Τα τελευταία 24ωρα σίγουρα πολλοί από εμάς θα έχουν λάβει μηνύματα στο κινητό τους τηλέφωνο αλλά και στο email τους σχετικά με τον νέο Γενικό Κανονισμό για την Προστασία Δεδομένων, ο λεγόμενος GDPR, ο οποίος τίθεται σε ισχύ από την Ευρωπαϊκή Ένωση στις 25 Μαΐου του 2018 και αλλάζει πολλά από όσα γνωρίζαμε μέχρι σήμερα.
Εάν οι χρήστες δεν δηλώσουν εκ νέου ότι έχουν ενημερωθεί για τα δικαιώματά τους και επιθυμούν να λαμβάνουν ενημερωτικά email με προσφορές και διαφημίσεις, τότε θα πρέπει να σταματήσει η αποστολή τους.
Ο Νέος Ευρωπαϊκός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR) θα εφαρμοσθεί άμεσα στις 25 Μαΐου του 2018 σε όλα τα Κράτη Μέλη της ΕΕ (χωρίς να απαιτείται εσωτερική νομοθετική εναρμόνιση), αντικαθιστώντας τους υφιστάμενους νόμους για την προστασία των δεδομένων.
Αυτό σημαίνει ότι από την Παρασκευή με το GDPR κάθε επιχείρηση/οργανισμός που επεξεργάζεται προσωπικά δεδομένα Ευρωπαίων πολιτών θα πρέπει να είναι σε θέση να αποδείξει ότι έχει συμμορφωθεί πλήρως με τις επιταγές του νέου Κανονισμού, σε διαφορετική περίπτωση θα πρέπει να αναλάβει στο ακέραιο την ευθύνη που απορρέει τόσο από την μη τήρησή του, όσο και από την πλημμελή εφαρμογή του και φυσικά να υποβληθεί στα σοβαρότατα πρόστιμα που προβλέπονται.
Τι προβλέπει όμως ο Κανονισμός σχετικά με τα δικαιώματά μας για τα προσωπικά δεδομένα; Ας δούμε αναλυτικά:
Ενημέρωση με σαφήνεια και διαφάνεια από τον υπεύθυνο επεξεργασίας (ταυτότητα και στοιχεία υπεύθυνου επεξεργασίας, είδος δεδομένων, σκοπός επεξεργασίας, πιθανοί αποδέκτες των δεδομένων κ.λπ.).
Δυνατότητα πρόσβασης στα προσωπικά του δεδομένα, όταν αυτά υφίστανται επεξεργασία.
Δυνατότητα απαίτησης διόρθωσης ή συμπλήρωσης ελλιπών δεδομένων, από τον υπεύθυνο επεξεργασίας.
Αίτημα διαγραφής (λήθη) των προσωπικών του δεδομένων υπό προϋποθέσεις (ανάκληση συγκατάθεσης, παράνομη απόκτηση, απουσία επιτακτικών και νόμιμων λόγων επεξεργασίας κ.λπ.).
Δυνατότητα εναντίωσης στην επεξεργασία προσωπικών δεδομένων, εάν ο υπεύθυνος επεξεργασίας δεν καταδείξει επιτακτικούς λόγους για την επεξεργασία αυτή.
Οσοι λαμβάνουν και επεξεργάζονται προσωπικά δεδομένα έχουν υποχρέωση:
Να παίρνει τη συγκατάθεση του υποκειμένου των προσωπικών δεδομένων, όπου αυτή απαιτείται και να είναι σε θέση να αποδεικνύει τη συγκατάθεση αυτή αν του ζητηθεί.
Να μην προβαίνει σε επεξεργασία προσωπικών δεδομένων, ανηλίκων κάτω των 16 ετών, χωρίς προηγούμενη συγκατάθεση του γονέα. Ο υπεύθυνος επεξεργασίας, θα πρέπει να επαληθεύει τη συγκατάθεση αυτή, με κάθε μέσο που του προσφέρει η διαθέσιμη τεχνολογία. Τα κράτη μέλη μπορούν να θεσπίζουν μικρότερο ηλικιακό όριο, σε καμία περίπτωση όμως το όριο δε θα πρέπει να είναι μικρότερο από τα 13 έτη.
