Κεφάλαιο 4ο: Πώς αλλάζει ο νόμος περί προστασίας δεδομένων της ΕΕ
Ο πρωταρχικός στόχος του GDPR είναι να προστατεύσει τους πολίτες της Ευρωπαϊκής Ένωσης από παραβιάσεις δεδομένων. Αυτό είναι ιδιαίτερα σημαντικό δεδομένου ότι ο κόσμος καθίσταται ολοένα και περισσότερο γνώστης των δεδομένων και οι συνθήκες είναι σε μεγάλο βαθμό διαφορετικές από τη στιγμή που τέθηκε σε ισχύ η οδηγία του 1995.
Παρόλο που εξακολουθούν να ισχύουν τα θεμελιώδη στοιχεία της προηγούμενης οδηγίας, ο νέος κανονισμός γενικής προστασίας δεδομένων, ο οποίος τίθεται σε ισχύ τον Μάιο του 2018, φέρνει αρκετές βασικές αλλαγές. Εισάγει αυστηρές κυρώσεις, επεκτείνει την εδαφική ισχύ, ενισχύει τη συναίνεση και επηρεάζει τα υποκείμενα των δεδομένων με διαφορετικούς τρόπους.
Διευρυμένη εδαφική εφαρμογή
Ο νόμος GDPR έχει εκτεταμένη αρμοδιότητα σε σύγκριση με την ισχύουσα οδηγία. Αυτό οφείλεται στο γεγονός ότι ισχύει για κάθε εταιρεία που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα των πολιτών της ΕΕ ανεξαρτήτως της επιχειρηματικής τους παρουσίας. Αυτό σηματοδοτεί μια διαφορά από την ισχύουσα οδηγία που ισχύει μόνο για τις επιχειρήσεις εντός της ΕΕ που χειρίζονται ή διαχειρίζονται προσωπικά δεδομένα των πολιτών ή εκείνων που βρίσκονται εκτός της ΕΕ, αλλά χρησιμοποιούν εξοπλισμό εντός της Ευρωπαϊκής Ένωσης για να επεξεργάζονται δεδομένα. Το πεδίο εφαρμογής της GDPR είναι σαφές. Κατά συνέπεια, οι εταιρείες που δεσμεύονται από τους κανονισμούς πρέπει να προσπαθούν να συμμορφωθούν ή να αντιμετωπίσουν τις νομικές συνέπειες.
Ο νέος νόμος θα ισχύει και για τις επιχειρήσεις που παρακολουθούν τη συμπεριφορά τους. Παρακολούθηση συμπεριφοράς συνίσταται στην παρακολούθηση των ατόμων στο διαδίκτυο για τη δημιουργία προφίλ και την πρόβλεψη προτιμήσεων, συμπεριφοράς και συμπεριφορών για σκοπούς μάρκετινγκ. Ο κανονισμός θα περιορίσει τις δραστηριότητες των ιστότοπων που χρησιμοποιούν cookies και άλλες εφαρμογές για την παρακολούθηση της χρήσης στο διαδίκτυο. Θα πρέπει να δοθεί σαφής συγκατάθεση πριν από τη χορήγηση προσωπικών στοιχείων.
Άμεσες υποχρεωτικές υποχρεώσεις για τους επεξεργαστές δεδομένων
Το GDPR επιβάλλει άμεσες νομικές υποχρεώσεις στους μεταποιητές δεδομένων, οι οποίες υπόκεινται στην άμεση επιβολή από τις ρυθμιστικές αρχές, πρόστιμα για μη συμμόρφωση και απαιτήσεις αποζημίωσης ζημιών από τα υποκείμενα δεδομένων λόγω παραβιάσεων. Αυτή η νέα πρακτική αποκλίνει από την τρέχουσα ρύθμιση, όπου οι υπεύθυνοι επεξεργασίας δεδομένων μεταθέτουν τις ευθύνες και τις υποχρεώσεις προστασίας στους επεξεργαστές δεδομένων, προκειμένου να αποφευχθεί ο κίνδυνος συμμόρφωσης με την προστασία δεδομένων. Οι υποχρεώσεις που επιβάλλει άμεσα ο νέος νόμος στον επεξεργαστή δεδομένων περιλαμβάνουν:
Διατηρεί αρχείο των δραστηριοτήτων επεξεργασίας που εκτελούνται για λογαριασμό κάθε υπεύθυνου επεξεργασίας δεδομένων.
Διορισμός αντιπροσώπου της ΕΕ εάν η επιχείρηση βρίσκεται εκτός του μπλοκ.
Άμεση κοινοποίηση παραβιάσεων στους ελεγκτές.
Έχοντας έναν υπεύθυνο προστασίας δεδομένων σε ορισμένες περιπτώσεις.
Λήψη της γραπτής έγκρισης του ελεγκτή πριν από την υπεργολαβία της επεξεργασίας δεδομένων.
Παραβιάσεις δεδομένων
Ο Κανονισμός Γενικής Προστασίας Δεδομένων καθιστά την κοινοποίηση παραβίασης δεδομένων υποχρεωτική. Αυτό ισχύει για όλα τα μέλη της ΕΕ, όταν μια παραβίαση δεδομένων ενδέχεται να θέσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες ενός ατόμου. Οι επεξεργαστές δεδομένων υποχρεούνται, βάσει του κανονισμού, να ενημερώνουν τους πελάτες τους (οι οποίοι είναι κυρίως οι υπεύθυνοι επεξεργασίας) για την παραβίαση των δεδομένων κατά την πραγματοποίησή τους χωρίς αδικαιολόγητη καθυστέρηση. Ο κανονισμός απαιτεί από τους υπεύθυνους επεξεργασίας δεδομένων να προβούν στις σχετικές εποπτικές αρχές να κοινοποιήσουν την παραβίαση δεδομένων εντός 24 ωρών, αλλά όχι αργότερα από 72 ώρες. Πρόκειται για μια βελτίωση από τον ισχύοντα νόμο περί ιδιωτικότητας, ο οποίος δεν υποχρεώνει τα μέλη της ΕΕ να επιβάλλουν υποχρεώσεις γνωστοποίησης παραβίασης των δεδομένων. Οι υπεύθυνοι επεξεργασίας δεδομένων έχουν πρόσθετες υποχρεώσεις δεδομένου ότι έχουν επίσης την εντολή να ενημερώνουν τα υποκείμενα των δεδομένων που θίγονται από την παραβίαση.
Ενισχυμένα δικαιώματα υποκειμένων δεδομένων
1. Δικαίωμα πρόσβασης
Το νέο GDPR της Ευρωπαϊκής Ένωσης βελτιώνει και διευκρινίζει τους ισχύοντες κανονισμούς σχετικά με τα δικαιώματα που απολαμβάνουν τα πρόσωπα στα οποία αναφέρονται τα δεδομένα. Εισάγει επίσης πρόσθετα δικαιώματα που θα διασφαλίζουν ότι οι επιχειρήσεις δεν εκμεταλλεύονται τα δεδομένα των χρηστών χωρίς τη συγκατάθεσή τους. Το GDPR εισάγει το δικαίωμα πρόσβασης, το οποίο εγγυάται στα υποκείμενα των δεδομένων την ελευθερία να επιβεβαιώνουν από τον υπεύθυνο επεξεργασίας εάν τα προσωπικά τους δεδομένα υποβάλλονται σε επεξεργασία ή όχι, όπου και για ποιο σκοπό επεξεργάζονται τα δεδομένα τους. Ο ελεγκτής υποχρεούται από τον κανονισμό να παρέχει δωρεάν στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα ηλεκτρονικό αντίγραφο των προσωπικών δεδομένων. Αυτή η αλλαγή από τον ισχύοντα νόμο για την προστασία δεδομένων βελτιώνει τη διαφάνεια των δεδομένων και διευκολύνει τους χρήστες.
