Κεφάλαια 01 Σε Ισχύ: 25 Μαΐου 2018

GDPR

Γενικός Κανονισμός για την Προστασία Δεδομένων

Επισκόπηση

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) αποτελεί τον ακρογωνιαίο λίθο του δικαίου προστασίας δεδομένων της ΕΕ. Αντικατέστησε την Οδηγία για την Προστασία Δεδομένων 95/46/ΕΚ και ενίσχυσε σημαντικά τα δικαιώματα των ατόμων επί των προσωπικών τους δεδομένων, επιβάλλοντας παράλληλα ολοκληρωμένες υποχρεώσεις στους υπεύθυνους επεξεργασίας και στους εκτελούντες την επεξεργασία.[1]

Ο GDPR εφαρμόζεται σε κάθε οργανισμό που επεξεργάζεται προσωπικά δεδομένα ατόμων στην ΕΕ, ανεξαρτήτως του τόπου εγκατάστασης του οργανισμού. Αυτή η εξωεδαφική εμβέλεια έχει καταστήσει τον GDPR de facto παγκόσμιο πρότυπο για την προστασία δεδομένων.[2]

Ποιοι Πρέπει να Συμμορφώνονται

  • Υπεύθυνοι Επεξεργασίας: Οργανισμοί που καθορίζουν τους σκοπούς και τα μέσα της επεξεργασίας προσωπικών δεδομένων
  • Εκτελούντες την Επεξεργασία: Οργανισμοί που επεξεργάζονται προσωπικά δεδομένα εκ μέρους των υπευθύνων
  • Οντότητες εκτός ΕΕ: Οποιοσδήποτε οργανισμός προσφέρει αγαθά/υπηρεσίες σε κατοίκους της ΕΕ ή παρακολουθεί τη συμπεριφορά τους
  • Όλοι οι τομείς: Εφαρμόζεται σε όλους τους κλάδους με περιορισμένες εξαιρέσεις για την επιβολή του νόμου και την εθνική ασφάλεια

Βασικές Απαιτήσεις για Προγραμματιστές

Νόμιμη Βάση για την Επεξεργασία

Κάθε λειτουργία επεξεργασίας πρέπει να έχει έγκυρη νομική βάση σύμφωνα με το Άρθρο 6:[3]

  1. Συναίνεση: Ελεύθερα δοθείσα, συγκεκριμένη, ενημερωμένη και σαφής
  2. Σύμβαση: Απαραίτητη για την εκτέλεση σύμβασης με το υποκείμενο των δεδομένων
  3. Νομική υποχρέωση: Απαιτούμενη από το δίκαιο της ΕΕ ή κράτους μέλους
  4. Ζωτικά συμφέροντα: Προστασία της ζωής του υποκειμένου των δεδομένων ή άλλου προσώπου
  5. Δημόσιο συμφέρον: Απαραίτητη για δημόσιο έργο ή επίσημη αρμοδιότητα
  6. Νόμιμα συμφέροντα: Ισορροπημένα με τα δικαιώματα του υποκειμένου (δεν ισχύει για δημόσιες αρχές)

Τεχνικές Απαιτήσεις

  • Ελαχιστοποίηση δεδομένων: Συλλογή μόνο όσων είναι απαραίτητα για τον καθορισμένο σκοπό
  • Περιορισμός αποθήκευσης: Διατήρηση προσωπικών δεδομένων μόνο όσο είναι αναγκαίο
  • Ακεραιότητα και εμπιστευτικότητα: Εφαρμογή κατάλληλων μέτρων ασφαλείας
  • Προστασία δεδομένων από σχεδιασμό και εξ ορισμού: Ενσωμάτωση της προστασίας δεδομένων στα συστήματα από την αρχή (Άρθρο 25)[4]

Δικαιώματα Υποκειμένου των Δεδομένων

Οι εφαρμογές πρέπει να υποστηρίζουν τα ακόλουθα δικαιώματα:

