Τι είναι ο Γενικός Κανονισμός Προστασίας Δεδομένων - GDPR

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation/GDPR, https://eur-lex.europa.eu/legal-content/ EL/TXT/?uri=celex%3A32016R0679) («Κανονισμός») περιλαμβάνει το νέο νομικό πλαίσιο για την προστασία δεδομένων. Δημοσιεύθηκε στις 27 Απριλίου 2016 και τέθηκε σε εφαρμογή από τις 25 Μαΐου 2018. Ο Κανονισμός έχει άμεση εφαρμογή σε όλα τα κράτη-μέλη της Ευρω- παϊκής Ένωσης και δεν χρειάζεται τα τελευταία να ενσωματώσουν τις διατάξεις του στην εθνική νομοθεσία τους. Στην Ελλάδα αναμένεται η ψήφιση νόμου για την προστασία δεδομένων προσωπικού χαρακτήρα, το δε νομοσχέδιο είναι δημοσιευμένο στη διεύθυνση

http://www.opengov.gr/ministryofjustice/wp-content/uploads/ downloads/2018/02/sxedio_nomou_prostasia_pd.pdf.

Με τον νέο νόμο θα καταργηθεί ο ισχύων Νόμος 2472/1997 και θα τεθούν σε ισχύ διατάξεις που συμπληρώνουν τον Κανονισμό και εξει- δικεύουν ορισμένες από τις υποχρεώσεις που θεσπίζει ο Κανονισμός.


Τι είναι προσωπικά Δεδομένα.

Σύμφωνα με τη νομοθεσία, προσωπικά δεδομένα είναι κάθε άμεση πλη- ροφορία σχετική με ένα φυσικό πρόσωπο, εφόσον αυτό το φυσικό πρό- σωπο ταυτοποιείται ή μπορεί να ταυτοποιηθεί (δηλαδή ακόμη και εάν δεν προσδιορίζεται ποιο είναι το πρόσωπο που αφορά η πληροφορία, αλλά αυτό μπορεί να συναχθεί έμμεσα συνδυάζοντας άλλες πληροφορίες). Ο νέος Κανονισμός διευρύνει τη διαδικασία και στην έμμεση πληροφόρηση.

Γιατί είναι σημαντική η προστασία.

Η προστασία των προσωπικών δεδομένων είναι σημαντική διότι εξισορ- ροπεί το δικαίωμα των ατόμων στην ιδιωτικότητα και την ανάγκη των οργανισμών και των επαγγελματιών να επεξεργάζονται δεδομένα για επαγγελματικούς σκοπούς. Αφενός τα άτομα πρέπει να απολαύουν του δικαιώματος στην ιδιωτικότητα στον βαθμό που επιθυμούν και σε κάθε περίπτωση να έχουν τον έλεγχο των δεδομένων τους και να γνωρίζουν ποιοι τα επεξεργάζονται και για ποιο σκοπό. Αφετέρου οι οργανισμοί και οι επαγγελματίες πρέπει να χρησιμοποιούν προσωπικά δεδομένα υπό τις προϋποθέσεις της νομοθεσίας για να ασκούν την επαγγελματική τους δραστηριότητα, να παρέχουν τις υπηρεσίες τους, να συμμορφώνονται με τις υποχρεώσεις τους και να εξυπηρετούν τα συμφέροντά τους.

Τι σημαίνει παραβίαση δεδομένων προσωπικού χαρακτήρα.

Παραβίαση δεδομένων προσωπικού χαρακτήρα συντελείται όταν υπάρχει παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, χωρίς άδεια, γνωστοποίηση ή πρό- σβαση δεδομένων προσωπικού χαρακτήρα που αποτέλεσαν αντικείμενο επεξεργασίας. Η ασφάλεια των ειδικών κατηγοριών δεδομένων, στα οποία περιλαμβάνονται, είναι μέγιστης σημασίας για τα συμφέροντα των υποκειμένων.

