Όλοι το συζητούν, αλλά λίγοι είναι αυτοί που ξέρουν το σύνολο των προβλέψεων του νέου Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR). Οι εμπλεκόμενοι πολλοί, από τους καταναλωτές μέχρι τις επιχειρήσεις, πάσης φύσεως. Όσοι δεν γνωρίζαμε τις λεπτομέρειες του Νέου Γενικού Κανονισμού φαίνεται ότι ενημερωθήκαμε μέσω μιας καταιγίδας ηλεκτρονικών μηνυμάτων που κατέφθασαν κατά ριπάς στα email μας την 25η Μαΐου, πρώτη ημέρα εφαρμογής του κανονισμού, ζητώντας τη συναίνεσή μας. Συναίνεση όμως για πιο πράγμα ακριβώς;

Το marketpost.gr δημιούργησε έναν χρηστικό οδηγό που εξηγεί τις λεπτομέρειες του Νέου Γενικού Κανονισμού και με τη βοήθεια ειδικών περιγράφει κάθε λεπτομέρεια, που θα πρέπει να γνωρίζει κανείς είτε ως καταναλωτής, είτε ως επιχείρηση. Με τη βοήθεια ειδικών οι οποίοι απαντούν σε όλες τις απορίες γύρω από το Νέο Γενικό Κανονισμό, το marketpost.gr επιχειρεί να σας μυήσει στον κόσμο των δεδομένων, με ασφάλεια και σαφήνεια. 

Ο κανονισμός γενικής προστασίας δεδομένων (GDPR) αντικαθιστά την υφιστάμενη νομοθεσία για την επεξεργασία δεδομένων από φορείς επικοινωνίας (διαφημιστικές, media shops, εταιρείες PR, marketing και ψηφιακής επικοινωνίας). Το νέο πλαίσιο θα επηρεάζει τον τρόπο, με τον οποίο οι οργανισμοί/εταιρείες χρησιμοποιούν δεδομένα για την κατασκευή και την προβολή καμπανιών. Ωστόσο δεν αφορά μόνο τους παραπάνω κλάδους αλλά και το σύνολο των επιχειρήσεων, που διαχειρίζονται προσωπικά δεδομένα.

Σκοπός της εφαρμογής είναι η άρση των νομικών ασαφειών και της ανασφάλειας που δημιουργούσε το προηγούμενο νομικό πλαίσιο, η ενδυνάμωση θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, καθώς και η ομοιογενοποίηση του νομικού πλαισίου σε όλα τα κράτη-μέλη. Ο Κανονισμός 2016/679 έχει εφαρμογή σε όλους τους φορείς, είτε έχουν έδρα και δραστηριότητα σε χώρα της Ευρωπαϊκής Ένωσης είτε όχι, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς Ευρωπαίους πολίτες.

Τι είναι ο DPO (Data Protection Officer) – Υπεύθυνος Προστασίας Δεδομένων

Στην περίπτωση που η επιχείρηση δραστηριοποιείται στο κομμάτι της επεξεργασίας δεδομένων, όπου απαιτούνται τακτική και συστηματική παρακολούθηση των καταναλωτών σε μεγάλη κλίμακα ή περιλαμβάνονται ειδικές κατηγορίες δεδομένων, που ενδέχεται να σχετίζονται με ποινικές καταδίκες και αδικήματα τότε θα πρέπει να οριστεί ένας DPO (Data Protection Officer). Οι οργανισμοί που δραστηριοποιούνται στον τομέα της υγείας, σε θέματα πολιτικής επικοινωνίας ή που συμμετέχουν σε συνδικαλιστικές οργανώσεις ή θρησκευτικά κινήματα, θα πρέπει να συμβουλεύονται τον DPΟ και να τεκμηριώνουν πάντα τις αποφάσεις τους.

Ο DPO είναι υπάλληλος ή εξωτερικός συνεργάτης;

Είτε το ένα είτε το άλλο. Ο DPO μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία (εσωτερικός υπεύθυνος προστασίας δεδομένων) ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών (εξωτερικός συνεργάτης). Σε κάθε περίπτωση, μπορεί να συνεπικουρείται από ομάδα, εφόσον απαιτείται. Συνιστάται δε να είναι εγκατεστημένος εντός ΕΕ, ανεξάρτητα από το εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι ή όχι εγκατεστημένοι στην ΕΕ.

Τι επαγγελματικά προσόντα θα πρέπει να έχει ο DPO; Προβλέπεται σχετική πιστοποίηση;

Ο DPO διορίζεται βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων του. Το αναγκαίο επίπεδο εμπειρογνωσίας θα πρέπει να καθορίζεται ανάλογα με τις πράξεις επεξεργασίας δεδομένων, που διενεργούνται και από την προστασία την οποία απαιτούν τα δεδομένα προσωπικού χαρακτήρα που υφίστανται επεξεργασία.
Παράλληλα, ο DPΟ πρέπει να έχει γνώση του τομέα δραστηριότητας του οργανισμού ή φορέα στον οποίο απασχολείται αλλά και των τεχνολογιών πληροφορίας και ασφάλειας των δεδομένων.

Ποια είναι τα καθήκοντα του DPO;

Ο DPO προάγει την κουλτούρα της προστασίας προσωπικών δεδομένων εντός του οργανισμού ή φορέα.

