Εμφάνιση αναρτήσεων με ετικέτα #General Data Protection Regulation_(GDPR). Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα #General Data Protection Regulation_(GDPR). Εμφάνιση όλων των αναρτήσεων

Τρίτη 19 Μαρτίου 2019

Πρακτικά ζητήματα εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR)


Γράφει ο κ. Νικόλας Κανελλόπουλος

Ο Γενικός Κανονισμός για την προστασία προσωπικών δεδομένων περιλαμβάνει 173 αιτιολογικές σκέψεις και 99 άρθρα.  Με δεδομένο όμως ότι εισάγει για πρώτη φορά ορισμένες νέες έννοιες, καθώς και ότι δεν έχει ακόμα ψηφιστεί εθνικός νόμος, ο οποίος θα όφειλε να εξειδικεύει ορισμένα νομικά ζητήματα του νέου νομικού πλαισίου, απαιτείται συχνά συνδυαστική ανάγνωση με σχετικές οδηγίες, αποφάσεις και απόψεις των εθνικών και ενωσιακών εποπτικών αρχών και συμβουλευτικών οργάνων, όπως λ.χ. της γνωστής ομάδας του άρθρου 29 και ήδη του  Ευρωπαϊκού Συμβούλιου Προστασίας Δεδομένων.
Για ορισμένα δε σύνθετα ζητήματα, τα οποία δεν έχουν ακόμα επαρκώς ρυθμιστεί, η κατεύθυνση αναμένεται να δοθεί από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και το ΣτΕ που θα κληθούν να ερμηνεύσουν σύνθετες έννοιες, να αποδομήσουν τεχνικά τον Κανονισμό, διαβάζοντας το σκεπτικό πίσω από αυτόν, θέτοντας το αναγκαίο μέτρο στην στάθμιση κινδύνων, δικαιωμάτων και υποχρεώσεων και   διαμορφώνοντας νομολογία  και εν τέλει καθαρή, ομαλή και ομοιογενή εφαρμογή του Κανονισμού.
Συχνά τίθενται ζητήματα εφαρμογής του Κανονισμού που αφορούν οριζόντια σε όλες τις επιχειρήσεις και οργανισμούς, ανεξάρτητα από τον κλάδο στον οποίο δραστηριοποιούνται. Ο Κανονισμός, αλλάζει σε μεγάλο βαθμό τις υποχρεώσεις των επιχειρήσεων και δημιουργεί συχνά αμφιβολίες στις επιχειρήσεις ως προς τον ενδεδειγμένο τρόπο επίτευξής τους.
Ειδικότερα, ο Κανονισμός εισάγει τον ορισμό του Υπεύθυνου Προστασίας Δεδομένων (DPO), ο οποίος είναι υποχρεωτικός σε συγκεκριμένες μόνο περιπτώσεις και αναφέρονται ρητά σ’ αυτόν.
Για τις υπόλοιπες περιπτώσεις, ο ορισμός DPO τίθεται στη διακριτική ευχέρεια της επιχείρησης, η οποία οφείλει να αξιολογήσει την ανάγκη ορισμού του με γνώμονα τις δραστηριότητες, το είδος  και τον όγκο των προσωπικών δεδομένων που συλλέγει και διαχειρίζεται εν γένει.
Καθώς η έννοια του «DPO expert» στην Ελλάδα είναι καινούρια, κρίσιμο είναι να απαντηθεί σε ποιο βαθμό η Αρχή θα αξιολογεί το βιογραφικό αυτού και την απαιτούμενη εμπειρία και κατάρτιση. Το ζήτημα αυτό έχει ιδιαίτερη σημασία, ενόψει του γεγονότος ότι η παραβίαση των υποχρεώσεων του Κανονισμού ως προς τον ορισμό και τη θέση του DPO συγκαταλέγεται στις παραβιάσεις που επισύρουν  διοικητικά πρόστιμα ύψους έως και 10.000.000 ευρώ ή 2% του παγκόσμιου κύκλου εργασιών.
Ένα περαιτέρω ειδικότερο ζήτημα το οποίο έχει ανακύψει, αφορά στις περιπτώσεις επεξεργασίας, οι οποίες με το προϊσχύσαν νομικό πλαίσιο απαιτούσαν άδεια της Αρχής. Πρόκειται για τις περιπτώσεις, κυρίως, τήρησης αρχείων και επεξεργασίας δεδομένων ειδικών κατηγοριών, όπως λ.χ. ιατρικά αρχεία.
Πλέον, με την έναρξη ισχύος του Κανονισμού, καταργείται η υποχρέωση των επιχειρήσεων να ζητούν την άδεια της Αρχής και αντ’ αυτής, οι επιχειρήσεις οφείλουν να διενεργούν εκτίμηση αντικτύπου ιδιωτικότητας, προκειμένου να τεκμηριωθεί η ασφάλεια της επεξεργασίας για τις ελευθερίες και τα δικαιώματα των φυσικών προσώπων. Τίθεται όμως το ερώτημα του τι γίνεται στις περιπτώσεις που έχει ήδη ληφθεί η άδεια της Αρχής για την επεξεργασία των δεδομένων αυτών και αυτή είναι ακόμα εν ισχύ κι αν οφείλουν οι επιχειρήσεις να διενεργήσουν DPIA και σε αυτές τις περιπτώσεις ή θεωρούνται ασφαλείς μέχρι την λήξη της άδειάς τους. Αντίστοιχα, στις περιπτώσεις κατά τις οποίες είχε πραγματοποιηθεί μόνο γνωστοποίηση προς την Αρχή και άρα δεν υπήρξε άδεια της Αρχής που να ορίζει ένα χρονικό διάστημα ισχύος αυτής, δημιουργείται το ερώτημα αν οφείλουν οι επιχειρήσεις να διεξάγουν εκτίμηση αντικτύπου.
