Ο GDPR (2016/679) είναι ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης ο οποίος τέθηκε σε εφαρμογή στις 25 Μαΐου του 2018. Έχει ως αποτέλεσμα την παύση ισχύος του προηγούμενου ρυθμιστικού πλαισίου για την προστασία των δεδομένων προσωπικού χαρακτήρα και την τροποποίηση πολλών πτυχών του. Ο Κανονισμός είναι γενικής εφαρμογής, υποχρεωτικός σε όλα τα στοιχεία του και άμεσα εφαρμοζόμενος από όλα τα κράτη-μέλη της ΕΕ.
Στον GDPR οφείλουν να συμμορφωθούν όλοι οι φορείς/οργανισμοί δημοσίου και ιδιωτικού τομέα οι οποίοι επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της δραστηριότητάς τους. Κάθε ατομική επιχείρηση, εταιρία, σωματείο ή υπηρεσία του δημοσίου που συλλέγει, καταχωρεί, αποθηκεύει, κοινολογεί με διαβίβαση, συσχετίζει, διαγράφει, καταστρέφει πληροφορίες που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο έχει υποχρέωση να εφαρμόσει το νέο Κανονισμό.
Οι κυρώσεις που προβλέπει ο Κανονισμός είναι εξαιρετικά υψηλές και μπορεί να φτάσουν έως και τα 20.000.000 ευρώ ή έως και το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους του οργανισμού ή επιχείρησης (όποιο από τα δύο είναι υψηλότερο). Συνεπώς, η μη συμμόρφωση στις νέες ρυθμίσεις ενέχει τον κίνδυνο επιβολής προστίμου από την εποπτική αρχή το οποίο ενδέχεται να σημάνει ακόμη και την οικονομική καταστροφή του οργανισμού ή επιχείρησης.
Ο GDPR επιβάλλει μια σειρά νέων υποχρεώσεων στους υπευθύνους επεξεργασίας, οι οποίες απορρέουν από τις βασικές αρχές και ιδίως την ενισχυμένη αρχή της διαφάνειας (transparency) στον τρόπο συλλογής, επεξεργασίας και τήρησης δεδομένων και τη νέα αρχή της λογοδοσίας (accountability), σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωσή του με όλες τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων. Επίσης, εισάγονται νέα δικαιώματα για τα υποκείμενα των δεδομένων όπως το δικαίωμα στη λήθη και το δικαίωμα στη φορητότητα των δεδομένων.
- Κατάλληλη ενημέρωση του προσωπικού του οργανισμού για τις επερχόμενες αλλαγές με έμφαση στις επιπτώσεις από ενδεχόμενη παραβίαση του Κανονισμού
- Διαμόρφωση στρατηγικού σχεδιασμού για την αντιμετώπιση ενδεχομένων κινδύνων για τα επεξεργαζόμενα προσωπικά δεδομένα με λήψη τεχνικών και οργανωτικών μέτρων
- Τήρηση μητρώου καταγραφής των δραστηριοτήτων επεξεργασίας
- Εξασφάλιση έγκυρης συγκατάθεσης από τα υποκείμενα των δεδομένων για την νόμιμη επεξεργασία
- Εκ των προτέρων εκτίμηση του αντίκτυπου των επιπτώσεων για την επέλευση κινδύνου για τα ατομικά δικαιώματα και ελευθερίες των φυσικών προσώπων
- Αναθεώρηση και επικαιροποίηση των πολιτικών ασφαλείας των δεδομένων με πρόβλεψη νέων κατάλληλων διαδικασιών για την ικανοποίηση των νέων δικαιωμάτων: δικαίωμα στη φορητότητα των δεδομένων, δικαίωμα διαγραφής κ.λπ
- Ορισμός Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer)
- Πρόβλεψη διαδικασιών για τον εντοπισμό, τη διερεύνηση περιστατικών παραβιάσεων της ασφάλειας των προσωπικών δεδομένων καθώς και για την άμεση γνωστοποίηση της παραβίασης στην εποπτική αρχή.
- Μπορεί ο οργανισμός/επιχείρηση να αποδείξει ότι έχει συμμορφωθεί στο νέο Κανονισμό λαμβάνοντας όλα τα απαιτούμενα κατά περίπτωση οργανωτικά και τεχνικά μέτρα;
- Αν διενεργούνται διασυνοριακή επεξεργασία προσωπικών δεδομένων πρέπει να επιλεγεί μηχανισμός διαβίβασης.
Σύσταση του Συμβουλίου της Ευρώπης για την Προστασία των Δεδομένων Υγείας
Παρατηρώντας την ραγδαία αύξηση της χρήσης νέων τεχνολογιών για την επεξεργασία δεδομένων σχετικών με την…
Ν. 4600/2019 Οργάνωση και λειτουργία Υπουργείου Υγείας (Ηλεκτρονικός Ιατρικός Φάκελος)
Στις 9 Μαρτίου 2019 δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως ο Νόμος 4600/2019 ο οποίος εκτός…
Οι τυποποιημένες συμβατικές ρήτρες ως εναλλακτικός μηχανισμός διαβίβασης προσωπικών δεδομένων σε τρίτες χώρες
Οι διαβιβάσεις προς τρίτες χώρες ή διεθνείς οργανισμούς ρυθμίζονται στο Κεφάλαιο V του ΓΚΠΔ. Σύμφωνα…