Ο Κανονισμός GDPR, αφορά κάθε Επιχείρηση, Ελεύθερο Επαγγελματία, Οργανισμό, Φορέα ή Δημόσια Αρχή που συλλέγει, διατηρεί ή επεξεργάζεται Προσωπικά Δεδομένα Φυσικών Προσώπων που βρίσκονται στην Ευρώπη, ανεξαρτήτως της ιθαγένειας ή του τόπου μόνιμης διαμονής τους. Αφορά και επηρεάζει όλους τους φορείς οποιασδήποτε επαγγελματικής ή εμπορικής δραστηριότητας, ασχέτως μεγέθους, είτε αυτοί συλλέγουν και επεξεργάζονται προσωπικά δεδομένα για δικό τους λογαριασμό (Υπεύθυνοι Επεξεργασίας), είτε για λογαριασμό τρίτων, στα πλαίσια της δραστηριότητάς τους (Εκτελούντες την Επεξεργασία).
Υπάρχουν δύο κίνδυνοι:
- Αντιμετωπίζει την πιθανότητα επιβολής προστίμου σε βάρος της εκ μέρους της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (σε περίπτωση καταγγελίας ή τυπικού ελέγχου),
- Αφήνει ανοικτό πεδίο σε οποιοδήποτε Πρόσωπο ισχυριστεί και αποδείξει ότι θίχτηκαν τα Δικαιώματά του να στραφεί κατά της Επιχείρησης διεκδικώντας αποζημίωση,
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με ειδικά αιτιολογημένη απόφασή της και κατόπιν προηγούμενης κλήσης για παροχή εξηγήσεων των ενδιαφερομένων μπορεί να επιβάλει σε αρμόδιες Αρχές για παραβάσεις των υποχρεώσεών τους ως Υπεύθυνων Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα τα παρακάτω διοικητικά πρόστιμα (βάση του Ν. 4624/2019):
- Για παραβάσεις των άρθρων 6 έως 8 και των άρθρων 60 έως 78 διοικητικό πρόστιμο έως ένα εκατομμύριο (1.000.000) ευρώ,
- Για παραβάσεις των άρθρων 45 έως 57, διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ και
- Για μη συμμόρφωση προς εντολή της Αρχής σύμφωνα με το άρθρο 15 παράγραφος 4 διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ.
Είναι ένα έγγραφο στο οποίο περιγράφονται οι στόχοι της Ασφάλειας και οι αντίστοιχοι κανόνες/διαδικασίες που πρέπει να ακολουθούνται για την επίτευξη των στόχων αυτών. Καθορίζει τη δέσμευση της Διοίκησης και την προσέγγιση μιας Επιχείρησης ή ενός οργανισμού, αναφορικά με την ασφάλεια και την προστασία Προσωπικών Δεδομένων.
Η πολιτική ασφαλείας πρέπει να αναφέρει διάφορες πτυχές όπως:
- Στοιχεία Υπευθύνου Επεξεργασίας (Επιχείρησης)
- Στοιχεία DPO αν υπάρχει
- Περιγραφή των Προσωπικών Δεδομένων που συλλέγονται
- Σκοποί Συλλογής και Επεξεργασίας των Προσωπικών Δεδομένων
- Διάρκεια αποθήκευσης των Προσωπικών Δεδομένων
- Η Νόμιμη βάση Επεξεργασίας
- Διαχείριση Cookies (αν δεν υπάρχει ξεχωριστή Πολιτική Cookies)
- Που διαβιβάζονται τα Προσωπικά Δεδομένα που συλλέγονται και για ποιο λόγο
- Μέτρα προστασίας
- Λόγοι αποκάλυψής Προσωπικών Δεδομένων
- Τα Δικαιώματα των Υποκειμένων
- Αναθεωρήσεις Έκδοσης αυτής
- Λοιπές άλλες χρηστικές πληροφορίες κατά περίπτωση
Αν υπάρχει Ιστοσελίδα, προτείνεται ανεπιφύλακτα να υπάρχει αντίγραφο της Πολιτικής αυτής σε αυτήν.
Όταν υπάρχει περιστατικό παραβίασης προσωπικών δεδομένων από το οποίο ενδέχεται να προκληθεί κίνδυνος στα δικαιώματα και τις ελευθερίες των προσώπων τα οποία αφορά το περιστατικό, οφείλουν να γνωστοποιήσουν το εν λόγω περιστατικό στην Αρχή, αλλά και στα ενδιαφερόμενα (θιγόμενα) Πρόσωπα.
Ειδικότερα:
- Η Γνωστοποίηση αυτή στην Αρχή πρέπει να γίνεται αμελλητί και, αν είναι δυνατό και εντός 72 ωρών από τη στιγμή που ο Υπεύθυνος Επεξεργασίας ενημερωθεί για το περιστατικό (Εκτός εάν αιτιολογημένα κρίνει ότι η παραβίαση δεν είναι πιθανό να θέσει σε κίνδυνο τα προστατευόμενα έννομα συμφέροντα φυσικού προσώπου. Η γνωστοποίηση της παραβίασης στην Αρχή μετά την πάροδο των εβδομήντα δύο (72) ωρών θα πρέπει να αιτιολογείται ειδικώς ως προς τους λόγους της καθυστέρησης.
- Η Γνωστοποίηση στο θιγόμενο Φυσικό Πρόσωπο πρέπει να λαμβάνει χώρα όταν η παραβίαση Δεδομένων Προσωπικού Χαρακτήρα ενδέχεται να προκαλέσει σημαντικό κίνδυνο για τα προστατευόμενα Έννομα συμφέροντα του.
Η Συγκατάθεση πρέπει να παρέχεται με κατανοητή και εύκολα προσπελάσιμη μορφή, με σκοπό την Επεξεργασία Δεδομένων, πράγμα που σημαίνει ότι πρέπει να είναι αδιαμφισβήτητη. Η Συγκατάθεση πρέπει να είναι σαφής και διακριτή από άλλα θέματα και να παρέχεται με κατανοητό τρόπο και σε εύκολα προσιτή μορφή, χρησιμοποιώντας σαφή και απλή γλώσσα. Πρέπει να είναι τόσο εύκολο να αποσύρει τη Συγκατάθεση ένα Φυσικό Πρόσωπο, όπως είναι να την δώσει.
Σύμφωνα με το άρθρο 21 του Ν. 4624/2019, τα παιδιά άνω των 15 ετών έχουν δικαίωμα να υποβάλουν έγκυρα τη συγκατάθεσή τους, ενώ για τα παιδιά κάτω των 15 ετών η συγκατάθεση δίνεται από αυτόν που έχει τη γονική μέριμνα, δηλαδή τον γονέα ή τον κηδεμόνα.
Επιπρόσθετα:
Απαγορεύεται η κατάρτιση προφίλ για παιδιά για σκοπούς εμπορικής προώθησης. Ο Υπεύθυνος Επεξεργασίας οφείλει να σέβεται το απόλυτο δικαίωμα του παιδιού να εναντιωθεί σε μια τέτοια ενέργεια του υπευθύνου που σχετίζεται με την απευθείας εμπορική προώθηση και να τη σταματήσει αμέσως μόλις του ζητηθεί.
Ένας Υπεύθυνος Επεξεργασίας (η ίδια η Επιχείρηση δηλαδή) είναι η οντότητα που καθορίζει τους σκοπούς, τους όρους και τα μέσα Επεξεργασίας των Προσωπικών Δεδομένων, ενώ ο Εκτελών την Επεξεργασία είναι μια οντότητα που Επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα (π.χ εξωτερικό λογιστήριο) για λογαριασμό του Υπεύθυνου Επεξεργασίας.
Προσοχή:
Το Προσωπικό μίας Επιχείρησης ΔΕΝ αποτελεί «Εκτελούντα την Επεξεργασία» (αυτό αποτελεί μία συχνή παρανόηση και γι’ αυτό αποσαφηνίζεται).
Ο Υπεύθυνος Επεξεργασίας πρέπει να τηρεί αρχείο για όλες τις κατηγορίες δραστηριοτήτων Επεξεργασίας που εμπίπτουν στην αρμοδιότητά του.
Το αρχείο περιλαμβάνει τις ακόλουθες πληροφορίες:
- Το ονοματεπώνυμο ή την Επωνυμία και τα στοιχεία επικοινωνίας του Υπεύθυνου Επεξεργασίας
- Τους σκοπούς της Επεξεργασίας
- Τις κατηγορίες αποδεκτών στους οποίους γνωστοποιήθηκαν ή πρόκειται να γνωστοποιηθούν τα Δεδομένα
- Προσωπικού Χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς
- Περιγραφή των κατηγοριών Υποκειμένων των Δεδομένων και των κατηγοριών Δεδομένων Προσωπικού
- Χαρακτήρα
- Όπου συντρέχει περίπτωση, τη χρήση κατάρτισης προφίλ
- Όταν συντρέχει περίπτωση, τις κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό
- Αναφορά της Νομικής βάσης της Επεξεργασίας
- Τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα ή για την επανεξέταση της ανάγκης διαγραφή τους
Γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας του άρθρου 62 του Ν. 4624/2019
Το αρχείο τίθεται στην διάθεση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κατόπιν αιτήσεως της.
Ο Εκτελών την Επεξεργασία πρέπει να διατηρεί αρχείο για όλες της κατηγορίες Επεξεργασίας που εκτελούνται για λογαριασμό του Υπεύθυνου Επεξεργασίας, το οποίο περιλαμβάνει:
- Το ονοματεπώνυμο ή την επωνυμία και τα στοιχεία επικοινωνίας κάθε Εκτελούντος την Επεξεργασία, κάθε Υπεύθυνου Επεξεργασίας για λογαριασμό του οποίου ενεργεί ο Εκτελών
- Τις κατηγορίες Επεξεργασίας που διενεργούνται για λογαριασμό κάθε Υπεύθυνου Επεξεργασίας
- Τις κατά περίπτωση διαβιβάσεις Δεδομένων Προσωπικού Χαρακτήρα προς αναφερόμενη τρίτη χώρα ή διεθνή οργανισμό, εφόσον ο Εκτελών την Επεξεργασία έχει λάβει ρητή σχετική εντολή από τον Υπεύθυνο Επεξεργασίας
- Εφόσον είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας του άρθρου 62 του Ν. 4624/2019
Το αρχείο τίθεται στην διάθεση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κατόπιν αιτήσεως της.
Εξαρτάται και πάντα εξετάζεται κατά περίπτωση (δεν αναφέρεται ρητά ποιοι εμπίπτουν στην υποχρέωση αυτή)
Για παράδειγμα, υποχρεούνται να έχουν DPO οι παρακάτω:
- Τα Νοσοκομεία
- Οι Κλινικές
- Οι Εταιρείες Security
- Οι τράπεζες
- Οι Ασφαλιστικές Εταιρείες
- Οι Εταιρείες που διεξάγουν παρακολούθηση για λόγους Ασφαλείας
- Οι Εταιρείες διαχείρισης Μισθοδοσίας
- Οι διαφημιστικές Εταιρείες
- Τα Call Centers
- Οι Εταιρείες Δημοσκοπήσεων
- Οι Εταιρείες που κάνουν Profiling σχετικά με τις καταναλωτικές συμπεριφορές
- Τα πολιτικά κόμματα
Ενώ για παράδειγμα, δεν υποχρεούνται να έχουν οι:
- Οι ιδιώτες γιατροί
- Οι ιδιώτες δικηγόροι
- Οι ιδιώτες λογιστές
- Οι Ελεύθεροι Επαγγελματίες
Συγκεκριμένα για τα Ξενοδοχεία προτείνεται να έχουν DPO λόγω διαχείρισης μεγάλου όγκου Προσωπικών Δεδομένων (χωρίς επίσης να είναι αναφέρεται ξεκάθαρα ως υποχρεωτικό).
Μπορεί να είναι και υπάλληλος της Επιχείρησης, αλλά μπορεί να είναι και Εξωτερικός Συνεργάτης. Ειδικότερα, ο DPO μπορεί να είναι μέλος του προσωπικού του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την Επεξεργασία (εσωτερικός υπεύθυνος προστασίας δεδομένων) ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών (εξωτερικός συνεργάτης). Σε κάθε περίπτωση, μπορεί να συνεπικουρείται από ομάδα, εφόσον απαιτείται. Συνιστάται δε να είναι εγκατεστημένος εντός ΕΕ, ανεξάρτητα από το εάν ο Υπεύθυνος Επεξεργασίας ή ο Εκτελών την Επεξεργασία είναι ή όχι εγκατεστημένοι στην ΕΕ.
Ο ρόλος του DPO είναι Συμβουλευτικός (όχι αποφασιστικός) και ΔΕΝ ΦΕΡΕΙ προσωπική ευθύνη για τη μη συμμόρφωση μίας Επιχείρησης με τον Κανονισμό.
Σύμφωνα με το άρθρο 20 του Ν. 4624/2019, ισχύουν τα εξής:
- Οι κανονιστικές αποφάσεις και οι ατομικές διοικητικές πράξεις της Αρχής, συμπεριλαμβανομένων των αποφάσεων με τις οποίες επιβάλλονται κυρώσεις, προσβάλλονται με αίτηση ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας.
- Η προθεσμία για την άσκηση της αίτησης ακυρώσεως δεν αναστέλλει την εκτέλεση της προσβαλλόμενης πράξης. Το δικαστήριο μπορεί, μετά από αίτηση του αιτούντος, να αναστείλει εν όλω ή εν μέρει την εκτέλεση της πράξης, κατά τις ισχύουσες διατάξεις.
- Αίτηση ακυρώσεως κατά των αποφάσεων και πράξεων της Αρχής μπορεί να ασκεί και ο αρμόδιος Υπουργός.
