GDPR – General Data Protection Regulation

«Γενικός Κανονισμός για την Προστασία Δεδομένων»

Κανονισμός (ΕΕ) 2016/679

Τι είναι:

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) αφορά στην διαμόρφωση ενός ενιαίου νομοθετικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης με ημερομηνία υποχρεωτικής εφαρμογής  στις 25 Μαΐου 2018. Πρόκειται για Κανονισμό (και όχι οδηγία) που σημαίνει ότι είναι άμεσα εφαρμοστέος σε όλα τα κράτη μέλη της ΕΕ.

Σε ποιους απευθύνεται:

Απευθύνεται σε όλες τις επιχειρήσεις, ιδιωτικού και δημόσιου τομέα, που με οποιοδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών, ή άλλων φυσικών προσώπων. Πρακτικά αφορά σχεδόν το σύνολο των επιχειρήσεων.

Τι θεωρούνται Προσωπικά δεδομένα;

Προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται στο πρόσωπο του κάθε ατόμου, όπως: το όνομα και το επάγγελμά του, η οικογενειακή του κατάσταση, η ηλικία του, ο τόπος κατοικίας, η φυλετική του προέλευση, τα πολιτικά του φρονήματα, η θρησκεία που πιστεύει, οι φιλοσοφικές του απόψεις, η συνδικαλιστική του δράση, η υγεία του, η ερωτική του ζωή και οι τυχόν ποινικές του διώξεις και καταδίκες. Από τα παραπάνω προσωπικά δεδομένα πολλά είναι ευαίσθητα, έχουν δηλαδή ιδιαίτερη βαρύτητα για το σχηματισμό της εικόνας της προσωπικότητάς του ατόμου.

Τι πρέπει να κάνουν οι Επιχειρήσεις / οργανισμοί:

Οι επιχειρήσεις / οργανισμοί  οφείλουν να εναρμονιστούν  με τα  νέα δεδομένα που ορίζει ο κανονισμός, εστιάζοντας  στην προστασία των πληροφοριακών τους συστημάτων και των  δεδομένων τους, εφαρμόζοντας τακτικά ελέγχους ασφάλειας δικτύων και υποδομών, Παράλληλα οφείλουν να υλοποιήσουν πολιτικές ασφάλειας και διαδικασίες και να εκπαιδεύσουν   τους χρήστες πληροφοριακών συστημάτων για την ορθή χρήση των πληροφοριακών συστημάτων τους.

Δικαιώματα Υποκείμενου Δεδομένων
  • Διαγραφής
  • Πρόσβασης σε δεδομένα
  • Ενημέρωσης
  • Διόρθωσης δεδομένων
  • Ένστασης
  • Παύσης της Επεξεργασίας
  • Απόσυρσης της συναίνεσης
Περιορισμός του Σκοπού
  • Μην επεξεργάζεστε περισσότερα δεδομένα που δεν είναι συμβατά με τον αναφερόμενο σκοπό.
  • Χρησιμοποιείστε τα δεδομένα μόνο για τον σκοπό που έχετε δηλώσει ότι τα θέλετε.
Ακεραιότητα και Εμπιστευτικότητα

Επαρκείς τεχνικοί και οργανωτικοί έλεγχοι ασφαλείας σε θέση να διασφαλίσουν την προστασία των προσωπικών δεδομένων.

Περιορισμός Αποθήκευσης
  • Να μην κρατάτε δεδομένα περισσότερο από όσο τα χρειάζεστε.
  • Μη αναστρέψιμη διαγραφή
  • Μη αναστρέψιμη από-ταυτοποίηση
Ελαχιστοποίηση των δεδομένων

Περιορισμός της επεξεργασίας σε ότι είναι απαραίτητο

Περιορισμός Αποθήκευσης

Τα δεδομένα πρέπει να είναι ακριβή και ενημερωμένα

Διαδικασία Υλοποίησης Συμμόρφωσης
Στάδιο 1: Χαρτογράφηση – data mapping, που περιλαμβάνει την καταγραφή των επεξεργασιών για όλες τις διαδικασίες και τη δημιουργία του Αρχείου Δραστηριοτήτων.
Στάδιο 2: Έλεγχος αποκλίσεων του φορέα (GAP ANALYSIS) σε σχέση με τις αρχές, τις προδιαγραφές και απαιτήσεις που θέτει ο ΓΚΠΔ και τις κατευθυντήριες γραμμές της Ομάδας Εργασίας του άρθρου 29 της Ευρωπαϊκής Οδηγίας 95/46/ΕΕ και κατάθεση συγκεκριμένων προτάσεων διόρθωσης για κάθε απόκλιση ξεχωριστά.
Στάδιο 3: Σχεδιασμός απαραίτητων μέτρων (τεχνικής και νομικής φύσης) – Διόρθωση, συμπλήρωση και αποκατάσταση των αποκλίσεων και κενών του φορέα με σκοπό την εναρμόνισή του με τις ρυθμίσεις και γενικές αρχές του ΓΚΠΔ αλλά και τις κατευθυντήριες γραμμές της Ομάδας Εργασίας του άρθρου 29 της Ευρωπαϊκής Οδηγίας 95/46/ΕΕ ( Article 29 Working Party).
Στάδιο 4: Εκπαίδευση εμπλεκομένων στελεχών.
Συνέπειες από τη μη συμμόρφωση με τον Κανονισμό

Πέραν των δικαιωμάτων αποζημίωσης για την υλική ζημία ή ηθική βλάβη που υπέστησαν τα υποκείμενα των δεδομένων από την παράνομη επεξεργασία των δεδομένων τους, τα διοικητικά πρόστιμα που δύνανται να επιβληθούν σε βάρος του υπεύθυνου ή/και του εκτελούντος την επεξεργασία μπορούν να φτάσουν έως τα 20.000.000,00 Ευρώ ή σε περίπτωση επιχειρήσεων έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους