φυσικών προσώπων σχετικά με τα προσωπικά τους δεδομένα είναι:

Δικαίωμα ενημέρωσης
Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα μέτρα, ώστε να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία και κάθε ανακοίνωση σχετικά με την επεξεργασία σε συνοπτική, διαφανή καθώς και κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας απλή και σαφή διατύπωση, ιδίως όταν η πληροφορία απευθύνεται σε παιδιά. Οφείλει να διευκολύνει την άσκηση των δικαιωμάτων για τα υποκείμενα και να παρέχει στο υποκείμενο πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματός στηριζόμενο στα άρθρα 15 έως 22, χωρίς καθυστέρηση και μάλιστα εντός ενός μήνα από την παραλαβή του αιτήματος. Να σημειωθεί ότι ο Κανονισμός διακρίνει το δικαίωμα ενημέρωσης αναφορικά με το αν η συλλογή των δεδομένων πραγματοποιείται από το ίδιο το υποκείμενο (άρθρο 13) ή από τρίτο πρόσωπο (άρθρο 14).

Δικαίωμα πρόσβασης
Tο υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα που το αφορούν υφίστανται επεξεργασία και εφόσον συμβαίνει αυτό έχει το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις πληροφορίες όπως αναλυτικά αναφέρονται άρθρο 15 του Κανονισμού.

Δικαίωμα Διόρθωσης
Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.

Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα, που το αφορούν, για τους παρακάτω λόγους:
  • εάν τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα για τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’άλλο τρόπο σε επεξεργασία
  • εάν το υποκείμενο των δεδομένων ανακαλέσει τη συγκατάθεσή του και δεν υπάρχει άλλη νομική βάση για την επεξεργασία
  • εάν το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία για σκοπούς κατάρτισης προφίλ και σκοπούς απευθείας εμπορικής προώθησης (άρθρο 21α & 21β)
  • τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα
  • εάν τα δεδομένα πρέπει να διαγραφούν ώστε να τηρηθεί νομική υποχρέωση βάση του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας
  • ένα τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί και αφορούν σε παιδί (άρθρο 8 §1)

Το υποκείμενο των δεδομένων μπορεί να ζητήσει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας όταν ισχύει ένα από τα ακόλουθα: α) η ακρίβεια των δεδομένων αμφισβητείται ή β) η επεξεργασία είναι παράνομη ή γ) ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων ή δ) το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπεύθυνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.

Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας, χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας, στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα όταν πληρούνται οι προύποθέσεις που αναφέρονται στο άρθρο 20.

Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν (επεξεργασία από δημόσιες αρχές ή από ιδιώτες), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.
Δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ (άρθρο 22).

Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα . Όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.

Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) είναι ένας ιδιαίτερα σημαντικός ρόλος για την κάθε εταιρία ή οργανισμό που απαιτείται από τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR). Οι Υπεύθυνοι Προστασίας Δεδομένων είναι αρμόδιοι για την επίβλεψη και την εφαρμογή των οργανωτικών και τεχνικών μέτρων ασφάλειας σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, προκειμένου να διασφαλιστεί η συμμόρφωση μιας επιχείρησης ή ενός οργανισμού με τις απαιτήσεις του GDPR.

Ο Υπεύθυνος Προστασίας Δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρίας και της γνώσης που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39 του Κανονισμού.
Ως Υπεύθυνος Προστασίας Δεδομένων μπορεί να οριστεί κάποιο μέλος του προσωπικού του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την Επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών. Ο Υπεύθυνος Επεξεργασίας ή ο Εκτελών την Επεξεργασία θα πρέπει να δημοσιεύουν τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων και να τα ανακοινώνουν στην εποπτική αρχή (Αρχή Προστασίας Προσωπικών Δεδομένων).

Ο ορισμός DPO είναι υποχρεωτικός όταν:

  1. Η επεξεργασία διενεργείται από δημόσια αρχή ή δημόσιο φορέα (συμπεριλαμβανομένων και φυσικών ή νομικών προσώπων δημοσίου ή ιδιωτικού δικαίου που ασκούν δημόσια εξουσία). Εξαιρούνται τα δικαστήρια όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα. Απαιτείται τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα (π.χ. ασφαλιστικές ή τραπεζικές υπηρεσίες, υπηρεσίες τηλεφωνίας ή διαδικτύου, παροχή υπηρεσιών ασφαλείας, όλες οι μορφές παρακολούθησης και διαμόρφωσης «προφίλ» στο διαδίκτυο, όπως για σκοπούς συμπεριφορικής διαφήμισης).
  2. Διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων (π.χ. στο πλαίσιο παροχής υπηρεσιών υγείας από νοσοκομεία) ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.

