Ο νέος Κανονισμός της ΕΕ για την Προστασία Προσωπικών Δεδομένων (GDPR) θα τεθεί σε ισχύ στις 25 Μαΐου 2018 και αποτελεί τη σημαντικότερη αλλαγή στον τομέα των δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ.
Ο GDPR θα έχει στόχο την εναρμόνιση των νόμων περί προστασίας της ιδιωτικής ζωής σε ολόκληρη την Ευρώπη, την προστασία των προσωπικών δεδομένων των πολιτών της ΕΕ και την αναμόρφωση του τρόπου με τον οποίο οι εταιρείες που λειτουργούν στην ΕΕ επεξεργάζονται προσωπικά δεδομένα. Θα ισχύει όχι μόνο για εταιρείες που είναι εγκατεστημένες στην ΕΕ, αλλά και για επιχειρήσεις εκτός της ΕΕ, που προσφέρουν αγαθά ή υπηρεσίες στην ΕΕ. Επίσης, θα εφαρμόζεται σε όλες τις εταιρείες που επεξεργάζονται και κατέχουν προσωπικά δεδομένα υποκειμένων που διαμένουν στην ΕΕ, ανεξαρτήτως της έδρας της εταιρείας.
Βάσει του GDPR, οποιαδήποτε πληροφορία αφορά φυσικό πρόσωπο και η οποία μπορεί να χρησιμοποιηθεί για την άμεση ή έμμεση ταυτοποίηση του, θεωρείται προσωπικό δεδομένο. Η επεξεργασία τέτοιων δεδομένων απαγορεύεται με εξαίρεση τις περιπτώσεις που ορίζει το άρθρο 6 του Κανονισμού. Ο GDPR αναφέρεται επίσης σε μια «κλειστή» κατηγορία προσωπικών δεδομένων τα οποία αντιστοιχούν στα «ευαίσθητα» δεδομένα του Ν. 2472/1997. Αυτά απαγορεύεται να συλλέγονται με εξαίρεση τα όσα αναφέρονται στο άρθρο 9 του Κανονισμού.
Οι εταιρείες που δεν συμμορφώνονται με τον GDPR, θα υφίστανται πρόστιμο έως 4% του παγκόσμιου ετήσιου κύκλου εργασιών τους ή πρόστιμο που αγγίζει τα 20 εκατομμύρια ευρώ. Σημειώνεται ότι αυτά τα πρόστιμα θα ισχύουν τόσο για τους υπεύθυνους επεξεργασίας όσο και για τους εκτελούντες την επεξεργασία.
Ως «υπεύθυνος επεξεργασίας» θεωρείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. «εκτελών την επεξεργασία» θεωρείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων (“DPO”). Ο DPO μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.
Πλέον για τη συλλογή και επεξεργασία πάσης φύσεως δεδομένων απαιτείται συγκατάθεση του υποκειμένου. Η αίτηση συναίνεσης προς το υποκείμενο πρέπει να αναφέρει ξεκάθαρα ότι δίδεται με σκοπό την επεξεργασία δεδομένων. Τέλος, ρητή συγκατάθεση θα απαιτείται μόνο για την επεξεργασία «ευαίσθητων» προσωπικών δεδομένων (κλειστή κατηγορία προσωπικών δεδομένων). Για τα προσωπικά δεδομένα, αρκεί η απλή συγκατάθεση.
Για περισσότερες πληροφορίες σχετικά με τη νέα νομοθεσία και τη συλλογή και επεξεργασία προσωπικών δεδομένων επικοινωνήστε με την εταιρεία μας στη διεύθυνση hmeidanis@hmlaw.gr
