EU GDPR Νομοθεσία / Γλωσσάριο  

Νομοθεσία

Οδηγία Προστασίας Δεδομένων

Η Ευρωπαϊκή Οδηγία 95/46/ΕΚ ελέγχει την επεξεργασία προσωπικών δεδομένων στην ΕΕ και θα αντικατασταθεί από τον GDPR από τις 25 Μαϊου 2018. Η Οδηγία εισήγαγε βασικές προϋποθέσεις που έπρεπε να εφαρμοστούν μέσω ξεχωριστής νομοθεσίας σε κάθε κράτος-μέλος της ΕΕ.

Αυτό έδωσε στα μέλη τη δυνατότητα να επεκτείνουν το πεδίο εφαρμογής της Οδηγίας ή να διατηρήσουν προϋπάρχουσες αυστηρότερες προϋποθέσεις ή να αποφασίσουν να μην εκμεταλλευθούν πλήρως τις παρεκκλίσεις, το οποίο εξηγεί την εφαρμογή διαφορετικών πλαισίων προστασίας δεδομένων στην Ευρώπη. Μπορεί να βρεθεί online εδώ: http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf

EU GDPR

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) υιοθετήθηκε ως Κανονισμός (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου στις 27 Απριλίου 2016.
Σε αντίθεση με την Οδηγία Προστασίας Δεδομένων, ο GDPR πρόκειται να εφαρμοστεί απευθείας σε κάθε κράτος-μέλος της ΕΕ χωρίς εφαρμοστική νομοθεσία και να δημιουργήσει ένα πλαίσιο μέσα στο οποίο μπορούν να δημιουργηθούν πιο λεπτομερείς κανόνες. Αυτό εναρμονίζει την νομοθεσία σε όλη την Ευρώπη.

Η απαίτηση ειδοποίησης της DPA σε περίπτωση νέας επεξεργασίας, για παράδειγμα, καταργείται (εκτός από ένα μικρό αριθμό περιπτώσεων) και αντικαθίσταται από την υποχρέωση καταγραφής όλων των επεξεργασιών. Υπεύθυνοι επεξεργασίας και επεξεργαστές πρέπει να συμφωνήσουν ως προς τις αρμοδιότητες, αλλιώς θα είναι υπόλογοι από κοινού. Ο Κανονισμός μπορεί να βρεθεί online εδώ: http://eur-lex.europa.eu/legal-content/EN/TXT/

Οδηγία e-Privacy

Η Οδηγία e-Privacy υιοθετήθηκε ως Οδηγία 2002/58/EC του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου. Αυτήν τη στιγμή ελέγχει τα δικαιώματα ιδιωτικότητας που εφαρμόζονται στην τεχνολογία και το περιεχόμενο ηλεκτρονικής επικοινωνίας. Η Οδηγία μπορεί να βρεθεί online εδώ: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do

Κανονισμός e-Privacy

Ακολουθώντας την υιοθέτηση του GDPR, η Οδηγία e-Privacy θα αναθεωρηθεί ώστε να συμμορφωθεί με τον GDPR και να καλύψει τις τεχνολογικές καινοτομίες από την τελευταία τροποποίηση της Οδηγίας το 2009. Μία πρόταση με τίτλο “Κανονισμός Ιδιωτικότητας και Ηλεκτρονικής Επικοινωνίας” δημοσιοποιήθηκε στις 10 Ιανουαρίου 2017.

Ο Κανονισμός θα έχει εφαρμογή σε κάθε πάροχο υπηρεσιών ηλεκτρονικής επικοινωνίας ή σε κάθε οντότητα που επεξεργάζεται δεδομένα ηλεκτρονικής επικοινωνίας. Θα έχει επίδραση στον τρόπο με τον οποίο οργανισμοί αλληλεπιδρούν ηλεκτρονικά με πολίτες της ΕΕ, συμπεριλαμβανομένων της ιχνηλάτησης χρηστών, της συλλογής δεδομένων σε συσκευές χρηστών και της άμεσης εμπορικής προώθησης. Το σχέδιο του Κανονισμού και τα σχετικά έγγραφα μπορούν να βρεθούν online εδώ: https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications

Όργανα GDPR

EDPS

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) δημιουργήθηκε το 2004 με στόχο τη διασφάλιση του σεβασμού από οργανισμούς και όργανα της ΕΕ του δικαιώματος των ανθρώπων στην ιδιωτικότητα όταν επεξεργάζονται τα προσωπικά δεδομένα τους. Στις βασικές λειτουργίες του, ο EDPS (1) επιβλέπει την επεξεργασία από τη διοίκηση της ΕΕ προσωπικών δεδομένων ώστε να εξασφαλίζεται η συμμόρφωση με κανόνες ιδιωτικότητας, διαχειρίζεται καταγγελίες και διεξάγει έρευνες, και (2) συμβουλεύει οργανισμούς και όργανα της ΕΕ σχετικά με όλες τις απόψεις της επεξεργασίας προσωπικών δεδομένων και τις σχετικές πολιτικές και νομοθεσία.

Η Ομάδα Εργασίας Άρθρου 29

Η Ομάδα Εργασίας Άρθρου 29 (“A29WP”) είναι ένα μη ρυθμιστικό όργανο προστασίας δεδομένων. Η κύρια λειτουργία του είναι η παροχή συμβουλών και συστάσεων στα κράτη-μέλη και το κοινό σχετικά με την προστασία δεδομένων και την επεξεργασία προσωπικών δεδομένων. Το όργανο αποτελείται από εκπροσώπους εθνικών αρχών προστασίας δεδομένων της ΕΕ, του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (“EDPS”) και της Ευρωπαϊκής Επιτροπής. Μετατράπηκε στο “Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων” (“EDPB”) με τον GDPR.

EDPB

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα αντικαταστήσει την Ομάδα Εργασίας Άρθρου 29 και οι λειτουργίες του θα περιλαμβάνουν την εξασφάλιση της ομοιομορφίας της εφαρμογής του GDPR, συμβουλές προς την Ευρωπαϊκή Επιτροπή, την έκδοση οδηγιών, κανόνων συμπεριφοράς και συστάσεων, την αναγνώριση οργάνων πιστοποίησης και την έκδοση γνωμοδοτήσεων για σχέδια αποφάσεων εποπτικών αρχών.

DPA / Supervisory Authority / Lead Authority

Οι DPAs είναι οι εθνικές αρχές προστασίας δεδομένων, επιφορτισμένες με την ιδιωτικότητα και την προστασία προσωπικών δεδομένων. Κάθε κράτος-μέλος όρισε ένα όργανο DPA για να εφαρμόσει την τοπική νομοθεσία προστασίας δεδομένων και για να προσφέρει καθοδήγηση. Οι DPAs έχουν αξιοσημείωτες δυνατότητες επιβολής, συμπεριλαμβανομένης της δυνατότητας να επιβάλλουν υψηλά πρόστιμα.

Ορολογία GDPR

Υποκείμενο των δεδομένων

«Το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα, και του οποίου η ταυτότητα είναι γνωστή η μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιοριστεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική».

Ένα υποκείμενο των δεδομένων είναι ένα φυσικό πρόσωπο. Παραδείγματα ενός υποκειμένου δεδομένων μπορούν να είναι ένα πρόσωπο, ένας πελάτης, ένας δυνητικός πελάτης, ένας υπάλληλος, ένας αρμόδιος κτλ.

Άρθρο 2(α) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(α) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 1 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 1 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(γ) Ν. 2472/1997

Επιχείρηση

«Φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τη νομική του μορφή, περιλαμβανομένων των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα».

Άρθρο 4 παρ. 18 Γενικού Κανονισμού Προστασίας Δεδομένων

Όμιλος επιχειρήσεων

«Μία ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις».

Άρθρο 4 παρ. 19 Γενικού Κανονισμού Προστασίας Δεδομένων

Δεσμευτικοί εταιρικοί κανόνες

«Οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις η δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούνται την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα».

