Τι πρέπει να ξέρουν οι επιχειρήσεις για τα προσωπικά δεδομένα και τον GDPR

από Team MyPortal.gr
sms

Στις 25 Μαΐου 2018, αρχίζει η εφαρμογή της νέας Ευρωπαϊκής νομοθεσίας, για την προστασία των προσωπικών δεδομένων, δηλαδή ο Κανονισμός για τη Γενική Προστασία Δεδομένων, GDPR.

Η νομοθεσία αυτή απαιτεί όλοι οι φορείς και οι δημόσιοι οργανισμοί και οι επιχειρήσεις να χρησιμοποιούν τα προσωπικά δεδομένα με διαφάνεια και ορθότητα.

Τι πρέπει να κάνει η εταιρία σας;

Η Ευρωπαϊκή Επιτροπή έδωσε συγκεκριμένες οδηγίες:

Επικοινωνία Χρησιμοποιήστε απλή γλώσσα. Πείτε τους ποιοι είστε όταν ζητάτε τα δεδομένα. Πείτε τον λόγο που επεξεργάζεστε τα δεδομένα τους, για πόσο καιρό θα τα φυλάξετε και ποιος τα λαμβάνει.

Πρόσβαση και δυνατότητα μεταφοράς

Δώστε στα άτομα πρόσβαση στα δεδομένα τους και επιτρέψτε τους να τα δώσουν σε άλλη εταιρεία.

Διαγραφή δεδομένων

Δώστε τους το «δικαίωμα στη λήθη». Διαγράψτε τα προσωπικά τους δεδομένα αν το ζητήσουν, αλλά μόνο αν δεν θίγεται η ελευθερία έκφρασης ή η δυνατότητα διεξαγωγής έρευνας.

Μάρκετινγκ

Δώστε στα άτομα το δικαίωμα να εξαιρεθούν από πρακτικές άμεσου μάρκετινγκ που χρησιμοποιούν τα δεδομένα τους. Διαβίβαση δεδομένων εκτός της ΕΕ Συνάψτε νομικές συμφωνίες όταν διαβιβάζετε δεδομένα σε χώρες που δεν έχουν λάβει έγκριση από τις αρχές της ΕΕ.

Συγκατάθεση

Λάβετε τη ρητή συγκατάθεσή τους για την επεξεργασία των δεδομένων. Ενημερώστε τα άτομα σχετικά με παραβιάσεις δεδομένων αν ενέχει σοβαρός κίνδυνος για αυτούς.

Δημιουργία προφίλ

Αν χρησιμοποιείτε προφίλ για την επεξεργασία αιτήσεων για νομικά δεσμευτικές συμφωνίες, για παράδειγμα για δάνεια, πρέπει:

Να ενημερώνετε τους πελάτες σας Να ορίζετε ένα πρόσωπο και όχι μια μηχανή να ελέγχει τη διαδικασία αν η αίτηση τελικά απορρίπτεται Να χορηγείτε στον αιτούντα το δικαίωμα να προσβάλλει την απόφαση. Προστασία ευαίσθητων δεδομένων Χρησιμοποιήστε πρόσθετα μέτρα προστασίας για πληροφορίες που αφορούν την υγεία, τη φυλή, τον σεξουαλικό προσανατολισμό, τη θρησκεία και τις πολιτικές πεποιθήσεις.

Τι να κάνετε αν αγοράζετε λίστες με προσωπικά δεδομένα

Πριν να αποκτήσετε έναν κατάλογο επαφών ή μια βάση δεδομένων με στοιχεία επικοινωνίας φυσικών προσώπων από άλλον οργανισμό, ο εν λόγω οργανισμός πρέπει να μπορεί να αποδείξει ότι τα δεδομένα αποκτήθηκαν σύμφωνα με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων και ότι μπορούν να χρησιμοποιηθούν για διαφημιστικούς σκοπούς. Για παράδειγμα, εάν ο οργανισμός απέκτησε τα δεδομένα βάσει συγκατάθεσης, η συγκατάθεση θα πρέπει να περιελάμβανε τη δυνατότητα διαβίβασης των δεδομένων σε άλλους αποδέκτες για τους δικούς τους σκοπούς άμεσης εμπορικής προώθησης.

Η εταιρεία ή ο οργανισμός σας πρέπει επίσης να διασφαλίζει ότι ο κατάλογος ή η βάση δεδομένων είναι ενημερωμένα και ότι δεν αποστέλλετε διαφημιστικό υλικό σε φυσικά πρόσωπα που αρνήθηκαν την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα για σκοπούς άμεσης εμπορικής προώθησης. Η εταιρεία ή ο οργανισμός σας πρέπει επίσης να διασφαλίζει ότι, εάν χρησιμοποιεί μέσα επικοινωνίας όπως ηλεκτρονικά μηνύματα για σκοπούς άμεσης εμπορικής προώθησης, συμμορφώνεται με τους κανόνες που θεσπίζονται στην οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (οδηγία 2002/58/ΕΚ1).

Τέτοιου είδους κατάλογοι υποβάλλονται σε επεξεργασία με βάση τα έννομα συμφέροντά σας, και τα φυσικά πρόσωπα θα έχουν δικαίωμα να αρνηθούν τέτοιου είδους επεξεργασία. Η εταιρεία ή ο οργανισμός σας πρέπει επίσης να ενημερώνει τα φυσικά πρόσωπα, το αργότερο την πρώτη φορά που επικοινωνείτε μαζί τους, ότι έχει συλλέξει τα δεδομένα τους προσωπικού χαρακτήρα και ότι σκοπεύει να τα επεξεργάζεται για την αποστολή διαφημίσεων.

Παράδειγμα

Δύο φίλοι, η κ. Α και ο κ. Β, είναι ιδιοκτήτες, αντίστοιχα, ενός γυμναστηρίου και ενός βιβλιοπωλείου. Ο καθένας τους συλλέγει δεδομένα από τους πελάτες του. Το βιβλιοπωλείο του κ. Β δεν πηγαίνει καλά. Η βάση δεδομένων με τους πελάτες του έχει λίγες καταχωρίσεις και δεν επισκέπτονται πολλά άτομα το βιβλιοπωλείο του. Λέει στην κ. Α ότι παρέλαβε μια νέα βιογραφία ενός διάσημου αθλητή και ρωτά την κ. Α εάν οι πελάτες της θα ενδιαφέρονταν να λάβουν διαφημιστικό υλικό για το βιβλίο. Οι όροι της δήλωσης εχεμύθειας της κ. Α ενημέρωναν τους πελάτες της ότι θα μπορούσε να κοινολογήσει τα δεδομένα σε συνεργάτες που προσφέρουν προϊόντα στον τομέα της υγείας και της ευεξίας.

Με την προϋπόθεση ότι έχει παρασχεθεί συγκεκριμένη συγκατάθεση με σκοπό τη διαβίβαση των δεδομένων σε άλλους αποδέκτες για τους δικούς τους σκοπούς άμεσης εμπορικής προώθησης, η κ. Α μπορεί να αποστείλει τον κατάλογο πελατών της στον κ. Β. Αντιθέτως, δεν μπορούν να αποσταλούν δεδομένα σχετικά με ένα άτομο το οποίο αρνήθηκε την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.

Τι είναι ένας υπεύθυνος επεξεργασίας ή ένας εκτελών την επεξεργασία;

Ο υπεύθυνος επεξεργασίας ορίζει τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τα μέσα με τα οποία αυτή πραγματοποιείται. Επομένως, εάν η εταιρεία ή ο οργανισμός σας αποφασίζει «γιατί» και «πώς» τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία, θεωρείται ο υπεύθυνος επεξεργασίας. Οι εργαζόμενοι που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εντός του οργανισμού σας το κάνουν για να εκπληρώσουν τα δικά σας καθήκοντα ως υπεύθυνου επεξεργασίας.

Η εταιρεία ή ο οργανισμός σας θεωρείται από κοινού υπεύθυνος επεξεργασίας όταν σε συνεργασία με έναν ή περισσότερους οργανισμούς αποφασίζει από κοινού «γιατί» και «πώς» θα πρέπει να υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα. Οι από κοινού υπεύθυνοι επεξεργασίας πρέπει να συνάπτουν μεταξύ τους συμφωνία που καθορίζει τις αντίστοιχες αρμοδιότητές τους για τη συμμόρφωση με τους κανόνες του ΓΚΠΔ. Τα κύρια σημεία της συμφωνίας πρέπει να κοινοποιούνται στα φυσικά πρόσωπα των οποίων τα δεδομένα υποβάλλονται σε επεξεργασία.

Ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνο εκ μέρους του υπεύθυνου επεξεργασίας. Ο εκτελών την επεξεργασία είναι συνήθως τρίτος εκτός εταιρείας. Ωστόσο, στην περίπτωση ομίλων επιχειρήσεων, μια επιχείρηση μπορεί να ενεργεί ως εκτελούσα την επεξεργασία για λογαριασμό άλλης επιχείρησης.

Τα καθήκοντα του εκτελούντος την επεξεργασία προς τον υπεύθυνο επεξεργασίας πρέπει να καθορίζονται σε σύμβαση ή άλλη νομική πράξη. Για παράδειγμα, η σύμβαση πρέπει να αναφέρει τι γίνεται με τα δεδομένα προσωπικού χαρακτήρα μετά τη λήξη της σύμβασης. Μια τυπική δραστηριότητα των εκτελούντων την επεξεργασία είναι η παροχή λύσεων ΤΠ, συμπεριλαμβανομένης της αποθήκευσης σε νέφος. Ο εκτελών την επεξεργασία των δεδομένων μπορεί να αναθέτει μέρος των εργασιών του σε άλλον εκτελούντα την επεξεργασία υπεργολάβο ή να διορίζει από κοινού εκτελούντα την επεξεργασία μόνον εφόσον έχει λάβει προηγούμενη γραπτή άδεια από τον υπεύθυνο επεξεργασίας των δεδομένων.

Υπάρχουν περιπτώσεις όπου μια οντότητα μπορεί να είναι υπεύθυνος επεξεργασίας δεδομένων ή εκτελών την επεξεργασία ή και τα δύο.