GDPR - Γενικοί κανόνες για την προστασία των προσωπικών δεδομένων

GDPR – Προσωπικά Δεδομένα

Στο δικηγορικό γραφείο μας παρέχουμε υπηρεσίες σε επιχειρήσεις και ελεύθερους επαγγελματίες για όλα τα στάδια συμμόρφωσής τους με το GDPR.

Παρακολουθώντας τις νομικές εξελίξεις και αναγνωρίζοντας τις σύγχρονες απαιτήσεις παρέχει τη νέα αυτή εξειδικευμένη υπηρεσία που αφορά στη νομική συμμόρφωση όλων των Επιχειρήσεων με τον νέο Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR).

Ο νέος Κανονισμός θα επηρεάσει άμεσα ή έμμεσα κάθε επιχείρηση και πολίτη.

Mε τον νέο Γενικό Κανονισμό για την Προστασία Δεδομένων (General Data Protection Regulation), ευρύτερα γνωστό ως GDPR ή ΓΚΠΔ, καθιερώνεται ένα ενιαίο νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων σε όλη την Ευρωπαϊκή Ένωση. Ο GDPR έχει ήδη τεθεί σε εφαρμογή από τις 25 Μαΐου 2018 και αναμένεται ο ελληνικός Νόμος, η διαβούλευση για τον οποίο ολοκληρώθηκε τον Μάρτιο 2018.

Αφορά σε Οργανισμούς, Επιχειρήσεις ακόμη και τις ατομικές Επιχειρήσεις οι οποίες επεξεργάζονται προσωπικά δεδομένα Ευρωπαίων κατοίκων (εργαζομένων, πελατών, προμηθευτών κ.λ.π.).

Το γραφείο μας παρέχει υπηρεσίες τόσο σε Επιχειρήσεις όσο και σε ελεύθερους επαγγελματίες για όλα τα στάδια συμμόρφωσής τους με τον Κανονισμό.

Τι είναι τα Προσωπικά Δεδομένα;

Ο νέος αυτός Κανονισμός ορίζει ως δεδομένα προσωπικού χαρακτήρα όλα εκείνα τα δεδομένα που επιτρέπουν την εξακρίβωση και την συσχέτισή τους με την ταυτότητα ενός φυσικού προσώπου. Ως επεξεργασία των δεδομένων ορίζεται κάθε πράξη (συλλογή, αποθήκευση, κοινοποίηση, καταστροφή κ.λ.π.) που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων σε δεδομένα προσωπικού χαρακτήρα.

Τι πρέπει να κάνουν οι Οργανισμοί και οι Επιχειρήσεις;

Κρίνεται απαραίτητο να προχωρήσουν σε εξατομικευμένες βελτιώσεις, προκειμένου να συμμορφωθούν νομικά με τον νέο Γενικό Κανονισμό για την Προστασία Δεδομένων.

Ορισμένες μόνο από τις νέες υποχρεώσεις των Οργανισμών και των Επιχειρήσεων είναι οι εξής:

Υποχρέωση λήψης συγκατάθεσης από το υποκείμενο των Προσωπικών Δεδομένων
Υποχρέωση τήρησης Αρχείου Δραστηριοτήτων Επεξεργασίας
Εφαρμογή μέτρων προστασίας δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού (privacy by design and by default)
Εφαρμογή κατάλληλων Τεχνικών και Οργανωτικών μέτρων
Υποχρέωση εκπόνησης Μελέτης Αντικτύπου (Data Privacy Impact Assessment), εφόσον απαιτείται
Ορισμός Υπευθύνου Προστασίας Δεδομένων (DPO), εφόσον απαιτείται
Υποχρέωση γνωστοποίησης των παραβιάσεων εντός 72 ωρών από την πληροφόρηση κλπ

Ένας από τους βασικούς στόχους που θέτει ο Κανονισμός είναι η κατανόηση του νομικού πλαισίου για την προστασία των δεδομένων από τους πολίτες χωρίς δυσνόητους ορισμούς. Τα δικαιώματα των υποκειμένων των δεδομένων αυξάνονται όπως επίσης και οι υποχρεώσεις των υπεύθυνων και εκτελούντων την επεξεργασία και ενισχύεται σημαντικά συνολικά η προστασία των προσωπικών δεδομένων των πολιτών της Ευρωπαϊκής Ένωσης.

Η ανάγκη ορισμού ενός Υπευθύνου Προστασίας Δεδομένων (DPO), σε όσες περιπτώσεις κρίνεται αναγκαίο, είναι ακόμη μία καινοτομία του Κανονισμού. Είναι υπεύθυνος για την παρακολούθηση της συμμόρφωσης της επιχείρησης με τον Κανονισμό. Ο ρόλος του είναι συμβουλευτικός. Τα κύρια καθήκοντά του είναι να ενημερώνει τον υπεύθυνο επεξεργασίας για τις υποχρεώσεις του, να παράσχει συμβουλές, εφόσον του ζητηθεί, σχετικά με το πότε και πώς θα πρέπει να διενεργηθεί εκτίμηση των επιπτώσεων της σχεδιαζόμενης πράξης και αποτελεί το σημείο επαφής μεταξύ της Επιχείρησης και της Εποπτικής Αρχής.

Ο Κανονισμός καθορίζει, επιπλέον, τις Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ενδεικτικά:

Αρχή της λογοδοσίας
Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τις πιο πάνω Αρχές
Αρχή της διαφάνειας
Τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων
Αρχή της ακεραιότητας και εμπιστευτικότητας
Τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων
Αρχή του περιορισμού του σκοπού
Τα δεδομένα προσωπικού χαρακτήρα συλλέγονται για καθορισμένους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς. Ωστόσο, η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 του ΓΚΠΔ
Αρχή της ακρίβειας
Τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και όταν κριθεί αναγκαίο επικαιροποιούνται
Αρχή του περιορισμού της περιόδου αποθήκευσης
Τα δεδομένα προσωπικού χαρακτήρα διατηρούνται μόνο για όσο χρονικό διάστημα αυτό απαιτείται, σύμφωνα με το νόμιμο σκοπό

Σύμφωνα, τέλος, με τον GDPR, σε περίπτωση παράβασης των όσων ο Κανονισμός προβλέπει, οι Εποπτικές Αρχές μπορούν να επιβάλλουν αυξημένα διοικητικά πρόστιμα τα οποία, λαμβανομένων υπόψη συγκεκριμένων παραμέτρων, μπορούν να φθάσουν έως τα 20 εκατομμύρια Ευρώ ή το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους.