Τι αλλάζει στο ιντερνετ με τα προσωπικά δεδομένα από τις 25 Μαΐου και μετά

---

O νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, τέθηκε σε ισχύ στις 24 Μαΐου 2016 και θα αρχίσει να εφαρμόζεται από τις 25 Μαΐου 2018.

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), ρυθμίζει την επεξεργασία από άτομο, εταιρεία ή οργανισμό των δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα στην ΕΕ.

Τα δεδομένα προσωπικού χαρακτήρα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα.

Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα αλλά τα οποία μπορούν να χρησιμοποιηθούν για την επαναταυτοποίηση ενός ατόμου παραμένουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ.

Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα με τέτοιον τρόπο ώστε το άτομο να μην είναι ή να μην είναι πια ταυτοποιήσιμο δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη.

Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Είναι τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία, υπό την προϋπόθεση ότι τα δεδομένα οργανώνονται βάσει προκαθορισμένων κριτηρίων (π.χ. αλφαβητική σειρά). Επίσης, δεν έχει σημασία ο τρόπος που αποθηκεύονται τα δεδομένα – σε σύστημα τεχνολογίας πληροφοριών, μέσω βιντεοεπιτήρησης ή σε έντυπη μορφή.

Ποιες θα είναι οι βασικές αλλαγές που θα ισχύσουν:Προστασία των δικαιωμάτων των παιδιών: Το τοπίο στα social media αλλάζει. Βάσει του νέου κανονισμού απαγορεύεται τη χρήση των social media σε παιδιά έως 16 ετών παρά μόνο με τη συγκατάθεση των γονέων.
Δικαίωμα στη λήθη: Ο χρήστης έχει το δικαίωμα να ζητήσει την διαγραφή των δεδομένων του και ο υπεύθυνος επεξεργασίας έχει υποχρέωση άμεσα να τα διαγράψει και, αν τα έχει δημοσιοποιήσει, να ενημερώσει και όλους τους άλλους που τα έχουν αναδημοσιεύσει ότι έχει ζητηθεί η διαγραφή τους.
Δικαίωμα ενημέρωσης και πρόσβασης στα δεδομένα: Ο πολίτης θα έχει περισσότερη και σαφέστερη ενημέρωση κατά τη συλλογή των δεδομένων του για την επεξεργασία τους και το δικαίωμα πρόσβασης σε αυτά.
Δικαίωμα διόρθωσης: Ο χρήστης θα έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διόρθωση ανακριβών στοιχείων καθώς και τη συμπλήρωση ελλιπών δεδομένων που τον αφορούν.
Δικαίωμα εναντίωσης στην επεξεργασία: Ο χρήστης θα έχει το δικαίωμα να αντιταχθεί στην επεξεργασία των δεδομένων του υπό συγκεκριμένες προϋποθέσεις, ιδίως όταν πρόκειται για κατάρτιση «προφίλ» ή για σκοπούς απευθείας εμπορικής προώθησης.

Ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων / General Data Protection Regulation- GDPR, στο εσωτερικό της ΕΕ τέθηκε σε ισχύ στις 24 Μαΐου 2016 με εφαρμογή από τις 25 Μαΐου 2018, οπότε και αναμένεται η θέσπιση νέων εθνικών ρυθμίσεων, οι οποίες θα εξειδικεύσουν την εφαρμογή διατάξεων του ΓΚΠΔ στην ελληνική έννομη τάξη. Το πεδίο εφαρμογής του ΓΚΠΔ καλύπτει τόσο τον ιδιωτικό όσο και το δημόσιο τομέα.

Με την εφαρμογή του GDPR θα αντικατασταθεί αυτόματα το υπάρχον νομοθετικό καθεστώς για την προστασία δεδομένων προσωπικού χαρακτήρα. Οι υπεύθυνοι επεξεργασίας (νοσοκομεία, κλινικές, φαρμακευτικές εταιρείες, ασφαλιστικές εταιρείες, κλπ) θα απαλλάσσονται πλέον από τη γενική υποχρέωση γνωστοποίησης τήρησης αρχείου ή λήψης άδειας για την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα. Θα υπάρχουν πλέον εναλλακτικοί τρόποι προστασίας των δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία και αυστηρότερα πρόστιμα για την αθέμιτη επεξεργασία τους.

Σύμφωνα με τους κανόνες της ΕΕ για την προστασία των δεδομένων, τα προσωπικά σας δεδομένα μπορούν να αποτελέσουν αντικείμενο επεξεργασίας μόνο σε ορισμένες περιπτώσεις και υπό ορισμένους όρους, όπως:

• αν έχετε δώσει τη συγκατάθεσή σας (πρέπει να ενημερώνεστε για τη συλλογή των δεδομένων σας)
• αν η επεξεργασία των δεδομένων είναι αναγκαία για μια σύμβαση, αίτηση για θέση εργασίας ή αίτηση χορήγησης δανείου
• αν υπάρχει νομική υποχρέωση για επεξεργασία των δεδομένων σας
• αν η επεξεργασία είναι προς το «ζωτικό συμφέρον» σας, π.χ. αν ένας γιατρός χρειάζεται πρόσβαση στα ιατρικά σας δεδομένα σε περίπτωση που είχατε κάποιο ατύχημα
• αν η επεξεργασία είναι αναγκαία για την άσκηση καθηκόντων που εξυπηρετούν το δημόσιο συμφέρον ή για την άσκηση καθηκόντων από την κυβέρνηση, τις φορολογικές αρχές, την αστυνομία ή άλλους δημόσιους φορείς.
• Προσωπικά δεδομένα σχετικά με τη φυλετική ή την εθνοτική καταγωγή σας, τον σεξουαλικό σας προσανατολισμό, τα πολιτικά σας φρονήματα, τις θρησκευτικές ή φιλοσοφικές σας πεποιθήσεις, τη συμμετοχή σας σε συνδικαλιστικές οργανώσεις ή την υγεία σας δεν μπορούν να αποτελέσουν αντικείμενο επεξεργασίας παρά μόνο σε συγκεκριμένες περιπτώσεις (π.χ. όταν έχετε δώσει τη ρητή συγκατάθεσή σας ή όταν η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή του εθνικού δικαίου).

Οι κανόνες αυτοί ισχύουν τόσο για τους δημόσιους όσο και για τους ιδιωτικούς φορείς.

Επεξεργασία προσωπικών δεδομένων

Το πρόσωπο ή ο φορέας που επεξεργάζεται τα δεδομένα σας, ο οποίος καλείται «υπεύθυνος επεξεργασίας δεδομένων», πρέπει να σέβεται τους κανόνες της ΕΕ σχετικά με την επεξεργασία και αποθήκευση των προσωπικών σας δεδομένων:

• τα δεδομένα σας μπορούν να συλλέγονται μόνο για σαφώς καθορισμένους νόμιμους σκοπούς
• δεν πρέπει να σας ζητείται ένας υπερβολικά μεγάλος αριθμός δεδομένων
• τα δεδομένα που προσδιορίζουν την ταυτότητά σας (π.χ. το όνομά σας ή τα στοιχεία επικοινωνίας σας) δεν πρέπει να φυλάσσονται πέραν του αναγκαίου χρονικού διαστήματος
• θα πρέπει να μπορείτε να διορθώσετε, να διαγράψετε ή να κλειδώσετε ανακριβή δεδομένα που σας αφορούν
• τα προσωπικά σας δεδομένα πρέπει να προστατεύονται από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση ή δημοσιοποίηση.
• Σε περίπτωση κλοπής, απώλειας ή παράνομης απόκτησης ευαίσθητων προσωπικών πληροφοριών (παραβίαση προσωπικών δεδομένων), ο πάροχος πρέπει να ενημερώσει την εθνική αρχή προστασίας δεδομένωνEnglish. Ο υπεύθυνος επεξεργασίας δεδομένων πρέπει επίσης να σας ενημερώσει αμέσως σε περίπτωση που τίθενται σε κίνδυνο τα προσωπικά σας δεδομένα ή η ιδιωτική σας ζωή εξαιτίας της παραβίασης.

Ο νέος Ευρωπαϊκός Kανονισμός για την προστασία των προσωπικών δεδομένων προβλέπει αυξημένα πρόστιμα, που ανάλογα με το είδος και το μέγεθος της επιχείρησης, φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του συνολικού ετήσιου κύκλου εργασιών.

Οι επιχειρήσεις και οργανισμοί που υπόκεινται στην τήρηση του κανονισμού θα πρέπει:

• Να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ' αυτών είναι απαραίτητα,
• Να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν,
• Να τα αποθηκεύουν για το μικρότερο δυνατό χρονικό διάστημα που απαιτείται, να λαμβάνουν - κατά περίπτωση - την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων,
• Να τα μεταφέρουν σε χώρες εκτός Ε.Ε. μόνον υπό συγκεκριμένες προϋποθέσεις, να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με το νέο κανονισμό,
• Να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα για: Ανάκληση της συγκατάθεσης, πρόσβαση στα δεδομένα, διόρθωση των δεδομένων, διαγραφή των δεδομένων, περιορισμό της επεξεργασίας, παράδοση των δεδομένων σε ηλεκτρονική μορφή, μεταφορά των δεδομένων σε άλλο φορέα.
• Να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους,
• Να τηρούν σε αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση,
• Να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.

