Γενικός Κανονισμός Προστασίας Δεδομένων – GDPR

Πλέον η προστασία των προσωπικών δεδομένων είναι αναγνωρισμένο θεμελιώδες δικαίωμα για όλους τους πολίτες της Ε.Ε. Ο «Γενικός Κανονισμός για την Προστασία Δεδομένων» -από εδώ και στο εξής: GDPR- ουσιαστικά θα φέρει αλλαγές στον τρόπο που οι επιχειρήσεις συλλέγουν, χειρίζονται και επεξεργάζονται τα προσωπικά δεδομένα. Αντικαθιστά την οδηγία του 1995 της Ε.Ε. για την προστασία των προσωπικών δεδομένων εναρμονίζοντας τη νομοθεσία περί προστασίας της ιδιωτικής ζωής σε ολόκληρη την Ε.Ε. Σκοπός του καινούργιου κανονισμού είναι τα προσωπικά δεδομένα των Ευρωπαίων πολιτών να προστατεύονται και να διατηρούνται ασφαλή με τον ίδιο τρόπο.



  • Ποια θεωρούνται «προσωπικά δεδομένα» και τι είναι η «επεξεργασία»;

Προσωπικά δεδομένα: κάθε πληροφορία που σχετίζεται, χαρακτηρίζει ένα φυσικό πρόσωπο όπως είναι: το όνομα & το επάγγελμά, η οικογενειακή κατάσταση, η ηλικία, η κατοικία, η διεύθυνση ηλεκτρονικού ταχυδρομείου, τα στοιχεία του τραπεζικού λογαριασμού, αλλά και η διεύθυνση IP του ηλεκτρονικού υπολογιστή. Ευαίσθητα προσωπικά δεδομένα: τα δεδομένα που αφορούν φυλετική ή εθνική προέλευση, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις και οι πληροφορίες σχετικά με το ιατρικό ιστορικό, την ερωτική ζωή και τις ποινικές διώξεις ή καταδίκες. Μερικά από αυτά συλλέγονται και χρησιμοποιούνται μόνο υπό συγκεκριμένες συνθήκες, για παράδειγμα με δική τους συγκατάθεση ή όταν η εθνική νομοθεσία το επιτρέπει. «Επεξεργασία» δεδομένων θεωρείται κάθε πράξη που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα. Μερικά παραδείγματά είναι η συλλογή, η οργάνωση, η αποθήκευση, η προσαρμογή, η χρήση, η διάδοση και η διαγραφή τους.

  • Πώς το GDPR επηρεάζει την επιχείρησή σας;

Ο νέος κανονισμός αφορά όλες τις επιχειρήσεις (ιδιωτικού και δημόσιου τομέα), που με οποιονδήποτε τρόπο αποθηκεύουν ή διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών ή άλλων φυσικών προσώπων. Ανεξάρτητα από την έδρα της εταιρίας, αν τα προϊόντα ή υπηρεσίες που προσφέρετε απευθύνονται σε πελάτες εντός της ΕΕ, είστε υποχρεωμένοι νομικά να προσαρμοστείτε στα δεδομένα που ορίζει ο νέος κανονισμός για να μην έρθετε αντιμέτωπος με τσουχτερά πρόστιμα και άλλες κυρώσεις. Ανάλογα με τα δεδομένα που συλλέγετε, αλλά και το μέγεθος της επιχείρησης σας, θα πρέπει να προχωρήσετε σε βελτιώσεις για να είναι συμβατές οι διαδικασίες που ακολουθείτε με τα όσα ορίζει ο GDPR. Θα σας συνιστούσαμε να απευθυνθείτε σε κάποιον δικηγόρο για να ενημερωθείτε αναλυτικά για τα μέτρα που πρέπει να λάβετε συγκεκριμένα για την επιχείρηση σας ώστε να είστε έτοιμοι στις 25 Μαΐου!

  • Βασικές υποχρεώσεις της επιχείρησης σας

Πρέπει να αναγνωρίσετε την ευθύνη που έχει η διατήρηση και η επεξεργασία προσωπικών δεδομένων. Δημιουργήστε αρχεία με τα δεδομένα που συλλέγετε – κατανοήστε ποια προσωπικά δεδομένα αποθηκεύονται, από πού προήλθαν, με ποιον τα μοιράζεστε κι αν εξακολουθούν να είναι σχετικά κι απαραίτητα για το σκοπό που αρχικά είχατε επιλέξει να τα αποθηκεύσετε.

Βεβαιωθείτε ότι η επιχείρηση σας μπορεί να ικανοποιήσει αιτήματα που αφορούν προσωπικά δεδομένα. Σύμφωνα με τον GDPR κάθε πολίτης της ΕΕ έχει δικαίωμα να ζητήσει την διαγραφή, την τροποποίησή και την μετακίνηση τους σε διαφορετικό οργανισμό. Τα τεχνολογικά μέσα και οι διαδικασίες που ακολουθείτε θα πρέπει να επιτρέπουν την ολοκλήρωση τέτοιων αιτημάτων μέσα σε ένα μήνα.

