tromaktiko: Νέοι κανόνες στην επεξεργασία προσωπικών δεδομένων

Σάββατο 23 Σεπτεμβρίου 2017

Νέοι κανόνες στην επεξεργασία προσωπικών δεδομένων



Στην έννοια των παραπάνω δεδομένων εμπίπτουν όσες πληροφορίες μπορούν να οδηγήσουν στην ταυτοποίηση ενός ατόμου, όπως ενδεικτικά το...
ονοματεπώνυμο, η διεύθυνση κατοικίας, τα φυσικά χαρακτηριστικά, η οικονομική κατάσταση, τα ψηφιακά ίχνη κ.λπ. Τα ευαίσθητα προσωπικά δεδομένα, ως ειδική υποκατηγορία, περιλαμβάνουν πληροφορίες που αναφέρονται στις θρησκευτικές ή πολιτικές πεποιθήσεις ενός ατόμου, στη φυλετική ή εθνική του προέλευση, στην υγεία του κ.λπ.

Με τον παραπάνω Κανονισμό εισάγονται αυξημένες υποχρεώσεις και περιορισμοί για τις επιχειρήσεις που διατηρούν, διαχειρίζονται και επεξεργάζονται προσωπικά δεδομένα.

• Αυστηρές είναι οι κυρώσεις που προβλέπονται σε περιπτώσεις παραβίασης των διατάξεων του Κανονισμού για την προστασία των δεδομένων. Συγκεκριμένα, προβλέπεται η δυνατότητα επιβολής διοικητικού προστίμου μέχρι και του ιλιγγιώδους ποσού των 20 εκατ. ευρώ ή ποσού έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του ομίλου κατά το προηγούμενο έτος (ανάλογα με το ποιο είναι υψηλότερο). Κατά τον προσδιορισμό του τελικού ποσού του διοικητικού προστίμου εξετάζονται διάφορα κριτήρια, όπως ενδεικτικά η φύση, η βαρύτητα και η διάρκεια της παράβασης, οι κατηγορίες των προσωπικών δεδομένων που επηρεάζει η παράβαση, η ύπαρξη δόλου ή αμέλειας κ.ά. Οι επιχειρήσεις που επεξεργάζονται δεδομένα για λογαριασμό τρίτων, ενδέχεται επίσης να φέρουν ευθύνη για παραβίαση του Κανονισμού σε περίπτωση μη συμμόρφωσης με τις υποχρεώσεις τους.

• Μεταξύ των υποχρεώσεων που εισάγει ο Κανονισμός περιλαμβάνονται:

α) η δημιουργία μητρώου, όπου θα τηρούνται απαραίτητες πληροφορίες, όπως ενδεικτικά ο σκοπός της επεξεργασίας των δεδομένων, ο τύπος των δεδομένων, οι κατηγορίες των δραστηριοτήτων επεξεργασίας κ.λπ.,

β) ο ορισμός ενός προσώπου ως Υπεύθυνου Επεξεργασίας Δεδομένων («Data Protection Officer-DPO»), υποχρέωση που ισχύει για επιχειρήσεις που διατηρούν ή επεξεργάζονται δεδομένα σε συστηματική βάση ή σε μεγάλη κλίμακα,

γ) η διενέργεια ειδικών αξιολογήσεων προστασίας δεδομένων (Data Protection Impact Assessments – DPIAs) όταν το είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα των προσώπων, όπως για παράδειγμα όταν γίνεται χρήση νέων τεχνολογιών.

• Ο Κανονισμός προβλέπει την υποχρέωση αναφοράς όλων των περιστατικών παραβίασης των προσωπικών δεδομένων, που ενέχουν υψηλό κίνδυνο, εντός 72 ωρών από την εκδήλωση του περιστατικού. Υπό προϋποθέσεις, μάλιστα, η ενημέρωση αυτή πρέπει να απευθύνεται και προς τα πρόσωπα των οποίων τα δεδομένα έχουν εκτεθεί σε κίνδυνο.

Για να ανταποκριθούν επαρκώς στην παραπάνω υποχρέωση, οι επιχειρήσεις πρέπει να έχουν σχεδιάσει και υιοθετήσει αντίστοιχη πολιτική και να έχουν αναπτύξει μία σειρά από κατάλληλες εσωτερικές διαδικασίες.

• Κάθε πρόσωπο δικαιούται να ζητήσει τη διαγραφή των προσωπικών του δεδομένων από την ηλεκτρονική βάση της επιχείρησης, εφόσον δεν υφίσταται λόγος που να δικαιολογεί τη συνεχιζόμενη διατήρηση ή επεξεργασία τους. Εξαίρεση προβλέπεται σε περιπτώσεις, όπου ο ίδιος ο νόμος απαιτεί τη διατήρηση ή επεξεργασία των δεδομένων αυτών. Επίσης, κάθε πρόσωπο έχει δικαίωμα πρόσβασης, ενημέρωσης ή και διόρθωσης των προσωπικών του δεδομένων, ενώ μπορεί υπό προϋποθέσεις να ζητήσει και τη μεταφορά τους σε άλλη υπηρεσία ή επιχείρηση μέσω αυτοματοποιημένης διαδικασίας. Σε κάθε περίπτωση, οι επιχειρήσεις πρέπει να έχουν λάβει τη ρητή συγκατάθεση ενός ατόμου για τη λήψη ή χρήση των προσωπικών του δεδομένων. Η λήψη της συγκατάθεσης πρέπει να γίνεται με κατανοητό προς το άτομο τρόπο και μέσω της χρήσης ευκρινών μέσων.

• Η καταγραφή των προσωπικών δεδομένων που συλλέγει μία επιχείρηση, ο τρόπος που αυτά αποκτήθηκαν και οι δίαυλοι επικοινωνίας μέσω των οποίων διακινούνται, αποτελεί κρίσιμη διαδικασία και πολύ σημαντικό βήμα για την προετοιμασία μιας επιχείρησης στο πλαίσιο συμμόρφωσης με τον Κανονισμό. Τα στελέχη της επιχείρησης είναι απαραίτητο να έχουν γνώση για τις υποχρεώσεις και τα όρια που τίθενται με τον Κανονισμό. Και αυτό γιατί από την εφαρμογή του νέου Κανονισμού δεν επηρεάζεται μόνο η διεύθυνση πληροφορικής μιας επιχείρησης αλλά και τμήματα όπου αδιαμφισβήτητα γίνεται χρήση και επεξεργασία προσωπικών δεδομένων, όπως ενδεικτικά το τμήμα μισθοδοσίας, η νομική υπηρεσία, το τμήμα ανθρώπινου δυναμικού κ.ά.

• Ο Κανονισμός για την προστασία προσωπικών δεδομένων έχει εφαρμογή και ως προς επιχειρήσεις εγκατεστημένες εκτός της Ευρωπαϊκής Ενωσης (Ε.Ε.), εφόσον αυτές επεξεργάζονται δεδομένα προσώπων που βρίσκονται εντός της Ε.Ε. Εχει επίσης εφαρμογή και σε περιπτώσεις που η επεξεργασία των δεδομένων διενεργείται εκτός της Ε.Ε.
Πηγή
     



Εδώ σχολιάζεις εσύ!