Οι εταιρείες που συλλέγουν δεδομένα σχετικά με τους πολίτες στις χώρες της Ευρωπαϊκής Ένωσης (ΕΕ) πρέπει να συμμορφώνονται με αυστηρούς νέους κανόνες σχετικά με την προστασία των δεδομένων των πελατών. Ο Κανονισμός Γενικής Προστασίας Δεδομένων (ΓΚΠΔ) θέτει ένα νέο πρότυπο για τα δικαιώματα των καταναλωτών όσον αφορά τα δεδομένα τους, αλλά οι εταιρείες θα αμφισβητηθούν καθώς εφαρμόζουν συστήματα και διαδικασίες για τη διατήρηση της συμμόρφωσης.
Η συμμόρφωση θα προκαλέσει ορισμένες ανησυχίες και νέες προσδοκίες των ομάδων ασφαλείας. Για παράδειγμα, οΓΚΠΔ λαμβάνει μια ευρεία άποψη για το τι αποτελεί προσωπική πληροφορία αναγνώρισης. Οι εταιρείες θα χρειαστούν το ίδιο επίπεδο προστασίας για θέματα όπως η διεύθυνση IP ενός ατόμου ή τα δεδομένα cookie όπως κάνουν για το όνομα, τη διεύθυνση και τον αριθμό κοινωνικής ασφάλισης.
Μερικοί από τους τύπους που προστατεύει ο ΓΚΠΔ είναι οι εξής:
- Βασικές πληροφορίες ταυτότητας, όπως όνομα, διεύθυνση και αριθμοί ταυτότητας
- Δεδομένα ιστού όπως τοποθεσία, διεύθυνση IP, δεδομένα cookie και ετικέτες RFID
- Υγεία και γενετικά δεδομένα
- Βιομετρικά δεδομένα
- Φυλετικά ή εθνικά δεδομένα
- Πολιτικές απόψεις
- Σεξουαλικός προσανατολισμός
Ο ΓΚΠΔ καλύπτει όλες τις πληροφορίες που μπορούν να ταξινομηθούν ως προσωπικά στοιχεία ή που μπορούν να χρησιμοποιηθούν για τον προσδιορισμό της ταυτότητάς σας. Απαιτείται γονική συναίνεση για την επεξεργασία οποιωνδήποτε δεδομένων σχετικά με παιδιά ηλικίας 16 ετών και κάτω.
Κάθε εταιρεία που αποθηκεύει ή επεξεργάζεται προσωπικές πληροφορίες σχετικά με πολίτες της ΕΕ εντός των κρατών της ΕΕ πρέπει να συμμορφώνεται με τον ΓΚΠΔ, ακόμη και αν δεν έχουν επιχειρηματική παρουσία εντός της ΕΕ. Ειδικά κριτήρια για τις εταιρείες που υποχρεούνται να συμμορφωθούν είναι:
- Η παρουσία σε μια χώρα της ΕΕ.
- Δεν υπάρχει παρουσία στην ΕΕ, αλλά επεξεργάζεται τα προσωπικά δεδομένα των ευρωπαίων κατοίκων.
- Περισσότεροι από 250 εργαζόμενοι.
- Λιγότεροι από 250 εργαζόμενοι, αλλά η επεξεργασία τους επηρεάζει τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, δεν είναι περιστασιακή ή περιλαμβάνει ορισμένα είδη ευαίσθητων προσωπικών δεδομένων. Αυτό ουσιαστικά σημαίνει σχεδόν όλες τις εταιρείες.
Ουσιαστικά, όταν ο ΓΚΠΔ αναφέρεται στην επεξεργασία δεδομένων, αυτό σημαίνει τον χειρισμό, τη χρήση, την αποθήκευση και την καταστροφή των πληροφοριών. Οι επεξεργαστές και οι υπεύθυνοι επεξεργασίας είναι υπεύθυνοι για την εξασφάλιση της ασφάλειας των δεδομένων σε κάθε στάδιο του κύκλου ζωής τους.
Σε ορισμένες περιπτώσεις, τα άτομα μπορούν να ζητήσουν να μην υποβάλλονται σε επεξεργασία τα δεδομένα τους ή ότι η επεξεργασία τους είναι "περιορισμένη". Αυτό είναι επίσης γνωστό ως "το δικαίωμα αντίρρησης". Ίσως το άτομο θεωρεί τις πληροφορίες του ιδιαίτερα ευαίσθητες ή ανησυχεί για τον τρόπο με τον οποίο οι πληροφορίες τους θα χρησιμοποιηθούν από έναν οργανισμό.
