Ο GDPR είναι ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (General Data Protection Regulation), που έχει θεσπίσει η Ευρωπαϊκή Ένωση και αφορά την συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ο GDPR έχει τεθεί σε ισχύ από την 25η Μαΐου 2018, και ενσωματώνει παλιότερες οδηγίες και κανονισμούς (π.χ. Προστασία Δεδομένων 45/2001/ΕΕ).

Βάσει του GDPR, κάθε οντότητα (εταιρεία ή φυσικό πρόσωπο) που συλλέγει ή διαχειρίζεται προσωπικά δεδομένα, θα πρέπει να αναφέρει ρητά για ποιο λόγο τα συλλέγει, πώς τα επεξεργάζεται, για πόσο χρονικό διάστημα τα διατηρεί και εάν τα διαμοιράζεται με τρίτους. Επίσης ο νέος κανονισμός, ορίζει διαδικασίες για την ασφαλή μεταφορά και αποθήκευση των δεδομένων και διαδικασίες που θα πρέπει να ακολουθηθούν σε περίπτωση υποκλοπής προσωπικών δεδομένων, με την κυριότερη να είναι η ενημέρωση των ατόμων που επηρεάζονται εντός 72 ωρών. Παράλληλα ορίζονται και δικαιώματα που έχουν οι χρήστες ως προς τα δεδομένα που έχετε συλλέξει ή επεξεργαστεί για αυτούς.

Πώς σας επηρεάζει ο GDPR

Εάν έχετε μία ιστοσελίδα, web εφαρμογή ή ηλεκτρονικό κατάστημα, τότε κατά 99% συλλέγετε και επεξεργάζεστε δεδομένα προσωπικού χαρακτήρα από τους επισκέπτες/πελάτες σας, επομένως θα πρέπει να προβείτε στις απαραίτητες ενέργειες για να συμμορφωθείτε με τον νέο κανονισμό. Ποιες είναι όμως αυτές οι ενέργειες;

1. Καταγραφή δεδομένων που συλλέγετε

Το πιο βασικό κομμάτι, είναι να γνωρίζετε και να καταγράψετε αναλυτικά ποια προσωπικά δεδομένα διατηρείτε, τον τρόπο με τον οποίο τα συλλέξατε αλλά και με ποιους τα μοιράζεστε. Επιπλέον ο GDPR αναφέρει πως για όποια επεξεργασία γίνεται επί των προσωπικών δεδομένων κάποιου ατόμου, θα πρέπει να διατηρείτε πλήρες αρχείο (log).

2. Πολιτική απορρήτου και προστασίας δεδομένων

Στα πλαίσια του νέου κανονισμού θα πρέπει να αναθεωρήσετε την πολιτική απορρήτου σας, και να αναγράφετε αναλυτικά το λόγο για τον οποίο συλλέγετε πληροφορίες προσωπικού χαρακτήρα (νόμιμη βάση), για πόσο διάστημα διατηρείτε αυτές τις πληροφορίες καθώς και τα δικαιώματα που έχουν οι χρήστες σχετικά με τα δεδομένα τους. Επιπλέον ο GDPR απαιτεί την χρήση απλής, κατανοητής γλώσσας για την συγγραφή της πολιτικής απορρήτου – όχι άλλοι πολύπλοκοι νομικοί όροι.

3. Δικαιώματα των χρηστών

Ο GDPR οριζεί μια σειρά από δικαιώματα που έχουν οι χρήστες σχετικά με τα δεδομένα που συλλέγονται για αυτούς. Συγκεκριμένα ορίζει πως κάθε άτομο έχει το δικαίωμα:

  • να ζητήσει ενημέρωση για το είδος των προσωπικών δεδομένων που τηρείτε για αυτό
  • να έχει πρόσβαση στα αρχεία προσωπικών δεδομένων που διατηρείτε εφόσον περιλαμβάνονται και τα δικά τους προσωπικά δεδομένα
  • να ζητήσει την διόρθωση των προσωπικών του δεδομένων
  • να ζητήσει την πλήρη διαγραφή των προσωπικών του δεδομένων
  • να περιορίσει την επεξεργασία των προσωπικών του δεδομένων
  • να αιτηθεί την μεταφορά των δεδομένων που διατηρείτε σε κάποια άλλη εταιρία/οργανισμό
  • να δηλώσει ένσταση για την καταγραφής και επεξεργασίας των προσωπικών του δεδομένων στην εκάστοτε Αρχή Προστασίας Δεδομένων
  • να μην υπόκειται σε αυτοματοποιημένες διαδικασίες όπως π.χ. η αυτόματη δημιουργία προφίλ

