Τι είναι τελικά αυτό το «GDPR»;

Τι είναι τελικά αυτό το «GDPR»; Από τις 25 του περασμένου Μαΐου μπήκε στη ζωή μας ένας πολύ σημαντικός νόμος που αφορά την προστασία των προσωπικών μας δεδομένων. Και ύστερα ήρθε το χάος. Παρακάτω θα εξηγήσουμε με απλά λόγια τις νέες απαιτήσεις και το πώς προστατεύονται τα δεδομένα μας. Ο νόμος αυτός φέρει την ονομασία «General Data Protection Regulation» ή «Γενικός Κανονισμός για την Προστασία Δεδομένων» επί το ελληνικότερον και θα τον δείτε να αναφέρεται συχνά με το αρτικόλεξο «GDPR» ή «ΓΚΠΔ». Αντικατέστησε, δε, την προηγούμενη σχετική οδηγία 95/46/ΕΚ. Εδώ έχουμε την πρώτη σημαντική διαφορά: στο ευρωπαϊκό νομικό πλαίσιο, μια οδηγία θέτει κάποιο στόχο και έχει πιο «χαλαρό» χαρακτήρα, ενώ ο τρόπος εφαρμογής της αφήνεται στην κρίση του κάθε κράτους-μέλους της Ευρωπαϊκής Ένωσης. Αντίθετα, ένας κανονισμός έχει δεσμευτικό χαρακτήρα για όλα τα κράτη-μέλη, η εφαρμογή του είναι υποχρεωτική με συγκεκριμένο τρόπο και βεβαίως υπερβαίνει τις εθνικές νομοθεσίες. Όπως είπαμε, ο ΓΚΠΔ δημιουργήθηκε για να ενισχύσει την προστασία των προσωπικών μας δεδομένων και επιβάλλει μεγαλύτερη διαφάνεια στις μεθόδους με τις οποίες γίνεται η συλλογή και η επεξεργασία των δεδομένων αυτών. Δε σκοπεύει να δυσκολέψει τη ζωή του ερασιτέχνη κατόχου ιστοσελίδας ή blog και στην πραγματικότητα δεν αφορά ιδιαίτερα εκείνον. Φυσικά, είναι υποχρεωτική η εφαρμογή του από οποιονδήποτε συλλέγει και επεξεργάζεται προσωπικά δεδομένα, εντούτοις το βάρος πέφτει σε εταιρείες, οργανισμούς κλπ. Ειδικότερα, αν λάβουμε υπόψη τα μεγάλα πρόστιμα που επιφέρει η μη συμμόρφωση, συμπεραίνουμε ότι λειτουργεί ως αντίμετρο στην ανεξέλεγκτη συλλογή, επεξεργασία ή ακόμα και το εμπόριο δεδομένων που λίγο-πολύ όλοι μας γνωρίζουμε πώς γίνεται και από ποιους. Πληροφορίες Τα σχετικά πρόστιμα χωρίζονται σε δύο κατηγορίες: για τις σοβαρές παραβάσεις είναι 20 εκατομμύρια ευρώ ή μέχρι 4% των ετήσιων εσόδων (μιας εταιρείας κτλ.), ενώ για λιγότερο σοβαρές παραβάσεις είναι 10 εκατομμύρια ευρώ ή μέχρι 2% των ετήσιων εσόδων. Και στις δύο περιπτώσεις υπερισχύει το ποσό που είναι μεγαλύτερο. Πριν προχωρήσουμε, θα αναφερθούμε στις δύο κατηγορίες όπου εμπίπτουν τα προσωπικά δεδομένα σύμφωνα με τον ΓΚΠΔ. Η πρώτη κατηγορία είναι τα «προσωπικά δεδομένα» και περιλαμβάνει οποιαδήποτε πληροφορία σχετίζεται με ένα ταυτοποιήσιμο ή ταυτοποιημένο φυσικό πρόσωπο. Ως προσωπικά δεδομένα λογίζονται το ονοματεπώνυμο, η διεύθυνση IP, ένας τηλεφωνικός αριθμός, η ηλεκτρονική διεύθυνση κ.