Στο πλαίσιο του νέου κανονισμού, μεταξύ των προβλημάτων, που πρέπει να αντιμετωπίσουν οι επιχειρήσεις, είναι: ακριβή γνώση για το ποια δεδομένα συλλέγουν και επεξεργάζονται σε κάθε φάση των δραστηριοτήτων τους, ακριβή καθορισμό και διαχωρισμό των επιχειρησιακών αναγκών, συστηματικό έλεγχο για την κάλυψη των απαιτήσεων του κανονισμού σε κάθε στάδιο επεξεργασίας των δεδομένων, αξιολόγηση των κινδύνων που ενδέχεται να οδηγήσουν σε παραβίαση των προσωπικών δεδομένων, με αποτέλεσμα βαρύτατες οικονομικές κυρώσεις και επιπτώσεις στην εταιρική φήμη, λήψη αποτελεσματικών ψηφιακών μέτρων για τον περιορισμό του κινδύνου παραβιάσεων του κανονισμού κ.α.

Τα δικαιώματα των καταναλωτών σύμφωνα με τον κανονισμό

Σύμφωνα με την Ένωση Εργαζομένων Καταναλωτών Ελλάδας υπογραμμίζει ότι με το νέο Κανονισμό, ενισχύεται το πλέγμα προστασίας των προσωπικών δεδομένων, κατοχυρώνονται επαρκέστερα τα δικαιώματα του ατόμου του οποίου τα δεδομένα υπόκεινται σε επεξεργασία, καθώς επίσης εξασφαλίζεται η δυνατότητα αποτελεσματικότερου ελέγχου επί αυτών.

Μεταξύ άλλων, ο Κανονισμός προβλέπει τα εξής δικαιώματα του υποκειμένου των προσωπικών δεδομένων:

• Ενημέρωση με σαφήνεια και διαφάνεια από τον υπεύθυνο επεξεργασίας (ταυτότητα και στοιχεία υπεύθυνου επεξεργασίας, είδος δεδομένων, σκοπός επεξεργασίας, πιθανοί αποδέκτες των δεδομένων κ.λπ.).
• Δυνατότητα πρόσβασης στα προσωπικά του δεδομένα, όταν αυτά υφίστανται επεξεργασία.
• Δυνατότητα απαίτησης διόρθωσης ή συμπλήρωσης ελλιπών δεδομένων, από τον υπεύθυνο επεξεργασίας.
• Αίτημα διαγραφής (λήθη) των προσωπικών του δεδομένων υπό προϋποθέσεις (ανάκληση συγκατάθεσης, παράνομη απόκτηση, απουσία επιτακτικών και νόμιμων λόγων επεξεργασίας κ.λπ.).
• Δυνατότητα εναντίωσης στην επεξεργασία προσωπικών δεδομένων, εάν ο υπεύθυνος επεξεργασίας δεν καταδείξει επιτακτικούς λόγους για την επεξεργασία αυτή.

Παραδείγματα δεδομένων προσωπικού χαρακτήρα:

• όνομα και επώνυμο
• διεύθυνση κατοικίας
• ηλεκτρονική διεύθυνση ταχυδρομείου, π.χ. όνομα.επώνυμο@εταιρεία.com
• αριθμός εγγράφου ταυτοποίησης (π.χ. αριθμός ταυτότητας, διαβατηρίου, διπλώματος οδήγησης, κ.λπ.)
• δεδομένα τοποθεσίας (π.χ. η λειτουργία δεδομένων τοποθεσίας σε κινητό τηλέφωνο*)
• διεύθυνση διαδικτυακού πρωτοκόλλου (IP address)
• αναγνωριστικό διαδικτυακής περιήγησης (π.χ. cookie*)
• το αναγνωριστικό διαφήμισης του τηλεφώνου σας
• δεδομένα που φυλάσσονται από νοσοκομείο ή γιατρό, που θα μπορούσαν να είναι ένα σύμβολο που προσδιορίζει αποκλειστικά ένα άτομο.

Σημειώστε ότι σε ορισμένες περιπτώσεις, υπάρχει ειδική νομοθεσία σχετικά με συγκεκριμένους τομείς που ρυθμίζει, για παράδειγμα, τη χρήση δεδομένων
τοποθεσίας ή τη χρήση cookie – οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες [οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου
και του Συμβουλίου, της 12ης Ιουλίου 2002 (ΕΕ L 201 της 31.7.2002, σ. 37) και κανονισμός (ΕΚ) αριθ. 2006/2004 του Ευρωπαϊκού Κοινοβουλίου και του
Συμβουλίου, της 27ης Οκτωβρίου 2004 (ΕΕ L 364 της 9.12.2004, σ. 1)].