Δημιουργήστε μια βάση για την επεξεργασία των προσωπικών δεδομένων στα πλαίσια του GDPR. Για να συλλέξετε προσωπικά δεδομένα θα πρέπει πρώτα να έχετε τη συγκατάθεση του προσώπου ενώ θα πρέπει να ορίσετε ξεκάθαρα το χρονικό διάστημα χρήσης τους καθώς και τον σκοπό αποθήκευσής τους. Η συγκατάθεση μπορεί να αποσυρθεί οποιαδήποτε στιγμή, οπότε είναι σοφό να εξετάσετε ποια άλλη νόμιμη βάση μπορείτε να χρησιμοποιήσετε για την επεξεργασία δεδομένων.

Προετοιμάστε την επιχείρηση σας για ενδεχόμενες παραβιάσεις δεδομένων – βεβαιωθείτε ότι οι διαδικασίες που ακολουθούνται στην εταιρία σας, σας επιτρέπουν να ενημερώσετε την αρχή προστασίας δεδομένων μέσα σε 72 ώρες από τη στιγμή που θα την αναγνωρίσετε.

Φροντίστε να συνάπτετε νομικές συμφωνίες όταν διαβιβάζετε δεδομένα σε χώρες που δεν έχουν λάβει έγκριση από τις αρχές της ΕΕ.

Ορίστε έναν υπεύθυνο προστασίας δεδομένων. Ελέγξτε αν η επιχείρηση σας έχει ανάγκη από έναν υπεύθυνο για την προστασία δεδομένων. Αυτό εξαρτάται από τον τύπο και τον αριθμό των δεδομένων που συλλέγει η εταιρία σας, αν η επεξεργασία είναι η κύρια επιχειρηματική της δραστηριότητα και αν η κλίμακα που γίνεται είναι μεγάλη.

Το GDPR ορίζει με σαφήνεια στο άρθρο 32 ότι : ο υπεύθυνος της επεξεργασίας και ο μεταποιητής εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για να εξασφαλίσουν ένα επίπεδο ασφάλειας κατάλληλο για τον κίνδυνο, μεταξύ άλλων, κατά περίπτωση:

  1. Την ψευδωνύμοποίηση και κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα.
  2. Την ικανότητα να εξασφαλίζεται η συνεχής εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα και ανθεκτικότητα των συστημάτων και υπηρεσιών επεξεργασίας.
  3. Την ικανότητα να αποκαθιστά εγκαίρως τη διαθεσιμότητα και την πρόσβαση σε προσωπικά δεδομένα σε περίπτωση φυσικού ή τεχνικού συμβάντος.
  4. Μια διαδικασία τακτικού ελέγχου, αξιολόγησης και αξιολόγησης της αποτελεσματικότητας τεχνικών και οργανωτικών μέτρων για την εξασφάλιση της ασφάλειας της επεξεργασίας.

 

10 βήματα για να προετοιμαστείτε για το νέο κανονισμό

  1. Ενημερωθείτε σχετικά με τον GDPR με την βοήθεια ενός νομικού.
  2. Χαρτογραφήστε τα δεδομένα που λαμβάνετε και επεξεργάζεστε.

Μπορείτε να ξεκινήσετε την έρευνα από:

  • το site σας
  • προγράμματα ERP – CRM που μπορεί να χρησιμοποιείτε.
  • τα ηλεκτρονικά αρχεία που διατηρείτε, όπως βάσεις δεδομένων, πληροφορίες σε pdf, ακόμα και αρχεία που αποθηκεύονται στο cloud.

και τέλος συνιστάται προσοχή στα:

  • email & email marketing software
  • social media
  • messaging apps
  1. Επικοινωνία με τον πελάτη

Επικοινωνήστε την πολιτική απορρήτου με απλή γλώσσα. Δώσε στους πελάτες σας όλες τις απαραίτητες πληροφορίες όταν ζητάτε τα προσωπικά τους δεδομένα: τον σκοπό για τον οποίο τα επεξεργάζεστε, για πόσο καιρό θα τα κρατήσετε και ποιος άλλος έχει τη δυνατότητα να τα επεξεργαστεί.

  1. Δικαιώματα του πολίτη που είναι υποκείμενο επεξεργασίας δεδομένων

Τα προσωπικά δεδομένα θεωρούνται ένα πολύτιμο περιουσιακό στοιχείο και για τον λόγο αυτό ο GDPR δίνει τον έλεγχο στους πολίτες για τη διαχείριση αυτών. Τα δικαιώματα των πολιτών σχετικά με τα δεδομένα τους περιλαμβάνουν:

  • την σωστή πληροφόρηση για την επεξεργασία τους
  • την ανεμπόδιστη πρόσβαση του ιδιοκτήτη σε αυτά
  • την άμεση διόρθωσή τους όταν παρατηρηθεί λάθος
  • την διαγραφή τους όταν δεν είναι πια απαραίτητα
  • την μεταφορά τους όταν το επιθυμεί ο ιδιοκτήτης
  • το δικαίωμα στην ένσταση όταν αυτά χρησιμοποιούνται αθέμιτα
  • τους περιορισμούς στην επεξεργασία τους

Η διαδικασία που επιτρέπει τις παραπάνω λειτουργίες θα πρέπει να είναι απλή και προσιτή στον πολίτη.

  1. Προσέξτε τις νομικές σας υποχρεώσεις

Όπως είδαμε παραπάνω, ένας πελάτης έχει το δικαίωμα να ζητήσει διαγραφή των προσωπικών του δεδομένων. Ταυτόχρονα, εσείς σαν επαγγελματίας ίσως χρειάζεται να διατηρήσετε κάποια από αυτά. Ένα χαρακτηριστικό παράδειγμα τέτοιας περίπτωσης είναι η διατήρηση ενός αρχείου πληρωμών για φορολογικούς λόγους, για ένα συγκεκριμένο χρονικό διάστημα. Από τη στιγμή που έχετε νομική υποχρέωση απέναντι σε φορολογικούς φορείς, μπορείτε να διαγράψετε όλα τα στοιχεία του πελάτη εκτός από αυτά που χρειάζεται για το φορολογικό σας αρχείο και τα οποία δεν μπορείτε να επεξεργαστείτε για άλλους σκοπούς.

Υπάρχουν διάφοροι λόγοι που σας υποχρεώνουν νομικά να διατηρήσετε αρχείο με προσωπικά δεδομένα, οπότε φροντίστε να ενημερωθείτε γι’ αυτούς και στη συνέχεια να ενημερώσετε και τους πελάτες σας σχετικά.

  1. Διαρροή δεδομένων

Σε περίπτωση παραβίασης των συστημάτων σας και διαρροής προσωπικών δεδομένων οφείλετε να γνωστοποιήσετε το γεγονός εντός 72 ωρών στις αρμόδιες Αρχές αλλά και στα ενδιαφερόμενα άτομα, εφόσον η παραβίαση αυτή μπορεί να αποτελέσει ρίσκο για τα δικαιώματα και τις ελευθερίες τους.

  1. Προστατεύστε τα ευαίσθητα δεδομένα

Χρησιμοποιήστε πρόσθετα μέτρα προστασίας για πληροφορίες που αφορούν την υγεία, τη φυλή, τον σεξουαλικό προσανατολισμό, τη θρησκεία και τις πολιτικές πεποιθήσεις. Σε αυτές τις περιπτώσεις θα χρειαστείτε να πάρετε ειδική συγκατάθεση για την επεξεργασία των δεδομένων. Ενημερώστε το κοινό σας σχετικά και διαβεβαιώστε τους για την ασφάλεια των προσωπικών τους δεδομένων.

  1. Ορίστε έναν Υπεύθυνο Προστασίας Δεδομένων

Σε μερικές περιπτώσεις είναι αναγκαίος ο καθορισμός ενός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer), κυρίως για τις δημόσιες αρχές, τους οργανισμούς που παρακολουθούν συστηματικά δεδομένα σε μεγάλη κλίμακα και τους οργανισμούς που παρακολουθούν ευαίσθητα δεδομένα σε μεγάλη κλίμακα ή επεξεργάζονται ποινικά μητρώα.

  1. Διαβίβαση δεδομένων εκτός της Ε.Ε.

Η μεταφορά δεδομένων σε χώρες εκτός Ε.Ε. πρέπει να γίνεται υπό συγκεκριμένες προϋποθέσεις. Πριν διαβιβάσετε τα δεδομένα κάποιου πελάτη σας σε χώρα εκτός της Ε.Ε., συνάψτε μαζί του μια συμφωνία, ώστε να καλυφθείτε νομικά.

  1. Διαμοιρασμός δεδομένων σε συνεργάτες

Οι συνεργάτες που εκτελούν εκ μέρους σας ενέργειες σχετιζόμενες με προσωπικά δεδομένα πελατών (όπως π.χ. ηλεκτρονικές πληρωμές, μεταβιβάσεις αυτοκινήτων κοκ) πρέπει να συμβαδίζουν με τους κανόνες του GDPR. Επανεξετάστε τις συνεργασίες σας, ελέγχοντας τις προθέσεις τους γύρω από τον κανονισμό και αν δεν έχουν ξεκινήσει να λαμβάνουν μέτρα για διαδικασίες συμμόρφωσης, ψάξτε για άλλες εναλλακτικές.