ά. Πιο απλά, προσωπικό δεδομένο είναι κάθε πληροφορία που συμβάλλει στον προσδιορισμό ενός προσώπου, ακόμα και αν αυτή δε μπορεί να οδηγήσει σε άμεση και πλήρη ταυτοποίηση. Η δεύτερη κατηγορία είναι τα «ευαίσθητα προσωπικά δεδομένα», μεταξύ των οποίων συγκαταλέγονται (ενδεικτικά) φυλετικά ή εθνοτικά χαρακτηριστικά, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις και γενετικά δεδομένα. Ο ΓΚΠΔ δεν απαγορεύει τη συλλογή και την επεξεργασία καμίας από τις παραπάνω κατηγορίες δεδομένων, θέτει όμως σαφή και αυστηρά κριτήρια. Για παράδειγμα, επιτρέπεται η συλλογή και η επεξεργασία προσωπικών δεδομένων εάν αυτό είναι απαραίτητο για τη συμμόρφωση με κάποια νομική υποχρέωση. Αντίστοιχα, επιτρέπεται η συλλογή και η επεξεργασία ευαίσθητων προσωπικών δεδομένων ενός ατόμου όταν αυτή αφορά περίπτωση όπου το ίδιο το άτομο είναι φυσικά ή νομικά μη ικανό να δώσει τη συγκατάθεσή του (λ.χ. ένας ασθενής). Σημαντική διαφορά και εδώ: το ενδιαφερόμενο μέρος πρέπει να μπορεί να αποδείξει ότι είναι όντως απαραίτητη η συλλογή/επεξεργασία δεδομένων και βεβαίως αυτή να γίνει με τρόπο που καλύπτει τις υπόλοιπες προϋποθέσεις του νόμου. Ποιες είναι όμως αυτές οι προϋποθέσεις και τι ακριβώς κερδίζουμε με την εφαρμογή του ΓΚΠΔ; Ας δούμε τα βασικά σημεία: Συναίνεση Επιβάλλεται να υπάρχει σαφής και αποδείξιμη συναίνεση. Παλιότερες (κακές) πρακτικές, όπως η γνωστή ένδειξη «αν συνεχίσετε την περιήγηση, δέχεστε…» πλέον δεν είναι αποδεκτές. Παράδειγμα σαφούς συναίνεσης σε μια ιστοσελίδα είναι η ύπαρξη ενός πλαισίου ελέγχου (checkbox), το οποίο όμως δεν επιτρέπεται να είναι προεπιλεγμένο «για ευκολία». Ο επισκέπτης θα το επιλέξει εάν το επιθυμεί και παράλληλα πρέπει να έχει τη δυνατότητα να αποσύρει τη συναίνεσή του ανά πάσα στιγμή. Επίσης, αν η ιστοσελίδα χρησιμοποιεί μεθόδους καταγραφής των επισκεπτών και γενικότερα ό,τι περιλαμβάνει ο όρος «tracking», πέραν του ότι αυτές θα πρέπει να αναφέρονται αναλυτικά, δεν επιτρέπεται να φορτώνουν αυτόματα αν πρώτα δε συναινέσει ο επισκέπτης. Προσέξτε το ιδιαίτερα αυτό γιατί πολλές σελίδες δεν το εφαρμόζουν ακόμα και σήμερα. Δικαίωμα πρόσβασης στα δεδομένα Ο ενδιαφερόμενος μπορεί να ζητήσει και πρέπει να λάβει ένα πλήρες αντίγραφο με τα προσωπικά δεδομένα του που διατηρεί κάποια ιστοσελίδα, υπηρεσία κλπ. Η διαδικασία αυτή δε μπορεί να έχει κάποιο κόστος για τον ίδιο (ναι, έχουν προβλέψει και για τέτοια ύπουλα κόλπα) και θα πρέπει να περιλαμβάνει αναφορά στους τρόπους με τους οποίους γίνεται η επεξεργασία αυτών των δεδομένων. Επιπλέον, πρέπει να είναι δυνατή η διόρθωση των δεδομένων. Φορητότητα των δεδομένων Ως συνέπεια του παραπάνω δικαιώματος προκύπτει η δυνατότητα να πάρει κάποιος τα δεδομένα του και να τα χρησιμοποιήσει οπουδήποτε