Επομένως, είναι σημαντικό να λαμβάνεται υπόψη ότι η προστασία των δεδομένων δεν αφορά μόνο την προστασία της εμπιστευτικότητάς τους (αποτροπή διαρροής), αλλά και της ακεραιότητάς τους (αποτροπή της αλλοίωσής τους) και της διαθεσιμότητάς τους (αποτροπή απώλειας). Ο τύπος παραβίασης (που έχει συμβεί) θα πρέπει να λαμβάνεται υπόψη για να προσδιοριστεί η έκταση του κινδύνου που προκαλείται από αυτήν την παραβίαση.

Ενδεικτικά παραδείγματα παραβίασης:

Στοχευμένη έκθεση ή παράπλευρη απώλεια

Απώλεια ηλεκτρονικών δεδομένων με αρχεία προσωπικών δεδομένων Διασφάλιση server

Διασφάλιση φυσικών αρχείων και χώρων

Τι σημαίνει επεξεργασία προσωπικών δεδομένων.

Σύμφωνα με τη νομοθεσία για την προστασία προσωπικών δεδομένων, επεξεργασία προσωπικών δεδομένων σημαίνει γενικά κάθε πράξη ή σειρά πράξεων που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα με ή χωρίς τη χρήση αυτομα- τοποιημένων μέσων. Τέτοιες πράξεις μπορεί να περιλαμβάνουν τη συλλογή, την καταχώριση, την οργάνωση, τη διάρθρωση, την απο- θήκευση, την προσαρμογή ή τη μεταβολή, την ανάκτηση, την ανα- ζήτηση πληροφοριών, τη χρήση, την κοινοποίηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, τη συσχέτιση ή τον συνδυασμό, τον περιορισμό, τη διαγραφή ή την καταστροφή δεδομένων.

Επομένως, όταν τηρείται ένα αρχείο, ακόμη και εάν δεν γίνεται χρήση των δεδομένων που περιλαμβάνονται σε αυτό, πρόκειται για «επεξεργασία δεδομένων» καθώς η τήρηση του αρχείου προϋποθέτει καταχώριση, οργάνωση και αποθήκευση των δεδομένων.

Ποιες είναι οι γενικές αρχές που διέπουν την επεξεργασία προσωπικώμ δεδομένων.

Οι επιχειρήσεις πρέπει να διασφαλίσουν ότι η επεξεργασία των προσωπικών δεδομένων συμμορφώνεται με τις έξι ακόλουθες γενικές αρχές που ορίζονται από τη νομοθεσία προστασίας των προσωπικών δεδομένων:

Νομιμότητα, δικαιοσύνη και διαφάνεια - Τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε νόμιμη, δίκαιη και διαφανή επεξεργασία. Περιορισμός του σκοπού - Τα δεδομένα προσωπικού χαρακτήρα πρέπει να συλλέγονται για συγκεκριμένους, σαφείς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο ασυμβίβαστο προς τους σκοπούς αυτούς (με εξαιρέσεις για δημόσιο συμφέρον, έννομο συμφέρον, διεκδίκηση αξιώσεων, εκκρεμοδικία, ιστορικούς ή στατιστικούς σκοπούς).

Ελαχιστοποίηση δεδομένων - Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι επαρκή, συναφή και να περιορίζονται σε όσα είναι απαραίτητα σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.

Ακρίβεια / ποιότητα δεδομένων - Τα δεδομένα προσωπικού χαρα- κτήρα πρέπει να είναι ακριβή και, όπου χρειάζεται, να επικαιροποιούνται. Ανακριβή προσωπικά δεδομένα θα πρέπει να διαγράφονται ή να διορθώνονται χωρίς καθυστέρηση.

Διατήρηση - Τα δεδομένα προσωπικού χαρακτήρα πρέπει να φυ- λάσσονται σε αναγνωρίσιμη μορφή για όχι περισσότερο από ό,τι είναι απαραίτητο (με εξαιρέσεις για δημόσιο συμφέρον, έννομο συμφέρον, διεκδίκηση αξιώσεων, εκκρεμοδικία, ιστορικούς ή στατιστικούς σκοπούς).

Ακεραιότητα και εμπιστευτικότητα - Τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που να διασφαλίζει την κατάλληλη ασφάλεια των προσωπικών δεδομένων, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και κατά τυχαίας καταστροφής ή ζημίας, χρησιμοποιώντας κατάλληλα τεχνικά ή οργανωτικά μέτρα

Ποιος είναι ο Υπεύθυνος της Επεξεργασίας.

Ο Υπεύθυνος της Επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο το οποίο καθορίζει, μεμονωμένα ή μαζί με άλλους, τους σκοπούς και τα μέσα της επεξεργασίας προσωπικών δεδομένων της εταιρίας

Ποιος είναι ο εκτελών την Επεξεργασία.

Ο Εκτελών την Επεξεργασία είναι ένα φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Υπεύθυνου Επεξεργασίας. Ενδεικτικά, εκτελούντες την επεξεργα- σία μπορεί να είναι εξωτερικοί συνεργάτες που παρέχουν υπηρεσίες/ συστήματα πληροφορικής που χρησιμοποιούνται για τη διαβίβαση ή αποθήκευση προσωπικών δεδομένων

Ποιος είναι ο Υπεύθυνος Προστασίας Δεδομένων.

Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) ορίζεται και αναφέρεται στη διοίκηση της εταιρίας και είναι αρμόδιος να επιβλέπει την εφαρ- μογή της στρατηγικής και των πολιτικών για την προστασία των δε- δομένων ώστε να διασφαλίζεται η συμμόρφωση με την ισχύουσα νο- μοθεσία για την προστασία των προσωπικών δεδομένων. Αποτελεί δε το σημείο επαφής με την ανεξάρτητη αρχή προστασίας προσωπικών δεδομένων.

Ποια δεδομένα αποτελούν «ειδικές κατηγορίες δεδομένων».

Η επεξεργασία ορισμένων κατηγοριών προσωπικών δεδομένων μπορεί να έχει σημαντικό αντίκτυπο στα δικαιώματα των ατόμων στην ιδιωτικότητα και, άρα, πρέπει να προστατεύονται με αυξημένα μέτρα ασφάλειας σε σχέση με άλλες κατηγορίες προσωπικών δεδομένων:

Φυλετική ή εθνοτική καταγωγή

Πολιτικά φρονήματα

Ακαδημαϊκά πτυχία – επίπεδο μόρφωσης

Θρησκευτικές πεποιθήσεις

Γενετικά ή βιομετρικά δεδομένα

Υγεία και σεξουαλική ζωή

Οικονομικά στοιχεία

Διαδικτυακά στοιχεία π.χ. IP addresses, cookies κ.λπ.

Οικογενειακή κατάσταση ή / και συνήθειες

Εργασία

Για δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα επεξεργασία διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής ή υπό την προϋπόθεση ότι η νομο- θεσία προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων (η διαδικασία θα προβλεφθεί σε ειδικό νόμο).

Επομένως, δεν μπορούν να ζητούνται αδιακρίτως ποινικά μητρώα συ- νεργατών ή εργαζομένων, παρά μόνο υπό προϋποθέσεις και συγκεκρι- μένους σκοπούς. Θα πρέπει να δοθεί ιδιαίτερη προσοχή στο γεγονός ότι η νομική βάση της επεξεργασίας των ειδικών κατηγοριών δεδομένων διαφέρει από τη νομική βάση των μη ειδικών κατηγοριών

Ποτε επιτρέπεται η επεξεργασία ειδικών κατηγοριών δεδομένων.

Η επεξεργασία ειδικών κατηγοριών δεδομένων επιτρέπεται υπό την προϋπόθεση ότι η επεξεργασία γίνεται με ρητή συγκατάθεση του υποκειμένου

Ποιο είναι το υποκείμενο των δεδομένων.

