ΕΦΑΡΜΟΓΗ ΤΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ 2016/679/ΕΕ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Transcript

1 ΕΦΑΡΜΟΓΗ ΤΟΥ ΓΕΝΙΚΟΥ ΚΑΝΟΝΙΣΜΟΥ 2016/679/ΕΕ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ Η οδηγία για την Προστασία των Προσωπικών Δεδομένων (Οδηγία /ΕΚ) αποτέλεσε το πρώτο εργαλείο για την προστασία των προσωπικών δεδομένων σε ευρωπαϊκό επίπεδο. Στην Ελλάδα ενσωματώθηκε με το νόμο 2472/1997 ο οποίος εξακολουθεί να ισχύει μέχρι σήμερα. Η οδηγία αυτή αντικαταστάθηκε από τον ΓΚΠΔ. Ο εφαρμοστικός του Κανονισμού νόμος έχει ήδη περάσει από το στάδιο της διαβούλευσης και αναμένεται να ψηφιστεί και να ισχύσει μετά την Α. ΤΙ ΑΛΛΑΖΕΙ ΜΕ ΤΟΝ ΓΚΠΔ - Εγκαταλείπεται το μοντέλο του προληπτικού ελέγχου όπως είχε διαμορφωθεί με την υποχρέωση προηγούμενης αδείας/γνωστοποίησης στην Αρχή - Ενισχύεται το μοντέλο της λογοδοσίας με απαιτήσεις για διαφάνεια και εκτίμηση (από τον υπεύθυνο της επεξεργασίας) του αντικτύπου της επεξεργασίας στα υποκείμενα των δεδομένων. Ο υπεύθυνος επεξεργασίας οφείλει να αποδείξει την συμμόρφωσή του με τις αρχές του ΓΚΠΔ για την προστασία των προσωπικών δεδομένων. - Αλλάζει (διευρύνεται) το πεδίο εφαρμογής. Ο ΓΚΠΔ έχει εφαρμογή στην επεξεργασία προσωπικών δεδομένων που γίνεται «στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία γίνεται εντός της Ένωσης» (άρθρο 3 παρ.1). Βασική καινοτομία του ΓΚΠΔ είναι η διεύρυνση του πεδίου εφαρμογής του και σε επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκείμενων δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση εάν οι δραστηριότητες της επεξεργασίας σχετίζονται με την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση ή την παρακολούθηση συμπεριφοράς τους, στο βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης. Κριτήρια για την διαπίστωση σχετικά με το εάν μια υπηρεσία παρέχεται εντός της Ένωσης παρέχει η σκέψη 23 (γλώσσα, νόμισμα συναλλαγής, αναφορά σε πελάτες εντός της Ένωσης). - Ενισχύεται η έννοια της συναίνεσης ενώ καταργείται η υποχρεωτική έγγραφη συναίνεση για την επεξεργασία δεδομένων ειδικών κατηγοριών (ευαίσθητα και νέες κατηγορίες δεδομένων). [1]

2 - Αύξηση της ευθύνης του εκτελούντος την επεξεργασία. Ο βαθμός κινδύνου της επεξεργασίας καθορίζει τις υποχρεώσεις του υπευθύνου της επεξεργασίας (risk based approach). O υπεύθυνος επεξεργασίας πρέπει να εκτιμά, επίσης, τον αντίκτυπο (impact assessment) που μπορεί να έχει η επεξεργασία στην προστασία των προσωπικών δεδομένων [ιδιαίτερη εφαρμογή στο profiling 1 ιδίως εάν συνδέεται με την άσκηση δικαιώματος ή χρήση υπηρεσίας]. Οι εκτιμήσεις αυτές γίνονται από τον σχεδιασμό της επεξεργασίας (data protection by design), δηλαδή έγκαιρα και περιλαμβάνουν τόσο τον σχεδιασμό των πληροφοριακών συστημάτων όσο και τα φυσικά μέτρα ασφαλείας αλλά και τις διαδικασίες του υπευθύνου της επεξεργασίας. Ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει όλα τα αναγκαία τεχνικά και οργανωτικά μέτρα ασφαλείας (τέτοια είναι ψευδωνυμοποίηση ή η κρυπτογράφηση). Επίσης πρέπει να δεσμεύει με κατάλληλους συμβατικούς όρους τα πρόσωπα στα οποία διαβιβάζει προσωπικά δεδομένα. - Περιορισμός της επεξεργασίας στο αναγκαίο μέτρο O υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει ότι εξ ορισμού (by default) δεν υφίστανται επεξεργασία περισσότερα προσωπικά δεδομένα απ όσα είναι αναγκαία για τον σκοπό της επεξεργασίας. - Υποχρέωση ανακοίνωσης παραβιάσεων των μέτρων ασφαλείας. Ο υπεύθυνος επεξεργασίας οφείλει να ανακοινώνει τέτοιες παραβιάσεις τόσο στην Αρχή όσο και στα πρόσωπα στα οποία τα δεδομένα αφορούν, εφόσον υπάρχει κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. - Εισάγεται ο θεσμός του Υπευθύνου Προστασίας Δεδομένων. Ο ΥΠΔ μπορεί να είναι υπάλληλος ή μη της εταιρείας. Στην πρώτη περίπτωση δεν υπόκειται στο διευθυντικό δικαίωμα καθ όσον αφορά τις υποχρεώσεις του αυτές. Ο ορισμός του είναι υποχρεωτικός για υπευθύνους επεξεργασίας των οποίων η βασική δραστηριότητα είναι η επεξεργασία προσωπικών δεδομένων και απαιτείται τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα. - Αυξάνονται οι υποχρεώσεις του εκτελούντος την επεξεργασία (χωρίς ωστόσο να επεκτείνεται η υποχρέωση λογοδοσίας σε αυτούς). Οι εκτελούντες την επεξεργασία οφείλουν να λαμβάνουν επίσης τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων που επεξεργάζονται, να ενημερώνουν τον υπεύθυνο επεξεργασία για τυχόν παραβιάσεις και να συνεργάζονται μαζί του. 1 Δείτε ορισμό πιο κάτω [2]

3 - Αυστηροποιούνται τα πρόστιμα που μπορεί να φτάσουν στο 4% του ετήσιου παγκόσμιου τζίρου του προηγούμενου οικονομικού έτους ή τα 20 εκατομμύρια ευρώ ανάλογα με το βάρος της παράβασης. Β. ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΕΠΕΞΕΡΓΑΣΙΑΣ Οι βασικές αρχές της επεξεργασίας διατυπώνονται στο άρθρο 5 του ΓΚΠΔ και είναι - Η αρχή της νομιμότητας, αντικειμενικότητας και της διαφάνειας της επεξεργασίας. Νόμιμη είναι η επεξεργασία που εδράζεται σε μια από τις αναφερόμενες στο νόμο βάσεις νομιμότητας (δείτε άρθρο 6 επ). Η διαφάνεια συνδέεται με την ενημέρωση των υποκειμένων των δεδομένων για την επεξεργασία των δεδομένων τους και τους σκοπούς της καθώς και για τα δικαιώματά τους. - Η αρχή του περιορισμού του σκοπού. Τα δεδομένα συλλέγονται για σαφώς καθορισμένους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με τους σκοπούς αυτούς. - Η αρχή της ελαχιστοποίησης των δεδομένων. Τα δεδομένα που συλλέγονται πρέπει να είναι κατάλληλα και συναφή προς τον σκοπό της επεξεργασίας. Δεν επιτρέπεται συλλογή δεδομένων άσχετων προς το σκοπό της επεξεργασίας. Προσοχή στα ερωτηματολόγια : Μην ζητάτε περισσότερα προσωπικά δεδομένα από αυτά που πράγματι χρειάζεστε - Η αρχής της ακρίβειας των συλλεγομένων δεδομένων. Τα δεδομένα πρέπει να επικαιροποιούνται και να λαμβάνονται όλα τα μέτρα για την διόρθωση ή και διαγραφή δεδομένων που είναι ανακριβή ή ανεπίκαιρα [έχει ιδιαίτερη εφαρμογή στα τηρούμενα από τις εταιρείες πάνελ]. - Αρχή του περιορισμού του χρόνου τήρησης. Τα δεδομένα τηρούνται σε μορφή που επιτρέπει την ταυτοποίηση μόνο για όσο χρόνο είναι αναγκαίο για τους σκοπούς της επεξεργασίας. Εφόσον τηρούνται για μεγαλύτερα από το αναγκαίο χρονικά διαστήματα πρέπει να λαμβάνονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την διασφάλιση των δικαιωμάτων των υποκειμένων των δεδομένων. Η ψευδωνυμοποίηση, η περιορισμένη πρόσβαση στα αρχεία, η λήψη μέτρων ασφαλείας είναι κάποια από τα μέτρα που μπορούν να λάβουν οι εταιρείες. - Η αρχή της εμπιστευτικότητας και ακεραιότητας. Η επεξεργασία πρέπει να γίνεται κατά τρόπο που να εγγυάται την ασφάλεια των δεδομένων από μη εξουσιοδοτημένη ή παράνομη επεξεργασία, απώλεια, καταστροφή ή φθορά. [3]

