Στις 28 Ιανουαρίου κάθε χρόνο είναι η Ευρωπαϊκή Μέρα Προστασίας των Προσωπικών Δεδομένων. Και ο GDPR είναι ο θεματοφύλακας τους.

GDPR, General Data Protection Regulation, ή ο Γενικός Κανονισμός για την Προστασία των Δεδομένων. Είναι ένα σύνολο κανόνων που σκοπό έχει να δώσει στους πολίτες της Ευρωπαϊκής Ένωσης μεγαλύτερο έλεγχο των προσωπικών τους δεδομένων.

Σήμερα σχεδόν κάθε πτυχή της ζωής μας περιστρέφεται γύρω από τα δεδομένα. Από τις εταιρείες των κοινωνικών μέσων δικτύωσης, τις τράπεζες, τους εμπόρους της ηλεκτρονικής λιανικής πώλησης και τις κυβερνήσεις, σχεδόν κάθε υπηρεσία που χρησιμοποιούμε συνεπάγεται την συλλογή και την ανάλυση των προσωπικών μας δεδομένων.

Το όνομα, η διεύθυνση, ο αριθμός της πιστωτικής μας κάρτας και άλλα στοιχεία συλλέγονται, αναλύονται και το σημαντικότερο αποθηκεύονται από οργανισμούς και εταιρείες.

Για να μπορούν λοιπόν οι εταιρείες και οι πολίτες να επωφελούνται πλήρως από την ψηφιακή οικονομία, η ΕΕ το 2016 ψήφισε την μεταρρύθμιση του πλαισίου προστασίας, εγκρίνοντας δέσμη μέτρων που περιλαμβάνονται στον Γενικό Κανονισμό για την Προστασία Δεδομένων, το γνωστό GDPR, το οποίο αντικατέστησε την από εικοσαετίας ισχύουσα οδηγία.  Έτσι έγινε πιο ισχυρό το πλαίσιο της προστασίας και ταυτόχρονα δημιουργήθηκαν και οι αντίστοιχες ποινές για την παράβαση ή την μη τήρηση του Κανονισμού.

Ο GDPR εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων των προσώπων, ανεξαρτήτως αν οι δραστηριότητες επεξεργασίας πραγματοποιούνται στην ΕΕ ή όχι.

Δηλαδή ο GDPR εφαρμόζεται επίσης και σε οντότητες (επιχειρήσεις, ιδιώτες, οργανισμούς) που είναι εγκατεστημένες εκτός ΕΕ αλλά προσφέρουν αγαθά ή υπηρεσίες σε άτομα στην ΕΕ.

Πως γίνεται η διατήρηση ασφαλών προσωπικών δεδομένων?

Το GDPR της ΕΕ απαιτεί από τις επιχειρήσεις να διατηρούν τα προσωπικά δεδομένα ασφαλή με διάφορους τρόπους. Όπως κρυπτογράφηση, ανθεκτικά συστήματα πληροφορικής, κα. Είναι ευθύνη της εταιρείας να αποδείξει ότι τα μέτρα ασφαλείας είναι κατάλληλα.

Τα δικαιώματα των ατόμων στα πλαίσια του GDPR.

Ο GDPR της ΕΕ εισήγαγε νέα δικαιώματα για τα υποκείμενα των δεδομένων, δηλαδή τα άτομα. Αυτά είναι:

  1. δικαιώματα πρόσβασης, διόρθωσης και φορητότητας
  2. δικαίωμα να αντιταχθεί στην επεξεργασία των δεδομένων του
  3. δικαιώματα διαγραφής και περιορισμού της επεξεργασίας
  1. Το πιο υψηλό ζήτημα των αλλαγών είναι το ευρέως συζητημένο “Δικαίωμα στη Λήθη” (το οποίο τώρα αποκαλείται “δικαίωμα διαγραφής”). Αυτό το δικαίωμα διαγραφής μπορεί να ενεργοποιηθεί σε ορισμένες συγκεκριμένες καταστάσεις, ακόμη και όταν το υποκείμενο των δεδομένων αποσύρει τη συγκατάθεσή του ή εάν δεν υπάρχει πλέον καμία αιτιολόγηση για την επεξεργασία των προσωπικών δεδομένων.

