GDPR: Οι κυριώτερες αλλαγές

Μια επισκόπηση των κυριότερων αλλαγών στο GDPR και του τρόπου με τον οποίο διαφέρουν από την προηγούμενη οδηγία

Στόχος του GDPR είναι να προστατεύσει όλους τους πολίτες της ΕΕ από τις παραβιάσεις στην ιδιωτική ζωή τους και των προσωπικών δεδομένων τους στον σημερινό κόσμο που βασίζεται σε δεδομένα. Μολονότι οι βασικές αρχές της ιδιωτικότητας των δεδομένων είχαν ισχύ και στην προηγούμενη οδηγία, έχουν προταθεί πολλές αλλαγές στις ρυθμιστικές πολιτικές. Τα βασικά σημεία του κανονισμού GDPR καθώς και πληροφορίες για τις επιπτώσεις που θα έχει στις επιχειρήσεις μπορούν να βρεθούν παρακάτω.

Αυξημένη εδαφική εμβέλεια (εξωεδαφική εφαρμογή)
Αναμφισβήτητα η μεγαλύτερη αλλαγή στο ρυθμιστικό περιβάλλον της ιδιωτικότητας των δεδομένων έρχεται με την εκτεταμένη αρμοδιότητα του GDPR, καθώς ισχύει για όλες τις εταιρείες που επεξεργάζονται τα προσωπικά δεδομένα των υποκειμένων των δεδομένων που διαμένουν στην Ένωση, ανεξάρτητα από την τοποθεσία της εταιρείας. Προηγουμένως, η εδαφική εφαρμογή της οδηγίας ήταν διφορούμενη και αναφέροταν σε διαδικασία επεξεργασίας δεδομένων «στο πλαίσιο εγκατάστασης». Αυτό το θέμα έχει προκύψει σε πολλές δικαστικές υποθέσεις υψηλού προφίλ. Το GDPR καθιστά σαφή την εφαρμογή του - ισχύει για την επεξεργασία προσωπικών δεδομένων από ελεγκτές και υπεύθυνους διαχείρισης δεδομένων στην ΕΕ, ανεξάρτητα από το εάν η επεξεργασία πραγματοποιείται στην ΕΕ ή όχι. Το GDPR ισχύει επίσης για την επεξεργασία δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων στην ΕΕ από υπεύθυνο επεξεργασίας ή ελεγκτή που δεν είναι εγκατεστημένος στην ΕΕ, όταν οι δραστηριότητες αφορούν: προσφορά αγαθών ή υπηρεσιών σε πολίτες της ΕΕ (ανεξάρτητα από το αν απαιτείται πληρωμή) και παρακολούθηση της συμπεριφοράς που λαμβάνει χώρα εντός της ΕΕ. Οι επιχειρήσεις εκτός ΕΕ που επεξεργάζονται τα δεδομένα των πολιτών της ΕΕ πρέπει επίσης να διορίσουν εκπρόσωπο στην ΕΕ.

Ποινικές ρήτρες
Στις οργανώσεις που παραβιάζουν τον κανονισμό GDPR μπορούν να επιβληθούν πρόστιμο έως 4% του ετήσιου συνολικού κύκλου εργασιών ή € 20 εκατ. (Όποιο είναι μεγαλύτερο). Πρόκειται για το μέγιστο πρόστιμο που μπορεί να επιβληθεί για τις πιο σοβαρές παραβάσεις, π.χ. δεν υπάρχει επαρκής συναίνεση του πελάτη για επεξεργασία δεδομένων ή παραβίαση του πυρήνα των εννοιών «Σχεδιασμό για το απόρρητο δεδομένων ». Υπάρχει μια κλιμακωτή προσέγγιση στα πρόστιμα, π.χ. σε μια εταιρεία μπορεί να επιβληθεί πρόστιμο κατά 2% για μη τήρηση των αρχείων της (άρθρο 28), μη κοινοποιώντας στην εποπτεύουσα αρχή και το υποκείμενο των δεδομένων παραβίαση ή μη διενέργεια εκτίμησης επιπτώσεων. Είναι σημαντικό να σημειωθεί ότι αυτοί οι κανόνες ισχύουν τόσο για τους υπεύθυνους επεξεργασίας όσο και για τους επεξεργαστές - που σημαίνει ότι τα "υπολογιστικά σύννεφα" δεν εξαιρούνται από την επιβολή του GDPR.