Όχι. Η Αρχή ελέγχει μόνο τους παραβάτες βάση της Καταγγελίας (αρκεί αυτή να γίνει σωστά και να είναι βάσιμη), και τους τιμωρεί με χρηματικό πρόστιμο, αν το κρίνει η ίδια η Αρχή σκόπιμο. Ένα φυσικό πρόσωπο μπορεί μόνο να προσφύγει Νομικά για την αποζημίωση του.
Σύμφωνα με το άρθρο 11 παρ. 2 Ν. 3471/2006, κάθε πάροχος υπηρεσιών ηλεκτρονικών επικοινωνιών οφείλει να τηρεί έναν ειδικό κατάλογο («Μητρώο») με στοιχεία των συνδρομητών του, οι οποίοι έχουν ζητήσει να μην δέχονται τηλεφωνικές κλήσεις για απ’ ευθείας εμπορική προώθηση προϊόντων και υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς. Το Μητρώο είναι στη διάθεση κάθε ενδιαφερόμενου (Νομικού ή Φυσικού προσώπου) που επιθυμεί να επικοινωνήσει με τους συνδρομητές με σκοπό την εμπορική προώθηση προϊόντων και υπηρεσιών και ο οποίος έχει την υποχρέωση να το αναζητήσει και να το λάβει υπ’ όψιν του σε οποιαδήποτε ενέργεια προώθησης. Μπορείτε να υποβάλετε σχετική αίτηση ένταξης στον πάροχο σας (σταθερής και κινητής τηλεφωνίας).
Αποτελεί βέλτιστη πρακτική να στέλνετε newsletters μόνο όταν σας έχει δοθεί σχετική Συγκατάθεση.
Στην περίπτωση που επιθυμείτε να στείλετε Newsletters (μέσω email), προτείνεται (στο σώμα του email λήψης συγκατάθεσης) να γνωστοποιείτε τα εξής στοιχεία:
- Τα Εταιρικά Στοιχεία (Όνομα ή/και διακριτικός τίτλος και στοιχεία Επικοινωνίας)
- Τον λόγο αποστολής και το είδος Επεξεργασίας
- Τα στοιχεία του Υπευθύνου Επεξεργασίας
- Κατά προτίμηση, τα Δικαιώματα των Υποκειμένων
- Την επισήμανση ότι τα υποκείμενα μπορούν ανά πάσα στιγμή να ανακαλέσουν την συγκατάθεση τους, δίνοντας τους τον τρόπο
- Τις επιλογές λήψης ή άρνησης Συγκατάθεσης
- Κατά προτίμηση να υπάρχει Link στην Πολιτική Ασφαλείας.
Εννοείται πως κάθε φορά που στέλνετε newsletters, πρέπει κάθε φορά να δίνετε την δυνατότητα διαγραφής από την λίστα αποδεκτών.
Ο Κανονισμός GDPR δεν απαιτεί κανενός είδους Πιστοποίησης. Παρόλα αυτά, αν μία Επιχείρηση επιθυμεί να Πιστοποιηθεί, μπορεί να το πράξει υιοθετώντας διάφορα Πρότυπα, όπως είναι το ISO 27001 περί Ασφάλειας Πληροφοριών. Σύμφωνα με το άρθρο 37 του Ν. 4624/2019, αναφέρεται ότι «Η διαπίστευση των Φορέων που χορηγούν πιστοποιήσεις σύμφωνα με το άρθρο 42 του GDPR πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) με βάση το πρότυπο EN-ISO/IEC17065:2012 και σύμφωνα με συμπληρωματικές απαιτήσεις που έχουν οριστεί από την Αρχή».
Ενημερωθείτε κατεβάζοντας τον σχετικό οδηγό της Αρχής Προστασίας Προσωπικών Δεδομένων εδώ
Δείτε την σχετική ενημέρωση της Αρχής εδώ
Αν η Ιστοσελίδα διαθέτει Cookies (π.χ Google Analytis), απαιτείται ιδιαίτερη προσοχή. Δείτε την σχετική ενημέρωση της Αρχής εδώ
Επιχείρηση ή Οργανισμός που απασχολεί περισσότερα από 250 άτομα πρέπει να τηρεί αρχείο για κάθε δραστηριότητα. Αντιθέτως, Επιχείρηση ή Οργανισμός που απασχολεί λιγότερα από 250 άτομα πρέπει να τηρεί το αρχείο για κάθε δραστηριότητα που:
- Δεν είναι περιστασιακή ή
- Ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, ή
- Αφορά ειδικές κατηγορίες δεδομένων (άρθρο 9 παράγραφος 1 του GDPR) ή δεδομένα ποινικών καταδικών και αδικημάτων (άρθρο 10 του GDPR).