ΑΣΦΑΛΕΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Ο νέος Κανονισμός GDPR δίνει ιδιαίτερη σημασία στην υποχρέωση του υπεύθυνου επεξεργασίας να λαμβάνει μέτρα για την ασφάλεια των προσωπικών δεδομένων που επεξεργάζεται. 

 

Συγκεκριμένα προβλέπει ότι λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας των προσωπικών δεδομένων έναντι των κινδύνων. 

Με αυτή την πρόβλεψη ο GDPR είναι σαφές ότι δεν επιβάλλει σε όλες τις επιχειρήσεις να λαμβάνουν τα ίδια μέτρα. Άλλα μέτρα ασφαλείας των δεδομένων θα λάβει μία μικρή επιχείρηση με 10 εργαζόμενους που δεν επεξεργάζεται ευαίσθητα προσωπικά δεδομένα και άλλα μέτρα θα λάβει μία πολυεθνική επιχείρηση με εκατοντάδες εργαζόμενους που συλλέγει εκατομμύρια δεδομένα από τους χρήστες των υπηρεσιών της.  

Δυστυχώς πολλές εταιρίες προσπαθούν να πείσουν τις μικρές επιχειρήσεις ότι είναι υποχρεωμένες λόγω του GDPR να προβούν σε υπερβολικές τεχνικές λύσεις να αγοράσουν ειδικά προγράμματα κρυπτογράφησης και να πληρώσουν μεγάλα κόστη για την συμμόρφωσή του με τον GDPR.  

Όμως για τις περισσότερες επιχειρήσεις η λήψη απλών και λογικών μέτρων ασφαλείας των προσωπικών δεδομένων, όπως το να κλειδώνεις σε ένα συρτάρι τα έγγραφα της μισθοδοσίας και να μην τα αφήνεις εκτεθειμένα ή να έχεις κωδικό πρόσβασης στον υπολογιστή σου είναι αρκετά για να συμμορφωθεί η επιχείρηση με τον GDPR.  

Η δικηγορική μας εταιρία Στέφανος Οικονόμου και συνεργάτες με γραφεία στο Κολωνάκι και στη Γλυφάδα αφού αναλύσει τις ανάγκες της εταιρίας σας θα σας υποδείξει τι τεχνικά και οργανωτικά μέτρα ασφαλείας πρέπει να λάβετε για να συμμορφωθείτε με τον GDPR εύκολα και με λογικό κόστος.  

Μεταξύ των μέτρων που περιλαμβάνει ο GDPR ως μέτρα ασφαλείας των προσωπικών δεδομένων είναι και τα εξής:  

α) η ψευδωνυμοποίηση και κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα, 

β) η διασφάλιση του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, 

γ) η δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, 

δ) η διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας. 

 

Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας πρέπει να λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ` άλλο τρόπο σε επεξεργασία. 

Η τήρηση εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 όταν αυτά εκδοθούν μπορεί να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις ασφαλείας των προσωπικών δεδομένων σύμφωνα με τον GDPR. 

ΤΕΧΝΙΚΑ ΚΑΙ ΟΡΓΑΝΩΤΙΚΑ ΜΕΤΡΑ

Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των προσωπικών δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.

Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.

Εγκεκριμένος μηχανισμός πιστοποίησης σύμφωνα με το άρθρο 42 του Κανονισμού μπορεί να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει τη συμμόρφωση με τις παραπάνω απαιτήσεις.

ΥΠΟΧΡΕΩΣΕΙΣ ΚΑΙ ΕΥΘΥΝΕΣ ΤΟΥ ΥΠΕΥΘΥΝΟΥ ΕΠΕΞΕΡΓΑΣΙΑΣ

Ο υπεύθυνος επεξεργασίας οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον κανονισμό.

Ο δικηγόροι του γραφείου μας μπορούν να σας ενημερώσουν για τα απαραίτητα τεχνικά και οργανωτικά μέτρα και να εκπονήσουν για εσάς, πάντοτε σε συνεργασία με την επιχείρησή σας Πολιτική για την προστασία των προσωπικών δεδομένων που συλλέγετε καθώς και να εκπονήσουν Κώδικα Δεοντολογίας της επιχείρησής σας και να φροντίσουν για την έγκρισή του.

Η τήρηση εγκεκριμένων κωδίκων δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 του Κανονισμού  δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις του υπευθύνου επεξεργασίας.

ΥΠΕΥΘΥΝΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΚΑΙ ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

Υπεύθυνος επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας προσωπικών δεδομένων.