Συγκατάθεση
Οι όροι για τη συγκατάθεση έχουν ενισχυθεί και οι εταιρείες δεν μπορούν πλέον να χρησιμοποιούν μακρούς δυσανάγνωστους όρους και συνθήκες γεμάτους νομικά. Η αίτηση συγκατάθεσης πρέπει να παρέχεται σε κατανοητή και εύκολα προσπελάσιμη μορφή, με σκοπό την επεξεργασία δεδομένων που επισυνάπτεται στη συναίνεση αυτή. Η συγκατάθεση πρέπει να είναι σαφής και διακριτή από άλλα θέματα και να παρέχεται με κατανοητή και εύκολα προσιτή μορφή, χρησιμοποιώντας σαφή και απλή γλώσσα. Πρέπει να είναι τόσο εύκολο να αποσύρετε τη συγκατάθεση, όπως είναι να την δώσετε.

Δικαιώματα δεδομένων υποκειμένων

Ειδοποίηση παραβίασης

Μετά τον κανονισμό GDPR, οι ειδοποιήσεις παραβίασης είναι πλέον υποχρεωτικές σε όλα τα κράτη μέλη όπου η παραβίαση δεδομένων είναι πιθανό να "οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων". Αυτό πρέπει να γίνει εντός 72 ωρών από την πρώτη στιγμή της συνειδητοποίησης της παραβίασης. Οι επεξεργαστές δεδομένων υποχρεούνται επίσης να ενημερώνουν τους πελάτες τους, τους ελεγκτές, "χωρίς αδικαιολόγητη καθυστέρηση", αφού πρώτα καταλάβουν την παραβίαση δεδομένων.

Δικαίωμα πρόσβασης
Μέρος των διευρυμένων δικαιωμάτων των προσώπων στα οποία αναφέρονται τα στοιχεία του GDPR είναι το δικαίωμα των υποκειμένων των δεδομένων να λαμβάνουν επιβεβαίωση από τον υπεύθυνο επεξεργασίας για το κατά πόσον τα προσωπικά δεδομένα που τους αφορούν υποβάλλονται σε επεξεργασία, πού και για ποιο σκοπό. Επιπλέον, ο ελεγκτής παρέχει δωρεάν αντίγραφο των δεδομένων προσωπικού χαρακτήρα σε ηλεκτρονική μορφή. Αυτή η αλλαγή είναι μια δραματική αλλαγή στη διαφάνεια των δεδομένων και την ενδυνάμωση των υποκειμένων των δεδομένων.

Δικαίωμα στη λήθη
Επίσης γνωστό ως Data Erasure, το δικαίωμα στη λήθη παρέχει στο υποκείμενο των δεδομένων τη δυνατότητα να διαγράψει τα δεδομένα προσωπικού χαρακτήρα από τον ελεγκτή δεδομένων, να σταματήσει την περαιτέρω διάδοση των δεδομένων και ενδεχομένως να σταματήσει την επεξεργασία των δεδομένων από τρίτους. Οι όροι για τη διαγραφή, όπως περιγράφονται στο άρθρο 17, περιλαμβάνουν τα δεδομένα που δεν έχουν πλέον σχέση με τους αρχικούς σκοπούς για επεξεργασία ή ένα υποκείμενο των δεδομένων που αποσύρει τη συναίνεση. Πρέπει επίσης να σημειωθεί ότι το δικαίωμα αυτό απαιτεί από τους ελεγκτές να συγκρίνουν τα δικαιώματα των υποκειμένων με το "δημόσιο συμφέρον για τη διαθεσιμότητα των δεδομένων" κατά την εξέταση αυτών των αιτήσεων.

