O νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, τέθηκε σε ισχύ στις 24 Μαΐου 2016 και θα αρχίσει να εφαρμόζεται από τις 25 Μαΐου 2018. Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), ρυθμίζει την επεξεργασία από άτομο, εταιρεία ή οργανισμό των δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα στην ΕΕ. Τα δεδομένα προσωπικού χαρακτήρα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα αλλά τα οποία μπορούν να χρησιμοποιηθούν για την επαναταυτοποίηση ενός ατόμου παραμένουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ. Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα με τέτοιον τρόπο ώστε το άτομο να μην είναι ή να μην είναι πια ταυτοποιήσιμο δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη. Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Είναι τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία, υπό την προϋπόθεση ότι τα δεδομένα οργανώνονται βάσει προκαθορισμένων κριτηρίων (π.χ. αλφαβητική σειρά). Επίσης, δεν έχει σημασία ο τρόπος που αποθηκεύονται τα δεδομένα – σε σύστημα τεχνολογίας πληροφοριών, μέσω βιντεοεπιτήρησης ή σε έντυπη μορφή.
Παραδείγματα δεδομένων προσωπικού χαρακτήρα:
- όνομα και επώνυμο
- διεύθυνση κατοικίας
- ηλεκτρονική διεύθυνση ταχυδρομείου, π.χ. όνομα.επώνυμο@εταιρεία.com
- αριθμός εγγράφου ταυτοποίησης (π.χ. αριθμός ταυτότητας, διαβατηρίου, διπλώματος οδήγησης, κ.λπ.)
- δεδομένα τοποθεσίας (π.χ. η λειτουργία δεδομένων τοποθεσίας σε κινητό τηλέφωνο*)
- διεύθυνση διαδικτυακού πρωτοκόλλου (IP address)
- αναγνωριστικό διαδικτυακής περιήγησης (π.χ. cookie*)
- το αναγνωριστικό διαφήμισης του τηλεφώνου σας
- δεδομένα που φυλάσσονται από νοσοκομείο ή γιατρό, που θα μπορούσαν να είναι ένα σύμβολο που προσδιορίζει αποκλειστικά ένα άτομο.
Σημειώστε ότι σε ορισμένες περιπτώσεις, υπάρχει ειδική νομοθεσία σχετικά με συγκεκριμένους τομείς που ρυθμίζει, για παράδειγμα, τη χρήση δεδομένων τοποθεσίας ή τη χρήση cookie – οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες [οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002 (ΕΕ L 201 της 31.7.2002, σ. 37) και κανονισμός (ΕΚ) αριθ. 2006/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Οκτωβρίου 2004 (ΕΕ L 364 της 9.12.2004, σ. 1)]. Παραδείγματα δεδομένων που δεν θεωρούνται δεδομένα προσωπικού χαρακτήρα:
- αριθμός μητρώου εταιρίας
- ηλεκτρονική διεύθυνση του τύπου info@εταιρία.com
- ανώνυμα δεδομένα (όπως π.χ. σε μια ανώνυμη έρευνα αγοράς)
Σε ποιους εφαρμόζεται η νομοθεσία περί προστασίας των δεδομένων;
α) σε κάθε εταιρεία ή οντότητα η οποία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων ενός από τα υποκαταστήματά της που έχουν έδρα στην ΕΕ, ανεξάρτητα από το πού γίνεται η επεξεργασία των δεδομένων· ή β) σε κάθε εταιρεία η οποία έχει έδρα εκτός της ΕΕ και προσφέρει αγαθά/υπηρεσίες (επί πληρωμή ή δωρεάν) ή παρακολουθεί τη συμπεριφορά φυσικών προσώπων στην ΕΕ. Εάν η εταιρεία σας είναι μικρομεσαία επιχείρηση (ΜΜΕ) και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, όπως περιγράφεται παραπάνω, πρέπει να συμμορφώνεστε με τον GDPR. Ωστόσο, εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν αποτελεί βασικό μέρος της επιχειρηματικής σας δραστηριότητας και η δραστηριότητά σας δεν δημιουργεί κινδύνους για φυσικά πρόσωπα, τότε ορισμένες από τις υποχρεώσεις του ΓΚΠΔ δεν ισχύουν για εσάς [π.χ. ο διορισμός υπεύθυνου προστασίας δεδομένων (ΥΠΔ)]. Σημειώνεται ότι οι «βασικές δραστηριότητες» θα πρέπει να περιλαμβάνουν δραστηριότητες όπου η επεξεργασία δεδομένων αποτελεί αναπόσπαστο μέρος της δραστηριότητας του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Παραδείγματα Πότε εφαρμόζεται ο κανονισμός Είστε μικρή εταιρεία τριτοβάθμιας εκπαίδευσης που δραστηριοποιείται στο διαδίκτυο με επαγγελματική εγκατάσταση που έχει έδρα εκτός της ΕΕ. Η εταιρεία σας απευθύνεται κυρίως σε ισπανόφωνα και πορτογαλόφωνα πανεπιστήμια στην ΕΕ. Προσφέρει δωρεάν συμβουλές σχετικά με διάφορα πανεπιστημιακά προγράμματα σπουδών, και οι φοιτητές χρειάζονται ένα όνομα χρήστη και έναν κωδικό πρόσβασης για να αποκτήσουν πρόσβαση στο υλικό σας στο διαδίκτυο. Η εταιρεία σας παρέχει το εν λόγω όνομα χρήστη και κωδικό πρόσβασης αφού οι φοιτητές συμπληρώσουν μια φόρμα εγγραφής. Πότε δεν εφαρμόζεται ο κανονισμός Η εταιρεία σας είναι πάροχος υπηρεσιών με έδρα εκτός της ΕΕ. Παρέχει υπηρεσίες σε πελάτες εκτός της ΕΕ. Οι πελάτες της μπορούν να χρησιμοποιούν τις υπηρεσίες της όταν ταξιδεύουν σε άλλες χώρες, συμπεριλαμβανομένης της ΕΕ. Εφόσον η εταιρεία σας δεν απευθύνει ειδικά τις υπηρεσίες της σε φυσικά πρόσωπα στην ΕΕ, δεν υπόκειται στους κανόνες του ΓΚΠΔ.
Η επεξεργασία προσωπικών δεδομένων
Ο όρος «επεξεργασία» καλύπτει ευρύ φάσμα πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα, είτε με χειροκίνητα είτε με αυτοματοποιημένα μέσα. Περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα. Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) εφαρμόζεται στην εξ ολοκλήρου ή μερική επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα καθώς και στη μη αυτοματοποιημένη επεξεργασία, εάν αποτελεί μέρος διαρθρωμένου συστήματος αρχειοθέτησης. Παραδείγματα επεξεργασίας:
- διαχείριση προσωπικού και μισθοδοσία·
- προσπέλαση/αναζήτηση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα·
- αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων.
- καταστροφή διά τεμαχισμού εγγράφων που περιέχουν δεδομένα προσωπικού χαρακτήρα·
- δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου σε ιστότοπο·
- αποθήκευση διευθύνσεων IP ή διευθύνσεων MAC·
- μαγνητοσκόπηση (τηλεόραση κλειστού κυκλώματος).