Σε ισχύ ο νέος ευρωπαϊκός νόμος προστασίας δεδομένων, GDPR: Όσα πρέπει να γνωρίζετε

Τη μεγαλύτερη μεταρρύθμιση/ αναπροσαρμογή όσον αφορά στους νόμους προστασίας προσωπικών δεδομένων εδώ και 20 χρόνια συνιστά ο ευρωπαϊκός Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR- ΓΚΠΔ).

 

Ο νόμος τίθεται σε εφαρμογή σήμερα, 25 Μαΐου, προσφέροντας στους πολίτες της ΕΕ νέα δικαιώματα ως προς το πώς χρησιμοποιούνται τα προσωπικά τους δεδομένα. Οι εταιρείες που δραστηριοποιούνται στην Ευρωπαϊκή Ένωση θα έχουν να κάνουν με νέους κανόνες ως προς το πώς διαχειρίζονται τα δεδομένα των πολιτών, ενώ επιβάλλονται νέες, αυστηρότερες ποινές για την παραβίαση του νόμου.

Γενικότερα μιλώντας, ο νόμος έχει σχεδιαστεί για να επιτρέπει σε μεμονωμένα άτομα να έχουν μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων και επιβάλλει νέες υποχρεώσεις σε οργανισμούς που συλλέγουν, διαχειρίζονται ή αναλύουν τέτοιου είδους δεδομένα- συμπεριλαμβανομένων των οργανισμών εκτός της ΕΕ, όπως μεγάλες αμερικανικές εταιρείες τεχνολογίας/ κοινωνικής δικτύωσης κλπ (χαρακτηριστικό παράδειγμα το Facebook, που βρέθηκε πρόσφατα στο επίκεντρο του σκανδάλου της Cambridge Analytica ως προς το ζήτημα της προστασίας των δεδομένων των χρηστών του- ή, για την ακρίβεια, της ανεπάρκειας αυτής).

Ακολουθούν τα βασικά χαρακτηριστικά του νόμου:

Τι διέπει ο GDPR

Όπως αναφέρεται σε σχετική ιστοσελίδα της ΕΕ, ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, ρυθμίζει την επεξεργασία από άτομο, εταιρεία ή οργανισμό των δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα στην ΕΕ. Δεν υπάγεται σε αυτόν η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποθανόντων προσώπων ή νομικών προσώπων.

«Οι κανόνες δεν εφαρμόζονται σε δεδομένα που υποβάλλονται σε επεξεργασία από ένα άτομο για αυστηρά προσωπικούς λόγους ή για δραστηριότητες που διενεργούνται κατ’ οίκον, υπό την προϋπόθεση ότι δεν συνδέονται με κάποια επαγγελματική ή εμπορική δραστηριότητα. Όταν ένα άτομο χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα εκτός της ιδιωτικής σφαίρας, παραδείγματος χάρη για κοινωνικοπολιτιστικές ή χρηματοοικονομικές δραστηριότητες, τότε το δίκαιο περί προστασίας δεδομένων πρέπει να τηρείται» υπογραμμίζεται σχετικά.

Νέος ορισμός των προσωπικών δεδομένων

Στο πλαίσιο του GDPR, προσωπικά δεδομένα αποτελεί οτιδήποτε σχετίζεται με ένα ταυτοποιημένο ή ταυτοποιήσιμο άτομο- για παράδειγμα όνομα, διεύθυνση, διεύθυνση email, δεδομένα τοποθεσίας ή διεύθυνση IP. Επιπλέον ευαίσθητα δεδομένα, όπως οι θρησκευτικές πεποιθήσεις, η φυλετική ή εθνοτική καταγωγή, ο σεξουαλικός προσανατολισμός ή η συμμετοχή σε συνδικαλιστικούς φορείς, υπάγονται σε επιπλέον προστασία.

 

 

Ισχυρότερα δικαιώματα για τους Ευρωπαίους

Οι πολίτες της ΕΕ θα έχουν το δικαίωμα να:

  • -Λαμβάνουν ξεκάθαρες και κατανοητές πληροφορίες σχετικά με το ποιος επεξεργάζεται τα δεδομένα τους και γιατί.
  • -Έχουν πρόσβαση σε δεδομένα για τους ίδιους που έχει στην κατοχή του ένας οργανισμός.
  • -Διορθώνουν δεδομένα εάν αυτά είναι λάθος.
  • -Μεταφέρουν δεδομένα από έναν πάροχο υπηρεσιών, όπως μια υπηρεσία email ή κοινωνικό δίκτυο, σε έναν άλλο. Ειδικότερα, ο κανονισμός εισάγει νέο δικαίωμα φορητότητας των δεδομένων, το οποίο θα επιτρέπει στους πολίτες να ζητούν από μια εταιρεία ή έναν οργανισμό να τους επιστρέψει τα προσωπικά δεδομένα προσωπικού χαρακτήρα που είχαν παράσχει στην εν λόγω εταιρεία ή στον εν λόγω οργανισμό και θα επιτρέπει επίσης την άμεση διαβίβαση των εν λόγω δεδομένων προσωπικού χαρακτήρα σε άλλη εταιρεία ή άλλο οργανισμό, όταν αυτό είναι τεχνικά εφικτό.