Άλλο ζήτημα με ιδιαίτερη σημασία είναι η αυτοματοποιημένη επεξεργασία δεδομένων, όπως όπως είναι η ανάλυση των προτιμήσεων των πελατών μιας επιχείρησης μέσω της χρήσης εργαλείων data analytics και η κατάρτιση του προφίλ των πελατών-  φυσικών  προσώπων.
Η χρήση αυτοματοποιημένων μεθόδων επεξεργασίας δεδομένων είναι ιδιαίτερα διαδεδομένη στον τομέα της εμπορικής προώθησης (marketing), καθώς αποτελεί χρήσιμο εργαλείο για τις επιχειρήσεις στην ανάπτυξη και προώθηση των υπηρεσιών και των προϊόντων τους στην αγορά. Υπό το πρίσμα αυτό, η αξιολόγηση των στοιχείων εκείνων που υπαγάγουν τα πραγματικά περιστατικά στον Κανόνα δικαίου εμφανίζει ιδιαίτερο νομικό ενδιαφέρον. Ειδικότερα ζητήματα προσοχής αποτελούν το πότε θεωρείται μια απόφαση ότι λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας και σε ποιες περιπτώσεις θωρείται ότι η απόφαση αυτή παράγει έννομα αποτελέσματα που αφορούν το υποκείμενο.
Είναι εξίσου κρίσιμο ζήτημα στην πλήρωση του κριτηρίου αυτού, η αναζήτηση κάθε απόφασης που παράγει έννομα αποτελέσματα για το υποκείμενο και σε ποιες περιπτώσεις θωρείται ότι η απόφαση επηρεάζει το υποκείμενο σημαντικά με παρόμοιο τρόπο. Απάντηση θα πρέπει να δοθεί στο αν λογίζεται ως τέτοια απόφαση  και η «επωφελής» απόφαση για το υποκείμενο και αν είναι ικανή μια τέτοια παροχή προσωποποιημένων προσφορών να θεωρηθεί ότι επηρεάζει ένα πρόσωπο σημαντικά ή όχι και είναι αρκετή η απλή προηγούμενη ενημέρωση του υποκειμένου.
Επίσης, σημαντικό είναι το ζήτημα ρόλων και αρμοδιοτήτων που εμφανίζεται στη συνεργασία των επιχειρήσεων με εταιρίες που τους τροφοδοτούν, έναντι αμοιβής, με λίστες στοιχείων πιθανών συνεργατών ή κατηγοριών επαγγελματιών (αγορασμένες λίστες). Στις περιπτώσεις αυτές, δεν είναι πάντοτε σαφής η σχέση των μερών ως προς τα δεδομένα που μοιράζονται και δεν είναι εύκολη και η συμβατική αποτύπωσή της.
Χρειάζεται, πολλές φορές, η τεχνική ανάλυση της μεθόδου διαβίβασης των δεδομένων, του χώρου και τρόπου αποθήκευσής τους, της δυνατότητας εισαγωγής μεταβολών στη βάση του αρχείου, καθώς και των δικαιωμάτων πρόσβασης και επεξεργασίας των δεδομένων από κάθε μέρος. Ακόμα πιο σημαντικό ζήτημα, όμως, είναι πως θα διασφαλίζεται η νομιμότητα των δεδομένων που συμπεριλαμβάνονται στις λίστες αυτές. Καθώς προέρχονται από διαφορετικές πηγές, κρίσιμο είναι, το ποιος είναι υπόχρεος έναντι της Αρχής για την κατάλληλη ενημέρωση και λήψη συγκατάθεσης των υποκειμένων, καθώς και το πως θα διασφαλίζεται στα λοιπά μέρη (τα οποία θα λαμβάνουν τις λίστες αυτές) ότι υπάρχει η αναγκαία νόμιμη βάση.
Συνοψίζοντας, η ρύθμιση της επεξεργασίας και της προστασίας των προσωπικών δεδομένων ισοδυναμεί με επαναπλαισίωση της οικονομικής δραστηριότητας και λειτουργίας των επιχειρήσεων. Ο  Κανονισμός αποτελεί ένα νέο και αναγκαίο βήμα προόδου, τόσο προς την ενίσχυση του δικαίου προστασίας των προσωπικών δεδομένων όσο και ως προς την καλλιέργεια μιας κουλτούρας ‘’τάξης’’ στη λειτουργία των επιχειρήσεων και των φορέων για την προστασία της προσωπικότητας του ατόμου. Για την ερμηνεία και ομαλή εφαρμογή του, είναι απαραίτητη η οπτική γωνία τόσο της Αρχής, όσο και των διοικητικών δικαστηρίων, που μέσα από της αποφάσεις τους θα πρέπει  να καθοδηγήσουν και διαφωτίσουν καίρια ζητήματα, τα οποία είτε έχουν ήδη ανακύψει, είτε υπόκειται να ανακύψουν στο μέλλον.

