Από τις 25 Μαΐου 2018 στην Ελλάδα και στις άλλες χώρες της Ευρωπαϊκής Ένωσης, τέθηκε σε εφαρμογή ο νέος ευρωπαϊκός Γενικός Κανονισμός για την Προστασία των Δεδομένων (GDPR).
Τι είναι το GDPR
Με τον GDPR καθορίζονται αυστηρά οι υποχρεώσεις φορέων και εταιρειών γύρω από την συλλογή, χρήση και αποθήκευση των προσωπικών δεδομένων αλλά και τα δικαιώματα των πολιτών – χρηστών.
Στόχος της ΕΕ ήταν η εφαρμογή αυστηρότερων κανόνων, προκειμένου οι 250 εκατομμύρια καθημερινοί χρήστες του διαδικτύου στην Ευρώπη και γενικότερα οι πολίτες, να ελέγχουν καλύτερα και ευκολότερα τα προσωπικά τους δεδομένα που βρίσκονται online, τα οποία άλλοι (επιχειρήσεις, οργανισμοί, μέσα κοινωνικής δικτύωσης) συλλέγουν, επεξεργάζονται και μοιράζονται με τρίτους.
Τέλος, το κοινοβούλιο της ΕΕ αποφάσισε ότι το νέο πλαίσιο προστασίας της ιδιωτικής ζωής θα δημιουργηθεί υπό τη μορφή κανονισμού και όχι οδηγίας, οπότε όλοι είναι υποχρεωμένοι να συμμορφωθούν σ’ αυτόν.
Σας φαίνονται πολύπλοκα τα παραπάνω;
Στο τέλος του άρθρου μπορείτε να διαβάσετε τις απαντήσεις σε κάποιες συχνές ερωτήσεις που θα σας βοηθήσουν να κατανοήσετε με απλά λόγια τι ακριβώς είναι το GDPR και γιατί πρέπει να το λάβετε υπόψιν στην ιστοσελίδα σας.
Τι πρέπει να κάνουν οι εταιρείες
- Οι εταιρείες που επεξεργάζονται προσωπικά δεδομένα, πρέπει πλέον να παρέχουν σαφείς πληροφορίες για ποιους σκοπούς τα χρησιμοποιούν, για πόσο χρονικό διάστημα τα αποθηκεύουν, σε ποιους άλλους τα κοινοποιούν και εάν τα δεδομένα θα διαβιβαστούν εκτός της ΕΕ.
- Οι εταιρείες πρέπει να παρέχουν στοιχεία επικοινωνίας των υπεύθυνων για την επεξεργασία και προστασία των δεδομένων. Όλες αυτές οι πληροφορίες θα πρέπει να διατυπώνονται με απόλυτη σαφήνεια.
- Ταυτόχρονα κάθε εταιρεία (ή φορέας) που χρησιμοποιεί, επεξεργάζεται η αποθηκεύει τέτοια δεδομένα θα πρέπει να είναι έτοιμη να παραδώσει ή να τροποποιήσει ή να σβήσει προσωπικά δεδομένα οποιουδήποτε χρήστη, όταν ζητήσει.
Για να βοηθήσουμε στην κατανόηση εφαρμογής του GDPR μελετήσαμε:
- Την αναλυτική παρουσίαση των κανόνων του GDPR στην ιστοσελίδα της ΕΕ,
- Την Επισκόπηση του General Data Protection Regulation (GDPR) από την ESET Hellas με θέμα «Πως θα επηρεάσει την επιχείρησή σας»,
- Την σχετική ανάλυση της Πανελλήνιας Ομοσπονδίας Φοροτεχνικών Ελευθέρων Επαγγελματιών (ΠΟΦΕΕ).
Και σας παρουσιάζουμε συνοπτικά, ειδικότερα για εταιρείες που διαθέτουν ιστοσελίδες ή eshop ή web εφαρμογές ή mobile εφαρμογές και χρησιμοποιούν προσωπικά δεδομένα χρηστών, όσα πρέπει να προσέξουν και να εφαρμόσουν για την προσαρμογή τους στους κανόνες του GDPR.
Οι βασικοί κανόνες του GDPR & τα δικαιώματα των πολιτών
Συναίνεση χρήσης προσωπικών δεδομένων
α) Αρχή περιορισμού του πεδίου εφαρμογής:
Τα προσωπικά δεδομένα θα πρέπει να συλλέγονται μόνο για συγκεκριμένους, ρητούς και νόμιμους σκοπούς και δε θα πρέπει να επεξεργάζονται περαιτέρω κατά τρόπο ασύμβατο με αυτούς τους σκοπούς.