4 Γ. ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ Προσωπικά Δεδομένα: Περιλαμβάνουν κάθε πληροφορία που αφορά ταχτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Δηλαδή όχι μόνο πληροφορίες που ταυτοποιούνται άμεσα με ένα φυσικό πρόσωπο αλλά και έμμεσα (πχ με αναφορά σε στοιχείο της ταυτότητας, δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας, σωματική ή φυσικά χαρακτηριστικά κλπ. ). Συμπεριλαμβάνεται η θέση ενός προσώπου σε εταιρεία. Ειδικές κατηγορίες δεδομένων: δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική η εθνοτική 2 καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές η φιλοσοφικές πεποιθήσεις η τη συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία, δεδομένα που αφορούν τη σεξουαλική ζωη η τον σεξουαλικό προσανατολισμό φυσικού προσώπου. Βιομετρικά δεδομένα: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά η συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν η επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου η δακτυλοσκοπικά δεδομένα. Δεδομένα που αφορούν την υγεία: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του Επεξεργασία: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Κατάρτιση προφίλ: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές 2 Η έννοια εθνοτική καταγωγή αφορά πολιτισμικά χαρακτηριστικά ανθρώπινων ομάδων. Η εθνική καταγωγή ταυτίζεται συχνά με την ιθαγένεια/υπηκοότητα και είναι ευρύτερη του όρου εθνοτική καταγωγή. Εθνότητα: πληθυσμός που έχει χαρακτηριστικά έθνους αλλά δεν υφίσταται ή δεν αναγνωρίζεται ως αυτοτελής πολιτική κρατική οντότητα (πχ μειονότητα). [4]

5 προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου. Ψευδωνυμοποίηση: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιησιμο φυσικό πρόσωπο. Συγκατάθεση: του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρη επίγνωση, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση η με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Ενημέρωση του υποκειμένου των δεδομένων: Ο υπεύθυνος επεξεργασίας παρέχει κατά το στάδιο της συλλογής στο υποκείμενο των δεδομένων τουλάχιστον τις ακόλουθες πληροφορίες: α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας β) τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων, κατά περίπτωση γ) τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα δ) το δικαίωμα υποβολής καταγγελίας στην κατά περίπτωση αρμόδια εποπτική αρχή και τα στοιχεία επικοινωνίας με αυτή ε) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα και περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορούν στο υποκείμενο των δεδομένων. Εκτελών την επεξεργασία: το φυσικό η νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία η άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας. Διασυνοριακή επεξεργασία: αα) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή ββ) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να [5]

6 επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη. Δ. ΒΗΜΑΤΑ ΠΡΟΕΤΟΙΜΑΣΙΑΣ ΓΙΑ ΤΗΝ ΓΙΑ ΤΗΝ ΕΦΑΡΜΟΓΗ ΤΟΥ ΓΚΠΔ 1. Ενημέρωση προσωπικού και συνεργατών Α στάδιο - Ξεκινήστε με το να ενημερώσετε όλο το προσωπικό για τις επερχόμενες αλλαγές. - Το ίδιο πρέπει να γίνει (σε δεύτερο στάδιο) σε σχέση με συνεργάτες (υπεργολάβους ερευνητές αγοράς κλπ). Β στάδιο - Η ενημέρωση των υπαλλήλων και συνεργατών περιλαμβάνει τις βασικές αρχές που διέπουν την επεξεργασία, την πολιτική της εταιρείας σε επί μέρους ζητήματα, διαδικασίες που πρέπει να τηρούν τα τμήματα της εταιρείας. - Τα πρόσωπα που έρχονται σε επαφή με τους ερωτώμενους πρέπει να είναι σε θέση να διατυπώσουν και την πολιτική της εταιρείας (τουλάχιστον συνοπτικά και να παραπέμψουν στο site για πρόσθετες πληροφορίες). - Η ενημέρωση για τις υποχρεώσεις τους πρέπει να είναι καταγεγραμμένη και να μπορεί να αποδειχθεί (θα το δούμε σε σχέση με τον ΠΕΣΣ). - Η ενημέρωση πρέπει να επαναλαμβάνεται σε τακτά χρονικά διαστήματα. - Πρέπει κατά καιρούς να ελέγχεται η τήρηση των κανόνων από τους υπαλλήλους και να καταγράφεται ο έλεγχος αυτός (θα το δούμε σε σχέση με τον ΠΕΣΣ) 2. Καταγραφή αρχείων (αφού γίνει η ενημέρωση α σταδίου) - Καταγράψτε σε συνεργασία με το προσωπικό της εταιρείας όλα τα αρχεία προσωπικών δεδομένων που τηρείτε (πχ Panels, αρχεια εργαζομένων και συνεργατών, αρχεία πελατών, αρχεία ερευνών) - Καταγράψτε τα τμήματα της εταιρείας που συνεργάζονται στο πλαίσιο τήρησης των δεδομένων αυτών και ιδίως ποιο ευθύνεται για την τήρηση του αρχείου. - Για κάθε είδος αρχείου σημειώστε την νομική βάση της επεξεργασίας (νομική υποχρέωση, συναίνεση, διαβίβαση από πελάτη ο οποίος έχει συναίνεση) - Καταγράψτε τον σκοπό της επεξεργασίας - Καταγράψτε το είδος των δεδομένων που τηρούνται σε κάθε αρχείο (απλά ή ειδικών κατηγοριών) - Καταγράψτε ανά αρχείο δεδομένων σε ποιους τυχόν διαβιβάζετε τα αρχεία/δεδομένα και για ποιο λόγο. - Καταγράψτε ανά αρχείο εάν τυχόν διαβιβάζονται σε χώρες εκτός ΕΕ και για ποιο λόγο [6]

7 - Εξετάστε τον όγκο των δεδομένων που τηρείτε, κατά περίπτωση, προκειμένου να διαπιστώσετε εάν είναι όλα αναγκαία για την εκάστοτε επεξεργασία [ιδίως τα ΠΑΝΕΛ]. Μειώστε στο αναγκαίο μέτρο. - Εξετάστε πόσο επίκαιρα είναι τα δεδομένα που τηρείτε και διαγράψτε εκείνα τα οποία δεν είναι ενεργά για μεγάλο χρονικό διάστημα (αφορά κυρίως τα ΠΑΝΕΛ). - Θέστε χρονικό όριο τήρησης των δεδομένων αυτών ανά τύπο έρευνας και διαδικασία επικαιροποίησης τους (ιδίως για τα ΠΑΝΕΛ 3 ). - Όπου απαιτείται, υιοθετήστε διαδικασίες επικαιροποίησης στοιχείων και ανανέωσης της συναίνεσης. - Υιοθετήστε διαδικασίες ανωνυμοποίησης ή ψευδωνυμοποίησης των δεδομένων. 