Για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας πρέπει να λαμβάνονται υπόψη:

  1. ο αριθμός των εμπλεκομένων υποκειμένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του πληθυσμού
  2. ο όγκος και το εύρος των δεδομένων
  3. η διάρκεια ή ο μόνιμος χαρακτήρας της επεξεργασίας
  4. η γεωγραφική έκταση της επεξεργασίας.

Παραδείγματα που δεν συνιστούν επεξεργασία μεγάλης κλίμακας είναι, μεταξύ άλλων, η επεξεργασία δεδομένων ασθενών από ιδιώτη ιατρό και η επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα από ιδιώτη δικηγόρο.

Ως Εκτελών την Επεξεργασία ορίζεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.

Ο Κανονισμός αναφέρει ότι η πιστοποίηση από εγκεκριμένους και διαπιστευμένους φορείς πιστοποίησης είναι ένας αποδεκτός τρόπος επίδειξης συμμόρφωσης σε σχέση με τον GDPR ωστόσο δεν έχει δημιουργηθεί κάποιος φορέας στην Ελλάδα ο οποίος να πιστοποιεί επιχειρήσεις και οργανισμούς σε σχέση με τον GDPR.

Η γονική συναίνεση απαιτείται για την επεξεργασία των προσωπικών δεδομένων παιδιών ηλικίας κάτω των 16 ετών σε ό,τι αφορά στις ηλεκτρονικές υπηρεσίες. Τα κράτη μέλη μπορούν να νομοθετούν για τον ορισμό ηλικίας συγκατάθεσης μικρότερη των 16 ετών ωστόσο η εν λόγω ηλικία δεν θα πρέπει να είναι μικρότερη των 13 ετών.

Είναι και πάλι υποχρεωτική η συμμόρφωση; Ο κανονισμός GDPR είναι κανονισμός της ΕΕ. Ωστόσο η εφαρμογή του είναι αρκετά ευρεία. Επηρεάζει οποιονδήποτε οργανισμό απευθύνεται ενεργά σε πελάτες ή χρήστες εντός ΕΕ. Δεν αφορά μόνο οργανισμούς με φυσική παρουσία στην ΕΕ. Και πού θα το καταλάβουν; Αυτό μπορεί να γίνει με αρκετούς τρόπους. Για παράδειγμα, μήπως ο τομέας της εταιρείας σας στο διαδίκτυο είναι .eu; Η ιστοσελίδα σας είναι μεταφρασμένη σε ευρωπαϊκές γλώσσες; Αναφέρεται ως συνάλλαγμα το ευρώ; Υπάρχουν παραδείγματα πελατών από την Ευρώπη; Αν απαντήσατε «ναι» σε οποιαδήποτε από τις παραπάνω ερωτήσεις, τότε θα πρέπει να ακολουθήσετε τον κανονισμό GDPR. Είναι αρκετά πιθανό ο οργανισμός σας να χειρίζεται δεδομένα πολιτών της ΕΕ με κάποια μορφή ή τρόπο. Αν νομίζετε ότι αυτό δεν ισχύει, δείτε λίγο τι εννοεί ο κανονισμός όταν αναφέρεται σε προσωπικά δεδομένα. Δεν περιλαμβάνονται μόνο στοιχεία τραπεζικών λογαριασμών, διευθύνσεις email, ευαίσθητες προσωπικές πληροφορίες, αλλά και διευθύνσεις IP. Αν αναλογιστείτε πόσες εταιρείες χρησιμοποιούν στη δουλειά τους διευθύνσεις IP, τότε η νομοθεσία αφορά πολύ περισσότερους. Δείτε λίγο τη μεγαλύτερη εικόνα. Λαμβάνοντας μέτρα για την προστασία των δεδομένων σας, έχετε πολύ μεγαλύτερη ευκαιρία να προστατέψετε την επιχείρησή σας έναντι ηλεκτρονικών απειλών. Είναι ένα τεράστιο βήμα προς τα εμπρός στην αντίληψη του κόσμου για την προστασία των δεδομένων και παράλληλα μια θετική αλλαγή για τους πελάτες σας.