Υπάρχουν τρεις περιπτώσεις όπου ένα άτομο έχει το δικαίωμα να αντικρούσει:
- Επεξεργασία δεδομένων για επιστημονική / ιστορική έρευνα
- Επεξεργασία δεδομένων για άμεσο μάρκετινγκ
- Επεξεργασία που βασίζεται στη δημιουργία προφίλ
Εάν τα αιτήματα αυτά γίνονται δεκτά, αυτό σημαίνει ότι δεν μπορούν να χρησιμοποιηθούν τυχόν δεδομένα που έχουν συλλεχθεί. Σε ορισμένες περιπτώσεις, η επεξεργασία μπορεί να περιοριστεί για ορισμένη χρονική περίοδο, μετά την οποία μπορούν να χρησιμοποιηθούν τα δεδομένα.
Όπως είναι αναμενόμενο, δεν είναι απαραίτητο κάθε οργανισμός που λειτουργεί εντός της ΕΕ να συμμορφώνεται με το ΓΚΠΔ. Τέτοιες εξαιρέσεις περιγράφονται στα άρθρα 85 και 91, αν και τα κράτη μέλη μπορούν να ζητήσουν ειδικές εξαιρέσεις (βλ. Άρθρο 23).
Ο ΓΚΠΔ θέτει ως στόχο την προστασία των προσωπικών δεδομένων, αν και αυτό μπορεί να σημαίνει παράβαση άλλων κανόνων ΓΚΠΔ. Εάν ένα άτομο αποτελεί απειλή για τα δικαιώματα και τις ελευθερίες των άλλων, συχνά τα δεδομένα τους δεν προστατεύονται πλέον βάσει του ΓΚΠΔ με τον ίδιο τρόπο όπως τα δεδομένα άλλων πολιτών.
Παραδείγματα για το πότε τα προσωπικά δεδομένα δεν μπορούν πλέον να αντιμετωπίζονται ως τέτοια περιλαμβάνουν:
- Θέματα Άμυνας
- Πρόληψη εγκλήματος
- Οικονομική ασφάλεια
- Η δίωξη ενός εγκλήματος
- Υποψία φοροδιαφυγής
- Ζητήματα δημόσιας υγείας
- Ελευθερία ενημέρωσης
Αντίστροφα, τα κράτη μέλη ενδέχεται να επιθυμούν να εφαρμόσουν πρόσθετες διασφαλίσεις στα δεδομένα των πολιτών. Ανεξάρτητα από αυτά τα επιπλέον μέτρα, πρέπει να πληρούνται όλες οι απαιτήσεις ΓΚΠΔ.
Είναι σημαντικό να σημειωθεί ότι αυτές οι πληροφορίες αποτελούν πολύ βασικό οδηγό και δεν πρέπει να θεωρούνται ως βάση για τη συμμόρφωση με τον ΓΚΠΔ. Ο κανονισμός γενικής προστασίας δεδομένων περιλαμβάνει 11 κεφάλαια και 99 άρθρα σχετικά με την προστασία των δεδομένων και τον τρόπο συλλογής, επεξεργασίας και αποθήκευσης των δεδομένων. Οι επιχειρήσεις και οι οργανισμοί εκτός ΕΕ πρέπει επίσης να γνωρίζουν ότι κάθε κράτος μέλος της ΕΕ έχει τη δική του νομοθεσία για την προστασία των δεδομένων (βλ. Νόμο 125 (I) 2018 CY), ο οποίος πρέπει επίσης να τηρηθεί.
Οι απαιτήσεις για τη συμμόρφωση με τον ΓΚΠΔ είναι μακρές και σύνθετες και οι επιχειρήσεις που υπόκεινται στον ΓΚΠΔ πρέπει όχι μόνο να εξασφαλίζουν τη συμβατότητα των λειτουργιών τους, αλλά και τις λειτουργίες τρίτων με τους οποίους τα δεδομένα μοιράζονται. Αν και δεν είναι μια αυτόματη απαίτηση του ΓΚΠΔ για τις επιχειρήσεις να ορίσουν έναν υπεύθυνο προστασίας δεδομένων για την αντιμετώπιση ζητημάτων συμμόρφωσης (αυτή η απαίτηση ισχύει μόνο υπό ορισμένες συνθήκες), συνιστάται οι επιχειρήσεις να διεξάγουν έλεγχο συμμόρφωσης και να συζητήσουν το σημερινό τους επίπεδο ασφάλειας δεδομένων με ένα σύμβουλο.
Comments powered by CComment