Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ αποτελεί τη μεγαλύτερη αλλαγή στην νομοθεσία περί προστασίας των δεδομένων τα τελευταία 20 χρόνια και έχει άμεση εφαρμογή σε όλα τα Κράτη-Μέλη από 25/05/2018 χωρίς την προϋπόθεση κρατικής νομοθεσίας.
Σκοπός του κανονισμού
Σκοπός της εφαρμογής είναι η άρση των νομικών ασαφειών και της ανασφάλειας που δημιουργούσε το προηγούμενο νομικό πλαίσιο, η ενδυνάμωση θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων καθώς και η ομοιομορφία του νομικού πλαισίου σε όλα τα κράτη-μέλη.
Ο νόμος αφορά επιχειρήσεις εντός ΕΕ, αλλά και εκείνες είτε με έδρα την ΕΕ και τόπο διεξαγωγής επεξεργασίας εκτός ΕΕ, είτε έδρα εκτός ΕΕ και τόπο διεξαγωγής επεξεργασίας εντός ΕΕ.
Κριτήριο Εφαρμογής
Ο Κανονισμός 2016/679 έχει εφαρμογή σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις, κρατικές αρχές, συλλόγους, κλπ.) που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα, είτε έχουν έδρα και δραστηριότητα σε χώρα της Ευρωπαϊκής Ένωσης είτε όχι, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς Ευρωπαίους πολίτες.
Έλεγχος και κυρώσεις
Παρέχεται στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα το δικαίωμα ελέγχου συμμόρφωσης με τον Κανονισμό.
Σε περίπτωση παραβίασης προβλέπονται πρόστιμα ύψους 10.000.000 ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (ανάλογα με το ποιο είναι υψηλότερο) για παραβιάσεις των υποχρεώσεων των άρ.8, 11, 25 έως 39, 41 παρ.4, 42 και 43 και πρόστιμα ύψους 20.000.000 ευρώ ή 4% του συνολικού παγκόσμιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (ανάλογα με το ποιο είναι υψηλότερο) για παραβιάσεις των βασικών αρχών (αρ.5,6,7,9), δικαιωμάτων Υποκειμένων (άρ.12 έως 22) και των προϋποθέσεων διαβίβασης σε αποδέκτη σε 3η χώρα (άρ.44 έως 49). Τέλος, ορίζεται δικαίωμα αποζημίωσης του υποκειμένου και ευθύνη του υπεύθυνου επεξεργασίας.
ΟΙ ΒΑΣΙΚΕΣ ΑΛΛΑΓΕΣ ΠΟΥ ΕΠΙΦΕΡΕΙ Ο ΚΑΝΟΝΙΣΜΟΣ
1.ΑΥΞΗΜΕΝΑ ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
2.ΕΝΙΣΧΥΣΗ ΤΗΣ ΠΑΙΔΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ
3.ΓΝΩΣΤΟΠΟΙΗΣΗ ΠΑΡΑΒΙΑΣΗΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
4.ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΗΔΗ ΑΠΟ ΤΟ ΣΧΕΔΙΑΣΜΟ ΚΑΙ ΕΞ ΟΡΙΣΜΟΥ (DATA PROTECTION BY DESIGN AND BY DEFAULT)
5.ΑΥΣΤΗΡΟΠΟΙΗΣΗ ΤΩΝ ΠΡΟΥΠΟΘΕΣΕΩΝ ΤΗΣ ΠΑΡΟΧΗΣ ΣΥΓΚΑΤΑΘΕΣΗΣ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
6.ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
7.ΑΡΧΕΙΑ ΤΩΝ ΔΡΑΣΤΗΡΙΟΤΗΤΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ
8.ΟΡΙΣΜΟΣ ΥΠΕΥΘΥΝΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (DATA PROTECTION OFFICER)
Τήρηση των αρχών που διέπει ο κανονισμός
Ο νέος κανονισμός ενισχύει το καθιερωμένο πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα, καθιερώνοντας νέες υποχρεώσεις για τον υπεύθυνο επεξεργασίας προσωπικών δεδομένων με 3 βασικούς άξονες: την τήρηση προκαθορισμένων βασικών αρχών για την επεξεργασία των προσωπικών δεδομένων, τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων και την ενίσχυση των δικαιωμάτων των υποκειμένων ως αυτές αναλυτικά παρουσιάζονται παρακάτω:
1. ΝΟΜΙΜΟΤΗΤΑ-ΑΝΤΙΚΕΙΜΕΝΙΚΟΤΗΤΑ-ΔΙΑΦΑΝΕΙΑ
Η επεξεργασία των δεδομένων γίνεται με νόμιμο, θεμιτό και διαφανή τρόπο.