Η Εποπτική Αρχή του κάθε Υπεύθυνου ή Εκτελούντος την Επεξεργασία προσδιορίζεται με βάση την χώρα δραστηριότητά τους. Σε κάθε χώρα ορίζεται μια συγκεκριμένη Εποπτική Αρχή, η οποία παρακολουθεί την δραστηριότητα και την συμμόρφωση με τις επιταγές του Κανονισμού. Στην Ελλάδα έχει οριστεί συνταγματικά η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), η οποία διοικητικά αποτελεί Ανεξάρτητη Διοικητική Αρχή. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) είναι ένας ανεξάρτητος ευρωπαϊκός οργανισμός, ο οποίος συμβάλλει στη συνεκτική εφαρμογή των κανόνων προστασίας δεδομένων σε ολόκληρη την Ευρωπαϊκή Ένωση και προάγει τη συνεργασία μεταξύ των αρχών προστασίας δεδομένων της ΕΕ. Συστάθηκε με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ) και έχει την έδρα του στις Βρυξέλλες. Η Ευρωπαϊκή Επιτροπή και -όσον αφορά θέματα συναφή με τον ΓΚΠΔ- η Εποπτεύουσα Αρχή της ΕΖΕΣ έχουν το δικαίωμα να συμμετέχουν στις δραστηριότητες και στις συνεδριάσεις του ΕΣΠΔ χωρίς δικαίωμα ψήφου.

Ο Κανονισμός αυξάνει σημαντικά τους κινδύνους σχετικά με τη μη συμμόρφωση για τα φυσικά ή νομικά πρόσωπα που επεξεργάζονται δεδομένα. Τα πρόστιμα που προβλέπονται σε περίπτωση παραβίασης της νομοθεσίας για την προστασία των προσωπικών δεδομένων μπορούν να αγγίξουν τα 20 εκατομμύρια ευρώ ή το 4% του ετήσιου παγκόσμιου κύκλου εργασιών, ανάλογα με το ποιο είναι υψηλότερο. Επιπρόσθετα, αυξάνονται οι ελεγκτικές αρμοδιότητες των αρχών για την προστασία των προσωπικών δεδομένων, οι οποίες μπορούν να διενεργούν ελέγχους και επιτόπιες εφόδους, να ζητούν πρόσβαση στα προσωπικά δεδομένα που αποτελούν αντικείμενο επεξεργασίας, κτλπ. Να σημειωθεί ότι σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο Υπεύθυνος Επεξεργασίας μέσω του Υπεύθυνου Προστασίας Προσωπικών Δεδομένων γνωστοποιεί αμελλητί και εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος της παραβίασης των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

10 βήματα προετοιμασίας για τον GDPR

  • STEP 1: ΕΝΗΜΕΡΩΣΗ - ΕΤΟΙΜΟΤΗΤΑ: Ενημερώνουμε το ανθρώπινο δυναμικό μας
  • STEP 2: ΑΝΑΘΕΩΡΗΣΗ ΠΟΛΙΤΙΚΩΝ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΔΙΑΔΙΚΑΣΙΩΝ: Επικαιροποιούμε τακτικά τις διαδικασίες για τον χειρισμό των αιτημάτων και την ικανοποίηση των δικαιωμάτων των φυσικών προσώπων
  • STEP 3: ΚΑΤΑΓΡΑΦΗ: Καταγράφουμε ενδελεχώς τα δεδομένα που τηρούμε, τις επεξεργασίες, τον σκοπό τους
  • STEP 4: ΕΛΕΓΧΟΣ ΣΥΓΚΑΤΑΘΕΣΗΣ: Ετοιμάζουμε μεθόδους για εξασφάλιση συγκατάθεσης για κάθε επιδιωκόμενο σκοπό επεξεργασίας
  • STEP 5: ΕΛΕΓΧΟΣ ΤΗΡΗΣΗΣ ΤΗΣ ΣΥΜΜΟΡΦΩΣΗΣ: Τηρούνται οι αρχές για τη νόμιμη επεξεργασία; Γίνονται σεβαστά τα δικαιώματα των υποκειμένων;
  • STEP 6: ΕΚΤΙΜΗΣΗ ΕΠΙΠΤΩΣΕΩΝ: Εκτιμούμε τις πιθανότητες επέλευσης κινδύνων και τις συνέπειες στα προσωπικά δεδομένα
  • STEP 7: ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ: Εξετάζουμε αν χρειάζεται να ορίσουμε «Υπεύθυνο Προστασίας Δεδομένων»
  • STEP 8: ΠΑΡΑΒΙΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ: Προετοιμασία για ανίχνευση, καταγραφή και διερεύνηση. Διαδικασίες για γνωστοποιήσεις προς την Αρχή και στα υποκείμενα
  • STEP 9: ΔΡΑΣΤΗΡΙΟΤΗTΑ ΣΕ ΠΕΡΙΣΣΟΤΕΡΑ ΚΡΑΤΗ ΜΕΛΗ: Ορίζουμε το κράτος της κύριας εγκατάστασής μας
  • STEP 10: ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΕΚΤΟΣ ΕΕ: Επιλέγουμε μηχανισμό διαβίβασης (δεσμευτικούς εταιρικούς κανόνες (BCRs), τυποποιημένες συμβατικές ρήτρες (SCCs), πιστοποιήσεις στο Privacy Shield (για τις ΗΠΑ).