3. Καταγραφή κινδύνων Με βάση τις ροές που καταγράψατε και σε σχέση με τους σκοπούς της επεξεργασίας εξετάστε o Εάν οι πράξεις επεξεργασίας που καταγράψατε είναι όλες αναγκαίες για τον επιδιωκόμενο σκοπό o Εάν είναι ανάλογες προς τον επιδιωκόμενο σκοπό o Εάν οι διαδικασίες καλύπτουν τα δικαιώματα των υποκειμένων των δεδομένων o Τυχόν κινδύνους για τα υποκείμενα των δεδομένων ή και τρίτους. Ορισμένες έρευνες ενέχουν κινδύνους για τρίτους που δεν συμμετέχουν σε αυτές αλλά τυχαίνει να βρίσκονται στο τόπο που λαμβάνει χώρα η επεξεργασία (πχ. εθνογραφία). Άλλες ενέχουν κινδύνους λόγω του τρόπου με τον οποίο διαβιβάζονται τα δεδομένα. Επικεντρωθείτε σε διαβιβάσεις δεδομένων που γίνονται με την χρήση του διαδικτύου. Προσοχή επίσης σε ροές δεδομένων σε άλλες έννομες τάξεις (χώρες) εκτός ΕΕ. Περιορίστε τον κίνδυνο για τα υποκείμενα των δεδομένων ή τρίτους λαμβάνοντας τα αναγκαία μέτρα. 4. Πολιτική της Εταιρείας - Αναθεωρήστε την ισχύουσα πολιτική της εταιρείας κατά τρόπο που να εναρμονίζεται με τις νέες υποχρεώσεις. Η Πολιτική της για τα Προσωπικά Δεδομένα της εταιρείας πρέπει να περιλαμβάνει πληροφόρηση σε σχέση με α) τον σκοπό της επεξεργασίας των προσωπικών δεδομένων από την εταιρεία δικαιώματα υποκειμένων δεδομένων (πχ διεξαγωγή ερευνών αγοράς, τήρηση νομοθεσίας που επιβάλει την επεξεργασία τέτοιων δεδομένων, εκπαίδευση υπαλλήλων και συνεργατών, διερεύνηση παραπόνων κλπ β) είδος προσωπικών 3 Ο Κανονισμός της ESOMAR ορίζει ότι τα στοιχεία μελων ενός ΠΑΝΕΛ πρέπει να τηρούνται για μέχρι 3 έτη. [7]

8 δεδομένων που επεξεργάζεται η εταιρεία και πώς τα επεξεργάζεται (τί είδους δεδομένα συλλέγονται, πώς συλλέγονται, πώς θα χρησιμοποιηθούν, σε ποιόν θα κοινοποιηθούν και υπό ποίες προϋποθέσεις) γ) χρόνο που τηρεί τα προσωπικά δεδομένα σε ταυτοποιήσιμη μορφή ανά κατηγορία αρχείου, δ) διαδικασίες ψευδωνυμοποίησης ή ανωνυμοποίησης που εφαρμόζει, ε) δικαιώματα των υποκειμένων των δεδομένων στ) διαδικασίες άσκησης των δικαιωμάτων, ζ) πολιτική ασφαλείας - Η πληροφόρηση των υποκειμένων των δεδομένων πρέπει να περιλαμβάνει: o την νομική βάση της επεξεργασίας, o τον χρόνο τήρησης των προσωπικών δεδομένων, o την τυχόν διαβίβαση αυτών σε τρίτους, o τα δικαιώματα των υποκειμένων και πώς αυτά ασκούνται, o τις διαδικασίες άσκησης των δικαιωμάτων, o το υπεύθυνο πρόσωπο στην εταιρία για την υποβολή σχετικών αιτημάτων, o την πολιτική ασφαλείας της εταιρείας κλπ 5. Αναθεώρηση συμβατικών όρων - Εξετάστε το περιεχόμενο των συμβάσεων που υπογράφετε με τους πελάτες σας και προμηθευτές έτσι ώστε να περιλαμβάνουν τους αναγκαίους σύμφωνα με τον Κανονισμό (πχ σε σχέση με την διαβίβαση προς εσάς λίστας πελατών, την διασφάλιση τήρησης από τον Πελάτη προς τον οποίο διαβιβάζονται προσωπικά δεδομένα των ίδιων κανόνων προστασίας των προσωπικών δεδομένων των υποκειμένων ). - Εξετάστε το περιεχόμενο των συμβάσεων που έχετε υπογράψει με τους υπαλλήλους σας και τις συμβάσεις που υπογράφετε με τους συνεργάτες και καταρτίστε συμβάσεις εμπιστευτικότητας με βάση τις υποχρεώσεις που επιβάλλει ο ΓΚΠΔ. 6. Συναίνεση - Η συναίνεση πρέπει να λαμβάνεται μετά από ενημέρωση του υποκειμένου των δεδομένων για τα δικαιώματά του. - Η ενημέρωση πρέπει να αποδεικνύεται. Το ίδιο και η λήψη της συναίνεσης. - Εξετάστε τυχόν ανάγκη να ληφθεί συναίνεση για διαφορετικά ζητήματα από το υποκείμενο των δεδομένων. Σε αυτήν την περίπτωση πρέπει να είναι ξεκάθαρο σε τί συναινεί κάθε φορά. - Δείτε για κάθε τύπο έρευνας (και γενικά για κάθε αρχείο που τηρείτε έχοντας ως νόμιμη βάση της επεξεργασίας την συναίνεση) πώς ενημερώνετε το υποκείμενο των δεδομένων και πώς καταγράφετε την συναίνεσή του και αναθεωρήστε τις διαδικασίες όπου χρειάζεται. - Υιοθετήστε διαδικασίες να λαμβάνετε εκ νέου την συναίνεση όπου απαιτείται (πχ ΠΑΝΕΛ) [8]