Άρθρο 4 παρ. 20 Γενικού Κανονισμού Προστασίας Δεδομένων

Προσωπικά δεδομένα

Κάθε πληροφορία σχετική με ένα ταυτοποιημένο/ταυτοποιήσιμο άτομο, είτε σχετίζεται με την προσωπική, επαγγελματική ή δημόσια ζωή του/της. Μπορεί να είναι οτιδήποτε από ένα όνομα, φωτογραφία, διεύθυνση email, στοιχεία τραπεζικού λογαριασμού, δημοσιεύσεις σε ιστοσελίδες κοινωνικής δικτύωσης, ιατρικά δεδομένα, διεύθυνση IP ή ένα συνδυασμό δεδομένων που ταυτοποιεί άμεσα ή έμμεσα το πρόσωπο.

Δεδομένα προσωπικού χαρακτήρα

«Κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή η μπορεί να εξακριβωθεί» Άρθρο 2(α) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(α) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 1 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 1 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(α) Ν. 2472/1997

Ευαίσθητα προσωπικά δεδομένα

Ο GDPR αναφέρεται σε ευαίσθητα προσωπικά δεδομένα ως “ειδικές κατηγορίες προσωπικών δεδομένων”. Οι ειδικές κατηγορίες δεδομένων περιλαμβάνουν φυλετική ή εθνική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές απόψεις, συμμετοχή σε συνδικάτα, σεξουαλικό προσανατολισμό, και δεδομένα υγείας, γενετικά και βιομετρικά όταν έχουν επεξεργαστεί με τέτοιον τρόπο ώστε να ταυτοποιούν ένα συγκεκριμένο πρόσωπο. Προσωπικά δεδομένα σχετικά με καταδίκες και παραπτώματα δε συμπεριλαμβάνονται αλλά παρόμοια μέτρα προστασίας εφαρμόζονται στην επεξεργασία τους.

Ευαίσθητα δεδομένα

«Τα δεδομένα που αφορούν στη φυλετική η εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων».

Άρθρο 2 (β)Ν. 2472 / 1997

Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα

«Η φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, οι θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή η συμμετοχή σε συνδικαλιστική οργάνωση, τα βιομετρικά και γενετικά δεδομένα όταν υποβάλλονται σε επεξεργασία με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή το γενετήσιο προσανατολισμό». Άρθρο 9 παρ. 1 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 10 παρ.1 Οδηγίας (ΕΕ) 2016/680

Γενετικά δεδομένα «Τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία Παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου». Άρθρο 4 παρ. 14 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 11 Οδηγίας (ΕΕ) 2016/680

Βιομετρικά δεδομένα «Δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεδεμένη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα».

Άρθρο 4 παρ. 15 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 14 Οδηγίας (ΕΕ) 2016/680

Δεδομένα που αφορούν την υγεία

«Δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, συμπεριλαμβανομένης και της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του». Άρθρο 4 παρ. 16 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 17 Οδηγίας (ΕΕ) 2016/680

Υπεύθυνος επεξεργασίας

Κάθε οργανισμός, πρόσωπο ή όργανο που καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας προσωπικών δεδομένων, ελέγχει τα δεδομένα και είναι υπεύθυνος για αυτά, μεμονωμένα ή από κοινού. Παραδείγματα προσώπου ως υπεύθυνου επεξεργασίας περιλαμβάνουν ιατρούς, φαρμακοποιούς και πολιτικούς όταν αυτοί διατηρούν προσωπικές πληροφορίες σχετικά με τους ασθενείς, πελάτες, ψηφοφόρους τους κτλ. Παραδείγματα οργανισμών ως υπεύθυνου επεξεργασίας μπορεί να είναι κερδοσκοπικοί ή μη, ιδιωτικοί ή κυβερνητικοί, μεγάλοι ή μικροί, όταν διατηρούν προσωπικές πληροφορίες σχετικά με τους υπαλλήλους, πελάτες τους κτλ.

