Ο Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ (GDPR) τέθηκε σε ισχύ σε ολόκληρη την Ευρωπαϊκή Ένωση από τις 25 Μαΐου 2018 . Πρόκειται για μια σημαντική μεταρρύθμιση που αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των προσωπικών τους δεδομένων κατά ενιαίο τρόπο εντός της Ε.Ε. Ο Κανονισμός εφαρμόζεται όταν ο Υπεύθυνος ή Εκτελών έχει εγκατάσταση εντός της Ε.Ε. , ακόμα και αν η επεξεργασία πραγματοποιείται εκτός Ε.Ε. Επίσης όταν πραγματοποιείται επεξεργασία σε δεδομένα υποκειμένων που βρίσκονται στην Ε.Ε. από Υπεύθυνο ή Εκτελούντα με εγκατάσταση εκτός Ε.Ε., εφόσον σχετίζεται με: προσφορά αγαθών ή υπηρεσιών ή παρακολούθηση συμπεριφοράς των υποκειμένων.
O GDPR δεν εφαρμόζεται σε δεδομένα που υποβάλλονται σε επεξεργασία από ένα άτομο για δραστηριότητες που διενεργούνται αμιγώς για ιδιωτική ή οικιακή χρήση και δεν συνδέονται με επαγγελματική ή εμπορική δραστηριότητα. Δεν εφαρμόζονται π.χ. αν ένα άτομο χρησιμοποιεί την ιδιωτική του ατζέντα για να προσκαλέσει φίλους μέσω ηλεκτρονικού μηνύματος σε μια γιορτή που διοργανώνει, η συλλογή φωτογραφιών συμμαθητών σε σχολικό λεύκωμα κ.α. Επίσης δεν εφαρμόζεται σε δεδομένα θανόντων προσώπων ή νομικών προσώπων.
Δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αφορά ένα ταυτοποιημένο ή ταυτοποιήσιμο άτομο που είναι εν ζωή.
Ενδεικτικά, δεδομένα προσωπικού χαρακτήρα είναι :
Ενδεικτικά, ευαίσθητα δεδομένα προσωπικού χαρακτήρα είναι :
Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα έτσι ώστε το άτομο να μην είναι ταυτοποιήσιμο, δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη.
Με τον όρο «επεξεργασία» καλύπτεται ένα ευρύ φάσμα πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα. Στην έννοια της επεξεργασίας περιλαμβάνονται η συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.
Αυστηρή προϋπόθεση συμμόρφωσης με τον GDPR αποτελεί η εκ μέρους του υπευθύνου επεξεργασίας πλήρης ικανοποίηση των δικαιωμάτων των χρηστών. Τα δεδομένα των υποκειμένων θα πρέπει να πληροφορούνται με σαφήνεια για το ποιος επεξεργάζεται τα προσωπικά τους δεδομένα, σε ποιους διαβιβάζονται,για πόσο χρονικό διάστημα καθώς και για τα δικαιώματα τους. Για το λόγο αυτό ο Κανονισμός περιέχει μια σειρά από δικαιώματα.
O ορισμός του Υπεύθυνου Προστασίας Δεδομένων είναι υποχρεωτικός: εάν η επεξεργασία διενεργείται από δημόσια αρχή ή δημόσιο φορέα (ανεξάρτητα από το είδος/όγκο των δεδομένων που υφίστανται επεξεργασία) ή εάν οι βασικές δραστηριότητες των επιχειρήσεων: α) συνιστούν πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή β) συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων είναι: η παρακολούθηση της συμμόρφωσης με τον Κανονισμό και τις πολιτικές προστασίας προσωπικών δεδομένων του υπευθύνου ή εκτελούντος την επεξεργασία. Επίσης, αναλαμβάνει την ανάθεση αρμοδιοτήτων και την ευαισθητοποίηση και κατάρτιση των υπαλλήλων, που διαχειρίζονται και επεξεργάζονται προσωπικά δεδομένα ενώ, παράλληλα, προβαίνει και στους απαραίτητους ελέγχους.
Εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων προκειμένου να διασφαλίσει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον Κανονισμό. Τα εν λόγω μέτρα θα πρέπει να επανεξετάζονται και να επικαιροποιούνται όταν κρίνεται απαραίτητο.
Με την εφαρμογή του κανονισμού δημιουργείται βελτίωση του ελέγχου των δεδομένων, αυξάνεται η ασφάλεια των πληροφοριών και ενισχύεται η εμπιστοσύνη με τους πελάτες βελτιώνοντας την εικόνα και η φήμη της επιχείρησης.
Η μη συμμόρφωση με τις απαιτήσεις του Κανονισμού επιφέρει πρόστιμα, στον υπεύθυνο επεξεργασίας προσωπικών δεδομένων ή στον εκτελούντα την επεξεργασία προσωπικών δεδομένων (δηλ. στο Φορέα που, έτσι ή αλλιώς, επεξεργάζεται δεδομένα), που αγγίζουν ακόμα και τα 20.000.000 ευρώ ή το 4% του Κύκλου Εργασιών του Ομίλου Επιχειρήσεων του προηγούμενου έτους (ανάλογα με το ποιο ποσό είναι υψηλότερο).
Από την στιγμή απόκτησης της γνώσης του γεγονότος της παραβίασης, ο υπεύθυνος οφείλει να την γνωστοποιήσει στην αρμόδια Εποπτική Αρχή εντός 72 ωρών.Τέτοια υποχρέωση δεν υπάρχει, όταν δεν ενδέχεται να προκληθεί κίνδυνος των προσωπικών δεδομένων από τη παραβίαση. Ο υπεύθυνος ή ο εκτελών την επεξεργασία πρέπει να αποδείξει την απουσία του κινδύνου. Συνεπώς, οφείλει να δικαιολογήσει την παραβίαση βάσει πραγματικών περιστατικών και να κάνει αναφορά στις συνέπειες και τα ληφθέντα διορθωτικά μέτρα, δίνοντας την δυνατότητα στην Εποπτική Αρχή να επαληθεύσει την συμμόρφωση.