β) Αρχή της ελαχιστοποίησης των προσωπικών δεδομένων:
Μόνο τα προσωπικά δεδομένα που είναι αναγκαία για τους αρχικούς σκοπούς θα πρέπει να υπόκεινται σε επεξεργασία,
Δικαίωμα εναντίωσης και δικαίωμα διαγραφής δεδομένων
Αφορά το δικαίωμα του χρήστη να ζητήσει την διαγραφή ή την τροποποίηση των προσωπικών δεδομένων του.
Δικαίωμα μεταφοράς δεδομένων
Αφορά το δικαίωμα του χρήστη να ζητήσει μεταφορά των δεδομένων του όπου επιθυμεί.
Ενημέρωση της Αρχής Προστασίας Προσωπικών Δεδομένων εάν εντοπιστεί παραβίαση δεδομένων
Αφορά την υποχρέωση κάθε εταιρίας ή Οργανισμού να ενημερώσει εντός 72 ωρών την Αρχή Προστασίας Προσωπικών Δεδομένων σε περίπτωση που εντοπίσει παραβίαση του Αρχείου δεδομένων είτε μέσω hacking είτε με οποιοδήποτε άλλο τρόπο.
Αυξημένες υποχρεώσεις συμμόρφωσης για τους υπεύθυνους επεξεργασίας
Οι οποίοι θα πρέπει να ελέγχουν κατά πόσο οι λειτουργίες της εταιρίας ή του φορέα τηρούν τους κανονισμούς του GDPR
Παραδείγματα δεδομένων προσωπικού χαρακτήρα
- όνομα και επώνυμο
- διεύθυνση κατοικίας
- αριθμός τηλεφώνου
- ημερομηνία γέννησης
- ηλεκτρονική διεύθυνση ταχυδρομείου, π.χ. όνομα.επώνυμο@εταιρεία.com όχι τύπου info@εταιρεία.com)
- αριθμός εγγράφου ταυτοποίησης (π.χ. αριθμός ταυτότητας, διαβατηρίου, διπλώματος οδήγησης, κ.λπ.)
- δεδομένα τοποθεσίας (π.χ. η λειτουργία δεδομένων τοποθεσίας σε κινητό τηλέφωνο)
- διεύθυνση διαδικτυακού πρωτοκόλλου (IP address)
- τραπεζικός λογαριασμός
- αναγνωριστικό διαδικτυακής περιήγησης (π.χ. cookie)
- το αναγνωριστικό διαφήμισης του τηλεφώνου σας
- αναρτήσεις στα μέσα κοινωνικής δικτύωσης
- θρησκευτικές και πολιτικές απόψεις
- δεδομένα που φυλάσσονται από νοσοκομείο ή γιατρό, που θα μπορούσαν να είναι ένα σύμβολο που προσδιορίζει αποκλειστικά ένα άτομο (ανήκουν στην κατηγορία των ευαίσθητων προσωπικών δεδομένων).
Σκεφτείτε τα προσωπικά δεδομένα σαν παζλ. Ένα κομμάτι από μόνο του μπορεί να μην λέει πολλά, αλλά αν ενωθούν πολλά μαζί αποκαλύπτουν μια ζωντανή εικόνα της ζωής ενός ατόμου.
Τι πρέπει να κάνετε για την προσαρμογή στον κανονισμό GDPR
Προσαρμογή στους κανονισμούς για την προστασία των δεδομένων από τον σχεδιασμό της ιστοσελίδας, eshop ή εφαρμογής.
Αναπτύξτε όλα τα ηλεκτρονικά εργαλεία για την εφαρμογή μέτρων προστασίας των προσωπικών δεδομένων στα προϊόντα, τις υπηρεσίες ή τα αρχεία σας από τα αρχικά στάδια ανάπτυξης της ιστοσελίδας, του e-shop ή της εφαρμογής σας.
Θα πρέπει να μπορείτε να ανταποκριθείτε άμεσα, ολοκληρωμένα και δωρεάν σε αιτήματα για:
- Συγκατάθεση τήρησης δεδομένων ή ενημέρωσης των χρηστών
- Ανάκληση της συγκατάθεσης
- Πρόσβαση στα δεδομένα (όπου είναι δυνατόν)
- Διόρθωση των δεδομένων
- Διαγραφή των δεδομένων
- Περιορισμό της επεξεργασίας
- Παράδοση των δεδομένων σε ηλεκτρονική μορφή
- Μεταφορά των δεδομένων σε άλλο φορέα
Υπηρεσίες iServices που μπορεί να σας ενδιαφέρουν
Θα πρέπει επίσης να μεριμνήσετε για:
Ενημέρωση
Διαρκή ενημέρωση (πρωτίστως στους όρους χρήσης) για τους όρους που εφαρμόζετε και τηρείτε σε ότι αφορά την αποθήκευση ή διαχείριση προσωπικών δεδομένων καθώς και για τα δικαιώματα των ατόμων που αφορούν αυτά.
