Η Ευρώπη μπαίνει στην εποχή του GDPR – Το νέο πλαίσιο με τα προσωπικά δεδομένα

Αλλάζει το τοπίο από την 25η Μαΐου αναφορικά με τα προσωπικά δεδομένα  με τις εταιρίες και αλλά και τις δημόσιες αρχές να είναι υποχρεωμένες να συμμορφωθούν με τον νέο γενικό κανονισμό για την προστασία των Προσωπικών Δεδομένων (GDPR) της ΕΕ. .

Το GDPR έχει ιδιαίτερα αυστηρές διατάξεις και μάλιστα μπορούν να επιβάλλουν διοικητικά πρόστιμα που φθάνουν ακόμη και τα 20 εκατομμύρια ευρώ!

Tο πρόστιμο μπορεί να φθάσει το 4% του συνολικού ετήσιου κύκλου εργασιών του προηγούμενου έτους.

Πρόστιμα μπορεί να επιβάλλει η Αρχή Προστασίας Προσωπικών Δεδομένων και σε δημόσιους φορείς και αρχές, όπως άλλωστε έχει γίνει και στο παρελθόν, όπως άλλωστε προέβλεπε ο νόμος 2472/97.]

Τις τελευταίες εβδομάδες μάλιστα υπάρχουν συνεχείς ειδοποιήσεις για αλλαγές στους όρους χρήσης διαδικτυακών υπηρεσιών, από το Facebook και το Twitter. Το Facebook οφείλει να συμμορφωθεί παρόλο που η έδρα της εταιρείας βρίσκεται στις ΗΠΑ.

Τι είναι το GDPR

Κάθε εταιρία που χειρίζεται προσωπικά δεδομένα ατόμων του ζουν σε χώρα της ΕΕ είναι υποχρεωμένη να συμμορφωθεί με το νέο κανονισμό της Ευρωπαϊκής Ένωσης GDPR (EU General Data Protection Regulation). Πολύ απλά σημαίνει ότι θα επανεξετάσει και θα αναθεωρήσει όλες τις διαδικασίες διαχείρισης των πληροφοριών των ατόμων.

Αυτά μπορεί να αφορούν  την ταυτότητα του ατόμου, το φύλο του, την ηλικία του, τον τόπο διαμονής, την οικογενειακή του κατάσταση, την εργασιακή του σχέση αλλά και ακόμη πιο προσωπικές πληροφορίες όπως τις συνήθειές του, και τις προτιμήσεις του.

Η εταιρεία πρέπει να εξετάσει την αλλαγή ή και προσαρμογή των πληροφοριακών της συστημάτων για να συμμορφωθεί με όρους όπως:

Προσεκτική συγκέντρωση και ασφαλής αποθήκευση προσωπικών δεδομένων.

Καμία επεξεργασία των προσωπικών δεδομένων χωρίς συγκατάθεση

Κωδικοποίηση αυτών για αποφυγή αναγνώρισης ταυτότητας (profiling)

Αποφυγή συσχετισμού βάσεων δεδομένων (linked data)

Δυνατότητα διαγραφής ή εξαγωγής και παράδοσης των δεδομένων κατ’ απαίτηση.

Εφαρμογής της αρχής «τόσα δεδομένα όσα είναι απαραίτητα»

Διασφάλιση συμμόρφωσης στον Κανονισμό και από τις συνεργαζόμενες εταιρείες που διαχειρίζονται τα προσωπικά δεδομένα για λογαριασμό της.

Συγκατάθεση του ατόμου

Οι εταιρείες υποχρεώνονται να ζητούν τη συγκατάθεση του χρήστη για να συλλέξουν, να επεξεργαστούν ή να αποθηκεύσουν δεδομένα που τον αφορούν.

Εκτός από τις διαδικτυακές υπηρεσίες, αυτό αφορά και τις επιχειρήσεις που ηχογραφούν τις τηλεφωνικές κλήσεις με πελάτες τους. Το μήνυμα «η κλήση αυτή ενδέχεται να καταγραφεί για λόγους ποιότητας και ασφάλειας» πλέον δεν είναι αρκετό για την παροχή συγκατάθεσης. Και ο πελάτης μπορεί να ζητήσει ακύρωση και διαγραφή της ηχογράφησης ακόμα και αφότου αυτή έχει αρχίσει.

Το αίτημα για παροχή συγκατάθεσης δεν μπορεί πλέον να θάβεται κάτω από σελίδες όρων χρήσης και ακατανόητης νομικής ορολογίας, όπως συμβαίνει συχνά μέχρι σήμερα. Το αίτημα πρέπει να είναι απλό και «εύκολα ευδιάκριτο» και η σχετική φόρμα απαγορεύεται να είναι προσυμπληρωμένη.

Οι εταιρείες απαγορεύεται επίσης να προσφέρουν έξτρα υπηρεσίες με αντάλλαγμα τη συλλογή περισσότερων πληροφοριών, αφού αυτό δεν θεωρείται ελεύθερη συγκατάθεση.

Για χρήστες κάτω των 16 ετών απαιτείται πλέον η ρητή συγκατάθεση των κηδεμόνων, την οποία οι εταιρείες πρέπει να μπορούν να αποδείξουν.

Πρόσβαση και διαγραφή

Κάθε πολίτης της ΕΕ αποκτά το δικαίωμα να ζητά από τις διαδικτυακές επιχειρήσεις πλήρη αντίγραφα των αποθηκευμένων δεδομένων που τον αφορούν, καθώς και εξηγήσεις για το πώς χρησιμοποιούνται τα δεδομένα. Οι εταιρείες έχουν προθεσμία ενός μήνα για να παραδώσουν τα αντίγραφα σε εύκολα προσβάσιμη μορφή όπως τα email.

Οι χρήστες αποκτούν επίσης το δικαίωμα να ζητούν διαγραφή όλων των δεδομένων που τους αφορούν, εκτός αν συντρέχουν ειδικοί λόγοι, καθώς και να μεταφέρουν τα δεδομένα αυτά σε άλλες υπηρεσίες.

Ενόψει της ενεργοποίησης του GDPR η Facebook και η Google  διέθεσαν εργαλεία που επιτρέπουν στους χρήστες να κατεβάζουν τα δεδομένα τους.

Έμφαση στην ασφάλεια

Τα πρόστιμα για μη συμμόρφωση με τις απαιτήσεις του GDPR είναι μεγάλα –μπορούν να φτάσουν τα 20 εκατομμύρια δολάρια ή 4% επί του παγκόσμιου τζίρου μιας εταιρείας. Αυτό σημαίνει ότι μεγάλες επιχειρήσεις όπως το Facebook θα μπορούσαν να τιμωρηθούν με πρόστιμα δισεκατομμυρίων δολαρίων.

Οι εταιρείες οφείλουν να ενημερώνουν τους χρήστες εντός 72 ωρών σε περίπτωση υποκλοπής των δεδομένων, από τη στιγμή που το αντιληφθούν.

Ακόμα, το GDPR διευρύνει τον όρο «προσωπικά δεδομένα» ώστε να καλύπτει κάθε πληροφορία που αφορά ταυτοποιημένα ή ταυτοποιήσιμα φυσικά πρόσωπα. Ιδιαίτερα ευαίσθητα θεωρούνται τα δεδομένα που αφορούν τη φυσική, πνευματική, οικονομική και κοινωνική κατάσταση του χρήστη, όπως για παράδειγμα τα θρησκευτικά πιστεύω και οι σεξουαλικές προτιμήσεις.

Πάντως το GDPR δεν καλύπτει φυσικά πρόσωπα που έχουν αποβιώσει, ούτε έχει αναδρομική ισχύ.