Υπεύθυνος Προστασίας Δεδομένων – Πλήρης νομικοτεχνική κάλυψη

Υπεύθυνος Προστασίας Δεδομένων

Πλήρης νομικοτεχνική κάλυψη

Το γραφείο μας αναλαμβάνει τη νομική στήριξη, ως υπεύθυνου προστασίας δεδομένων, για τη συμμόρφωση επιχειρήσεων, οργανισμών, κλπ, με τον Γενικό Κανονισμό για την Προστασία Δεδομένων γνωστό και ως GDPR, σε συνεργασία με την εταιρεία CYBERTECH, η οποία είναι τεχνικός σύμβουλός μας σε θέματα υπολογιστών και διαδικτύου υνεργαζόμαστε σε ζητήματα πνευματικής ιδιοκτησίας και ασφάλειας στο διαδίκτυο, ὀπως για την προστασία πνευματικών δικαιωμάτων και δεδομένων από παραβίαση, «πειρατεία» δεδομένων – λογισμικού, κλπ).

Επισημαίνουμε, ότι το κόστος τής μη συμμόρφωσης με τον εν λόγω Κανονισμό, άλλως τής παραβίασης των κανόνων του, μπορεί να είναι πολύ υψηλό. Η τοπική Αρχή Προστασίας Δεδομένων κάθε ευρωπαικού κράτους παρακολουθεί τη συμμόρφωση και οι εργασίες τους συντονίζονται σε επίπεδο Ε.Ε. Το επιβληθέν πρόστιμο μπορεί να φτάσει μέχρι και τα 20 εκατομμύρια ευρώ ή μέχρι και το 4% του συνολικού ετήσιου κύκλου εργασιών μιας επιχείρησης.

Οι λόγοι θέσπισης του Γενικού Κανονισμού για την Προστασία Δεδομένων και η ευρύτητα των ρυθμίσεών του (ποιους αφορά και επηρεάζει):

Η καλπάζουσα τεχνολογική εξέλιξη έχει αναγάγει σε καθοριστικό το ρόλο του διαδικτύου στην καθημερινότητα του σύγχρονου ανθρώπου. Η πρόσβαση σε αυτό με τη χρήση κινητών συσκευών, τα κοινωνικά δίκτυα, οι υπηρεσίες υπολογιστικών νεφών (clouds) για την αποθήκευση αρχείων και γενικότερα η χρήση του διαδικτύου στο πλαίσιο τόσο προσωπικών, όσο και επαγγελματικών δραστηριοτήτων – διαδικασιών, που οδηγούν στην δημιουργία χώρων συγκέντρωσης και αποθήκευσης προσωπικών δεδομένων, καθώς και η διαβίβαση και ανταλλαγή δεδομένων μεταξύ διαφορετικών φορέων – οργανισμών, εταιρειών, αλλά και κρατών, κατέστησαν επιβεβλημένη τη θέσπιση ενός νέου Κανονισμού για την προστασία των δεδομένων αυτών. Αυτός είναι ο γνωστός πλέον με την ονομασία Γενικός Κανονισμός για την Προστασία (Προσωπικών) Δεδομένων (GDPR).

Συγκεκριμένα στις 27 Απριλίου 2016 θεσπίστηκε ο αριθμ. 679/2016 Κανονισμός της Ευρωπαϊκής Ένωσης, «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)», ο οποίος είναι υποχρεωτικός για όλα τα κράτη μέλη και τίθεται σε εφαρμογή από τις 25 Μαΐου 2018.

Ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, δηλαδή ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) της Ευρωπαϊκής Ένωσης (ΕΕ), ρυθμίζει την επεξεργασία από άτομο, εταιρεία ή οργανισμό των δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα στην ΕΕ.

Δεν υπάγεται σε αυτόν η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποθανόντων προσώπων ή νομικών προσώπων.

