Ποιες είναι οι κυριότερες απαιτήσεις του GDPR


Αρχές επεξεργασίας:
α) «Νομιμότητα, αντικειμενικότητα και διαφάνεια»,
β) «Περιορισμός του σκοπού» δηλ. κάθε οργανισμός οφείλει να προσδιορίζει ρητά – και να είναι σε θέση να τεκμηριώσει – τους νόμιμους σκοπούς, για τους οποίους συλλέγει και επεξεργάζεται προσωπικά δεδομένα. Οφείλει επίσης να μην διενεργεί περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς,

γ) «Ελαχιστοποίηση των δεδομένων»: τα δεδομένα που συλλέγονται οφείλουν να είναι κατάλληλα, συναφή και απολύτως αναγκαία για τους συγκεκριμένους σκοπούς που ορίστηκαν,
δ) «Ακρίβεια», δηλ. τα δεδομένα να είναι ορθά κι επίκαιρα,
ε) «Περιορισμός περιόδου αποθήκευσης»: να τηρούνται μόνο για όσο χρονικό διάστημα απαιτείται σύμφωνα με το νόμιμο σκοπό,
στ) «Ακεραιότητα και εμπιστευτικότητα», να διασφαλίζεται η προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με χρήση κατάλληλων τεχνικών ή οργανωτικών μέτρων,
ζ) «Λογοδοσία» του υπευθύνου επεξεργασίας, ο οποίος φέρει την ευθύνη και επιπλέον πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τα όλα παραπάνω. Γι΄αυτό, η αρχή της λογοδοσίας αποκαλείται μεταξύ νομικών η “αρχή-ομπρέλα”. (Άρθρο 5).

Ρητή συγκατάθεση:
απαιτείται η συγκατάθεση του ατόμου, η οποία ορίζεται ως “κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν”. Είναι σαφές ότι η μη αντίδραση του ατόμου, όπως π.χ. η παθητική παραμονή του σε λίστες newsletter, δεν ισοδυναμεί με συγκατάθεση, σύμφωνα με τον νέο Κανονισμό.
Για προσωπικά δεδομένα ανηλίκων κάτω των 16 ετών, απαιτείται σαφής συγκατάθεση γονέα ή κηδεμόνα. Ο οργανισμός οφείλει να τηρεί αρχείο και διαδικασία η οποία να επιτρέπει στο άτομο να διαφοροποιήσει τη συγκατάθεση που έδωσε για μια συγκεκριμένη χρήση, όσες φορές αλλάξει γνώμη (Άρθρα 6,7,8).

Σαφής Πολιτική Απορρήτου:

οι οργανισμοί απαιτούνται να δηλώνουν με διαφάνεια, σαφή γλώσσα και κατανοητό τρόπο την πολιτική απορρήτου που εφαρμόζουν. Δηλαδή, να δηλώνουν αναλυτικά ποια δεδομένα συλλέγουν, για ποιο νόμιμο σκοπό, πώς τα διαχειρίζονται, για πόσο χρονικό διάστημα τα διατηρούν, με ποιες μεθόδους ασφαλείας τα προστατεύουν κλπ. (Άρθρο 12).
Πλήθος νέα Ατομικά δικαιώματα:
όλα τα άτομα έχουν δικαίωμα να επεμβαίνουν στα δεδομένα τους προκειμένου να τα διορθώσουν (Δικαίωμα Διόρθωσης),
να ζητήσουν την παραλαβή των δεδομένων τους, σε δομημένο, συμβατό και διαλειτουργικό μορφότυπο, αναγνώσιμο από μηχανήματα, προκειμένου να τα διαβιβάσουν σε άλλον υπεύθυνο επεξεργασίας (Δικαίωμα στη Φορητότητα),
ακόμη και τη διαγραφή (Δικαίωμα στη Λήθη) των προσωπικών τους δεδομένων υπό προϋποθέσεις (Άρθρα 13 ως 23).

Ευθύνη και Λογοδοσία:
οι οργανισμοί είναι διαρκώς υπόλογοι στα άτομα και στις Αρχές. Οφείλουν, όχι απλώς να εφαρμόζουν το νέο Κανονισμό, αλλά και να είναι κάθε στιγμή σε θέση να αποδείξουν ότι συμμορφώνονται με όλες τις απαιτήσεις του (Άρθρο 24).