9 Προσοχή όταν συλλέγετε ειδικές κατηγορίες δεδομένων (πχ ευαίσθητα). Η συναίνεση πρέπει να είναι ρητή (δεν απαιτείται πλέον έγγραφη συναίνεση όπως ορίζει ο Ν 2472/1997). Προσοχή σε λίστες Πελατών. Οι Πελάτες πρέπει να δηλώνουν στην μεταξύ σας σύμβαση ότι τα δεδομένα τηρούνται σύννομα και για λόγους έρευνας αγοράς και ότι έχουν λάβει την συναίνεση για την διαβίβασή τους σε ερευνητικούς οργανισμούς. [Σε περιπτώσεις ικανοποίησης πελατών θα μπορούσε να χρησιμοποιηθεί ως νόμιμη βάση το υπέρτερο συμφέρον του πελάτη και το γεγονός ότι δεν υπάρχει κίνδυνος από την επεξεργασία αυτή για τα υποκείμενα των δεδομένων (και μάλλον ωφέλεια αφού σκοπός είναι η βελτίωση των παρεχομένων υπηρεσιών). Θα επιβεβαιώσουμε με την αρχή ότι αυτή είναι νόμιμη βάση για τις έρευνες αυτές.] Προσοχή σε λήψη συναίνεσης για λογαριασμό ανηλίκων (κάτω των 15 ετών). Πρέπει να καταγράφεται η ταυτότητα (όνομα και επώνυμο)του έχοντος την γονική μέριμνα γονέα ή τρίτου και η σχέση του με το ανήλικο τέκνο. 7. Άσκηση δικαιωμάτων Το υποκείμενο των δεδομένων έχει τα ακόλουθα δικαιώματα : α) Ενημέρωσης (δείτε βασικές έννοιες και πιο πάνω), β) Πρόσβασης (κατόπιν αιτήματος μπορεί να ζητά να πληροφορηθεί τι είδους δεδομένα τηρεί η εταιρεία, τυχόν αποδέκτες των δεδομένων του, τα δικαιώματά του κα) γ) Διόρθωσης ή Διαγραφής Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει με έγγραφη αίτηση του από τον υπεύθυνο επεξεργασίας και να εξασφαλίσει, χωρίς άσκοπη καθυστέρηση, τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν). Θα πρέπει να είναι σαφές στην πολιτική της εταιρείας ότι για ορισμένα αρχεία η διαγραφή γίνεται εντός συγκεκριμένου χρονικού διαστήματος από την ίδια την εταιρεία. o Υιοθετήστε απλές διαδικασίες για την άσκηση των δικαιωμάτων o Οι διαδικασίες αυτές πρέπει να περιλαμβάνονται στην πολιτική της εταιρείας. o Οι διαδικασίες πρέπει να περιλαμβάνουν τον τρόπο άσκησης των δικαιωμάτων, υπεύθυνο πρόσωπο, χρόνο απάντησης της εταιρείας, λόγους άρνησης της εταιρείας στην πρόσβαση των δεδομένων. o Τα κείμενα αυτά πρέπει να είναι κατανοητά και σε απλή γλώσσα o Το έντυπο αιτήσεως πρέπει να είναι διαθέσιμα στον ιστότοπο της εταιρείας [9]

10 8. Ασφάλεια δεδομένων Σύμφωνα με το άρθρο 25 του ΓΚΠΔ η προστασία των προσωπικών δεδομένων πρέπει να είναι να στόχος από τον σχεδιασμό και εξ ορισμού. Ο υπεύθυνος επεξεργασίας εφαρμόζει ήδη από την στιγμή του καθορισμού των μέσων επεξεργασίας αλλά και κατά την επεξεργασία κατάλληλα τεχνικά και οργανωτικά μέτρα (πχ ελαχιστοποίηση, ψευδωνυμοποίηση) για την προστασία των προσωπικών δεδομένων. Επίσης εφαρμόζει τα κατάλληλα μέτρα έτσι ώστε η επεξεργασία εξ ορισμού αφορά μόνο τα αναγκαία για τον σκοπό δεδομένα. Ο εγκεκριμένος μηχανισμός πιστοποίησης που προβλέπεται στο άρθρο 42 μπορεί να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει την συμμόρφωση με τις απαιτήσεις του άρθρου αυτού. - Καταγράψτε τα μέτρα τεχνικά και οργανωτικά ασφαλείας της εταιρείας και αξιολογήστε τα σε σχέση με τις νέες υποχρεώσεις. Τα φυσικά μέτρα ασφαλείας περιλαμβάνουν κλείδωμα σε ερμάρια, περιορισμό στην πρόσβαση σε χώρους φύλαξης, συστήματα συναγερμού, κάμερες ασφαλείας), τα τεχνολογικά μέτρα ασφαλείας περιλαμβάνουν συστήματα κρυπτογράφησης, firewalls, passwords και τα οργανωτικά μέτρα ασφαλείας περιλαμβάνουν εκπαίδευση προσωπικού, περιορισμό στην πρόσβαση, συμφωνίες με τους πελάτες, επανελέγχους. - Καταγράψτε εσωτερικές διαδικασίες επικοινωνίας πρόσβασης σε αρχεία και αναθεωρήστε όπου απαιτείται - Οι τρόποι διασφάλισης των δεδομένων πρέπει να καταγράφονται στην πολιτική της εταιρείας. - Υιοθετήστε διαδικασίες ανακοίνωσης τυχόν παραβίασης των μέτρων ασφαλείας στις περιπτώσεις που απαιτείται. 9. Διαβίβαση δεδομένων - Η διαβίβαση των δεδομένων γίνεται αφού έχει ενημερωθεί το υποκείμενο των δεδομένων σχετικώς και έχει συναινέσει. - Πρέπει να υπάρχουν διαδικασίες για την διαβίβαση των δεδομένων. Εξετάστε ζητήματα ασφαλείας σε σχέση με τον τρόπο διαβίβασής τους. - Το προσωπικό της εταιρείας πρέπει να γνωρίζει τις διαδικασίες διαβίβασης και να τηρεί τους κανόνες. - Εφόσον η διαβίβαση γίνεται προς υπεργολάβο/συνεργάτη, πρέπει να δεσμεύεται με τους αναγκαίους συμβατικούς όρους ώστε να παρέχεται αντίστοιχη προστασία για τα υποκείμενα των δεδομένων 10. Διαβίβαση δεδομένων εκτός Ελλάδος - Εξετάστε εάν διαβιβάζετε προσωπικά δεδομένα σε άλλες χώρες και ιδίως εκτός ΕΕ. - Για την διαβίβαση απαιτείται η συναίνεση των υποκειμένων των δεδομένων [10]

11 - Εάν διαβιβάζονται εκτός ΕΕ πρέπει να δεσμεύετε τον λήπτη των δεδομένων με ειδικούς όρους έτσι ώστε να παρέχεται από αυτόν προστασία ανάλογη με την ισχύουσα εντός ΕΕ. 11. Ορισμός υπευθύνου προστασίας δεδομένων (DPO) - Ο διορισμός του είναι μάλλον αναγκαίος για τις εταιρείες ερευνών αγοράς λόγω του αντικειμένου της δραστηριότητας (θα επιβεβαιωθεί με την αρχή) - O DPO είναι πρόσωπο που ανήκει ή όχι στο προσωπικό - Δεν υπόκειται στο διευθυντικό δικαίωμα εφόσον είναι υπάλληλος της εταιρείας για τα ζητήματα της αρμοδιότητάς αυτής. - Τα καθήκοντα του ΥΠΔ είναι να ενημερώνει και συμβουλεύει τον Υ.Ε. για τις υποχρεώσεις τους, να παρακολουθεί την συμμόρφωση με τον Κανονισμό και την εσωτερική νομοθεσία, να παρέχει συμβουλές για την εκτίμηση αντικτύπου, να συνεργάζεται με την εποπτική αρχή, να ενεργεί ως σημείο επικοινωνίας με την αρχή. 12. Τήρηση αρχείων καταγραφής διαδικασιών επεξεργασίας (απαιτείται στο πλαίσιο της λογοδοσίας άρθρο 30) Περιλαμβάνει : - Είδος δεδομένων - Σκοπό επεξεργασίας - Την απόδειξη της συναίνεσης - Τυχόν αποδέκτες των δεδομένων - Τυχόν διαβιβάσεις εκτός ΕΕ - Προθεσμία διαγραφής - Την απόδειξη ότι ο υπεύθυνος επεξεργασίας τηρεί κατάλληλα μέτρα ασφαλείας 13. ΚΏΔΙΚΕΣ ΔΕΟΝΤΟΛΟΓΙΑΣ Η τήρηση κωδίκων δεοντολογίας /Μηχανισμών πιστοποίησης αποτελεί απόδειξη της συμμόρφωσης με το άρθρο 24 του Κανονισμού. Οι κώδικες