Ποιες επιχειρήσεις αφορά το GDPR

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων GDPR

  • ισχύει για κάθε οργανισμό και εταιρεία που λειτουργεί εντός της Ευρωπαϊκής Ένωσης. Καθώς και για οποιαδήποτε εταιρεία ή οργανισμό εκτός της Ευρωπαϊκής Ένωσης που προσφέρει αγαθά ή υπηρεσίες σε πελάτες ή επιχειρήσεις στην Ευρωπαϊκή Ένωση.
  • Αυτό τελικά σημαίνει ότι σχεδόν κάθε μικρή, μεσαία ή μεγάλη εταιρεία στον κόσμο θα πρέπει να είναι έτοιμη όταν τεθεί σε εφαρμογή ο Γενικός κανονισμός προστασίας δεδομένων (GDPR).
  • Και αφορά όλους όσους κάνουν:
  • Συλλογή δεδομένων
  • Αποθήκευση δεδομένων
  • Χρήση / επαναχρησιμοποίηση δεδομένων
  • Επεξεργάζονται δεδομένα για άλλες εταιρείες

Ποια θεωρούνται προσωπικά δεδομένα 

Τα είδη δεδομένων που θεωρούνται προσωπικά βάσει της ισχύουσας νομοθεσίας περιλαμβάνουν όνομα, διεύθυνση και φωτογραφίες.

Το GDPR επεκτείνει τον ορισμό των προσωπικών δεδομένων έτσι ώστε μια διεύθυνση IP να μπορεί να θεωρηθεί προσωπικό δεδομένο.

Περιλαμβάνει επίσης ευαίσθητα προσωπικά δεδομένα, όπως γενετικά δεδομένα, και βιομετρικά δεδομένα που θα μπορούσαν να υποβληθούν σε επεξεργασία για να εντοπιστεί με μοναδικό τρόπο ένα άτομο

Πιο αναλυτικά:

ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΜΗ ΕΥΑΙΣΘΗΤΑ:

Στοιχεία αναγνώρισης: Προσωπικά στοιχεία, στοιχεία ληξιαρχείου, καταγωγή, στοιχεία ταυτότητας, λοιπά στοιχεία αναγνώρισης.

Προσωπικά χαρακτηριστικά: φυσικά χαρακτηριστικά, ενδιαφέροντα, συνήθειες, μετακινήσεις ταξίδια, στοιχεία προσωπικότητας.

Οικογενειακές συνθήκες: Έγγαμος βίος, οικογενειακή κατάσταση, κοινωνικές επαφές, λοιπά στοιχεία οικογενειακών συνθηκών

Εκπαίδευση: δεδομένα ακαδημαΪκής δραστηριότητας, τομείς ειδίκευσης και πιστοποιητικά, σπουδαστικό ή μαθητικό αρχείο, εγγραφή σε επιτροπές, επαγγελματική ειδίκευση, λοιπά στοιχεία εκπαίδευσης

Οικονομική κατάσταση: έσοδα, περιουσιακά στοιχεία, επενδύσεις, απολογισμός εξόδων, δάνεια, υποθήκες, πιστώσεις, επιδόματα, εργασιακά προνόμια, επιχορηγήσεις, δεδομένα ασφάλειας σύνταξης ή γήρατος, αγαθά και υπηρεσίες που προσφέρονται στο άτομο, αγαθά και υπηρεσίες που προσφέρει το άτομο, τραπεζικοί λογαριασμοί, πιστωτικές κάρτες, κληρονομιά , αποζημίωση, λοιπά στοιχεία οικονομικής κατάστασης

Εργασία: παρούσα εργασία, δεδομένα πρόσληψης, Ιστορικό εργασίας, εργασιακή συμπεριφορά, περιγραφή εργασίας, αξιολόγηση εργασίας, εκπαιδευτικό αρχείο, δεδομένα ασφάλειας, αμοιβές και κρατήσεις, εργασιακές παροχές, λοιπα στοιχεία εργασίας.

Δεδομένα ηλεκτρονικών επικοινωνιών: Δεδομένα θέσης, δεδομένα κίνησης.