Nα μην επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό.
Πότε δεν θα εφαρμόζεται ο κανονισμός
Οι νέοι κανόνες δεν εφαρμόζονται σε δεδομένα που υποβάλλονται σε επεξεργασία από ένα άτομο για αυστηρά προσωπικούς λόγους ή για δραστηριότητες που διενεργούνται κατ' οίκον, εφόσον δεν συνδέονται με επαγγελματική ή εμπορική δραστηριότητα.
Δεν θα εφαρμόζονται αν π.χ. ένα άτομο χρησιμοποιεί το ιδιωτικό του βιβλίο διευθύνσεων για να προσκαλέσει φίλους μέσω ηλεκτρονικού μηνύματος σε μια γιορτή που διοργανώνει (ισχύει η εξαίρεση των οικιακών δραστηριοτήτων).
Ποια θεωρούνται δεδομένα προσωπικού χαρακτήρα
Τα δεδομένα προσωπικού χαρακτήρα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα.
Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα, αλλά τα οποία μπορούν να χρησιμοποιηθούν για την επαναταυτοποίηση ενός ατόμου, παραμένουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ.
Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα έτσι ώστε το άτομο να μην είναι ταυτοποιήσιμο, δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη.
Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Είναι τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία. Επίσης, δεν έχει σημασία ο τρόπος που αποθηκεύονται τα δεδομένα - σε ψηφιακή ή έντυπη μορφή.
Παραδείγματα δεδομένων προσωπικού χαρακτήρα
Το όνομα και επώνυμο, η διεύθυνση κατοικίας, ο αριθμός ταυτότητας, η προσωπική ηλεκτρονική διεύθυνση (e-mail), o αναγνωριστικός αριθμός τραπεζικής κάρτας, τα δεδομένα τοποθεσίας (π.χ. GPS σε κινητό τηλέφωνο), η διεύθυνση διαδικτυακού πρωτοκόλλου (IP) και τα δεδομένα υγείας που φυλάσσονται από νοσοκομείο ή γιατρό.
Παραδείγματα δεδομένων που δεν θεωρούνται προσωπικού χαρακτήρα, είναι ο αριθμός μητρώου εταιρείας, η εταιρική ηλεκτρονική διεύθυνση του τύπου «πληροφορίες@εταιρεία.com» και κάθε είδους ανώνυμα δεδομένα.
Οι αλλαγές στα προσωπικά δεδομένα και οι παγκόσμιες επιπτώσεις
Ο νέος ευρωπαϊκός Γενικός Κανονισμός για την Προστασία Προσωπικών Δεδομένων (GDPR, RGPD) θα κάνει αισθητές τις συνέπειές του σ' όλον τον κόσμο, περιλαμβανομένων των ΗΠΑ και της Κίνας, αφού είναι υποχρεωμένες να τον εφαρμόσουν όλες οι επιχειρήσεις που χειρίζονται προσωπικά δεδομένα Ευρωπαίων.
Οι μεγάλες αμερικανές πλατφόρμες, όπως οι Facebook, Twitter και AirBnb, έχουν αρχίσει να ενημερώνουν τους ευρωπαίους χρήστες τους για τροποποιήσεις στους όρους χρήσης, ώστε να συμμορφωθούν προς την ευρωπαϊκή νομοθεσία.
Οι μεγάλες πλατφόρμες οφείλουν κυρίως να βεβαιωθούν ότι έχουν λάβει την «ελεύθερη, συγκεκριμένη, κατόπιν ενημέρωσης και αναμφισβήτητη» συγκατάθεση των χρηστών τους για τα προσωπικά τους δεδομένα.
Ο GDPR θα έχει συνέπειες στην ίδια την αρχιτεκτονική του διαδικτύου, καθώς θα περιορισθεί η πρόσβαση στη βάση δεδομένων του ICANN, του οργανισμού που δίνει τις διευθύνσεις στο Ίντερνετ, ώστε να ικανοποιηθούν οι ευρωπαϊκές απαιτήσεις.
