Skip to main content
Menu Αναζήτηση
espa-banner

Επιχειρήσεις: 13 ερωτήσεις και απαντήσεις για τον GDPR

Πως θα επηρεάσει πολίτες και επιχειρήσεις από τις 25 Μαΐου 2018 ...

Του Κωνσταντίνου Μ. Τζίκα*

www.tzikas-lawfirm.gr

1) Τι είναι ο GDPR;

Ο GDPR (General Data Protection Regulation) είναι ο Γενικός Κανονισμός προστασίας προσωπικών δεδομένων ο οποίος ψηφίστηκε από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο στις Βρυξέλλες στις 27 Απριλίου 2016 με σκοπό την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Ο Κανονισμός αυτός από τις 25/05/2018 και εντεύθεν θα αντικαταστήσει τον εθνικό νόμο υπ'αριθμ. 2472/1997 και εφεξής θα ισχύει μόνο αυτός.

2) Τι συνέβαλε στην ψήφιση του Κανονισμού αυτού;

Σύμφωνα με το προοίμιο του Κανονισμού, στην ψήφιση του συνέβαλε καθοριστικά η ραγδαία ανάπτυξη της τεχνολογίας και η παγκοσμιοποίηση σε συνάρτηση με την αυξανόμενη κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα. Είναι γνωστό πλέον οτι οι άνθρωποι από κάθε γωνιά της γης ολοένα και περισσότερο δημοσιοποιούν από τα μέσα κοινωνικής δικτύωσης (social networks – facebook, instagram etc) προσωπικές πληροφορίες και τις καθιστούν διαθέσιμες σε παγκόσμιο επίπεδο.

3) Τι είναι τα προσωπικά δεδομένα σύμφωνα με τον ανωτέρω Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR) ;

«δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. Mε πιο απλά λόγια, δεδομένα προσωπικού χαρακτήρα του ανθρώπου μπορεί να είναι το ανοματεπώνυμό του, ο αριθμός της ταυτότητάς του, ο αριθμός του φορολογικού του μητρώου (ΑΦΜ), η διεύθυνση του σπιτιού του, ο αριθμός της πιστωτικής του κάρτας, η πινακίδα του αυτοκινήτου του, το e-mail του κλπ.

4) Που εφαρμόζεται ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων;

Σύμφωνα με το άρθρο 2 του Γενικού Κανονισμού, ο κανονισμός αυτός θα εφαρμόζεται από την 25η Μαϊου 2018 στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

5) Που δεν εφαρμόζεται;

Ο Γενικός Κανονισμός δεν εφαρμόζεται μεταξύ άλλων στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

  • Από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας,
  • από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.

6) Πότε θεωρείται νόμιμη μια επεξεργασία προσωπικών δεδομένων (άρθρο 6);

Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: (αναφέρονται ενδεικτικά τρεις για την οικονομία του χώρου)

  • το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
  • η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
  • η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας.

7) Ποιές είναι οι προϋποθέσεις για την συγκατάθεση – ανάκληση συγκατάθεσης (άρθρο 7);

Το υποκείμενο των δεδομένων οφείλει να δίνει γραπτώς την συγκατάθεσή του στην εκάστοτε επιχείρηση που συναλλάσσεται για την αγορά προϊόντος, υπηρεσίας κλπ για την επεξεργασία των προσωπικών του δεδομένων και διατηρεί το δικαίωμά του να ανακαλέσει ανά πάσα στιγμή αυτήν του την συγκατάθεση.

8) Ποιές πληροφορίες πρέπει να παρέχονται στο υποκείμενο των δεδομένων του οποίου τα δεδομένα επεξεργάζονται (άρθρο 13 & 15);

Σύμφωνα με τον Κανονισμό, ο υπεύθυνος επεξεργασίας, όταν συλλέγει δεδομένα προσωπικού χαρακτήρα του υποκειμένου, υποχρεούται να ενημερώνει το υποκείμενο για κάθε ενέργειά του, ήτοι για τα στοιχεία επικοινωνίας του, για τους σκοπούς επεξεργασίας αυτών, για τους αποδέκτες και για πόσο χρονικό διάστημα θα αποθηκευτούν, την ύπαρξη του δικαιώματός του να ανακαλέσει οποιαδήποτε στιγμή την συγκατάθεσή του, το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή κ.α.

9) Ποιος υποχρεουται να προσλάβει DPO (Data Protection Officer) (Υπεύθυνο επεξεργασίας προσωπικών δεδομένων;)

Οι δημόσιοι οργανισμοί και όσοι κάνουν μεγάλης κλίμακας επεξεργασία προσωπικών δεδομένων, ήτοι εταιρίες με μεγάλο αριθμό πελατών.

0) Πως μπορώ να αμυνθώ εάν παραβιαστούν τα προσωπικά μου δεδομένα; Έχω δικαίωμα να αξιώσω αποζημίωση;  (Άρθρα 77, 78, 79 & 82)

Το υποκείμενο των δεδομένων του οποίου τα προσωπικά δεδομένα έχουν παραβιαστεί, έχει δικαίωμα να υποβάλλει καταγγελία στην ανεξάρτητη αρχή προστασίας προσωπικών δεδομένων (εποπτική αρχή) της χώρας διαμονής του ή της χώρας εργασίας του. Εάν το πρόσωπο αυτό υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για την ζημία που υπέστη.

11) Ποιά είναι τα πρόστιμα που επιβάλονται στους παραβάτες;

Τα πρόστιμα που επιβάλλονται στους παραβάτες του παρόντος κανονισμού κυμαίνονται έως 20.000.000,00€ ή 4% του παγκόσμιου κύκλου εργασιών της εταιρίας ή του οργανισμού

12) Ποιούς αφορά;

Αφορά όσους επεξεργάζονται προσωπικά δεδομένα Ευρωπαίων πολιτών, ήτοι όλες ανεξαιρέτως τις εταιρίες και τις ατομικές επιχειρήσεις και όλους τους δημόσιους οργανισμούς που συλλέγουν, αποθηκεύουν και επεξεργάζονται προσωπικά δεδομένα πολιτών, προμηθευτών τους ή εργαζομένων τους και διατηρούν το email  τους σε ηλεκτρονικό αρχείο ή κάποιο άλλο έγγραφο και επικοινωνούν μαζί τους (υποψήφιους πελάτες) για την προώθηση των προϊόντων τους είτε με ηλεκτρονικό (email) είτε με φυσικό τρόπο.

13) Τι πρέπει να κάνουμε για να συμμορφωθούμε με τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR);

1ον Θα πρέπει να ενημερωθούμε (ανάγνωση Κανονισμού) για να τον κατανοήσουμε. 2ον Θα πρέπει να αναμορφώσουμε τους όρους χρήσης και την πολιτική απορρήτου (για όσους διαθέτουν διαδυκτιακή σελίδα – website – ηλεκτρονικό κατάστημα προώθησης και πώλησης προϊόντων) και να τα εναρμονίσουμε με τις διατάξεις του παρόντος Κανονισμού. 3ον Να ζητάμε γραπτώς την συγκατάθεση των πελατών μας με email ή με συμβατικό τρόπο (έγγραφο) εν προκειμένω για την προώθηση και την πώληση των προϊόντων μας . 4ον Συνεπώς κατ επέκταση θα πρέπει να ενημερώνεται το υποκείμενο των δεδομένων για τον σκοπό της χρήσης των δεδομένων του (email, ονοματεπώνυμο, ηλικία, κατοικία κλπ) από τον υπεύθυνο επεξεργασίας , ήτοι αν είναι εμπορικός ο σκοπός του, διαφημιστικός ή απλά ενημερωτικός (σελίδες ειδήσεων και ενημέρωσης) αλλά και για την διάρκεια χρήση των δεδομένων αυτών. 5ον Να ενημερώνουμε τα θύματα για την παραβίαση των προσωπικών τους δεδομένων. 6ον Να ενημερώνουμε την εποπτική αρχή για την παραβίαση αυτή.

* ο Κωνσταντίνος Τζίκας είναι δικηγόρος & διαμεσολαβητής Υ.Δ.Δ.Α.Δ.

ΣΧΕΤΙΚΑ ΑΡΘΡΑ