Προστασία ήδη από τον αρχικό σχεδιασμό και εξ’ ορισμού (Privacy by Design and by Default):
ο οργανισμός οφείλει να εφαρμόζει αποτελεσματικά, τα κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, η ελαχιστοποίηση των δεδομένων και η ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία τους, κατά τρόπο ώστε να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων (Άρθρο 25).
Για παράδειγμα, πρέπει να υπάρχουν ρυθμίσεις ασφάλειας δεδομένων ενσωματωμένες στις υπηρεσίες του οργανισμού και αυτές οι ρυθμίσεις ασφαλείας να είναι κατανοητές και φιλικές προς το χρήστη, είτε πρόκειται για υπάλληλο, είτε για Πελάτη, ή εξωτερικό Συνεργάτη ή Προμηθευτή. Επίσης, πρέπει να είναι εξ’ ορισμού (by default) ενεργοποιημένες οι ρυθμίσεις στην ύψιστη προστασία απορρήτου και πάντα σύμφωνα με τις αρχές της ελαχιστοποίησης και της νομιμότητας του σκοπού.
Για παράδειγμα, στις “φόρμες επικοινωνίας” που υπάρχουν συνήθως στον ιστότοπο ενός οργανισμού, να συλλέγονται αυστηρά και μόνο τα δεδομένα που είναι απαραίτητα για τον νόμιμο σκοπό της επικοινωνίας και όχι περισσότερα.

Ασφάλεια Επεξεργασίας:

ο οργανισμός που τηρεί και διαχειρίζεται προσωπικά δεδομένα οφείλει να εφαρμόζει τα απαραίτητα συστήματα, πολιτικές και διαδικασίες που εξασφαλίζουν τα απαιτούμενα επίπεδα προστασίας των δεδομένων αυτών, συμπεριλαμβανομένης της προστασίας από την παράνομη πρόσβαση κι επεξεργασία, τόσο από το προσωπικό του οργανισμού, όσο και από τρίτους, την κατά λάθος απώλεια, καταστροφή ή αλλοίωσή τους. Οφείλει επίσης να διασφαλίζει ότι τα δεδομένα που τηρεί είναι ορθά και επίκαιρα (Άρθρο 32).

Γνωστοποίηση παραβίασης εντός 72 ωρών:

Σε περίπτωση παραβίασης ασφαλείας που αφορά προσωπικά δεδομένα, οι οργανισμοί οφείλουν να ενημερώνουν εντός 72 ωρών – από τη στιγμή που αποκτούν γνώση του γεγονότος – τις αρμόδιες Αρχές.
Υπό προϋποθέσεις, οφείλουν να ενημερώνουν και τα ίδια τα άτομα (Υποκείμενα) των οποίων τα προσωπικά δεδομένα έχουν τεθεί σε κίνδυνο. Οφείλουν επίσης να τηρούν αρχείο με όλα τα περιστατικά παραβίασης ασφαλείας προσωπικών δεδομένων (Άρθρα 33, 34).
Εκτίμηση αντικτύπου:
οι οργανισμοί οφείλουν να διεξάγουν μελέτες εκτίμησης αντικτύπου, με σκοπό την εκτίμηση των επιπτώσεων της επεξεργασίας προσωπικών δεδομένων, τον εντοπισμό των κινδύνων ασφάλειας και τον σχεδιασμό της αντιμετώπισης αυτών (Άρθρα 35, 36).

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer, εν συντομία “DPO”):
οι οργανισμοί οφείλουν υπό προϋποθέσεις να ορίσουν έναν Υπεύθυνο Προστασίας Δεδομένων. Ο ρόλος του είναι να παρακολουθεί τη διαρκή και επαρκή συμμόρφωση του οργανισμού με τον νόμο, ενώ παράλληλα αποτελεί τον σύνδεσμο του οργανισμού με την αρμόδια εποπτική Αρχή.

Υποχρέωση για διορισμό DPO έχουν:
α) όσοι διενεργούν μεγάλης κλίμακας συστηματική επεξεργασία και παρακολούθηση,
β) όσοι διενεργούν μεγάλης κλίμακας επεξεργασία ευαίσθητων προσωπικών δεδομένων του Άρθρου 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα του Άρθρου 10, και
γ) το δημόσιο. Ο DPO δύναται να είναι μέλος του προσωπικού υπό προϋποθέσεις, ή εξωτερικός Συνεργάτης, με δελτίο παροχής υπηρεσιών (Άρθρα 37, 38, 39).

Εκπαίδευση προσωπικού:
οι οργανισμοί οφείλουν να εκπαιδεύσουν το προσωπικό τους στο πως να εφαρμόζει καθημερινά την πολιτική προστασίας προσωπικών δεδομένων



Read more

Σχόλια

Δημοφιλείς αναρτήσεις από αυτό το ιστολόγιο

Ο ρόλος του νέου επιχειρηματία ασφαλιστή, πέρα από την ψηφιοποίηση

Τι είναι τα Ασφαλιστικά cluster

Οι Αλλαγές στις επιχειρήσεις ασφαλιστικής διαμεσολάβησης μέχρι το 2030