Λίγα λόγια για τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων
Ο νέος Γενικός Κανονισμός για την Προστασία Προσωπικών Δεδομένων (GDPR), Κανονισμός 2016/679, τέθηκε σε εφαρμογή στην Ελλάδα στις 25/5/2018 και αλλάζει όλα τα δεδομένα των επιχειρήσεων και οργανισμών ως προς την ασφάλεια και επεξεργασία των προσωπικών τους δεδομένων. Με τον νέο Κανονισμό ρυθμίζεται η επεξεργασία προσωπικών δεδομένων κατά ενιαίο τρόπο σε όλη την Ευρωπαϊκή Ένωση και καταργείται ο ν.2472/1997 που ρυθμίζει τα σχετικά ζητήματα. Η εφαρμογή του Κανονισμού θέτει αρκετές προκλήσεις στις επιχειρήσεις και τους φορείς του δημοσίου τομέα που θα κληθούν να καταβάλλουν αυξημένα πρόστιμα έως και 20.000.0000€ ή 4% του συνολικού ετήσιου κύκλου εργασιών, σε περίπτωση μη συμμόρφωσης.
Ποιους πραγματικά αφορά;
Η κατάσταση στη διάχυση πληροφοριών και δεδομένων μέσω διαδικτύου έχει αλλάξει ριζικά τα τελευταία χρόνια, από εκείνο το χρονικό διάστημα όπου η διαδικτυακή πρόσβαση θεωρείτε δεδομένη και εύκολη για κάθε άνθρωπο, κάθε ηλικίας. Η συμμόρφωση αφορά όλες τις εταιρίες και οργανισμούς που επεξεργάζονται με αυτοματοποιημένες μεθόδους ή μη προσωπικά δεδομένα ή εκτελούν επεξεργασία δεδομένων προσωπικού χαρακτήρα. Οι πληροφορίες και δεδομένα που διαχειρίζονται και διατηρούν αφορούν τους πελάτες τους, τους προμηθευτές τους, το προσωπικό ή και τρίτους. Δεν υπάρχει εταιρία ή οργανισμός που να εξαιρείτε από τον Κανονισμό.
Η σύγχυση που έχει προκαλέσει η ορολογία γύρω από τον Κανονισμό
Το τελευταίο διάστημα υπάρχει καταιγισμός πληροφοριών και ορολογιών σχετικά με τον νέο Κανονισμό GDPR. Η Έψιλον Πληροφορική συγκεντρώνει και παρουσιάζει τα κυριότερα από αυτά που πρέπει να γνωρίζει κάθε επιχείρηση και οργανισμός.
ΔΕΔΟΜΕΝΑ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Δεδομένα προσωπικού χαρακτήρα: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως:
- Όνομα
- Αριθμός ταυτότητας
- Δεδομένα θέσης
- Επιγραμμικό αναγνωριστικό ταυτότητας (bar code κτλ)
- Έναν ή περισσότερους παράγοντες, που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου
Ειδικά δεδομένα: Είναι ό,τι αφορά φυλετική καταγωγή, πολιτικά φρονήματα, θρησκευτικές πεποιθήσεις, δεδομένα υγείας, βιομετρικά δεδομένα, γενετικά δεδομένα, οι ποινικές καταδίκες μόνο υπό τον έλεγχο της αρμόδιας αρχής και απαγορεύεται η επεξεργασία τους.
Γενετικά δεδομένα: τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου.
Βιομετρικά δεδομένα: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα.
Δεδομένα που αφορούν την υγεία: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του.
ΕΠΕΞΕΡΓΑΣΙΑ
Επεξεργασία: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως:
- Συλλογή
- Καταχώριση
- Οργάνωση
- Διάρθρωση
- Αποθήκευση
- Προσαρμογή ή/και Μεταβολή
- Ανάκτηση
- Αναζήτηση Πληροφοριών
- Χρήση
- Κοινολόγηση με Διαβίβαση
- Διάδοση ή κάθε άλλη μορφή διάθεσης
- Συσχέτιση ή Συνδυασμός
- Περιορισμός
- Διαγραφή ή/και καταστροφή
ΠΡΟΣΩΠΑ
Υπεύθυνος επεξεργασίας (ΥΕ): Είναι το μόνο πρόσωπο που λογοδοτεί απέναντι στην αρχή και στον νόμο με βάσει τον κανονισμό. Είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
- Είναι υπεύθυνος για την τήρηση του κανονισμού. Φέρει την ευθύνη να αποδείξει ότι είναι νόμιμη η διαχείριση των δεδομένων (λογοδοσία – accountability principle). Γνώμη 3/2010 ομάδας άρθρου 29
- Οι επιχειρήσεις που εδρεύουν εκτός ΕΕ, οφείλουν να ορίζουν υπεύθυνο επεξεργασίας για τις δραστηριότητές τους εντός της Ένωσης.
- Τηρεί αρχείο δραστηριοτήτων επεξεργασίας, στο οποίο αναγράφει τους διαχειριστές του, το σκοπό της επεξεργασίας, τα απαραίτητα μέτρα που έλαβε, προκειμένου να μην διαρρεύσουν τα δεδομένα, τους αποδέκτες των δεδομένων.
