Βαριές «καμπάνες» στους παραβάτες

GDPR: Τι αλλάζει στα προσωπικά δεδομένα – Σε αναβρασμό οι εταιρείες

24/05/18 • 12:59 | UPD 24/05/18 • 13:21

Η νέα νομοθεσία που έχει γίνει γνωστή ως GDPR και θα ισχύσει από την Παρασκευή 25 Μαΐου, θα είναι ενιαία για όλη την Ευρωπαϊκή Ένωση και αποτελεί τη μεγαλύτερη μεταρρύθμιση στον τομέα με τα προσωπικά δεδομένα από τις απαρχές του διαδικτύου.

Η νέα νομοθεσία που έχει γίνει γνωστή ως GDPR και θα ισχύσει από την Παρασκευή 25 Μαΐου, θα είναι ενιαία για όλη την Ευρωπαϊκή Ένωση και αποτελεί τη μεγαλύτερη μεταρρύθμιση στον τομέα με τα προσωπικά δεδομένα από τις απαρχές του διαδικτύου.

Στόχος του GDPR είναι η εφαρμογή αυστηρότερων κανόνων, προκειμένου οι 250 εκατομμύρια καθημερινοί χρήστες του διαδικτύου στην Ευρώπη και γενικότερα οι πολίτες, να ελέγχουν καλύτερα τα online δεδομένα τους προσωπικού χαρακτήρα, τα οποία άλλοι (συνήθως επιχειρήσεις και μέσα κοινωνικής δικτύωσης) συλλέγουν και μοιράζονται με τρίτους (π.χ. διαφημιστικές εταιρείες).

Η νομοθεσία αυτή απαιτεί όλοι οι φορείς και οι δημόσιοι οργανισμοί και οι επιχειρήσεις να χρησιμοποιούν τα προσωπικά δεδομένα με διαφάνεια και ορθότητα.

Κάθε πληροφορία που αφορά σε έναν Ευρωπαίο πολίτη εμπίπτει στον GDPR (ΓΚΠΔ Γενικό Κανονισμό για την Προστασία των Δεδομένων). Σε αυτές τις πληροφορίες περιλαμβάνονται το ονοματεπώνυμο, η διεύθυνση κατοικίας, ο αριθμός ταυτότητας, ο κώδικας διαδικτυακού πρωτοκόλλου (IP) ή πληροφορίες για την υγεία κάθε Ευρωπαίου πολίτη.

Ορισμένα ευαίσθητα δεδομένα, όπως αυτά που αφορούν στην υγεία, στη φυλετική ή εθνοτική καταγωγή, στα πολιτικά φρονήματα και στον γενετήσιο προσανατολισμό έχουν ειδική προστασία. Η συλλογή και χρήση τους μπορεί να γίνεται μόνο υπό ειδικές προϋποθέσεις, για παράδειγμα μόνον εφόσον ένα πολίτης ενός κράτους μέλους της Ένωσης έχει δώσει τη ρητή συγκατάθεσή του.

Σε αναβρασμό οι εταιρείες

Σε πανικό βρίσκονται, αυτό το διάστημα, οι επιχειρήσεις, όχι μόνο στην Ελλάδα, αλλά και στις περισσότερες χώρες της Ευρωπαϊκής Ένωσης.

Αυτό συμβαίνει γιατί θα πρέπει να καθιερώσουν μηχανισμούς προστασίας από μη εξουσιοδοτημένη πρόσβαση στα δεδομένα αυτά (π.χ. μέσω κρυπτογράφησης), ενώ θα πρέπει να εξασφαλίζεται, μεταξύ άλλων, το δικαίωμα στη λήθη.

Θα πρέπει, δηλαδή, τα άτομα να έχουν τη δυνατότητα να διαγράφουν τα προσωπικά δεδομένα τους. H συμμόρφωση των επιχειρήσεων με τον κανονισμό GDPR έχει κόστος αρκετών χιλιάδων ευρώ. Και για ενδεχόμενη παραβίαση δεδομένων που συνδέεται με την μη συμμόρφωση με τον κανονισμό προβλέπεται πρόστιμο έως 20 εκατ. ευρώ ή το 4% του συνολικού ετήσιου τζίρου.

Τι πρέπει να ξέρουν οι επιχειρήσεις για τον GDPR

Η Ευρωπαϊκή Επιτροπή έδωσε συγκεκριμένες οδηγίες:

Επικοινωνία

  • Χρησιμοποιήστε απλή γλώσσα. Πείτε τους ποιοι είστε όταν ζητάτε τα δεδομένα.
    Πείτε τον λόγο που επεξεργάζεστε τα δεδομένα τους, για πόσο καιρό θα τα φυλάξετε και ποιος τα λαμβάνει.

