You are currently viewing Πολιτική Απορρήτου: The Basics

Πολιτική Απορρήτου: The Basics

Καλώς ήλθατε στη σειρά οδηγών του Tilderist! Εδώ θα βρείτε συγκεντρωμένες όλες τις πληροφορίες που χρειάζεστε για κάθε θέμα που σας ενδιαφέρει. Σήμερα συγκεκριμένα θα ασχοληθούμε με την πολιτική απορρήτου. Καλή ανάγνωση!

Τι θα δούμε σε αυτό το post;

Τι είναι η Πολιτική Απορρήτου;

Πρόκειται για ένα νομικό έγγραφο σύμφωνα με το οποίο ορίζεται το πώς γίνεται η συγκέντρωση, η επεξεργασία και η χρήση των προσωπικών δεδομένων τόσο των πελατών όσο και των ίδιων των υπαλλήλων της εταιρίας/οργανισμού σας.

Είναι επίσης ένα ζωντανό έγγραφο που διαμορφώνεται διαρκώς για να προσαρμόζεται στις ανάγκες της επιχείρησης σας. Γι’ αυτόν τον λόγο χρειάζεται να ανανεώνετε την πολιτική απορρήτου σας όταν υπάρχουν αλλαγές σε νόμους και κανονισμούς, όταν εισάγονται νέα προϊόντα και υπηρεσίες, όταν υφίσταται εταιρική αλλαγή, όταν αλλάζει ο τρόπος επεξεργασίας των δεδομένων της πλατφόρμας ή όταν περνάει πολύς χρόνος από τη διαμόρφωσή της.

Περισσότερα στο άρθρο «Τροποποίηση Πολιτικής Απορρήτου».

Οι περισσότερες επιχειρήσεις διαθέτουν ελεύθερα την πολιτική απορρήτου που υιοθετούν, πάντα στο πλαίσιο του προστατευτικού πεδίου του κανονισμού (EE) 2018/1725, ο οποίος αφορά την προστασία των προσωπικών δεδομένων των υποκειμένων που συμμετέχουν στην εταιρία/οργανισμό σας.

Σε κάθε περίπτωση όμως η συμμόρφωση με το προστατευτικό αυτό καθεστώς εναπόκειται σε ένα πρόσωπο, τον υπεύθυνο επεξεργασίας δεδομένων της εκάστοτε ηλεκτρονικής υπηρεσίας, ο οποίος είναι ένα πρόσωπο που ορίζεται από την εκάστοτε εταιρία/οργανισμό.

Ακολουθεί παράδειγμα της Πολιτικής Απορρήτου της Google:

Περιεχόμενα της Πολιτικής Απορρήτου της Google
Παράδειγμα από την Πολιτική Απορρήτου της Google

Ποιος είναι ο σκοπός της Πολιτικής Απορρήτου;

Σκοπός της πολιτικής απορρήτου πέρα από την προστασία είναι και ο περιορισμός της συλλογής των προσωπικών δεδομένων στις απαραίτητες για την εκπλήρωση των δραστηριοτήτων τους πληροφορίες, οι οποίες πρέπει να καλύπτονται από έναν νόμιμο σκοπό.

Βέβαια, μέσω της πολιτικής απορρήτου ο χρήστης/επισκέπτης της ιστοσελίδας σας μπορεί να ενημερωθεί για το ποια δεδομένα του συλλέγονται, για ποιον λόγο και πως θα χρησιμοποιηθούν.

Φυσικά, αυτό συμβαίνει μετά την συμπλήρωση ενός εγγράφου από τον χρήστη με το οποίο δίνει την συγκατάθεση του προκειμένου να συλλεχθούν και να γίνουν αντικείμενο επεξεργασίας τα δεδομένα του.

Γιατί πρέπει να υπάρχει πολιτική απορρήτου;

Η ύπαρξη πολιτικής απορρήτου απαιτείται από το νόμο, τον οποίο οφείλουν να τηρούν οι εταιρίες προκειμένου να μην υπάρξουν κυρώσεις. Βοηθάει επίσης στην δημιουργία μίας σχέσης εμπιστοσύνης ανάμεσα στην εταιρία/οργανισμό και τους πελάτης της ενώ παράλληλα προστατεύει την εταιρία/οργανισμό από την επιβολή μεγάλων προστίμων που είναι πιθανή σε περίπτωση έλλειψής της.

Τέλος, οι μηχανές αναζήτησης δίνουν προτεραιότητα σε ιστοσελίδες εταιριών/οργανισμών που διαθέτουν πολιτική απορρήτου, καθώς αυτή τις καθιστά πιο πολύ έμπιστες.