Το Υποκείμενο των Δεδομένων είναι το φυσικό πρόσωπο το οποίο ταυτοποιείται ή μπορεί να ταυτοποιηθεί και στο οποίο αναφέρονται τα προσωπικά δεδομένα που υπόκεινται σε επεξεργασία.

Υποκείμενα των Δεδομένων μπορεί να είναι οι πελάτες μας, των οποί- ων τα στοιχεία επεξεργαζόμαστε εμείς ή η ασφαλιστική εταιρία, οι εργαζόμενοι, οι συνεργάτες και γενικώς κάθε φυσικό πρόσωπο. Τα νομικά πρόσωπα, δηλαδή οι εταιρείες ή άλλοι φορείς, δεν αποτελούν «υποκείμενα δεδομένων» και δεν υπάγονται στη νομοθεσία περί προ- στασίας προσωπικών δεδομένων.

Ποια είναι τα δικαιώματα του Υποκειμένου των δεδομένων.

Το Υποκείμενο των Δεδομένων έχει τα ακόλουθα δικαιώματα σύμφωνα με το νομικό πλαίσιο ΓΚΠΔ:

Δικαίωμα πρόσβασης - Δικαίωμα να λαμβάνει πληροφορίες για το εάν γίνεται επεξεργασία δεδομένων και δικαίωμα πρόσβασης σε αυτά. Δικαίωμα ενημέρωσης σχετικά με την επεξεργασία αυτή (ποιος, για ποιο σκοπό, παραλήπτες, περί- οδος διατήρησης κ.λπ.).

Δικαίωμα στη διόρθωση - Δικαίωμα διόρθωσης ανακριβών προσωπικών δεδομένων και συμπλήρωσης ελλιπών πληροφοριών.

Δικαίωμα διαγραφής (Δικαίωμα στη λήθη) - Δικαίωμα να ζητείται η διαγραφή οποιωνδήποτε δεδομένων που αφορούν το υποκείμενο υπό ορισμένες προϋποθέσεις (δεδομένα που δεν είναι πλέον απαραίτητα, ανάκληση συγκατάθεσης, δεδομένα που έχουν υποβληθεί σε παράνομη επεξεργασία).

Δικαίωμα Περιορισμού της Επεξεργασίας - όταν αμφισβητείται η ακρίβεια των δεδομένων, η επεξεργασία είναι παράνομη, τα δεδομένα δεν χρειάζονται πλέον στον Υπεύθυνο Επεξεργασίας, το Υποκείμενο των Δεδομένων έχει αντιταχθεί στην αυτοματοποιημένη επεξεργασία.

Δικαίωμα στη φορητότητα των δεδομένων - Δικαίωμα αίτησης διαβίβασης δεδομένων προσωπικού χαρακτήρα σε άλλον Υπεύθυνο Επεξεργασίας σε δομημένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή.

Δικαίωμα ενημέρωσης κατά την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα και διατύπωσης αντιρρήσεων όταν η απόφαση βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, και η απόφαση αυτή παράγει έννομα αποτελέσματα ή επηρεάζει σημαντικά το υποκείμενο των δεδομένων. Δικαίωμα να ζητείται η ανθρώπινη παρέμβαση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα

. Η ασφάλεια στον κυβερνοχώρο.

Οι απειλές στον κυβερνοχώρο αυξάνονται καθημερινά και δεν περνάει μέρα που να μην υπάρχει μια ιστορία για κάποιο είδος παραβίασης ή κλοπής δεδομένων στις ειδήσεις. Όσοι από εμάς έχουμε στην ιδιοκτησία μας ή διευθύνουμε μια μικρή ή μεσαία επιχείρηση έχουμε συνειδητοποιήσει ότι η ασφάλεια στο διαδίκτυο είναι κάτι απόλυτα σημαντικό και ότι θα πρέπει να δίνουμε ιδιαίτερα μεγάλη προσοχή σ’ αυτά τα θέματα. Το πρόβλημα έγκειται στο να βρούμε από πού να ξεκινήσουμε.

