Προσωπικά δεδομένα και GDPR
Ποια θεωρούνται προσωπικά δεδομένα στο GDPR;
Η ΕΕ έχει διευρύνει σημαντικά τον ορισμό των προσωπικών δεδομένων στο πλαίσιο του GDPR. Οι τύποι των δεδομένων που συλλέγονται, όπως τα αναγνωριστικά σε απευθείας σύνδεση, οι διευθύνσεις IP, χαρακτηρίζονται πλέον και αυτά ως προσωπικά δεδομένα.
Τα δεδομένα που αφορούν πληροφορίες οικονομικής, πολιτιστικής ή ψυχικής υγείας, ιατρικών φακέλων κτλ., και ως ευαίσθητα δεδομένα.
Τα ψευδώνυμα (προσωπικών δεδομένων) μπορούν επίσης να υπόκεινται στους κανόνες GDPR, οτιδήποτε θεωρείται ως προσωπικά δεδομένα σύμφωνα με τον υφιστάμενο νόμο περί προστασίας δεδομένων θεωρείται πλέον και ως προσωπικά δεδομένα του GDPR.
Πότε μπορούν οι χρήστες να έχουν πρόσβαση στα δεδομένα που αποθηκεύουμε σε αυτά;
Με στόχο να δοθεί στους ανθρώπους μεγαλύτερος έλεγχος στις πληροφορίες τους, το GDPR εξασφαλίζει ότι οι άνθρωποι μπορούν να ζητήσουν πρόσβαση στα δεδομένα τους σε «εύλογα χρονικά διαστήματα», ενώ οι υπεύθυνοι επεξεργασίας έχουν ένα μήνα για να συμμορφωθούν με αυτά τα αιτήματα. Οι Ελεγκτές όπως και οι υπεύθυνοι επεξεργασίας πρέπει να καταστήσουν σαφή τον τρόπο συλλογής των πληροφοριών των χρηστών, τους σκοπούς για τους οποίους το χρησιμοποιούν και τους τρόπους με τους οποίους επεξεργάζονται τα δεδομένα. Η νομοθεσία λέει επίσης ότι οι επιχειρήσεις πρέπει να χρησιμοποιούν απλή γλώσσα για να μεταφέρουν αυτά τα πράγματα με σαφήνεια και συνοχή στους ανθρώπους: είναι καιρός να κυλήσουμε αντίο σε αυτούς τους συγκεχυμένους, πυκνούς όρους και συνθήκες.
Οι άνθρωποι έχουν το δικαίωμα να έχουν πρόσβαση σε οποιαδήποτε πληροφορία που κατέχει μια εταιρεία σε αυτά, καθώς και το δικαίωμα να γνωρίζουν γιατί τα δεδομένα αυτά υποβάλλονται σε επεξεργασία, πόσο καιρό αποθηκεύονται και ποιος το βλέπει. Όπου είναι δυνατόν, οι υπεύθυνοι επεξεργασίας δεδομένων θα πρέπει να παρέχουν ασφαλή και άμεση πρόσβαση για τους ανθρώπους, προκειμένου να εξετάσουν ποιες πληροφορίες αποθηκεύει ένας ελεγκτής γι 'αυτούς.
Μπορούν επίσης να ζητήσουν να διορθωθούν αυτά τα δεδομένα, αν είναι λανθασμένα ή ελλιπή, όποτε το επιθυμούν.
Ποιο είναι το «δικαίωμα να ξεχαστείς»;
Το GDPR καθιστά σαφές ότι οι χρήστες μπορούν να διαγράψουν τα δεδομένα τους οποτεδήποτε, αν δεν είναι πλέον σχετικό - δηλαδή η εταιρία που το αποθηκεύει δεν το χρειάζεται πλέον για το σκοπό που συλλέγει. Αν τα δεδομένα συλλέχθηκαν βάσει του μοντέλου συγκατάθεσης, ένας πολίτης μπορεί να αποσύρει τη συγκατάθεσή του όποτε το επιθυμούν. Μπορεί να το κάνουν επειδή διαφωνούν με τον τρόπο με τον οποίο ένας οργανισμός επεξεργάζεται τις πληροφορίες τους, ή απλά δεν θέλουν να συλλέγονται πια.
Τι γίνεται αν θέλουν να μεταφέρουν τα δεδομένα τους αλλού;
Πρέπει να τους αφήσετε καταρχήν να προχωρήσουν στην μεταφορά και γρήγορα: η νομοθεσία αναφέρει ότι οι πολίτες μπορούν να σας περιμένουν να ολοκληρώσετε ένα τέτοιο αίτημα εντός τεσσάρων εβδομάδων. Οι ελεγκτές πρέπει να διασφαλίζουν ότι τα δεδομένα των ανθρώπων είναι σε μια ανοικτή, κοινή μορφή όπως το CSV, πράγμα που σημαίνει ότι μετακινείται με σωστά τα στοιχεία στον άλλον πάροχο.
Τι γίνεται εάν παρατηρήσουμε μια παραβίαση δεδομένων;
Είναι δική μας ευθύνη να ενημερώσουμε την αρχή προστασίας δεδομένων σας σχετικά με τυχόν παραβίαση δεδομένων η οποία διακινδυνεύει να χαθεί το απόρρητο, τα δικαιώματα και τις ελευθερίες των ανθρώπων.
Αυτό πρέπει να γίνει μέσα σε 72 ώρες από την στιγμή που ο οργανισμός σας θα έχει επίγνωση αυτού, αλλιώς ενδέχεται να έχει μεγάλες κυρώσεις.
