Κάθε οργανισμός ή επιχείρηση θα πρέπει να διέπεται από ένα βασικό σύνολο αρχών προστασίας του απορρήτου που καλύπτουν την επεξεργασία προσωπικών δεδομένων.
Γράφει ο Γεώργιος Περράκης (Δικηγόρος – cert.DPO)
Κάθε οργανισμός ή επιχείρηση θα πρέπει να διέπεται από ένα βασικό σύνολο αρχών προστασίας του απορρήτου που καλύπτουν την επεξεργασία προσωπικών δεδομένων. Οι αρχές που περιγράφονται παρακάτω μπορούν να χρησιμεύσουν ως ένα πλαίσιο το οποίο θα ακολουθούν οι εργαζόμενοι μιας επιχείρησης καθώς αναπτύσσει τις εσωτερικές της πολιτικές.
Αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας
Αυτή η τριπλή αρχή υποχρεώνει τους οργανισμούς και τις επιχειρήσεις να ενημερώνουν τους χρήστες σχετικά με τα προσωπικά δεδομένα που συλλέγουν και τις αρχές απορρήτου που διέπουν τη μεταχείριση αυτών των πληροφοριών.
Κάθε οργανισμός ή επιχείρηση πρέπει να παρέχει μια ειδοποίηση απορρήτου με απλή διατύπωση που να ενημερώνει ποια δεδομένα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων.
Αρχή της αναλογικότητας «ελαχιστοποίηση των δεδομένων»
Οι επιχειρήσεις θα πρέπει να περιορίζουν τον όγκο των δεδομένων που συλλέγουν προκειμένου να ελαχιστοποιηθεί ο κίνδυνος απορρήτου καθώς και η νομική ευθύνη που μπορεί να επέλθει από υπερβολική συλλογή δεδομένων.
Όσο λιγότερες προσωπικές πληροφορίες συλλέγονται και αποθηκεύονται από μια επιχείρηση ή μια εταιρία, τόσο λιγότερες πιθανότητες υπάρχουν οι πληροφορίες αυτές γίνουν προσβάσιμες σε έναν μη εξουσιοδοτημένο υπάλληλο, να κοινοποιηθούν σε λάθος άτομα ή να διαρρεύσουν κατά λάθος στο ευρύ κοινό.
Αρχή του καθορισμού της χρονικής διάρκειας της επεξεργασίας «περιορισμός της περιόδου αποθήκευσης»
Σύμφωνα με αυτή την αρχή τα δεδομένα που διατηρούνται από μια επιχείρηση θα πρέπει να τηρούνται σε μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για την επίτευξη των σκοπών της επεξεργασίας.
Αρχή της ακρίβειας των δεδομένων.
Αυτή η αρχή καλύπτει την ιδέα ότι οι οργανισμοί και οι επιχειρήσεις που συλλέγουν προσωπικές πληροφορίες πρέπει να καταβάλλουν προσπάθειες για τη διατήρηση της ποιότητας των πληροφοριών. Κατά τη συλλογή προσωπικών πληροφοριών, οι οργανισμοί πρέπει να διασφαλίζουν ότι έχουν συλλέξει όλες τις πληροφορίες που ζητήθηκαν και ότι οι πληροφορίες αυτές δεν τροποποιήθηκαν κατά τη μεταφορά ή την αποθήκευση τους.
Τα άτομα που παρέχουν αυτές τις πληροφορίες θα πρέπει επίσης να έχουν τη δυνατότητα πρόσβασης στις πληροφορίες τους και να τις διορθώνουν όπως απαιτείται.
Αρχή περιορισμού του σκοπού της επεξεργασίας προσωπικών δεδομένων.
Αυτή η αρχή καλύπτει την έκφραση του σκοπού για τον οποίο συλλέγονται προσωπικές πληροφορίες.
Η ενημέρωση αυτή θα πρέπει να παρέχεται στον χρήστη πριν από τη συλλογή.
Μόλις συλλεχθούν τα δεδομένα, ο σκοπός της συλλογής τους δεν πρέπει να αλλάζει χωρίς να παρέχεται ειδοποίηση στο χρήστη και λήψη συγκατάθεσης όπου απαιτείται για την εφαρμογή του νέου σκοπού στις πληροφορίες που συλλέχθηκαν προηγουμένως.
Αρχή ακεραιότητας και εμπιστευτικότητας.
Αυτή η αρχή καλύπτει την ιδέα ότι η χρήση προσωπικών πληροφοριών θα πρέπει να περιορίζεται εντός οργανισμού. Οποιαδήποτε διαφορετική χρήση πρέπει να καλύπτεται από την ειδοποίηση απορρήτου ή την ενημέρωση των υποκειμένων, που ίσχυε τη στιγμή που συλλέχθηκαν τα προσωπικά δεδομένα.
Περαιτέρω, οι επιχειρήσεις θα πρέπει να προσπαθήσουν να περιορίσουν τον αριθμό των υπαλλήλων που θα έχουν πρόσβαση στις πληροφορίες αυτές και να λαμβάνουν κατάλληλα τεχνικά και οργανωτικά μέτρα.
Αρχή της λογοδοσίας
Αυτή η αρχή καλύπτει την ιδέα ότι η επιχείρηση είναι αυτή που φέρει την ευθύνη και θα πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή με τον Κανονισμό ενώπιον των εποπτικών αρχών και των δικαστηρίων.
Σε περίπτωση μη συμμόρφωσης με τον GDPR ή περιστατικού παραβίασης προσωπικών δεδομένων οι επιχειρήσεις κινδυνεύουν με διοικητικά πρόστιμα έως 20 000 000 EUR ή έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. Για αυτό το λόγο έχουν την υποχρέωση να παρέχουν ασφάλεια για τα δεδομένα που συλλέγουν από τους χρήστες. Το επίπεδο ασφάλειας πρέπει να ταιριάζει με την ευαισθησία των δεδομένων που συλλέγονται.
Ο διορισμός ενός Υπευθύνου Προστασίας Προσωπικών Δεδομένων (DPO) με εξειδικευμένες νομικές γνώσεις σε θέματα προσωπικών δεδομένων, που θα υιοθετήσει μια κουλτούρα προστασίας του απορρήτου θα βοηθήσει τους εργαζομένους να κατανοήσουν τις υποχρεώσεις σχετικά με τη προστασία προσωπικών δεδομένων καθώς και την ορθή εφαρμογή του GDPR.
Μια επένδυση στη προστασία της ιδιωτικής ζωής των πελατών και των εργαζομένων μιας επιχείρησης ή ενός οργανισμού ενδέχεται να μην οδηγήσει σε άμεση αύξηση των εσόδων, όμως θα μετριάσει τον κίνδυνο απώλειας εσόδων ως αποτέλεσμα ενός περιστατικού παραβίασης του απορρήτου.
0
20
20