Παραδείγματος χάριν μία εταιρία που αποφασίζει να δημιουργήσει ένα αρχείο με τα ονόματα των πελατών της και των προμηθευτών της είναι υπεύθυνος επεξεργασίας των προσωπικών τους δεδομένων. Όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,

Εκτελών την επεξεργασία είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του υπευθύνου της επεξεργασίας. Παραδείγματος χάριν όταν μία εμπορική εταιρία που εμπορεύεται ρούχα αναθέτει σε μία εταιρία πληροφορικής να συλλέξει ονόματα, τις ηλικίες και το ύψος των πελατών της τότε η εταιρία ρούχων είναι ο υπεύθυνος επεξεργασίας και η εταιρία πληροφορικής είναι ο Εκτελών την επεξεργασία.

ΤΙ ΣΥΝΙΣΤΑ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Επεξεργασία προσωπικών δεδομένων συνιστά κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή τους.

ΠΟΙΑ ΕΙΝΑΙ ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

Ως προσωπικά δεδομένα, ή «δεδομένα προσωπικού χαρακτήρα» θεωρείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ( το οποίο ονομάζεται «υποκείμενο των δεδομένων». Ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό (on line ) αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.

 

Είναι προφανές από τον παραπάνω ορισμό ότι οι πληροφορίες που αφορούν νομικά πρόσωπα, ( εταιρίες, σωματεία κλπ ) δεν συνιστούν προσωπικά δεδομένα και δεν προστατεύονται από τον παρόντα κανονισμό.

 

Ιδιαίτερης σημασίας είναι τα κάτωθι είδη δεδομένων:

«γενετικά δεδομένα»: τα προσωπικά δεδομένα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου,

«βιομετρικά δεδομένα»: προσωπικά δεδομένα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα,

«δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του.

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ – Data Protection Officer

Ο νέος κανονισμός GDPR δημιουργεί μία νέα έννοια και θέση στις επιχειρήσεις τον Υπεύθυνο Προστασίας Δεδομένων ή στα αγγλικά Data Protection Officer (DPO).  

 

Η δικηγορική μας εταιρία Στέφανος Οικονόμου και Συνεργάτες με γραφεία στο Κολωνάκι και Γλυφάδα έχει αναλάβει ήδη την συμμόρφωση δεκάδων επιχειρήσεων με τις επιταγές του νέου GDPR δηλαδή του General Data Protection Regulation που ισχύει ήδη και στην Ελλάδα.  

Στα πλαίσια του GDPR προβλέπεται για μερικές επιχειρήσεις η υποχρέωση να διορίσουν DPO δηλαδή Υπεύθυνο Προστασίας Προσωπικών Δεδομένων.  

Οι δικηγόροι του γραφείου μας παρέχουν υπηρεσίες Υπεύθυνου Προστασίας Δεδομένων ( DPO services ) σε επιχειρήσεις και σας αναλαμβάνουν να συμμορφωθείτε με τις υποχρεώσεις σας που απορρέουν από το νέο GDPR – Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων. 

Παρέχουμε πακέτα υπηρεσιών ανάλογα με τις ανάγκες σας για 6 ή 12 μήνες.   

Σύμφωνα με τον GDPR, Ο διορισμός DPO είναι υποχρεωτικός στις κάτωθι περιπτώσεις:  

α) η επεξεργασία προσωπικών δεδομένων διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,  

β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή  

γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών ( ευαίσθητων ) προσωπικών δεδομένων κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.  

 

Σε περίπτωση ομίλου επιχειρήσεων, ο Όμιλος επιχειρήσεων μπορεί να διορίσει ένα μόνο υπεύθυνο προστασίας προσωπικών δεδομένων, υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδομένων.  

Ο νόμος του Κράτους μέλους που θα εκδοθεί σύμφωνα με τον GDPR μπορεί να καθορίσει και άλλες περιπτώσεις που ο διορισμός Υπεύθυνου Επεξεργασίας (DPO) είναι υποχρεωτικός.  

Ο DPO, υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39 του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων – GDPR. 

Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.  

Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας προσωπικών δεδομένων και τα ανακοινώνουν στην εποπτική αρχή.  

ΕΚΘΕΣΗ ΕΚΤΙΜΗΣΗΣ ΑΝΤΙΚΤΥΠΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ – DATA PROTECTION IMPACT ASSESSMENT ( DPIA )

Μία από τις σημαντικότερες νέες υποχρεώσεις που εισάγει ο Κανονισμός GDPR είναι η εκπόνηση έκθεσης εκτίμησης αντικτύπου της επεξεργασίαςγια την προστασία των προσωπικών δεδομένων από τον υπεύθυνο επεξεργασίας ή Data Protection Impact Assessment στα αγγλικά που συντομογραφείται ως DPIA. 