- Σε περίπτωση παραβίασης των δεδομένων κοινοποιεί στην εποπτεύουσα αρχή εντός 72 ωρών τυχόν παραβίαση δεδομένων, τον τρόπο της παραβίασης, τους κινδύνους της. Ταυτόχρονα, ανακοινώνει την παραβίαση στο υποκείμενο.
- Ελέγχει και μελετά τους νέους τρόπους επεξεργασίας δεδομένων. Αν χρειαστεί, συμβουλεύεται την εποπτεύουσα αρχή.
Εκτελών την επεξεργασία (ΕΕ) : το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας. Λαμβάνει τα απαραίτητα μέτρα ασφαλείας, ενημερώνει τον υπεύθυνο σε σχέση με τυχόν παραβιάσεις, συνδράμει για τη διασφάλιση της συμμόρφωσης, εκτιμά τον αντίκτυπο, διαβουλεύεται με την εποπτική αρχή, ορίζει υπεύθυνο προστασίας δεδομένων.
- Αυτός που προσλαμβάνεται από τον υπεύθυνο επεξεργασίας και κατέχει τις απαραίτητες γνώσεις για τη σωστή τήρηση του κανονισμού.
- Τυχόν βοηθητικά πρόσωπα πρέπει επίσης να είναι εγκεκριμένα από τον ΥΕ.
- Ενεργεί βάσει καταγεγραμμένων εντολών από τον ΥΕ
- Δεσμεύεται να τηρεί την εμπιστευτικότητα
- Επικουρεί τον υπεύθυνο με τα κατάλληλα τεχνικά μέσα
- Μετά τη λήξη της σύμβασής του, διαγράφει ή επιστρέφει τα δεδομένα
- Αποδεικνύει στον ΥΕ ότι συμμορφώνεται με τις υποχρεώσεις του κανονισμού.
- Δεν είναι υποχρεωτικό να είναι πιστοποιημένος
- Συμβατικές ρήτρες μπορεί να τυποποιηθούν από την Εποπτική αρχή.
Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ)(DPO):
- Σε κάθε φορέα ορίζεται όπου και όταν απαιτείται ένας υπεύθυνος προστασίας δεδομένων.
- Στον όμιλο επιχειρήσεων μπορεί να ορίζεται μόνο ένας.
- Ο υπεύθυνος και ο εκτελών εποπτεύουν τον υπεύθυνο προστασίας, ωστόσο είναι υπεύθυνοι για τις πράξεις του.
- Δεν απολύεται, επειδή εκτέλεσε τα καθήκοντά του.
- Αναφέρεται μόνο στο ανώτατο διοικητικό επίπεδο.
- Μπορεί να είναι μέλος του προσωπικού ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών
- Τα στοιχεία επικοινωνίας του ανακοινώνονται στην εποπτεύουσα αρχή
- Έχει την κατάλληλη εμπειρογνωσία, ώστε να συνεργάζεται, να ενημερώνει και να συμβουλεύει τον υπεύθυνο και τον εκτελούντα.
Αποδέκτης : το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες. Η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.
Τρίτος : οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.
Ανεξάρτητη Αρχή (ΑΑ) : Η αρχή είναι αρμόδια για την τήρηση του κανονισμού στο κράτος, για την παροχή συμβουλών, για την ευαισθητοποίηση του κοινού, για τον χειρισμό καταγγελιών, για την εξέταση και επανεξέταση των πιστοποιήσεων.
- Είναι ανεξάρτητη.
- Επιλέγει η ίδια τους υπαλλήλους της
- Έχει χωριστούς προϋπολογισμούς
- Τα μέλη της διορίζονται με διάφανη διαδικασία
- Απολύονται μόνο σε περίπτωση σοβαρού παραπτώματος
- Έχει εξουσίες έρευνας και ελέγχου
- Συντάσσει ετήσιες εκθέσεις
- Συμβουλεύει το κρατικά όργανα
- Μπορεί να επιβάλει πρόστιμα
- Οι εποπτικές αρχές των κρατών μελών συνεργάζονται μεταξύ τους
ΠΡΟΣΕΓΓΙΣΗ ΥΛΟΠΟΙΗΣΗΣ ΣΥΜΜΟΡΦΩΣΗΣ GDPR
- Ενημέρωση/εκπαίδευση, σχεδιασμός και χάραξη στρατηγικής
- Αναλυτική καταγραφή και χαρτογράφηση των προσωπικών δεδομένων (Data Mapping)
- Μελέτη εκτίμησης αποκλίσεων (Gap Analysis)
- Μελέτη εκτίμησης αντικτύπου ιδιωτικότητας (Privacy Impact Assessment)
- Μελέτη εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (Data Protection Impact Assessment)
- Τελική αναφορά και σχεδιασμός πλάνου ενεργειών και σχέδιο δράσης προς συμμόρφωση με GDPR (Compliance Plan)
- Υποστήριξη στην υλοποίηση και παρακολούθηση της εφαρμογής του ολοκληρωμένου συστήματος διαχείρισης προσωπικών δεδομένων για τον πρώτο χρόνο
- Προετοιμασία για την επιθεώρηση και την πιστοποίηση της συμμόρφωσης (συμφώνα με τις πρόνοιες των άρθρων 42 και 43 του GDPR)