Η ραγδαία εξέλιξη της τεχνολογίας σε συνδυασμό με την αυξημένη ανταλλαγή δεδομένων προσωπικού χαρακτήρα, δημιούργησαν την ανάγκη για τη θέσπιση ενός αυστηρότερου νομοθετικού πλαισίου σχετικά με την προστασία των προσωπικών δεδομένων.
Κάτω από αυτές τις συνθήκες, το Ευρωπαϊκό Κοινοβούλιο προχώρησε στη δημιουργία και ψήφιση του νέου Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR), ο οποίος τίθεται σε εφαρμογή στις 25 Μαΐου του 2018.
Ο νόμος εφαρμόζεται σε εταιρίες οι οποίες επεξεργάζονται και διαχειρίζονται προσωπικά δεδομένα Ευρωπαίων πολιτών, είτε η έδρα τους βρίσκεται εντός Ευρωπαϊκής Ένωσης είτε εκτός.
Τρία βασικά σημεία της νομοθεσίας
-
- Δίνει στους πολίτες τον έλεγχο σχετικά με την προστασία των προσωπικών τους δεδομένων.
- Απλοποιεί τις νομικές διαδικασίες για τα προσωπικά δεδομένα σε ευρωπαϊκό επίπεδο, αφού πλέον θα λειτουργούν όλες οι εταιρίες στο πλαίσιο ενός κανονισμού.
- Επιβάλει σημαντικά πρόστιμα τα οποία, ανάλογα με το είδος της παραβίασης, μπορούν να φτάσουν τα €20.000.000 ή το 4% του συνολικού ετησίου κύκλου εργασιών μιας επιχείρησης.
Τι ορίζονται ως Προσωπικά Δεδομένα;
O GDPR δίνει ιδιαίτερη βαρύτητα στον καθαυτό ορισμό των προσωπικών δεδομένων σήμερα. Το επίσημο έγγραφο το οποίο μπορείς να βρεις εδώ, ορίζει τα προσωπικά δεδομένα ως οποιαδήποτε πληροφορία που συνδέεται με ένα φυσικό πρόσωπο έμμεσα ή άμεσα.
Για παράδειγμα:
- Όνομα
- Διεύθυνση email
- Πληροφορίες Τοποθεσίας
- Διεύθυνση IP
Τι ορίζονται ως Ευαίσθητα Προσωπικά Δεδομένα;
Τα ευαίσθητα προσωπικά δεδομένα είναι κατηγορίες που χρήζουν ειδικής προστασίας, καθότι η επεξεργασία τους μπορεί να κρύβει κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες του ατόμου.
Για παράδειγμα:
- η φυλετική ή εθνοτική καταγωγή
- τα πολιτικά φρονήματα
- οι θρησκευτικές ή φιλοσοφικές πεποιθήσεις
- η συμμετοχή σε συνδικαλιστική οργάνωση
- η υγεία ή η σεξουαλική ζωή
10 βήματα για να προετοιμαστείς για το νέο κανονισμό
1. Ενημερώσου σχετικά με τον GDPR
Ο GDPR θα έχει αντίκτυπο στις εταιρίες που διατηρούν και επεξεργάζονται δεδομένα, οπότε αν η επιχείρησή σου κρατάει τα δεδομένα των πελατών, είναι καλό να ενημερωθείς σχετικά. Αρχικά θα χρειαστεί να αντιληφθείς πλήρως τους ορισμούς των προσωπικών δεδομένων που αναφέραμε παραπάνω, αλλά και τους περιορισμούς του Κανονισμού και έπειτα να εντοπίσεις τις αλλαγές που πρέπει να γίνουν στην εταιρία σου, ώστε να αρχίσεις να προσαρμόζεσαι στις νέες διατάξεις.
