MindPlan

GDPR

/ /

Επενδύστε στην Ποιότητα και στην Καινοτομία

GDPR

Ο GDPR είναι ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (General Data Protection Regulation GDPR). Στοχεύει να προσφέρει στους πολίτες της ΕΕ μια ενιαία και εναρμονισμένη προσέγγιση όσον αφορά την προστασία της ιδιωτικής ζωής στην Ευρωπαϊκή Ένωση. Επιδιώκει να ενισχύσει τα δικαιώματα των πολιτών για την προστασία των δεδομένων τους, όπως ορίζεται στο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ.

Η ημερομηνία υποχρεωτικής εφαρμογής του GDPR καθορίστηκε στις 25 Μαΐου 2018. Μπορεί να φαίνεται πολύς χρόνος προετοιμασίας, αλλά η αλήθεια είναι ότι υπάρχουν πολλά πράγματα που πρέπει να γίνουν.

Ο GDPR αποτελεί δεσμευτική νομοθετική πράξη που εφαρμόζεται άμεσα σε όλα τα κράτη μέλη της ΕΕ, εξαλείφοντας την ανάγκη κατάρτισης τοπικών νομοθετικών πράξεων. Ωστόσο, παρά την ανάγκη τοπικής νομοθεσίας, είναι πιθανό να υπάρξουν διαφορές ως προς τον τρόπο με τον οποίο ο κανονισμός ερμηνεύεται και επιβάλλεται σε διάφορα κράτη μέλη.

GDPR: Πως γίνεται η διατήρηση ασφαλών προσωπικών δεδομένων;

Ο GDPR της ΕΕ απαιτεί από τις επιχειρήσεις να διατηρούν τα προσωπικά τους δεδομένα ασφαλή, όπως ακριβώς ορίζει και η ισχύουσα οδηγία. Παρόλο που η υποχρέωση αυτή εκφράζεται γενικά, παρέχει ορισμένες ενδείξεις σχετικά με τα μέτρα που αποσκοπούν στην προστασία προσωπικών δεδομένων, όπως:

-κρυπτογράφηση και ψευδονυμοποίηση

-την εξασφάλιση και διατήρηση της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ανθεκτικότητας των συστημάτων πληροφορικής

-της δυνατότητα αποκατάστασης της διαθεσιμότητας και πρόσβασης σε δεδομένα προσωπικού χαρακτήρα εγκαίρως

-βοηθώντας τακτικά και δοκιμάζοντας την αποτελεσματικότητα των μέτρων ασφαλείας που εφαρμόζονται για την προστασία των δεδομένων

Τα προαναφερθέντα μέτρα είναι απλά παραδείγματα - όχι υποχρεωτικά - και θα πρέπει να εφαρμόζονται μόνο "όπου ενδείκνυται". Επομένως, είναι ευθύνη της εταιρείας να αποδείξει ότι τα μέτρα ασφαλείας είναι κατάλληλα. Μια καλή πρακτική όσον αφορά τα μέτρα ασφαλείας θα ήταν το πρότυπο ISO 27001, έτσι οι εταιρείες θα μπορούσαν να το χρησιμοποιήσουν ως σημείο εκκίνησης κατά την οικοδόμηση των μέτρων προστασίας των δεδομένων τους.

Ο GDPR εισάγει επτά “αρχές” και απαιτεί να τηρούνται όλες για κάθε κατηγορία προσωπικών δεδομένων που επεξεργάζεστε (Άρθρο 5).

- Nομιμότητα, αντικειμενικότητα και διαφάνεια

- Περιορισμός του σκοπού

- Eλαχιστοποίηση

- Aκρίβεια

- Περιορισμός περιόδου αποθήκευσης

- Ασφάλεια, ακεραιότητα, εμπιστευτικότητα

- Λογοδοσία

Ο GDPR ορίζει έξι προϋποθέσεις “νομιμότητας” της επεξεργασίας και απαιτεί να ισχύει τουλάχιστον μία (Άρθρο 6).

- Το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία

- Η επεξεργασία είναι απαραίτητη για εκτέλεση σύμβασης (όπου το υποκείμενο είναι συμβαλλόμενος) ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου πριν τη σύναψη σύμβασης

- Η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,

- Η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος (του υποκειμένου ή άλλου φυσικού προσώπου),

- Η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας (που έχει ανατεθεί στον υπεύθυνο επεξεργασίας),

- Η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος (εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου που επιβάλλουν την προστασία των προσωπικών δεδομένων, ιδίως εάν το υποκείμενο είναι παιδί). Εξαιρούνται οι δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.