Ο ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (GDPR) ΚΑΙ Η ΕΠΙΧΕΙΡΗΣΗ ΣΑΣ

Ο ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (GDPR) ΚΑΙ Η ΕΠΙΧΕΙΡΗΣΗ ΣΑΣ
by

 

Στις 25 Μαΐου 2018 τέθηκε σε εφαρμογή ο νέος κανονισμός προστασίας προσωπικών δεδομένων (GDPR), έτσι λαμβάνουμε συχνά από πελάτες μας ερωτήσεις για το τι πρέπει να κάνουν. Η απάντηση είναι μία: Για να είναι πλήρως καλυμμένοι, πρέπει να απευθυνθούν σε δικηγόρο ή δικηγορική εταιρεία που θα τους ετοιμάσει όλες τις διαδικασίες.

Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ: ΘΕΣΗ ΣΕ ΕΦΑΡΜΟΓΗ & ΚΥΡΩΣΕΙΣ

Ο νέος Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (Κανονισμός 2016/679) τέθηκε σε εφαρμογή στις 25/5/2018 ρυθμίζοντας έτσι την επεξεργασία προσωπικών δεδομένων κατά ενιαίο τρόπο σε όλη την Ευρωπαϊκή Ένωση.

  • Ο νέος κανονισμός αντικαθιστά από 25/5/2018 την εθνική νομοθεσία περί προσωπικών δεδομένων (Ν. 2472/1997) και καθιερώνει αυστηρότερες ή και νέες υποχρεώσεις για τις επιχειρήσεις.
  • Έως την ως άνω ημερομηνία, οι επιχειρήσεις οφείλουν να έχουν συμμορφωθεί με τις απαιτήσεις του Κανονισμού.
  • Ο Νέος Κανονισμός καθιερώνει πρόστιμα που μπορούν να φθάσουν έως και το 4% του συνολικού παγκόσμιου ετήσιου τζίρου της επιχείρησης.

 

ΠΟΙΕΣ ΕΠΙΧΕΙΡΗΣΕΙΣ ΑΦΟΡΑ Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ

Όλες οι επιχειρήσεις, ανεξαρτήτως δραστηριότητας και μεγέθους, οφείλουν να συμμορφωθούν με τον νέο Κανονισμό. Όλες οι επιχειρήσεις επεξεργάζονται, σε μεγαλύτερο ή μικρότερο βαθμό, προσωπικά δεδομένα καθώς όλες, ή σχεδόν όλες, προβαίνουν σε επεξεργασίες όπως οι εξής:

  • Επεξεργασία προσωπικών δεδομένων πελατών-προμηθευτών (εμπορικό/οικονομικό τμήμα επιχειρήσεων).
  • Επεξεργασία προσωπικών δεδομένων εργαζομένων και συνεργατών (τμήμα Διαχείρισης Ανθρωπίνων Πόρων).
  • Επεξεργασία προσωπικών δεδομένων επισκεπτών και πελατών εταιρικής ιστοσελίδας ή ιστοσελίδας παροχής υπηρεσιών/πώλησης προϊόντων (e-service, e-commerce, e-shops).
  • Επεξεργασία προσωπικών δεδομένων ή προφίλ φυσικών προσώπων-πελατών-παραληπτών υλικού μάρκετινγκ και διαφήμισης.
  • Επεξεργασία προσωπικών δεδομένων μέσω συνεργασίας με τρίτες εταιρείες οι οποίες παρέχουν υπηρεσίες αποθήκευσης δεδομένων (συνεργασία με εταιρείες cloud) ή επεξεργασίας (CRM systems) ή ανάλυσης (analytics).
  • Επεξεργασία προσωπικών δεδομένων μέσω συνεργασίας (και διαμοιρασμού δεδομένων) με τρίτες εταιρείες παροχής υπηρεσιών όπως εξωτερικά Λογιστικά Γραφεία, Εταιρείες Ορκωτών Λογιστών κλπ.
  • Επεξεργασία προσωπικών δεδομένων μέσω χρήσης συστημάτων εξωτερικής ασφάλειας (π.χ. κάμερες/CCTV) ή εσωτερικής, οργανωτικής ασφάλειας (π.χ. σύστημα γεωεντοπισμού αυτοκινήτων ή προσώπων που εργάζονται εκτός εγκαταστάσεων εταιρείας, σύστημα monitoring ενδοεταιρικής ηλεκτρονικής αλληλογραφίας κλπ.).
  • Ειδικά οι επιχειρήσεις που προσφέρουν υπηρεσίες που βασίζονται σε επεξεργασία δεδομένων ή προβαίνουν, εξ αντικειμένου, σε επεξεργασία μεγάλης κλίμακας ή επεξεργάζονται συστηματικά ευαίσθητα δεδομένα απαιτείται να λάβουν έγκαιρα και άμεσα μέτρα συμμόρφωσης “ευρέως φάσματος”.
  • Στις επιχειρήσεις αυτές συγκαταλέγονται, ενδεικτικά, οι εξής:
  • Επιχειρήσεις Τηλεπικοινωνιών.
  • Εταιρείες τεχνολογίας, οι οποίες διατηρούν ιστοσελίδα ή/και παρέχουν λογισμικό που διαχειρίζεται ή επεξεργάζεται, στοχευμένα ή παρεμπιπτόντως, προσωπικά δεδομένα φυσικών προσώπων.
  • Εταιρείες τεχνολογίας που παρέχουν υπηρεσίες αποθήκευσης και διαχείρισης δεδομένων μεγάλου όγκου.
  • Εταιρείες που απασχολούνται με τη διαφήμιση, το μάρκετινγκ και την μέτρηση ή ανάλυση ικανοποίησης και σχηματισμού προφίλ πελατών.
  • Εταιρείες δημοσκοπήσεων.
  • Επιχειρήσεις κοινωνικής δικτύωσης, φυσικής και ηλεκτρονικής.
  • Επιχειρήσεις που δραστηριοποιούνται στον τομέα της Υγείας.
  • Τραπεζικά Ιδρύματα και επιχειρήσεις που διαχειρίζονται χρηματικές συναλλαγές.
  • Ασφαλιστικές Εταιρείες.
  • Έντυπα και Ηλεκτρονικά Media (τηλεόραση, ραδιόφωνο, εφημερίδες) και όλες οι ηλεκτρονικές πλατφόρμες αυτών (webtv, συνδρομητική τηλεόραση, ιστοσελίδα, mobile-app).