Νικόλας Κανελλόπουλος,
Δικηγόρος, Διευθύνων Εταίρος της Δικηγορικής Εταιρείας “Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες”, Υπεύθυνος Προστασίας Δεδομένων (DPO) του Επαγγελματικού Επιμελητηρίου Αθηνών.
Εκτελεστικός Διευθυντής του “Ινστιτούτου για την Προστασία της Ιδιωτικότητας, των Προσωπικών Δεδομένων και την Τεχνολογία” του Ευρωπαϊκού Οργανισμού Δημοσίου Δικαίου (European Public Law Organization-EPLO).
(www.eea.gr, 19 Μαρτίου 2019)
Αναρτήθηκε από στις Δεν υπάρχουν σχόλια:
Ετικέτες

Σάββατο 23 Φεβρουαρίου 2019

"ΚΥΡΙΕ ΠΟΛΙΤΕΥΤΗ, ΞΕΡΕΙΣ ΑΠΟ ΣΥΓΚΑΤΑΘΕΣΗ; - Ο ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟΝ ΑΣΤΕΡΙΣΜΟ ΤΩΝ ΕΚΛΟΓΩΝ" (Του Λεωνίδα Σεϊτανίδη, Δικηγόρου)



«…τώρα κοκορεύεσαι επάνω στον εξώστη
και μιλάς στο πόπολο σαν τον ναυαγοσώστη…»
(Δ. Σαββόπουλος, «Ο Πολιτευτής»).

