Τι είναι το GDPR;

GDPR (General Data Protection Regulation) είναι ο Γενικός Κανονισμός για την Προστασία Δεδομένων της Ευρωπαϊκής Ένωσης (2016/679). Αποτελεί νέο νόμο για την διαφύλαξη και προστασία των φυσικών προσώπων (“data subjects”) έναντι της επεξεργασίας των προσωπικών τους δεδομένων καθώς και την κατοχύρωση της ελεύθερης κυκλοφορίας των προσωπικών δεδομένων εντός της Ευρωπαϊκής Ένωσης (ΕΕ).

Με το νέο κανονισμό η Ε.Ε θέλει να δώσει στους πολίτες της μεγαλύτερο έλεγχο στον τρόπο με τον οποίο χρησιμοποιούνται τα προσωπικά τους δεδομένα και στις επιχειρήσεις (ή τους οργανισμούς) ένα απλούστερο και σαφέστερο νομικό περιβάλλον λειτουργίας εφαρμόζοντας ένα ενιαίο νομικό πλαίσιο για όλες τις χώρες της Ένωσης.

Ποιοι υποχρεούνται σε εφαρμογή του νέου κανονισμού;

Κάθε οργανισμός που χειρίζεται προσωπικά δεδομένα τα οποία αφορούν πολίτες – φυσικά πρόσωπα  εντός της EE, είναι υποχρεωμένος πλέον να συμμορφωθεί πλήρως με το νέο κανονισμό, επανεξετάζοντας ή και αναθεωρώντας όλες τις διαδικασίες συλλογής, διαχείρισης ή και ανάλυσης των προσωπικών δεδομένων.

Οι κανόνες δεν εφαρμόζονται για τα δεδομένα που υποβάλλονται σε επεξεργασία από φυσικά πρόσωπα για προσωπικούς λόγους ή κατ’ οίκον δραστηριότητες, υπό την προϋπόθεση ότι δεν συνδέονται με επαγγελματική, εμπορική ή κοινωνικοπολιτική δράση.

Τι είναι τα δεδομένα προσωπικού χαρακτήρα;

Τα δεδομένα προσωπικού χαρακτήρα είναι οποιαδήποτε πληροφορία που μπορεί να χρησιμοποιηθεί για την άμεση ή έμμεση αναγνώριση ενός ατόμου. Ουσιαστικά, τα “προσωπικά δεδομένα” αναφέρονται σε οποιαδήποτε πληροφορία σχετικά με ένα φυσικό πρόσωπο («υποκείμενο των δεδομένων») είτε ζει σε κράτος μέλος της Ε.Ε είτε συμμετέχει σε επιχείρηση της Ε.Ε. Με απλά λόγια: οτιδήποτε γνωρίζει η εταιρεία σας σχετικά με τους πελάτες σας, τους εργαζόμενους ή τους υπαλλήλους των συνεργατών σας, ορίζεται ως “προσωπικά δεδομένα”.

Όταν οι πελάτες σας καταχωρούν τα ονόματα ή τις διευθύνσεις ηλεκτρονικού ταχυδρομείου στο eshop σας, συλλέγετε προσωπικά δεδομένα. Το ίδιο ισχύει αν παρακολουθείτε τις διευθύνσεις IP για να ταξινομήσετε τους επισκέπτες του eshop σας ανά χώρα. Οτιδήποτε μπορεί να βοηθήσει στην ταυτοποίηση ενός ατόμου μετράει ως προσωπικό δεδομένο. Χαρακτηριστικά παραδείγματα προσωπικών δεδομένων:

  1. Όνομα
  2. Διεύθυνση , Ταχυδρομικός Κώδικας , Περιφέρεια / Διαμέρισμα
  3. Τηλεφωνικός αριθμός
  4. Email. To email ενός πελάτη ή εργαζόμενου αποτελεί προσωπικό δεδομένο. Email όπως info@ και sales@ δεν αποτελούν προσωπικό δεδομένο εφόσον δε σχετίζονται με συγκεκριμένο πρόσωπο μέσω εγγραφής σε κάποιο αρχείο ή βάση δεδομένων.
  5. Online αναγνωριστικά. Αφορούν ψηφιακά αναγνωριστικά όπως η διεύθυνση IP, τα δεδομένα ενός cookie, το MAC address ενός υπολογιστή ή το IMEI ενός κινητού.

