Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) είναι ένας πανευρωπαϊκός κανονισμός που ελέγχει τον τρόπο με τον οποίο εταιρείες και άλλοι οργανισμοί χειρίζονται τα προσωπικά δεδομένα. Είναι η πιο σημαντική πρωτοβουλία για την προστασία των δεδομένων σε 20 χρόνια και έχει σημαντικές επιπτώσεις για κάθε οργανισμό στον κόσμο, που εξυπηρετεί άτομα από την Ευρωπαϊκή Ένωση.
Για να δώσει στους ανθρώπους τον έλεγχο του τρόπου με τον οποίο χρησιμοποιούνται τα δεδομένα τους και για την προστασία των «θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων», η νομοθεσία καθορίζει αυστηρές απαιτήσεις σχετικά με τις διαδικασίες χειρισμού δεδομένων, τη διαφάνεια, την τεκμηρίωση και τη συναίνεση των χρηστών.
Κάθε οργανισμός πρέπει να διατηρεί αρχείο και να παρακολουθεί τις δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα
Ως υπεύθυνος επεξεργασίας δεδομένων, κάθε οργανισμός πρέπει να τηρεί αρχείο και να παρακολουθεί τις δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Αυτό περιλαμβάνει προσωπικά δεδομένα που διαχειρίζονται ο οργανισμός, αλλά και από τρίτα μέρη – τους λεγόμενους επεξεργαστές δεδομένων.
Οι επεξεργαστές δεδομένων μπορούν να είναι οτιδήποτε από παρόχους λογισμικού ως υπηρεσίες έως ενσωματωμένες υπηρεσίες τρίτων, παρακολούθηση και επισκεψιμότητα επισκεπτών στον ιστότοπο του οργανισμού.
Τόσο οι υπεύθυνοι επεξεργασίας δεδομένων όσο και οι επεξεργαστές πρέπει να είναι σε θέση να λογοδοτούν για το είδος των δεδομένων που υποβάλλονται σε επεξεργασία, τον σκοπό της επεξεργασίας και σε ποιες χώρες και τρίτα μέρη διαβιβάζονται τα δεδομένα.
Εάν τα προσωπικά δεδομένα αποστέλλονται σε οργανισμούς ή δικαιοδοσίες πέραν του προσιτού του GDPR ή που δεν θεωρούνται «επαρκείς» από τον GDPR, πρέπει να ενημερώσετε συγκεκριμένα τον χρήστη σχετικά με αυτό και τους κινδύνους που συνεπάγεται.
Όλες οι συγκαταθέσεις πρέπει να καταγράφονται ως απόδειξη ότι έχει δοθεί συγκατάθεση
Στις 4 Μαΐου 2020, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) ενέκρινε κατευθυντήριες γραμμές σχετικά με την έγκυρη συγκατάθεση βάσει του GDPR.
Η έγκυρη συγκατάθεση πρέπει να είναι μια ελεύθερη, συγκεκριμένη, ενημερωμένη και ξεκάθαρη ένδειξη των επιθυμιών του χρήστη, δηλαδή μια σαφής και καταφατική ενέργεια από τον χρήστη.
Οι οδηγίες του EDPB καθιστούν σαφές ότι η κύλιση ή η συνεχιζόμενη περιήγηση σε έναν ιστότοπο δεν αποτελούν έγκυρη συγκατάθεση και ότι δεν επιτρέπεται στα πανό cookie να έχουν προεπιλεγμένα πλαίσια ελέγχου .
Τα τείχη των cookie (αναγκαστική συγκατάθεση) θεωρούνται επίσης μη συμμορφούμενα.
Το EDPB είναι η υψηλότερη εποπτική αρχή που είναι υπεύθυνη για την εφαρμογή του GDPR σε ολόκληρη την ΕΕ και απαρτίζεται από εκπροσώπους των αρχών προστασίας δεδομένων κάθε κράτους μέλους της ΕΕ. Οι κατευθυντήριες γραμμές και οι αποφάσεις τους αποτελούν τις βάσεις επιβολής του GDPR σε εθνικό επίπεδο.
Τα άτομα έχουν πλέον το «δικαίωμα μεταφοράς δεδομένων», το «δικαίωμα πρόσβασης στα δεδομένα» μαζί με το «δικαίωμα να ξεχαστούν» και μπορούν να ανακαλέσουν τη συγκατάθεσή τους όποτε το επιθυμούν. Σε αυτήν την περίπτωση ο υπεύθυνος επεξεργασίας δεδομένων πρέπει να διαγράψει τα προσωπικά δεδομένα του ατόμου εάν δεν είναι πλέον απαραίτητο για τον σκοπό για τον οποίο συλλέχθηκαν.