Αρχεία των δραστηριοτήτων επεξεργασίας

«Κάθε υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο εκπρόσωπος του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος». Άρθρο 35 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 27 Οδηγίας (ΕΕ) 2016/680

Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων

«Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους».

Άρθρο 35 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 27 Οδηγίας (ΕΕ) 2016/680

Προηγούμενη διαβούλευση με την εποπτική αρχή

«Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη της εποπτικής αρχής πριν από την επεξεργασία, όταν η δυνάμει του άρθρου 35 εκτίμηση αντίκτυπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον υπεύθυνο επεξεργασίας». Άρθρο 36 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 28 Οδηγίας (ΕΕ) 2016/680

Επεξεργαστής δεδομένων

Ένας επεξεργαστής δεδομένων επεξεργάζεται τα δεδομένα εκ μέρους του υπεύθυνου επεξεργασίας δεδομένων. Παραδείγματα περιλαμβάνουν εταιρίες μισθοδοσίας, λογιστές και εταιρίες έρευνας αγοράς όπως επίσης και τηλεφωνικά κέντρα / call centers

Υπεύθυνος επεξεργασίας

«Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα η από κοινού με άλλα καθορίζουν τους σκοπούς και τον τρόπο επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους».

Άρθρο 2(δ) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(δ) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 7 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 8 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(ζ) Ν. 2472/1997

Εκτελών την επεξεργασία

«Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας» Άρθρο 2(ε) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(ε) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 8 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 9 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(θ) Ν. 2472/1997

Τρίτος

«Οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπευθύνο επεξεργασίας, των εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα του προσωπικού χαρακτήρα»

Άρθρο 2(στ) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(στ) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 10 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 2(θ) Ν. 2472/1997

Αρχείο δεδομένων προσωπικού χαρακτήρα ή σύστημα αρχειοθέτησης

«Κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική η γεωγραφική βάση» Άρθρο 2(γ) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(γ) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 6 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 6 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2(ε) Ν. 2472/1997

Συγκατάθεση

«Κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και πλήρει επιγνώσει με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή σαφή θετική ενέργεια να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που τον αφορούν»

Άρθρο 2(η) Οδηγίας (ΕΚ) 95/46

Άρθρο 2(η) Κανονισμού (ΕΚ) 45/2001

Άρθρο 4 παρ. 11 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 2(ια) Ν. 2472/1997

Κατάρτιση προφίλ

«Οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου»

Άρθρο 4 παρ. 4 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 4 Οδηγίας (ΕΕ) 2016/680

Ψευδωνυμοποίηση

«Η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο η ταυτοποιήσιμο φυσικό πρόσωπο».

Άρθρο 4 παρ. 5 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 5 Οδηγίας (ΕΕ) 2016/680

Παραβίαση δεδομένων προσωπικού χαρακτήρα

«Η παραβίαση της ασφάλειας που οδήγησε τυχαία η παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση η πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν υποβλήθηκαν κατ άλλο τρόπο σε επεξεργασία».

Άρθρο 4 παρ. 12 Γενικού Κανονισμού Προστασίας Δεδομένων

Άρθρο 3 παρ. 11 Οδηγίας (ΕΕ) 2016/680

Άρθρο 2 αρ. 8 της οδηγίας (ΕΚ)
2002 / 58

Άρθρο 2 παρ. 11 Ν. 3471 / 2006
DPO

Ο ορισμός ενός Υπεύθυνου Προστασίας Δεδομένων – Data Protection Officer είναι υποχρεωτικός εάν:

(1) επεξεργασία εκτελείται από μία δημόσια αρχή,

ή

(2) οι “βασικές δραστηριότητες” ενός υπεύθυνου επεξεργασίας / επεξεργαστή δεδομένων είτε απαιτούν “την τακτική και συστηματική παρακολούθηση υποκειμένων των δεδομένων σε μεγάλη κλίμακα ” ή αποτελούνται απο την επεξεργασία ειδικών κατηγοριών δεδομένων ή δεδομένων σχετικά με καταδίκες “σε μεγάλη κλίμακα”.