Όταν συλλέγονται χωριστά ορισμένα δεδομένα ενδέχεται να μην παρέχουν άμεση σύνδεση με ένα φυσικό πρόσωπο. Αν έχετε για παράδειγμα ένα πολύ συνηθισμένο όνομα, θα χρειαστείτε περισσότερα στοιχεία για να αναγνωρίσετε κάποιον. Το ίδιο ισχύει και για μια διεύθυνση κατοικίας, αν ζουν περισσότερα από ένα άτομα στο ίδιο σπίτι, ή για την ημερομηνία γέννησής σας – οι πιθανότητες είναι ότι περισσότερα από ένα άτομα γεννήθηκαν την ίδια ημερομηνία με εσάς ή τον τόπο γέννησής σας. Ωστόσο, εάν ξεκινήσετε να συνδυάζετε δύο ή περισσότερα από αυτά τα δεδομένα, μπορείτε να προσδιορίσετε με μοναδικό τρόπο ένα άτομο. Η ταυτότητά σας, ο αριθμός τηλεφώνου, ο τραπεζικός σας λογαριασμός και ο αριθμός της πιστωτικής σας κάρτας αντιπροσωπεύουν δεδομένα που είναι μοναδικά για κάθε άτομο και συνεπώς θα οδηγήσουν σε αναγνώριση. Τέτοιου είδους δεδομένα αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα.

Επεξεργαζόμαστε τα παραπάνω στοιχεία προκειμένου να διεκπεραιώσουμε τις παραγγελίες και να αποσταλούν τα προϊόντα στο σωστό παραλήπτη. Από την άλλη δεν επεξεργαζόμαστε στοιχεία όπως η χρεωστική ή πιστωτική σας κάρτα.

Πότε επιτρέπεται η επεξεργασία των προσωπικών δεδομένων;

Το GDPR επιτρέπει την επεξεργασία των προσωπικών δεδομένων μόνο όταν ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

  1. το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων του για έναν ή περισσότερους συγκεκριμένους σκοπούς (π.χ. Ο πελάτης ενός eshop έχει συναινέσει στην χρήση των προσωπικών του δεδομένων για το marketing και τη διαφήμιση),
  2. η επεξεργασία είναι απαραίτητη στα πλαίσια της εκπλήρωσης μιας σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος (π.χ. δεδομένα πελάτη που χρειάζονται για την ηλεκτρονική πληρωμή ή για την παράδοση ενός προϊόντος),
  3. η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με το νόμο (νομική υποχρέωση),
  4. η επεξεργασία είναι απαραίτητη για την διάσωση ή την προστασία της ζωής ενός ατόμου (του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου),
  5. η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθηκόντων για την εξυπηρέτηση του δημοσίου συμφέροντος σε επίσημες λειτουργίες (ισχύει για κυβερνητικούς οργανισμούς),
  6. η επεξεργασία είναι απαραίτητη για τα έννομα συμφέροντα ενός οργανισμού ή ενός συνδεδεμένου τρίτου, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων.

Ποιοι εμπλέκονται;