αλλού επιθυμεί. Αν λόγου χάρη μια εταιρεία διατηρεί προσωπικά δεδομένα για κάποιον πελάτη, δε δύναται να τον εμποδίσει από τη χρήση τους σε κάποια άλλη εταιρεία. Δικαίωμα στη λήθη Ως ιδέα αυτό προϋπήρχε και πλέον ενισχύεται. Πρόκειται φυσικά για το δικαίωμα που έχει ο ενδιαφερόμενος να αιτηθεί την πλήρη διαγραφή των προσωπικών του δεδομένων από λίστες, καταλόγους, βάσεις δεδομένων και οπουδήποτε αλλού τυχόν υπάρχουν. Προστασία των δεδομένων Θα τη συναντήσετε και με τη φράση «privacy by design» και αναφέρεται στην υποχρέωση που έχει οποιοσδήποτε συλλέγει και επεξεργάζεται προσωπικά δεδομένα να σχεδιάσει το σύστημα που θα την πραγματοποιεί ώστε αυτό να ικανοποιεί κάποιες απαιτήσεις περί ασφάλειας. Όλο αυτό θα πρέπει να γίνει πριν τη συλλογή/επεξεργασία των δεδομένων και όχι κατόπιν εορτής. Έγκαιρη ενημέρωση παραβίασης Σε περίπτωση που εντοπιστεί παραβίαση σε κάποιο σύστημα όπου βρίσκονται προσωπικά δεδομένα, επιβάλλεται να υπάρξει ενημέρωση προς τους ενδιαφερόμενους σε διάστημα που δε θα ξεπερνάει τις 72 ώρες. Τονίζουμε ότι, για τον ΓΚΠΔ, παραβίαση θεωρείται όχι μόνο η έξωθεν επέμβαση αλλά και η ακούσια αλλοίωση ή διαγραφή δεδομένων από το σύστημα που τα φιλοξενεί ή το χειριστή του. Υπεύθυνος προστασίας δεδομένων Αυτή η υποχρέωση αφορά συγκεκριμένους τομείς, όπως είναι οι δημόσιες αρχές και οι οργανισμοί/εταιρείες/υπηρεσίες όπου γίνεται συλλογή και επεξεργασία δεδομένων σε μεγάλη κλίμακα. Εκεί λοιπόν θα πρέπει να οριστεί ένα άτομο που θα είναι επιφορτισμένο με την προστασία των προσωπικών δεδομένων. Όλα τα παραπάνω καλύπτονται από την «αρχή της διαφάνειας», η οποία ορίζει ότι θα πρέπει να αναφέρονται με σαφή τρόπο και κατανοητή γλώσσα (δηλαδή όχι «νομικίστικα») ο λόγος για τον οποίο ζητείται η συναίνεση, ο τρόπος με τον οποίο θα γίνει η συλλογή και η επεξεργασία των δεδομένων αλλά και τα δικαιώματα που έχουν οι ενδιαφερόμενοι. Αυτά είναι τα βασικά που αφορούν τα «υποκείμενα» (επισκέπτες, χρήστες, πελάτες κλπ.) και τους υπεύθυνους. Ο νόμος φυσικά περιλαμβάνει και υποχρεώσεις που έχουν τα κράτη-μέλη, όπως είναι η σύσταση ανεξάρτητης δημόσιας αρχής που θα εποπτεύει την εφαρμογή του. Μια ακόμα σημαντική παράμετρος είναι το γεγονός ότι, αν και ευρωπαϊκός, ο νόμος αυτός δεν έχει εφαρμογή μόνο εντός της Ε.Ε. Ασχέτως της χώρας όπου εδρεύει η εκάστοτε εταιρεία (υπηρεσία, οργανισμός κλπ.), αν αυτή συλλέγει και επεξεργάζεται προσωπικά δεδομένα Ευρωπαίων πολιτών, είναι υποχρεωμένη μέσω των διακρατικών συμφωνιών να εφαρμόσει το νόμο και βεβαίως θα υποστεί την ανάλογη τιμωρία αν δεν το κάνει. Να σημειώσουμε εδώ ότι ο νόμος αφήνει κάποια λογικά περιθώρια μη συμμόρφωσης. Αν π.χ. ένας σχολιαστής σε μια ιστοσελίδα απειλήσει άμεσα τη ζωή κάποιου ή αναφέρει παράνομη ενέργεια, δεν είναι προφανώς υποχρεωτική η διαγραφή των δεδομένων του αν το ζητήσει, γιατί αυτή θα απέκρυπτε τα αποδεικτικά στοιχεία της ενοχής του. Η αλήθεια είναι ότι, παρότι δε μας ήρθε ξαφνικά αλλά είχε αρχίσει να συντάσσεται από το 2016, ο ΓΚΠΔ προκάλεσε σύγχυση. Όχι λόγω πολυπλοκότητας ή παράλογων απαιτήσεων αλλά περισσότερο γιατί, αν και ζητάει τα αυτονόητα, πολλές πλευρές είτε καταπατούσαν πλήρως τα δικαιώματα που έχουμε επί των προσωπικών μας δεδομένων είτε απλά αδιαφορούσαν/είχαν άγνοια και ουδέποτε φρόντισαν ώστε να υπάρχει η στοιχειώδης υποδομή. Για του λόγου το αληθές, ένα φαινόμενο που παρατηρήθηκε από την ημέρα που άρχισε η εφαρμογή του νόμου ήταν το ότι αρκετές ιστοσελίδες στην άλλη πλευρά του Ατλαντικού απέκλεισαν την πρόσβαση από χώρες της Ε.Ε. Αυτό θα πει εκτίμηση προς τους επισκέπτες και σεβασμός στα δικαιώματά τους. Πληροφορίες Μπέρδεμα προέκυψε επίσης με τα cookies των ιστοσελίδων. Κι αυτό λόγω άγνοιας. Στην πραγματικότητα ο ΓΚΠΔ δεν ασχολείται ιδιαίτερα με αυτά και περιέχει απλά μια αναφορά λίγων σειρών. Τα cookies αλλά και άλλοι τομείς στους οποίους δεν έχει εφαρμογή ο ΓΚΠΔ καλύπτονται από έναν άλλο νόμο, που ονομάζεται «Κανονισμός για την Ιδιωτική Ζωή και τις Ηλεκτρονικές Επικοινωνίες» (ePrivacy). Θα αντικαταστήσει και αυτός μια προηγούμενη οδηγία, έχει ήδη κατατεθεί ως πρόταση και αναμένεται να ψηφιστεί στο προσεχές μέλλον. Αν και το διάστημα από την ημερομηνία εφαρμογής του ΓΚΠΔ μέχρι σήμερα είναι πολύ μικρό και υπάρχουν ακόμα πολλοί που δεν έχουν συμμορφωθεί πλήρως, έχουμε τα πρώτα στοιχεία και τα αποτελέσματα είναι ενθαρρυντικά. Σύμφωνα με μια σχετική έρευνα που έγινε από το Reuters Institute for the Study of Journalism του Πανεπιστημίου της Οξφόρδης και επικεντρώθηκε σε ιστοσελίδες ενημερωτικού περιεχομένου, παρατηρήθηκε μείωση στον αριθμό των cookies τρίτων μερών και την ενσωμάτωση στοιχείων από κοινωνικά δίκτυα που περιείχαν αυτές οι ιστοσελίδες (δύο γνωστές μέθοδοι καταγραφής δεδομένων που ταυτόχρονα δεν είναι άμεσα ελέγξιμες από την ιστοσελίδα που τις φιλοξενεί), με ποσοστά που ξεπερνούν το 10% σε ορισμένες περιπτώσεις. Μείωση σημειώθηκε επίσης και στο διαφημιστικό περιεχόμενο των ιστοσελίδων αυτών. Καθόλου άσχημα θα λέγαμε. Το πλήρες κείμενο του ΓΚΠΔ Βέβαια, οι κατεξοχήν υπεύθυνοι για την προστασία των προσωπικών μας δεδομένων είμαστε εμείς οι ίδιοι. Αν αδιαφορούμε ή παραιτούμαστε, δεν υπάρχει τίποτα που μπορεί να μας βοηθήσει. Εσείς λοιπόν τι κάνετε για τα δεδομένα σας;