εγκρίνονται από την Αρχή και έχουν γενική ισχύ. - Οι κώδικες πρέπει να περιλαμβάνουν κανόνες σχετικά με τη θεμιτή και διαφανή επεξεργασία, τα έννομα συμφέροντα που επιδιώκουν οι υπεύθυνοι επεξεργασίας, το είδους των δεδομένων που συλλέγουν, την ψευδωνυμοποίηση, την ενημέρωση του κοινού και των ΥΔ, την άσκηση των δικαιωμάτων των ΥΔ, μέτρα και διαδικασίες για την διασφάλιση της ασφάλειας των δεδομένων, κανόνες επεξεργασίας, διαδικασία ανακοίνωσης παραβιάσεων ασφάλειας, εξωδικαστικές διαδικασίες και άλλες διαδικασίες επίλυσης διαφορών. [11]

12 - Πρέπει να παρέχουν μηχανισμούς παρακολούθησης της εφαρμογής τους από φορείς που διαθέτουν το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης και είναι διαπιστευμένοι (άρθρο 40 και 41 του ΓΚΠΔ). - Κώδικες που αφορούν δραστηριότητες που ασκούνται σε περισσότερες έννομες τάξεις τίθενται πριν την έγκριση στο Συμβούλιο Προστασίας Δεδομένων το οποίο γνωμοδοτεί σε σχέση με την επάρκεια των εγγυήσεων που παρέχονται και διαβιβάζει την γνώμη του στην Επιτροπή. Η Επιτροπή μπορεί να αποφασίσει ότι ένας κώδικας δεοντολογίας έχει γενική ισχύ εντός της Ένωσης. - Οι φορείς διαπίστευσης πιστοποιούνται από τον εθνικό οργανισμό διαπίστευσης. Προϋπόθεση της διαπίστευσης είναι ότι έχουν αποδείξει την ανεξαρτησία τους και την εμπειρογνωμοσύνη τους σε σχέση με το αντικείμενο της πιστοποίησης, έχουν δεσμευθεί να σέβονται τις διαδικασίες που έχουν εγκριθεί από την αρχή, έχουν θεσπίσει διαδικασίες για την έκδοση πιστοποιητικών, έχουν θεσπίσει δομές για την διαχείριση καταγγελιών, αποδεικνύουν ότι δεν υπάρχει σύγκρουση συμφερόντων. Ε. ΖΗΤΗΜΑ ΠΟΥ ΧΡΗΖΟΥΝ ΙΔΙΑΙΤΕΡΗΣ ΠΡΟΣΟΧΗΣ 1. Καταγραφές σε δημόσιους χώρους φωτογραφίες Προσοχή σε έρευνες που απαιτούν καταγραφή των συμμετεχόντων σε δημόσιους χώρους καθώς ενδέχεται να καταγραφούν τρίτα μη συμμετέχοντα πρόσωπα. Τα πρόσωπα αυτά είτε πρέπει να τύχουν επεξεργασίας ώστε να μην είναι ταυτοποιήσιμα (pixeled) ή να ληφθεί μέριμνα για τη συναίνεσή του ή την λήψη χωρίς την καταγραφή τρίτων προσώπων. 2. Αποθήκευσή στο cloud - Εξετάστε πού βρίσκεται εγκατεστημένος ο πάροχος της υπηρεσίας (μπορεί να συνιστά διαβίβαση εκτός ΕΕ) και την ασφάλεια που παρέχει. - Χρησιμοποιείστε συστήματα κρυπτογράφησης. Στ. ΤΙ ΠΡΕΠΕΙ ΝΑ ΤΗΡΕΙ/ΚΑΝΕΙ Η ΕΤΑΙΡΕΙΑ - Σαφείς πολιτικές ασφαλείας - Κατάλληλα εργαλεία για την εφαρμογή των πολιτικών - Να εκπαιδεύει το προσωπικό της - Να αξιολογεί την αποτελεσματικότητα των εργαλείων - Να αντιμετωπίζει άμεσα φαινόμενα μη συμμόρφωσης [12]

13 - Να τηρεί αρχεία επεξεργασίας - Να ορίσει DPO Ζ. Ζητήματα που πρέπει να διευκρινιστούν (με την αρχή) 1. Πώς λαμβάνεται και καταγράφεται η συναίνεση ανάλογα με τη μέθοδο συλλογής στοιχείων (με υπογραφή σε δήλωση, με σημείωση σε κουτί (ηλεκτρονικά ή σε χαρτί), με το πάτημα κουμπιού σε ηλεκτρονικό ερωτηματολόγιο, με επιλογή ΝΑΙ ή ΟΧΙ, με απάντηση μέσω ηλεκτρονικού ταχυδρομείου ή με άλλο τρόπο;) 2. Χρόνος τήρησης της συναίνεσης των ΥΔ (Ανάλογος με τον χρόνο τήρησης των δεδομένων;) 3. Πώς διαπιστώνεται η ηλικία ανηλίκων (age verification system) 4. Αίτημα άσκησης δικαιωμάτων μετά την διαγραφή τους διαχείριση. [13]