Η ασφάλεια στον κυβερνοχώρο είναι για πολλούς κάτι ιδιαίτερα δύσκολο και φοβερά περίπλοκο. Δεν έχουν όλοι οι διευθυντές ή οι ιδιοκτήτες μιας μικρής επιχείρησης το απαραίτητο τεχνολογικό υπόβαθρο, έτσι ο δρόμος μέσα από την τεχνική ορολογία και οι αντικρουόμενες πληροφορίες μπορούν να αποτρέψουν ακόμα και τους πιο προσεκτικούς και συνειδητοποιημένους χρήστες σε θέματα ασφαλείας.

Εμείς έχουμε συντάξει αυτόν τον οδηγό ακριβώς γι’ αυτόν τον τύπο ανθρώπου. Αν είστε ένας πολυάσχολος διευθυντής και το πρόγραμμά σας είναι γεμάτο με την καθημερινή λειτουργία της επιχείρησής σας, σίγουρα δεν έχετε χρόνο για να γίνετε εμπειρογνώμονας σε όλες τις λεπτομέρειες σχετικά με την ασφάλεια στον κυβερνοχώρο. Ωστόσο, αν διαβάσετε αυτόν τον οδηγό και εργαστείτε από κοινού με την ομάδα των συνεργατών σας (συμπεριλαμβανομένων των ατόμων που απασχολείτε και τους εξωτερικούς συνεργάτες στους οποίους αναθέτετε την εγκατάσταση του hardware, του λογισμικού και των δικτύων σας) για να θέσετε σε εφαρμογή τα μέτρα ασφαλείας που σας έχουμε περιγράψει, τότε μπορεί να είστε βέβαιοι ότι θα κοιμάστε καλύτερα τα βράδια. Η ασφάλεια της επιχείρησής σας δεν είναι στην πραγματικότητα τόσο δύσκολη όσο την κάνουν να φαίνεται πολλοί ειδικοί. Με λίγη υπομονή και την κατάλληλη καθοδήγηση, μπορείτε να εφαρμόσετε μέτρα ασφαλείας παγκοσμίου κλάσης ακόμα και στις πιο μικρές εταιρείες.

Αναγκαιότητα και σκοπιμότητα της ασφάλειας της πληροφορίας.

Η ασφάλεια της πληροφορίας αποτελεί απαραίτητη προϋπόθεση για την επιχειρησιακή συνέχεια (business continuity), καθώς και για την εύρυθμη και σωστή λειτουργία της επιχείρησης, η οποία διαχειρίζεται σημαντικές πληροφορίες όπως, βιογραφικά υπαλλήλων, συμβάσεις, στοιχεία πελατών, λογαριασμούς τραπεζών, εταιρικές πληροφορίες, περιουσιακά στοιχεία, οικονομικές πληροφορίες, συμβόλαια, προσωπικά δεδομένα και άλλα σημαντικά έγγραφα. Είναι υποχρέωση της επιχείρησης να εφαρμόζει τους όρους ασφάλειας στο επίπεδο που επιβάλλεται από τον Ν.2472/97 - Κανονισμός ΕΕ/679/2016, ανάλογα με τη φύση και την κατηγορία των δεδομένων, και να φροντίζει για την ασφάλεια, την ακεραιότητα, την εγκυρότητα, τη διαθεσιμότητα και την αυθεντικότητατων δεδομένων και των ηλεκτρονικών εγγράφων που παράγονται, καταχωρούνται, τηρούνται και διαχειρίζονται.

Διασφαλίζοντας τις πληροφορίες της επιχείρησης, οικοδομείται παράλληλα μια νέα σχέση εμπιστοσύνης και αξιοπιστίας ανάμεσα στην εταιρεία και τον πελάτη.