ΠΡΟΣΩΠΙΚΑ ΕΥΑΙΣΘΗΤΑ ΔΕΔΟΜΕΝΑ

Φυλετική ή Εθνική προέλευση: εθνική καταγωγή, μειονότητες,  φυλετική προέλευση.

Πολιτικά φρονήματα:   δεδομένα πολιτικών πεποιθήσεων

Θρησκευτικές πεποιθήσεις: δεδομένα θρησκευτικής πίστης

Φιλοσοφικές πεποιθήσεις: Δεδομένα φιλοσοφικών πεποιθήσεων

Συνδικαλιστική δράση: συνδικαλιστική δραστηριότητα

Υγεία: φυσική κατάσταση, πνευματική κατάσταση, ανικανότητες και αναπηρίες, διαιτητικές ή άλλες σχετικές ανάγκες, ιατρικό ιστορικό ασθενούς, χορήγηση φαρμάκων, λοιπά στοιχεία υγείας.

Κοινωνική πρόνοια (για φορείς με συναφή αντικείμενο): Ασφάλιση, σύνταξη

Ερωτική ζωή: σεξουαλική ζωή

Ποινικές διώξεις: καταγγελίες, διώξεις, Διοικητικά μέτρα, διοικητικές ποινές.

Καταδίκες: αποφάσεις δικαστηρίων, ποινικό μητρώο,

 

Τι πρέπει να κάνουν οι επιχειρήσεις για την εφαρμογή του GDPR

Με μια πρόταση αυτό που θα πρέπει να κάνουν οι επιχειρήσεις είναι απλό. Θα πρέπει να προστατεύουν τα δικαιώματα των ατόμων που τους δίνουν τα δεδομένα τους. Ακολουθούν τα σημεία που θα πρέπει να προσέξουν οι επιχειρήσεις κατά την προετοιμασία τους και την εφαρμογή του κανονισμού:

Επικοινωνία

Επικοινωνήστε με τα άτομα που σας δίνουν τα δεδομένα τους χρησιμοποιώντας απλή γλώσσα. Πρέπει να τους λέτε ποιοι είστε όταν ζητάτε τα δεδομένα τους, τον λόγο που τα επεξεργάζεστε, για πόσο καιρό θα τα φυλάξετε και ποιος θα τα λαμβάνει.

Συγκατάθεση

Θ πρέπει να λάβετε τη ρητή συγκατάθεσή τους για την επεξεργασία των δεδομένων τους. Σε περίπτωση που συλλέγετε δεδομένα από παιδιά για τα μέσα κοινωνικής δικτύωσης θα πρέπει να ελέγξτε το όριο ηλικίας για τη συγκατάθεση των γονιών τους.

Πρόσβαση και δυνατότητα μεταφοράς

Θα πρέπει να δώστε στα άτομα πρόσβαση στα δεδομένα τους και να τους επιτρέψετε να τα δώσουν σε άλλη εταιρεία (π.χ. φορητότητα σύνδεσης τηλεφώνου, ηλεκτρικής ενέργειας κλπ).

Προειδοποιήσεις

Θα πρέπει να ενημερώστε τα άτομα σχετικά με παραβιάσεις των δεδομένων τους αν ενέχει σοβαρός κίνδυνος για αυτούς.

Διαγραφή δεδομένων

Θα πρέπει να τους δώστε το «δικαίωμα στη λήθη», δηλαδή να διαγράψτε τα προσωπικά τους δεδομένα αν σας το ζητήσουν, αλλά μόνο αν δεν θίγεται η ελευθερία έκφρασης ή η δυνατότητα διεξαγωγής έρευνας.

Μάρκετινγκ

Θα πρέπει να δώστε στα άτομα το δικαίωμα να εξαιρεθούν από πρακτικές άμεσου μάρκετινγκ που χρησιμοποιούν τα δεδομένα τους. Αυτό θα έχει άμεσο αντίκτυπο στην μείωση του spam mail και των ενοχλητικών τηλεφωνικών οχλήσεων για όλους μας ως καταναλωτές.

