Ο «Γενικός Κανονισμός για την Προστασία Δεδομένων» (General Data Protection Regulation) που τίθεται σε εφαρμογή τον Μάιο 2018 είναι ένας Κανονισμός της Ευρωπαϊκής Ένωσης (2016/679) που αφορά στη διαμόρφωση ενός ενιαίου νομοθετικού πλαισίου για τη χρήση προσωπικών δεδομένων στα κράτη μέλη. Ο Κανονισμός (GDPR) είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος, δηλαδή δεν απαιτείται ειδική προσαρμογή της εθνικής νομοθεσίας (άρθρο 83).*

^(*) Στην Ελλάδα, εκτός του Κανονισμού GDPR, ισχύει ο Νόμος 2472/1997 για την προστασία των προσωπικών δεδομένων κάθε φυσικού προσώπου, που βρίσκεται εν ζωή (σημ.: τα νομικά πρόσωπα δεν έχουν προσωπικά δεδομένα). Επίσης, ισχύει ο Νόμος 3471/2006 για την προστασία των προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες.

Ποια θεωρούνται "δεδομένα προσωπικού χαρακτήρα";

Kάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ("υποκείμενο των δεδομένων") αποτελεί δεδομένο προσωπικού χαρακτήρα. Ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, αριθμό ταυτότητας, δεδομένα θέσης (location), σε επιγραμμικό (online) αναγνωριστικό ταυτότητας ή σε μια ή περισσότερες παραμέτρους που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του συγκεκριμένου φυσικού προσώπου.

Tι θεωρείται επεξεργασία "δεδομένων προσωπικού χαρακτήρα";

Κάθε πράξη ή σειρά πράξεων, που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα, όπως συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμός, περιορισμός, διαγραφή ή καταστροφή, θεωρείται επεξεργασία δεδομένων προσωπικού χαρακτήρα.

• Υπεύθυνος Επεξεργασίας προσωπικών δεδομένων στη «Νόηση στο διαδίκτυο» (NOESI.gr) είναι ο Άγγελος Κουτουμάνος, Κοινωνικός Λειτουργός.
• Διαβάστε αναλυτικά για την πολιτική προστασίας προσωπικών δεδομένων από τη «Νόηση στο διαδίκτυο» (NOESI.gr).

Ποιους αφορά ο GDPR;

Αφορά όλες τις επιχειρήσεις, (ιδιωτικού και δημόσιου τομέα), που με οποιονδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα φυσικών προσώπων (π.χ. εργαζομένων, συνεργατών, πελατών ή άλλων ατόμων). Δηλαδή, αφορά σχεδόν το σύνολο των επιχειρήσεων.

Παρόλα αυτά, για να ληφθεί υπόψη η ειδική κατάσταση των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, ο Κανονισμός περιλαμβάνει παρεκκλίσεις για οργανισμούς που απασχολούν λιγότερα από 250 άτομα (Άρθρο 30 παρ. 5) όσον αφορά την τήρηση αρχείων.

Συγκεκριμένα, η παράγραφος 5 του άρθρου 30 του Κανονισμού αναφέρει ότι οι υποχρεώσεις, που αναφέρονται στις παραγράφους του άρθρου 30 και αφορούν τις πληροφορίες που οφείλουν οι "υπεύθυνοι επεξεργασίας" να περιλαμβάνουν στο αρχείο των δραστηριοτήτων επεξεργασίας, δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

Επιπλέον, τα θεσμικά όργανα και οι οργανισμοί της Ένωσης, καθώς και τα κράτη μέλη και οι εποπτικές αρχές τους, παροτρύνονται να λαμβάνουν υπόψη τις ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων κατά την εφαρμογή του παρόντος κανονισμού. Η έννοια των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων θα πρέπει να βασίζεται στο άρθρο 2 του παραρτήματος στη σύσταση 2003/361/ΕΚ της Επιτροπής. Η κατηγορία των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων (ΜΜΕ) αποτελείται από επιχειρήσεις που απασχολούν λιγότερους από 250 εργαζομένους και των οποίων ο ετήσιος κύκλος εργασιών δεν υπερβαίνει τα 50 εκατομμύρια ευρώ ή το σύνολο του ετήσιου ισολογισμού δεν υπερβαίνει τα 43 εκατομμύρια ευρώ.

Τι είναι Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ);

Η ΑΠΔΠΧ ιδρύθηκε στην Ελλάδα με το νόμο 2472/1997 και είναι συνταγματικά κατοχυρωμένη ανεξάρτητη Αρχή. Η Αρχή θα πρέπει να εξειδικεύσει τις υποχρεώσεις των επιχειρήσεων, ανάλογα με το μέγεθός τους.

Πότε τέθηκε σε εφαρμογή ο GDPR;

Ο Κανονισμός (GDPR) τέθηκε σε εφαρμογή στις 25 Μαΐου 2018 (άρθρο 99). Το χρονικό διάστημα των δύο ετών, από την ψήφισή του – μέχρι την έναρξη εφαρμογής, αποτελούσε περίοδο προσαρμογής για τα νομικά πρόσωπα (επιχειρήσεις).

Τι πρέπει να κάνουν οι επιχειρήσεις;

Τα νομικά πρόσωπα καλούνται να μεριμνήσουν για την προστασία των πληροφοριακών τους συστημάτων και τη διασφάλιση των δεδομένων τους, με τακτικούς ελέγχους ασφάλειας δικτύων και υποδομών, εφαρμόζοντας πολιτικές ασφάλειας και διαδικασίες, αλλά και εκπαιδεύοντας το προσωπικό τους για την ορθή χρήση των πληροφοριακών συστημάτων, όπου αποθηκεύονται ή επεξεργάζονται τα προσωπικά δεδομένα.

Ο Κανονισμός επιβάλλει μια σειρά νέων υποχρεώσεων στους υπευθύνους επεξεργασίας προσωπικών δεδομένων, οι οποίες απορρέουν κυρίως από την ενισχυμένη αρχή της διαφάνειας στον τρόπο συλλογής, επεξεργασίας και τήρησης δεδομένων και τη νέα αρχή της λογοδοσίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωσή του με όλες τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων. Διαβάστε περισσότερα στο άρθρο "Προετοιμασία των επιχειρήσεων" που έχει ετοιμάσει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Δεληγιάννης Θοδωρής
Ορκωτός Ελεγκτής Λογιστής της «ΩΡΙΩΝ Α.Ε.Ο.Ε.Λ.»

• Πηγή άρθρου (κατόπιν επεξεργασίας από την ομάδα της νόησης στο διαδίκτυο): Τaxheaven.gr