Γι’ αυτό και η πολιτική απορρήτου που υιοθετείται θα ήταν καλό να βρίσκεται σε εμφανές σημείο που είναι εύκολα προσβάσιμο για τους χρήστες, όπως στο υποσέλιδο του ιστοτόπου.

Μάθετε περισσότερα για αυτό το θέμα στο άρθρο μας «Η αναγκαιότητα της πολιτικής απορρήτου».

Ποιον αφορά η Πολιτική Απορρήτου;

Αφορά κυρίως τις εταιρίες/οργανισμούς για την χρήση των οποίων είναι απαραίτητη η καταχώριση ορισμένων προσωπικών στοιχείων των χρηστών τους. Αυτό μπορεί να αφορά ακόμα και ΜΚΟ.

Παράλληλα, η πολιτική απορρήτου παίζει ιδιαίτερο ρόλο για τις εταιρίες που οι δραστηριότητες τους βασίζονται σε μεγάλο βαθμό στην επεξεργασία των προσωπικών δεδομένων.

Πώς εφαρμόζεται η Πολιτική Απορρήτου;

Η πολιτική απορρήτου οφείλει να περιλαμβάνει κάποια συγκεκριμένα στοιχεία προκειμένου να είναι πλήρης και να καλύπτει όλες τις ανάγκες τις εταιρίας σας. Τα πιο σημαντικά από αυτά είναι:

  • ποια είναι η εταιρία/οργανισμός που θα επεξεργαστεί τα δεδομένα
  • ποιες είναι οι πληροφορίες που συγκεντρώνονται
  • τον τρόπο που χρησιμοποιούνται από τον ιστότοπο
  • για ποιον λόγο συλλέγονται τα προσωπικά δεδομένα
  • ενημέρωση σε περίπτωση που οι πληροφορίες δημοσιοποιούνται σε τρίτα άτομα
  • την προστασία που έχουν οι επισκέπτες σε περίπτωση παραβίασης των προσωπικών τους δεδομένων

Εάν η εταιρεία σας δεν μοιράζεται αυτές τις πληροφορίες, υπάρχει κίνδυνος για παραβίαση προσωπικών δεδομένων. Σε αυτήν την περίπτωση, η εταιρία ή ο οργανισμός σας θα πρέπει μέσα σε 72 ώρες από την στιγμή που έλαβε γνώση της παραβίασης να ειδοποιήσει την αρμόδια εποπτική αρχή καθώς και το υποκείμενο των προσωπικών δεδομένων που υπέστησαν την παραβίαση.

Στη συνέχεια, σύμφωνα με το άρθρο 58 παράγραφος 2 του Κανονισμού 2018/1725, εάν υπάρχει απλά πιθανότητα για παραβίαση, η εποπτικής αρχή δίνει προειδοποίηση  στον υπεύθυνο επεξεργασίας, ενώ σε περίπτωση που η παραβίαση είναι βέβαιη του αποδίδει επιπλήξεις, απαγορεύοντας την επεξεργασία των δεδομένων και επιβάλλοντας πρόστιμα έως και 20 εκατομμύρια ευρώ ή έως το 4% του συνολικού κύκλου εργασιών της επιχείρησης.

Διαβάστε περισσότερα στο άρθρο μας σχετικά με την παραβίαση των προσωπικών δεδομένων.

Ποιος είναι ο υπεύθυνος για την Πολιτική Απορρήτου μιας εταιρίας;

H κάθε εταιρία φέρει την ευθύνη να ορίσει Υπεύθυνο επεξεργασίας δεδομένων, στα καθήκοντα του οποίου εμπίπτουν ο καθορισμός όχι μόνο των σκοπών, αλλά και των μέσων επεξεργασίας των προσωπικών δεδομένων.

Ακόμη, υπό τον έλεγχο του Υπεύθυνου της επεξεργασίας βρίσκεται ο Εκτελών την επεξεργασία, ο οποίος επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας. Ο Εκτελών την επεξεργασία είναι πιθανό να είναι κάποιος τρίτος εκτός εταιρίας/οργανισμού. Βέβαια, όταν υπάρχει όμιλος επιχειρήσεων, μια επιχείρηση μπορεί να ενεργεί ως εκτελούσα την επεξεργασία για λογαριασμό άλλης επιχείρησης.