 

ΠΟΙΕΣ ΠΡΟΣΘΕΤΕΣ Ή ΝΕΕΣ ΥΠΟΧΡΕΩΣΕΙΣ, ΣΕ ΣΧΕΣΗ ΜΕ ΤΗΝ ΙΣΧΥΟΥΣΑ ΝΟΜΟΘΕΣΙΑ, ΕΙΣΑΓΕΙ Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ

Ο νέος Κανονισμός εισάγει νέες υποχρεώσεις ή/και αυστηροποιεί, σε αρκετά σημεία, πολλές από τις υποχρεώσεις που ίσχυαν στο υπό αντικατάσταση νομοθετικό καθεστώς.

Ενδεικτικά, ο νέος Κανονισμός καθιερώνει:

  • Αυστηρότερο σύστημα ως προς τους τρόπους απόδοσης συγκατάθεσης των υποκειμένων για την επεξεργασία των δεδομένων τους (affirmative action του υποκειμένου ως προς την απόδοση συγκατάθεσης).
  • Νέα δικαιώματα υποκειμένων των δεδομένων (δικαίωμα διόρθωσης και διαγραφής-«δικαίωμα στη λήθη», δικαίωμα περιορισμού της επεξεργασίας, δικαίωμα φορητότητας, δικαίωμα ενημέρωσης και πρόσβασης, δικαίωμα εναντίωσης σε σχηματισμό προφίλ) και τρόπους νόμιμης ανταπόκρισης των επιχειρήσεων στα δικαιώματα αυτά.
  • Δικαίωμα (και αντίστοιχη υποχρέωση εκ μέρους του Υπευθύνου Επεξεργασίας) προς πληροφόρηση των υποκειμένων για το εύρος, το σκοπό και το πλαίσιο επεξεργασίας των δεδομένων.
  • Συνεκτικό πλαίσιο αυτορρύθμισης των επιχειρήσεων, οι οποίες οφείλουν πλέον να εφαρμόζουν τις διατάξεις του Κανονισμού ήδη από τον σχεδιασμό των προϊόντων και των υπηρεσιών τους (προστασία δεδομένων «ήδη από το σχεδιασμό και εξ ορισμού»).
  • Υποχρέωση σύνταξης εκτίμησης αντικτύπου που μπορεί να προκύψει από τις σχεδιαζόμενες πράξεις επεξεργασίας (Data Protection Impact Assessment), σε περιπτώσεις επεξεργασίας δεδομένων μεγάλης κλίμακας ή δεδομένων υψηλού κινδύνου για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων.
  • Πρόσληψη/Ορισμός ατόμου επιφορτισμένου με καθήκοντα «Υπευθύνου Προστασίας των Δεδομένων» (Data Protection Officer- DPO), σε περιπτώσεις επεξεργασίας δεδομένων «ειδικών κατηγοριών» μεγάλης κλίμακας ή/και σε περίπτωση πράξεων επεξεργασίας που απαιτούν τακτική και συστηματική παρακολούθηση υποκειμένων μεγάλης κλίμακας.
  • Νέες διαδικασίες άμεσης ανταπόκρισης και συνεργασίας με την Αρμόδια Εποπτική Αρχή (π.χ. data breach notification processes).
  • Ύπαρξη συνεκτικού πλαισίου τεχνικών και οργανωτικών μέτρων προστασίας των δεδομένων, περιλαμβανομένων πολιτικών ασφαλείας, οργανωτικού καθορισμού ρόλων πρόσβασης στα δεδομένα σε need to know βάση, πρακτικών ανωνυμοποίησης ή κρυπτογράφησης δεδομένων και σχεδίων ανάκαμψης από καταστροφές, παραβιάσεις συστημάτων και απώλεια δεδομένων (Disaster recovery and Contingency Plan).
  • Αυστηροποίηση του πλαισίου λειτουργίας Εκτελούντων την Επεξεργασία» (και συνεργασίας των «Υπευθύνων Επεξεργασίας» μαζί τους), δηλαδή επιχειρήσεων που επεξεργάζονται δεδομένα για λογαριασμό πελατών τους (π.χ. λογιστικά γραφεία, τεχνολογικές εταιρείες παροχής λογισμικού ή αποθηκευτικών μέσων), και καθορισμός ελάχιστων συμβατικών προβλέψεων στις καταρτιζόμενες συμβάσεις.
  • Νέες διαδικασίες πιστοποίησης (Certification) και υιοθέτησης κωδίκων δεοντολογίας.
  • Συνεκτική ρύθμιση των κανόνων που διέπουν τη Διαβίβαση Δεδομένων σε τρίτες χώρες, περιλαμβανομένων δεσμευτικών εταιρικών κανόνων για πολυεθνικούς ομίλους.

 

 

 

 

 


Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.