  1. Υπεύθυνος Επεξεργασίας (Data Controller): Οποιοσδήποτε οργανισμός ή φυσικό πρόσωπο καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των προσωπικών δεδομένων (π.χ. Η εταιρεία στην οποία ανήκει ένα e-shop συλλέγει προσωπικά δεδομένα των πελατών της για την εξυπηρέτησή τους).
  2. Εκτελών την επεξεργασία (Data Processor): Οποιοσδήποτε οργανισμός ή φυσικό πρόσωπο επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας (π.χ. Οι εταιρείες που παρέχουν υπηρεσίες φιλοξενίας, marketing, ανάπτυξης και διαχείρισης λογισμικού, μεταφοράς προϊόντων και ηλεκτρονικών πληρωμών στην εταιρεία στην οποία ανήκει το eShop).
  3. Εποπτική Αρχή (Data Protection Authority): Η ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος επιφορτισμένη με την παρακολούθηση της εφαρμογής του κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων στην Ένωση. Στην χώρα μας αρμόδιος φορέας είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ – www.dpa.gr) η οποία είναι συνταγματικά κατοχυρωμένη ανεξάρτητη αρχή και θα έχει την εξουσία να επιβάλλει κλιμακούμενα πρόστιμα.
  4. Υπεύθυνος Προστασίας δεδομένων (Data Protection Officer – DPO): Πρόκειται για τον υπεύθυνο που ορίζει η επιχείρηση (Υπεύθυνος Επεξεργασίας) για την παρακολούθηση της συμμόρφωσης με τον νέο κανονισμό και αποτελεί το σημείο επίσημης επικοινωνίας της επιχείρησης με την Εποπτική Αρχή, καθώς και με κάθε υποκείμενο που υπόκεινται σε επεξεργασία προσωπικών δεδομένων (π.χ. πελάτης ή εργαζόμενος). Επίσης, είναι αρμόδιος για την ενημέρωση και εκπαίδευση της επιχείρησης στις απαιτήσεις του κανονισμού, για την παροχή συμβουλών, για την εκτίμηση του αντικτύπου (DPIA) καθώς και για την τήρηση των αρχείων καταγραφής. Όπως αναφέραμε ήδη (“Τι ισχύει για τις μικρομεσαίες επιχειρήσεις”) ο κανονισμός δεν απαιτεί την πρόσληψη ή τον διορισμό DPO για την πλειοψηφία των μικρών εταιρειών. Αυτό δε σημαίνει πως εξαιρούνται από την εφαρμογή του GPDR! Εξακολουθεί να απαιτείται από αυτές μία σειρά από προληπτικές ενέργειες, η εκπαίδευση του εμπλεκόμενου προσωπικού στη διαχείριση των προσωπικών δεδομένων, και η αναφορά στις αρχές των περιστατικών παραβίασης εντός 72 ωρών. Σε κάθε περίπτωση η επιχείρηση θα πρέπει να ορίσει ένα πρόσωπο ως υπεύθυνο για την εφαρμογή του κανονισμού και ιδιαίτερα για την τήρηση των κανόνων προστασίας σχετικά με τα προσωπικά δεδομένα που επεξεργάζεται.

Τα δικαιώματα του υποκειμένου των δεδομένων

Στο κεφάλαιο ΙΙΙ του κανονισμού γίνεται αναλυτική παρουσίαση των δικαιωμάτων των υποκειμένων (πελάτες / χρήστες). Με αυτά είναι δυνατή η αποτελεσματική προστασία των προσωπικών τους δεδομένων, καθώς η πρόβλεψη αυτών (μέσω GDPR) τα καθιστά αγώγιμα και υποχρεώνει τον υπεύθυνο επεξεργασίας (την εταιρεία) στην ικανοποίηση τους. Τα βασικά δικαιώματα των πελατών σχετικά με τα προσωπικά τους δεδομένα είναι:

