GDPR: Πεδίο εφαρμογής, αρχές και ασφάλεια

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΣ) θα ισχύσει από τις 25 Μαΐου 2018 αντικαθιστώντας την οδηγία 95/46/ΕΚ για την Προστασία Προσωπικών Δεδομένων. Ο κανονισμός στοχεύει τόσο στην θέσπιση ενός ενιαίου πλαισίου προστασίας των προσωπικών δεδομένων σε όλη την Ένωση όσο και στην διασφάλιση της ελεύθερης διασυνοριακής διακίνησης δεδομένων.

Στα πλαίσια των αρχών του κανονισμού, τα υποκείμενα των δεδομένων αποκτούν νέα δικαιώματα, μεταξύ άλλων αυτών της ενημέρωσης, της πρόσβασης και της λήθης. Απαγορεύεται η χρήση προσωπικών δεδομένων χωρίς την ελεύθερη συγκατάθεση, ειδικά όταν πρόκειται για ευαίσθητη κατηγορία δεδομένων, και η συγκατάθεση μπορεί να ανακληθεί ελεύθερα οποιαδήποτε στιγμή. Επιπλέον, εισάγεται ρύθμιση για την κατάρτιση προφίλ και τα δικαιώματα των υποκειμένων έναντι της απολύτως αυτοματοποιημένης λήψης αποφάσεων και τις συνέπειες της. Τέλος, δίνεται ιδιαίτερη βαρύτητα στην ασφάλεια των προσωπικών δεδομένων ώστε να προστατεύονται στο μέγιστο τα ατομικά δικαιώματα.

 

Πεδίο εφαρμογής και Αρχές

Αν και η τα προσωπικά δεδομένα προστατεύονται ήδη τόσο από ευρωπαϊκές οδηγίες όσο και από το δίκαιο του κράτους, ο νέος κανονισμός εισάγει ένα αυστηρότερο ενιαίο πλαίσιο, ενισχύει τα δικαιώματα των υποκειμένων και τις υποχρεώσεις των διαχειριστών δεδομένων ενώ διευρύνει και το πεδίο εφαρμογής του, αφού απευθύνεται σε κάθε επιχείρηση ή οργανισμό που διαχειρίζεται δεδομένα πολιτών της Ένωσης, ανεξαρτήτως αν βρίσκεται εντός της εδαφικής επικράτειάς της.

Η εφαρμογή του ΓΚΠΣ αφορά σε κάθε δραστηριότητα αυτοματοποιημένης ή μη επεξεργασίας δεδομένων που περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης. Ως «δεδομένα προσωπικού χαρακτήρα», ορίζεται,

κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου (Άρθ. 4 του ΓΚΠΔ).

Συνοπτικά, οι αρχές του κανονισμού ορίζουν πως τα δεδομένα θα πρέπει να υποβάλλονται σε διαφανή και ασφαλή επεξεργασία (προστασία από μη εξουσιοδοτημένη ή παράνομη επεξεργασία, φθορά ή καταστροφή), να συλλέγονται για συγκεκριμένους και σύννομους σκοπούς, να περιορίζονται στο αναγκαίο, να είναι ακριβή και να διατηρούνται σε μορφή που επιτρέπει την ταυτοποίηση προσώπων μόνο για το αναγκαίο χρονικό διάστημα. Εξαίρεση αποτελούν οι περιπτώσεις που η επεξεργασία προσωπικών δεδομένων πραγματοποιείται για την προστασία του δημόσιου συμφέροντος (π.χ. υγειονομική προστασία) ή για επιστημονικούς και στατιστικούς σκοπούς.

 

Ασφάλεια δεδομένων

Ο ΓΚΠΔ δίνει, επίσης, ιδιαίτερη βαρύτητα στην προστασία των προσωπικών δεδομένων και ορίζει συγκεκριμένα μέτρα ασφαλείας ώστε να προστατευτούν τα δικαιώματα των υποκειμένων των δεδομένων στο μέγιστο.

Λαμβάνοντας υπόψη τις συνθήκες, το κόστος, τα τεχνολογικά μέσα καθώς και τον βαθμό κινδύνου για τις ελευθερίες των υποκειμένων σε περίπτωση παραβίασης, ο υπεύθυνος οφείλει να εφαρμόζει μέτρα για την ασφάλεια των δεδομένων όπως ψευδωνυμοποίηση ή κρυπτογράφηση, διασφάλιση ομαλής λειτουργίας των συστημάτων επεξεργασίας, δυνατότητα αποκατάστασης σε περίπτωση φυσικού ή τεχνικού συμβάντος και τακτικός έλεγχος των μηχανισμών ασφαλείας.

Αν τα δεδομένα παραβιαστούν και ενδέχεται να προκληθεί παραβίαση των δικαιωμάτων των υποκειμένων, ο υπεύθυνος οφείλει να ενημερώσει την αρμόδια εποπτική αρχή εντός 72 ωρών περιγράφοντας την φύση της παραβίασης, τις συνέπειες που μπορεί να έχει για τα υποκείμενα των δεδομένων και τα ληφθέντα ή προτεινόμενα μέτρα για την αντιμετώπιση του ζητήματος. Σε περίπτωση που ο υπεύθυνος δεν έχει λάβει τα μέτρα που αναφέρονται παραπάνω και η παραβίαση ενδέχεται να θέσει τα υποκείμενα σε υψηλό κίνδυνο, οφείλει, επιπλέον, να ενημερώσει τα ίδια τα υποκείμενα ή να δημοσιοποιήσει πληροφορίες για την παραβίαση (Άρθ. 33 και 34 του ΓΚΠΔ).

Επιπρόσθετα το Άρθρο 35 του κανονισμού προβλέπει και προληπτικά μέτρα για την ασφάλεια των υποκειμένων και για την εκτίμηση αντικτύπου. Σύμφωνα με το Άρθρο, αν η επεξεργασία δεδομένων υπάγεται σε κατηγορία που μπορεί να θέσει σε υψηλό κίνδυνο τα υποκείμενα, ο υπεύθυνος θα πρέπει να συμβουλευτεί τον υπεύθυνο προστασίας δεδομένων πριν προχωρήσει. Οι κατηγορίες υψηλού ρίσκου είναι, μεταξύ άλλων:

  1. Η συστηματική και εκτενής παρακολούθηση προσωπικών πτυχών των υποκειμένων, όπως η κατάρτιση προφίλ, με σκοπό την λήψη αυτοματοποιημένων αποφάσεων που παράγουν έννομα αποτελέσματα για το υποκείμενο
  2. Η επεξεργασία ειδικής κατηγορίας δεδομένων σε μεγάλη κλίμακα και
  3. Συστηματική παρακολούθηση δημοσίων χώρων σε μεγάλη κλίμακα

 

Η εφαρμογή των εν λόγω μέτρων αποτελεί πρόκληση για τις επιχειρήσεις και τους οργανισμούς που χειρίζονται δεδομένα, αφού σε περίπτωση μη τήρησης του κανονισμού, προβλέπονται πρόστιμα που φτάνουν τα 20 εκατομμύρια ευρώ. Πρόκληση, όμως, αποτελεί και για τα νομικά συστήματα των κρατών – μελών της Ένωσης που καλούνται να προτείνουν επιμέρους μέτρα ώστε να διευκολύνουν την εφαρμογή του κανονισμού στην επικράτεια τους και να διασφαλίσουν την δημιουργία εποπτικής αρχής που θα παρακολουθεί την εφαρμογή των μέτρων και θα φροντίζει για την ομαλή κυκλοφορία των δεδομένων στην Ένωση. Έτσι αν και ο Γενικός Κανονισμός για την Προστασία των Δεδομένων έρχεται ως ένα αυστηρό νομικό πλαίσιο με σκοπό την δημιουργία ενός ενιαίου καθεστώτος εντός της Ένωσης, επιτρέπει σε πολλά σημεία εναρμόνιση με το δίκαιο του κάθε κράτους – μέλους.

Παρά την περιπλοκότητα του, ο κανονισμός ενδέχεται να αλλάξει μια για πάντα το καθεστώς για τα προσωπικά δεδομένα παρέχοντας στον χρήστη τον απόλυτο έλεγχο για τι μοιράζεται και με ποιον. Μένει να περιμένουμε την εφαρμογή του για να το διαπιστώσουμε.

 

Διαβάστε επίσης για τον GDPR:

Τα δικαιώματά μου ως χρήστης

Λήψη αυτοματοποιημένων αποφάσεων και κατάρτιση προφίλ

Leave a Comment

Your email address will not be published. Required fields are marked *

Subscribe To Our Newsletter

Subscribe To Our Newsletter

Join our mailing list to receive the latest news and updates from our team.

You have Successfully Subscribed!

Scroll to Top