Από τις 25 του περασμένου Μαΐου μπήκε στη ζωή μας ένας πολύ σημαντικός νόμος που αφορά την προστασία των προσωπικών μας δεδομένων. Και ύστερα ήρθε το χάος. Παρακάτω θα εξηγήσουμε με απλά λόγια τις νέες απαιτήσεις και το πώς προστατεύονται τα δεδομένα μας.

Ο νόμος αυτός φέρει την ονομασία «General Data Protection Regulation» ή «Γενικός Κανονισμός για την Προστασία Δεδομένων» επί το ελληνικότερον και θα τον δείτε να αναφέρεται συχνά με το αρτικόλεξο «GDPR» ή «ΓΚΠΔ». Αντικατέστησε, δε, την προηγούμενη σχετική οδηγία 95/46/ΕΚ.

Εδώ έχουμε την πρώτη σημαντική διαφορά: στο ευρωπαϊκό νομικό πλαίσιο, μια οδηγία θέτει κάποιο στόχο και έχει πιο «χαλαρό» χαρακτήρα, ενώ ο τρόπος εφαρμογής της αφήνεται στην κρίση του κάθε κράτους-μέλους της Ευρωπαϊκής Ένωσης. Αντίθετα, ένας κανονισμός έχει δεσμευτικό χαρακτήρα για όλα τα κράτη-μέλη, η εφαρμογή του είναι υποχρεωτική με συγκεκριμένο τρόπο και βεβαίως υπερβαίνει τις εθνικές νομοθεσίες.

Όπως είπαμε, ο ΓΚΠΔ δημιουργήθηκε για να ενισχύσει την προστασία των προσωπικών μας δεδομένων και επιβάλλει μεγαλύτερη διαφάνεια στις μεθόδους με τις οποίες γίνεται η συλλογή και η επεξεργασία των δεδομένων αυτών.

Δε σκοπεύει να δυσκολέψει τη ζωή του ερασιτέχνη κατόχου ιστοσελίδας ή blog και στην πραγματικότητα δεν αφορά ιδιαίτερα εκείνον. Φυσικά, είναι υποχρεωτική η εφαρμογή του από οποιονδήποτε συλλέγει και επεξεργάζεται προσωπικά δεδομένα, εντούτοις το βάρος πέφτει σε εταιρείες, οργανισμούς κλπ. Ειδικότερα, αν λάβουμε υπόψη τα μεγάλα πρόστιμα που επιφέρει η μη συμμόρφωση, συμπεραίνουμε ότι λειτουργεί ως αντίμετρο στην ανεξέλεγκτη συλλογή, επεξεργασία ή ακόμα και το εμπόριο δεδομένων που λίγο-πολύ όλοι μας γνωρίζουμε πώς γίνεται και από ποιους.


Πληροφορίες

Τα σχετικά πρόστιμα χωρίζονται σε δύο κατηγορίες: για τις σοβαρές παραβάσεις είναι 20 εκατομμύρια ευρώ ή μέχρι 4% των ετήσιων εσόδων (μιας εταιρείας κτλ.), ενώ για λιγότερο σοβαρές παραβάσεις είναι 10 εκατομμύρια ευρώ ή μέχρι 2% των ετήσιων εσόδων. Και στις δύο περιπτώσεις υπερισχύει το ποσό που είναι μεγαλύτερο.

Πριν προχωρήσουμε, θα αναφερθούμε στις δύο κατηγορίες όπου εμπίπτουν τα προσωπικά δεδομένα σύμφωνα με τον ΓΚΠΔ.

Η πρώτη κατηγορία είναι τα «προσωπικά δεδομένα» και περιλαμβάνει οποιαδήποτε πληροφορία σχετίζεται με ένα ταυτοποιήσιμο ή ταυτοποιημένο φυσικό πρόσωπο. Ως προσωπικά δεδομένα λογίζονται το ονοματεπώνυμο, η διεύθυνση IP, ένας τηλεφωνικός αριθμός, η ηλεκτρονική διεύθυνση κ.ά. Πιο απλά, προσωπικό δεδομένο είναι κάθε πληροφορία που συμβάλλει στον προσδιορισμό ενός προσώπου, ακόμα και αν αυτή δε μπορεί να οδηγήσει σε άμεση και πλήρη ταυτοποίηση.

