Τι πρέπει να γνωρίζετε για το GDPR
Η νέα ευρωπαϊκή νομοθεσία, στην ουσία προστατεύει όλους τους Ευρωπαίους πολίτες από τη διαχείριση και ενδεχόμενη κατάχρηση των προσωπικών δεδομένων τους από τρίτους.
Στο πλαίσιο αυτό, όποιος συλλέγει και επεξεργάζεται προσωπικά δεδομένα (από social media, μέχρι εμπορικές επιχειρήσεις, φορείς και οργανισμούς, ή διαφημιστικές εταιρείες), οφείλει να ενημερώνει συνεχώς και λεπτομερώς τον κάτοχό τους για ποιόν λόγο το κάνει, πώς τα χρησιμοποιεί και για πόσο χρονικό διάστημα τα διατηρεί.
Από την άλλη πλευρά, οι χρήστες δικαιούνται να έχουν δωρεάν πρόσβαση στα δεδομένα τους που διαχειρίζονται τρίτοι. Μεταξύ άλλων, μπορούν να ζητήσουν δωρεάν αντίγραφα, ή να αρνηθούν κάθε μορφή online διαφήμισης.
Επιπρόσθετα, ενισχύεται το δικαίωμα των πολιτών στη “λήθη”, αφού ο καθένας δικαιούται πλέον να ζητήσει διαγραφή του ιστορικού του που διατηρείται από τρίτους (ακόμη και από μηχανές αναζήτησης).
Στην περίπτωση που χαθούν ή κλαπούν τα προσωπικά δεδομένα χρηστών, προβλέπεται “τσουχτερό” πρόστιμο για τους παραβάτες.
Αξίζει να σημειωθεί ότι σε κάθε περίπτωση το GDPR προβλέπει βαριές “καμπάνες” για τις επιχειρήσεις που δεν θα συμμορφωθούν, που αγγίζουν έως και το 5% των ετήσιων εσόδων τους. Σε μία πρώτη και σύντομη ωστόσο φάση, τα πρόστιμα αυτά δεν θα είναι απαιτητά.
Πρακτικά, υπό τη νέα νομοθεσία, ευαίσθητα προσωπικά δεδομένα μπορούν να θεωρηθούν, το ονοματεπώνυμο, η διεύθυνση κατοικίας, ο αριθμός ταυτότητας, ο αριθμός τραπεζικού λογαριασμού ή κάρτας. τα προσωπικά e-mail, τα δεδομένα τοποθεσίας (GPS), η διεύθυνση διαδικτυακού πρωτοκόλλου (IP), ιατρικά δεδομένα, κ.α. Ωστόσο, δεδομένα που δεν θεωρούνται προσωπικού χαρακτήρα, ή χαρακτηρίζονται ως “ανώνυμα”, όπως π.χ. τα εταιρικά e-mail, δεν υπόκεινται στη νέα νομοθεσία.
Αρχικά, η εφαρμογή της νομοθεσίας δεν θα γίνει ιδιαίτερα αισθητή από τους χρήστες. Σταδιακά ωστόσο και αφού μπουν και οι ίδιοι στη διαδικασία να ασχοληθούν με ποιον μοιράζονται τα προσωπικά δεδομένα τους, θα διαπιστώσουν μείωσης της αλόγιστης online διαφήμισης, η οποία αναγκαστικά θα πάψει να είναι στοχευμένη όπως γινόταν μέχρι σήμερα, στερώντας στην ουσία κάθε στοιχείο ιδιωτικότητας.
Στην πράξη, η νέα νομοθεσία μας δίνει τη δυνατότητα να διορθώσουμε πολλά από τα “κακώς κείμενα” της ψηφιακής εποχής, αφού λίγο πολλοί όλοι έχουμε κάποια στιγμή συναινέσει απερίσκεπτα στο διαμοιρασμό των προσωπικών δεδομένων μας.
Μεγάλο “αγκάθι” πάντως στην εφαρμογή της νομοθεσίας είναι το γεγονός ότι οι περισσότερες χώρες – μέλη και πολλές επιχειρήσεις δεν έχουν προετοιμαστεί κατάλληλα για την μετάβαση στη νέα κατάσταση, ενώ ανενημέρωτοι μοιάζουν και καταναλωτές.
Αξίζει να αναφερθεί ότι τόσο το δημόσιο όσο και οι εταιρείες που δεν συμμορφώνονται με τον GDPR, θα υφίστανται πρόστιμο έως 4% του παγκόσμιου ετήσιου κύκλου εργασιών τους ή πρόστιμο που αγγίζει τα 20 εκατομμύρια ευρώ. Σημειώνεται ότι αυτά τα πρόστιμα θα ισχύουν τόσο για τους υπεύθυνους επεξεργασίας όσο και για τους εκτελούντες την επεξεργασία.
Ως “υπεύθυνος επεξεργασίας” θεωρείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. “Εκτελών την επεξεργασία” θεωρείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων (“DPO”). Ο DPO μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.
Το ενδεχόμενο να δοθεί 6μηνη περίοδος προσαρμογής για το νέο Ευρωπαϊκό Γενικό Κανονισμό για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα (GDPR) εξετάζουν τα κράτη μέλη της Ε.Ε. με την Κομισιόν καθώς, τυπικά, τα αρμόδια κοινοτικά όργανα δεν μπορούν να δώσουν “επισήμως” παράταση στην εφαρμογή του κανονισμού
Πρακτικά ο κανονισμός θα ισχύει από την 25η Μαΐου αλλά για μια περίοδο, πιθανώς έως το τέλος του χρόνου, δεν θα κόβονται τα τσουχτερά πρόστιμα.
Η ελληνική κυβέρνηση φλέγεται να πάρει περίοδο ανοχής καθώς ο άμεσα ενδιαφερόμενος της, το ελληνικό δημόσιο είναι ανέτοιμο να προσαρμοστεί στις επιταγές του κανονισμού
Μέχρι σήμερα, η ελληνική κυβέρνηση δεν έχει ακόμη ενσωματώσει τον κανονισμό GDPR στην εθνική νομοθεσία. Το ίδιο βέβαια, συμβαίνει σε άλλα επτά κράτη-μέλη (Βέλγιο, Βουλγαρία, Κύπρος, Τσεχία, Ουγγαρία, Λιθουανία και Σλοβενία), τη στιγμή που διέθεταν περίπου δύο χρόνια για να θεσπίσουν τα αναγκαία νομοθετήματα. Αυτό πρακτικά σημαίνει, ότι ωσότου ενσωματωθεί στην εθνική νομοθεσία ο κανονισμός, δεν θα είναι δυνατή η επιβολή ποινών για μη συμμόρφωση με τον ευρωπαϊκό κανονισμό από την Αρχή Προστασία Προσωπικών Δεδομένων.