Οι κανόνες δεν εφαρμόζονται σε δεδομένα που υποβάλλονται σε επεξεργασία από ένα άτομο για αυστηρά προσωπικούς λόγους ή για δραστηριότητες που διενεργούνται κατ’ οίκον, υπό την προϋπόθεση ότι δεν συνδέονται με κάποια επαγγελματική ή εμπορική δραστηριότητα. Όταν ένα άτομο χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα εκτός της ιδιωτικής σφαίρας, παραδείγματος χάρη για κοινωνικοπολιτιστικές ή χρηματοοικονομικές δραστηριότητες, τότε το δίκαιο περί προστασίας δεδομένων πρέπει να τηρείται.”

Τα δεδομένα προσωπικού χαρακτήρα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα.

Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα αλλά τα οποία μπορούν να χρησιμοποιηθούν για την επαναταυτοποίηση ενός ατόμου παραμένουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ.

Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα με τέτοιον τρόπο ώστε το άτομο να μην είναι ή να μην είναι πια ταυτοποιήσιμο δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη.

Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Είναι τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία, υπό την προϋπόθεση ότι τα δεδομένα οργανώνονται βάσει προκαθορισμένων κριτηρίων (π.χ. αλφαβητική σειρά). Επίσης, δεν έχει σημασία ο τρόπος που αποθηκεύονται τα δεδομένα – σε σύστημα τεχνολογίας πληροφοριών, μέσω βιντεοεπιτήρησης ή σε έντυπη μορφή. Σε όλες τις περιπτώσεις τα δεδομένα προσωπικού χαρακτήρα υπόκεινται στις απαιτήσεις προστασίας που προβλέπει ο ΓΚΠΔ.

Παραδείγματα δεδομένων προσωπικού χαρακτήρα:

  • όνομα και επώνυμο·

  • διεύθυνση κατοικίας·

  • ηλεκτρονική διεύθυνση, π.χ. όνομα.επώνυμο@εταιρεία.com·

  • αναγνωριστικός αριθμός κάρτας·

  • δεδομένα τοποθεσίας (π.χ. η λειτουργία δεδομένων τοποθεσίας σε κινητό τηλέφωνο)·

  • διεύθυνση διαδικτυακού πρωτοκόλλου (IP)·

  • αναγνωριστικό cookie·

  • το αναγνωριστικό διαφήμισης του τηλεφώνου σας·

  • δεδομένα που φυλάσσονται από νοσοκομείο ή γιατρό, που θα μπορούσαν να είναι ένα σύμβολο που προσδιορίζει αποκλειστικά ένα άτομο.”

Ο όρος «επεξεργασία» καλύπτει ευρύ φάσμα πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα, είτε με χειροκίνητα είτε με αυτοματοποιημένα μέσα. Περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.

Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) εφαρμόζεται στην εξ ολοκλήρου ή μερική επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα καθώς και στη μη αυτοματοποιημένη επεξεργασία, εάν αποτελεί μέρος διαρθρωμένου συστήματος αρχειοθέτησης.

Παραδείγματα επεξεργασίας:

  • διαχείριση προσωπικού και μισθοδοσία·

  • προσπέλαση/αναζήτηση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα·

  • αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων*·

  • καταστροφή διά τεμαχισμού εγγράφων που περιέχουν δεδομένα προσωπικού χαρακτήρα·

  • δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου σε ιστότοπο·

  • αποθήκευση διευθύνσεων IP ή διευθύνσεων MAC·

  • μαγνητοσκόπηση (τηλεόραση κλειστού κυκλώματος).”

(Βλ. https://ec.europa.eu)

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Σε εφαρμογή του παραπάνω Κανονισμού καθίσταται υποχρεωτικό, μέχρι τις 25 Μαΐου 2018, να οριστεί Υπεύθυνος Προστασίας Προσωπικών Δεδομένων σε όλες τις υπηρεσίες και σε όλους του οργανισμούς του Δημόσιου τομέα, αλλά και σε σημαντικό μέρος του ιδιωτικού τομέα (κυρίως στις μικρομεσαίες και μεγάλες ιδιωτικές επιχειρήσεις).

Οι ιδιωτικές επιχειρήσεις, οι οποίες δεσμεύονται να ορίσουν ΥΠΔ είναι, κυρίως, οι ακόλουθες:

– Τα νοσοκομεία.