Τα ελάχιστα καθήκοντα του DPO είναι τα ακόλουθα:

  • Να ενημερώνει και να συμβουλεύει τον οργανισμό και τους υπαλλήλους του σχετικά με τις υποχρεώσεις τους, που απορρέουν από τον Κανονισμό και άλλες διατάξεις περί προστασίας δεδομένων.
  • Να παρακολουθεί την εσωτερική συμμόρφωση με τον Κανονισμό και άλλες διατάξεις περί προστασίας δεδομένων (π.χ. προσδιορισμός και διαχείριση δραστηριοτήτων επεξεργασίας, εκπαίδευση προσωπικού, διενέργεια εσωτερικών ελέγχων).
  • Να παρέχει συμβουλές για την εκτίμηση αντικτύπου και να παρακολουθεί την υλοποίησή της.
  • Να είναι το πρώτο σημείο επαφής για τις εποπτικές αρχές και τα υποκείμενα των δεδομένων (εργαζόμενοι, πελάτες κ.λπ.) και να συνεργάζεται με την εποπτική αρχή.

Σε περίπτωση που μια επιχείρηση δεν υποχρεούται να ορίσει DPO αλλά επιθυμεί να το κάνει, τι απαιτείται;

Κάθε οργανισμός μπορεί να ορίσει DPO, ακόμα και αν δεν υποχρεούται. Σε αυτές τις περιπτώσεις μάλιστα ενθαρρύνεται ο οικειοθελής ορισμός DPO. Πρακτικά ισχύουν ακριβώς τα ίδια δεδομένα με εκείνα για τις επιχειρήσεις όπου είναι υποχρεωτικός ο ορισμός τους.

Μπορεί να οριστεί ένας DPO για περισσότερους φορείς ή οργανισμούς;

Ναι. Όμιλος επιχειρήσεων ή περισσότεροι δημόσιοι φορείς, λαμβάνοντας υπόψη το μέγεθος και την οργανωτική τους δομή, μπορούν να ορίσουν έναν μόνο DPO, υπό την προϋπόθεση να είναι διαθέσιμος και εύκολα προσβάσιμος σε κάθε εγκατάσταση ή φορέα είτε με φυσική παρουσία στις ίδιες εγκαταστάσεις με τους υπαλλήλους, είτε μέσω ανοικτής τηλεφωνικής γραμμής ή άλλου ασφαλούς μέσου επικοινωνίας και σε γλώσσα που χρησιμοποιούν οι ενδιαφερόμενες εποπτικές αρχές και τα οικεία υποκείμενα των δεδομένων.

Πώς μπορεί να αποκτηθεί η συναίνεση;

Πρέπει να τηρούνται από τον υπεύθυνο επεξεργασίας λεπτομερή αρχεία της συγκατάθεσης έτσι ώστε ο DPΟ να μπορεί να αποδείξει τη συμμόρφωσή του. Η συγκατάθεση πρέπει να διαχωρίζεται από άλλες προσπάθειες επεξεργασίας δεδομένων, όπως τους όρους και τις προϋποθέσεις και πρέπει να «διακρίνεται σαφώς από άλλα θέματα, σε κατανοητή και εύκολα προσιτή μορφή, χρησιμοποιώντας σαφή και απλή γλώσσα».

Η Συγκατάθεση

Η συγκατάθεση του προσώπου/πελάτη μπορεί να αποσυρθεί ανά πάσα στιγμή, και αυτή η απόσυρση θα πρέπει να είναι τόσο εύκολη όσο και η “παροχή” της και φυσικά πρέπει να παρέχεται ελεύθερα.

Τα Παιδιά

Η γονική συναίνεση πρέπει να λαμβάνεται για τα παιδιά ηλικίας κάτω των 16 ετών, ενώ οι χώρες – μέλη μπορούν να καθορίσουν και ένα κατώτατο όριο π.χ. τα 13 έτη.

Πληροφορίες για τους καταναλωτές

Οι υπεύθυνοι επεξεργασίας δεδομένων υποχρεούνται να παρέχουν λεπτομερείς πληροφορίες σχετικά με τα δεδομένα επεξεργασίας δεδομένων στα πρόσωπα στα οποία αναφέρονται τα δεδομένα μόλις συλλεχθούν τα επιμέρους προσωπικά data. Θα πρέπει να είναι προφανές στους καταναλωτές πού ακριβώς θα αναζητήσουν και θα βρουν αυτές τις πληροφορίες και θα πρέπει τουλάχιστον περιλαμβάνουν στοιχεία όπως ποιος επεξεργάζεται τα δεδομένα, πώς να διαμαρτύρονται για την παραβίασή τους κ.λ.π.

Παραβίαση δεδομένων

Εάν η παραβίαση δεδομένων προκαλεί ένα αποτέλεσμα «υψηλού κινδύνου», ο υπεύθυνος επεξεργασίας δεδομένων έχει υποχρέωση κοινοποίησης στις εποπτικές αρχές εντός 72 ωρών (3 ημερών). Ένας επεξεργαστής δεδομένων έχει υποχρέωση να ειδοποιεί τον ελεγκτή χωρίς καμμία απολύτως αδικαιολόγητη καθυστέρηση.

Εκτίμηση επιπτώσεων
Ο οδηγός είναι σαφής: “Mπορεί να έχετε υποχρέωση να προβείτε σε εκτίμηση επιπτώσεων για την προστασία των δεδομένων εάν η επεξεργασία είναι πιθανό να οδηγήσει σε «υψηλό κίνδυνο».”

Δικαιώματα των καταναλωτών (των υποκειμένων των δεδομένων)

Η θέση των καταναλωτών ενισχύεται. Οι καταναλωτές έχουν νέα δικαιώματα όπως το δικαίωμα διαγραφής, το δικαίωμα περιορισμού της επεξεργασίας, της φορητότητας των δεδομένων και το δικαίωμα να μην υπόκεινται σε αυτοματοποιημένη ατομική λήψη αποφάσεων, συμπεριλαμβανομένης της μορφοποίησης. Άλλα υφιστάμενα δικαιώματα ενισχύονται, όπως τα δικαιώματα ενημέρωσης, πρόσβασης, διόρθωσης και αμφισβήτησης.