Ασφάλεια Προσωπικών Δεδομένων – Κανονισμός 2016/679 (GDPR). Τι αλλάζει στο νομικό πλαίσιο.

Ο νέος Ευρωπαϊκός Κανονισμός 2016/679, General Data Protection Regulation (GDPR), ψηφίστηκε στις 27 Απριλίου του 2016, με στόχο να διευρύνει την προστασία των προσωπικών δεδομένων με τρόπο που να ανταποκρίνεται στις σύγχρονες απαιτήσεις και/ή ανάγκες της εποχής μας, καθότι η χρήση διαδικτύου τόσο για αποθήκευση πληροφοριών όσο και επικοινωνίας, ολοένα και θεμελιώνεται στο ευρύτερο επιχειρηματικό καθώς και ιδιωτικό κοινό,

Ο εν λόγω Κανονισμός θα τεθεί σε υποχρεωτική εφαρμογή, σύμφωνα με το άρθρο 99 αυτού, στις 25 Μαΐου 2018 και καλούνται όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης να συμμορφωθούν πλήρως.

Το νέο πλαίσιο προστασίας προσωπικών δεδομένων, πέραν από τον ως άνω Κανονισμό, πλαισιώνεται επίσης από 2 νέες Οδηγίες, Πρόκειται για τις Οδηγίες:

1. Οδηγία 2016/680

2. Οδηγία 2016/681

Η πρώτη, ήτοι 2016/680, θεσπίστηκε προκειμένου την προστασία των φυσικών προσώπων έναντι στην επεξεργασία των προσωπικών δεδομένων τους από αρμόδιες αρχές για σκοπούς πρόληψης, κυρίως, διερεύνησης και/ή δίωξης και/ή εκτέλεσης ποινικών κυρώσεων, καθώς και την ελεύθερη κυκλοφορία των δεδομένων αυτών.

Η δεύτερη οδηγία, ήτοι 2016/681, θεσπίστηκε σχετικά για την χρήση των δεδομένων που περιέχονται στις καταστάσεις επιβατών προκειμένου την πρόληψη και/ή ανίχνευση και/ή αποτροπή σοβαρών εγκλημάτων.

Να σημειωθεί εδώ ότι οι Κανονισμοί είναι δεσμευτικές νομοθετικές πράξεις χωρίς την ανάγκη ψήφισης τοπικής εθνικής νομοθεσίας και καταργώντας υφιστάμενους κανονισμούς και νομοθεσίες ενώ από την άλλη, οι Οδηγίες ορίζουν ένα στόχο ο οποίος θα πρέπει να επιτευχθεί, από όλες τις χώρες της Ε.Ε. και εναπόκειται σε κάθε χώρα να θεσπίσει τους δικούς της νόμους για την επίτευξη των στόχων αυτών.

Ο επι του προκειμένου Κανονισμός (GDPR) 2016/679, έχει εφαρμογή σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις, κρατικές αρχές, συλλόγους, κλπ.) που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα, είτε έχουν έδρα και δραστηριότητα σε χώρα της Ευρωπαϊκής Ένωσης είτε όχι, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς Ευρωπαίους πολίτες.

Η περίοδος των 2 ετών, από την ψήφιση μέχρι την εφαρμογή του, δίδεται προκειμένου την συμμόρφωση των νομικών προσώπων (εταιρείες), να εξασφαλίσουν την συμμόρφωση με τις πρόνοιες του GDPR. Παράλληλά, οι Εθνικές Αρχές προστασίας δεδομένων, η ομάδα εργασίας -ως προνοεί το Άρθρο 29 του Κανονισμού, αλλά και Ευρωπαϊκός Επόπτης Προστασίας Δεδομένων, θα πρέπει, μέσω γνωμοδοτήσεων καθώς και με άλλες συστάσεις να στηρίξουν και/ή βοηθήσουν τα εμπλεκόμενα μέρη αναφορικά με την προετοιμασία τους.

Κύρια Άρθρα Κανονισμού:

Άρθρο 7 – Συγκατάθεση

Αυστηρές προϋποθέσεις αναφορικά με την συγκατάθεση προσώπου προκειμένου την επεξεργασία των προσωπικών του δεδομένου, με δικαίωμα διαγραφής αυτών ανά πάσα στιγμή.

Άρθρο 12 – Κατανοητή και σαφή γλώσσα ενημέρωσης στις πολιτικές απορρήτου.

Ο υπεύθυνος επεξεργασίας προσωπικών δεδομένων θα πρέπει να παρέχει στο υποκείμενο κάθε απαιτούμενη από τον νόμο πληροφορία , με διαφάνεια και κατανοητό τρόπο, ήτοι σαφή και απλή μορφή.

Άρθρο 17 - Δικαίωμα Διαγραφής (δικαίωμα στη λήθη)

Το υποκείμενο δεδομένων δικαιούται, χωρίς αδικαιολόγητη καθυστέρηση, να ζητήσει από τον υπεύθυνο επεξεργασίας, τη διαγραφή των δεδομένων που το αφορούν και ο τελευταίος με την σειρά του, χωρίς αδικαιολόγητη καθυστέρηση, υποχρεούται να διαγράψει τα εν λόγω δεδομένα, εφόσον ισχύει ένας από τους προβλεπόμενους στον Κανονισμό λόγους.

Άρθρο 32 – Ασφάλεια Επεξεργασίας

Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων

Άρθρο 34 – Υποχρέωση ενημέρωσης και/ή ανακοίνωσης παραβίασης προσωπικών δεδομένων.

Ο υπεύθυνος επεξεργασίας έχει υποχρέωση, άμεσα, να ενημερώσει και/ή ανακοινώσει παραβίαση δεδομένων εις περίπτωση που θα συμβεί.

Επιπλέον, σύμφωνα με το Άρθρο 83 του ανωτέρω Κανονισμού, σε σχέση με παραβιάσεις από τη διοίκηση, υπό ορισμένες προϋποθέσεις, ορισμένες παραβιάσεις επισύρουν διοικητικά πρόστιμα έως και 20 εκ. ευρώ ενώ αναφορικά με νομικά πρόσωπα, έως και 4% του συνολικού, παγκόσμιου ετήσιου κύκλου εργασιών, του προηγούμενου οικονομικού έτους.

Πιστοποίηση Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών, βάση του ISO/IEC 27001, για τους Οργανισμούς και τις Επιχειρήσεις, αποτελεί ένα αποτελεσματικό πλαίσιο συμμόρφωσης με σημαντικές απαιτήσεις του GDPR.