Αυτή η προθεσμία είναι αρκετά άμεση και γιαυτό τον λόγο σημαίνει ότι πιθανώς να μην υπάρχει η πληροφορία ή κάθε λεπτομέρεια του τρόπου που έγινε η παραβίαση μετά την ανακάλυψή της. Ωστόσο, η αρχική σας επαφή με την αρχή προστασίας δεδομένων σας θα πρέπει να περιγράφει τη φύση των δεδομένων που επηρεάζονται, περίπου τον αριθμό των ανθρώπων που επηρεάζονται, τις συνέπειες που θα μπορούσαν να συνεπάγονται για αυτούς και με ποια μέτρα έχετε ήδη ενεργήσει ή σχεδιάζετε να δράσετε.
Αλλά ακόμα και προτού καλέσετε την αρχή προστασίας δεδομένων, πρέπει να πείτε στους ανθρώπους που επηρεάζονται από την παραβίαση δεδομένων. Όσοι δεν τηρούν την προθεσμία των 72 ωρών θα μπορούσαν να επιβληθούν πρόστιμο μέχρι 2% των ετήσιων παγκόσμιων εσόδων τους, ή 10 εκατομμύρια ευρώ, όποιο είναι υψηλότερο.
Αν δεν ακολουθήσετε τις βασικές αρχές επεξεργασίας δεδομένων, όπως η κατοχή νομικής βάσης για κάτι τέτοιο, η παραβίαση των δικαιωμάτων των ατόμων σε σχέση με τα δεδομένα τους ή η μεταφορά δεδομένων σε άλλη χώρα, τα πρόστιμα είναι ακόμη χειρότερα. Η αρχή προστασίας δεδομένων σας θα μπορούσε να εκδώσει χρηματική ποινή μέχρι € 20 εκατ. Ή 4% του συνολικού ετήσιου κύκλου εργασιών σας, όποια είναι μεγαλύτερη.
Έτσι, σύμφωνα με το GDPR, το ποσό των 400.000 λιρών για το TalkTalk θα ανερχόταν συνολικά σε £ 59 εκατομμύρια - αυτό είναι ένα πολύ μεγάλο κομμάτι του τρίτου τριμήνου του τηλεπικοινωνιακού έσοδο του έτους 2016, το οποίο ήταν £ 435 εκατομμύρια. Εν τω μεταξύ, τα συνολικά πρόστιμα του ICO για το 2016, τα οποία ανέρχονταν σε £ 880.500, θα ανέρχονταν σε £ 69 εκατομμύρια από τις 25 Μαΐου 2018, σύμφωνα με την εταιρεία μείωσης του κινδύνου NCC Group ως και 79 φορές υψηλότερη.
Ωστόσο, είναι σημαντικό να σημειωθεί ότι ενώ τα μέγιστα πρόστιμα που μπορούν να εκδοθούν θα γίνουν πολύ υψηλότερα βάσει του GDPR, η νομοθεσία ορίζει ότι πρέπει να παραμείνουν «αναλογικά» με την παραβίαση. Επίσης, αν μπορείτε να αποδείξετε ότι εργάζεστε σκληρά για να διασφαλίσετε ότι ο οργανισμός σας συμμορφώνεται με το GDPR, η αρχή πιθανότατα δεν θα εκδώσει τόσο υψηλό πρόστιμο σε περίπτωση παραβίασης, όπως διαφορετικά.
Χρειαζόμαστε υπεύθυνο προστασίας δεδομένων;
Οποιοσδήποτε δημόσιος οργανισμός που επεξεργάζεται δεδομένα πρέπει να απασχολεί έναν υπεύθυνο προστασίας δεδομένων, όπως και οι επιχειρήσεις των οποίων οι κύριες δραστηριότητες αφορούν την επεξεργασία δεδομένων απαιτεί την τακτική παρακολούθηση των ατόμων "σε μεγάλη κλίμακα", σύμφωνα με τη νομοθεσία GDPR, αν και οι δημόσιοι οργανισμοί έχουν πλεονέκτημα , καθώς πολλοί μπορούν να μοιράζονται τον ίδιο υπεύθυνο προστασίας δεδομένων. Οι οργανισμοί πρέπει να δώσουν τα στοιχεία επικοινωνίας αυτού του προσώπου στην αρχή προστασίας δεδομένων τους.
Ο υπεύθυνος της προστασίας δεδομένων είναι να ενημερώνει και να συμβουλεύει τον οργανισμό σχετικά με την τήρηση των απαιτήσεων του GDPR και την παρακολούθηση της συμμόρφωσης. Θα ενεργούν επίσης ως το κύριο σημείο επαφής της αρχής προστασίας δεδομένων και αναμένεται να συνεργαστούν με την αρχή.
Εντάξει, πώς μπορούμε να καλύψουμε τις απαιτήσεις GDPR;
Πρώτα απ 'όλα, δώστε βάθος σε αυτό το άρθρο, εξηγεί ακριβώς πώς μπορείτε να προετοιμαστείτε για το GDPR.
Η καλύτερη συμβουλή είναι να αρχίσετε να προετοιμάζεστε για αυτό όσο το δυνατόν νωρίτερα της 25ης Μαΐου 2018. Αμέσως θα πρέπει να επιδιώξετε να προσλάβετε μία εταιρεία που να σας παρέχει το νομικό όσο και τεχνικό πλαίσιο αξιολόγησης και συμμόρφωσης στο GDPR .
Η Cybertrace.gr είναι εταιρία που ειδικευεται στο GDPR και στο CyberSecurity και είναι από της πολύ λίγες εταιρίες στην Ελλάδα που παρέχουν ολοκληρωμένη λύση. Επικοινωνήστε μαζί της τώρα!