– Οι επιχειρήσεις παροχής υπηρεσιών φύλαξης χώρων και εγκαταστάσεων

– Οι εταιρείες διαχείρισης μέσων μεταφοράς (μετρό, λεωφορεία, αεροπορικές εταιρείες, εταιρείες διαχείρισης λιμένων).

– Όσοι επεξεργάζονται δεδομένα καταναλωτών σε πραγματικό χρόνο για την εξαγωγή στατιστικών. – Οι ασφαλιστικές εταιρείες.

– Οι τράπεζες.

– Οι επιχειρήσεις παροχής υπηρεσιών κοινωνίας της πληροφορίας που αξιολογούν συμπεριφορά χρηστών για να τους στείλουν στοχευμένη διαφήμιση.

– Οι πάροχοι πρόσβασης σε τηλεφωνικές και διαδικτυακές υπηρεσίες.

– Οι εταιρείες μηχανοργάνωσης.

– Οι ΜΚΟ που ασχολούνται με θέματα μετανάστευσης ή προσφύγων ή ΛΟΑΤΚΙ προσώπων ή με θέματα υγείας.

– Τα πολιτικά κόμματα.

– Οι συνδικαλιστικές οργανώσεις.

– Οι εταιρείες δημοσκοπήσεων.

– Οι θρησκευτικοί οργανισμοί.

– Οι επιχειρήσεις που παρέχουν υπηρεσίες σχετικές με την σεξουαλική ζωή.

– Οι υπηρεσίες υγείας, συμπεριλαμβανομένων των επιχειρήσεων ή ιδρυμάτων που ασχολούνται με την έρευνα στον τομέα της γενετικής.

Καθήκοντα του υπευθύνου προστασίας δεδομένων Σύμφωνα με το άρθρο 39 του Κανονισμού:

α) Ο υπεύθυνος προστασίας δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα:

– ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται για τις υποχρεώσεις τους που απορρέουν από τον Κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων,

– παρακολουθεί τη συμμόρφωση με τον Κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων,

– παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35 του Κανονισμού,

– συνεργάζεται με την εποπτική αρχή,

– ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36 του Κανονισμού, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.

β) Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.

Προσόντα Υπεύθυνου Προστασίας Δεδομένων Σύμφωνα με το άρθρο 37 παρ. 5 του Κανονισμού, «ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39».

Από όλα τα ανωτέρω προκύπτει, ότι για τη συμμόρφωση με τον Γενικό Κανονισμό για την Προστασία (Προσωπικών) Δεδομένων (GDPR) χρειάζονται, τόσο η νομική όσο και η τεχνική γνώση και στήριξη (όταν υφίσταται αυτοματοποίηση), προκειμένου να υπάρχει σύννομη συγκέντρωση, αποθήκευση και επεξεργασία των δεδομένων, αλλά και αποτελεσματική προστασία τους. Αυτά τα δύο στοιχεία (νομικό και τεχνικό) είναι αλληλένδετα και το ένα δεν μπορεί να λειτουργήσει σωστά – αποτελεσματικά χωρίς το άλλο, ώστε να επιτευχθεί η συμμόρφωση με τον ΓΚΠΔ. Γι’αυτό και συνεργαζόμαστε με έμπειρους επαγγελματίες στον τομέα των υπολογιστών. Η εταιρεία CYBERTECH διαθέτει την τεχνογνωσία που χρειάζεται στον τομέα τής πληροφορικής, των υπολογιστών και τού διαδικτύου και επομένως μπορεί να αναλάβει σε τεχνικό επίπεδο και το κομμάτι της επεξεργασίας και ασφάλειας των δεδομένων που είναι απαραίτητο.

Με τον τρόπο αυτό επιτυγχάνεται η πλήρης νομικοτεχνική κάλυψη που απαιτείται για τη συμμόρφωση με τον Γενικό Κανονισμό για την Προστασία (Προσωπικών) Δεδομένων (GDPR).

Advertisements
Αρέσει σε %d bloggers: