Συχνές Ερωτήσεις [FAQs]

Transcript

1 Συχνές Ερωτήσεις [FAQs] 1. Τι είναι ο Κανονισμός GDPR; Ο Κανονισμός GDPR (General Data Protection Regulation) αναφέρεται στον Γενικό Κανονισμό Προστασίας Δεδομένων (Κανονισμός (EΕ) 2016/679). Ο νέος Κανονισμός της Ευρωπαϊκής Ένωσης έχει οριστεί να αντικαταστήσει την τρέχουσα Οδηγία Προστασίας Δεδομένων (95/46/EC) καθώς και τον Κυπριακό Νόμο Περί Προστασίας Δεδομένων του 2001 [και τροποποιήσεις του 2003]. Ο σκοπός του Κανονισμού είναι να διευκολύνει και να διασφαλίσει τη ροή των δεδομένων προσωπικού χαρακτήρα σε όλα τα 28 Κράτη Μέλη της ΕΕ. Ως Κανονισμός της ΕΕ, έχει άμεση εφαρμογή στον εθνικό νόμο κάθε Κράτους Μέλους. 2. Πότε θα τεθεί σε ισχύ ο GDPR; Ο Κανονισμός GDPR έχει εγκριθεί από το Ευρωκοινοβούλιο στις 14 Απριλίου 2016 και θα τεθεί σε ισχύ στις 25 Μάϊου Ποιους επηρεάζει ο Κανονισμός GDPR; Το νέο νομικό πλαίσιο επηρεάζει κυρίως επιχειρήσεις που προσφέρουν αγαθά ή υπηρεσίες ή εκτελεί παρακολούθηση ατόμων που έχουν τη βάση τους στην ΕΕ είτε αυτοί είναι πελάτες, πιθανοί πελάτες, εργολάβοι ή υπάλληλοι. Επηρεάζει επίσης οποιεσδήποτε επιχειρήσεις που βρίσκονται εκτός της ΕΕ που τηρούν ή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα ατόμων που κατοικούν εντός της ΕΕ. 4. Τί εννοούμε με τις φράσεις δεδομένα προσωπικού χαρακτήρα και ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα; Δεδομένα Προσωπικού Χαρακτήρα είναι οποιεσδήποτε πληροφορίες σε σχέση με άτομο είτε αυτές σχετίζονται με την ιδιωτική, επαγγελματική ή δημόσια ζωή του/της. Μπορεί να είναι ένα όνομα, μια διεύθυνση, αριθμός τηλεφώνου, ηλεκτρονική διεύθυνση, τραπεζικά στοιχεία ή διεύθυνση IP ή συνδυασμός αυτών. Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, που επίσης είναι γνωστά ως ευαίσθητα δεδομένα προσωπικού χαρακτήρα τα οποία ταυτοποιούν μοναδικά ένα πρόσωπο, ταξινομούνται στον Κανονισμό GDPR ως ευαίσθητα δεδομένα, όπως οι γενετικές και βιομετρικές πληροφορίες. Τα ευαίσθητα δεδομένα βρίσκονται κάτω από αυστηρούς περιορισμούς επεξεργασίας, όπως είναι ο αυστηρότερος χειρισμός των δεδομένων αυτών με παράδειγμα, την ανάγκη για παροχή ρητής συγκατάθεσης. 1

2 5. Τι σημαίνει επεξεργασία ; Επεξεργασία σημαίνει οτιδήποτε γίνεται σε, ή με, δεδομένα προσωπικού χαρακτήρα (περιλαμβανομένης της απλής συλλογής, αποθήκευσης ή διαγραφής των δεδομένων αυτών). Ο ορισμός αυτός είναι σημαντικός επειδή διευκρινίζει ότι ο νόμος περί προστασίας δεδομένων της ΕΕ πιθανόν να εφαρμόζεται όπου ένας οργανισμός κάνει οτιδήποτε που εμπλέκει ή επηρεάζει δεδομένα προσωπικού χαρακτήρα. 6. Ποιες είναι οι κύριες αρχές που κάθε επιχείρηση πρέπει να ακολουθεί όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα; Τα δεδομένα προσωπικού χαρακτήρα πρέπει να επεξεργάζονται νόμιμα, δίκαια και με διαφάνεια. Η συλλογή δεδομένων προσωπικού χαρακτήρα θα πρέπει να βασίζεται σε σαφή λόγο για τον οποίο συλλέγονται. Τα δεδομένα που ζητούνται πρέπει να περιορίζονται μόνο στο τι είναι απαραίτητο για τη συγκεκριμένη υπηρεσία που θα διεξαχθεί. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι ακριβή και να ενημερώνονται κατά συχνές περιόδους. Τα δεδομένα προσωπικού χαρακτήρα δεν πρέπει να κρατούνται για περισσότερο από ότι είναι αναγκαίο. Τα δεδομένα πρέπει να επεξεργάζονται με τρόπο που διασφαλίζεται η ασφάλεια των δεδομένων προσωπικού χαρακτήρα. 7. Ποια είναι η διαφορά μεταξύ ενός εκτελούντος την επεξεργασία και ενός υπεύθυνου επεξεργασίας; Ο υπεύθυνος επεξεργασίας είναι η οντότητα η οποία καθορίζει τους σκοπούς, όρους και μέσα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας είναι αυτός που συλλέγει τα δεδομένα από το υποκείμενο των δεδομένων. Ο εκτελών την επεξεργασία είναι η οντότητα που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εκ μέρους ή με αίτημα του υπεύθυνου επεξεργασίας. Όμως, εάν είστε ο υπεύθυνος επεξεργασίας, ο Κανονισμός GDPR θέτει περαιτέρω υποχρεώσεις σε σας για να διασφαλίζεται ότι οι συμβάσεις σας με τους εκτελούντες την επεξεργασία συμμορφώνονται με τον Κανονισμό GDPR. Για παράδειγμα, η JCC είναι ο υπεύθυνος επεξεργασίας ενώ ένας εξωτερικός πωλητής της JCC, όπως μια πωλήτρια εταιρεία POS, είναι ο εκτελών την επεξεργασία. 2

3 8. Ποια δικαιώματα θα έχουν τα άτομα κάτω από τον Κανονισμό GDPR; Ένας από τους κύριους τρόπους με τον οποίο το θέμα του Κανονισμού GDPR επηρεάζει όλους τους οργανισμούς είναι η νέα διευρυμένη δέσμη δικαιωμάτων που παρέχεται στα άτομα, όπως περιγράφεται πιο κάτω: Δικαίωμα σε πληροφόρηση Οι οργανισμοί πρέπει να είναι ξεκάθαροι και διαφανείς ως προς τον τρόπο που χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα ο οποίος συνήθως εμφανίζεται μέσω της Δήλωσης Απορρήτου και Προστασίας Δεδομένων του οργανισμού. Δικαίωμα σε πρόσβαση Τα άτομα δικαιούνται να γνωρίζουν ποιες πληροφορίες κρατούνται σε σχέση με αυτούς και πώς αυτές επεξεργάζονται. Θα πρέπει να μπορούν να έχουν απεριόριστη πρόσβαση στις πληροφορίες αυτές. Δικαίωμα σε διόρθωση Τα άτομα δικαιούνται να επιτύχουν διόρθωση των δεδομένων προσωπικού χαρακτήρα που τους αφορούν σε περίπτωση που αυτά είναι ανακριβή ή ελλιπή. Δικαίωμα σε διαγραφή (γνωστό επίσης ως το δικαίωμα σε λήθη)- Τα άτομα έχουν το δικαίωμα να ζητήσουν την αφαίρεση των δεδομένων προσωπικού χαρακτήρα όπου δεν υπάρχει επιτακτικός λόγος για να συνεχίσει η επεξεργασία τους. Δικαίωμα σε περιορισμό της επεξεργασίας Τα άτομα έχουν δικαίωμα να αιτηθούν την φραγή ή καταστολή της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τους αφορούν. Αυτό όμως μπορεί να απορριφθεί από ένα οργανισμό για αρκετούς λόγους. Δικαίωμα φορητότητας δεδομένων- Το δικαίωμα φορητότητας δεδομένων επιτρέπει σε άτομα να λαμβάνουν αντίγραφο των δεδομένω ν προσωπικού χαρακτήρα που τους αφορούν και να τα μεταφέρουν από ένα περιβάλλον πληροφορικής (ΙΤ) σε άλλο, με ασφάλεια. Δικαίωμα εναντίωσης Τα άτομα έχουν το δικαίωμα να αντιταχθούν στη χρήση των προσωπικών πληροφοριών τους κάτω από κάποιες συνθήκες. Δικαίωμα για μη υπαγωγή σε αυτοματοποιημένη λήψη αποφάσεων Σε συγκεκριμένες περιπτώσεις, τα άτομα έχουν το δικαίωμα να μην είναι το υποκείμενο απόφασης που έχει νομική σημασία για αυτά και βασίζεται σε αυτοματοποιημένη επεξεργασία. Αυτό όμως μπορεί να απορριφθεί από την JCC για αρκετούς λόγους. Δικαίωμα υποβολής καταγγελίας Εάν τα άτομα έχουν εξασκήσει κάποιο ή όλα τα δικαιώματα τους για προστασία δεδομένων αλλά αισθάνονται ακόμα ότι οι ανησυχίες τους, ως προς τον τρόπο που ο οργανισμός χρησιμοποιεί τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν, έχουν απαντηθεί ικανοποιητικά από τον οργανισμό, έχουν το δικαίωμα να υποβάλουν καταγγελία στο Γραφείο του Επιτρόπου Προστασίας Δεδομένων στην ιστοσελίδα Η JCC επιτρέπει σε άτομα να απευθύνουν τις ανησυχίες τους για την προστασία 3

4 δεδομένων υποβάλλοντας καταγγελία στην ηλεκτρονική διεύθυνση: 9. Ποιες είναι οι ποινές σε περίπτωση μη-συμμόρφωσης; Για παραβιάσεις που σχετίζονται με διαφάνεια πληροφοριών και επικοινωνία ή επεξεργασία δεδομένων, μπορεί να επιβληθεί πρόστιμο στους οργανισμούς μέχρι 10 εκ. Ευρώ ή 2% επί του παγκόσμιου κύκλου εργασιών, οποιοδήποτε είναι ψηλότερο. Για παραβιάσεις που σχετίζονται με επεξεργασία δεδομένων, συγκατάθεση, δικαιώματα υποκείμενου των δεδομένων και πραγματικές παραβάσεις δεδομένων, μπορεί να επιβληθεί στους οργανισμούς πρόστιμο μέχρι 20 εκ. Ευρώ ή 4% του παγκόσμιου κύκλου εργασιών, οποιοδήποτε είναι ψηλότερο. 10. Τί είναι η Δήλωση Απορρήτου και Προστασίας Δεδομένων Προσωπικού Χαρακτήρα; Εάν ένας οργανισμός κρατεί πληροφορίες για άτομα, πρέπει να παρέχει λεπτομερή επεξήγηση για αυτές, όπως τι πληροφορίες κρατούν για αυτά, πως τα δεδομένα τους επεξεργάζονται και που κρατούνται. Αυτό μπορεί να γίνει μέσω μιας Δήλωσης Απορρήτου και Προστασίας Δεδομένων Προσωπικού Χαρα κτήρα η οποία πρέπει να είναι δημόσια διαθέσιμη σε αυτά. Ο Κανονισμός GDPR, συνεπώς, δηλώνει ότι αυτή η δήλωση πρέπει να είναι ξεκάθαρη, εύκολα προσβάσιμη και δωρεάν. Η Δήλωση Απορρήτου και Προστασίας Δεδομένων της JCC βρίσκεται στον ιστότοπο μας Ποιες είναι οι νόμιμες βάσεις επεξεργασίας και πότε ζητείται συγκατάθεση; Οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι νόμιμη και δίκαιη, διαφανής ως προς τους υποκείμενους των δεδομένων ενώ οποιεσδήποτε πληροφορίες και επικοινωνία αναφορικά με δεδομένα προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμες και εύκολα κατανοητές. Ο οργανισμός προσδιορίζει πιο κάτω τη νομική βάση για οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν: Έχει λάβει ρητή συγκατάθεση από το άτομο ή το υποκείμενο των δεδομένων για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τον/την αφορούν; Υπάρχει ανάγκη για εκτέλεση σύμβασης η επεξεργασία είναι απαραίτητη για την σύναψη ή την εκτέλεση σύμβασης; Για προστασία των ζωτικών συμφερόντων του ατόμου είναι ζωτικής σημασίας να επεξεργαστούν ειδικά δεδομένα για θέματα ζωής και θανάτου; Υπάρχουν νομικές υποχρεώσεις του οργανισμού ο οργανισμός είναι υποχρεωμένος να επεξεργαστεί δεδομένα προσωπικού χαρακτήρα για νομική υποχρέωση [ π.χ. για συμμόρφωση με κανονισμούς για καταπολέμηση ξεπλύματος παράνομου χρήματος]; 4

5 Υπάρχει ανάγκη για λόγους δημόσιου συμφέροντος επεξεργασία από δημόσιες αρχές και οργανισμούς στα πλαίσια δημόσιων καθηκόντων και συμφέροντος; και Υπάρχει έννομο συμφέρον για τον οργανισμό Πρέπει να υπάρχει επιτακτική δικαιολογία για την επεξεργασία και την χρήση δεδομένων προσωπικού χαρακτήρα ή όπου ο οργανισμός χρησιμοποιεί αυτά με τρόπο που εύλογα θα ανέμενε ο κόσμος. Είναι επίσης σημαντικό να διεξάγεται αξιολόγηση των έννομων συμφερόντων και να τηρούνται αρχεία για αυτήν. 12. Πότε τα δεδομένα προσωπικού χαρακτήρα μπορούν να μεταφερθούν εκτός της ΕΕ; Υπάρχουν περιορισμοί στην μεταφορά δεδομένων προσωπικού χαρακτήρα, εκτός ΕΕ, σε άλλες χώρες ή διεθνείς οργανισμούς οι οποίοι επιβάλλονται για την προστασία των ατόμων και των δεδομένων προσωπικού χαρακτήρα που τους αφορούν όπως προνοείται από τον Κανονισμό. Οι μεταφορές απαιτούν την έγκριση του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ενώ σε κάποιες άλλες περιπτώσεις,να πληροφορούν τον Επίτροπο. Η μεταφορά των δεδομένων προσωπικού χαρακτήρα εκτός της ΕΕ επιτρέπεται μόνο εάν ικανοποιούνται κάποιοι όροι, για παράδειγμα: όπου η Ευρωπαϊκή Επιτροπή έχει καθορίσει μία τρίτη χώρα ή ένα διεθνή οργανισμό ότι παρέχει επαρκές επίπεδο προστασίας δεδομένων προσωπικού χαρακτήρα; ή όπου υπάρχουν πρότυπα συμβάσεων βασισμένα σε συμφωνίες πάνω σε μεταφορές που έγιναν μεταξύ οργανισμών εντός ενός ομίλου, καλούμενες ως πρότυπες ρήτρες προστασίας δεδομένων ή δεσμευτικοί εταιρικοί κανόνες; ή όπου εφαρμόζεται εγκεκριμένος μηχανισμός πιστοποίησης, π.χ. ΕΕ-ΗΠ Ασπίδα Απορρήτου και Προστασίας Ιδιωτικής Ζωής. Επιπρόσθετα, η μεταφορά μπορεί να γίνει όπου το άτομο έχει δώσει συγκεκριμένη συγκατάθεση, είναι αναγκαία για την εκτέλεση σύμβασης μεταξύ του ατόμου και του οργανισμού εάν : είναι αναγκαίο για λόγους δημόσιου συμφέροντος, είναι αναγκαίο για τη δημιουργία, άσκηση ή υπεράσπιση νομικών απαιτήσεων, είναι αναγκαίο για την προστασία ζωτικών συμφερόντων του υποκείμενου των δεδομένων ή άλλων προσώπων. 13. Χρειάζεται να διορίσει η εταιρεία μου Υπεύθυνο Προστασίας Δεδομένων; (DPO) Οι οργανισμοί πρέπει να διορίζουν Υπεύθυνο Προστασίας Δεδομένων (DPO) εάν οι κύριες δραστηριότητες τους εμπλέκουν επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μεγάλη κλίμακα και/ή εμπλέκουν συνεχή παρακολούθηση δεδομένων προσωπικού χαρακτήρα. Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) μπορεί να είναι υπάλληλος του 5

6 οργανισμού μόνο εάν τα καθήκοντα του δεν συγκρούονται με το ρόλο του ως Υπεύθυνος Προστασίας Δεδομένων ή μπορεί να είναι εξωτερικός συνεργάτης. 14. Ποιες είναι οι ευθύνες του Υπεύθυνου Προστασίας Δεδομένων κάτω από τον Κανονισμό GDPR? Οι ευθύνες του Υπεύθυνου Προστασίας Δεδομένων, όπως ορίζονται σ το Άρθρο 39 είναι σε συντομία οι ακόλουθες: Να ενημερώνει και συμβουλεύει τον οργανισμό και το προσωπικό σχετικά με τις υποχρεώσεις τους κάτω από τον Κανονισμό GDPR; Να παρακολουθεί τη συμμόρφωση με τον Κανονισμό GDPR από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία; Να παρέχει συμβουλές όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και να παρακολουθεί την υλοποίηση της ; και Να συνεργάζεται με την εποπτική αρχή σε θέματα που σχετίζονται με επεξεργασία δεδομένων. Τα στοιχεία επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων στον οποίο η JCC έχει αναθέσει το ρόλο αυτό, φαίνονται στη Δήλωση Απορρήτου και Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της JCC και ενημερώνονται στον ιστότοπο μας Ποιοι είναι οι κανόνες ασφάλειας κάτω από τον Κανονισμό GDPR? Το GDPR διασφαλίζει τα δεδομένα προσωπικού χαρακτήρα εξασφαλίζοντας ότι αυτά τυγχάνουν επεξεργασίας με τρόπο που εξασφαλίζει την ασφάλεια τους περιλαμβανομένης της προστασίας έναντι μη-εξουσιοδοτημένης ή παράνομης επεξεργασίας καθώς επίσης έναντι τυχαίας απώλειας, καταστροφής ή ζημιάς. Οι οργανισμοί πρέπει να έχουν κατάλληλα τεχνικά ή οργανωτικά μέτρα σε εφαρμογή για να εμποδίζουν τέτοιες διαρροές δεδομένων προσωπικού χαρακτήρα ή παράνομη επεξεργασία. Χρήσιμοι σύνδεσμοι: Για περισσότερη αναφορά σχετικά με την νομοθεσία GDPR, παρακαλούμε όπως ανατρέξετε στον Γενικό Κανονισμό Προστασίας Δεδομένων. 6