Πρόσβαση και δυνατότητα μεταφοράς

  • Δώστε στα άτομα πρόσβαση στα δεδομένα τους και επιτρέψτε τους να τα δώσουν σε άλλη εταιρεία.

Διαγραφή δεδομένων

  • Δώστε τους το «δικαίωμα στη λήθη». Διαγράψτε τα προσωπικά τους δεδομένα αν το ζητήσουν, αλλά μόνο αν δεν θίγεται η ελευθερία έκφρασης ή η δυνατότητα διεξαγωγής έρευνας.
    Μάρκετινγκ
  • Δώστε στα άτομα το δικαίωμα να εξαιρεθούν από πρακτικές άμεσου μάρκετινγκ που χρησιμοποιούν τα δεδομένα τους.

Διαβίβαση δεδομένων εκτός της ΕΕ

  • Συνάψτε νομικές συμφωνίες όταν διαβιβάζετε δεδομένα σε χώρες που δεν έχουν λάβει έγκριση από τις αρχές της ΕΕ.

Συγκατάθεση

  • Λάβετε τη ρητή συγκατάθεσή τους για την επεξεργασία των δεδομένων.
  • Ενημερώστε τα άτομα σχετικά με παραβιάσεις δεδομένων αν ενέχει σοβαρός κίνδυνος για αυτούς.

Δημιουργία προφίλ

Αν χρησιμοποιείτε προφίλ για την επεξεργασία αιτήσεων για νομικά δεσμευτικές συμφωνίες, για παράδειγμα για δάνεια, πρέπει:

  • Να ενημερώνετε τους πελάτες σας
  • Να ορίζετε ένα πρόσωπο και όχι μια μηχανή να ελέγχει τη διαδικασία αν η αίτηση τελικά απορρίπτεται
  • Να χορηγείτε στον αιτούντα το δικαίωμα να προσβάλλει την απόφαση.
  • Προστασία ευαίσθητων δεδομένων
  • Χρησιμοποιήστε πρόσθετα μέτρα προστασίας για πληροφορίες που αφορούν την υγεία, τη φυλή, τον σεξουαλικό προσανατολισμό, τη θρησκεία και τις πολιτικές πεποιθήσεις.

Τι να κάνετε αν αγοράζετε λίστες με προσωπικά δεδομένα

Πριν να αποκτήσετε έναν κατάλογο επαφών ή μια βάση δεδομένων με στοιχεία επικοινωνίας φυσικών προσώπων από άλλον οργανισμό, ο εν λόγω οργανισμός πρέπει να μπορεί να αποδείξει ότι τα δεδομένα αποκτήθηκαν σύμφωνα με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων και ότι μπορούν να χρησιμοποιηθούν για διαφημιστικούς σκοπούς. Για παράδειγμα, εάν ο οργανισμός απέκτησε τα δεδομένα βάσει συγκατάθεσης, η συγκατάθεση θα πρέπει να περιελάμβανε τη δυνατότητα διαβίβασης των δεδομένων σε άλλους αποδέκτες για τους δικούς τους σκοπούς άμεσης εμπορικής προώθησης.

Η εταιρεία ή ο οργανισμός σας πρέπει επίσης να διασφαλίζει ότι ο κατάλογος ή η βάση δεδομένων είναι ενημερωμένα και ότι δεν αποστέλλετε διαφημιστικό υλικό σε φυσικά πρόσωπα που αρνήθηκαν την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα για σκοπούς άμεσης εμπορικής προώθησης. Η εταιρεία ή ο οργανισμός σας πρέπει επίσης να διασφαλίζει ότι, εάν χρησιμοποιεί μέσα επικοινωνίας όπως ηλεκτρονικά μηνύματα για σκοπούς άμεσης εμπορικής προώθησης, συμμορφώνεται με τους κανόνες που θεσπίζονται στην οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (οδηγία 2002/58/ΕΚ1).

Τέτοιου είδους κατάλογοι υποβάλλονται σε επεξεργασία με βάση τα έννομα συμφέροντά σας, και τα φυσικά πρόσωπα θα έχουν δικαίωμα να αρνηθούν τέτοιου είδους επεξεργασία. Η εταιρεία ή ο οργανισμός σας πρέπει επίσης να ενημερώνει τα φυσικά πρόσωπα, το αργότερο την πρώτη φορά που επικοινωνείτε μαζί τους, ότι έχει συλλέξει τα δεδομένα τους προσωπικού χαρακτήρα και ότι σκοπεύει να τα επεξεργάζεται για την αποστολή διαφημίσεων.