Η δεύτερη κατηγορία είναι τα «ευαίσθητα προσωπικά δεδομένα», μεταξύ των οποίων συγκαταλέγονται (ενδεικτικά) φυλετικά ή εθνοτικά χαρακτηριστικά, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις και γενετικά δεδομένα.

Ο ΓΚΠΔ δεν απαγορεύει τη συλλογή και την επεξεργασία καμίας από τις παραπάνω κατηγορίες δεδομένων, θέτει όμως σαφή και αυστηρά κριτήρια. Για παράδειγμα, επιτρέπεται η συλλογή και η επεξεργασία προσωπικών δεδομένων εάν αυτό είναι απαραίτητο για τη συμμόρφωση με κάποια νομική υποχρέωση. Αντίστοιχα, επιτρέπεται η συλλογή και η επεξεργασία ευαίσθητων προσωπικών δεδομένων ενός ατόμου όταν αυτή αφορά περίπτωση όπου το ίδιο το άτομο είναι φυσικά ή νομικά μη ικανό να δώσει τη συγκατάθεσή του (λ.χ. ένας ασθενής).

Σημαντική διαφορά και εδώ: το ενδιαφερόμενο μέρος πρέπει να μπορεί να αποδείξει ότι είναι όντως απαραίτητη η συλλογή/επεξεργασία δεδομένων και βεβαίως αυτή να γίνει με τρόπο που καλύπτει τις υπόλοιπες προϋποθέσεις του νόμου.



Ποιες είναι όμως αυτές οι προϋποθέσεις και τι ακριβώς κερδίζουμε με την εφαρμογή του ΓΚΠΔ; Ας δούμε τα βασικά σημεία:
Συναίνεση

Επιβάλλεται να υπάρχει σαφής και αποδείξιμη συναίνεση. Παλιότερες (κακές) πρακτικές, όπως η γνωστή ένδειξη «αν συνεχίσετε την περιήγηση, δέχεστε…» πλέον δεν είναι αποδεκτές. Παράδειγμα σαφούς συναίνεσης σε μια ιστοσελίδα είναι η ύπαρξη ενός πλαισίου ελέγχου (checkbox), το οποίο όμως δεν επιτρέπεται να είναι προεπιλεγμένο «για ευκολία». Ο επισκέπτης θα το επιλέξει εάν το επιθυμεί και παράλληλα πρέπει να έχει τη δυνατότητα να αποσύρει τη συναίνεσή του ανά πάσα στιγμή.

Επίσης, αν η ιστοσελίδα χρησιμοποιεί μεθόδους καταγραφής των επισκεπτών και γενικότερα ό,τι περιλαμβάνει ο όρος «tracking», πέραν του ότι αυτές θα πρέπει να αναφέρονται αναλυτικά, δεν επιτρέπεται να φορτώνουν αυτόματα αν πρώτα δε συναινέσει ο επισκέπτης. Προσέξτε το ιδιαίτερα αυτό γιατί πολλές σελίδες δεν το εφαρμόζουν ακόμα και σήμερα.
Δικαίωμα πρόσβασης στα δεδομένα

Ο ενδιαφερόμενος μπορεί να ζητήσει και πρέπει να λάβει ένα πλήρες αντίγραφο με τα προσωπικά δεδομένα του που διατηρεί κάποια ιστοσελίδα, υπηρεσία κλπ. Η διαδικασία αυτή δε μπορεί να έχει κάποιο κόστος για τον ίδιο (ναι, έχουν προβλέψει και για τέτοια ύπουλα κόλπα) και θα πρέπει να περιλαμβάνει αναφορά στους τρόπους με τους οποίους γίνεται η επεξεργασία αυτών των δεδομένων. Επιπλέον, πρέπει να είναι δυνατή η διόρθωση των δεδομένων.
Φορητότητα των δεδομένων