Λογοδοσία

Λογοδοσία είναι η δυνατότητα επίδειξης συμμόρφωσης με τον GDPR. Ο Κανονισμός δηλώνει ευθέως ότι αυτή είναι ευθύνη του οργανισμού. Προκειμένου να επιδειχθεί η συμμόρφωση, πρέπει να εφαρμοστούν τα κατάλληλα τεχνικά και οργανωτικά μέτρα. Εργαλεία βέλτιστων πρακτικών όπως αξιολογήσεις επίδρασης στην ιδιωτικότητα και ιδιωτικότητα από σχεδιασμό απαιτούνται τώρα νομικά σε συγκεκριμένες περιπτώσεις. Σε περιπτώσεις όπως την κατασκευή μιας ιστοσελίδας ή την κατασκευή ενός eshop πρέπει να καταδειχθούν τα μέτρα που έχουν παρθεί για την προστασία και ακεραιότητα των δεδομένων που διακινούνται μέσα από αυτές (ειδικότερα στην περίπτωση ενός ηλεκτρονικού καταστήματος σε σχέση μια μια απλή ιστοσελίδα ) καθώς και να αποδειχθεί η ύπαρξη ενός σχεδιασμού που να προστατεύει την ιδιωτικότητα των πληροφοριών .

Συγκατάθεση

Συγκατάθεση είναι κάθε “ελεύθερη, συγκεκριμένη, ενημερωμένη και αδιαμφισβήτητη” ένδειξη των επιθυμιών του ατόμου, με την οποία το υποκείμενο των δεδομένων υποδηλώνει, είτε μέσω δήλωσης ή μέσω ξεκάθαρης θετικής δράσης, τη συμφωνία του με την επεξεργασία προσωπικών δεδομένων σχετικών με αυτό για έναν ή περισσότερους συγκεκριμένους σκοπούς.

Η θετική δράση, ή θετική επιλογή συμμετοχής, σημαίνει οτι η συγκατάθεση δεν μπορεί να θεωρηθεί ως δεδομένη με βάση τη σιωπή, προεπιλεγμένα πεδία ή αδράνεια. Πρέπει επίσης να είναι διαχωρισμένη απο όρους χρήσης και να μπορεί να αποσυρθεί με απλό τρόπο. Δημόσιες αρχές και εργοδότες πρέπει να προσέξουν ιδιαίτερα ώστε να διασφαλιστεί οτι η συγκατάθεση παρέχεται ελεύθερα.

Οι υπάρχουσες συγκαταθέσεις δε χρειάζεται να ανανεωθούν αυτόματα ως προετοιμασία για τον GDPR αλλά πρέπει να ανταποκρίνονται στα πρότυπα του GDPR ως προς το να είναι συγκεκριμένες, να καλύπτουν διαφορετικές χρήσεις δεδομένων, να είναι ξεκάθαρες, να περιλαμβάνουν επιθυμία συμμετοχής, να είναι κατάλληλα τεκμηριωμένες και να μπορούν να αποσυρθούν εύκολα.

Εάν όχι, αλλάξτε τους μηχανισμούς συγκατάθεσης σας και αναζητήστε νέα συγκατάθεση συμβατή με τον GDPR ή βρείτε μία εναλλακτική για τη συγκατάθεση.

Ειδικά σε διαφημιστικές ενέργειες στο διαδίκτυο και σε προωθητικές ενέργειες τόσο σε μηχανές αναζήτησης όπως το Google αλλά και social media όπως το facebook., instagram κ.α. πρέπει να υπάρχει η συγκατάθεση του χρήστη. Ας παραθέσουμε ένα πιο συγκεκριμένο παράδειγμα. Ας υποθέσουμε ότι χρησιμοποιείται κώδικα google remarketing ή facebook remarketing για να εμφανίζεται διαφημίσεις στους χρήστες που επισκέφτηκαν τον ιστοτόπο σας πρέπει να έχετε την συγκατάθεση του χρήστη. Είναι ένα σημείο – παγίδα που θα επηρεάσει πολλούς διαφημιζομένους σε google και facebook μέσω της τακτικής αυτής.

