Τι πρέπει να ξέρουν οι επιχειρήσεις για τα προσωπικά δεδομένα

O νέος Ευρωπαϊκός Κανονισμός για την Προστασία των Δεδομένων “ΓΚΠΔ” (GDPR) των φυσικών προσώπων, σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών, έχει ισχύ από τις 25 Μάιου 2018 και είναι  δεσμευτικός από και σε όλα τα Κράτη Μέλη.

Η νομοθεσία αυτή, απαιτεί, όλοι οι φορείς και οι δημόσιοι οργανισμοί και οι επιχειρήσεις που χειρίζονται προσωπικά δεδομένα Ευρωπαίων Πολιτών να συμμορφώνονται πλήρως με τις απαιτήσεις του και να ενεργούν σύμφωνα με τις διατάξεις του Κανονισμού. Ο Κανονισμός προβλέπει αυστηρά πρόστιμα / κυρώσεις, ύψους έως 20 εκατ. ευρώ ή 4% του ετήσιου συνολικού κύκλου εργασιών των Επιχειρήσεων / Οργανισμών.

Ο νέος Κανονισμός αποτελεί πρόκληση για τις Επιχειρήσεις και Οργανισμούς που επεξεργάζονται Προσωπικά Δεδομένα και ως εκ τούτου, απαιτείται να δημιουργήσουν ή να επανεξετάσουν τα τρέχοντα Προγράμματα Προστασίας Προσωπικών Δεδομένων και να εντοπίσουν τα κενά ώστε να λάβουν όλα τα απαραίτητα μέτρα για να συμμορφωθούν με τον ΓΚΠΔ όπου υπάρχουν ασυμφωνίες.

Επειδή, ο κανονισμός είναι απαιτητικός θα πρέπει οι Επιχειρήσεις και οι Οργανισμοί, να ακολουθήσουν αυστηρά τις προδιαγραφές του νόμου και να ακολουθήσουν τέτοιες   διαδικασίες που να μπορούν να αποδείξουν τη συμμόρφωσή τους με τον ΓΚΠΔ. Επίσης, πρέπει να διασφαλίσουν ότι το προσωπικό τους κατανοεί τις υποχρεώσεις που υπάρχουν σύμφωνα με τον Κανονισμό.                                            

 
Η Ευρωπαϊκή Επιτροπή, έδωσε, μεταξύ πολλών άλλων, συγκεκριμένες οδηγίες, όπως:

• Χρήση προσωπικών δεδομένων με διαφάνεια και ορθότητα
• Επικοινωνία- Ενημέρωση επηρεαζόμενου ατόμου.
• Χρησιμοποίηση απλής και κατανοητής  γλώσσας.
• Ενημέρωση ποιος και γιατί ζητά τα δεδομένα.
• Ο λόγος που τα ζητάτε
• πως επεξεργάζεστε τα δεδομένα τους, για πόσο καιρό θα τα φυλάξετε ποιος τα λαμβάνει, πως τα προστατεύετε.
• Πρόσβαση και δυνατότητα μεταφοράς
• Δώστε στα άτομα πρόσβαση στα δεδομένα τους
• Λάβετε την έγκριση  τους να τα δώσουν σε άλλη εταιρεία ή να αρνηθούν

Διαγραφή δεδομένων

• «Δικαίωμα στη λήθη» (right-to-be-forgotten) δηλαδή το δικαίωμα του υποκειμένου των δεδομένων να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν.
• Διαγράψτε τα προσωπικά τους δεδομένα αν το ζητήσουν, αλλά μόνο αν δεν θίγεται η ελευθερία έκφρασης ή η δυνατότητα διεξαγωγής έρευνας.

Μάρκετινγκ

• Δώστε στα άτομα το δικαίωμα να εξαιρεθούν από πρακτικές άμεσου μάρκετινγκ που χρησιμοποιούν τα δεδομένα τους.
• Διαβίβαση δεδομένων εκτός της ΕΕ
• Συνάψτε νομικές συμφωνίες όταν διαβιβάζετε δεδομένα σε χώρες που δεν έχουν λάβει έγκριση από τις αρχές της ΕΕ.
• δεν αποστέλλεται διαφημιστικό υλικό σε φυσικά πρόσωπα που αρνήθηκαν την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα για σκοπούς άμεσης εμπορικής προώθησης.
• εάν χρησιμοποιείτε μέσα επικοινωνίας όπως ηλεκτρονικά μηνύματα για σκοπούς άμεσης εμπορικής προώθησης, συμμορφωθείτε με τους κανόνες που θεσπίζονται στην οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (οδηγία 2002/58/ΕΚ1
• Σε περίπτωση που αγοράζεται  κατάλογο επαφών ή μια βάση δεδομένων με στοιχεία επικοινωνίας από άλλον οργανισμό, ο εν λόγω οργανισμός πρέπει να μπορεί να σας αποδείξει ότι τα δεδομένα αποκτήθηκαν σύμφωνα με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων και ότι μπορούν να χρησιμοποιηθούν για διαφημιστικούς σκοπούς. Για παράδειγμα, εάν ο οργανισμός απέκτησε τα δεδομένα βάσει συγκατάθεσης, η συγκατάθεση θα πρέπει να περιελάβανε τη δυνατότητα διαβίβασης των δεδομένων σε άλλους αποδέκτες για τους δικούς τους σκοπούς άμεσης εμπορικής προώθησης.

• Λάβετε τη ρητή συγκατάθεσή τους για την επεξεργασία των δεδομένων.
• Ενημερώστε τα άτομα σχετικά με παραβιάσεις δεδομένων αν ενέχει σοβαρός κίνδυνος για αυτούς.
• Η εταιρεία ή ο οργανισμός σας, θεωρείται, από κοινού υπεύθυνος επεξεργασίας, όταν σε συνεργασία με έναν ή περισσότερους οργανισμούς, αποφασίζει  «γιατί» και «πώς» θα πρέπει να υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα. Οι από κοινού υπεύθυνοι επεξεργασίας, πρέπει, να συνάπτουν μεταξύ τους, συμφωνία που καθορίζει τις αντίστοιχες αρμοδιότητές τους για τη συμμόρφωση με τους κανόνες του ΓΚΠΔ.
• Δημιουργία προφίλ
• Αν χρησιμοποιείτε προφίλ για την επεξεργασία αιτήσεων για νομικά δεσμευτικές συμφωνίες, για παράδειγμα για δάνεια, πρέπει:
• Να ενημερώνετε τους πελάτες σας
• Να ορίζετε ένα πρόσωπο και όχι μια μηχανή να ελέγχει τη διαδικασία αν η αίτηση τελικά απορρίπτεται
• Να χορηγείτε στον αιτούντα το δικαίωμα να προσβάλλει την απόφαση.
• Προστασία ευαίσθητων δεδομένων
• Χρησιμοποιήστε πρόσθετα μέτρα προστασίας για ευαίσθητα δεδομένα δηλαδή  για πληροφορίες που αφορούν την υγεία, τη φυλή, τον σεξουαλικό προσανατολισμό, τη θρησκεία και τις πολιτικές πεποιθήσεις.

Κάθε εταιρεία ή ο Οργανισμός  επιβάλλεται να διορίζει έναν Υπεύθυνο Επεξεργασίας, είτε εσωτερικό είτε εξωτερικό συνεργάτη, ο οποίος ορίζει τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τα μέσα με τα οποία αυτή πραγματοποιείται.

Ως εκ των πιο πάνω, συστήνετε όπως προχωρήσετε σε αξιολόγηση βάσει της νομοθεσίας και να  δημιουργήσετε σύμφωνα με τις αναγκες της επιχείρησης σας, ένα προσαρμοσμένο σχέδιο το οποίο να ακολουθηθεί με σκοπό την εναρμόνιση για αποφυγή των προστίμων.

Μαρίας Βασιλείου*
Νομικός/ Σύμβουλος Αφερεγγυότητας
CONSULTING ZONE LTD
www.consultingzones.com