GDPR: Άξονες και κανονισμοί

Το GDPR, μπήκε στις ζωές μας την τελευταία τρία χρόνια και προκάλεσε σάλο στις εταιρίες σε όλη την ΕΕ. Το GDPR λοιπόν, έχει να κάνει με τον κανονισμό της Ευρωπαϊκής Επιτροπής, η οποία προσπαθεί να βάλει «φρένο» στις επιχειρήσεις που με διάφορους τρόπους χρησιμοποιούν προσωπικές πληροφορίες πελατών ή τους εφιστά την προσοχή σχετικά με την διαρροή και την χρήση ευαίσθητων πληροφοριών.

Δεν είναι άλλωστε από τότε λίγα τα παραδείγματα επιχειρήσεων και εταιριών κολοσσοί που τους έχουν επιβληθεί «τσουχτερά» πρόστιμα σε αυτό τον τομέα.

Τι είναι λοιπόν το GDPR;

GDPR είναι τα αρχικά του General Data Protection Regulation, στα ελληνικά Γενικός Κανονισμός Προστασίας Δεδομένων. Είναι Νόμος που ισχύει από την 25 Μαΐου 2018 για όλους τους πολίτες της Ευρωπαϊκής Ένωσης και για όλες τις ιδιωτικές επιχειρήσεις και ιδιωτικούς φορείς που εδρεύουν στην Ευρωπαϊκή Ένωση. Περιλαμβάνει επίσης και επιχειρήσεις ή φορείς που δεν βρίσκονται στο έδαφος της Ευρωπαϊκής Ένωσης αλλά δραστηριοποιούνται σε αυτό με όποιον τρόπο.

Όλοι οι οργανισμοί, οι εταιρείες και οι ελεύθεροι επαγγελματίες θα πρέπει να εφαρμόζουν πολιτικές & διαδικασίες με τις  οποίες:

  • θα λαμβάνουν την συγκατάθεση για τη συλλογή και την επεξεργασία προσωπικών δεδομένων.
  • θα παρέχουν σαφή γνωστοποίηση για τη συλλογή και την επεξεργασία δεδομένων φυσικών προσώπων.
  • θα περιγράφουν τους λόγους και τις περιπτώσεις επεξεργασίας των προσωπικών δεδομένων.
  • θα τηρούν αρχεία που θα παρέχουν αναλυτικές πληροφορίες για τις διαδικασίες επεξεργασίας των δεδομένων.
  • θα προστατεύουν τα προσωπικά δεδομένα λαμβάνοντας κατάλληλα μέτρα ασφαλείας στο εσωτερικό τους και στις επικοινωνίες τους με τρίτους.
  • θα ορίζουν τις πολιτικές αποθήκευσης, διατήρησης, ασφαλούς φύλαξης και διαγραφής δεδομένων τα οποία έχουν στην κατοχή τους, σε έντυπη και σε ηλεκτρονική μορφή.
  • θα γνωστοποιούν εντός 72 ωρών στις αρχές και στους ενδιαφερόμενους, τις παραβιάσεις προσωπικών δεδομένων.

 

Η συγκατάθεση, λοιπόν, του πελάτη δεν βρίσκεται πλέον μέσα σε τεράστια κείμενα προϋποθέσεων και όρων ή δεν είναι προεπιλεγμένη επιλογή η συγκατάθεσή του από πριν.

Έτσι, η οποιαδήποτε παροχή προσωπικών πληροφοριών και συγκατάθεσης για τη χρήση τους πρέπει να είναι απομονωμένη από άλλα θέματα, ευδιάκριτη και κατανοητή, όπως επίσης απαγορεύεται ρητά η ανταλλαγή πληροφοριών με επιπλέον παροχές ή πακέτα «premium».

Για ανήλικους κάτω των 16 πρέπει υποχρεωτικά να υπάρχει συναίνεση γονέα!

Πιο συγκεκριμένα, όλοι οι πολίτες της Ευρωπαϊκής Ένωσης έχουν δικαίωμα στην πρόσβαση, διόρθωση ή διαγραφή των προσωπικών δεδομένων τους που βρίσκονται στα χέρια τρίτων. Κάποιος που ζει μόνιμα εντός των ορίων της ΕΕ μπορεί οποιαδήποτε στιγμή να ζητήσει αντίγραφο των στοιχείων του που βρίσκονται σε χέρια εταιρείας ή τρίτων γενικά που δραστηριοποιείται εντός ή εκτός ΕΕ και συναλλάσσεται μαζί του. Η προθεσμία που δίνεται στους οργανισμούς είναι ένας μήνας. Με τον ίδιο τρόπο ζητάτε και η διαγραφή προσωπικών δεδομένων, εκτός αν η εταιρία δικαστικά εμφάνιση αρκετά σοβαρούς λόγους για την μη πραγματοποίηση του αιτήματος.

Επιπλέον, οι οργανισμοί πρέπει να καθιστούν αδύνατη την υποκλοπή προσωπικών δεδομένων των πελατών τους, καθώς σε αντίθετη περίπτωση πρέπει να ειδοποιηθεί από τον διαχειριστή η Ρυθμιστική Αρχή της χώρας, το αργότερο σε τρία εικοσιτετράωρα.

Στην περίπτωση που μια επιχείρηση βρίσκεται μέσα στο πλαίσιο των ρυθμίσεων του GDPR και δεν συμμορφώνεται, επιβάλλεται διοικητικό πρόστιμο από τη Ρυθμιστική Αρχή της χώρας. Το πρόστιμο μπορεί να φτάσει ακόμα και τα €20 εκατομμύρια ή το 4% του ετήσιου τζίρου της εταιρείας.

Ο κανονισμός σχετικά με τα προσωπικά δεδομένα σίγουρα έχει ένα μεγάλο ζήτημα πολυπλοκότητας, κάτι που είναι στα χέρια των ίδιων των εταιριών να λύσουν με την απειλή και των ιδιαίτερα επιβαρυντικών προστίμων, ώστε να καταφέρουν με κάθε τρόπο να προστατεύσουν προσωπικά δεδομένα και ευαίσθητες πληροφορίες των πελατών τους.