4. Συναίνεση

Βάσει του GDPR θα πρέπει να έχετε μία νομική βάση για την συλλογή και επεξεργασία προσωπικών δεδομένων. Η κυριότερη νομική βάση είναι η συναίνεση του χρήστη, η οποία ωστόσο θα πρέπει:

  • να δίνεται ελεύθερα, και όχι με την χρήση προεπιλεγμένων checkboxes (κουτάκια)
  • να είναι το δυνατόν πιο συγκεκριμένη, ώστε το άτομο να γνωρίζει ανά πάσα στιγμή σε τι ακριβώς συναινεί
  • να μην είναι αμφισβητίσιμη, περιγράφοντας όλες τις πρακτικές που εφαρμόζετε και τα δικαιώματα που έχει ο χρήστης.
  • να μπορεί να αποσυρθεί εύκολα (opt-out)
  • να μην προκύπτει από την μη εκτέλεση κάποιας ενέργειας (π.χ. «χρησιμοποιώντας την ιστοσελίδα μας, αποδέχεστε τους όρους χρήσης»)

5. Παραβιάσεις ασφαλείας και υποκλοπες δεδομένων

Θα πρέπει να ορίσετε ή να ενημερώσετε τις διαδικασίες που ακολουθείτε για την ανίχνευση και την αναφορά παραβάσεων ασφαλείας και τυχόν υποκλοπής δεδομένων. Τέτοιου είδους παραβιάσεις, μέχρι πρότινως έπρεπε να αναφερθούν στην Αρχή Προστασίας Δεδομένων, αλλά ο GDPR ορίζει πως σε ορισμένες περιπτώσεις υποκλοπής, θα πρέπει να ενημερώνετε και ο χρήστης που επηρεάζεται από την υποκλοπή αυτή.

Οι αναφορές αυτές θα πρέπει να γίνονται μόνο αν κάποια παραβίαση μπορεί να οδηγήσει σε κίνδυνο της ελευθερίας του ατόμου, όπως την κλοπή ταυτότητας, την βλάβη της φήμης, την οικονομική ζημία κ.ο.κ. Η παράλειψη αναφοράς μίας παραβίασης ασφαλείας, μπορεί να επιφέρει πρόστιμο.

6. Υπεύθυνος Προστασίας Δεδομένων (DPO – Data Protection Officer)

Ο Υπεύθυνος Προστασίας Δεδομένων (DPO), μπορεί να είναι ένας υπάλληλος της εταιρείας σας ή κάποιος εξωτερικός συνεργάτης. Ο Υπεύθυνος Προστασίας Δεδομένων έχει ως ευθύνη τον ορισμό διαδικασιών που θα διευκολύνουν την συμμόρφωση της εταιρείας σας με τις διατάξεις του GDPR. Συνήθως λειτουργεί και ως ενδιάμεσος μεταξύ της εταιρείας σας και των εποπτικών αρχών ή των υποκειμένων. Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων είναι συμβουλευτικός και δεν φέρει ευθύνη για την μη συμμόρφωση με τον GDPR, ενώ πρέπει να αναφέρεται στο υψηλότερο διοικητικά όργανο της εταιρείας σας. Αντίθετα ο Υπεύθυνος Επεξεργασίας Δεδομένων έχει την πλήρη ευθύνη και είναι αυτός που μπορεί να διασφαλίσει ότι η όποια επεξεργασία δεδομένων διενεργείτε σύμφωνα με τον GDPR.

Υποχρέωση επίσημου ορισμού έχετε αν είστε:

  • Μια δημόσια αρχή (εξαιρουμένων των δικαστηρίων που ενεργούν στην δικαιοδοσία τους)
  • Ένας οργανισμός που διεξάγει τακτική και συστηματική καταγραφή προσωπικών δεδομένων σε μεγάλη κλίμακα
  • Ένας οργανισμός που εκτελεί επεξεργασία μεγάλης κλίμακας ειδικών κατηγοριών δεδομένων (π.χ. αρχεία υγείας ή πληροφορίες σχετικά με εγκληματικές καταδίκες)

 

Τα παραπάνω είναι μία προσπάθεια επεξήγησης των βασικών σημείων του νέου κανονισμού. Σε κάθε περίπτωση πριν προχωρήσετε σε οποιαδήποτε ενέργεια, θα πρέπει να συμβουλευτείτε τον νομικό σας σύμβουλο, ώστε να σας καθοδηγήσει σχετικά με τις ενέργειες στις οποίες θα πρέπει να προβείτε.