Μεγάλη συζήτηση γίνεται στην Ευρώπη, αλλά και στην χώρα μας για την ασφάλεια δεδομένων.
Τον περασμένο μήνα δημοσιεύθηκαν στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης τρεις ιδιαίτερα σημαντικές νομοθετικές πράξεις, οι οποίες στην ουσία αλλάζουν σταδιακά αλλά και ριζικά το νομικό καθεστώς προστασίας δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.
Το νέο πλαίσιο σχηματίστηκε έπειτα από διαβουλεύσεις , από τα εμπλεκόμενα μέρη, καθώς και σημαντικές επιρροές από τις τρομοκρατικές επιθέσεις στο Παρίσι και τις Βρυξέλλες.
Το νέο πλαίσιο προστασίας προσωπικών δεδομένων συνδιαμορφώνεται από 2 νέες οδηγίες και έναν κανονισμό, ενώ επίκειται και η τροποποίηση μίας ακόμη οδηγίας, σχετικά με την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.
Να σημειωθεί ότι οι κανονισμοί είναι δεσμευτικές νομοθετικές πράξεις και η εφαρμογή τους σε όλες τις χώρες της ΕΕ είναι υποχρεωτική.
Οι οδηγίες ορίζουν έναν στόχο τον οποίο πρέπει να επιτύχουν όλες οι χώρες της ΕΕ, ωστόσο, εναπόκειται σε κάθε χώρα να θεσπίσει τους δικούς της νόμους για την επίτευξη των στόχων αυτών.
Συγκεκριμένα, πρόκειται για:
Ας δούμε, όμως, συνοπτικά και με απλά λόγια ποια είναι τα σημαντικότερα στοιχεία της κάθε μίας από αυτές τις πράξεις ,ξεκινώντας με την πιο σημαντική (και δεσμευτική) από αυτές, τον Γενικό Κανονισμό για την Προστασία Δεδομένων είναι:
Όπως έχει αναφερθεί, ο εν λόγω Κανονισμός αποτελεί προϊόν χρονοβόρων διαδικασιών, και ισχυρών πιέσεων, οι οποίες διήρκησαν περισσότερο από τέσσερα χρόνια.
Ο Κανονισμός αυτός αντικαθιστά την ισχύουσα οδηγία για την προστασία των δεδομένων, η οποία δεν ανταποκρινόταν επαρκώς στις ανάγκες μίας εποχής με smartphones, social media, internet banking.
Στόχος των συντακτών του Κανονισμού ήταν να διαμορφωθεί με τρόπο που θα ανταποκρίνεται στις σύγχρονες ανάγκες των πολιτών με ενιαίο τρόπο (τουλάχιστον τους πολίτες και τις επιχειρήσεις εντός ΕΕ).
Οι νέος γενικός κανονισμός αποτελείται από 99).
Σύμφωνα με το άρθρο 99, ο Κανονισμός, ο οποίος δημοσιεύθηκε στις Μαΐου 2016, τίθεται σε εφαρμογή από τις 25 Μαΐου 2018.
Το διάστημα αυτό των δύο ετών αποτελεί περίοδο προσαρμογής για τα εμπλεκόμενα μέρη.
Συγκεκριμένα, πρόκειται για μια περίοδο κατά την οποία οι εταιρείες θα πρέπει να εξασφαλίσουν ότι θα συμμορφώνονται με το νέο σύνολο κανόνων, ενώ οι εθνικές αρχές προστασίας δεδομένων, η ομάδα εργασίας του άρθρου 29 αλλά και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να εκδίδουν και γνωμοδοτήσεις, προκειμένου να βοηθήσουν τα εμπλεκόμενα μέρη στο πλαίσιο της προετοιμασίας τους.
Ορισμένα από τα βασικότερα σημεία του νέου Κανονισμού είναι τα εξής:
Σύμφωνα με το άρθρο 17 του Κανονισμού, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους προβλεπόμενους στον Κανονισμό λόγους.
Σύμφωνα με το άρθρο 7 του Κανονισμού, τίθενται αυστηρές προϋποθέσεις αναφορικά με τη συγκατάθεση από το ενδιαφερόμενο πρόσωπο για την επεξεργασία των προσωπικών του δεδομένων, την οποία έχει δικαίωμα να ανακαλέσει ανά πάσα στιγμή.
Σύμφωνα με το άρθρο 34 του Κανονισμού, όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
Σύμφωνα με το άρθρο 12 του Κανονισμού, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε απαιτούμενη από το νόμο πληροφορία σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά.
Το άρθρο 83 του Κανονισμού προβλέπει τους γενικούς όρους επιβολής διοικητικών προστίμων. Υπό συγκεκριμένες προϋποθέσεις, ορισμένες παραβάσεις επισύρουν διοικητικά πρόστιμα έως και 20 εκατ. ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Για την διενέργεια μιας μελέτης για την ασφάλεια δεδομένων σε ένα οργανισμό ακολουθούνται τα παρακάτω βήματα:
Στο στάδιο αυτό, συλλέγονται όλες οι απαραίτητες πληροφορίες ,οι οποίες είναι διάσπαρτες στον οργανισμό από διάφορους εμπλεκόμενους , κωδικοποιούνται και σχηματίζεται μια κεντρική βάση δεδομένων. Αξιολογείται η κρισιμότητα της βάσης δεδομένων, σύμφωνα με τις απαιτήσεις της οδηγίας και στη διεργασία ανάλυσης δεδομένων επισημαίνονται οι φορείς επεξεργασίας , καθώς, και τα κρίσιμα σημεία ελέγχου και οι πληροφορίες που καθιστούν τη βάση υποκείμενο του κανονισμού. Όσο πιο λεπτομερής είναι η διαγνωστική μελέτη , τόσο μεγαλύτερη επιτυχία θα έχει η οργάνωση προστασίας προσωπικών δεδομένων.
Το μέγεθος της επιτροπής εξαρτάται:
Όλη η διαδικασία διαρκεί από 3 έως 6 μήνες.