Ως συνέπεια του παραπάνω δικαιώματος προκύπτει η δυνατότητα να πάρει κάποιος τα δεδομένα του και να τα χρησιμοποιήσει οπουδήποτε αλλού επιθυμεί. Αν λόγου χάρη μια εταιρεία διατηρεί προσωπικά δεδομένα για κάποιον πελάτη, δε δύναται να τον εμποδίσει από τη χρήση τους σε κάποια άλλη εταιρεία.
Δικαίωμα στη λήθη

Ως ιδέα αυτό προϋπήρχε και πλέον ενισχύεται. Πρόκειται φυσικά για το δικαίωμα που έχει ο ενδιαφερόμενος να αιτηθεί την πλήρη διαγραφή των προσωπικών του δεδομένων από λίστες, καταλόγους, βάσεις δεδομένων και οπουδήποτε αλλού τυχόν υπάρχουν.
Προστασία των δεδομένων

Θα τη συναντήσετε και με τη φράση «privacy by design» και αναφέρεται στην υποχρέωση που έχει οποιοσδήποτε συλλέγει και επεξεργάζεται προσωπικά δεδομένα να σχεδιάσει το σύστημα που θα την πραγματοποιεί ώστε αυτό να ικανοποιεί κάποιες απαιτήσεις περί ασφάλειας. Όλο αυτό θα πρέπει να γίνει πριν τη συλλογή/επεξεργασία των δεδομένων και όχι κατόπιν εορτής.
Έγκαιρη ενημέρωση παραβίασης

Σε περίπτωση που εντοπιστεί παραβίαση σε κάποιο σύστημα όπου βρίσκονται προσωπικά δεδομένα, επιβάλλεται να υπάρξει ενημέρωση προς τους ενδιαφερόμενους σε διάστημα που δε θα ξεπερνάει τις 72 ώρες. Τονίζουμε ότι, για τον ΓΚΠΔ, παραβίαση θεωρείται όχι μόνο η έξωθεν επέμβαση αλλά και η ακούσια αλλοίωση ή διαγραφή δεδομένων από το σύστημα που τα φιλοξενεί ή το χειριστή του.
Υπεύθυνος προστασίας δεδομένων

Αυτή η υποχρέωση αφορά συγκεκριμένους τομείς, όπως είναι οι δημόσιες αρχές και οι οργανισμοί/εταιρείες/υπηρεσίες όπου γίνεται συλλογή και επεξεργασία δεδομένων σε μεγάλη κλίμακα. Εκεί λοιπόν θα πρέπει να οριστεί ένα άτομο που θα είναι επιφορτισμένο με την προστασία των προσωπικών δεδομένων.

Όλα τα παραπάνω καλύπτονται από την «αρχή της διαφάνειας», η οποία ορίζει ότι θα πρέπει να αναφέρονται με σαφή τρόπο και κατανοητή γλώσσα (δηλαδή όχι «νομικίστικα») ο λόγος για τον οποίο ζητείται η συναίνεση, ο τρόπος με τον οποίο θα γίνει η συλλογή και η επεξεργασία των δεδομένων αλλά και τα δικαιώματα που έχουν οι ενδιαφερόμενοι.

Αυτά είναι τα βασικά που αφορούν τα «υποκείμενα» (επισκέπτες, χρήστες, πελάτες κλπ.) και τους υπεύθυνους. Ο νόμος φυσικά περιλαμβάνει και υποχρεώσεις που έχουν τα κράτη-μέλη, όπως είναι η σύσταση ανεξάρτητης δημόσιας αρχής που θα εποπτεύει την εφαρμογή του.

Μια ακόμα σημαντική παράμετρος είναι το γεγονός ότι, αν και ευρωπαϊκός, ο νόμος αυτός δεν έχει εφαρμογή μόνο εντός της Ε.Ε. Ασχέτως της χώρας όπου εδρεύει η εκάστοτε εταιρεία (υπηρεσία, οργανισμός κλπ.), αν αυτή συλλέγει και επεξεργάζεται προσωπικά δεδομένα Ευρωπαίων πολιτών, είναι υποχρεωμένη μέσω των διακρατικών συμφωνιών να εφαρμόσει το νόμο και βεβαίως θα υποστεί την ανάλογη τιμωρία αν δεν το κάνει.

Να σημειώσουμε εδώ ότι ο νόμος αφήνει κάποια λογικά περιθώρια μη συμμόρφωσης. Αν π.χ. ένας σχολιαστής σε μια ιστοσελίδα απειλήσει άμεσα τη ζωή κάποιου ή αναφέρει παράνομη ενέργεια, δεν είναι προφανώς υποχρεωτική η διαγραφή των δεδομένων του αν το ζητήσει, γιατί αυτή θα απέκρυπτε τα αποδεικτικά στοιχεία της ενοχής του.

Η αλήθεια είναι ότι, παρότι δε μας ήρθε ξαφνικά αλλά είχε αρχίσει να συντάσσεται από το 2016, ο ΓΚΠΔ προκάλεσε σύγχυση. Όχι λόγω πολυπλοκότητας ή παράλογων απαιτήσεων αλλά περισσότερο γιατί, αν και ζητάει τα αυτονόητα, πολλές πλευρές είτε καταπατούσαν πλήρως τα δικαιώματα που έχουμε επί των προσωπικών μας δεδομένων είτε απλά αδιαφορούσαν/είχαν άγνοια και ουδέποτε φρόντισαν ώστε να υπάρχει η στοιχειώδης υποδομή. Για του λόγου το αληθές, ένα φαινόμενο που παρατηρήθηκε από την ημέρα που άρχισε η εφαρμογή του νόμου ήταν το ότι αρκετές ιστοσελίδες στην άλλη πλευρά του Ατλαντικού απέκλεισαν την πρόσβαση από χώρες της Ε.Ε. Αυτό θα πει εκτίμηση προς τους επισκέπτες και σεβασμός στα δικαιώματά τους.


Πληροφορίες

Μπέρδεμα προέκυψε επίσης με τα cookies των ιστοσελίδων. Κι αυτό λόγω άγνοιας. Στην πραγματικότητα ο ΓΚΠΔ δεν ασχολείται ιδιαίτερα με αυτά και περιέχει απλά μια αναφορά λίγων σειρών. Τα cookies αλλά και άλλοι τομείς στους οποίους δεν έχει εφαρμογή ο ΓΚΠΔ καλύπτονται από έναν άλλο νόμο, που ονομάζεται «Κανονισμός για την Ιδιωτική Ζωή και τις Ηλεκτρονικές Επικοινωνίες» (ePrivacy). Θα αντικαταστήσει και αυτός μια προηγούμενη οδηγία, έχει ήδη κατατεθεί ως πρόταση και αναμένεται να ψηφιστεί στο προσεχές μέλλον.

Αν και το διάστημα από την ημερομηνία εφαρμογής του ΓΚΠΔ μέχρι σήμερα είναι πολύ μικρό και υπάρχουν ακόμα πολλοί που δεν έχουν συμμορφωθεί πλήρως, έχουμε τα πρώτα στοιχεία και τα αποτελέσματα είναι ενθαρρυντικά. Σύμφωνα με μια σχετική έρευνα που έγινε από το Reuters Institute for the Study of Journalism του Πανεπιστημίου της Οξφόρδης και επικεντρώθηκε σε ιστοσελίδες ενημερωτικού περιεχομένου, παρατηρήθηκε μείωση στον αριθμό των cookies τρίτων μερών και την ενσωμάτωση στοιχείων από κοινωνικά δίκτυα που περιείχαν αυτές οι ιστοσελίδες (δύο γνωστές μέθοδοι καταγραφής δεδομένων που ταυτόχρονα δεν είναι άμεσα ελέγξιμες από την ιστοσελίδα που τις φιλοξενεί), με ποσοστά που ξεπερνούν το 10% σε ορισμένες περιπτώσεις. Μείωση σημειώθηκε επίσης και στο διαφημιστικό περιεχόμενο των ιστοσελίδων αυτών. Καθόλου άσχημα θα λέγαμε.

Το πλήρες κείμενο του ΓΚΠΔ

Βέβαια, οι κατεξοχήν υπεύθυνοι για την προστασία των προσωπικών μας δεδομένων είμαστε εμείς οι ίδιοι. Αν αδιαφορούμε ή παραιτούμαστε, δεν υπάρχει τίποτα που μπορεί να μας βοηθήσει. Εσείς λοιπόν τι κάνετε για τα δεδομένα σας;

Σχόλια