  1. Το δικαίωμα της ενημέρωσης του πελάτη για την επεξεργασία των προσωπικών του δεδομένων. Οι εταιρείες θα πρέπει να είναι απόλυτα διαφανείς ως προς τον τρόπο με τον οποίο χρησιμοποιούν προσωπικά δεδομένα.
  2. Το δικαίωμα πρόσβασης με το οποίο οι πελάτες ενός eshop θα έχουν το δικαίωμα να γνωρίζουν επακριβώς ποιες πληροφορίες υφίστανται επεξεργασία, πώς και για ποιο σκοπό. Ο πελάτης έχει το δικαίωμα να λαμβάνει από την εταιρεία επιβεβαίωση για το κατά πόσο ή όχι τα δεδομένα που το αφορούν υφίστανται επεξεργασία και έχει πρόσβαση σε όλα τα προσωπικά δεδομένα και σε πλήθος πληροφοριών όπως αυτές αναφέρονται στο άρθρο 15.
  3. Το δικαίωμα διόρθωσης – οι πελάτες θα έχουν το δικαίωμα να ζητήσουν διόρθωση των προσωπικών τους δεδομένων αν αυτά είναι ανακριβή ή ελλιπή.
  4. Το δικαίωμα μεταφοράς (φορητότητα). Ο πελάτης έχει το δικαίωμα να λαμβάνει τα προσωπικά του δεδομένα, τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένη, κοινώς χρησιμοποιούμενη και αναγνώσιμη από μηχανήματα μορφή (JSON, CSV ή XML).
  5. Το δικαίωμα εναντίωσης (ένσταση) στη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα και τον τερματισμό της επεξεργασίας αυτών εάν αυτή γίνεται για: (α) σκοπούς άμεσου μάρκετινγκ (β) επιστημονική/ιστορική έρευνα και για την κατάρτιση στατιστικών (γ) το προσωπικό νόμιμο συμφέρον της εταιρείας ή του οργανισμού ή κατά την εκτέλεση εργασίας για το δημόσιο συμφέρον ή για λογαριασμό επίσημης αρχής.
  6. Το δικαίωμα διαγραφής, γνωστό ως «το δικαίωμα λήθης», αναφέρεται στο δικαίωμα ενός ατόμου να ζητήσει διαγραφή ή κατάργηση των προσωπικών του δεδομένων χωρίς να χρειάζεται κάποιος συγκεκριμένος λόγος, εφόσον τα προσωπικά δεδομένα δεν είναι πλέον απαραίτητα ή αν το υποκείμενο ανακαλέσει τη συγκατάθεσή του ή εφόσον δεν υπάρχει άλλη νομική βάση για την επεξεργασία τους.
  7. Το δικαίωμα περιορισμού της επεξεργασίας το οποίο μπορεί να ασκήσει ο πελάτης όταν δεν είναι σαφές εάν και πότε τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να διαγραφούν. Αυτό το δικαίωμα μπορεί να ασκηθεί εφόσον (α) αμφισβητείται η ακρίβεια των σχετικών δεδομένων (β) δεν επιθυμεί τη διαγραφή τους (γ) τα δεδομένα δεν είναι πλέον απαραίτητα για τον αρχικό σκοπό αλλά δεν μπορούν να διαγραφούν ακόμα εξαιτίας νομικών λόγων (δ) έχει εναντιωθεί στην επεξεργασία και η σχετική απόφαση εκκρεμεί.

Ποιες είναι οι υποχρεώσεις της ΤΕΧΝΟΤΥΠΙΑΣ;

  1. παρέχει σαφή γνωστοποίηση για τη συλλογή προσωπικών δεδομένων προσδιορίζοντας με σαφήνεια το λόγο και τις περιπτώσεις επεξεργασίας των δεδομένων προς τους πελάτες. Επίσης διαθέτει σαφή και κατανοητή Πολιτική Απορρήτου (Privacy Policy ή Privacy Notice) στην οποία παρέχει στον πελάτη (το υποκείμενο) όλες τις πληροφορίες που απαιτεί ο GDPR όπως (α) την επεξεργασία που διενεργεί, δηλαδή ποιος είναι ο υπεύθυνος επεξεργασίας (η εταιρεία), τα στοιχεία επικοινωνίας του, τους σκοπούς επεξεργασίας, κ.λπ. (β) τη διάρκεια διατήρησης αυτών των δεδομένων (ή τα κριτήρια για τον καθορισμό της διάρκειας αποθήκευσης των δεδομένων – η αποθήκευση των δεδομένων πρέπει να γίνεται για το ελάχιστο χρονικό διάστημα που απαιτείται για την διεκπεραίωση του αρχικού σκοπού (γ) τα δικαιώματά του (δ) τα δικαιώματά του (συλλογή, διόρθωση, διαγραφή, εναντίωση, κλπ.)
  2. λαμβάνει συγκατάθεση για τη συλλογή και την επεξεργασία προσωπικών δεδομένων. Οι πελάτες (τα φυσικά πρόσωπα) θα πρέπει να γνωρίζουν το σκοπό της συλλογής των δεδομένων και να δίνουν ρητή συγκατάθεση στην εταιρεία. Δεν επιτρέπεται η επεξεργασία των δεδομένων για κανένα άλλο σκοπό πέρα από τον αρχικό σκοπό που κοινοποιήθηκε στα φυσικά πρόσωπα.
  3. προστατεύει τα προσωπικά δεδομένα λαμβάνοντας κατάλληλα μέτρα ασφαλείας.