2. Χαρτογράφησε τα δεδομένα που λαμβάνεις και επεξεργάζεσαι
Το να αντιληφθείς ποια δεδομένα ορίζονται ως προσωπικά και το να βρεις πού και πώς αποθηκεύεις αυτά τα στοιχεία είναι δυο διαφορετικά πράγματα. Οι περισσότερες εταιρίες δεν αντιλαμβάνονται τις μισές πληροφορίες που αποθηκεύουν – οι πληροφορίες αυτές χαρακτηρίζονται ως “dark” data.
Αρχικό σου μέλημα είναι η εύρεση καθώς και η χαρτογράφηση των προσωπικών δεδομένων, ώστε να γνωρίζεις ανά πάσα στιγμή πού βρίσκονται και πώς καταλήγουν εκεί.
Μπορείς να ξεκινήσεις την έρευνα από:
- το site σου (για παράδειγμα, οι χρήστες του WordPress πρέπει να τσεκάρουν τα plugin τους όπως το Akismet και τις φόρμες επικοινωνίας)
- τα ηλεκτρονικά αρχεία που διατηρείς, όπως βάσεις δεδομένων σε excel, πληροφορίες σε pdf, ακόμα και αρχεία που αποθηκεύονται στο cloud
- και τέλος συνιστάται προσοχή στα:
- email & email marketing software
- social media
- messaging apps, όπως το Facebook
- managment software της εταιρίας
Αφού εντοπίσεις όλα τα δεδομένα που αποθηκεύεις, οργάνωσε ένα αρχείο με αυτά και διάγραψε ό,τι δεν χρειάζεται πλέον.
3. Επικοινωνία με τον πελάτη
Επικοινώνησε την πολιτική απορρήτου με απλή γλώσσα. Δώσε στους πελάτες σου όλες τις απαραίτητες πληροφορίες όταν ζητάς τα προσωπικά τους δεδομένα: τον σκοπό για τον οποίο τα επεξεργάζεσαι, για πόσο καιρό θα τα κρατήσεις και ποιος άλλος έχει τη δυνατότητα να τα επεξεργαστεί.
4. Δικαιώματα του πολίτη που είναι υποκείμενο επεξεργασίας δεδομένων
Τα προσωπικά δεδομένα θεωρούνται ένα πολύτιμο περιουσιακό στοιχείο και για τον λόγο αυτό ο GDPR δίνει τον έλεγχο στους πολίτες για τη διαχείριση αυτών. Τα δικαιώματα των πολιτών σχετικά με τα δεδομένα τους περιλαμβάνουν:
- την σωστή πληροφόρηση για την επεξεργασία τους
- την ανεμπόδιστη πρόσβαση του ιδιοκτήτη σε αυτά
- την άμεση διόρθωσή τους όταν παρατηρηθεί λάθος
- την διαγραφή τους όταν δεν είναι πια απαραίτητα
- την μεταφορά τους όταν το επιθυμεί ο ιδιοκτήτης
- το δικαίωμα στην ένσταση όταν αυτά χρησιμοποιούνται αθέμιτα
- τους περιορισμούς στην επεξεργασία τους
Η διαδικασία που επιτρέπει τις παραπάνω λειτουργίες θα πρέπει να είναι απλή και προσιτή στον πολίτη.
5. Πρόσεξε τις νομικές σου υποχρεώσεις
Όπως είδαμε παραπάνω, ένας πελάτης έχει το δικαίωμα να ζητήσει διαγραφή των προσωπικών του δεδομένων. Ταυτόχρονα, εσύ σαν επαγγελματίας ίσως χρειάζεται να διατηρείς κάποια από αυτά. Ένα χαρακτηριστικό παράδειγμα τέτοιας περίπτωσης είναι η διατήρηση ενός αρχείου πληρωμών για φορολογικούς λόγους, για ένα συγκεκριμένο χρονικό διάστημα. Από τη στιγμή που έχεις νομική υποχρέωση απέναντι σε φορολογικούς φορείς, μπορείς να διαγράψεις όλα τα στοιχεία του πελάτη εκτός από αυτά που χρειάζεσαι για το φορολογικό σου αρχείο και τα οποία δεν μπορείς να επεξεργαστείς για άλλους σκοπούς.
