Ευρωπαϊκός Κανονισμός 2016/679 General Data Protection Regulation (GDPR) - Γενικός Κανονισμός Προστασίας Δεδομένων

Ο Ευρωπαϊκός Κανονισμός 2016/679 GENERAL DATA PROTECTION REGULATION, τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης από τις 25 Μαΐου 2018, χωρίς την ανάγκη ψήφισης τοπικής εθνικής νομοθεσίας και διαμορφώνοντας ένα ενιαίο νομικό πλαίσιο και καταργώντας την υφιστάμενη νομοθεσία. Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ αποτελεί τη μεγαλύτερη αλλαγή στην νομοθεσία περί προστασίας των δεδομένων τα τελευταία σχεδόν 20 χρόνια.

Ο Κανονισμός GDPR έχει ως στόχο να διευρύνει την προστασία των δεδομένων στην εποχή των big data και του cloud computing, εξασφαλίζοντας ότι η προστασία των δεδομένων αποτελεί θεμελιώδες βασικό δικαίωμα, το οποίο θα ρυθμίζεται με συνέπεια σε όλη την Ευρώπη. 

Ο Κανονισμός  2016/679 έχει εφαρμογή σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις, κρατικές αρχές, συλλόγους, κλπ.) που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα, είτε έχουν έδρα και δραστηριότητα σε χώρα της Ευρωπαϊκής Ένωσης είτε όχι, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς Ευρωπαίους πολίτες.

Ο νέος κανονισμός εξουσιοδοτεί τις εκάστοτε Αρχές Προστασίας Προσωπικών Δεδομένων στην Ευρώπη, να επιβάλουν για σοβαρές παραβάσεις πρόστιμα σε ύψος έως και 4% του ετήσιου παγκόσμιου κύκλου εργασιών τους ή 20 εκατομμύρια ευρώ, ανάλογα πάντα με το ποιο είναι το μεγαλύτερο. 

Ο κανονισμός περιγράφει τα δικαιώματα του υποκειμένου των δεδομένων, δηλαδή του ατόμου του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία. Αυτά τα ενισχυμένα δικαιώματα παρέχουν στα άτομα μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων, μέσω της ανάγκης ύπαρξης σαφούς συγκατάθεσης του ενδιαφερομένου για την επεξεργασία των προσωπικών του δεδομένων, της ευκολότερης πρόσβασης του ενδιαφερομένου στα προσωπικά του δεδομένα, των δικαιωμάτων διόρθωσης, διαγραφής και «λήθης», του δικαιώματος εναντίωσης, μεταξύ άλλων στη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα για την «κατάρτιση προφίλ», του δικαιώματος φορητότητας των δεδομένων από πάροχο σε πάροχο.

Από την άλλη πλευρά θέτει μία σειρά περιορισμών και νέων υποχρεώσεων στις επιχειρήσεις σχετικά με την επεξεργασία των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους, από τη συλλογή έως και την καταστροφή τους, τη δυνατότητα μεταφοράς τους σε άλλες χώρες, την προστασία των δικαιωμάτων των φυσικών προσώπων, την ασφάλεια (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα) των προσωπικών δεδομένων και τις ενέργειες γνωστοποίησης που οφείλει να κάνει η επιχείρηση σε περίπτωση παραβίασης. 

Επίσης για τις εταιρείες και τις δημόσιες αρχές που εκτελούν πράξεις επεξεργασίας δεδομένων που ενέχουν κινδύνους θα πρέπει να έχουν ορίσει υπεύθυνο προστασίας δεδομένων (Data Protection officer).

Ο κανονισμός GDPR θεσπίζει επίσης την υποχρέωση των υπεύθυνων επεξεργασίας των δεδομένων να παρέχουν διαφανείς και εύκολα προσβάσιμες πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των δεδομένων τους.

Διαβάστε το άρθρο που ακολουθεί (απο το http://www.lawsociety.org.uk ) για το τί πρέπει να κάνουν οι Δικηγορικές Εταιρείες και οι Δικηγόροι για να συμμορφωθούν με τον Κανονισμό :

Data protection for the 21st century: Here’s what law firms need to do to comply with GDPR

The GDPR (General Data Protection Regulation) is a buzzword in the legal sector at the moment, and you may well be sick of hearing about it – but that doesn’t make it less important an issue for firms to address. 

You probably already know that the legislation comes into force in May 2018. You've probably already heard about the potential sanctions for companies which do not comply with the legislation – fines of up to four per cent of worldwide annual turnover, or €20m, whichever is greater. It might all just seem like a huge and unnecessary compliance burden. But do you know why the changes are being made, and how they will benefit individuals – including you?

Why are the changes being made and how do individuals benefit?

Since 1995, when the Data Protection Directive became law, there has been a massive adoption of the internet and social media, and of technology such as smartphones and tablets. Businesses, meanwhile, are using ever more sophisticated processes to analyse and track individuals' online behaviour to increase the effectiveness of their marketing activities and drive sales. Many practices are so complex and/or opaque that the average person may struggle to fully understand how their personal information is being used, let alone be able to control businesses' use of it.

Data protection legislation is now over 20 years behind this trend. It needs to be updated to take account of the major changes in how we share our own data and how businesses use it.

Rather than being simply pointless European red tape, the GDPR aims to redress the balance in favour of the individual, by enshrining the protection of personal data as a fundamental human right.

If the European Commission fulfils its ambition, in the coming years we are likely to see a seismic shift as the use of personal information becomes a highly regulated activity.

What do law firms need to do about it?

1. Learn the basics

If you are responsible for your organisation's compliance, and starting from zero, it is essential to gain at least a high level understanding of the GDPR, its scope and its requirements. A crucial starting point is to understand the key concepts and principles. The ICO provides a wealth of information on its website, while for lawyers (whether in private practice or in house) The Law Society provides a range of information including webinars, conferences and publications.

2. Set the tone from the top 

A compliance program that is not supported and adequately resourced by the organisation's highest level of management is doomed to failure. Your organisation's management must be aware of the implications of the GDPR, invest in the appropriate resources necessary to enable compliance, and set the appropriate 'tone from the top'.

3. Identify your data 

Organisations must be able to identify the personal information they hold about their employees, customers and suppliers, and how it is used, including the systems in which it is stored. The level of risk will depend on the nature of the business, for example, a private clinic is likely to hold a large volume of sensitive information about individuals, while a wholesale manufacturer may only hold limited contact details for a relatively small number of business customers.

4. Check your use of data is compliant 

There is a lot of misinformation in circulation concerning the requirement for consent. The GDPR imposes stringent requirements upon organisations when they rely on consent in order to process individuals' information. However, consent is not the only legal ground for processing. There are many others. As well as establishing a legal basis for using personal information, organisations must also ensure that their use is in line with the other principles of the GDPR, such as data minimisation, storage limitation, and use in accordance with individuals' rights.

These steps will set the ball rolling on what for many organisations is likely to be a long journey. As data protection escalates in significance to a highly regulated activity, it is a very important exercise, and with less than a year before the GDPR takes effect, a very urgent one.

Διαβάστε τον Κανονισμό εδώ : EE Γενικός Κανονισμός για την Προστασία Δεδομένων περιεχομένων