Ο νέος Κανονισμός της ΕΕ για την Προστασία Προσωπικών Δεδομένων (GDPR) θα τεθεί σε ισχύ στις 25 Μαΐου 2018 και αποτελεί τη σημαντικότερη αλλαγή στον τομέα των δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ.
Ο GDPR θα έχει στόχο την εναρμόνιση των νόμων περί προστασίας της ιδιωτικής ζωής σε ολόκληρη την Ευρώπη, την προστασία των προσωπικών δεδομένων των πολιτών της ΕΕ και την αναμόρφωση του τρόπου με τον οποίο οι εταιρείες που λειτουργούν στην ΕΕ επεξεργάζονται προσωπικά δεδομένα. Θα ισχύει όχι μόνο για εταιρείες που είναι εγκατεστημένες στην ΕΕ, αλλά και για επιχειρήσεις εκτός της ΕΕ, που προσφέρουν αγαθά ή υπηρεσίες στην ΕΕ. Επίσης, θα εφαρμόζεται σε όλες τις εταιρείες που επεξεργάζονται και κατέχουν προσωπικά δεδομένα υποκειμένων που διαμένουν στην ΕΕ, ανεξαρτήτως της έδρας της εταιρείας.
Βάσει του GDPR, οποιαδήποτε πληροφορία αφορά φυσικό πρόσωπο και η οποία μπορεί να χρησιμοποιηθεί για την άμεση ή έμμεση ταυτοποίηση του, θεωρείται προσωπικό δεδομένο. Η επεξεργασία τέτοιων δεδομένων απαγορεύεται με εξαίρεση τις περιπτώσεις που ορίζει το άρθρο 6 του Κανονισμού. Ο GDPR αναφέρεται επίσης σε μια «κλειστή» κατηγορία προσωπικών δεδομένων τα οποία αντιστοιχούν στα «ευαίσθητα» δεδομένα του Ν. 2472/1997. Αυτά απαγορεύεται να συλλέγονται με εξαίρεση τα όσα αναφέρονται στο άρθρο 9 του Κανονισμού.
Οι εταιρείες που δεν συμμορφώνονται με τον GDPR, θα υφίστανται πρόστιμο έως 4% του παγκόσμιου ετήσιου κύκλου εργασιών τους ή πρόστιμο που αγγίζει τα 20 εκατομμύρια ευρώ. Σημειώνεται ότι αυτά τα πρόστιμα θα ισχύουν τόσο για τους υπεύθυνους επεξεργασίας όσο και για τους εκτελούντες την επεξεργασία.
Ως «υπεύθυνος επεξεργασίας» θεωρείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. «εκτελών την επεξεργασία» θεωρείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων (“DPO”). Ο DPO μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.
Πλέον για τη συλλογή και επεξεργασία πάσης φύσεως δεδομένων απαιτείται συγκατάθεση του υποκειμένου. Η αίτηση συναίνεσης προς το υποκείμενο πρέπει να αναφέρει ξεκάθαρα ότι δίδεται με σκοπό την επεξεργασία δεδομένων. Τέλος, ρητή συγκατάθεση θα απαιτείται μόνο για την επεξεργασία «ευαίσθητων» προσωπικών δεδομένων (κλειστή κατηγορία προσωπικών δεδομένων). Για τα προσωπικά δεδομένα, αρκεί η απλή συγκατάθεση.
Ευρωπαϊκή Ένωση |
Συνθήκη για την Ευρωπαϊκή Ένωση (Άρθρο 6) Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (Άρθρο 8) |
Για την προστασία των φυσικών προσώπων έναντι της επεξεργασία δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών |
|
Για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών. Βλ. κατωτέρω τροποποίηση της, δια της Οδηγίας 2009/136/ΕΚ |
|
Για τη διατήρηση δεδομένων που παράγονται ή υποβάλλονται σε επεξεργασία σε συνάρτηση με την παροχή διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ή δημοσίων δικτύων επικοινωνιών και για την τροποποίηση της οδηγίας 2002/58/ΕΚ |
|
Για τροποποίηση της οδηγίας 2002/22/ΕΚ για την καθολική υπηρεσία και τα δικαιώματα των χρηστών όσον αφορά δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών, της οδηγίας 2002/58/ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και του κανονισμού (ΕΚ) αριθ. 2006/2004 για τη συνεργασία μεταξύ των εθνικών αρχών που είναι αρμόδιες για την επιβολή της νομοθεσίας για την προστασία των καταναλωτών |
|
Για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) |
|
Για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου |
|
Σχετικά με τη χρήση των δεδομένων που περιέχονται στις καταστάσεις ονομάτων επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων |
|
Σχετικά με τα εφαρμοστέα μέτρα για την κοινοποίηση παραβιάσεων προσωπικών δεδομένων βάσει της οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες |