Μεγάλες αλλαγές έρχονται από την Παρασκευή στα προσωπικά δεδομένα. Πρόκειται για το νέο ενιαίο σύνολο κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα στην ΕΕ που τίθεται σε εφαρμογή από τις 25 Μάιου, με σκοπό τον εκσυγχρονισμό του υφιστάμενου πλαισίου. Οι βασικές κατευθυντήριες γραμμές είναι νέα δικαιώματα για τους πολίτες, ενίσχυση της προστασίας των προσωπικών δεδομένων και επιβολή αυστηρών διοικητικών κυρώσεων. Ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων / General Data Protection Regulation – GDPR, στο εσωτερικό της ΕΕ τέθηκε σε ισχύ στις 24 Μαΐου 2016 με εφαρμογή από τις 25 Μαΐου 2018, οπότε και αναμένεται η θέσπιση νέων εθνικών ρυθμίσεων, οι οποίες θα εξειδικεύσουν την εφαρμογή διατάξεων του ΓΚΠΔ στην ελληνική έννομη τάξη. Το πεδίο εφαρμογής του ΓΚΠΔ καλύπτει τόσο τον ιδιωτικό όσο και το δημόσιο τομέα. Με την εφαρμογή του GDPR θα αντικατασταθεί αυτόματα το υπάρχον νομοθετικό καθεστώς για την προστασία δεδομένων προσωπικού χαρακτήρα. Οι υπεύθυνοι επεξεργασίας (νοσοκομεία, κλινικές, φαρμακευτικές εταιρείες, ασφαλιστικές εταιρείες, κλπ) θα απαλλάσσονται πλέον από τη γενική υποχρέωση γνωστοποίησης τήρησης αρχείου ή λήψης άδειας για την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα. Θα υπάρχουν πλέον εναλλακτικοί τρόποι προστασίας των δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία και αυστηρότερα πρόστιμα για την αθέμιτη επεξεργασία τους. Σύμφωνα με τους κανόνες της ΕΕ για την προστασία των δεδομένων, τα προσωπικά σας δεδομένα μπορούν να αποτελέσουν αντικείμενο επεξεργασίας μόνο σε ορισμένες περιπτώσεις και υπό ορισμένους όρους, όπως:
- αν έχετε δώσει τη συγκατάθεσή σας (πρέπει να ενημερώνεστε για τη συλλογή των δεδομένων σας)
- αν η επεξεργασία των δεδομένων είναι αναγκαία για μια σύμβαση, αίτηση για θέση εργασίας ή αίτηση χορήγησης δανείου
- αν υπάρχει νομική υποχρέωση για επεξεργασία των δεδομένων σας
- αν η επεξεργασία είναι προς το «ζωτικό συμφέρον» σας, π.χ. αν ένας γιατρός χρειάζεται πρόσβαση στα ιατρικά σας δεδομένα σε περίπτωση που είχατε κάποιο ατύχημα
- αν η επεξεργασία είναι αναγκαία για την άσκηση καθηκόντων που εξυπηρετούν το δημόσιο συμφέρον ή για την άσκηση καθηκόντων από την κυβέρνηση, τις φορολογικές αρχές, την αστυνομία ή άλλους δημόσιους φορείς.
- Προσωπικά δεδομένα σχετικά με τη φυλετική ή την εθνοτική καταγωγή σας, τον σεξουαλικό σας προσανατολισμό, τα πολιτικά σας φρονήματα, τις θρησκευτικές ή φιλοσοφικές σας πεποιθήσεις, τη συμμετοχή σας σε συνδικαλιστικές οργανώσεις ή την υγεία σας δεν μπορούν να αποτελέσουν αντικείμενο επεξεργασίας παρά μόνο σε συγκεκριμένες περιπτώσεις (π.χ. όταν έχετε δώσει τη ρητή συγκατάθεσή σας ή όταν η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή του εθνικού δικαίου).
Οι κανόνες αυτοί ισχύουν τόσο για τους δημόσιους όσο και για τους ιδιωτικούς φορείς.
Επεξεργασία προσωπικών δεδομένων
Το πρόσωπο ή ο φορέας που επεξεργάζεται τα δεδομένα σας, ο οποίος καλείται «υπεύθυνος επεξεργασίας δεδομένων», πρέπει να σέβεται τους κανόνες της ΕΕ σχετικά με την επεξεργασία και αποθήκευση των προσωπικών σας δεδομένων:
- τα δεδομένα σας μπορούν να συλλέγονται μόνο για σαφώς καθορισμένους νόμιμους σκοπούς
- δεν πρέπει να σας ζητείται ένας υπερβολικά μεγάλος αριθμός δεδομένων
- τα δεδομένα που προσδιορίζουν την ταυτότητά σας (π.χ. το όνομά σας ή τα στοιχεία επικοινωνίας σας) δεν πρέπει να φυλάσσονται πέραν του αναγκαίου χρονικού διαστήματος
- θα πρέπει να μπορείτε να διορθώσετε, να διαγράψετε ή να κλειδώσετε ανακριβή δεδομένα που σας αφορούν
- τα προσωπικά σας δεδομένα πρέπει να προστατεύονται από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση ή δημοσιοποίηση.
- Σε περίπτωση κλοπής, απώλειας ή παράνομης απόκτησης ευαίσθητων προσωπικών πληροφοριών (παραβίαση προσωπικών δεδομένων), ο πάροχος πρέπει να ενημερώσει την εθνική αρχή προστασίας δεδομένωνEnglish. Ο υπεύθυνος επεξεργασίας δεδομένων πρέπει επίσης να σας ενημερώσει αμέσως σε περίπτωση που τίθενται σε κίνδυνο τα προσωπικά σας δεδομένα ή η ιδιωτική σας ζωή εξαιτίας της παραβίασης.
Ο νέος Ευρωπαϊκός Kανονισμός για την προστασία των προσωπικών δεδομένων προβλέπει αυξημένα πρόστιμα, που ανάλογα με το είδος και το μέγεθος της επιχείρησης, φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του συνολικού ετήσιου κύκλου εργασιών.
Οι επιχειρήσεις και οργανισμοί που υπόκεινται στην τήρηση του κανονισμού θα πρέπει:
- Να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ’ αυτών είναι απαραίτητα,
- Να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν,
- Να τα αποθηκεύουν για το μικρότερο δυνατό χρονικό διάστημα που απαιτείται, να λαμβάνουν – κατά περίπτωση – την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων,
- Να τα μεταφέρουν σε χώρες εκτός Ε.Ε. μόνον υπό συγκεκριμένες προϋποθέσεις, να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με το νέο κανονισμό,
- Να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα για: Ανάκληση της συγκατάθεσης, πρόσβαση στα δεδομένα, διόρθωση των δεδομένων, διαγραφή των δεδομένων, περιορισμό της επεξεργασίας, παράδοση των δεδομένων σε ηλεκτρονική μορφή, μεταφορά των δεδομένων σε άλλο φορέα.
- Να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους,
- Να τηρούν σε αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση,
- Να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.
Στο πλαίσιο του νέου κανονισμού, μεταξύ των προβλημάτων, που πρέπει να αντιμετωπίσουν οι επιχειρήσεις, είναι: ακριβή γνώση για το ποια δεδομένα συλλέγουν και επεξεργάζονται σε κάθε φάση των δραστηριοτήτων τους, ακριβή καθορισμό και διαχωρισμό των επιχειρησιακών αναγκών, συστηματικό έλεγχο για την κάλυψη των απαιτήσεων του κανονισμού σε κάθε στάδιο επεξεργασίας των δεδομένων, αξιολόγηση των κινδύνων που ενδέχεται να οδηγήσουν σε παραβίαση των προσωπικών δεδομένων, με αποτέλεσμα βαρύτατες οικονομικές κυρώσεις και επιπτώσεις στην εταιρική φήμη, λήψη αποτελεσματικών ψηφιακών μέτρων για τον περιορισμό του κινδύνου παραβιάσεων του κανονισμού κ.α.
Τα δικαιώματα των καταναλωτών σύμφωνα με τον κανονισμό
Σύμφωνα με την Ένωση Εργαζομένων Καταναλωτών Ελλάδας υπογραμμίζει ότι με το νέο Κανονισμό, ενισχύεται το πλέγμα προστασίας των προσωπικών δεδομένων, κατοχυρώνονται επαρκέστερα τα δικαιώματα του ατόμου του οποίου τα δεδομένα υπόκεινται σε επεξεργασία, καθώς επίσης εξασφαλίζεται η δυνατότητα αποτελεσματικότερου ελέγχου επί αυτών. Μεταξύ άλλων, ο Κανονισμός προβλέπει τα εξής δικαιώματα του υποκειμένου των προσωπικών δεδομένων:
- Ενημέρωση με σαφήνεια και διαφάνεια από τον υπεύθυνο επεξεργασίας (ταυτότητα και στοιχεία υπεύθυνου επεξεργασίας, είδος δεδομένων, σκοπός επεξεργασίας, πιθανοί αποδέκτες των δεδομένων κ.λπ.).
- Δυνατότητα πρόσβασης στα προσωπικά του δεδομένα, όταν αυτά υφίστανται επεξεργασία.
- Δυνατότητα απαίτησης διόρθωσης ή συμπλήρωσης ελλιπών δεδομένων, από τον υπεύθυνο επεξεργασίας.
- Αίτημα διαγραφής (λήθη) των προσωπικών του δεδομένων υπό προϋποθέσεις (ανάκληση συγκατάθεσης, παράνομη απόκτηση, απουσία επιτακτικών και νόμιμων λόγων επεξεργασίας κ.λπ.).
- Δυνατότητα εναντίωσης στην επεξεργασία προσωπικών δεδομένων, εάν ο υπεύθυνος επεξεργασίας δεν καταδείξει επιτακτικούς λόγους για την επεξεργασία αυτή.