Security
Εξασφάλιση αυστηρών security μέτρων για την διαδικτυακή προστασία των προσωπικών δεδομένων.
Επικοινωνία
Εάν ζητάτε προσωπικά δεδομένα θα πρέπει να γνωρίζουν οι αποδέκτες του αιτήματος με σαφήνεια: Ποιοι είστε. Γιατί χρειάζεστε τα συγκεκριμένα δεδομένα. Εάν θα τα επεξεργαστείτε, τον λόγο που επεξεργάζεστε τα δεδομένα τους, για πόσο καιρό θα τα φυλάξετε και ποιος τα λαμβάνει.
Πρόσβαση και δυνατότητα μεταφοράς
Δώστε στα άτομα πρόσβαση (αμέσως ή εμμέσως) στα δεδομένα τους και επιτρέψτε τους να τα δώσουν σε άλλη εταιρεία.
Διαγραφή δεδομένων
Δώστε τους το «δικαίωμα στη λήθη». Διαγράψτε τα προσωπικά τους δεδομένα αν το ζητήσουν, αλλά μόνο αν δεν θίγεται η ελευθερία έκφρασης, όπως προβλέπει ο GDPR.
Μάρκετινγκ
Δώστε στα άτομα το δικαίωμα να εξαιρεθούν από πρακτικές άμεσου μάρκετινγκ που χρησιμοποιούν τα δεδομένα τους.
Διαβίβαση δεδομένων εκτός της ΕΕ
Συνάψτε νομικές συμφωνίες όταν πρόκειται να διαβιβάσετε δεδομένα σε χώρες που δεν έχουν λάβει έγκριση από τις αρχές της ΕΕ.
Συγκατάθεση
Λάβετε τη ρητή συγκατάθεσή τους για την επεξεργασία των δεδομένων ή την διαβίβασή τους οπουδήποτε.
Προειδοποιήσεις
Ενημερώστε τα άτομα σχετικά με παραβιάσεις δεδομένων αν ενέχει σοβαρός κίνδυνος για αυτούς.
Δημιουργία προφίλ
Αν χρησιμοποιείτε προφίλ για την επεξεργασία αιτήσεων ατόμων για νομικά δεσμευτικές συμφωνίες, πρέπει:
- Να ενημερώνετε τους πελάτες σας
- Να ορίζετε ένα πρόσωπο και όχι μια μηχανή να ελέγχει τη διαδικασία αν η αίτηση τελικά απορρίπτεται
- Να χορηγείτε στον αιτούντα το δικαίωμα να προσβάλλει την απόφαση ή να ζητήση αιτιολόγησή της.
Προστασία ευαίσθητων προσωπικών δεδομένων
Χρησιμοποιήστε πρόσθετα αυξημένα μέτρα προστασίας εάν ταξινομείτε, επεξεργάζεστε ή χρησιμοποιείτε με οποιοδήποτε τρόπο πληροφορίες που αφορούν την υγεία, τη φυλή, τον σεξουαλικό προσανατολισμό, τη θρησκεία ή τις πολιτικές πεποιθήσεις ατόμων.
Πρόσβαση σε τρίτους
Δίνετε πρόσβαση στα προσωπικά δεδομένα τρίτων σε συνεργάτες σας μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με τον GDPR.
Εάν διευθύνετε οποιαδήποτε επιχείρηση που συλλέγει προσωπικά δεδομένα, είναι σημαντικό να κατανοήσετε τον GDPR και τον τρόπο χρήσης του. Το ” Τι είναι το GDPR;” Ο οδηγός απαντά στις βασικές ερωτήσεις σας και προσφέρει πληροφορίες για αποτελεσματικές στρατηγικές απορρήτου.
Τα προσωπικά δεδομένα βάσει του GDPR είναι πληροφορίες όπως όνομα, διεύθυνση email και αριθμός πιστωτικής κάρτας που μπορούν να οδηγήσουν στην ταυτοποίηση ενός ατόμου.
Ποιες είναι οι συνέπειες της παραβίασης του κανονισμού GDPR;
Η ελληνική νομοθεσία θέτει αυστηρά πλαίσια ποινών για τέτοιου είδους παραβιάσεις, που δεν μπορούμε πλέον να αγνοήσουμε. Οι επαπειλούμενες ποινές κυμαίνονται από απλή φυλάκιση έως και κάθειρξη, ενώ σε συγκεκριμένες περιπτώσεις παραβίασης που αφορά ειδικές κατηγορίες προσωπικών δεδομένων, επιβάλλεται από το Δικαστήριο και χρηματική ποινή που φτάνει τα 100.000 ευρώ.