 

Αυστηρότερες ποινές

 

Ο GDPR προβλέπει πρόστιμα 2%-4% των ετησίων εσόδων μιας εταιρείας ή 20 εκατομμυρίων ευρώ- οποιοδήποτε είναι υψηλότερο.

Αυστηρότεροι κανόνες ως προς τη συναίνεση

Οι εταιρείες θα πρέπει να λαμβάνουν τη σαφή και ξεκάθαρη συναίνεση των πολιτών για να επεξεργάζονται τα δεδομένα τους. Επίσης, οι χρήστες θα πρέπει να κάνουν opt-in για την επεξεργασία των δεδομένων τους (να την επιλέγουν οι ίδιοι): Το να τους παρέχεται απλά η δυνατότητα opt-out (να επιλέξουν να μη γίνεται) δεν επαρκεί. Εν ολίγοις, οι εταιρείες δεν θα έχουν πλέον τη δυνατότητα να ζητούν από τους καταναλωτές να κάνουν ένα «tick» σε ένα κουτάκι μετά από μια μακρά σειρά όρων και κανονισμών, τους οποίους οι περισσότεροι δεν διαβάζουν ποτέ.

Ποια είναι η εμβέλειά του

Ο GDPR θα ισχύει για κάθε εταιρεία που έχει πελάτες στην ΕΕ, είτε η εταιρεία αυτή εδρεύει στην Ένωση είτε όχι.

Νέοι κανόνες για «data controllers» και «data processors»

Ο GDPR κάνει διάκριση μεταξύ «controllers» (οι έχοντες τον έλεγχο) και «processors» (αυτοί που κάνουν επεξεργασία) δεδομένων. Ένας data controller καθορίζει γιατί τα προσωπικά δεδομένα πρέπει να συλλέγονται και να υφίστανται επεξεργασία, καθώς και το πώς. Ένας data processor επεξεργάζεται μόνο προσωπικά δεδομένα εκ μέρους του controller, και είναι συνήθως μια «τρίτη» εταιρεία. Για παράδειγμα, ένα κατάστημα που προσλαμβάνει μια εταιρεία human resources να διαχειρίζεται τις πληρωμές και άλλες λειτουργίες της είναι ο data controller, ενώ η εταιρεία human resources είναι ο data processor. Στο πλαίσιο του GDPR, οι data processors πρέπει να εγγυώνται τον ίδιο βαθμό προστασίας με τους controllers και να διασφαλίζεται πως τηρούνται οι προδιαγραφές που επιβάλλει ο νόμος. Πρέπει να υπάρχει επίσημη, νομικά δεσμευτική συμφωνία μεταξύ ενός processor και ενός controller, και ο processor δεν θα μπορεί να εμπλέξει άλλη εταιρεία στην επεξεργασία, χωρίς τη συναίνεση του controller.

Η νομιμότητα της επεξεργασίας δεδομένων

Οι εταιρείες που επεξεργάζονται προσωπικά δεδομένα πρέπει να διασφαλίζουν ότι η επεξεργασία αυτή είναι νόμιμη, δίκαιη και με διαφάνεια. Δεν μπορούν να χρησιμοποιούν δεδομένα για σκοπούς άλλους από αυτούς για τους οποίους συνελέγησαν, με περιορισμένες εξαιρέσεις.

Η επεξεργασία δεδομένων είναι νόμιμη εάν:

  • -Ο χρήστης έχει συναινέσει σε αυτήν
  • -Είναι απαραίτητη για την εκπλήρωση ενός συμβολαίου
  • -Είναι απαραίτητη για να τηρηθεί μια νομική υποχρέωση υπό τον νόμο της ΕΕ ή της εθνικής νομοθεσίας του κράτους-μέλους
  • -Είναι απαραίτητη για να προστατευθούν τα ζωτικής σημασίας συμφέροντα ενός ατόμου
  • -Είναι απαραίτητη για την πραγματοποίηση ενός έργου προς το δημόσιο συμφέρον, υπό τους νόμους της ΕΕ ή του κράτους-μέλους
  • -Είναι στο νόμιμο συμφέρον της εταιρείας, αρκεί να μην παραβιάζει τα θεμελιώδη δικαιώματα και ελευθερίες του ατόμου

Εάν μια εταιρεία έχει συλλέξει δεδομένα στη βάση της συναίνεσης, τότε δεν μπορεί να τα χρησιμοποιήσει για άλλους σκοπούς.