One-stop-shop concept

Εάν μία επιχείρηση είναι εγκατεστημένη σε περισσότερα από ένα κράτη-μέλη, θα έχει μία “κυρίαρχη αρχή” καθορισμένη από τη “βασική έδρα” της στην ΕΕ. Μία εποπτική αρχή που δεν είναι κυρίαρχη αρχή μπορεί να έχει επίσης ρυθμιστικό ρόλο, π.χ. όταν η επεξεργασία επηρεάζει υποκείμενα δεδομένων στη χώρα όπου αυτή η εποπτική αρχή είναι η εθνική αρχή.

Αξιολόγηση επίδρασης στην ιδιωτικότητα (PIA)

Ο GDPR επιβάλλει μία νέα υποχρέωση σε υπεύθυνους διαχείρισης δεδομένων και διαχειριστές δεδομένων να διεξάγουν μία Αξιολόγηση Επίδρασης Προστασίας Δεδομένων (γνωστή και ως αξιολόγηση επίδρασης στην ιδιωτικότητα ή PIA) προτού προβούν σε οποιαδήποτε επεξεργασία που δημιουργεί συγκεκριμένο κίνδυνο για την ιδιωτικότητα λόγω της φύσης, του εύρους ή των σκοπών της.

Επεξεργασία

Επεξεργασία είναι κάθε επιχείρηση που εκτελείται σε προσωπικά σετ δεδομένων όπως η δημιουργία, συλλογή, αποθήκευση, θέαση, μεταφορά, χρήση, μετατροπή, μεταβίβαση, διαγραφή κτλ. με χρήση αυτοματοποιημένων μέσων ή χωρίς.

Κατάρτιση προφίλ

Κατάρτιση προφίλ είναι κάθε μορφή αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων που αποσκοπεί στην αξιολόγηση συγκεκριμένων προσωπικών στοιχείων σχετικών με ένα άτομο ή στην ανάλυση ή πρόβλεψη της απόδοσης αυτού του ατόμου στην εργασία, της οικονομικής κατάστασης, της τοποθεσίας, της υγείας, προσωπικών προτιμήσεων, αξιοπιστίας ή συμπεριφοράς.

Πρόσβαση του υποκειμένου

Αυτό είναι το δικαίωμα του υποκειμένου των δεδομένων να λάβει απο τον υπεύθυνο διαχείρισης δεδομένων -κατόπιν αιτήματος- συγκεκριμένες πληροφορίες σχετικά με την επεξεργασία των προσωπικών δεδομένων του/της.

Γεωγραφικό εύρος

Το γεωγραφικό εύρος του GDPR περιλαμβάνει τον Ευρωπαϊκό Οικονομικό Χώρο (EΟΧ – όλα τα 28 κράτη-μέλη της ΕΕ), τις Ισλανδία, Λιχτενστάιν και Νορβηγία και δεν περιλαμβάνει την Ελβετία.

Τρίτος

Ένας τρίτος είναι κάθε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή κάθε άλλο όργανο άλλο από το υποκείμενο των δεδομένων, τον υπεύθυνο διαχείρισης, τον επεξεργαστή και τα άτομα που είναι εξουσιοδοτημένα να επεξεργαστούν τα δεδομένα υπό τον άμεσο έλεγχο του υπεύθυνου διαχείρισης ή του επεξεργαστή.

Μεταβίβαση

Η μεταβίβαση προσωπικών δεδομένων σε χώρες εκτός του ΕΟΧ ή σε διεθνείς οργανισμούς υπόκειται σε περιορισμούς. Όπως με την Οδηγία Προστασίας Δεδομένων, δε χρειάζεται να μεταφερθούν φυσικά τα δεδομένα .Ακόμα και η θέαση / μεταφορά των δεδομένων σε ένα άλλο σημείο θεωρείται ως μεταφορά δεδομένων κάτω από την οπτική του GDPR .

Για την DreamWeaver.Gr
Θανάσης Δαβαλάς