Ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων, ο λεγόμενος GDPR, τίθεται σε ισχύ από την Ευρωπαϊκή Ένωση στις 25 Μαΐου του 2018 και αλλάζει πολλά από όσα γνωρίζαμε μέχρι σήμερα. Σε email και γραπτά μηνύματα έχουν επιδοθεί, εξάλλου τα τελευταία 24ωρα, εταιρείες προς τους καταναλωτές. Εάν οι χρήστες δεν δηλώσουν εκ νέου ότι έχουν ενημερωθεί για τα δικαιώματά τους και επιθυμούν να λαμβάνουν ενημερωτικά email με προσφορές και διαφημίσεις, τότε θα πρέπει να σταματήσει η αποστολή τους. Οι εταιρείες στέλνουν ειδοποιήσεις στους καταναλωτές και σε πολλές περιπτώσεις τις συνοδεύουν με κληρώσεις και δώρα.
Μεταξύ άλλων, ο Κανονισμός προβλέπει τα εξής δικαιώματα του υποκειμένου των προσωπικών δεδομένων:
- Ενημέρωση με σαφήνεια και διαφάνεια από τον υπεύθυνο επεξεργασίας (ταυτότητα και στοιχεία υπεύθυνου επεξεργασίας, είδος δεδομένων, σκοπός επεξεργασίας, πιθανοί αποδέκτες των δεδομένων κ.λπ.).
- Δυνατότητα πρόσβασης στα προσωπικά του δεδομένα, όταν αυτά υφίστανται επεξεργασία.
- Δυνατότητα απαίτησης διόρθωσης ή συμπλήρωσης ελλιπών δεδομένων, από τον υπεύθυνο επεξεργασίας.
- Αίτημα διαγραφής (λήθη) των προσωπικών του δεδομένων υπό προϋποθέσεις (ανάκληση συγκατάθεσης, παράνομη απόκτηση, απουσία επιτακτικών και νόμιμων λόγων επεξεργασίας κ.λπ.).
- Δυνατότητα εναντίωσης στην επεξεργασία προσωπικών δεδομένων, εάν ο υπεύθυνος επεξεργασίας δεν καταδείξει επιτακτικούς λόγους για την επεξεργασία αυτή.
Επιπροσθέτως, ο υπεύθυνος επεξεργασίας προσωπικών δεδομένων υποχρεούται:
- Να λαμβάνει τη συγκατάθεση του υποκειμένου των προσωπικών δεδομένων, όπου αυτή απαιτείται και να είναι σε θέση να αποδεικνύει τη συγκατάθεση αυτή αν του ζητηθεί.
- Να μην προβαίνει σε επεξεργασία προσωπικών δεδομένων, ανηλίκων κάτω των 16 ετών, χωρίς προηγούμενη συγκατάθεση του γονέα. Ο υπεύθυνος επεξεργασίας, θα πρέπει να επαληθεύει τη συγκατάθεση αυτή, με κάθε μέσο που του προσφέρει η διαθέσιμη τεχνολογία. Τα κράτη μέλη μπορούν να θεσπίζουν μικρότερο ηλικιακό όριο, σε καμία περίπτωση όμως το όριο δε θα πρέπει να είναι μικρότερο από τα 13 έτη.
- Nα μην επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό.
Πότε δεν θα εφαρμόζεται ο κανονισμός
Οι νέοι κανόνες δεν εφαρμόζονται σε δεδομένα που υποβάλλονται σε επεξεργασία από ένα άτομο για αυστηρά προσωπικούς λόγους ή για δραστηριότητες που διενεργούνται κατ’ οίκον, εφόσον δεν συνδέονται με επαγγελματική ή εμπορική δραστηριότητα. Δεν θα εφαρμόζονται αν π.χ. ένα άτομο χρησιμοποιεί το ιδιωτικό του βιβλίο διευθύνσεων για να προσκαλέσει φίλους μέσω ηλεκτρονικού μηνύματος σε μια γιορτή που διοργανώνει (ισχύει η εξαίρεση των οικιακών δραστηριοτήτων).
Ποια θεωρούνται δεδομένα προσωπικού χαρακτήρα
Τα δεδομένα προσωπικού χαρακτήρα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα, αλλά τα οποία μπορούν να χρησιμοποιηθούν για την επαναταυτοποίηση ενός ατόμου, παραμένουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ. Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα έτσι ώστε το άτομο να μην είναι ταυτοποιήσιμο, δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη. Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Είναι τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία. Επίσης, δεν έχει σημασία ο τρόπος που αποθηκεύονται τα δεδομένα – σε ψηφιακή ή έντυπη μορφή.
Ποια είναι χαρακτηριστικά παραδείγματα δεδομένων προσωπικού χαρακτήρα
Το όνομα και επώνυμο, η διεύθυνση κατοικίας, ο αριθμός ταυτότητας, η προσωπική ηλεκτρονική διεύθυνση (e-mail), o αναγνωριστικός αριθμός τραπεζικής κάρτας, τα δεδομένα τοποθεσίας (π.χ. GPS σε κινητό τηλέφωνο), η διεύθυνση διαδικτυακού πρωτοκόλλου (IP) και τα δεδομένα υγείας που φυλάσσονται από νοσοκομείο ή γιατρό. Παραδείγματα δεδομένων που δεν θεωρούνται προσωπικού χαρακτήρα, είναι ο αριθμός μητρώου εταιρείας, η εταιρική ηλεκτρονική διεύθυνση του τύπου «πληροφορίες@εταιρεία.com» και κάθε είδους ανώνυμα δεδομένα.