GDPR – Ευρωπαϊκός Κανονισμός Προστασίας Προσωπικών Δεδομένων
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) είναι ο νέος νόμος περί προστασίας δεδομένων της Ευρωπαϊκής Ένωσης.
Αντικαθιστά την Οδηγία για την προστασία των δεδομένων, η οποία εφαρμόζεται από το 1995. Παρόλο που ο κανονισμός GDPR διατηρεί πολλές από τις αρχές που θεσπίστηκαν με την Οδηγία, είναι πολύ πιο φιλόδοξος. Μεταξύ των πιο αξιοσημείωτων αλλαγών του, ο κανονισμός GDPR παρέχει τη δυνατότητα σε μεμονωμένα άτομα να έχουν μεγαλύτερο έλεγχο στα προσωπικά δεδομένα τους και επιβάλλει πολλές νέες υποχρεώσεις στους οργανισμούς που συλλέγουν, χειρίζονται ή αναλύουν προσωπικά δεδομένα. Ο κανονισμός GDPR παρέχει επίσης στους εθνικούς νομοθέτες νέες εξουσίες για την επιβολή σημαντικών προστίμων σε οργανισμούς που παραβιάζουν το νόμο.
Ποιους αφορά;
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (EU GDPR) αφορά κάθε επιχείρηση και οργανισμό που διατηρεί ή επεξεργάζεται προσωπικά δεδομένα φυσικών προσώπων που βρίσκονται στην Ευρώπη, ανεξαρτήτως ιθαγένειας ή τόπου διαμονής τους. Αφορά όλους τους οργανισμούς, από τις πιο μικρές εταιρίες έως τους πιο μεγάλους ομίλους, δημοσίου και ιδιωτικού δικαίου.
Πότε τίθεται σε ισχύ;
Ο Κανονισμός είναι σε ισχύ. Δεν απαιτείται επιπλέον έγκριση από κυβερνήσεις κρατών. ‘Εχει ήδη ψηφιστεί από το Ευρωκοινοβούλιο τον Απρίλιο του 2016 και δημοσιεύθηκε στην εφημερίδα της ΕΕ. Δόθηκε απλώς μια 2-ετής περίοδος προσαρμογής μέχρι τις 25 Μαΐου 2018, οπότε ο Κανονισμός τίθεται σε πλήρη εφαρμογή, καθώς και τα υψηλά πρόστιμα.
Ποιους Προστατεύει;
Τα μεμονωμένα άτομα (Φυσικά Πρόσωπα) που προστατεύει ο κανονισμός μεταξύ άλλων μπορεί να είναι:
- οι Υπάλληλοι ή οι υποψήφιοι υπάλληλοι μίας εταιρείας
- τα μέλη ενός οργανισμού ή μίας εταιρείας
- οι πελάτες
- οι προμηθευτές
- οι συνεργάτες, σύμβουλοι κ.α.
Τι ορίζεται ως προσωπικό δεδομένο;
Οποιοδήποτε στοιχείο πληροφορίας συνδέεται με ένα άτομο και μπορεί να χρησιμοποιηθεί άμεσα ή έμμεσα για την ταυτοποίησή του, αποτελεί σύμφωνα με τον Κανονισμό προσωπικό δεδομένο. Μπορεί να είναι ένα όνομα, αριθμός ταυτότητας, δεδομένα θέσης, ακόμη και online ID, ή ένα ή περισσότερα στοιχεία που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα ενός φυσικού προσώπου.
Ειδικότερα, ο κανονισμός GDPR ισχύει για τα εξής:
- την επεξεργασία των προσωπικών δεδομένων κάθε ατόμου, αν η επεξεργασία πραγματοποιείται στο πλαίσιο των δραστηριοτήτων ενός οργανισμού εγκατεστημένου στην ΕΕ (ανεξάρτητα από το πού πραγματοποιείται η επεξεργασία),
- την επεξεργασία των προσωπικών δεδομένων ατόμων που κατοικούν στην ΕΕ από έναν οργανισμό εγκατεστημένο εκτός της ΕΕ, εφόσον η επεξεργασία σχετίζεται με την παροχή προϊόντων ή υπηρεσιών σε αυτά τα άτομα ή την παρακολούθηση της συμπεριφοράς τους.
Ποιες είναι οι βασικές απαιτήσεις του κανονισμού GDPR;
Ο κανονισμός GDPR επιβάλλει ένα ευρύ φάσμα απαιτήσεων στους οργανισμούς που συλλέγουν ή επεξεργάζονται προσωπικά δεδομένα, καθώς και την υποχρέωση να συμμορφώνονται με έξι βασικές αρχές:
- Διαφάνεια, αντικειμενικότητα και νομιμότητα ως προς το χειρισμό και τη χρήση των προσωπικών δεδομένων
- Περιορισμός της επεξεργασίας των προσωπικών δεδομένων για καθορισμένους, ρητούς και νόμιμους σκοπούς
- Συλλογή και αποθήκευση μόνο των ελάχιστων προσωπικών δεδομένων που απαιτούνται για έναν σκοπό
- Διασφάλιση της ακρίβειας των δεδομένων, συμπεριλαμβανομένης της δυνατότητας διαγραφής και επεξεργασίας τους
- Περιορισμός της περιόδου αποθήκευσης των προσωπικών δεδομένων
- Διασφάλιση της ασφάλειας, της ακεραιότητας και της εμπιστευτικότητας των προσωπικών δεδομένων