Απροετοίμαστες οι μικρομεμεσαίες επιχειρήσεις
Απροετοίμαστες είναι οι ελληνικές μικρομεσαίες επιχειρήσεις για την εφαρμογή του νέου Κανονισμού GDPR ενώ και οι καταναλωτές από την πλευρά τους είναι ανήσυχοι σχετικά με τη διαχείριση των προσωπικών τους στοιχείων.
Αυτό προκύπτει από έρευνα που πραγματοποίησε η Γενική Συνομοσπονδία Επαγγελματιών Βιοτεχνών Εμπόρων Ελλάδας (ΓΣΕΒΕΕ) σε συνεργασία με το Σύνδεσμο Εταιρειών Κινητών Εφαρμογών Ελλάδος (ΣΕΚΕΕ) και την Kapa Research.
Ιατρικά δεδομένα ασθενών
Μπαίνει τέλος σε τηλεφωνικές απαντήσεις για τα αποτελέσματα ιατρικών εξετάσεων, αποτελέσματα εξετάσεων ασθενών που αποστέλλονται με email χωρίς να είναι κρυπτογραφημένα, ή παραλαμβάνονται από συγγενείς ασθενών χωρίς αυτοί να είναι εξουσιοδοτημένοι.
Σύμφωνα με τον Ιατρικό Σύλλογο Αθηνών ο ιατρός οφείλει:
Να τηρεί Αρχείο Επεξεργασίας για τα ευαίσθητα δεδομένα υγείας των ασθενών του.
Να διαθέτει έντυπο ενημέρωσης και να λαμβάνει συναίνεση των ασθενών του εάν πρόκειται να κάνει χρήση δεδομένων και για άλλους σκοπούς πέραν της τήρησης ιατρικού αρχείου: Εάν τα προσωπικά δεδομένα των ασθενών πρόκειται να χρησιμοποιηθούν και για άλλους σκοπούς (π.χ. αποστολή μηνύματος για υπενθύμιση επανελέγχου, τηλεφωνική κλήση για ραντεβού, χρήση στοιχείων για κλινική έρευνα, παροχή στοιχείων ασθενών σε τρίτους για άλλους σκοπούς), τότε ο ιατρός οφείλει:
α) να ενημερώσει με σαφήνεια τον ασθενή για την περαιτέρω χρήση των δεδομένων του και για το σκοπό αυτής και
β) να μην προχωρήσει στην περαιτέρω χρήση τους αν δεν λάβει τη συναίνεση του ασθενούς για κάθε σκοπό ξεχωριστά.
Να αναγνωρίζει και να σέβεται δικαιώματα των Ασθενών:
Ο ασθενής, αναφορικά με τα προσωπικά του δεδομένα, έχει τα εξής δικαιώματα
Δικαίωμα πρόσβασης στα δεδομένα του, δικαίωμα διόρθωσης των δεδομένων του, δικαίωμα διαγραφής των δεδομένων του, δικαίωμα περιορισμού της επεξεργασίας των δεδομένων του, δικαίωμα στη φορητότητα των δεδομένων του
Προσοχή: Εάν ο ασθενής ζητήσει διαγραφή των δεδομένων του κατά την περίοδο που ο ιατρός έχει νόμιμη υποχρέωση να τηρεί αρχείο (10ετία από την τελευταία επίσκεψη), ο ιατρός οφείλει να απαντήσει ότι δεν μπορεί να τα διαγράψει λόγω της νόμιμης υποχρέωσης διατήρησής τους στο αρχείο.
Όταν ένας ασθενής υποβάλλει ένα αίτημα ασκώντας κάποιο από τα παραπάνω δικαιώματα, ο ιατρός οφείλει να απαντήσει εντός 1 μηνός είτε ικανοποιώντας το δικαίωμα (π.χ. δίνοντας στον ασθενή αντίγραφο του ιατρικού φακέλου) είτε απορρίπτοντας αιτιολογημένα το αίτημα (π.χ. αρνούμενος αίτημα διαγραφής, λόγω του ότι ο νόμος υποχρεώνει τον ιατρό να το διατηρήσει για 10 χρόνια) είτε εξηγώντας τους λόγους καθυστέρησης. Σε περίπτωση καθυστέρησης οφείλει πάντως να απαντήσει θετικά ή αρνητικά εντός 3 μηνών από το αίτημα.
