Δίκαιο Πληροφορικής / GDPR & Προσωπικά Δεδομένα

September 25, 2018: GDPR: Επτά βήματα για τις επιχειρήσεις

Προσωπικά Δεδομένα


ethemis

GDPR: Επτά βήματα για τις επιχειρήσεις

Η Ευρωπαϊκή Επιτροπή δημοσίευσε οδηγό με επτά βήματα για τις επιχειρήσεις, ώστε να είναι προετοιμασμένες για την εφαρμογή του GDPR

Ποιους αφορά; 

Σκοπός του οδηγού αυτού είναι να βοηθήσει τις εταιρίες που δεν διαχειρίζονται προσωπικά δεδομένα ως βασική επιχειρηματική δραστηριότητα, όπως είναι οι μικρομεσαίες επιχειρήσεις που κυρίως διαχειρίζονται προσωπικά δεδομένα των υπαλλήλων τους ή έχουν λίστες με πελάτες και αγοραστές. Πρόκειται, ενδεικτικά, για εμπόρους ή μαγαζιά, όπως αρτοποιεία ή κρεοπωλεία, ή παρόχους υπηρεσιών, όπως αρχιτέκτονες. Αυτός o οδηγός τονίζει τα λίγα βήματα που πρέπει να γίνουν, για να ετοιμαστείτε για τον ΓΚΠΔ.

Προσωπικά δεδομένα είναι κάθε πληροφορία που σχετίζεται με ζωντανό άτομο (όχι νομικές οντότητες). Αυτά περιλαμβάνουν, για παράδειγμα: όνομα, επίθετο, διεύθυνση κατοικίας, διεύθυνση ηλεκτρονικού ταχυδρομείου ή τοποθεσία από τον χάρτη του κινητού σας. Συνήθως, πρόκειται για δεδομένα που ενδέχεται να διαθέτετε για τους υπαλλήλους σας, τους πελάτες σας ή του προμηθευτές σας.

Δείτε τα παρακάτω βήματα:

(1) ΕΛΕΓΞΤΕ ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΠΟΥ ΣΥΛΛΕΓΕΤΕ ΚΑΙ ΕΠΕΞΕΡΓΑΖΕΣΤΕ, ΤΟΝ ΣΚΟΠΟ ΓΙΑ ΤΟΝ ΟΠΟΙΟΝ ΤΟ ΚΑΝΕΤΕ ΚΑΙ ΠΑΝΩ ΣΕ ΠΟΙΑ ΝΟΜΙΚΗ ΒΑΣΗ

Διαθέτετε υπαλλήλους: επεξεργάζεστε τα προσωπικά τους δεδομένα με βάση τη σύμβαση εργασίας και τις νομικές υποχρεώσεις (π.χ. αναφορά στις φορολογικές αρχές / ασφαλιστικά συστήματα). Μπορείτε να διαχειρίζεστε λίστα ατομικών πελατών, για παράδειγμα για να τους στέλνετε ειδοποιήσεις σχετικά με ειδικές προσφορές/ διαφημίσεις, αν έχετε λάβει τη συναίνεσή τους. Δεν χρειάζεστε πάντα συναίνεση. Υπάρχουν περιπτώσεις όπου τα άτομα περιμένουν να επεξεργαστείτε τα δεδομένα τους. Για παράδειγμα, ως έμπορος πίτσας μπορείτε να επεξεργάζεστε τη διεύθυνση παράδοσης, για να διαφημίσετε ένα από τα καινούρια σας προϊόντα. Αυτό ονομάζεται έννομο συμφέρον. Πρέπει να ενημερώνετε τα άτομα για τη χρήση που σκοπεύετε να κάνετε και να σταματάτε την επεξεργασία τέτοιων δεδομένων, αν σας ζητήσουν να το κάνετε. Αν διαχειρίζεστε λίστα προμηθευτών ή εταιρικών πελατών, να το κάνετε βάσει των συμβάσεων που έχετε συνάψει μαζί τους

(2) ΕΝΗΜΕΡΩΝΕΤΕ ΤΟΥΣ ΠΕΛΑΤΕΣ ΣΑΣ, ΤΟΥΣ ΥΠΑΛΛΗΛΟΥΣ ΣΑΣ ΚΑΙ ΑΛΛΟΥΣ, ΟΤΑΝ ΣΥΛΛΕΓΕΤΕ ΤΑ ΠΡΟΣΩΠΙΚΑ ΤΟΥΣ ΔΕΔΟΜΕΝΑ 

Τα άτομα πρέπει να γνωρίζουν ότι επεξεργάζεστε τα προσωπικά τους δεδομένα και για ποιον σκοπό. Δεν είναι ανάγκη να τους ενημερώνετε, όταν ήδη γνωρίζουν πώς θα χρησιμοποιήσετε τα δεδομένα τους: για παράδειγμα όταν πελάτης σάς ζητεί κατ’ οίκον παράδοση. Να ενημερώνετε, επίσης, τους ενδιαφερόμενους για αιτήματα σχετικά με τα προσωπικά δεδομένα που διαθέτετε και να τους δίνετε πρόσβαση στα δικά τους προσωπικά δεδομένα. Να τηρείτε σε τάξη τα δεδομένα, ώστε όταν ένας υπάλληλος σας ρωτήσει τι είδους προσωπικά δεδομένα διαθέτετε, να μπορείτε να τα παρέχετε με ευκολία και χωρίς κόπο.

(3) ΤΗΡΕΙΤΕ ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΜΟΝΟ ΓΙΑ ΟΣΟ ΧΡΕΙΑΖΕΤΑΙ 

Δεδομένα των υπαλλήλων σας: για όσο διαρκεί η σύμβαση εργασίας και οι σχετικές νομικές υποχρεώσεις. Δεδομένα των πελατών σας: για όσο διαρκεί η σχέση με τον πελάτη και οι σχετικές νομικές υποχρεώσεις (για παράδειγμα, για φορολογικούς σκοπούς). Διαγράφετε τα δεδομένα, αν δεν είναι πλέον απαραίτητα για τους σκοπούς για τους οποίους τα συλλέξατε.

(4) ΑΣΦΑΛΙΣΤΕ ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΠΟΥ ΕΠΕΞΕΡΓΑΖΕΣΤΕ 

Αν αποθηκεύετε τα δεδομένα αυτά σε σύστημα ΤΠ, να περιορίζετε την πρόσβαση στα αρχεία που τα περιέχουν, π.χ. με κωδικό πρόσβασης. Να ενημερώνετε τακτικά τις ρυθμίσεις ασφαλείας του συστήματός σας. (Σημείωση: ο ΓΚΠΔ δεν υπαγορεύει τη χρήση συγκεκριμένου συστήματος ΤΠ) Αν έχετε αποθηκευμένα φυσικά έγγραφα με προσωπικά δεδομένα, βεβαιωθείτε ότι δεν έχουν πρόσβαση σε αυτά μη εξουσιοδοτημένα άτομα: κλειδώστε τα σε ερμάριο ή χρηματοκιβώτιο.

(5) ΚΡΑΤΑΤΕ ΦΑΚΕΛΟ ΜΕ ΤΙΣ ΔΡΑΣΤΗΡΙΟΤΗΤΕΣ ΣΑΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Ετοιμάστε ένα μικρό έγγραφο όπου εξηγείτε τι προσωπικά δεδομένα έχετε στη διάθεσή σας και για ποιον λόγο. Ίσως σας ζητηθεί να προσκομίσετε τον σχετικό φάκελο στην εθνική αρχή σας προστασίας δεδομένων, αν σας το ζητήσει. Τέτοια έγγραφα πρέπει να περιλαμβάνουν τις παρακάτω πληροφορίες.

(6) ΒΕΒΑΙΩΘΕΙΤΕ ΟΤΙ Ο ΥΠΕΡΓΟΛΑΒΟΣ ΣΑΣ ΤΗΡΕΙ ΤΟΥΣ ΚΑΝΟΝΕΣ

Αν σε συμβόλαιο υπεργολαβίας με άλλη εταιρία περιλαμβάνεται η επεξεργασία προσωπικών δεδομένων, χρησιμοποιήστε μόνο πάροχο υπηρεσιών που εγγυάται τη συμμόρφωση της επεξεργασίας με τις απαιτήσεις του ΓΚΠΔ (π.χ. μέτρα ασφαλείας). Πριν από την υπογραφή της σύμβασης, ελέγξτε αν έχουν γίνει οι αλλαγές και η προσαρμογή με τον ΓΚΠΔ. Αυτό πρέπει να τεθεί στη σύμβαση.

(7) ΕΛΕΓΞΤΕ ΑΝ ΣΑΣ ΑΦΟΡΟΥΝ ΟΙ ΠΑΡΑΚΑΤΩ ΔΙΑΤΑΞΕΙΣ  

> Για την καλύτερη προστασία των προσωπικών δεδομένων, οι οργανισμοί ενδεχομένως να χρειαστεί να προσλάβουν υπεύθυνο προστασίας δεδομένων (ΥΠΔ). Ωστόσο, δεν χρειάζεται να ορίσετε υπεύθυνο προστασίας δεδομένων, αν η επεξεργασία δεδομένων δεν αποτελεί βασικό στοιχείο της επιχείρησής σας, δεν είναι επικίνδυνη, και η δραστηριότητά σας είναι μικρής κλίμακας. Για παράδειγμα, αν η εταιρία σας συλλέγει μόνο δεδομένα πελατών σας για κατ’ οίκον παράδοση, δεν χρειάζεται να προσλάβετε ΥΠΔ. Ακόμη και αν χρειαστείτε τις υπηρεσίες ενός ΥΠΔ, αυτός/αυτή πρέπει να είναι ήδη υπάλληλος της εταιρίας, έχοντας επιφορτιστεί με το καθήκον αυτό, πέρα από τα άλλα του/της καθήκοντα. Μπορεί, επίσης, να είναι εξωτερικός σύμβουλος, με τον ίδιο τρόπο που πολλοί οργανισμοί χρησιμοποιούν εξωτερικούς λογιστές.

> Συνήθως δεν χρειάζεται να εκτελέσετε εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων

Τέτοια εκτίμηση αντικτύπου προορίζεται για όσους θέτουν περισσότερους κινδύνους για τα προσωπικά δεδομένα, π.χ. μέσω της ευρείας κλίμακας παρακολούθησης δημόσια προσβάσιμης περιοχής (βιντεοεπιτήρηση). Αν είστε μικρή επιχείρηση που διαχειρίζεται μισθούς υπαλλήλων και λίστα πελατών, δεν χρειάζεται να εκτελείτε εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων για αυτές τις λειτουργίες επεξεργασίας

Πρόστιμα

Οι εποπτικές αρχές προστασίας δεδομένων είναι εξουσιοδοτημένες να τιμωρούν παραβάσεις των κανόνων προστασίας δεδομένων. Μπορούν να εγκρίνουν διορθωτικά μέτρα (για παράδειγμα, διοικητική εντολή ή προσωρινή αναστολή της επεξεργασίας) ή/και να επιβάλλουν πρόστιμο.

Η απόφασή τους για επιβολή προστίμου πρέπει να είναι αναλογική και να βασίζεται σε αξιολόγηση όλων των περιστάσεων της ατομικής υπόθεσης.

Αν αποφασίσουν να επιβάλουν πρόστιμο, το ύψος αυτού θα εξαρτάται και από τις περιστάσεις της υπόθεσης, συμπεριλαμβανομένης της βαρύτητας της παράβασης, ή από το αν η παράβαση ήταν εκούσια ή από αμέλεια. Θα λάβουν, επίσης, υπόψη τη συμπεριφορά και τις προθέσεις σας.

Η απόφασή τους για επιβολή προστίμου πρέπει να είναι αναλογική και να βασίζεται σε αξιολόγηση όλων των περιστάσεων της ατομικής υπόθεσης.


LATEST POSTS



ethemis legal studies

Εκπαιδευτικά           Προγράμματα

Για νομικούς & δικηγόρους από εκπαιδευτικούς φορείς στην Ελλάδα και το εξωτερικό.

View more
ethemis map

Επιστημονική            Αρθρογραφία

Από την Συντακτική Ομάδα του Ethemis.gr

View more
ethemis case law

Noμοθεσία

Οι νόμοι που έχουν δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως

View more
ethemis map

EΚΔΗΛΩΣΕΙΣ            ΦΟΡΕΩΝ

Εκδηλώσεις Nομικού Eνδιαφέροντος από ποικίλους θεσμικούς Φορείς

View more
ethemis case law

Noμολογία

Σημαντικές δικαστικές αποφάσεις, ιδίως των ανωτάτων δικαστηρίων της χώρας

View more
ethemis map

Προκηρύξεις

Προκηρύξεις Δημοσίου και Αγγελίες για δικηγόρους & νομικούς.

View more
social media news

Social           Media            Streaming

Ροή ειδήσεων από τα κοινωνικά δίκτυα του www.ethemis.gr

View more
ethemis international news

Διεθνή                      Νέα

Διεθνή Νομικά Νέα και Αρθρογραφία, Νομολογία ΕΔΔΑ και αποφάσεις Διεθνών Δικαστηρίων

View more
ethemis map

Δελτία            Τύπου

Ανακοινώσεις ΔΣΑ, δικαστικών ενώσεων, ανεξάρτητων αρχών, θεσμικών φορέων.

View more
ethemis map

ΠΟΙΝΙΚΟΣ            ΧΑΡΤΗΣ

Διαδραστικός Χάρτης γεωκωδικοποίησης όλων των Ελληνικών Σωφρονιστικών Καταστημάτων.

View more