Η πρώτη σημαντική ποινή σε παγκόσμια εμβέλεια επιβλήθηκε τον Ιανουάριο του 2019, όταν η Google έλαβε πρόστιμο GDPR ύψους 50 εκατομμυρίων ευρώ επειδή δεν ενημέρωσε πλήρως τους χρήστες πώς θα χρησιμοποιηθούν τα δεδομένα τους κατά τη ρύθμιση του λειτουργικού της συστήματος Android. Η Google άσκησε έφεση κατά του προστίμου, αλλά η ποινή επικυρώθηκε από το γαλλικό δικαστήριο το 2020.
Η Google τιμωρήθηκε επειδή “έκρυψε” σημαντικές πληροφορίες όταν οι χρήστες ρύθμισαν τα νέα τους τηλέφωνα Android, πράγμα που σημαίνει ότι δεν γνώριζαν σε ποιες πρακτικές συλλογής δεδομένων συμφωνούσαν. Το πρόστιμο GDPR της Google δείχνει ότι ακόμη και οι τεχνολογικοί γίγαντες δεν έχουν ανοσία στην επιβολή του GDPR.
Ακολουθεί ένα ακόμα ενδιαφέρον παράδειγμα, στην H&M επιβλήθηκε πρόστιμο 45 εκατομμυρίων δολαρίων τον Οκτώβριο του 2020 για την εκτεταμένη επιτήρηση των εργαζομένων στο κέντρο της στη Νυρεμβέργη της Γερμανίας. Αυτό περιλάμβανε «άτυπες συνομιλίες» με υπαλλήλους, συλλογή δεδομένων σχετικά με τη θρησκεία και τα οικογενειακά ζητήματα και αργότερα τη χρήση αυτών των πληροφοριών στις αποφάσεις για την απασχόλησή τους.
Τι είναι το GDPR με απλά λόγια
Ακολουθούν μερικά ερωτήματα μαζί με απλές επεξηγήσεις για να είναι απόλυτα κατανοητά όσα πρέπει να γνωρίζετε σχετικά με το GDPR.
Τι είναι τα προσωπικά δεδομένα
Τα προσωπικά δεδομένα είναι πληροφορίες που μπορούν να χρησιμοποιηθούν για την ταυτοποίησή σας. Με απλά λόγια, είναι οποιεσδήποτε ιδιωτικές πληροφορίες που δεν θα θέλατε να πέσουν σε λάθος χέρια.
Χρειάζεται το GDPR στον ιστότοπό μου;
Εάν είστε ιδιοκτήτης μιας επιχείρησης που στοχεύει χρήστες στην ΕΕ — ναι. Αυτό περιλαμβάνει ακόμη και μικρά πράγματα, όπως τη συλλογή διευθύνσεων email για ένα ενημερωτικό δελτίο (newsletter).
Ωστόσο, εάν έχετε ένα μικρό ιστότοπο που ούτε πουλά προϊόντα ούτε συλλέγει προσωπικές πληροφορίες από άτομα στην ΕΕ, δεν έχετε την υποχρέωση να συμμορφωθείτε στους gdpr κανονισμούς.
GDPR: Είναι Κανονισμός ή απλή Οδηγία;
Μια θεμελιώδης αλλαγή από το προηγούμενο πλαίσιο προστασίας δεδομένων (οδηγία της ΕΕ για την προστασία των δεδομένων – οδηγία 95/46 / ΕΕ) είναι ότι, μετά από πολλές συζητήσεις, το κοινοβούλιο της ΕΕ αποφάσισε ότι το νέο πλαίσιο προστασίας της ιδιωτικής ζωής θα δημιουργηθεί υπό τη μορφή κανονισμού και όχι οδηγίας.
Η συμμόρφωση με αυτόν τον ευρωπαϊκό κανονισμό για την προστασία δεδομένων σημαίνει ότι διασφαλίζετε ότι τα δεδομένα συλλέγονται, χρησιμοποιούνται και αποθηκεύονται νόμιμα. Αυτό περιλαμβάνει το αίτημα για συγκατάθεση, την αποκάλυψη για ποιους λόγους συλλέγονται πληροφορίες, τον τρόπο χρήσης τους και τη διατήρηση των δεδομένων ασφαλή (δηλαδή, την προστασία από παραβιάσεις).
Ελπίζουμε το άρθρο μας να σας βοήθησε και από εδώ και στο εξής να γνωρίζετε τι είναι το GDPR και γιατί είναι σημαντικό να προσαρμόζετε την ιστοσελίδα σας στους κανόνες του.
Για οποιαδήποτε επιπλέον πληροφορία επικοινωνήστε μαζί μας.
