28.11.17

Τι πρέπει να ξέρουν πολίτες και επιχειρήσεις για το νέο Κανονισμό Προστασίας Δεδομένων

Ο νέος κανονισμός θα ισχύει από τα τέλη Μαρτίου του 2018

Νέα δεδομένα στα… προσωπικά δεδομένα έρχονται μέσα στο επόμενο έτος. Γιατί από τον Μάρτιο του 2018 αλλάζει ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων.
Οι αλλαγές αφορούν και επηρεάζουν όλους τους πολίτες αλλά και μεγάλο αριθμό επιχειρήσεων και οργανισμών που επεξεργάζονται προσωπικά στοιχεία.
Τι πρέπει λοιπόν να γνωρίζουν πολίτες και επιχειρήσεις:

Τι προβλέπει ο Γενικός Κανονισμός Προστασίας Δεδομένων

Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων -οι περισσότεροι πλέον αναφέρονται σε αυτόν με το ακρωνύμιο GDPR- περιγράφει έναν τρόπο για την αναγνώριση και προστασία των δεδομένων προσωπικού χαρακτήρα.
Ο GDPR μας δίνει τους βασικούς ορισμούς, ώστε να μπορέσουμε αρχικά να αναγνωρίσουμε ποια είναι δεδομένα προσωπικού χαρακτήρα, δηλαδή κάθε πληροφορία που αφορά φυσικό πρόσωπο, με βάση την οποία ταυτοποιείται/αναγνωρίζεται.
Επιπλέον, καθορίζει σε ποιες περιπτώσεις επιτρέπεται αυτά τα δεδομένα να τα έχουμε, χρησιμοποιούμε, αποθηκεύουμε, διαγράφουμε, μεταβιβάζουμε και εν γένει επεξεργαζόμαστε και τέλος, με βάση ποιον τρόπο μπορούμε να τα προστατεύουμε.

Ποιες επιχειρήσεις και οργανισμούς αφορά (Τράπεζες, ασφαλιστικούς οργανισμούς κ.ά)

Ειδικά για το GDPR θα ήταν λάθος να πούμε ότι αφορά αποκλειστικά συγκεκριμένους τύπους επιχειρήσεων ή οργανισμών. Στην πραγματικότητα, το αν πρέπει να εφαρμοστεί από έναν οργανισμό ο GDPR, εξαρτάται από το αν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα ή όχι. Αν η απάντηση σε αυτή την ερώτηση είναι ναι, είτε είναι σχολείο, είτε είναι τράπεζα, πρέπει να συμμορφωθεί προς τις απαιτήσεις του κανονισμού, μέχρι τις 25.05.2018.

Γιατί η εφαρμογή του πρέπει να ενδιαφέρει κάθε ενεργό πολίτη; Τι έχει να «κερδίσει»; Από τι θα προστατεύεται; Το σημαντικότερο, τι θα αλλάξει σε σχέση με σήμερα; Πρακτικά παραδείγματα.

Αν κάποιον πρέπει να ενδιαφέρει πρωτίστως είναι τον κάθε πολίτη. Τα δεδομένα που προστατεύονται χάρις στον κανονισμό, είναι πληροφορίες που αφορούν τον ίδιο. Είναι όλα τα στοιχεία τα οποία περιγράφουν ποιος είναι και τι κάνει καθένας από εμάς.
Για παράδειγμα, προσωπικό δεδομένο είναι τα ψώνια που κάνω στο supermarket -και οι 15 σοκολάτες που αγόρασα, για παράδειγμα σοκολάτες υγείας με στέβια- και το ταξίδι που έκανα την προηγούμενη εβδομάδα. Με βάση τα δεδομένα αυτά, θα μπορούσε κάποιος να με διαχωρίσει από άλλους ανθρώπους ή να τα χρησιμοποιήσει προκειμένου να προσπαθήσει να με επηρεάσει ή να προωθήσει κάποιο προϊόν. Αν δεν του έχω δώσει αυτό το δικαίωμα εν γνώσει μου, δεν πρέπει να το κάνει. Είναι στέρηση ενός μέρους της ελευθερίας μου.
Το πρόβλημα με τα προσωπικά δεδομένα, ειδικά τώρα με την εξέλιξη της τεχνολογίας, είναι ότι δεν είναι άμεσα αντιληπτό από εμάς. Αν ήταν πιο ξεκάθαρο πόσο συχνά μοιραζόμαστε τα προσωπικά μας στοιχεία εν αγνοία μας, νομίζω ότι θα είχαμε όλοι μας πολύ διαφορετικές αντιδράσεις.

Παράδειγμα χρήσης δεδομένων προσωπικού χαρακτήρα χωρίς άδεια:

Φανταστείτε να περπατάτε στο δρόμο και να διασταυρωθείτε με έναν άλλο άνθρωπο, ο οποίος σας χαμογελάει. Συνειδητοποιείτε ότι δεν γνωρίζεστε, οπότε δεν κάνετε κάτι. Παρόλα αυτά, συνεχίζει να έρχεται προς το μέρος σας, λέει το όνομά σας και ότι προχτές πήρατε 15 σοκολάτες υγείας με στέβια από το σουπερμάρκετ και αν θα θέλατε να πάρετε και μερικές ακόμα που είναι σε προσφορά ή αν θέλετε να πάρετε ένα πρόγραμμα δίαιτας, γιατί 60 σοκολάτες το μήνα είναι πολλές για την ηλικία και το φύλο σας. Σκεφτείτε πόσο άβολα θα νιώθατε με μια τέτοια συμπεριφορά.

Ποια θεωρούνται προσωπικά δεδομένα και τι σημαίνει επεξεργασία προσωπικών δεδομένων

Δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αφορά φυσικό πρόσωπο, με βάση την οποία ταυτοποιείται/αναγνωρίζεται. Αυτό μπορεί να είναι το όνομα, επώνυμο, ο ΑΦΜ, ο ΑΜΚΑ, καθώς και οποιαδήποτε άλλη πληροφορία μέσα από την οποία μπορεί να εξακριβωθεί, άμεσα ή έμμεσα η ταυτότητα ενός ατόμου.
Σε συγκεκριμένες περιπτώσεις και υπό προϋποθέσεις, επιτρέπεται για τα δεδομένα αυτά η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Όλες οι παραπάνω ενέργειες ονομάζονται επεξεργασία προσωπικών δεδομένων.

Πώς μπορούν επιχειρήσεις και οργανισμοί να συμμορφωθούν με τους νέους κανονισμούς

Τα βήματα είναι:
Εκπαίδευση: Καθώς ο κανονισμός απαιτεί συγκεκριμένες γνώσεις από διαφορετικά αντικείμενα (νομικά, πληροφορικής, ασφάλειας και άλλα), απαιτείται ενημέρωση από εξειδικευμένους επιστήμονες, οι οποίοι βοηθούν τους συμμετέχοντες να κατανοήσουν τις απαιτήσεις και τους ρόλους τους στα πλαίσια του κανονισμού.
Πιστοποίηση γνώσεων: Για την υλοποίηση και την συνεχιζόμενη συμμόρφωση προς τις απαιτήσεις του GDPR, χρειάζεται η απασχόληση στελεχών που αποδεδειγμένα έχουν τις κατάλληλες γνώσεις.
Έλεγχος και πιστοποίηση της εφαρμογής των απαιτήσεων του υπόχρεου οργανισμού.
Το θέμα του νέου κανονισμού προσωπικών δεδομένων αποτέλεσε αντικείμενο μεγάλου συνεδρίου που διοργανώθηκε στην Ελλάδα και τις απαντήσεις στο θέμα των αλλαγών έδωσε στο Αθηναϊκό Πρακτορείο η διευθύντρια Εταιρικής Διακυβέρνησης της TÜV AUSTRIA HELLAS, Αργυρώ Χατζοπούλου.