Μεταπηδήστε στο περιεχόμενο

Τι αλλάζει στην επεξεργασία των δεδομένων

Με το νέο Κανονισμό ενισχύονται τα δικαιώματα των υποκειμένων των δεδομένων, αυξάνονται, ποσοτικά και ποιοτικά, οι υποχρεώσεις των υπεύθυνων και εκτελούντων την επεξεργασία και γενικώς ενισχύεται σημαντικά η προστασία των προσωπικών δεδομένων των πολιτών της ΕΕ.

Μερικά από τα δικαιώματα είναι το δικαίωμα πρόσβασης στα προσωπικά τους δεδομένα, διόρθωσης, περιορισμού ή άρνησης επεξεργασίας, διαγραφής (λήθης), φορητότητας δεδομένων, δικαιώματα σχετικά με την δημιουργία προφίλ, η παροχή πληροφοριών σχετικά με όλα τα δικαιώματά τους αλλά και την επεξεργασία των προσωπικών δεδομένων, τα στοιχεία του υπεύθυνου προστασίας ή εκτελούντα, τον σκοπό, την διάρκεια κλπ πριν την επεξεργασία αυτών.

Μερικές από τις νέες υποχρεώσεις, που αφορούν τους Υπεύθυνους Επεξεργασίας είναι οι εξής: υποχρέωση λογοδοσίας, ορισμός Υπεύθυνου Προστασίας Δεδομένων (DPO), εφαρμογή τεχνικών μέτρων, που να εξασφαλίζουν την ιδιωτικότητα τόσο κατά τον σχεδιασμό όσο και εξ ορισμού, υποχρέωση τήρησης Αρχείου δραστηριοτήτων επεξεργασίας, υποχρέωση εκπόνησης μελέτης αντικτύπου (Data Privacy Impact Assessment), υποχρέωση γνωστοποίησης των παραβιάσεων εντός 72 ωρών από την πληροφόρηση και εθελοντική πιστοποίηση στη θέση της υποχρέωσης γνωστοποίησης που ίσχυε μέχρι τώρα.

Οι υπεύθυνοι ή εκτελούντες την επεξεργασία είναι υπεύθυνοι για την σύμφωνη με τις ρυθμίσεις του ΓΚΠΔ επεξεργασία αλλά και για να αποδείξουν ότι το κάνουν (αρχή λογοδοσίας).

Μάλιστα, υπό το φως του Κανονισμού πραγματοποιείται μία νέα θεώρηση και ανάλυση των μεθόδων ανωνυμοποίησης και ψευδωνυμοποίησης των δεδομένων προσωπικού χαρακτήρα.

Τίθενται νέες βάσεις για την αντιμετώπιση της επεξεργασίας, όπως λόγου χάρη η χρησιμοποίηση της έννοιας του κινδύνου ως μέτρου για την επιλογή των βέλτιστων πρακτικών και των μέτρων ασφαλείας.

Ταυτόχρονα η απειλή κατά πολύ υψηλότερων προστίμων σε περίπτωση παραβίασης (10.000.000€ ή 2% του παγκόσμιου ετήσιου κύκλου εργασιών της εταιρείας – ανάλογα με το ποιο είναι υψηλότερο /20.000.000€ ή 4% του ετήσιου παγκόσμιου κύκλου εργασιών σε περίπτωση μη συμμόρφωσης προς εντολές της Εποπτικής Αρχής) υπογραμμίζουν την επιτακτική ανάγκη συμμόρφωσης στις επιταγές του Κανονισμού και την ανάγκη προστασίας των δεδομένων προσωπικού χαρακτήρα των πολιτών.

Αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων

1. Αρχή νομιμότητας: Η επεξεργασία θα πρέπει να στηρίζεται σε νομική βάση όπως ορίζεται στις διατάξεις του άρθρου 6 ΓΚΠΔ. Δηλαδή:

α) Συναίνεση του υποκειμένου στην επεξεργασία των προσωπικών δεδομένων του για έναν ή περισσότερους συγκεκριμένους σκοπούς,

β) Η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, (π.χ. σύμβαση εργασίας)

γ) Η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας, (απορρέει από το δίκαιο ή συμβατική υποχρέωση του υπεύθυνου)

δ) Η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,( π.χ. ανθρωπιστικοί σκοποί, αντιμετώπιση επιδημιών, καταστροφές, σωματική ακεραιότητα, ασφάλεια)

ε) Η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, (φορολογικές υποχρεώσεις, εργατική νομοθεσία κλπ)

στ) Η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί. (όπως απορρέουν από πελατειακές ή υπαλληλικές σχέσεις)

2. Αρχή αντικειμενικότητας: Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία μόνο εάν ο σκοπός της επεξεργασίας δεν μπορεί να επιτευχθεί με άλλα μέσα

3. Αρχή διαφάνειας: απαιτείται η ενημέρωση για την επεξεργασία των δεδομένων η οποία πρέπει να είναι συνοπτική, εύκολα προσβάσιμη και εύκολα κατανοητή και να χρησιμοποιείται σαφής και απλή διατύπωση και, επιπλέον, κατά περίπτωση, απεικόνιση.

4. Αρχή περιορισμού σκοπού: Επεξεργασία για ξεχωριστό σκοπό που στηρίζεται σε νόμιμη βάση (6παρ.1 ΓΚΠΔ)

5. Αρχή ελαχιστοποίησης δεδομένων: Επεξεργασία των απολύτως απαραίτητων για την εκπλήρωση του σκοπού της επεξεργασίας

6. Αρχή ακρίβειας: Να είναι ορθά και ακριβή και επικαιροποιημένα

7. Αρχή του περιορισμούς της διάρκειας αποθήκευσης: Να αποθηκεύονται για το απολύτως απαραίτητο χρονικό διάστημα σύμφωνα με τον σκοπό της επεξεργασίας αλλά και έννομες υποχρεώσεις του υπεύθυνου.

8. Αρχή ακεραιότητας και εμπιστευτικότητας: υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων

9. Αρχή λογοδοσίας: Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με τις αρχές που διέπουν την επεξεργασία (5παρ.1 ΓΚΠΔ).

Δικαιώματα Υποκείμενων Προσωπικών Δεδομένων

Δικαίωμα ενημέρωσης (Άρθρα 12επ): ο Κανονισμός επιτάσσει διαφανή ενημέρωση. Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα μέτρα, ώστε να παρέχει στο υποκείμενο κάθε πληροφορία και κάθε ανακοίνωση σχετικά με την επεξεργασία σε συνοπτική, διαφανή καθώς και κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας απλή και σαφή διατύπωση, ιδίως όταν η πληροφορία απευθύνεται σε παιδιά. Οφείλει να διευκολύνει την άσκηση των δικαιωμάτων για τα υποκείμενα και να παρέχει στο υποκείμενο πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματός στηριζόμενο στα άρθρα 15 έως 22, χωρίς καθυστέρηση και μάλιστα εντός ενός μήνα από την παραλαβή του αιτήματος. Σημειωτέον ότι ο Κανονισμός διακρίνει το δικαίωμα ενημέρωσης αναφορικά με το αν η συλλογή των δεδομένων πραγματοποιείται από το ίδιο το υποκείμενο (άρθρο 13) ή από τρίτο πρόσωπο (άρθρο 14).

Δικαίωμα πρόσβασης (άρθρο 15): το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα που το αφορούν υφίστανται επεξεργασία και έχει πρόσβαση σε πλήθος πληροφοριών όπως αυτές διατυπώνονται στο άρθρο 15.

Δικαίωμα Διόρθωσης (άρθρο 16): Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.

Δικαίωμα Διαγραφής – Δικαίωμα στην Λήθη (άρθρο 17 – Right to be forgotten): Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα, που το αφορούν, αν τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα ή αν το υποκείμενο ανακαλέσει τη συγκατάθεσή του ή αν δεν υπάρχει άλλη νομική βάση για την επεξεργασία ή αντιτίθεται στην επεξεργασία και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι ή αν τα δεδομένα υποβλήθηκαν σε επεξεργασία παράνομα ή για να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή αν έχουν συλλεχθεί όταν το υποκείμενο ήταν παιδί.

Δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18): το υποκείμενο των δεδομένων μπορεί να ζητήσει από τον υπεύθυνο τον περιορισμό της επεξεργασίας όταν α) η ακρίβεια των δεδομένων αμφισβητείται ή β) είναι παράνομη ή γ) ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για την θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων ή δ) το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπεύθυνου επεξεργασίας υπερισχύουν έναντι όλων των λόγων του υποκειμένου των δεδομένων.

Δικαίωμα στην Φορητότητα των Δεδομένων (άρθρο 20): Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας, χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας, στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα.

Δικαίωμα Εναντίωσης (άρθρο 21): Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν (επεξεργασία από δημόσιες αρχές ή από ιδιώτες), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Εάν δεδομένα προσωπικούχαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.

Δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ (άρθρο 22): Το δικαίωμα αυτό βασίζεται στο γεγονός ότι η ανθρώπινη παρέμβαση καταπολεμά το έλλειμμα εμπιστοσύνης της εκάστοτε αυτοματοποιημένης επεξεργασίας.

Με τα νέα αυτά δικαιώματα εμπλουτίζεται η προστασία του πολίτη σχετικά με τα δεδομένα προσωπικού χαρακτήρα του, τα οποία διαχειρίζονται φορείς στους οποίους έχει ήδη δώσει το δικαίωμα να τα επεξεργάζονται ή τα έχουν λάβει κατά τρόπο μη θεμιτό.

Σχετική αρθρογραφία:

Εταιρείες
Κωνσταντίνος Μεϊντής

Τί είναι το Franchising;

Από νομική άποψη το Franchising είναι σύμβαση συνεργασίας μεταξύ δύο επιχειρήσεων, βάσει της οποίας η μία επιχείρηση, ο δικαιοπάροχος ή δότης, παραχωρεί στην άλλη, τον

Read More »
Uncategorized
Κωνσταντίνος Μεϊντής

Οδηγίες για την τηλεργασία από την Αρχή Προστασίας Δεδομένων

Λόγω των μέτρων περιορισμού που έχουν επιβληθεί για την αποτροπή εξάπλωσης της COVID-19, πολλοί οργανισμοί και επιχειρήσεις προτρέπουν ή/και υποχρεώνουν το προσωπικό τους σε τηλεργασία,

Read More »
Προσωπικά Δεδομένα
Κωνσταντίνος Μεϊντής

Συλλογή emails για το σκοπό της απευθείας εμπορικής προώθησης ή κάθε άλλου είδους διαφήμισης

Πολλές είναι οι εταιρείες που μπαίνουν στον πειρασμό να αποκτήσουν διευθύνσεις email, καθ’ οιοδήποτε τρόπο, με σκοπό την προώθηση των δραστηριοτήτων τους. Πολλές φορές μάλιστα,

Read More »
Διαγωνισμοί
Κωνσταντίνος Μεϊντής

Γιατί χρήζει μεταρρύθμισης το νομικό πλαίσιο δημοσίων συμβάσεων;

Οι διαδικασίες ανάθεσης και εκτέλεσης δημοσίων συμβάσεων στην Ελλάδα χαρακτηρίζονται από αναποτελεσματικότητα, με μεγάλους χρόνους υλοποίησης, με μακροχρόνιες δικαστικές και προδικαστικές διαδικασίες και χαμηλή ποιότητα

Read More »
Θέλεις να συμμετέχεις σε δημόσιους διαγωνισμούς;

Κάνε εγγραφή για να λαμβάνεις άμεση ενημέρωση.