Η προεκλογική επικοινωνία του πολιτευτή με τους ψηφοφόρους του έχει αλλάξει. Από τις ομιλίες, τα φυλλάδια, τις περιοδείες, φτάσαμε πλέον στον αστερισμό της τηλεφωνικής επικοινωνίας, των γραπτών μηνυμάτων, των mails και των social media (facebook κλπ).

Το 2019 είναι έτος εκλογών. Πολλών εκλογών. Τοπικά Συμβούλια, Δημοτικά Συμβούλια, Περιφερειακά Συμβούλια, Ευρωβουλή, Εθνικό Κοινοβούλιο περιμένουν να στελεχωθούν από πολιτικούς, πολιτευόμενους και πολιτευτές. Εάν, μάλιστα, όλες οι παραπάνω εκλογικές αναμετρήσεις συμπέσουν, τότε, με μία δόση υπερβολής, θα μπορούσαμε να πούμε ότι οι μισοί Έλληνες θα είναι υποψήφιοι.

Σίγουρα έχετε λίγο ή πολύ ακούσει ότι από τον περασμένο Μάιο εφαρμόζεται πανευρωπαϊκά ένας νέος Κανονισμός για την Προστασία των Προσωπικών Δεδομένων των ατόμων και της Ιδιωτικότητας (Κ 679/2016 ή GDPR), ο οποίος αντικατέστησε (και συμπλήρωσε) την Οδηγία 95/46 και τον αντίστοιχο εθνικό νόμο που υπήρχε βάσει αυτής.

Ο βασικός πυλώνας του νέου Κανονισμού είναι η προστασία των δεδομένων προσωπικού χαρακτήρα των ατόμων, δηλαδή κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). 
Αυτός είναι ο (υποψήφιος) ψηφοφόρος.

Προστασία όμως «από τί;». «Από την επεξεργασία», θα απαντήσουμε, η οποία μπορεί να είναι κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Με αυτά ασχολούνται τα επιτελεία των Πολιτευτών.

Ποιός, όμως, εκτελεί αυτή την επεξεργασία; Ο υπεύθυνος επεξεργασίας, ο οποίος μπορεί να είναι  φυσικό ή νομικό πρόσωπο που, μόνος ή από κοινού με άλλους, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ναι, εσύ είσαι Πολιτευτή. Οι βοηθοί σου είναι Εκτελούντες την επεξεργασία, ως φυσικά ή νομικά πρόσωπα, που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.

Θα μπορεί ο πολιτευτής να «επικοινωνήσει» με τους ψηφοφόρους; Η μαγική λέξη είναι η «συγκατάθεση» του υποκειμένου των δεδομένων και μεταφράζεται με ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.

Πώς; 
α) Μέσω της συμπλήρωσης ειδικού εντύπου κατά τη διάρκεια εκδήλωσης ή στα πλαίσια λειτουργίας του Πολιτικού Γραφείου του πολιτευτή, 
β) Με σχετική ηλεκτρονική εγγραφή του ατόμου σε ιστοσελίδα του πολιτευτή.

Τί γίνεται, όμως, με τα προσωπικά δεδομένα που ήδη διαθέτουν οι πολιτευτές στα γραφεία τους (και είναι πολλά); Ο Κανονισμός και οι κατευθυντήριες οδηγίες αναφέρουν ότι, ΑΝ αυτά τα στοιχεία έχουν στο παρελθόν ληφθεί με την συγκατάθεση του ψηφοφόρου (και μπορεί να το αποδείξει ο πολιτευτής), τότε θα τα χρησιμοποιήσει χωρίς πρόβλημα. Αν όχι, πρέπει να τα ….ξεχάσει.

Τηλέφωνα προς τους ψηφοφόρους μπορεί να πραγματοποιεί ο πολιτευτής, με την προϋπόθεση: α) ότι στην έναρξη της συνομιλίας δηλώνεται ρητά και κατηγορηματικά ποιός καλεί, για ποιό λόγο και να δίνεται η δυνατότητα στον υποψήφιο ψηφοφόρο να τερματίσει την κλήση πριν την ενημέρωση και β) θα πρέπει να έχει γίνει προηγούμενος έλεγχος ότι ο τηλεφωνικός αριθμός δεν ανήκει στο Μητρώο του άρθρου 11 παρ 2 του Ν 3471/06, στο οποίο καταχωρείται κάθε συνδρομητής που έχει δηλώσει ότι δεν επιθυμεί να λαμβάνει τηλεφωνήματα για απευθείας εμπορική προώθηση.