Τα καθήκοντα του εκτελούντος την επεξεργασία θα πρέπει να καθορίζονται σε κάθε περίπτωση σε μία σύμβαση (σε γραπτή ή ηλεκτρονική μορφή) υπογεγραμμένη ανάμεσα στον Εκτελούντα και στον Υπεύθυνο επεξεργασίας. Ακόμη, ο Εκτελών την επεξεργασία μπορεί να αναθέσει την εκτέλεση κάποιων καθηκόντων του σε άλλον εκτελούντα μόνο εφόσον έχει λάβει την προηγούμενη άδεια από τον Υπεύθυνο της επεξεργασίας.

O Υπεύθυνος επεξεργασίας δεδομένων μαζί με τον Εκτελούντα την επεξεργασία ορίζουν Υπεύθυνο προστασίας δεδομένων σε περίπτωση όπου:

  1. Η επεξεργασία γίνεται από δημόσια αρχή ή φορέα, με εξαίρεση τα δικαστήρια.
  2. Οι βασικές αρμοδιότητες του υπεύθυνου και του εκτελούντος την επεξεργασία σχετίζονται με την επεξεργασία και καθιστούν απαραίτητη την συστηματική και τακτική παρακολούθηση των υποκειμένων των δεδομένων.
  3. Οι βασικές αρμοδιότητες του υπευθύνου ή του εκτελούντος την επεξεργασία περιλαμβάνουν την επεξεργασία ειδικών κατηγοριών δεδομένων ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.

Μάθετε περισσότερα για τον υπεύθυνο επεξεργασίας δεδομένων στο εισαγωγικό άρθρο μας για τα προσωπικά δεδομένα.

Ποια είναι τα καθήκοντα του Υπεύθυνου προστασίας δεδομένων;

Ο Υπεύθυνος προστασίας δεδομένων θα πρέπει:

  1. να ενημερώνει και να συμβουλεύει τον Υπεύθυνο της επεξεργασίας και τον Εκτελούντα την επεξεργασία σχετικά με τις υποχρεώσεις τους που απορρέουν από τον GDPR ή από άλλες διατάξεις του εκάστοτε κράτους – μέλους.
  2. να παρακολουθεί κατά πόσο οι υπάλληλοι της επεξεργασίας που διενεργείται τηρούν το GDPR, τις άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων καθώς και τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα. Ανάμεσα στις τελευταίες περιλαμβάνεται η ανάθεση αρμοδιοτήτων, η ευαισθητοποίηση και η κατάρτιση των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και οι σχετικοί έλεγχοι.
  3. να δίνει συμβουλές, όταν ζητείται, σχετικά με την εκτίμηση αντικτύπου και την υλοποίησή της. (περισσότερες πληροφορίες για την εκτίμηση αντικτύπου στο άρθρο “Μέτρα ασφαλείας προσωπικών δεδομένων”) .
  4. να συνεργάζεται με την εποπτική αρχή και να κρατάει συχνή επαφή με αυτήν σχετικά με την επεξεργασία.

Η εποπτική αρχή είναι ανεξάρτητη δημόσια αρχή που επιφορτίζεται με με την παρακολούθηση της εφαρμογής του GDPR, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση.

Ταυτόχρονα, ο ΥΠΔ βρίσκεται σε άμεση επικοινωνία με την Αρχή Προστασίας των Δεδομένων, όντας μεσάζοντας μεταξύ αυτής και των χρηστών.

Τι είναι ο GDPR;

Έχουμε μιλήσει πολύ για τον GDPR μέχρι τώρα. Τι είναι ακριβώς αλήθεια;

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΕΕ) 2016/679 (ή αλλιώς GDPR) συγκαταλέγεται στη νομοθεσία για την προστασία δεδομένων προσωπικού χαρακτήρα. Έχει νομοθετηθεί με σκοπό την προστασία της σφαίρας της ιδιωτικής ζωής, καθώς υποβοηθά τις εταιρίες να υπερασπισθούν τον εαυτό τους και τους χρήστες από ανεπιθύμητες παραβιάσεις προσωπικών δεδομένων.

Ο GDPR λοιπόν εφαρμόζεται σε κάθε επιχείρηση που επεξεργάζεται προσωπικά στοιχεία και εδρεύει σε κράτος μέλος της ΕΕ, ανεξάρτητα από το αν λαμβάνει πραγματικά χώρα η επεξεργασία εντός της Ένωσης.

Η μη συμμόρφωση με το νομοθετικό αυτό πλαίσιο έχει ως αποτέλεσμα την επιβολή αυστηρών προστίμων. Παράλληλα, βρίσκεται στη διακριτική ευχέρεια της Αρχής Προστασίας Δεδομένων η επιπρόσθετη επιβολή διορθωτικών μέτρων (μπορείτε να μάθετε περισσότερα για τον GDPR στο σχετικό άρθρο).