Τα Ναι & Όχι του Κανονισμού

ΑΠΛΟΙ και ΛΟΓΙΚΟΙ κανόνες για την καθημερινή λειτουργία στον περιβάλλον εργασίας σας

Χρήση εταιρικού email

Ναι: Κάθε εταιρικό email αποτελεί έκφραση της ίδιας της εταιρίας και όχι της προσωπικής άποψης του κάθε στελέχους
Ναι: Χρήση εταιρικού λογαριασμού αυστηρά για εταιρική χρήση
Όχι: Απαγορεύονται τα προσβλητικά μηνύματα, μηνύματα με ιούς ή άλλο επιβλαβές περιεχόμενο

Διασφάλιση αρχείων

Συμβουλές για την ασφαλή χρήση έντυπων και ηλεκτρονικών αρχείων:
Ναι: Τα μη απαραίτητα έγγραφα πρέπει να απομακρυνθούν και να καταστραφούν σε καταστροφέα εγγράφων/ να διαγραφούν από τον υπολογιστή σας & από τον κάδο ανακύκλωσης.
Ναι: Μην αφήνετε εκτεθειμένα αρχείο στο γραφείο σας.
Ναι: Σε περίπτωση αμφιβολίας για το που βρίσκεται ένα έγγραφο, ρωτήστε τον Προϊστάμενό σας.
Ναι: Οι εκτυπώσεις εγγράφων θα πρέπει να γίνονται μόνο για την εκτέλεση εργασιών για τις οποίες απαιτείται η εκτύπωση. 
Όχι: Μην εξάγετε αρχεία από τους χώρους της εταιρίας (έντυπα ή ηλεκτρονικά) εκτός αν είναι απολύτως απαραίτητο και αφού προηγουμένως έχετε ενημερώσει τον Προϊστάμενό σας.

Χρήση ηλεκτρονικών διευθύνσεων (email)

Συμβουλές για την ασφαλή χρήση ηλεκτρονικών διευθύνσεων:
Ναι: Ελέγχετε πάντα την ταυτότητα του αποστολέα και επιβεβαιώνετε την εγκυρότητα του email ειδικά σε περιπτώσεις που αφορούν email αίτησης πληρωμών ή αλλαγής οικονομικών στοιχείων από συνεργάτες.
Ναι: Αναφέρετε τη λήψη ύποπτων μηνυμάτων στον Μηχανογράφο της εταιρίας σας.
Όχι: Μην «ανοίγετε» εκτελέσιμα αρχεία που μπορεί να επισυνάπτονται σε email.
Όχι: Μην προωθείτε αλυσιδωτά μηνύματα που μπορεί να λάβατε στο εταιρικό σας email.
Όχι: Μην χρησιμοποιείτε το εταιρικό σας email για εγγραφή σε ηλεκτρονικές υπηρεσίες εξωτερικών παρόχων.
Όχι: Μην χρησιμοποιείτε το προσωπικό σας email για την αποστολή και λήψη εταιρικών αρχείων.
Όχι: Μην «ανοίγετε» συνημμένα αρχεία, μην πατάτε σε συνδέσμους (links) σε emails & μην απαντάτε σε email όταν:

  • Ο αποστολέας είναι άγνωστος.
  • Το όνομα του αποστολέα διαφέρει από την ηλεκτρονική του διεύθυνση.
  • Το κείμενο του μηνύματος έχει πολλά ορθογραφικά, συντακτικά, εκφραστικά λάθη.