Αλληλογραφία; Ναι υπό προϋποθέσεις, είτε της ρητής συγκατάθεσης, είτε της λήψης των απλών στοιχείων μέσω νόμιμων τρόπων, όπως πχ. ένας δωρεάν τηλεφωνικός κατάλογος. Λίστες από Επιμελητήρια, Συλλόγους, εκλογικούς καταλόγους καλύτερα να τα ξεχάσετε, εκτός αν οι διοικήσεις τους έχουν λάβει ρητή συγκατάθεση από το κάθε μέλος για να σας τα διαβιβάσουν… μάλλον δύσκολο.

Φίλε πολιτευτή, ενημερώσου και… συμμορφώσου, για το καλό σου.

* Λεωνίδας Σεϊτανίδης, είναι Δικηγόρος, Πρόεδρος του Ινστιτούτου Επαγγελματιών Ιδιωτικότητας β.ε. (www.inepid.gr leoseitanidis@gmail.com).


Αναρτήθηκε από στις Δεν υπάρχουν σχόλια:
Ετικέτες ,

Σάββατο 5 Μαΐου 2018

Τι είναι ο «GDPR» και ποιες οι υποχρεώσεις των επιχειρήσεων




Τι είναι ο «GDPR»– Ισχύουσα Νομοθεσία


Ο GDPR (General Data Protection Regulation General Data Protection Regulation )- «Γενικός Κανονισμός για την Προστασία Δεδομένων» [Κανονισμός (ΕΕ) 2016/679 ΤΟΥ Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 -] 

 (εφεξής «Κανονισμός»), αφορά στην διαμόρφωση ενός ενιαίου νομοθετικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης και αντικαθιστά την προηγούμενη Νομοθεσία «Οδηγία 95/46/ΕΚ». Η (προηγούμενη) Οδηγία είχε ενσωματωθεί στην Ελληνική Νομοθεσία με το Ν. 2472/1997 (Δείτε αναλυτικά στην Ηλεκτρονική διεύθυνση:

(Δείτε σχετικά στο site της «Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)). Δεν πρόκειται δηλαδή, για κάτι εντελώς νέο.

Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

Ο «κανονισμός» είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος (δηλαδή δεν απαιτείται ειδική προσαρμογή της Εθνικής Νομοθεσίας). (άρθρο 83 του «Κανονισμού»).

Ποια θεωρούνται «δεδομένα προσωπικού χαρακτήρα» και τι θεωρείται επεξεργασία αυτών

1) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου, 


2) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

Άλλοι σημαντικοί « Ορισμοί » του «Κανονισμού»

1) «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,

2) «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,

3) «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία,

4) «εποπτική αρχή»: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος επιφορτισμένη με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση,

5) «Υπεύθυνος Προστασίας δεδομένων» - Data Protection Officer (DPO): Πρόκειται για τον άνθρωπο εκείνον ο οποίος θα ενημερώνει τους χρήστες των οποίων τα δεδομένα επεξεργάζεται η εταιρεία αλλά και θα είναι εκείνος ο οποίος έρχεται σε επικοινωνία με την Εποπτική Αρχή.