Τι περιλαμβάνει ο GDPR;

Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων προσφέρει στα υποκείμενα των δεδομένων κάποια πολύ σημαντικά δικαιώματα σχετικά με την διαχείριση των δεδομένων τους.

Μερικά από τα δικαιώματα αυτά είναι το δικαίωμα διαγραφής ή το δικαίωμα στη λήθη, το δικαίωμα διόρθωσης προσωπικών δεδομένων και το δικαίωμα στην εναντίωση.

Σας προτείνουμε να επισκεφθείτε το άρθρο μας «Δικαιώματα του υποκειμένου των δεδομένων» όπου τα δικαιώματα αυτά αναλύονται εις βάθος.

Ο GDPR είναι επίσης αυτός που ορίζει κάποια συγκεκριμένα προσωπικά δεδομένα ως ευαίσθητα, καθώς σχετίζονται με σημαντικές ελευθερίες και δικαιώματα των ατόμων που τυγχάνουν ιδιαίτερης προστασίας από το δίκαιο.

Έχουμε μιλήσει αναλυτικότερα για αυτό το είδος προσωπικών δεδομένων στον οδηγό μας για τα προσωπικά δεδομένα αλλά και στο άρθρο μας «Ευαίσθητα Προσωπικά Δεδομένα».

Πέρα από όλα αυτά, ο κανονισμός GDPR θέτει και τα ηλικιακά όρια σύμφωνα με τα οποία οι ανήλικοι υπόκεινται σε ένα καθεστώς ιδιαίτερης προστασίας. Ειδικότερα, αυτή η προστασία αφορά ανηλίκους κάτω των 16 ετών. Μάλιστα τα κράτη-μέλη της ΕΕ έχουν τη δυνατότητα να προβλέπουν με νόμο μικρότερη ηλικία, υπό τον όρο ότι αυτή η ηλικία δεν είναι κάτω από 13 έτη.

Για να μάθετε πότε είναι νόμιμη η επεξεργασία των προσωπικών δεδομένων ανηλίκων, μπορείτε να διαβάσετε το άρθρο μας «Ανήλικοι και GDPR».

Τέλος, το άρθρο 35 του GDPR αναγράφει την ανάπτυξη μιας Αξιολόγησης Επιπτώσεων Προστασίας Δεδομένων, προκειμένου η εταιρία σας να τηρεί την αρχή της διαφάνειας κατά την δημοσίευση των προσωπικών δεδομένων. Έτσι, θα λαμβάνετε υπόψη τους πιθανούς κινδύνους που ενέχει η κάθε δημοσίευση και θα προτείνετε λύσεις για την εξάλειψη ή τουλάχιστον τον περιορισμό τους.

Στο άρθρο «Δημοσίευση προσωπικών δεδομένων» μπορείτε να διαβάσετε εκτενώς για αυτό το θέμα.

Για να δούμε κάποια παραδείγματα…

Μια ζυθοποιία υπογράφει σύμβαση με εταιρεία πληρωμών για την καταβολή των μισθών στους εργαζομένους της.

Η ζυθοποιία ενημερώνει την εταιρεία πληρωμών για το πότε πρέπει να γίνεται η πληρωμή των μισθών, πότε ένας εργαζόμενος αποχωρεί ή παίρνει αύξηση και παρέχει όλα τα στοιχεία που είναι αναγκαία για το εκκαθαριστικό σημείωμα αποδοχών και την πληρωμή. Η εταιρεία πληρωμών αποθηκεύει τα δεδομένα των εργαζομένων.

Η ζυθοποιία είναι ο υπεύθυνος επεξεργασίας δεδομένων και η εταιρεία πληρωμών είναι ο εκτελών την επεξεργασία των δεδομένων.

Συμπεράσματα

Έχοντας διαβάσει αυτόν τον οδηγό, έχετε πλέον όλες τις απαραίτητες γνώσεις γύρω από το θέμα της Πολιτικής Απορρήτου και του GDPR. Εάν θέλετε να ενημερωθείτε περαιτέρω για θέματα που αφορούν την παρουσία σας στο διαδίκτυο, μην ξεχάσετε να επισκεφθείτε τους υπόλοιπους οδηγούς μας σχετικά με τα Προσωπικά Δεδομένα, τους Όρους Χρήσης και τα Cookies!

Συγγραφείς

Eleni-Kostakoglou
Ελένη Κωστάκογλου
Νομικός
Efi-Kwstopoulou
Έφη Κωστοπούλου
Νομικός