Προστασία ευαίσθητων δεδομένων

Θα πρέπει να χρησιμοποιείτε πρόσθετα μέτρα για την προστασία ευαίσθητων πληροφοριών. Δηλαδή πληροφοριών που αφορούν την υγεία των ατόμων, τη φυλή τους, τον σεξουαλικό προσανατολισμό τους, τη θρησκεία τους και τις πολιτικές τους πεποιθήσεις.

Διαβίβαση δεδομένων εκτός της ΕΕ

Θα πρέπει να συνάψετε νομικές συμφωνίες όταν πρόκειται να διαβιβάζετε δεδομένα σε χώρες που δεν έχουν λάβει έγκριση από τις αρχές της ΕΕ.

Τι άλλο θα πρέπει να προσέξετε:

Μεριμνήστε για την προστασία των δεδομένων από τον σχεδιασμό

Θα πρέπει να αναπτύξτε μέτρα προστασίας στα προϊόντα και τις υπηρεσίες σας από τα πρώιμα στάδια ανάπτυξης τους ώστε να εφαρμόζουν τον κανονισμό.

Επεξεργασία δεδομένων για άλλη εταιρεία;

Θα πρέπει να σιγουρευτείτε ότι έχετε συνάψει μια δεσμευτική σύμβαση η οποία θα απαριθμεί τις ευθύνες κάθε συμβαλλόμενου μέρους.

Ελέγξτε αν χρειάζεστε υπεύθυνο (DPO) για την προστασία των δεδομένων

Η ύπαρξη DPO δεν είναι πάντα υποχρεωτική. Εξαρτάται από τον τύπο και τον αριθμό των δεδομένων που συλλέγετε, και από το αν η επεξεργασία είναι η κύρια επιχειρηματική σας δραστηριότητα και αν το κάνετε σε μεγάλη κλίμακα.

Ποιο είναι το κόστος της μη συμμόρφωσης με τον Κανονισμό

Η τοπική Αρχή Προστασίας Δεδομένων – υπεύθυνη για την εφαρμογή του Κανονισμού θα παρακολουθεί τη συμμόρφωση με αυτόν ενώ οι εργασίες τους συντονίζονται σε επίπεδο ΕΕ.

Το κόστος της παραβίασης των κανόνων μπορεί να είναι υψηλό.

  1. Προειδοποίηση
  2. Επίπληξη
  3. Αναστολή της επεξεργασίας δεδομένων
  4. Πρόστιμο έως και 20 εκατομμύρια € ή το 4% του συνολικού ετήσιου κύκλου εργασιών

Έτσι όταν προστατεύετε τα δεδομένα σας, προστατεύετε ουσιαστικά την επιχείρησή σας.

Η λογική πίσω από τα τεράστια πρόστιμα που αφορούν την νομοθεσία είναι αρκετά απλή: οι υψηλότερες κυρώσεις για τη μη συμμόρφωση θεωρούνται ότι οδηγούν σε υψηλότερα επίπεδα συμμόρφωσης.

Θα γίνει όλο και πιο δύσκολο για τις επιχειρήσεις να αποδεχθούν απλώς ένα ορισμένο επίπεδο κινδύνου όταν χειρίζονται προσωπικά δεδομένα, επειδή οι ποινές είναι τώρα ιδιαίτερα υψηλές.

*Τα στοιχεία είναι από το Τμήμα Δικαιοσύνης της Ευρωπαϊκής Επιτροπής

Εάν έχεις περισσότερες απορίες για αυτό ή κάποιο άλλο θέμα για τη προβολή της εταιρίας σου στο διαδίκτυο, επικοινώνησε μαζί μας και με χαρά θα σας απαντήσουμε.

Στην ιδιωτική ομάδα μας στο Facebook «Ορατή επιχείρηση στα Social media»,  , συζητάμε κάθε βδομάδα παρόμοια θέματα. Γίνε μέλος και παρακολούθησε τες όλες.

Ακολουθήστε τις σελίδες μας στο Facebook και στο Instagram για περισσότερα tips και άκουσε το Podcast κανάλι μας στο SpotigyQ  “Σόσιαλ περιεχόμενο απλά και χαλαρά”