6) «Φορέας Παρακολούθησης»: Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 και 58, η παρακολούθηση της συμμόρφωσης με κώδικα δεοντολογίας δυνάμει του άρθρου 40 μπορεί να διεξάγεται από φορέα που διαθέτει το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με το αντικείμενο του κώδικα και είναι διαπιστευμένος για τον σκοπό αυτόν από την αρμόδια εποπτική αρχή.
Διαβάστε περισσότερα »
Αναρτήθηκε από στις Δεν υπάρχουν σχόλια:
Ετικέτες ,

Δευτέρα 27 Νοεμβρίου 2017

Ευρωπαϊκός Κανονισμός 2016/679 General Data Protection Regulation (GDPR) - Γενικός Κανονισμός Προστασίας Δεδομένων


Ο Ευρωπαϊκός Κανονισμός 2016/679 GENERAL DATA PROTECTION REGULATION, τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης από τις 25 Μαΐου 2018, χωρίς την ανάγκη ψήφισης τοπικής εθνικής νομοθεσίας και διαμορφώνοντας ένα ενιαίο νομικό πλαίσιο και καταργώντας την υφιστάμενη νομοθεσία. Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ αποτελεί τη μεγαλύτερη αλλαγή στην νομοθεσία περί προστασίας των δεδομένων τα τελευταία σχεδόν 20 χρόνια.

Ο Κανονισμός GDPR έχει ως στόχο να διευρύνει την προστασία των δεδομένων στην εποχή των big data και του cloud computing, εξασφαλίζοντας ότι η προστασία των δεδομένων αποτελεί θεμελιώδες βασικό δικαίωμα, το οποίο θα ρυθμίζεται με συνέπεια σε όλη την Ευρώπη. 

Ο Κανονισμός  2016/679 έχει εφαρμογή σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις, κρατικές αρχές, συλλόγους, κλπ.) που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα, είτε έχουν έδρα και δραστηριότητα σε χώρα της Ευρωπαϊκής Ένωσης είτε όχι, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς Ευρωπαίους πολίτες.

Ο νέος κανονισμός εξουσιοδοτεί τις εκάστοτε Αρχές Προστασίας Προσωπικών Δεδομένων στην Ευρώπη, να επιβάλουν για σοβαρές παραβάσεις πρόστιμα σε ύψος έως και 4% του ετήσιου παγκόσμιου κύκλου εργασιών τους ή 20 εκατομμύρια ευρώ, ανάλογα πάντα με το ποιο είναι το μεγαλύτερο. 

Ο κανονισμός περιγράφει τα δικαιώματα του υποκειμένου των δεδομένων, δηλαδή του ατόμου του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία. Αυτά τα ενισχυμένα δικαιώματα παρέχουν στα άτομα μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων, μέσω της ανάγκης ύπαρξης σαφούς συγκατάθεσης του ενδιαφερομένου για την επεξεργασία των προσωπικών του δεδομένων, της ευκολότερης πρόσβασης του ενδιαφερομένου στα προσωπικά του δεδομένα, των δικαιωμάτων διόρθωσης, διαγραφής και «λήθης», του δικαιώματος εναντίωσης, μεταξύ άλλων στη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα για την «κατάρτιση προφίλ», του δικαιώματος φορητότητας των δεδομένων από πάροχο σε πάροχο.

Από την άλλη πλευρά θέτει μία σειρά περιορισμών και νέων υποχρεώσεων στις επιχειρήσεις σχετικά με την επεξεργασία των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους, από τη συλλογή έως και την καταστροφή τους, τη δυνατότητα μεταφοράς τους σε άλλες χώρες, την προστασία των δικαιωμάτων των φυσικών προσώπων, την ασφάλεια (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα) των προσωπικών δεδομένων και τις ενέργειες γνωστοποίησης που οφείλει να κάνει η επιχείρηση σε περίπτωση παραβίασης. 
Επίσης για τις εταιρείες και τις δημόσιες αρχές που εκτελούν πράξεις επεξεργασίας δεδομένων που ενέχουν κινδύνους θα πρέπει να έχουν ορίσει υπεύθυνο προστασίας δεδομένων (Data Protection officer).

Ο κανονισμός GDPR θεσπίζει επίσης την υποχρέωση των υπεύθυνων επεξεργασίας των δεδομένων να παρέχουν διαφανείς και εύκολα προσβάσιμες πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των δεδομένων τους.
Διαβάστε περισσότερα »
Αναρτήθηκε από στις Δεν υπάρχουν σχόλια:
Ετικέτες , , ,
Εγγραφή σε: Αναρτήσεις (Atom)