You are currently viewing GDPR – The Basics

GDPR – The Basics

Τι θα δούμε σε αυτό το post;

Τι είναι το GDPR (ΓΚΠΔ) και ποιος ο σκοπός του;

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΕΕ) 2016/679 (GDPR) συγκαταλέγεται στη νομοθεσία για την προστασία δεδομένων προσωπικού χαρακτήρα (μάθετε περισσότερα στην ανάρτησή μας σχετικά με τα προσωπικά δεδομένα ή για την παραβίαση προσωπικών δεδομένων).

Έχει τεθεί σε εφαρμογή από τις 25/5/2018 βάσει του άρθρου 99 παρ. 2 του ίδιου.

Έχει νομοθετηθεί με σκοπό την προστασία της σφαίρας της ιδιωτικής ζωής, καθώς υποβοηθά τις εταιρίες να υπερασπισθούν τον εαυτό τους και τους χρήστες από ανεπιθύμητες παραβιάσεις προσωπικών δεδομένων.

Οι οκτώ βασικοί όροι του GDPR
Σύνοψη GDPR

Πότε εφαρμόζεται

Το GDPR λοιπόν εφαρμόζεται σε κάθε επιχείρηση που επεξεργάζεται προσωπικά στοιχεία και εδρεύει σε κράτος μέλος της ΕΕ, ανεξάρτητα από το αν λαμβάνει πραγματικά χώρα η επεξεργασία εντός της Ένωσης. Από το άρθρο 288 της Συνθήκης για τη Λειτουργία της ΕΕ (ΣΛΕΕ) απορρέει η υποχρέωση των χωρών να προβούν στη λήψη των αναγκαίων μέτρων για την προσαρμογή της εθνικής τους νομοθεσίας. Έτσι, στον νόμο 4624/2019 (ΦΕΚ Α΄137) προσδιορίζονται τα μέτρα εφαρμογής του GDPR, ενώ στην Κύπρο ψηφίστηκε και δημοσιεύτηκε ο νόμος 125(Ι)/2018 για την αποτελεσματικότερη εφαρμογή του.

Άλλες περιπτώσεις όπου εφαρμόζεται ο ΓΚΠΔ είναι :

  1. οι εταιρίες που έχουν έδρα εκτός ΕΕ αλλά οι παροχές τους αφορούν τη χρήση δεδομένων από πρόσωπα εντός αυτής
  2. οι υπηρεσίες τους προϋποθέτουν τη διερεύνηση της συμπεριφοράς των καταναλωτών, στο μέτρο βέβαια που αυτή η συμπεριφορά εκδηλώνεται εντός Ένωσης.

Ο διορισμός εκπροσώπου στην ΕΕ από την εταιρία κρίνεται απαραίτητος υπό αυτές τις συνθήκες. Για παράδειγμα, ο Bjørn Gulden είναι ο Διευθύνων Σύμβουλος αυτή τη στιγμή της Adidas στη Γερμανία και επομένως ο κύριος αντιπρόσωπος της εταιρίας στην χώρα.

Τι σημαίνει πρακτικά το GDPR για μια επιχείρηση

Κάποια παραδείγματα:

  • επιχειρήσεις πρέπει να αναφέρουν παραβιάσεις προσωπικών δεδομένων εντός 72 ωρών
  • οι χρήστες θα απολαμβάνουν εγγυημένη δυνατότητα πρόσβασης στα δεδομένα τους
  • δεδομένη η δυνατότητα διόρθωσης των στοιχείων από πλευράς των χρηστών και το δικαίωμα προβολής αντιρρήσεων
  • παροχή δικαιώματος διαγραφής, το λεγόμενο δικαίωμα στη λήθη, σε ορισμένες περιπτώσεις
  • υποχρέωση ειδοποίησης των χρηστών που επηρεάζονται από παραβιάσεις
  • πολλές επιχειρήσεις θα χρειαστεί να διορίσουν έναν Υπεύθυνο Προστασίας Δεδομένων

Πότε δεν εφαρμόζεται το GDPR

Αν:

  • το υποκείμενο των δεδομένων έχει αποβιώσει
  • ο υπεύθυνος επεξεργασίας της επιχείρησης ενεργεί για ατομικό του όφελος (εκτός επαγγελματικού πεδίου) ή αν ο ίδιος ως φυσικό πρόσωπο διαχειρίζεται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της προσωπικής του ζωής.
  • η συγκέντρωση των δεδομένων γίνεται από αρμόδιες αρχές στο πλαίσιο εξακρίβωσης πληροφοριών για τη δίωξη ποινικών αδικημάτων

Συνέπειες παραβίασης GDPR

Η μη συμμόρφωση με το νομοθετικό αυτό πλαίσιο έχει ως αποτέλεσμα την επιβολή αυστηρών προστίμων. Παράλληλα, βρίσκεται στη διακριτική ευχέρεια της Αρχής Προστασίας Δεδομένων η επιπρόσθετη επιβολή διορθωτικών μέτρων.

Παράδειγμα παραβίασης: άρνηση της εταιρίας να διαγράψει προσωπικά δεδομένα των χρηστών μετά από αίτημα τους, μεταφορά δεδομένων εντός ΕΕ χωρίς να τηρηθούν τα απαραίτητα πρωτόκολλα και διαδικασίες, ανυπακοή στις εκάστοτε διαταγές της Αρχής Προστασίας Δεδομένων

Χαρακτηριστικό στοιχείο είναι ότι βάσει του άρθρου 85 παράγραφος 5 του GDPR, το ύψος του προστίμου δύναται να φτάσει ως τα 20 εκατομμύρια ή και να το ξεπεράσει αν πρόκειται για εταιρία μεγάλου μεγέθους. Συγκεκριμένα, η Γαλλία επέβαλε πρόστιμο 35 εκατομμυρίων στην Amazon το 2020.

Για αυτό, μην ξεχνάς…

Ως επιχείρηση πρέπει να βρίσκεσαι σε θέση να αποδείξεις ανά πάσα στιγμή την πλήρη εφαρμογή του ΓΚΠΔ στις σχετικές δράσεις της εταιρίας σου. Ακόμη περισσότερο, αυτό καθίσταται επιβεβλημένο έπειτα από αίτημα ή κατά τη διάρκεια επιθεώρησης από την Αρχή Προστασίας Δεδομένων.

Η φύλαξη αναλυτικών αρχείων αποτελεί την βέλτιστη μέθοδο επίτευξης αυτού του σκοπού. Τέτοια αρχεία/στοιχεία μπορεί ενδεικτικά να είναι:

  • όνομα και στοιχεία επικοινωνίας της επιχείρησης που εμπλέκεται στην επεξεργασία των δεδομένων
  • λόγοι επεξεργασίας αυτών των προσωπικών στοιχείων
  • περιγραφή μέτρων ασφαλείας που τηρούνται κατά την διαχείριση των δεδομένων

Συγγραφέας

Efi-Kwstopoulou
Έφη Κωστοπούλου
Νομικός