Παραδείγματα δεδομένων που δεν θεωρούνται δεδομένα προσωπικού χαρακτήρα:

• αριθμός μητρώου εταιρίας
• ηλεκτρονική διεύθυνση του τύπου info@εταιρία.com
• ανώνυμα δεδομένα (όπως π.χ. σε μια ανώνυμη έρευνα αγοράς)

Σε ποιους εφαρμόζεται η νομοθεσία περί προστασίας των δεδομένων;

α) σε κάθε εταιρεία ή οντότητα η οποία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων ενός από τα υποκαταστήματά της που έχουν έδρα στην ΕΕ, ανεξάρτητα από το πού γίνεται η επεξεργασία των δεδομένων· ή

β) σε κάθε εταιρεία η οποία έχει έδρα εκτός της ΕΕ και προσφέρει αγαθά/υπηρεσίες (επί πληρωμή ή δωρεάν) ή παρακολουθεί τη συμπεριφορά φυσικών προσώπων στην ΕΕ.

Εάν η εταιρεία σας είναι μικρομεσαία επιχείρηση (ΜΜΕ) και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, όπως περιγράφεται παραπάνω, πρέπει να συμμορφώνεστε με τον GDPR. Ωστόσο, εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν αποτελεί βασικό μέρος της επιχειρηματικής σας δραστηριότητας και η δραστηριότητά σας δεν δημιουργεί κινδύνους για φυσικά πρόσωπα, τότε ορισμένες από τις υποχρεώσεις του ΓΚΠΔ δεν ισχύουν για εσάς [π.χ. ο διορισμός υπεύθυνου προστασίας δεδομένων (ΥΠΔ)]. Σημειώνεται ότι οι «βασικές δραστηριότητες» θα πρέπει να περιλαμβάνουν δραστηριότητες όπου η επεξεργασία δεδομένων αποτελεί αναπόσπαστο μέρος της δραστηριότητας του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Παραδείγματα

Πότε εφαρμόζεται ο κανονισμός

Είστε μικρή εταιρεία τριτοβάθμιας εκπαίδευσης που δραστηριοποιείται στο διαδίκτυο με επαγγελματική εγκατάσταση που έχει έδρα εκτός της ΕΕ. Η εταιρεία σας απευθύνεται κυρίως σε ισπανόφωνα και πορτογαλόφωνα πανεπιστήμια στην ΕΕ. Προσφέρει δωρεάν συμβουλές σχετικά με διάφορα πανεπιστημιακά προγράμματα σπουδών, και οι φοιτητές χρειάζονται ένα όνομα χρήστη και έναν κωδικό πρόσβασης για να αποκτήσουν πρόσβαση στο υλικό σας στο διαδίκτυο. Η εταιρεία σας παρέχει το εν λόγω όνομα χρήστη και κωδικό πρόσβασης αφού οι φοιτητές συμπληρώσουν μια φόρμα εγγραφής.

Πότε δεν εφαρμόζεται ο κανονισμός

Η εταιρεία σας είναι πάροχος υπηρεσιών με έδρα εκτός της ΕΕ. Παρέχει υπηρεσίες σε πελάτες εκτός της ΕΕ. Οι πελάτες της μπορούν να χρησιμοποιούν τις υπηρεσίες της όταν ταξιδεύουν σε άλλες χώρες, συμπεριλαμβανομένης της ΕΕ. Εφόσον η εταιρεία σας δεν απευθύνει ειδικά τις υπηρεσίες της σε φυσικά πρόσωπα στην ΕΕ, δεν υπόκειται στους κανόνες του ΓΚΠΔ.

Η επεξεργασία προσωπικών δεδομένων

Ο όρος «επεξεργασία» καλύπτει ευρύ φάσμα πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα, είτε με χειροκίνητα είτε με αυτοματοποιημένα μέσα. Περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.

Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) εφαρμόζεται στην εξ ολοκλήρου ή μερική επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα καθώς και στη μη αυτοματοποιημένη επεξεργασία, εάν αποτελεί μέρος διαρθρωμένου συστήματος αρχειοθέτησης.

Παραδείγματα επεξεργασίας:

• διαχείριση προσωπικού και μισθοδοσία·
• προσπέλαση/αναζήτηση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα·
• αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων.
• καταστροφή διά τεμαχισμού εγγράφων που περιέχουν δεδομένα προσωπικού χαρακτήρα·
• δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου σε ιστότοπο·
• αποθήκευση διευθύνσεων IP ή διευθύνσεων MAC·
• μαγνητοσκόπηση (τηλεόραση κλειστού κυκλώματος).