Ενημερώσεις περί παραβίασης δεδομένων

Οι εταιρείες πρέπει να ενημερώνουν τις αρμόδιες αρχές προστασίας προσωπικών δεδομένων για παραβιάσεις εντός 72 ωρών από τη στιγμή που τις αντιλήφθηκαν, εάν υπάρχει περίπτωση να έχουν επιπτώσεις σε δικαιώματα φυσικών προσώπων. Εάν η παραβίαση συνιστά υψηλό κίνδυνο για τους χρήστες, τότε η εταιρεία πρέπει να τους ενημερώνει χωρίς καμία αδικαιολόγηση καθυστέρηση.

«One stop»

O GDPR περιλαμβάνει έναν μηχανισμό «one stop» για να διευκολύνει τις εταιρείες που δραστηριοποιούνται ανά την ΕΕ, όπως για παράδειγμα το Facebook, η Google και η Mastercard. Οι εταιρείες που επεξεργάζονται δεδομένα στην Ένωση θα έχουν μια αρμόδια αρχή στη χώρα όπου έχουν τη βάση τους, όπως για παράδειγμα η Ιρλανδία για το Facebook. Η αρχή αυτή θα είναι το κύριο σημείο επαφής για την εταιρεία και θα είναι υπεύθυνη για να διασφαλίζεται η τήρηση του GDPR. Σε περιπτώσεις που αφορούν σε πολίτες διαφόρων χωρών η αρχή αυτή θα συντονίζει τις δραστηριότητές της με άλλες, «ομόλογες» αρχές. Εάν υπάρχουν διαφωνίες μεταξύ των αρχών αυτών, τότε ένας νέος φορέας, το EDPB (European Data Protection Board- Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων) θα λαμβάνει τις τελικές αποφάσεις.

Άμεση εφαρμογή

Σημειώνεται πως ο κανονισμός έχει άμεση εφαρμογή σε όλα τα κράτη μέλη: Τίθεται σε ισχύ και εφαρμόζεται ανεξάρτητα από οποιεσδήποτε διατάξεις εθνικού δικαίου. Σύμφωνα με τον κανονισμό, τα κράτη μέλη πρέπει να λάβουν τα αναγκαία μέτρα για να προσαρμόσουν τη νομοθεσία τους, με κατάργηση και τροποποίηση υφιστάμενων πράξεων, τη σύσταση εθνικών αρχών προστασίας των δεδομένων, την επιλογή φορέα πιστοποίησης και τη θέσπιση κανόνων για τον συμβιβασμό της ελευθερίας έκφρασης και της προστασίας των δεδομένων.

Επίσης, ο κανονισμός παρέχει στα κράτη μέλη τη δυνατότητα να καθορίζουν πιο ειδικές διατάξεις για την εφαρμογή των κανόνων για την προστασία των δεδομένων σε συγκεκριμένους τομείς (δημόσιος τομέας, απασχόληση και κοινωνική ασφάλιση, προληπτική και επαγγελματική ιατρική, δημόσια υγεία κ.α.).

Επιπλέον, όσον αφορά τα γενετικά δεδομένα, τα βιομετρικά δεδομένα και τα δεδομένα σχετικά με την υγεία, ο κανονισμός εξουσιοδοτεί τα κράτη μέλη να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς.

Όπως σημειώνεται σε σχετική ανακοίνωση της Κομισιόν την Πέμπτη, στο παρόν στάδιο, μόνο δύο κράτη μέλη έχουν θεσπίσει ήδη τη σχετική εθνική νομοθεσία (Γερμανία και Αυστρία)- τα λοιπά κράτη μέλη βρίσκονται σε διάφορα στάδια της νομοθετικής τους διαδικασίας. Η Κομισιόν θα παρακολουθεί στενά την εφαρμογή των νέων κανόνων και, όπως υπογραμμίζεται, θα είναι έτοιμη να αναλάβει δράση σε περίπτωση που παρουσιαστούν σημαντικά προβλήματα. Σε περίπτωση που κράτος μέλος δεν λάβει τα αναγκαία μέτρα που απαιτούνται βάσει του κανονισμού, καθυστερήσει να λάβει μέτρα ή χρησιμοποιήσει τις δυνατότητες θέσπισης πιο ειδικών διατάξεων που προβλέπονται στον κανονισμό κατά τρόπο αντίθετο προς τον κανονισμό, η Κομισιόν «θα χρησιμοποιήσει όλα τα μέσα που έχει στη διάθεσή της, συμπεριλαμβανομένης της κίνησης διαδικασίας επί παραβάσει».

Πού απευθύνεστε εάν παραβιαστούν τα δικαιώματά σας

Στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.