Άρχισαν οι προσλήψεις για Data Protection Officer (DPO), Εταιρείες και Δημόσιο έχουν χτυπήσει κόκκινο για το GDPR

Τι ειναι το GDPR;

Τον τελευταίο καιρό όλη έχουμε πάρει στο email μας η στο κινητό μας μηνύματα σχετικά με συνδρομές που έχουμε κάνει στο παρελθόν η και χωρίς την έγκριση μας σε διάφορες δικτυακές υπηρεσίες. Τα συγκριμένα email μας ζητάνε να επαληθεύσουμε τον λογαριασμό μας, προκειμένου να συνεχίσουμε να ενημερωνόμαστε απο αυτές.

Όλα αυτά γίνονται με βάση την νέα οδηγία της Ευρωπαϊκής Ένωσης σχετικά με το General Data Protection Regulation (GDPR):

Σε τι ποσοστό όμως ο Ιδιωτικός και Δημόσιος τομές είναι έτοιμος για το GDPR;

Ο νέος κανονισμός γενικής προστασίας δεδομένων της Ευρωπαϊκής Ένωσης θα τεθεί σε ισχύ στις 25 Μαΐου, μετά από έξι χρόνια προετοιμασίας. Αντικαθιστά την οδηγία 95/46 / ΕΚ για την προστασία των δεδομένων και αποσκοπεί στην εναρμόνιση των νόμων περί προστασίας της ιδιωτικής ζωής σε ολόκληρη την Ευρώπη, στην προστασία και την ενδυνάμωση όλων των πολιτών της ΕΕ.

Ο κανονισμός  θα ισχύει για όλες τις εταιρείες που συλλέγουν προσωπικά στοιχεία ατόμων που βρίσκονται στην ΕΕ, είτε η επιχείρηση εδρεύει στην Ευρωπαϊκή Ένωση είτε όχι, και τα πρόστιμα για μη συμμόρφωση θα είναι εξαιρετικά μεγάλα.

Η μεγάλη πρόκληση για τις εταιρείες είναι η αξιολόγηση των τρεχόντων συστημάτων συλλογής και αποθήκευσης πληροφοριών σε σχέση με τους νέους κανονισμούς και η διασφάλιση της συμμόρφωσης πριν από την προθεσμία.

Επιπλέον, η διασυνοριακή μεταφορά δεδομένων των κατοίκων της ΕΕ σε τριτες χώρες θα καταστεί πολύ δυσκολότερη. Η Επιτροπή της ΕΕ θα αξιολογήσει το επίπεδο προστασίας των τρίτων χωρών, με την πραγματοποίηση αξιολογήσεων «επάρκειας», που θα είναι δεσμευτικά για όλα τα κράτη μέλη. Στη συνέχεια θα διενεργούν ελέγχει κάθε τέσσερα χρόνια για να εξασφαλίσουν τη συνεχή συμμόρφωση.

Οποιεσδήποτε επιχειρήσεις που συλλέγουν ευαίσθητα προσωπικά δεδομένα θα χρειαστεί να πραγματοποιήσουν και να ενημερώνουν τακτικά για τα κενά ασφαλείας, τις αξιολογήσεις επιπτώσεων για την προστασία δεδομένων, τους ελέγχους απορρήτου και τους οδικούς χάρτες για την παραβίαση δεδομένων, προκειμένου να παραμείνουν στη δεξιά πλευρά του GDPR.

Πώς θα επιβάλλονται πρόστιμα;

Τα πρόστιμα GDPR (διοικητικά πρόστιμα) μπορούν να φτάσουν μέχσρι τα 20 εκατομμύρια ευρώ ή το 4% του ετήσιου κύκλου εργασιών της εταιρείας  παγκόσμια! το οποιο  είναι το υψηλότερο απο τα δύο.

Τα ακριβή πρόστιμα εξαρτώνται από πολλούς παράγοντες, όπως το πόσο σοβαρή είναι η παραβίαση και τυχόν παραβιάσεις των προσωπικών δεδομένων.  Τα μέτρα που έχουν ληφθεί για την συμμόρφωση με το GDPR , τον βαθμό με τον οποίο ένας οργανισμός δε έχει δημιουργήσει βασικούς μηχανισμούς για την πρόληψη κλοπής δεδομένων προσωπικού ή την παροχή επιλογής δικαιωμάτων των δεδομένων  (δικαίωμα πρόσβασης, δικαίωμα φορητότητας των δεδομένων , δικαίωμα διαγραφής κ.λπ.), την προθυμία να ανταποκριθεί σε τέτοιου είδους αιτήματα, το βαθμό στον οποίο τηρείται η προστασία της ιδιωτικής ζωής από το σχεδιασμό, τα πρόσθετα μέτρα και τα δικαιώματα όταν η συγκατάθεση είναι το επιλεγμένο νομικό υπόβαθρο για νόμιμη επεξεργασία και πολύ περισσότερο.

Πώς γίνονται οι καταγγελίες;

Η καταγγελία γίνεται στην Αρχή Προστασίας Προσωπικών Δεδομένων και έπειτα αυτή αναλαμβάνει την όλη διαδικασία ελέγχου και επιβολής προστίμου εφόσον αποδειχθεί το μέγεθος της παραβίασης η  μη συμμόρφωσή με τον κανονισμό GDPR . Τα πρόστιμα είναι διοικητικά.

Πώς μπορούν να προφυλαχτούν οι επιχειρήσεις και ο δημόσιος τομέας.

Προσλαμβάνοντας άτομα Υπεύθυνου Προσωπικών Δεδομένων (Data Protection Officer) με πιστοποίηση στο GDPR

Cyber insurance : Κάνοντας ασφάλεια για την διαρροή δεδομένων από κυβερνοεπίθεση

Σε ποιές περιπτώσεις είναι υποχρεωτικός ο διορισμός του Υπεύθυνου Προσωπικών Δεδομένων ()

– O Κανονισμός προδιάγραφει τρεις βασικές κατηγορίες περιπτώσεων :

Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
Οι διευκρινήσεις της Επιτροπής του άρθρου 29 εστιάζουν στην διασαφήνιση της έννοιας «βασικές δραστηριότητες» (Core Activities) οι οποίος περιγράφονται ως «αναπόσπαστο τμήμα της επίδιωξης των εταιρικών σκοπών του Υπευθύνου ή Εκτελούντος την Επεξεργασία όπως για παράδειγμα οι δραστηριότητες παρακολούθησης μιας εταιρίας παροχής υπηρεσιών ασφαλείας, με τις οποίες ελέγχει/παρακολουθεί έναν δημόσιο ή ιδιωτικό χώρο , οι δραστηριότητες επεξεργασίας ιατρικών φακέλων ασθενών που νοσηλεύονται σε ένα νοσοκομείο καθώς και οι δραστηριότητες επεξεργασίας προσωπικών δεδομένων υπαλλήλων από έναν εξωτερικό συνεργάτη που διαχειρίζεται την μισθοδοσία του προσωπικού μιας εταιρίας.

Η έννοια « Συστηματική» και «Τακτική» Παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα (regular and systematic monitoring) στην οποία εντάσσονται όλες οι μορφες on line παρακολούθησης όπως για παράδειγμα η παρακολούθηση των μετακινήσεων του υποκειμένου (location tracking) η επεξεργασία που στοχεύει στον καθορισμό της καταναλωτικής συμπεριφοράς και συνηθειών του υποκειμένου για διαφημιστιούς σκοπούς (behavioral advertising) καθώς και ο καθορισμός του Προφίλ του υποκειμένου με βάση συγκεκριμένα προσωπικά δεδομένα που αφορούν την καταναλωτική του ταυτότητα, τις προτιμήσεις του, επισκεψιμότητα σε συγκεκριμένα καταστήματα, (Profiling).

Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (των «Ευαίσθητων Προσωπικών Δεδομένων της Οδηγίας 96/45) σε «μεγάλη κλίμακα, όπως δεδομένων που αφορουν την θρησκεία, πολιτικές πεποιθήσεις, σεξουαλικό προσανατολισμό, συμμετοχή σε συνδικαλιστικές οργανώσεις αλλά και Γενετικα Δεδομένων ή Υλικό όπως και Βιομετρικά Στοιχεία τα οποία ορίζονται ως « Ειδικά Προσωπικά Δεδομένα» με το Νέο Κανονισμό.

2. Η διευκρίνση της έννοια επεξεργασίας σε μεγάλη κλίμακα (Large Scale Processing) όμως παραμένει ασαφής και μάλλον αόριστη καθώς τόσο το κείμενο του Κανονισμού όσο και οι Οδηγίες της Επιτροπής Α29 , δεν παραθέτουν αριθμητικά όρια για τον ορισμό της μεγάλης κλίμακας αλλά γενικά παραδείγματα όπως ασφαλιστικη εταιρία ή τράπεζα που επεξεργάζονται προσωπικά δεδομένων πελάτους, τους, ή την επεξεργασία σε πραγματικό χρόνο των γεο- τοπογραφικών δεδομένων (Geo _ Location Data) πελατών μια διεθνούς εταιρίας fast food για στατιστικούς σκοπούς.

3. Δημόσιοι Φορείς ή Αρχές, που ασχολούνται με την Υγεία, Τηλεπικονωνίες, Μεταφορές, ΔΕΚΟ κλπ φαίνεται ότι θα υποχρεωθούν να διορίσουν Data Protection Officer. Το ίδιο και πολλές ιδιωτικές εταιρίες και οργανισμοί, συμπεριλαμβανομένων και Μικρομεσαίων Επιχειρήσεων, που επεξεργάζονται « Ειδικά Προσωπικά Δεδομένα» σε ‘Μεγάλη Κλίμακα» όπως οι Εταιρίες που διενεργούν Κλινικές Μελέτες (CRO’s), οι εταιρίες που διαχειρίζονται μισθοδοσία προσωπικού ή επεξεργάζονται καταναλωτικά προφίλ για κατηγορίες βασικών καταναλωτικών αγαθών.

4. Ερευνες που διενεργήθηκαν πανευρωπαικά, συμπέραναν ότι μόνο το 50% των επιχειρήσεων είναι έτοιμες για να αντιμετώπισουν τα νέα δεδομένα που εισάγει ο Γενικός Κανονισμός ενώ οι εκτιμήσεις των ειδικών προδιαγράφουν ανάγκη για διορισμό/ δημιουργία θέσεων εργασίας για 28.000!!!!!! Data Protection Officers σύμφωνα με μελέτη του iapp σε πανευρωπαικό επίπεδο.

Περισσότερα:

https://eur-lex.europa.eu/legal-content/EL/TXT/HTML/?uri=CELEX:32016R0679&from=EN

https://www.cyberinsurancegreece.com/news/o-rolos-kai-oi-eythyni-toy-data-protection-officer-symfona-me-to-neo-geniko-kanonismo-prosopikon-dedomenon-gdpr-toy-ioanni-e-giannakaki-dikigoroy-nomikoy-symvoyloy-notias-eyropis-omiloy-g4s/

https://www.i-scoop.eu/gdpr/#What_is_personal_data_and_what_is_sensitive_data

 

 

 

Γράψτε μια απάντηση

  Εγγραφή  
Ειδοποίηση για