ΔικαίωμαΠεριγραφήΧρόνος Απόκρισης
Πρόσβαση (Άρθρο 15)Παροχή αντιγράφου προσωπικών δεδομένων και πληροφοριών επεξεργασίας1 μήνας
Διόρθωση (Άρθρο 16)Διόρθωση ανακριβών προσωπικών δεδομένωνΧωρίς αδικαιολόγητη καθυστέρηση
Διαγραφή (Άρθρο 17)Διαγραφή δεδομένων όταν δεν είναι πλέον απαραίτηταΧωρίς αδικαιολόγητη καθυστέρηση
Περιορισμός (Άρθρο 18)Περιορισμός της επεξεργασίας σε συγκεκριμένες περιπτώσειςΧωρίς αδικαιολόγητη καθυστέρηση
Φορητότητα (Άρθρο 20)Παροχή δεδομένων σε μορφή αναγνώσιμη από μηχανή1 μήνας
Εναντίωση (Άρθρο 21)Εναντίωση στην επεξεργασία βάσει νόμιμων συμφερόντωνΧωρίς αδικαιολόγητη καθυστέρηση

Ειδοποίηση Παραβίασης

  • Στην εποπτική αρχή: Εντός 72 ωρών από τη γνώση (Άρθρο 33)[5]
  • Στα υποκείμενα των δεδομένων: Χωρίς αδικαιολόγητη καθυστέρηση όταν υπάρχει υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες (Άρθρο 34)
  • Τεκμηρίωση: Διατήρηση αρχείων όλων των παραβιάσεων ανεξαρτήτως υποχρέωσης ειδοποίησης

Ποινές

Ο GDPR καθιερώνει δομή βαθμιδωτών προστίμων:

  • Κατώτερο επίπεδο: Έως 10 εκατομμύρια ευρώ ή 2% του ετήσιου παγκόσμιου κύκλου εργασιών, όποιο είναι μεγαλύτερο
  • Ανώτερο επίπεδο: Έως 20 εκατομμύρια ευρώ ή 4% του ετήσιου παγκόσμιου κύκλου εργασιών, όποιο είναι μεγαλύτερο[6]

Μεγάλα πρόστιμα που έχουν επιβληθεί περιλαμβάνουν:

  • Amazon (Λουξεμβούργο, 2021): 746 εκατομμύρια ευρώ
  • Meta/Facebook (Ιρλανδία, 2023): 1,2 δισεκατομμύρια ευρώ
  • Google (Γαλλία, 2022): 90 εκατομμύρια ευρώ

Λίστα Ελέγχου Εφαρμογής

  • Εντοπισμός όλων των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων
  • Καθιέρωση νόμιμης βάσης για κάθε λειτουργία επεξεργασίας
  • Εφαρμογή διαχείρισης συναίνεσης όπου απαιτείται
  • Δημιουργία ενημερώσεων απορρήτου που πληρούν τις απαιτήσεις διαφάνειας
  • Κατασκευή μηχανισμών διαχείρισης αιτημάτων υποκειμένων
  • Εφαρμογή κατάλληλων μέτρων ασφαλείας
  • Καθιέρωση διαδικασιών ανίχνευσης και ειδοποίησης παραβιάσεων
  • Διενέργεια Αξιολογήσεων Επιπτώσεων Προστασίας Δεδομένων για επεξεργασία υψηλού κινδύνου
  • Ορισμός Υπευθύνου Προστασίας Δεδομένων αν απαιτείται
  • Διατήρηση Αρχείων Δραστηριοτήτων Επεξεργασίας (RoPA)

Πηγές & Αναφορές

[1]
Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου. EUR-Lex: Επίσημο Κείμενο GDPR
[2]
Εδαφική εμβέλεια του GDPR, Άρθρο 3. GDPR.eu: Εδαφική Εμβέλεια
[3]
Νομιμότητα της επεξεργασίας, Άρθρο 6. GDPR-Info: Άρθρο 6
[4]
Προστασία δεδομένων από σχεδιασμό και εξ ορισμού, Άρθρο 25. GDPR-Info: Άρθρο 25
[5]
Ειδοποίηση παραβίασης προσωπικών δεδομένων, Άρθρο 33. GDPR-Info: Άρθρο 33
[6]
Διοικητικά πρόστιμα, Άρθρο 83. GDPR-Info: Άρθρο 83