Scroll Top

Συχνές ερωτήσεις για το επερχόμενο GDPR

GDPR-cover

Πότε θα εφαρμοστεί ο GDPR;

Ο GDPR εγκρίθηκε και υιοθετήθηκε από το Ευρωπαϊκό κοινοβούλιο τον Απρίλιο του 2016. Ο κανονισμός θα τεθεί σε δράση μετά από μια διετή περίοδο μετάβασης και, σε αντίθεση με μια Οδηγία [Directive] δεν απαιτεί οποιαδήποτε νομοθετική ρύθμιση να περάσει από την κυβέρνηση· το οποίο σημαίνει ότι θα τεθεί σε ισχύ τον Μάιο του 2018.

Ποιες ιστοσελίδες επηρεάζει ο GDPR;

Ο GDPR δεν ισχύει απλά για τους οργανισμούς που βρίσκονται στην Ε.Ε. αλλά αφορά και οργανισμούς που βρίσκονται έξω από την Ε.Ε. αλλά προσφέρουν αγαθά ή υπηρεσίες, ή διαχειρίζονται την συμπεριφορά, πληροφοριακών ζητημάτων στην Ε.Ε.. Ισχύει για όλες τις εταιρείες που επεξεργάζονται και διαχειρίζονται προσωπικά πληροφοριακά δεδομένα κατοίκων της Ε.Ε., ανεξάρτητα από την τοποθεσία της εταιρείας.

Ποια είναι τα πρόστιμα μη-συμμόρφωσης;

Στους οργανισμούς μπορεί να επιβληθούν πρόστιμα μέχρι του 4% του παγκόσμιου ετήσιου κύκλου εργασιών για την παραβίαση του GDPR ή €20 εκατομμύρια. Πρόκειται για το μέγιστο πρόστιμο που μπορεί να επιβληθεί για τις πιο σοβαρές παραβάσεις π.χ. χωρίς τη δέουσα συγκατάθεση του πελάτη για επεξεργασία δεδομένων ή παραβιάζοντας των πυρήνα εννοιών που αφορούν Σχεδιασμό Απορρήτου [Privacy by Design].

Υπάρχει κλιμακωτή προσέγγιση των προστίμων π.χ. μια εταιρεία μπορεί να κληθεί να πληρώσει πρόστιμο 2% γιατί δεν έχουν τα αρχεία τους στη σειρά (article 28), χωρίς να ενημερώνει την εποπτεύουσα αρχή και το υποκείμενο των δεδομένων σχετικά με παραβίαση ή μη διενέργεια εκτίμησης επιπτώσεων. Είναι σημαντικό να σημειωθεί ότι αυτοί οι κανόνες ισχύουν τόσο για τους ελεγκτές [controllers] όσο και για τους επεξεργαστές [processors] —  εννοώντας ‘clouds’ δεν θα απαλλαγούν από την επιβολή του GDPR.

Τι ακριβώς αφορούν τα προσωπικά δεδομένα;

Οποιαδήποτε πληροφορία σχετική με φυσικό πρόσωπο ή Πληροφοριακό Υποκείμενο [Data Subject], τα οποία μπορούν να χρησιμοποιηθούν για να προσδιορίσουν έμμεσα ή άμεσα ένα άτομο.

Μπορεί να είναι οτιδήποτε, από ένα όνομα, μια φωτογραφία, μια διεύθυνση email, τραπεζικός λογαριασμός, δημοσιεύσεις σε κοινωνικά δίκτυα, ιατρικές πληροφορίες ή η IP ενός υπολογιστή.

Σε τι διαφέρει ο Επεξεργαστής δεδομένων (data processor) από τον Ελεγκτή δεδομένων (data controller);

Ο controller είναι η οντότητα η οποία προσδιορίζει τους σκοπούς, τις καταστάσεις και τις έννοιες της επεξεργασίας των προσωπικών πληροφοριών, ενώ ο processor είναι η οντότητα που επεξεργάζεται προσωπικές πληροφορίες  για λογαριασμό του controller.

Χρειάζονται οι επεξεργαστές δεδομένων «ρητή» ή «ξεκάθαρη» συγκατάθεση για τα δεδομένα – και ποια είναι η διαφορά;

Οι προϋποθέσεις συγκατάθεσης έχουν ενισχυθεί, καθώς οι εταιρείες δεν θα είναι πλέον σε θέση να χρησιμοποιούν μακρούς δυσανάγνωστους όρους και συνθήκες γεμάτους νομικά, ενώ η αίτηση συγκατάθεσης πρέπει να παρέχεται με κατανοητή και εύκολα προσπελάσιμη μορφή, με σκοπό την επεξεργασία δεδομένων που επισυνάπτεται στη συναίνεση αυτή – πράγμα που σημαίνει ότι πρέπει να είναι ξεκάθαρη.

Η συγκατάθεση πρέπει να είναι σαφής και διακριτή από άλλα θέματα και να παρέχεται με κατανοητή και εύκολα προσιτή μορφή, χρησιμοποιώντας σαφή και απλή γλώσσα. Πρέπει να είναι τόσο εύκολο να αποσύρετε τη συγκατάθεση, όπως είναι και να την δώσετε.​

Η ρητή συγκατάθεση απαιτείται μόνο για την επεξεργασία ευαίσθητων προσωπικών δεδομένων – στο πλαίσιο αυτό, τίποτα λιγότερο από μια απλή επιλογή [opt in] θα αρκεί. Ωστόσο, για μη ευαίσθητα δεδομένα, η “ξεκάθαρη” συγκατάθεση θα αρκεί.

Τι ισχύει για Data Subjects κάτω των 16 ετών;

Θα απαιτείται γονική συναίνεση για την επεξεργασία των προσωπικών δεδομένων των παιδιών ηλικίας κάτω των 16 ετών για τις ηλεκτρονικές υπηρεσίες· τα κράτη μέλη μπορούν να νομοθετούν για χαμηλότερη ηλικία συγκατάθεσης αλλά δεν θα είναι κάτω από την ηλικία των 13 ετών.

Ποια είναι η διαφορά του Κανονισμού [regulation] και της Οδηγίας [directive];

Regulation είναι δεσμευτική νομοθετική πράξη. Πρέπει να εφαρμοστεί στο σύνολό της σε όλη την ΕΕ, ενώ η directive οδηγία αφορά μια νομοθετική πράξη που θέτει έναν στόχο που πρέπει να επιτύχουν όλες οι χώρες της ΕΕ.

Ωστόσο, εναπόκειται στις μεμονωμένες χώρες να αποφασίσουν. Είναι σημαντικό να σημειωθεί ότι ο GDPR είναι Κανονισμός [regulation], σε αντίθεση με την προηγούμενη νομοθεσία, η οποία αποτελεί οδηγία.

Πρέπει η επιχείρηση μου να διορίσει έναν Data Protection Officer (DPO);

Πρέπει να διοριστεί DPO στην περίπτωση: (a) δημοσίων αρχών, (b) οργανισμών που συμμετέχουν σε συστηματική παρακολούθηση μεγάλης κλίμακας, ή (c) οργανισμών που ασχολούνται με την ευρεία επεξεργασία ευαίσθητων προσωπικών δεδομένων (Art. 37).

Εάν ο οργανισμός σας δεν εμπίπτει σε μία από αυτές τις κατηγορίες, τότε δεν χρειάζεται να διορίσετε έναν DPO.

Πως ο GDPR επηρεάζει πολιτικές σχετικά με τις παραβιάσεις δεδομένων;

Οι προτεινόμενοι κανονισμοί που αφορούν παραβιάσεις δεδομένων σχετίζονται κυρίως με τις πολιτικές κοινοποίησης των εταιρειών που έχουν παραβιαστεί.

Οι παραβιάσεις δεδομένων που ενδέχεται να θέτουν σε κίνδυνο τα άτομα πρέπει να γνωστοποιούνται στον εκάστοτε DPA εντός 72 ωρών και στα πληγέντα άτομα χωρίς αδικαιολόγητη καθυστέρηση.

Μπορεί ο GDPR να ιδρύσει one-stop-shop για κανονισμό περί απορρήτου δεδομένων;

Οι συζητήσεις γύρω από την αρχή της μονοαπευθυντικής [one-stop-shop] θυρίδας συγκαταλέγονται μεταξύ των πλέον συζητημένων ζητημάτων και εξακολουθούν να είναι ασαφείς καθώς οι θέσεις διαρκούς χαρακτήρα είναι άκρως ποικίλες χωρίς αδικαιολόγητη καθυστέρηση.

Το κείμενο της Επιτροπής έχει μια αρκετά απλή και συνοπτική απόφαση υπέρ της αρχής, το Κοινοβούλιο προωθεί επίσης το προβάδισμα για DPA και προσθέτει μεγαλύτερη συμμετοχή από άλλους ενδιαφερόμενους DPAs, η άποψη του Συμβουλίου μειώνει την εξουσιοδότηση του επικεφαλής DPA ακόμα παραπέρα. Μια πιο εμπεριστατωμένη ανάλυση της συζήτησης πολιτικής για τις μονοαπευθυντικές υπηρεσίες μπορεί να βρεθεί εδώ.

πηγή: eugdpr.org

Related Posts