Με σκοπό την ενημέρωση του κοινού για τον νέο Κανονισμό GDPR που πρέπει να εφαρμοστεί από τις επιχειρήσεις ως τις 25 Μαϊου, η Π.Ο.Φ.Ε.Ε. (Πανελλήνια Ομοσπονδία Φοροτεχνικών Ελεύθερων Επαγγελματιών) δημιούργησε έναν χρηστικό οδηγό για τα δικαιώματα και τις υποχρεώσεις που προκύπτουν και τίθενται σε ισχύ από τις 25 Μαΐου 2018. Ο οδηγός αυτός παρέχει στις επιχειρήσεις την δυνατότητα κατανόησης γιατί και πώς πρέπει να συμμορφωθούν σύμφωνα με τον νέο Κανονισμό καθώς ενημερώνει και τα φυσικά πρόσωπα για τα δικαιώματά τους σχετικά με τα δεδομένα που συλλέγουν οι εταιρίες, όπως προκύπτει από τον Κανονισμό.
Σε τι εφαρμόζεται ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ);
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ), ρυθμίζει την επεξεργασία από άτομο, εταιρεία ή οργανισμό των δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα στην ΕΕ.
Δεν υπάγεται σε αυτόν η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποθανόντων προσώπων ή νομικών προσώπων.
Οι κανόνες δεν εφαρμόζονται σε δεδομένα που υποβάλλονται σε επεξεργασία από ένα άτομο για αυστηρά προσωπικούς λόγους ή για δραστηριότητες που διενεργούνται κατ’ οίκον, υπό την προϋπόθεση ότι δεν συνδέονται με κάποια επαγγελματική ή εμπορική δραστηριότητα. Όταν ένα άτομο χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα εκτός της ιδιωτικής σφαίρας, παραδείγματος χάρη για κοινωνικοπολιτιστικές ή χρηματοοικονομικές δραστηριότητες, τότε το δίκαιο περί προστασίας δεδομένων πρέπει να τηρείται.
Παραδείγματα
Πότε εφαρμόζεται ο κανονισμός: Μια εταιρεία με επαγγελματική εγκατάσταση στην ΕΕ παρέχει ταξιδιωτικές υπηρεσίες σε πελάτες που βρίσκονται στις χώρες της Βαλτικής και σε αυτό το πλαίσιο υποβάλλει σε επεξεργασία δεδομένα προσωπικού χαρακτήρα φυσικών προσώπων.
Πότε δεν εφαρμόζεται ο κανονισμός: Ένα άτομο χρησιμοποιεί το ιδιωτικό του βιβλίο διευθύνσεων για να προσκαλέσει φίλους μέσω ηλεκτρονικού μηνύματος σε μια γιορτή που διοργανώνει (εξαίρεση οικιακών δραστηριοτήτων).
Σε ποιους εφαρμόζεται η νομοθεσία περί προστασίας των δεδομένων;
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) εφαρμόζεται:
α) σε κάθε εταιρεία ή οντότητα η οποία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων ενός από τα υποκαταστήματά της που έχουν έδρα στην ΕΕ, ανεξάρτητα από το πού γίνεται η επεξεργασία των δεδομένων ή
β) σε κάθε εταιρεία η οποία έχει έδρα εκτός της ΕΕ και προσφέρει αγαθά/υπηρεσίες (επί πληρωμή ή δωρεάν) ή παρακολουθεί τη συμπεριφορά φυσικών προσώπων στην ΕΕ. Εάν η εταιρεία σας είναι μικρομεσαία επιχείρηση (ΜΜΕ) και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, όπως περιγράφεται παραπάνω, πρέπει να συμμορφώνεστε με τον ΓΚΠΔ. Ωστόσο, εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν αποτελεί βασικό μέρος της επιχειρηματικής σας δραστηριότητας και η δραστηριότητά σας δεν δημιουργεί κινδύνους για φυσικά πρόσωπα, τότε ορισμένες από τις υποχρεώσεις του ΓΚΠΔ δεν ισχύουν για εσάς [π.χ. ο διορισμός υπεύθυνου προστασίας δεδομένων (ΥΠΔ)]. Σημειώνεται ότι οι «βασικές δραστηριότητες» θα πρέπει να περιλαμβάνουν δραστηριότητες όπου η επεξεργασία δεδομένων αποτελεί αναπόσπαστο μέρος της δραστηριότητας του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία.
Παραδείγματα:
Πότε εφαρμόζεται ο κανονισμός: Είστε μικρή εταιρεία τριτοβάθμιας εκπαίδευσης που δραστηριοποιείται στο διαδίκτυο με επαγγελματική εγκατάσταση που έχει έδρα εκτός της ΕΕ. Η εταιρεία σας απευθύνεται κυρίως σε ισπανόφωνα και πορτογαλόφωνα πανεπιστήμια στην ΕΕ. Προσφέρει δωρεάν συμβουλές σχετικά με διάφορα πανεπιστημιακά προγράμματα σπουδών, και οι φοιτητές χρειάζονται ένα όνομα χρήστη και έναν κωδικό πρόσβασης για να αποκτήσουν πρόσβαση στο υλικό σας στο διαδίκτυο. Η εταιρεία σας παρέχει το εν λόγω όνομα χρήστη και κωδικό πρόσβασης αφού οι φοιτητές συμπληρώσουν μια φόρμα εγγραφής.
Πότε δεν εφαρμόζεται ο κανονισμός: Η εταιρεία σας είναι πάροχος υπηρεσιών με έδρα εκτός της ΕΕ. Παρέχει υπηρεσίες σε πελάτες εκτός της ΕΕ. Οι πελάτες της μπορούν να χρησιμοποιούν τις υπηρεσίες της όταν ταξιδεύουν σε άλλες χώρες, συμπεριλαμβανομένης της ΕΕ. Εφόσον η εταιρεία σας δεν απευθύνει ειδικά τις υπηρεσίες της σε φυσικά πρόσωπα στην ΕΕ, δεν υπόκειται στους κανόνες του ΓΚΠΔ.
Οι κανόνες ισχύουν για τις μικρομεσαίες επιχειρήσεις (ΜΜΕ);
Ναι, η εφαρμογή του κανονισμού για την προστασία των δεδομένων δεν εξαρτάται από το μέγεθος της εταιρείας ή του οργανισμού σας αλλά από τη φύση των δραστηριοτήτων σας. Οι δραστηριότητες που ενέχουν υψηλούς κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, είτε πραγματοποιούνται από μια ΜΜΕ είτε από μια μεγάλη επιχείρηση, συνεπάγονται την εφαρμογή πιο αυστηρών κανόνων. Ωστόσο, μερικές από τις υποχρεώσεις του ΓΚΠΔ μπορεί να μην εφαρμόζονται σε όλες τις ΜΜΕ.
Για παράδειγμα, εταιρείες που απασχολούν λιγότερους από 250 εργαζομένους δεν χρειάζεται να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας εκτός εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποτελεί τακτική δραστηριότητα, ενέχει κινδύνους για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων ή αφορά ευαίσθητα δεδομένα ή ποινικά μητρώα.
Παρομοίως, οι ΜΜΕ θα πρέπει να διορίσουν έναν υπεύθυνο προστασίας δεδομένων μόνο εάν η επεξεργασία συνιστά την κύρια επιχειρηματική τους δραστηριότητα και ενέχει συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων (όπως η παρακολούθηση φυσικών προσώπων ή η επεξεργασία ευαίσθητων δεδομένων ή ποινικών μητρώων), ιδίως επειδή πραγματοποιείται σε μεγάλη κλίμακα.
Τήρηση αρχείων
Οι μικρομεσαίες επιχειρήσεις πρέπει να τηρούν αρχεία αν η επεξεργασία δεδομένων:
- Είναι τακτική
- Αποτελεί απειλή για τα δικαιώματα και τις ελευθερίες των ατόμων
- Αφορά ευαίσθητα δεδομένα ή ποινικό μητρώο
Τα αρχεία θα πρέπει να περιλαμβάνουν:
- Επωνυμία και στοιχεία επικοινωνίας της επιχείρησης
- Τους λόγους για την επεξεργασία των δεδομένων
- Περιγραφή των κατηγοριών των υποκειμένων των δεδομένων και των προσωπικών δεδομένων
- Κατηγορίες των οργανισμών που λαμβάνουν τα δεδομένα
- Διαβίβαση δεδομένων σε άλλη χώρα ή οργανισμό
- Προθεσμία για αφαίρεση δεδομένων, εάν είναι δυνατό
- Περιγραφή των μέτρων ασφαλείας που χρησιμοποιούνται κατά την επεξεργασία, εάν είναι δυνατό
Μπορείτε να δείτε όλο τον οδηγό εδώ.
Σχόλια