+30 2310 553162 ,+30 2310553163, +30 2310553192

Blog post

Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR)- Όλα όσα πρέπει να κάνουν οι εταιρείες – Ποιες εταιρείες αφορά

Από τις 25 Μαΐου 2018 έχει τεθεί σε ισχύ ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR). Η πρόοδος και η εξέλιξη της τεχνολογίας σε συνδυασμό με τα δεδομένα προσωπικού χαρακτήρα που ανταλλάσσονται συνεχώς μέσω Ιnternet κατέστησαν υποχρεωτική τη δημιουργία ενός αυστηρού νομοθετικού πλαισίου για την προστασία τους. Ο κανονισμός αυτός δημιουργήθηκε με σκοπό την εφαρμογή του από εταιρείες οι οποίες επεξεργάζονται και διαχειρίζονται προσωπικά δεδομένα πολιτών. Ο στόχος του κανονισμού είναι να μπορέσουν οι Ευρωπαίοι πολίτες να διατηρήσουν τον έλεγχο των προσωπικών τους δεδομένων έναντι των εταιριών, αφού ο Κανονισμός ψηφίστηκε και εφαρμόζεται σε ευρωπαϊκό πλαίσιο. Τέλος, εταιρείες οι οποίες δεν θα συμμορφωθούν με τον εν λόγω κανονισμό απειλούνται με την επιβολή σημαντικών προστίμων, όπως ρητά προβλέπεται.

Τι εννοούμε με τον όρο προσωπικά δεδομένα. Προσωπικά δεδομένα είναι κάθε πληροφορία που αφορά φυσικό πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί όπως το όνομα, ο αριθμός ταυτότητας, άλλοι παράγοντες που αφορούν την σωματική, φυσιολογική, γενετική, οικονομική, πολιτιστική η κοινωνική ταυτότητα του εν λόγω προσώπου.

Επιπλέον ο κανονισμός ορίζει ότι πληροφορίες που αφορούν την φυλετική ή εθνική καταγωγή, τις πολιτικές πεποιθήσεις, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, την συνδικαλιστική δράση και τέλος την υγεία ή σεξουαλική ζωή ενός ατόμου αποτελούν τα ευαίσθητα προσωπικά του δεδομένα, τα οποία χρήζουν ειδικής προστασίας καθότι το πλαίσιο επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα του ατόμου και τις ελευθερίες του.

Κάθε εταιρεία η οποία διαχειρίζεται προσωπικά δεδομένα θα πρέπει να ενημερωθεί για τον κανονισμό ώστε να προβεί στις απαραίτητες ενέργειες και να διαπιστωθεί εάν πρέπει να γίνουν αλλαγές στη λειτουργία της, έναντι των προμηθευτών, πελατών ή και εργαζομένων της, ώστε να είναι πλήρως εναρμονισμένη με τις διατάξεις του κανονισμού.

Αυτό θα γίνει αρχικά μέσω της χαρτογράφησης των δεδομένων που λαμβάνει κάθε εταιρία και επεξεργάζεται. Αυτό δηλαδή μπορεί να γίνει από την ιστοσελίδα της εταιρείας εάν κι εφόσον διατηρεί, από τα έγγραφα που διατηρεί στα οποία αποθηκεύει δεδομένα των πελατών προμηθευτών της και τέλος e-mail ή social media με τα οποία επικοινωνεί με πελάτες. Στη συνέχεια κάθε εταιρία θα πρέπει να επικοινωνήσει με τον πελάτη. Μέσω της πολιτικής απορρήτου θα πρέπει να τον ενημερώσει για τα προσωπικά δεδομένα που διατηρεί, τον σκοπό για τον οποίο τα διατηρεί, για πόσο καιρό θα τα διατηρήσει και αν υπάρχει κάποιος άλλος ο οποίος έχει την δυνατότητα να επεξεργάζεται τα προσωπικά του δεδομένα. Ο πολίτης έχει κάθε δικαίωμα να λαμβάνει γνώση από την εταιρεία για τα προσωπικά δεδομένα που διατηρεί, να έχει πρόσβαση σε αυτά, να έχει δικαίωμα για την διόρθωση ή ακόμα και διαγραφή τους, για την μεταφορά τους και να ενίσταται εάν τα δεδομένα κατά την άποψή του χρησιμοποιούνται κατά αθέμιτο τρόπο.

Κάθε πελάτης έχει δικαίωμα να ζητήσει να διαγραφούν τα προσωπικά του δεδομένα. Σε αντίθεση με αυτό, κάθε εταιρία έχει την υποχρέωση για κάποιο συγκεκριμένο χρονικό διάστημα να διατηρήσει τα προσωπικά δεδομένα των πελατών, εργαζομένων και προμηθευτών της, για παράδειγμα, για φορολογικούς ή  δικαστικούς λόγους. Σε αυτή την περίπτωση κάθε εταιρία θα πρέπει να διαγράψει μετά από αίτημα του πελάτη όλα τα προσωπικά του δεδομένα εκτός από αυτά που είναι απαραίτητο να διατηρηθούν για φορολογικούς λόγους και τα οποία δεν θα πρέπει να επεξεργαστούν για οποιοδήποτε άλλο λόγο.

Σε περίπτωση διαρροής προσωπικών δεδομένων κάποιον πελατών η εταιρία είναι υποχρεωμένη να γνωστοποιήσει το γεγονός αυτό εντός 72 ωρών στις αρμόδιες αρχές αλλά και στο ίδιο το υποκείμενο των δικαιωμάτων, καθώς μία τέτοια διαρροή μπορεί να δημιουργήσει κίνδυνο στα προσωπικά τους δικαιώματα και τις ελευθερίες. Τα ευαίσθητα προσωπικά δεδομένα πρέπει να προστατευτούν με επιπρόσθετα μέτρα προστασίας από κάθε εταιρία. Για ορισμένες εταιρείες είναι υποχρεωτικός ο καθορισμός ενός Υπεύθυνου Προστασίας Προσωπικών Δεδομένων (Data Protection Officer), κυρίως για τις δημόσιες αρχές.

Οι εταιρείες οι οποίες συνεργάζονται και διαχειρίζονται προσωπικά δεδομένα πελατών μαζί με άλλες εταιρείες θα πρέπει επίσης να ενεργούν σύμφωνα με τους Κανόνες του Γενικού Κανονισμού.

Πλέον σήμερα, ενάμιση χρόνο μετά την εφαρμογή του Κανονισμό έχει ήδη επιβληθεί το πρώτο πρόστιμο από την Αρχή Προστασίας Προσωπικών Δεδομένων σε εταιρεία η οποία δεν είναι εναρμονισμένη πλήρως με τον κανονισμό.

Η εναρμόνιση με τον Κανονισμό είναι πλέον υποχρεωτική και αποτελεί ένα πολύ σημαντικό βήμα για την νομική προστασία κάθε εταιρίας. Ταυτόχρονα απαιτεί μία συνεχή προσπάθεια και μέριμνα από πλευράς της εταιρείας για τα Προσωπικά δεδομένα που διατηρεί και διαχειρίζεται.

Ενδεικτικά, επιχειρήσεις που θα πρέπει να συμμορφωθούν άμεσα με τον Κανονισμό είναι: λογιστικά γραφεία, δικηγορικά γραφεία, ιατρεία, φαρμακεία, κλινικές, διαγνωστικά κέντρα, πολυϊατρεία, εταιρείες παροχής υπηρεσιών ασφαλείας, εμπορικές επιχειρήσεις, εταιρείες παροχής τηλεφωνικών υπηρεσιών.