2. Διαγραφή δεδομένων
Το δικαίωμα να λησμονηθεί περιλαμβάνεται στον κανονισμό για την προστασία των γενικών δεδομένων. Το δικαίωμα αυτό επιτρέπει στους χρήστες να ζητούν από τον υπεύθυνο επεξεργασίας δεδομένων να διαγράψει τα προσωπικά τους στοιχεία όταν κρίνουν σκόπιμο, να σταματήσει τη διάδοση και να σταματήσει την επεξεργασία των δεδομένων τους από τρίτους. Εντούτοις, ο υπεύθυνος της επεξεργασίας υποχρεούται να εκτιμήσει το δικαίωμα του χρήστη και να το συγκρίνει με το δημόσιο συμφέρον για τη διαθεσιμότητα των δεδομένων και να αποφασίσει. Η απαίτηση για διαγραφή δεδομένων σύμφωνα με το νόμο είναι η απόσυρση της συγκατάθεσης ή η έλλειψη συσχετισμού του αρχικού σκοπού της επεξεργασίας δεδομένων.
3. Φορητότητα δεδομένων
Ο νέος νόμος της ΕΕ εισάγει τη φορητότητα δεδομένων, η οποία δίνει στους χρήστες το δικαίωμα να αποκτούν τα προσωπικά τους δεδομένα με μορφή που αναγνωρίζεται από τα μηχανήματα. Παρέχει επίσης το δικαίωμα μεταφοράς αυτών των πληροφοριών σε άλλο υπεύθυνο επεξεργασίας. Το δικαίωμα αυτό ενισχύει τον έλεγχο των υποκειμένων των δεδομένων σχετικά με τις προσωπικές τους πληροφορίες.
4. Κοινοποίηση παραβίασης
Σύμφωνα με το νέο κανονισμό, η κοινοποίηση παραβίασης είναι υποχρεωτική σε περιπτώσεις όπου η παραβίαση αυτή ενδέχεται να θέσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες του λαού. Το GDPR απαιτεί να γίνει μια ειδοποίηση πριν από τη λήξη των 72 ωρών. Ο νόμος θέτει τις ευθύνες για την κοινοποίηση σχετικών οντοτήτων στους επεξεργαστές δεδομένων και τους ελεγκτές. Η πρωταρχική ευθύνη των μεταποιητών είναι να ενημερώσουν τον ελεγκτή της παραλίας δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Στη συνέχεια, ο υπεύθυνος επεξεργασίας αναμεταδίδει τις πληροφορίες αυτές τόσο στις ρυθμιστικές αρχές, όσο και στα υποκείμενα των δεδομένων.
5. Η συγκατάθεση των παιδιών και η προστασία τους
Το GDPR λαμβάνει γνώση του γεγονότος ότι τα παιδιά δεν μπορούν να λάβουν από μόνοι τους τεκμηριωμένες αποφάσεις. Δεδομένου ότι τα παιδιά αξίζουν επίσης την προστασία των προσωπικών δεδομένων τους, το νέο EU GDPR περιορίζει την ικανότητα των παιδιών να εγκρίνουν την επεξεργασία δεδομένων χωρίς γονική υποστήριξη. Από προεπιλογή, η ηλικία συγκατάθεσης είναι 16 έτη, αν και ο κανονισμός επιτρέπει στις χώρες μέλη να μειώσουν το όριο ηλικίας στα 13 έτη. Σε ένα διαδικτυακό πλαίσιο όπου οι υπηρεσίες της κοινωνίας της πληροφορίας προσφέρονται σε ένα άτομο κάτω από συγκεκριμένη ηλικία, είναι απαραίτητη η επαληθεύσιμη γονική συγκατάθεση. Σε αντίθεση με την ισχύουσα οδηγία, αυτές οι βασικές αλλαγές εξασφαλίζουν την ενίσχυση της προστασίας της ιδιωτικής ζωής και των δεδομένων και η πιθανότητα παραβίασης των δεδομένων μειώνεται σημαντικά όσον αφορά την ασφάλεια.
Σχόλια
Δημοσίευση σχολίου