Το δικηγορικό μας γραφείο έχοντας εμπειρία ετών σε ανάλογες εκθέσεις εκτίμησης, και risk analysis and assessments reports μπορεί να αναλάβει την αρχική εκτίμηση για το αν οι επεξεργασίες στις οποίες προβαίνει η επιχείρησή σας απαιτούν την εκπόνηση έκθεσης εκτίμησης αντικτύπου ή όχι σύμφωνα με τον GDPR και αν η απάντηση είναι θετική να αναλάβει και την εκπόνηση της έκθεσης εκτίμησης. 

Η υποχρέωση για εκπόνηση Έκθεση Εκτίμησης Αντικτύπου, υπάρχει σύμφωνα με τον GDPR, όταν η επεξεργασία των δεδομένων ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. 

Για να κριθεί αν πληρούται αυτή η προυπόθεση, ο Κανονισμός GDPR θέτει ορισμένα κριτήρια που πρέπει να λαμβάνονται υπόψη και είναι τα κάτωθι: 

Η χρήση νέων τεχνολογιών, η φύση,  το πεδίο εφαρμογής, το πλαίσιο και οι σκοποί της επεξεργασίας των δεδομένων. 

 

Η εκτίμηση αντικτύπου σχετικά με την προστασία προσωπικών δεδομένων απαιτείται σύμφωνα με τον GDPR ιδίως στις εξής περιπτώσεις: 

α) συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο, 

β) μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 ή 

γ) συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα ( σε αυτή την κατηγορία εντάσσονται οι εταιρίες παροχής υπηρεσιών ασφάλειας ( security ). 

 

Η DPIA πρέπει να περιέχει τουλάχιστον: 

α) συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, κατά περίπτωση, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας, 

β) εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς, 

γ) εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 και 

δ) τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων. 

Όταν απαιτείται, ιδίως όταν μεταβάλλεται ο κίνδυνος που προκύπτει από τις πράξεις επεξεργασίας, ο ο υπεύθυνος επεξεργασίας οφείλει να προβαίνει σε επανεξέταση για να εκτιμήσει εάν η επεξεργασία των προσωπικών δεδομένων διενεργείται σύμφωνα με την εκτίμηση αντικτύπου στην προστασία δεδομένων τουλάχιστον όταν μεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας. 

 

Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

Από την 25η Μαίου 2018 τίθεται σε άμεση εφαρμογή ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαικού Κοινοβουλίου της 27ης Απριλίου 2016.

 

Ο νέος κανονισμός έχει σκοπό να θεσπίσει κανόνες για δύο στόχους:

1/ την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και

2/ την ελεύθερη κυκλοφορία των προσωπικών δεδομένων.

 

Παρότι ο Κανονισμός χαρακτηρίζει την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα ως θεμελιώδες δικαίωμα που άλλωστε κατοχυρώνεται και στο άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης») και στο άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) που ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, είναι αξιοσημείωτο ότι ο νέος κανονισμός δεν έχει σκοπό μόνο την προστασία των προσωπικών δεδομένων αλλά έχει σκοπό να κατοχυρώσει και να ρυθμίσει την ελεύθερη κυκλοφορία των προσωπικών δεδομένων εντός της Ευρωπαικής Ένωσης.

 

Μάλιστα είναι χαρακτηριστικό το ότι στο άρθρο 1 παρ. 3 του Κανονισμού ορίζεται ότι <<  Η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν περιορίζεται ούτε απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.>>

 

Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων ( GDPR ) 679/2016 εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

 

Είναι προφανές ότι σήμερα με τις τεχνικές που έχει στη διάθεσή του ο οποιοσδήποτε η αυτοματοποιημένη συλλογή και επεξεργασία προσωπικών δεδομένων είναι ο κανόνας.

 

Όπως αναφέρεται στον Κανονισμό, οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των προσωπικών δεδομένων. Η κλίμακα της συλλογής και της ανταλλαγής προσωπικών  δεδομένων αυξήθηκε σημαντικά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Ο οποιοσδήποτε χρήστης του διαδικτύου γνωρίζει ότι η περιήγησή του στο διαδίκτυο στην ουσία καταγράφεται συνεχώς και πλήθος πληροφοριών που τον αφορούν συλλέγονται για διάφορους σκοπούς κυρίως προωθητικούς.

 

Όλοι μας ολοένα και περισσότερο δημοσιοποιούμε προσωπικές πληροφορίες και τις καθιστούμε διαθέσιμες σε παγκόσμιο επίπεδο με χαρακτηριστικό παράδειγμα τα κοινωνικά δίκτυα όπως το Facebook. Σύμφωνα με τον Κανονισμό, η τεχνολογία έχει αλλάξει τόσο την οικονομία όσο και την κοινωνική ζωή και θα πρέπει να διευκολύνει περαιτέρω την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης και τη διαβίβαση σε τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα.