ΜΕΛΕΤΕΣ GDPR
SERVICE OVERVIEW
O GDPR (Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων ή General Data Protection Regulation) είναι ο κανονισμός 2016/678 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Ρυθμίζει την – αυτοματοποιημένη ή μη – επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο. Το Κέντρο Επαγγελματικής Κατάρτισης ΕΥΡΩΕΡΓΑΣΙΑΚΗ σας προσφέρει εξειδικευμένες λύσεις για την ομαλή προσαρμοργή της επιχείρησης σας στον νέο κανονισμό αλλά και σε επαγγελματίες συμβούλους που ασχολούνται με την εφαρμογή του κανονισμού.
Ο GDPR: Τι είναι και οι απαντήσεις στα ερωτήματά σας
Ο GDPR μας αφορά όλους, είτε σαν άτομα, είτε σαν εταιρείες και επαγγελματίες καθώς η διαχείριση και η χρήση των προσωπικών δεδομένων αποτελεί μια πολύ σοβαρή υπόθεση και για το λόγο αυτό το πλαίσιο που πλέον τα διέπει είναι πολύ αυστηρότερο, θα το χαρακτηρίζαμε «δρακόντειο» σε σχέση με τα όσα ίσχυαν πριν από την εφαρμογή του GDPR.
Ο GDPR προστατεύει τα προσωπικά δεδομένα μας και βάζει αυστηρούς κανόνες για την διαχείρισή τους, πάντα με την δική μας συνέναιση, και τα κατηγοριοποιεί ανάλογα με το επίπεδο της ευαισθητότητας τους. Για παράδειγμα τα προσωπικά δεδομένα που αφορούν στην υγεία μας χαρακτηρίζονται ως πολύ ευαίσθητα δεδομένα προσωπικού χαρακτήρα.
Ο νέος κανονισμός εφαρμόζεται άμεσα – δεν απαιτείται δηλαδή κάποια περαιτέρω νομοθετική ενέργεια εκ μέρους των χωρών, στην προκειμένη περίπτωση της Ελλάδας – για να τεθεί σε εφαρμογή και ισχύει από την 25.05.2018.
- Δεδομένα προσωπικού Χαρακτήρα: Ποια είναι; Ποια δεδομένα νοούνται ειδικής κατηγορίας δεδομένα;
Ως δεδομένα προσωπικού χαρακτήρα νοείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (το «υποκείμενο των δεδομένων») το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, αριθμό ταυτότητας, δεδομένα θέσης, επιγραμμικό (online) αναγνωριστικό ταυτότητας ή έναν ή
περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. Δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία (σωματική και ψυχική) ή δεδομένα που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό αποτελούν ειδικές κατηγορίες δεδομένων. Ο Κανονισμός επιτρέπει μόνο κατ’ εξαίρεση την επεξεργασία ειδικών κατηγορικών δεδομένων προσωπικού χαρακτήρα υπό αυστηρές και συγκεκριμένες προϋποθέσεις. Ειδική πρόβλεψη υφίσταται και για δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα.
- Ποιος νοείται υπεύθυνος επεξεργασίας δεδομένων και ποιος εκτελών την επεξεργασία δεδομένων;
Υπεύθυνος επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο, ή δημόσια αρχή, η υπηρεσία ή άλλος φορέας που καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Εκτελών την επεξεργασία είναι το φυσικό ή νομικό πρόσωπο, ή δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
- Ποιες είναι οι υποχρεώσεις του υπευθύνου επεξεργασίας;
Ο υπεύθυνος επεξεργασίας πρέπει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον Κανονισμό.
- Πότε είναι νόμιμη η επεξεργασία δεδομένων;
Η επεξεργασία είναι νόμιμη μόνον εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας, δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
- Ποιες είναι οι προϋποθέσεις σχετικά με την παροχή συγκατάθεσης από υποκείμενα δεδομένων προσωπικού χαρακτήρα σύμφωνα με τον Κανονισμό;
Συγκατάθεση είναι κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και με πλήρη επίγνωση, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του. Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή.
- Ποια δικαιώματα προβλέπει ο GDPR για το υποκείμενο των δεδομένων;
Το δικαίωμα της διαφανούς ενημέρωσης του υποκειμένου, της ανακοίνωσης και της ύπαρξης ρυθμίσεων για την άσκηση των δικαιωμάτων του.
Το δικαίωμα πρόσβασης στα δεδομένα του
Το δικαίωμα στη διόρθωση των δεδομένων του
Το δικαίωμα στη διαγραφή των δεδομένων του (δικαίωμα στη λήθη)
Το δικαίωμα στη φορητότητα των δεδομένων του
Το δικαίωμα εναντίωσης του υποκειμένου.
- Ποια τα πρώτα βήματα στη διαδικασία προετοιμασίας για την εφαρμογή του GDPR;
Προκειμένου να γίνει έλεγχος εάν ο Κανονισμός τυγχάνει εφαρμογής στην εκάστοτε επιχείρηση και σε ποιο μέτρο το πρώτο βήμα είναι η καταγραφή των δεδομένων που τηρεί η επιχείρηση σύμφωνα με τους σκοπούς αυτής (νόμιμους και συμβατικούς), τη ροή των δεδομένων, καθώς και του τρόπου και τόπου αποθήκευσης αυτών προκειμένου να εξετασθεί και τυχόν ενδεχόμενο διαβίβασης δεδομένων σε τρίτους. Αντίστοιχα συγκεντρώνονται πληροφορίες για τυχόν ήδη υφιστάμενα τεχνικά και οργανωτικά μέτρα ασφαλείας που τηρούνται προκειμένου αυτά να συγκριθούν με τις προϋποθέσεις που θέτει ο Κανονισμός. Απαραίτητη κρίνεται η συνεργασία με εξειδικευμένο νομικό και τεχνικό σύμβουλο για την ομαλότητα και πληρότητα της διαδικασίας.