Χρήση κωδικών πρόσβασης (passwords)

Ναι: Αποθηκεύετε τα passwords σε ασφαλές σημείο στο οποίο έχετε πρόσβαση μόνο εσείς.
Ναι: Χρησιμοποιείται ισχυρά passwords για την πρόσβαση σε ηλεκτρονικούς υπολογιστές αλλά και για την είσοδο σε λογισμικά και εταιρικούς λογαριασμούς.
Ναι: Να διαχειρίζεστε όλα τα passwords ως ευαίσθητη, εμπιστευτική πληροφορία.
Όχι: Μην αποκαλύπτετε το password σας μέσω τηλεφώνου ή προφορικά σε κανέναν.
Όχι: Μην «κολλάτε» post it με τα passwords που χρησιμοποιείτε δίπλα στον υπολογιστή σας ή αποθηκεύετε τα passwords σε σημείο στο οποίο έχουν πρόσβαση άλλα πρόσωπα.
Όχι: Μην χρησιμοποιείτε το ίδιο password για λογαριασμούς της εταιρίας και για πρόσβαση σε λογαριασμούς εκτός της εταιρίας.
Όχι: Μην μοιράζεστε τα passwords της εταιρίας με κανέναν, συμπεριλαμβανομένων και των βοηθών διαχείρισης ή γραμματέων.

Χρήση ηλεκτρονικών συσκευών

Πρέπει να λαμβάνετε μέτρα φυσικής προστασίας για την αποφυγή κινδύνων που απορρέουν από τη χρήση ηλεκτρονικών συσκευών(Η/Υ, tablet, laptop κ.λπ.).
Ναι: Κατά τη χρήση των συσκευών να είστε προσεκτικοί ώστε να μην είναι εύκολη η ανάγνωση πληροφοριών από την οθόνη της συσκευής που χρησιμοποιείτε.
Ναι: Σε περίπτωση απομακρυσμένης σύνδεσης, αυτή θα πρέπει να πραγματοποιείται μόνο με τη χρήση πρωτοκόλλων ασφαλείας ή μηχανισμών VPN και να παραμένει ενεργή μόνο για όσο χρόνο απαιτείται για την ολοκλήρωση της εργασίας.
Ναι: Σε περίπτωση κλοπής ή απώλειας ενημερώστε άμεσα τον Προϊστάμενό σας και τον Μηχανογράφο της εταιρίας σας.
Ναι: Όταν συνδέετε αποθηκευτικά μέσα σε Η/Υ της εταιρίας (εφόσον επιτρέπεται) να ελέγχονται αυτά πριν τη χρήση τους για ιούς.
Ναι: H οθόνη του υπολογιστή κάθε υπαλλήλου θα πρέπει να κλειδώνει αυτόματα (screen saver) σε περίπτωση αδράνειάς του για παραπάνω από 10 λεπτά, αλλά και σε κάθε απομάκρυνση του στελέχους από το γραφείο του.
Ναι: Για την απενεργοποίηση του screen saver θα πρέπει να απαιτείται η χρήση συνθηματικού.
Όχι: Μην αφήνετε ανεπιτήρητες τις ηλεκτρονικές σας συσκευές σε δημόσιους χώρους ή στο χώρο εργασίας σας, παρουσία τρίτων.
Όχι: Απαγορεύεται η χρήση των εταιρικών συσκευών που έχετε στην κατοχή σας από τρίτους.
Όχι: Μην απενεργοποιείτε οποιοδήποτε μέσο προστασίας (antivirus) είναι εγκατεστημένο στις εταιρικές ηλεκτρονικές συσκευές που χρησιμοποιείτε.
Όχι: Μην φορτίζετε κινητά τηλέφωνα από τη θύρα usb του εταιρικού Η/Υ.
Όχι: Αποφύγετε τη χρήση των εταιρικών ηλεκτρονικών συσκευών που έχετε στην κατοχή σας για προσωπικά σας θέματα ή για αποθήκευση προσωπικών σας αρχείων.

Διαβίβαση δεδομένων σε τρίτους

Ναι: Σε περίπτωση που διαβιβάζετε δεδομένα σε τρίτους, βεβαιωθείτε ότι έχετε λάβει τη σχετική έγκριση από το υποκείμενο των δεδομένων για αυτή τη διαδικασία.
Ναι: Σε περίπτωση που διαβιβάζετε ηλεκτρονικά δεδομένα σε τρίτους (προμηθευτές, ασφαλιστικές εταιρίες, εξωτερικούς συνεργάτες), βεβαιωθείτε ότι υπάρχει η σχετική συμφωνία εμπιστευτικότητας και συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων.
Όχι: Αποφύγετε την προφορική διαβίβαση δεδομένων ή τη διαβίβαση μέσω τηλεφώνου.