Ο Ευρωπαϊκός Κανονισμός 2016/679 GDPR (General Data Protection Regulation) είναι το νέο κανονιστικό πλαίσιο της Ευρωπαϊκής Ένωσης που αφορά στην προστασία δεδομένων ο οποίος πρόκειται να τεθεί υποχρεωτικά σε ισχύ στις 25 Μαΐου 2018 σε όλες τις ευρωπαϊκές χώρες. Παράλληλα η Ελλάδα θα έχει λάβει έως την 25.5.2018 νομοθετικά μέτρα πλαισίωσης και εκτέλεσης του εν λόγω Κανονισμού με την ψήφιση νέου Νόμου για τα Προστασία Δεδομένων Προσωπικού Χαρακτήρα ο οποίος θα καταργεί τον Ν.2472/1997.

Με τον Κανονισμό καταργείται το καθεστώς των γνωστοποιήσεων, των ερωτημάτων και των αδειών που υποβάλλονται στις εποπτικές αρχές (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα), με αποτέλεσμα το βάρος του προληπτικού ελέγχου της λήψης μέτρων συμμόρφωσης να μετατοπίζονται πλέον στον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία.

Οι επιχειρήσεις υπό την ιδιότητα τους ως υπεύθυνοι επεξεργασίας (ή εκτελούντες) υποχρεούνται πλέον να εφαρμόσουν συγκεκριμένα μέτρα, φέροντας πλέον την ευθύνη απόδειξης της συμμόρφωσης τους με τις διατάξεις του Κανονισμού.

Εποπτεύουσα αρχή για την Ελλάδα είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Σε περίπτωση μη συμμόρφωσης, τα επιβαλλόμενα πρόστιμα μπορεί να φτάσουν το 4% του ετήσιου κύκλου εργασιών της επιχείρησης, ή τα 20 εκατομμύρια ευρώ (όποιο είναι υψηλότερο).

Προσωπικά δεδομένα είναι κάθε πληροφορία που επιτρέπει την άμεση ή έμμεση εξακρίβωση της ταυτότητας ενός φυσικού προσώπου, όπως το όνομα, το επάγγελμα, τα πολιτικά του φρονήματα, τα ενδιαφέροντα, οι δραστηριότητές του κα.

Δεν θεωρούνται προσωπικά δεδομένα πληροφορίες από τις οποίες δεν δύναται να ταυτοποιηθεί ένα συγκεκριμένο άτομο.

Ως επεξεργασία δεδομένων θεωρείται κάθε εργασία ή σειρά εργασιών που πραγματοποιείται, από το Δημόσιο ή από νομικό πρόσωπο δημοσίου δικαίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο όπως η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση ή αποθήκευση, η τροποποίηση, η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλης μορφής διάθεση, η συσχέτιση ή ο συνδυασμός, η διασύνδεση, η δέσμευση (κλείδωμα), η διαγραφή, η καταστροφή δεδομένων προσωπικού χαρακτήρα.

Το είδος και ο όγκος των δεδομένων προσωπικού χαρακτήρα που μπορεί να επεξεργάζεται η εταιρεία ή ο οργανισμός σας εξαρτώνται από τον λόγο της επεξεργασίας (νομικός λόγος που χρησιμοποιείται) και από τη σκοπούμενη χρήση. Η εταιρεία ή ο οργανισμός πρέπει να τηρούν βασικούς κανόνες όπως:

• Να υποβάλλουν σε επεξεργασία τα δεδομένα με νόμιμο και διαφανή τρόπο.
• Να καθορίζουν συγκεκριμένους σκοπούς για την επεξεργασία των δεδομένων και να υποδεικνύουν τους εν λόγω σκοπούς στα άτομα όταν συλλέγουν τα δεδομένα τους προσωπικού χαρακτήρα. Δεν επιτρέπεται απλώς να συλλέγουν δεδομένα προσωπικού χαρακτήρα για απροσδιόριστους σκοπούς («περιορισμός του σκοπού»)
• Να συλλέγουν και να επεξεργάζονται μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για την επίτευξη του εν λόγω σκοπού («ελαχιστοποίηση των δεδομένων»)
• Να διασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και ενημερωμένα, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, να τα διορθώνουν στην αντίθετη περίπτωση («ακρίβεια») και να μην μπορούν να κάνουν περαιτέρω χρήση τους για άλλους σκοπούς που δεν είναι συμβατοί με τον αρχικό σκοπό.
• Να διασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα δεν αποθηκεύονται για διάστημα μεγαλύτερο από αυτό που είναι απαραίτητο για τους σκοπούς για τα οποία συλλέχθηκαν («περιορισμός της περιόδου αποθήκευσης»)
• Να υλοποιούν κατάλληλες τεχνικές και οργανωτικές εγγυήσεις που εξασφαλίζουν την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά, χρησιμοποιώντας κατάλληλη τεχνολογία («ακεραιότητα και εμπιστευτικότητα»).

Ο GDPR αφορά, όλες τις ιδιωτικές και δημόσιες επιχειρήσεις και φορείς που με οποιοδήποτε τρόπο επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πολιτών της Ε.Ε. ή νομίμως κατοικούντων στην Ε.Ε..

Οι απαιτήσεις συμμόρφωσης δεν εξαρτώνται από το μέγεθος για κάθε επιχείρηση/φορέα αλλά από τη φύση των δραστηριοτήτων τους, τον όγκο των δεδομένων, το είδος των δεδομένων που επεξεργάζονται και τον τρόπο που πραγματοποιείται η επεξεργασία. Δραστηριότητες που ενέχουν υψηλούς κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, είτε πραγματοποιούνται από μια μικρομεσαία είτε από μια μεγάλη επιχείρηση, συνεπάγονται την εφαρμογή πιο αυστηρών κανόνων.

Κάθε οργανισμός ή επιχείρηση υποχρεούται, να ορίσει έναν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer):

• αν πρόκειται για δημόσιο οργανισμό ή ΔΕΚΟ που διαχειρίζεται προσωπικά δεδομένα,
• όταν οι βασικές δραστηριότητες της εταιρείας συνιστούν πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, όπως οι εταιρείες στο χώρο της υγείας και των τηλεπικοινωνιών κα.,
• όταν πρόκειται για οργανισμό του οποίου η βασική δραστηριότητα συνιστά μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων (περιλαμβάνονται όσα αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά, βιομετρικά, δεδομένα υγείας ή αφορώντα τη σεξουαλική ζωή η τον γενετήσιο προσανατολισμό), και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα.

Για να προσδιορισθεί αν η επεξεργασία διενεργείται σε μεγάλη κλίμακα λαμβάνονται υπόψη:

• Ο αριθμός των εμπλεκόμενων υποκειμένων των δεδομένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του συναφούς πληθυσμού
• Ο όγκος των δεδομένων και/η το εύρος των διαφόρων στοιχείων δεδομένων που υφίστανται επεξεργασία
• Η διάρκεια ή ο μόνιμος χαρακτήρας της επεξεργασίας
• Η γεωγραφική έκταση της επεξεργασίας

Ως τέτοια παραδείγματα επεξεργασίας σε μεγάλη κλίμακα αναφέρονται ενδεικτικά:

Η επεξεργασία δεδομένων ασθενών στο πλαίσιο λειτουργίας ενός νοσοκομείου, κλινικής,, δεδομένων μετακίνησης φυσικών προσώπων , δεδομένων γεωγραφικού εντοπισμού πελατών, περιεχομένου, κίνησης, θέσης από παρόχους υπηρεσιών τηλεφωνίας ή διαδικτύου, δεδομένων πελατών μιας ασφαλιστικής εταιρείας η τράπεζας , δεδομένων προσωπικού χαρακτήρα για σκοπούς συμπεριφορικής διαφήμισης από μηχανή αναζήτησης.

Για να προσδιορισθεί αν η επεξεργασία απαιτεί τακτική και συστηματική παρακολούθηση της συμπεριφοράς των υποκειμένων εκτιμάται αν λαμβάνουν χώρα σε συνεχή βάση ή σε συγκεκριμένα χρονικά διαστήματα για συγκεκριμένη χρονική περίοδο, τακτικά ή κατ΄επανάληψη σε σταθερές χρονικές στιγμές, αδιαλείπτως ή παροδικά, σύμφωνα με κάποιο σύστημα, προκαθορισμένη, οργανωμένη ή μεθοδική, στο πλαίσιο γενικότερου σχεδίου για τη συλλογή δεδομένων

Ως παραδείγματα τέτοιων δραστηριοτήτων αναφέρονται: λειτουργία δικτύου τηλεπικοινωνιών, παροχή υπηρεσιών τηλεπικοινωνιών, επαναστόχευση μηνυμάτων ηλεκτρονικού ταχυδρομείου, δραστηριότητες μάρκετινγκ βάσει δεδομένων, διαμόρφωση προφίλ και βαθμολόγηση για σκοπούς εκτίμησης κινδύνου, εντοπισμός θέσης για παράδειγμα μέσω εφαρμογών για κινητά τηλέφωνα, προγράμματα επιβράβευσης αφοσιωμένων πελατών, συμπεριφορική διαφήμιση, παρακολούθηση δεδομένων σχετικά με την ευεξία, τη φυσική κατάσταση και την υγεία μέσω φορέσιμων συσκευών, τηλεόραση κλειστού κυκλώματος, συνδεδεμένες συσκευές, πχ έξυπνες συσκευές μέτρησης, έξυπνα αυτοκίνητα, οικιακός αυτοματισμός , κλπ.

• Ενημερώνει και συμβουλεύει την εταιρεία ή τον φορέα και τους υπαλλήλους που επεξεργάζονται δεδομένα για τις υποχρεώσεις τους που απορρέουν από τον Κανονισμό και τη νομοθεσία.
• Παρακολουθεί την εσωτερική συμμόρφωση της εταιρείας ή του φορέα αλλά δεν φέρει ευθύνη σε περίπτωση μη συμμόρφωσης.
• Παρέχει συμβουλές όταν του ζητείται όσον αφορά την Εκτίμηση Αντικτύπου (Data Protection Impact Assessment– DPIA) σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίηση της.
• Συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και ενεργεί ως σημείο επικοινωνίας με αυτή για ζητήματα που σχετίζονται με την επεξεργασία και πραγματοποιεί διαβουλεύσεις.

Ο GDPR επιβάλλει στις επιχειρήσεις:

• Να καταρτίσουν Πολιτική Ασφαλείας (Security Policy) στην οποία θα περιγράφονται οι βασικές αρχές προστασίας προσωπικών δεδομένων και ασφαλείας που εφαρμόζουν, όπως οι βασικές αρχές ασφαλείας που οφείλουν να τηρούν (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα των δεδομένων, απόδοση ευθυνών σε περιπτώσεις λαθών και παραβάσεων κλπ),τα αρχεία σε οποιαδήποτε μορφή η ο εξοπλισμός που πρέπει να προστατευθούν , το οργανωτικό πλαίσιο ρόλων, αρμοδιοτήτων, καθηκόντων, την ενημέρωση του προσωπικού και τις δέουσες ενέργειες σε περίπτωση παραβίασης, τη διαδικασία των εσωτερικών ελέγχων για την ορθή εφαρμογή και την αποτίμηση της αποτελεσματικότητας.
• Να καταρτίσουν Σχέδιο Ασφάλειας (Security Plan) που να περιγράφει την τεχνολογική υποδομή και τα πληροφοριακά συστήματα που υποστηρίζουν την επεξεργασία των προσωπικών δεδομένων τα Οργανωτικά Μέτρα Ασφαλείας (Υπεύθυνος Ασφαλείας, Οργάνωση/Διαχείριση Προσωπικού, Εκτελούντες την επεξεργασία, καταστροφή δεδομένων και αποθηκευτικών μέσων, διαχείριση περιστατικών παραβίασης, εκπαίδευση προσωπικού, έλεγχος), τα Τεχνικά Μέτρα Ασφαλείας (έλεγχος πρόσβασης, αντίγραφα ασφαλείας, διαμόρφωση υπολογιστών, αρχεία καταγραφής ενεργειών χρηστών και συμβάντων ασφαλείας, ασφάλεια επικοινωνιών, αποσπώμενα μέσα αποθήκευσης, ασφάλεια λογισμικού, διαχείριση αλλαγών), αλλά και Μέτρα Φυσικής Ασφαλείας (έλεγχος φυσικής πρόσβασης, περιβαλλοντική ασφάλεια, έκθεση εγγράφων, προστασία φορητών μέσων αποθήκευσης).
• Να καταρτίσουν πριν από την επεξεργασία Εκτίμηση Αντικτύπου (Data Protection Impact Assessment– DPIA), όταν αυτή, ιδίως με την χρήση νέων τεχνολογιών ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων
• Να καταρτίσουν Σχέδιο Ανάκαμψης από Καταστροφές (Disasteer Recovery and Contingency Plan) που θα αναφέρεται στα μέτρα προστασίας, ανάκαμψης και αποκατάστασης πληροφοριακών συστημάτων και τεχνολογικών υποδομών
• Να έχουν ορίσει, εφόσον απαιτείται, τονData Protection Officer (DPO).