Σε αυτό το άρθρο θα αναλύσουμε τι είναι ο κανονισμός GDPR, ποιός ο σκοπός του, πότε ξεκίνησε, τι κριτήρια εγαρμογής και τι κυρώσεις έχει.
GDPR, ή Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ), είναι ένα νομικό πλαίσιο που ισχύει σε όλη την Ευρωπαϊκή Ένωση. Έχει ως στόχο να παρέχει στους πολίτες της ΕΕ μια ενιαία και εναρμονισμένη προσέγγιση για την προστασία της ιδιωτικής ζωής. Επιδιώκει να ενισχύσει τα δικαιώματα των πολιτών στην προστασία των δεδομένων, όπως ορίζονται στο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ.
Μία από τις αρχικές αλλαγές όσον αφορά τον GDPR, και θεμελιώδης αλλαγή σε σχέση με το προηγούμενο πλαίσιο προστασίας δεδομένων (οδηγία 95/46/ΕΕ), είναι η μορφή του νομικού κειμένου. Μετά από πολλές συζητήσεις, το Κοινοβούλιο της ΕΕ αποφάσισε να δημιουργήσει ένα νέο πλαίσιο προστασίας της ιδιωτικής ζωής με τη μορφή κανονισμού και όχι οδηγίας.
Ο κανονισμός είναι μια δεσμευτική νομοθετική πράξη που ισχύει άμεσα σε όλα τα κράτη μέλη της ΕΕ. Έτσι εξαλείφει την ανάγκη για τοπική νομοθεσία. Ωστόσο, ενδέχεται να υπάρχουν διαφορές στην ερμηνεία και την εφαρμογή του κανονισμού μεταξύ των κρατών μελών.
Ο GDPR έχει ευρύ πεδίο εφαρμογής που επηρεάζει και οντότητες που δεν είναι εγκατεστημένες στην ΕΕ. Πρέπει ωστόσο να πληρούνται ορισμένες προϋποθέσεις για την εξωεδαφική εφαρμογή.
Σκοπός του GDPR
Σκοπός της εφαρμογής είναι να αρθούν οι νομικές ασάφειες και αβεβαιότητες που δημιουργούσε το προηγούμενο νομικό πλαίσιο. Επιπλέον να ενισχυθούν τα θεμελιώδη δικαιώματα και οι ελευθερίες των φυσικών προσώπων. Τέλος, να εξασφαλιστεί η ομοιομορφία του νομικού πλαισίου σε όλα τα κράτη μέλη.
Έναρξη Ισχύος GDPR
Αυτός ο κανονισμός εγκρίθηκε από το Κοινοβούλιο της ΕΕ στις 14 Απριλίου 2016 μετά από σχεδόν τέσσερα χρόνια συζητήσεων και προβληματισμών. Η ημερομηνία υποχρεωτικής εφαρμογής του GDPR ορίστηκε για τις 25 Μαΐου 2018. Ωστόσο όμως το έγγραφο τέθηκε σε ισχύ 20 ημέρες μετά την ημερομηνία έγκρισης. Αν και μπορεί να φαίνεται μεγάλο χρονικό διάστημα για την προετοιμασία, στην πραγματικότητα υπήρχε πολύ προεργασία.
Κριτήρια Εφαρμογής
Επιπλέον, ο νόμος εφαρμόζεται όχι μόνο σε εταιρείες εντός της ΕΕ, αλλά και σε εταιρείες που είναι εγκατεστημένες στην ΕΕ και επεξεργάζονται εκτός της ΕΕ. Ακόμα και σε εταιρείες που είναι εγκατεστημένες εκτός της ΕΕ και επεξεργάζονται εκτός της ΕΕ. Παράλληλα, εφαρμόζεται σε οντότητες που είναι εγκατεστημένες εκτός της ΕΕ, όταν παρέχουν αγαθά ή υπηρεσίες σε άτομα στην ΕΕ. Επίσης και όταν παρακολουθούν τη συμπεριφορά ατόμων στην ΕΕ (δραστηριότητες που σχετίζονται με την κατάρτιση προφίλ, την παρακολούθηση των δραστηριοτήτων των ατόμων στο διαδίκτυο κ.λπ.).
Τι είναι τα Προσωπικά Δεδομένα;
Προσωπικά δεδομένα είναι όλες οι πληροφορίες που μπορούν (άμεσα ή έμμεσα) να ταυτοποιήσουν ένα άτομο. Επομένως, κάθε πληροφορία που μπορεί να μας ταυτοποιήσει θεωρείται προσωπικό δεδομένο. Τέτοιες πληροφορίες περιλαμβάνουν το ονοματεπώνυμο, τον αριθμό ταυτότητας, τη διεύθυνση και τον αριθμό τηλεφώνου. Επίσης και πιο έμμεσες πληροφορίες όπως το φύλο, την ηλικία και το εισόδημα.
Έλεγχος και Κυρώσεις
Έχει οριστεί πρόστιμο 20εκατ. ευρώ σε περίπτωση παραβάσεων των άρθρων 8, 11, 25 έως 39 και 41 παράγραφος 4. Επίσης και για παραβάσεις των βασικών αρχών (άρθρα 5,6,7 και 9), των δικαιωμάτων του υποκειμένου (άρθρα 12 έως 22) και των όρων διαβίβασης σε τρίτους αποδέκτες (άρθρα 44 έως 49). Ένα ακόμα πρόστιμο που προβλέπεται είναι ύψους 4% του συνολικού ετήσιου κύκλου εργασιών παγκοσμίως κατά το προηγούμενο οικονομικό έτος (όποιο από τα δύο είναι υψηλότερο). Τέλος, καθορίζεται το δικαίωμα απαίτησης αποζημίωσης από το υποκείμενο και η ευθύνη του διαχειριστή.
Επιπροσθέτως, η πρώτη μεγάλη παγκόσμια ποινή επιβλήθηκε τον Ιανουάριο του 2019 στην Google με πρόστιμο ύψους 50 εκατομμυρίων ευρώ. Το πρόστιμο αφορούσε τον GDPR. Η ίδια δεν ενημέρωσε επαρκώς τους χρήστες για τον τρόπο με τον οποίο θα χρησιμοποιούνταν τα δεδομένα τους κατά τη δημιουργία του λειτουργικού συστήματος Android. Παρόλο που η Google άσκησε έφεση κατά του προστίμου, το γαλλικό δικαστήριο το επικύρωσε το 2020..
Συνοψίζοντας τα Κύρια Σημεία
Εν κατακλείδι μέσω του GDPR, τα άτομα έχουν τον έλεγχο των προσωπικών τους δεδομένων. Απλοποιείται έτσι το ρυθμιστικό περιβάλλον για τις διεθνείς επιχειρήσεις.