Φορητότητα δεδομένων
Το GDPR εισάγει τη φορητότητα δεδομένων - το δικαίωμα για ένα υποκείμενο των δεδομένων να λαμβάνει τα προσωπικά δεδομένα που τα αφορούν και τα οποία έχουν παράσχει προηγουμένως σε μια «ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή» και έχουν το δικαίωμα να διαβιβάσουν αυτά τα δεδομένα σε έναν άλλο ελεγκτή.

Προστασία δεδομένων από το σχεδιασμό
Ο σχεδιασμός για την προστασία της ιδιωτικής ζωής  ως έννοια έχει υπάρξει εδώ και χρόνια, αλλά απλώς γίνεται μέρος μιας νομικής απαίτησης με το GDPR. Στον πυρήνα της, η προστασία της ιδιωτικής ζωής ως μέρος του σχεδιασμού απαιτεί την ενσωμάτωση της προστασίας των δεδομένων από την αρχή του σχεδιασμού των συστημάτων, παρά ως προσθήκη σε αυτά. Ειδικότερα, «Ο υπεύθυνος της επεξεργασίας ... εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ... με αποτελεσματικό τρόπο προκειμένου να τηρηθούν οι απαιτήσεις του παρόντος κανονισμού και να προστατευθούν τα δικαιώματα των υποκειμένων των δεδομένων ». Το άρθρο 23 καλεί τους ελεγκτές να διατηρούν και να επεξεργάζονται μόνο τα δεδομένα που είναι απολύτως απαραίτητα για την εκπλήρωση των καθηκόντων τους (ελαχιστοποίηση των δεδομένων), καθώς και τον περιορισμό της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα μόνο σε όσους χρειάζεται να ενεργήσουν.

Υπεύθυνοι προστασίας δεδομένων
Σύμφωνα με το GDPR, δεν
είναι απαραίτητο να υποβάλλονται ειδοποιήσεις / καταχωρήσεις σε κάθε τοπική Αρχή Προστασίας Προσωπικών Δεδομένων των δραστηριοτήτων επεξεργασίας δεδομένων, ούτε αποτελεί υποχρέωση κοινοποίησης / απόκτησης έγκρισης για μεταφορές βάσει των πρότυπων ρητρών σύμβασης (MCC).
Αντίθετα, υπάρχουν απαιτήσεις εσωτερικής τήρησης αρχείων, όπως εξηγείται περαιτέρω παρακάτω, και ο διορισμός των υπευθύνων προστασίας δεδομένων (DPO) είναι υποχρεωτικός μόνο για τους ελεγκτές και τους μεταποιητές των οποίων οι βασικές δραστηριότητες συνίστανται σε επεξεργασίες που απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή ειδικών κατηγοριών δεδομένα ή δεδομένα σχετικά με ποινικές καταδίκες και αξιόποινες πράξεις. Είναι σημαντικό ο υπεύθυνος προστασίας δεδομένων:

  • Πρέπει να διορίζεται με βάση τα επαγγελματικά προσόντα και ειδικότερα τις γνώσεις των εμπειρογνωμόνων σχετικά με τη νομοθεσία και τις πρακτικές προστασίας των δεδομένων.
  • Μπορεί να είναι μέλος του προσωπικού ή εξωτερικός πάροχος υπηρεσιών.
  • Πρέπει να παρέχονται τα στοιχεία επικοινωνίας με την αρμόδια Αρχή Προστασίας Προσωπικών Δεδομένων
  • Πρέπει να έχει πρόσβαση σε κατάλληλους πόρους για την εκτέλεση των καθηκόντων τους και τη διατήρηση των ειδικών γνώσεων τους
  • Πρέπει να αναφέρονται απευθείας στο ανώτατο επίπεδο διοίκησης
  • Δεν πρέπει να εκτελούν άλλα καθήκοντα που θα μπορούσαν να οδηγήσουν σε σύγκρουση συμφερόντων.

Πηγή: eugdpr.org