Υπάρχουν διάφοροι λόγοι που σε υποχρεώνουν νομικά να διατηρείς αρχείο με προσωπικά δεδομένα, οπότε φρόντισε να ενημερωθείς γι’ αυτούς και στη συνέχεια να ενημερώσεις και τους πελάτες σου σχετικά.
6. Διαρροή δεδομένων
Σε περίπτωση παραβίασης των συστημάτων σου και διαρροής προσωπικών δεδομένων οφείλεις να γνωστοποιήσεις το γεγονός εντός 72 ωρών τις αρμόδιες Αρχές αλλά και στα ενδιαφερόμενα άτομα, εφόσον η παραβίαση αυτή μπορεί να αποτελέσει ρίσκο για τα δικαιώματα και τις ελευθερίες τους.
7. Προστάτευσε τα ευαίσθητα δεδομένα
Χρησιμοποίησε πρόσθετα μέτρα προστασίας για πληροφορίες που αφορούν την υγεία, τη φυλή, τον σεξουαλικό προσανατολισμό, τη θρησκεία και τις πολιτικές πεποιθήσεις. Σε αυτές τις περιπτώσεις θα χρειαστεί να πάρεις ειδική συγκατάθεση για την επεξεργασία των δεδομένων. Ενημέρωσε το κοινό σου σχετικά και διαβεβαίωσέ τους για την ασφάλεια των προσωπικών τους δεδομένων.
8. Όρισε έναν Υπεύθυνο Προστασίας Δεδομένων
Σε μερικές περιπτώσεις είναι αναγκαίος ο καθορισμός ενός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer), κυρίως για τις δημόσιες αρχές, τους οργανισμούς που παρακολουθούν συστηματικά δεδομένα σε μεγάλη κλίμακα και τους οργανισμούς που παρακολουθούν ευαίσθητα δεδομένα σε μεγάλη κλίμακα ή επεξεργάζονται ποινικά μητρώα.
9. Διαβίβαση δεδομένων εκτός της Ε.Ε.
Η μεταφορά δεδομένων σε χώρες εκτός Ε.Ε. πρέπει να γίνεται υπό συγκεκριμένες προϋποθέσεις. Πριν διαβιβάσεις τα δεδομένα κάποιου πελάτη σου σε χώρα εκτός της Ε.Ε., σύναψε μαζί του μια συμφωνία, ώστε να καλυφθείς νομικά.
10. Διαμοιρασμός δεδομένων σε συνεργάτες
Οι συνεργάτες που εκτελούν εκ μέρους σου ενέργειες σχετιζόμενες με προσωπικά δεδομένα πελατών (όπως π.χ. ηλεκτρονικές πληρωμές) πρέπει να συμβαδίζουν με τους κανόνες του GDPR. Επανεξέτασε τις συνεργασίες σου, ελέγχοντας τις προθέσεις τους γύρω από τον κανονισμό και αν δεν έχουν ξεκινήσει να λαμβάνουν μέτρα για διαδικασίες συμμόρφωσης, ψάξε για άλλες εναλλακτικές.
Καταλήγοντας…
Η προετοιμασία για τον GDPR είναι σημαντική και αποτελεί ένα μεγάλο βήμα προς τη νομική εξασφάλιση της εταιρίας σου. Παράλληλα, είναι μια διαδικασία που θα απαιτήσει τη συνεχή παρακολούθηση και προστασία των δεδομένων από τη στιγμή που ο νόμος θα τεθεί σε εφαρμογή.
Ελπίζω να σε βοηθήσαμε να κάνεις μια αρχή με τα παραπάνω βήματα! Αν υπάρχουν τεχνικές ή διαδικασίες που ακολούθησες και σε βοήθησαν να συμμορφωθεί η εταιρία σου με τον GDPR, θα θέλαμε να μάθουμε για αυτές, οπότε πες τις μας με ένα σχόλιο!
Μπες στη συζήτηση