Ζούμε σε μια εποχή όπου τα προσωπικά μας δεδομένα — από το όνομά μας και τη διεύθυνση κατοικίας, μέχρι τις online αγορές, τις αναζητήσεις στο διαδίκτυο και τα ιατρικά μας αρχεία — συλλέγονται, αποθηκεύονται και διακινούνται διαρκώς. Μέσα σε αυτό το ψηφιακό περιβάλλον, ο Γενικός Κανονισμός για την Προστασία Δεδομένων (General Data Protection Regulation - GDPR) αποτελεί το βασικό νομικό πλαίσιο που προστατεύει τα θεμελιώδη δικαιώματα των πολιτών της Ε.Ε. στην ιδιωτικότητα και στην προστασία των προσωπικών τους δεδομένων.
Ο Κανονισμός (ΕΕ) 2016/679, γνωστός ως GDPR, τέθηκε σε εφαρμογή στις 25 Μαΐου 2018 και έχει άμεση ισχύ σε όλα τα κράτη μέλη της Ε.Ε.. Πρόκειται για ένα ενιαίο νομικό πλαίσιο που ρυθμίζει τον τρόπο με τον οποίο οργανισμοί (δημόσιοι και ιδιωτικοί) συλλέγουν, επεξεργάζονται, αποθηκεύουν και διαχειρίζονται προσωπικά δεδομένα φυσικών προσώπων.
Το GDPR αντικατέστησε την Οδηγία 95/46/ΕΚ και στοχεύει αρχικά στην προστασία των δικαιωμάτων και των ελευθεριών των πολιτών. Επίσης στην ενίσχυση της διαφάνειας∙και τέλος στην υποχρέωση λογοδοσίας των υπεύθυνων επεξεργασίας δεδομένων.
Σύμφωνα με το άρθρο 4 παρ. 1 του Κανονισμού, προσωπικό δεδομένο είναι κάθε πληροφορία που αφορά ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, όπως:
· Ονοματεπώνυμο, ΑΦΜ, ΑΜΚΑ, αριθμός ταυτότητας
· Ηλεκτρονική διεύθυνση (email), διεύθυνση IP
· Ιατρικά δεδομένα, βιομετρικά στοιχεία
· Τοποθεσία, συμπεριφορικά μοτίβα στο διαδίκτυο
Η έννοια των προσωπικών δεδομένων είναι ευρεία και περιλαμβάνουν ακόμη και τα έμμεσα αναγνωρίσιμα στοιχεία, εφόσον οδηγούν στον εντοπισμό ενός προσώπου.
Ποια δικαιώματα έχει ο πολίτης βάσει του GDPR;
Ο Κανονισμός ενισχύει ουσιαστικά τα δικαιώματα των φυσικών προσώπων ως υποκειμένων των δεδομένων:
1. Δικαίωμα ενημέρωσης (άρθρα 12-14)
Ο πολίτης έχει δικαίωμα να γνωρίζει ποιος επεξεργάζεται τα δεδομένα του, για ποιο σκοπό και για πόσο διάστημα.
2. Δικαίωμα πρόσβασης (άρθρο 15)
Ο πολίτης μπορεί να ζητήσει αντίγραφο των δεδομένων που τον αφορούν, καθώς και πληροφορίες για την επεξεργασία τους.
3. Δικαίωμα διόρθωσης (άρθρο 16)
Εάν κάποιο προσωπικό δεδομένο είναι ανακριβές ή ελλιπές, το υποκείμενο έχει δικαίωμα να ζητήσει τη διόρθωσή του.
4. Δικαίωμα στη λήθη (άρθρο 17)
Ο πολίτης μπορεί να ζητήσει τη διαγραφή των δεδομένων του, υπό προϋποθέσεις (π.χ. όταν τα δεδομένα δεν είναι πλέον απαραίτητα).
5. Δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18)
Ο πολίτης μπορεί να ζητήσει να «παγώσει» προσωρινά η επεξεργασία των δεδομένων του.
6. Δικαίωμα εναντίωσης (άρθρο 21)
Ο πολίτης έχει δικαίωμα να αντιταχθεί σε συγκεκριμένες μορφές επεξεργασίας, όπως η άμεση εμπορική προώθηση.
7. Δικαίωμα στη φορητότητα των δεδομένων (άρθρο 20)
Ο πολίτης μπορεί να λάβει τα δεδομένα του σε δομημένο, μηχαναγνώσιμο τύπο, και να τα διαβιβάσει σε άλλον φορέα.
Πώς προστατεύεται ο πολίτης
Ο GDPR επιβάλλει υποχρεώσεις σε όλους τους οργανισμούς που επεξεργάζονται προσωπικά δεδομένα, όπως: Εφαρμογή μέτρων ασφαλείας (τεχνικά και οργανωτικά). Έπειτα, Ορισμός Υπευθύνου Προστασίας Δεδομένων (DPO), όπου απαιτείται Καταγραφή περιστατικών παραβίασης δεδομένων και ενημέρωση των αρχών/πολιτών τέλος Εκτίμηση Αντικτύπου στην Προστασία Δεδομένων (DPIA) για υψηλού κινδύνου επεξεργασίες.
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) στην Ελλάδα είναι η αρμόδια εποπτική αρχή για την εφαρμογή του GDPR και για την υποβολή καταγγελιών από τους πολίτες.
Ποιες είναι οι κυρώσεις;
Η παραβίαση του GDPR μπορεί να επιφέρει: πρώτα από Διοικητικά πρόστιμα έως και 20 εκατομμύρια ευρώ ή έως το 4% του παγκόσμιου κύκλου εργασιών (όποιο είναι μεγαλύτερο) , αλλά και Αστικές ή ποινικές ευθύνες, ανάλογα με την εθνική νομοθεσία
Οι κυρώσεις αποσκοπούν όχι μόνο στην τιμωρία, αλλά και στην πρόληψη περαιτέρω παραβιάσεων και στην ενίσχυση της εμπιστοσύνης των πολιτών.
Σχέση GDPR με την Οδηγία NIS2 και την κυβερνοασφάλεια
Ο GDPR εστιάζει στην προστασία προσωπικών δεδομένων, ενώ η Οδηγία NIS2 (EU 2022/2555) αφορά την ασφάλεια των δικτύων και πληροφοριακών συστημάτων κρίσιμων υποδομών (π.χ. υγεία, ενέργεια, μεταφορές). Όμως οι δύο ρυθμίσεις συμπληρώνουν η μία την άλλη. Η Ευρωπαϊκή Υπηρεσία Κυβερνοασφάλειας (ENISA) επισημαίνει ότι η ασφάλεια των δεδομένων είναι απαραίτητη προϋπόθεση για την προστασία της ιδιωτικότητας (ENISA, 2023).
Συμπέρασμα!
Ο GDPR:
· Ενισχύει την προστασία της ιδιωτικής ζωής
· Καθιστά τις εταιρείες υπόλογες για τη διαχείριση δεδομένων
· Προσφέρει εργαλεία διεκδίκησης δικαιωμάτων
· Ενθαρρύνει την ενημέρωση και τη διαφάνεια
Αποτελεί μια πολιτική και νομική θωράκιση απέναντι σε κακόβουλες ή αδιάφανες πρακτικές, θέτοντας στο επίκεντρο τον άνθρωπο ως υποκείμενο και όχι ως προϊόν.
.