Σε περίπτωση παραβίασης δεδομένων, η εταιρεία πρέπει να είναι σε θέση να ειδοποιεί τις αρχές προστασίας δεδομένων και τα θιγόμενα άτομα εντός 72 ωρών.
Επιπλέον, ο GDPR επιβάλλει υποχρέωση στις δημόσιες αρχές, οργανισμούς με περισσότερους από 250 υπαλλήλους και εταιρείες που επεξεργάζονται ευαίσθητα προσωπικά δεδομένα σε μεγάλη κλίμακα να απασχολούν ή να εκπαιδεύουν έναν υπεύθυνο προστασίας δεδομένων (DPO). Ο DPO πρέπει να λάβει μέτρα για να διασφαλίσει τη συμμόρφωση του GDPR σε ολόκληρο τον οργανισμό.
Σε σχέση με το Brexit, η κυβέρνηση του Ηνωμένου Βασιλείου σχεδιάζει να εφαρμόσει ισοδύναμη νομοθεσία που θα ακολουθήσει σε μεγάλο βαθμό το GDPR.
Τι σημαίνει ο GDPR για τον ιστότοπό μου;
Εάν ο ιστότοπός σας εξυπηρετεί άτομα από την ΕΕ και εσείς – ή ενσωματωμένες υπηρεσίες τρίτων όπως η Google και το Facebook – επεξεργάζεστε οποιοδήποτε είδος προσωπικών δεδομένων, πρέπει να λάβετε προηγούμενη συγκατάθεση από τον επισκέπτη.
Για να λάβετε έγκυρη συγκατάθεση, πρέπει να περιγράψετε την έκταση και τον σκοπό της επεξεργασίας δεδομένων σας σε απλή γλώσσα στον επισκέπτη, πριν από την επεξεργασία τυχόν προσωπικών δεδομένων.
Αυτές οι πληροφορίες πρέπει να είναι διαθέσιμες στον επισκέπτη ανά πάσα στιγμή, π.χ. ως μέρος της πολιτικής απορρήτου σας. Πρέπει επίσης να διαθέσετε έναν εύκολο τρόπο για τον επισκέπτη να αλλάξει ή να ανακαλέσει τη συγκατάθεσή του.
Όλες οι συγκαταθέσεις πρέπει να καταγράφονται ως απόδειξη και κάθε παρακολούθηση των προσωπικών δεδομένων, καθώς και από ενσωματωμένες υπηρεσίες τρίτων, πρέπει να τεκμηριώνονται, βάσει των οποίων διαβιβάζονται τα δεδομένα των χωρών.
Δείτε το EU-infopage σχετικά με τη μεταρρύθμιση των νόμων περί προστασίας δεδομένων.
Ποιος είναι ο ορισμός των προσωπικών δεδομένων;
Ο GDPR ορίζει τα προσωπικά δεδομένα ως “κάθε πληροφορία που σχετίζεται με ένα φυσικό πρόσωπο που ταυτοποιείται ή μπορεί να προσδιοριστεί (” υποκείμενο δεδομένων “) · ένα φυσικό πρόσωπο που μπορεί να προσδιοριστεί είναι αυτό που μπορεί να ταυτοποιηθεί, άμεσα ή έμμεσα, ιδίως με αναφορά σε ένα αναγνωριστικό όπως ένα όνομα , έναν αριθμό αναγνώρισης, δεδομένα τοποθεσίας, ένα διαδικτυακό αναγνωριστικό ή έναν ή περισσότερους παράγοντες που σχετίζονται με τη φυσική, φυσιολογική, γενετική, διανοητική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα αυτού του φυσικού προσώπου. “
Τα διαδικτυακά αναγνωριστικά όπως οι διευθύνσεις IP θεωρούνται πλέον προσωπικά δεδομένα, εκτός αν είναι ανώνυμα.
Τα ψευδώνυμα προσωπικά δεδομένα υπόκεινται επίσης στον GDPR, εάν με αντίστροφη μηχανική είναι δυνατή η αναγνώριση των δεδομένων των οποίων είναι.
Ημερομηνία εφαρμογής του GDPR: 25 Μαΐου 2018
Η μεταρρύθμιση της ΕΕ για την προστασία των δεδομένων εγκρίθηκε από το Ευρωπαϊκό Κοινοβούλιο και το Ευρωπαϊκό Συμβούλιο στις 27 Απριλίου 2016. Ο ευρωπαϊκός κανονισμός για την προστασία δεδομένων εφαρμόζεται από τις 25 Μαΐου 2018 και αντικαθιστά την οδηγία για την προστασία δεδομένων.
Πρόστιμα και ποινές GDPR
Οι οργανισμοί σε περίπτωση μη συμμόρφωσης κινδυνεύουν να επιβάλουν πρόστιμα έως και 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών του οργανισμού, όποιο από τα δύο είναι υψηλότερο.
Λίστα ελέγχου GDPR: 6 πράγματα που πρέπει να κάνω
1. Προετοιμάστε τον οργανισμό σας:
Εισαγάγετε τα ενδιαφερόμενα μέρη σε ολόκληρο τον οργανισμό σας για τις απαιτήσεις του GDPR. Διεξαγωγή εκπαίδευσης υπαλλήλων στον τομέα της ασφάλειας στον κυβερνοχώρο, του απορρήτου βάσει σχεδιασμού και του απορρήτου βάσει προεπιλεγμένων αρχών. Ορίστε έναν υπεύθυνο προστασίας δεδομένων (DPO) εάν απαιτείται, δηλαδή εάν απασχολούν περισσότερα από 250 άτομα.
2. Ελέγξτε τα δεδομένα σας:
Βεβαιωθείτε ότι γνωρίζετε πού ζουν όλα τα δεδομένα σας, ποιος έχει πρόσβαση και σε ποιες συσκευές. Προσδιορίστε πού επεξεργάζονται τα προσωπικά δεδομένα, συμπεριλαμβανομένων και από τρίτους επεξεργαστές. Τεκμηριώστε τους λόγους για νόμιμη επεξεργασία και ενημερώστε τις τρέχουσες πολιτικές απορρήτου.
3. Συνεργάτες ελεγκτικών υπηρεσιών:
Βεβαιωθείτε ότι οι συνεργάτες υπηρεσιών, δηλαδή οι ενσωματωμένες υπηρεσίες τρίτων στον ιστότοπό σας ή οι πάροχοι λογισμικού ως υπηρεσίες, συμμορφώνονται επίσης με το GDPR ή υπό επίσημη κυρώσεις δεδομένων. Ελέγξτε και χαρτογραφήστε τις διεθνείς ροές δεδομένων τους.
4. Λάβετε τη συγκατάθεσή σας:
Εφαρμόστε μεθόδους για αναζήτηση, λήψη και καταγραφή συγκατάθεσης για διασφάλιση της συμμόρφωσης Διατηρήστε μια σαφή καταγραφή για το τι συναινεί κάθε μεμονωμένο υποκείμενο δεδομένων και παρέχετε επιλογές για το υποκείμενο των δεδομένων για ανάκληση ή αλλαγή συναίνεσης.
5. Απάντηση στα δικαιώματα δεδομένων:
Εφαρμόστε διαδικασίες που επιτρέπουν στον οργανισμό σας να ανταποκρίνεται σε δικαιώματα υποκειμένων δεδομένων, δηλαδή πρόσβαση δεδομένων, διόρθωση και διαγραφή. Τεκμηριώστε πώς θα ασκηθούν τόσο στα πλαίσια των πελατών όσο και των υπαλλήλων.
6. Προετοιμαστείτε για παραβιάσεις δεδομένων:
Βεβαιωθείτε ότι υπάρχουν διαδικασίες για τον εντοπισμό, τη διερεύνηση και την αναφορά παραβιάσεων προσωπικών δεδομένων για την τήρηση της προθεσμίας 72 ωρών για κοινοποίηση του GDPR.
Συμμόρφωση και απαιτήσεις GDPR
Μαθήματα, εκπαίδευση και πιστοποίηση GDPR:
Μπορείτε να αποκτήσετε τα προσόντα του EU GDPR Foundation (EU GDPR F) και EU GDPR Practitioner (EU GDPR P) (και τα δύο ISO 17024-διαπιστευμένα) σε διάφορα μαθήματα από π.χ. IT Governance . Η Διεθνής Ένωση Επαγγελματιών Απορρήτου (IAPP) παρέχει επίσης διαδικτυακή εκπαίδευση .
Λογισμικό συμμόρφωσης GDPR:
Υπάρχουν αριθμητικά πακέτα εργαλείων, πλαίσια και λύσεις λογισμικού που μπορούν να σας βοηθήσουν στη διαδικασία συμμόρφωσης με το GDPR, δηλαδή το DPOrganizer , που σας βοηθά να κάνετε τη δική σας επεξεργασία δεδομένων προσωπική.
Το Cookiebot μπορεί να σας βοηθήσει να αυτοματοποιήσετε τον χειρισμό των συγκατάθεσης χρηστών στον ιστότοπό σας και να τεκμηριώσετε τα cookies και άλλους ιχνηλάτες που χρησιμοποιούνται.