2. ΠΕΡΙΟΡΙΣΜΟΣ ΤΟΥ ΣΚΟΠΟΥ
Η συλλογή των δεδομένων πραγματοποιείται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς.
3. ΕΛΑΧΙΣΤΟΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ
Τα δεδομένα είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.
4. ΑΚΡΙΒΕΙΑ
Τα δεδομένα πρέπει να είναι ακριβή, επικαιροποιημένα και πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή σε σχέση με τους σκοπούς της επεξεργασίας.
5. ΠΕΡΙΟΡΙΣΜΟΣ ΠΕΡΙΟΔΟΥ ΑΠΟΘΗΚΕΥΣΗΣ
Τα δεδομένα διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
6. ΑΚΕΡΑΙΟΤΗΤΑ-ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ
Τα δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα.
Απαραίτητα τεχνικά και οργανωτικά μέτρα
• Εφαρμογή μέτρων προστασίας των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού (by design and by default)
• Τήρηση του αρχείου δραστηριοτήτων
• Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων
• Ορισμός Υπεύθυνου Προστασίας Προσωπικών Δεδομένων (Data Protection Officer – DPO)
• Εκπόνηση και τήρηση Κώδικα Δεοντολογίας
Σε αυτό το πλαίσιο είναι σαφές πως η συμμόρφωση στο νέο αυτό Κανονισμό αποτελεί ένα εξαιρετικά σύνθετο έργο για το οποίο οι περισσότερες εταιρείες δεν είναι προετοιμασμένες και χρειάζονται την υποστήριξη ειδικών που μπορούν να παρέχουν όλο το φάσμα συμβουλευτικής και υπηρεσιών τεχνικού, εκπαιδευτικού, στρατηγικού και οργανωτικού χαρακτήρα σε θέματα πληροφορικής και ασφάλειας πληροφοριακών συστημάτων.
Kαλύπτοντας πλέον των αναγκών συμμόρφωσης με τους διεθνείς και εθνικούς κανονισμούς και την ουσιαστική θωράκιση του πελάτη σε θέματα κυβερνοασφάλειας.
Είναι λοιπόν αυτονόητο ότι σε τέτοιου είδους θέματα δεν μπορούν να εφαρμόζονται συνταγές και τυποποιημένες διαδικασίες αλλά είναι απαραίτητη η παροχή εξειδικευμένων υπηρεσιών προσαρμοσμένων και προσανατολισμένων στις ιδιαιτερότητες των πελατών με στόχο την οικοδόμηση σταθερών σχέσεων.
Η σύμπραξη της G.Apostolopoulos Holding με τη GDPR Greece αφορά σε δύο υπηρεσίες που έρχονται να συμπληρώσουν το βασικό πακέτο υπηρεσιών σε έργα GDPR:
1) Υπηρεσία e-learning: αφορά στη μακρόθεν εκπαίδευση σε θέματα συμμόρφωσης με τη νέα νομοθεσία, σε πολλαπλά επίπεδα (διοίκηση, IT, προσωπικό) σχετικά με τα πρότυπα που τίθενται από τους διεθνείς και εθνικούς κανονισμούς, καθώς και τις γενικότερες αρχές για την κυβερνοασφάλεια
2) Υπηρεσία Alert: 5ψήφια γραμμή τηλεφωνικής υποστήριξης για θέματα που επίκεινται ή έχουν ήδη προκύψει (όπως πχ. παράπονα, καταγγελίες ) και χρήζουν άμεσης αντιμετώπισης.