Ο Γενικός Κανονισμός Προστασίας Δεδομένων ή αλλιώς General Data Protection Regulation (GDPR) είναι ο κανονισμός της Ε.Ε. που αφορά την προστασία των προσωπικών δεδομένων φυσικών προσώπων.

Ποιους αφορά ο GDPR;

Η εφαρμογή του GDPR είναι υποχρεωτική για όλους τους δημόσιους και ιδιωτικούς φορείς και επιχειρήσεις, ανεξαρτήτως νομικής μορφής (ατομικές, ΕΕ, ΟΕ, ΕΠΕ, ΙΚΕ, ΑΕ) που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. Με τον όρο «Επεξεργασία» εννοούμε τη συλλογή, διατήρηση, οργάνωση, διαβίβαση πληροφοριών που αφορούν φυσικά πρόσωπα (ταυτοποιημένα ή ταυτοποιήσιμα). Οι υποχρεώσεις αυτές διαφοροποιούνται ανάλογα με τη φύση της επεξεργασίας.

Ποιες είναι οι δυο βασικές καινοτομίες του GDPR;

Η Αρχή της λογοδοσίας δεν επιβάλλει απλά στους υπευθύνους επεξεργασίας να είναι διαρκώς συμμορφωμένοι με τον GDPR, αλλά να μπορούν ταυτόχρονα και να το αποδεικνύουν. Δηλαδή, να διαθέτουν το φυσικό ή ψηφιακό υλικό που αποδεικνύει ότι τηρούν τις υποχρεώσεις τους.

Ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ) είναι υπεύθυνος για την παρακολούθηση της συμμόρφωσης ενός οργανισμού με τον GDPR και ο ρόλος του είναι συμβουλευτικός. Eπιπλέον, ο GDPR αναβάθμισε προϋπάρχουσες υποχρεώσεις, δικαιώματα των υποκειμένων των δεδομένων και έθεσε υψηλότερο επίπεδο και αξιώσεις προστασίας.

Ποιες είναι οι πηγές των κινδύνων και οι κίνδυνοι από τη μη συμμόρφωση;

  • Εργαζόμενοι-συνεργάτες:
    • Μη ομαλή εξέλιξη σχέσεων (καταγγελία για παραβίαση ΓΚΠΔ)
    • Συχνή εναλλαγή προσωπικού
    • Σφάλματα κατά τη διαχείριση δεδομένων
  • Δυσαρεστημένοι πελάτες
  • Κακόβουλοι τρίτοι
  • Συμβάντα ασφαλείας
  • Μεταβολή νομοθεσίας
  • Παράνομη κοινοποίηση δεδομένων
  • Παράνομη επεξεργασία
  • Επιβολή υψηλών διοικητικών προστίμων
  • Αγωγές αποζημίωσης υποκειμένων
  • Βλάβη φήμης
  • Επιπλοκές σε συνεργασίες

Τι κυρώσεις προβλέπονται σε περιπτώσεις μη συμμόρφωσης;

Ανάλογα με το είδος της παραβίασης, η μη συμμόρφωση με τον Κανονισμό μπορεί να επιφέρει διοικητικά πρόστιμα – κυρώσεις, τα οποία δύνανται να ανέλθουν στα 20 εκατομμύρια ευρώ.

Πώς αποδεικνύεται η συμμόρφωση με τον GDPR;

Η συμμόρφωση με τον GDPR, δηλαδή η εκπλήρωση των υποχρεώσεων που απορρέουν ευθέως από τον GDPR αποδεικνύεται με την εκπόνηση, υιοθέτηση, εφαρμογή και επαναξιολόγηση ενός Συστήματος Διαχείρισης Δεδομένων. Σύστημα Διαχείρισης Δεδομένων (ΣΔΔ) καλείται η λειτουργική ενότητα Κανονιστικών, Οργανωτικών και Τεχνικών μέτρων που διασφαλίζουν την ορθή επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Τα κύρια στοιχεία του Συστήματος Διαχείρισης Δεδομένων

  • Πολιτικές προστασίας δεδομένων (Πολιτική Απορρήτου) για όλες τις επεξεργασίες
  • Διαδικασίες ελέγχου εφαρμογής των πολιτικών προστασίας
  • Διαδικασία ελέγχου τήρησης αρχών επεξεργασίας και νομίμων βάσεων επεξεργασίας
  • Διαδικασίες ανταπόκρισης στα αιτήματα των υποκειμένων
  • Πολιτική Ασφαλείας – Σχέδιο Ασφαλείας
  • Σχέδιο για την περίπτωση παραβίασης δεδομένων
  • Συμβάσεις (DPAs) με εκτελούντες την επεξεργασία
  • Ρήτρες εμπιστευτικότητας για εργαζόμενους/συνεργάτες
  • Στοιχεία Εκπαίδευσης προσωπικού

Εκτίμηση αντικτύπου προστασίας δεδομένων (DPIA)

Η Εκτίμηση αντικτύπου προστασίας δεδομένων (ΕΑΠΔ) αποτελεί ειδική μελέτη σύμφωνα με τον ΓΚΠΔ σε περιπτώσεις, μεταξύ άλλων, όπου διενεργείται επεξεργασία με τη βοήθεια νέων τεχνολογιών (πληροφοριακά συστήματα, αυτοματοποιημένα μέσα, κλπ) και, ανάλογα με τους σκοπούς, τη φύση και το είδος των δεδομένων, ενδέχεται να προκύπτουν υψηλοί κίνδυνοι για τα δικαιώματα των φυσικών προσώπων. Η ΕΑΠΔ πραγματοποιείται πριν την έναρξη της επεξεργασίας από τον Υπεύθυνο Επεξεργασίας. Για την ΕΑΠΔ γνωμοδοτεί ο Υπεύθυνος Προστασίας Δεδομένων, εφόσον έχει οριστεί.

Καθήκοντα του Υπευθύνου Προστασίας Δεδομένων (DPO)

Ο DPO προάγει την κουλτούρα της προστασίας προσωπικών δεδομένων εντός του οργανισμού ή φορέα. Τα ελάχιστα καθήκοντα του DPO είναι τα ακόλουθα:

  • Να ενημερώνει και να συμβουλεύει τον οργανισμό και τους υπαλλήλους του σχετικά με τις υποχρεώσεις τους που απορρέουν από τον Κανονισμό και άλλες διατάξεις περί προστασίας δεδομένων.
  • Να παρακολουθεί την εσωτερική συμμόρφωση με τον Κανονισμό και άλλες διατάξεις περί προστασίας δεδομένων (π.χ. προσδιορισμός και διαχείριση δραστηριοτήτων επεξεργασίας, εκπαίδευση προσωπικού, διενέργεια εσωτερικών ελέγχων).
  • Να παρέχει συμβουλές για την εκτίμηση αντικτύπου και να παρακολουθεί την υλοποίησή της.
  • Να είναι το πρώτο σημείο επαφής για τις εποπτικές αρχές και τα υποκείμενα των δεδομένων (εργαζόμενοι, πελάτες κ.λπ.).
  • Να συνεργάζεται με την εποπτική αρχή και ενεργεί ως σημείο επικοινωνίας για αυτή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης.
Για περισσότερα: