Ποιές εταιρίες, οργανισμοί και φορείς στην Ελλάδα, πρέπει να έχουν Data Protection Officer από τον Μάιο

Ποιές εταιρίες, οργανισμοί και φορείς στην Ελλάδα, πρέπει να έχουν Data Protection Officer από τον Μάιο

Το τοπίο στην προστασία των προσωπικών δεδομένων αλλάζει με το νέο Ευρωπαϊκό Κανονισμό 2016/679 (GDPR), που επηρεάζει όλες τις ευρωπαϊκές εταιρίες που αποκτούν ή διαχειρίζονται προσωπικά δεδομένα, αλλά και κάθε οργανισμό ή εταιρία εκτός ΕΕ, που συναλλάσσεται με την ευρωπαϊκή επικράτεια. Μεταξύ των πιο σημαντικών αλλαγών που επιφέρει ο Κανονισμός, ο οποίος θα αρχίσει να εφαρμόζεται από το Μάιο 2018, είναι και ο υποχρεωτικός διορισμός Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer, DPO).

Διαφήμιση


Για ποιους είναι υποχρεωτικός ο διορισμός ΥΠΔ
Υπεύθυνο Προστασίας Δεδομένων θα διορίζουν υποχρεωτικά τρεις μεγάλες κατηγορίες οντοτήτων, σύμφωνα με το άρθρο 37 του Κανονισμού:

  1. οι υπηρεσίες του δημοσίου τομέα,
  2.  οι οντότητες του ιδιωτικού τομέα με βασική δραστηριότητα την επεξεργασία δεδομένων που από τη φύση της απαιτεί συστηματική παρακολούθηση και
  3. οι οντότητες του ιδιωτικού τομέα με βασική δραστηριότητα τη μεγάλης κλίμακας επεξεργασία δεδομένων ειδικών κατηγοριών (τα λεγόμενα ευαίσθητα προσωπικά δεδομένα ή οτιδήποτε αφορά ποινικές καταδίκες και αδικήματα).

Τι γίνεται στο δημόσιο

Υποχρέωση διορισμού ΥΠΔ θα έχουν όλες οι δημόσιες αρχές και υπηρεσίες (εκτός από τα δικαστήρια, όταν ασκούν δικαιοδοτικό έργο) και μάλιστα στο επίπεδο όπου γίνεται η συλλογή και επεξεργασία των δεδομένων.

Διαβάστε  GDPR: Πρακτικός οδηγός συμμόρφωσης και ασφαλιστικής κάλυψης

Αυτό σημαίνει ότι ΥΠΔ οφείλουν να ορίσουν, ενδεικτικά:

  • όλα τα δημόσια σχολεία, οι σχολές Ανώτατης και Ανώτερης Εκπαίδευσης, οι Επαγγελματικές σχολές κλπ
  • όλα τα Υπουργεία και ξεχωριστά οι Γενικές Γραμματείες αυτών, αλλά (υπό προϋποθέσεις) και οι Διευθύνσεις και τα Τμήματα αυτών, ανάλογα με την επεξεργασία που πραγματοποιούν
  • όλοι οι φορείς που παρέχουν υπηρεσίες κοινής ωφέλειας, ακόμα και αν είναι εταιρίες ιδιωτικού δικαίου, όπως οι πάροχοι υπηρεσιών ενέργειας, μεταφορών, υποδομών, ραδιοτηλεοπτικών υπηρεσιών, επαγγελματικοί σύλλογοι με χαρακτήρα ΝΠΔΔ για τα πειθαρχικά τους συμβούλια (ΔΕΗ, ΕΡΤ, Οργανισμοί Λιμένος, ΔΕΔΔΗΕ, ΟΑΣΑ, ΣΤΑΣΥ, Δικηγορικοί Σϋλλογοι, ΤΕΕ κλπ)
  • όλο οι ΟΤΑ και οι Επιχειρήσεις αυτών
  • όλες οι ανεξάρτητες διοικητικές αρχές

Τι θα ισχύσει στον ιδιωτικό τομέα

ΥΠΔ θα πρέπει να ορίσουν οι οντότητες του ιδιωτικού τομέα (επιχειρήσεις, αλλά και ΜΚΟ, σύλλογοι, σωματεία, αστικές μη κερδοσκοπικές εταιρίες, συνεταιρισμοί, κοινοπραξίες κλπ), που είτε διεξάγουν τακτική και συστηματική παρακολούθηση είτε επεξεργάζονται ευαίσθητα δεδομένα σε μεγάλη κλίμακα.

Έτσι, ΥΠΔ θα υποχρεωθούν να διαθέτουν ενδεικτικά:

  • -τα νοσοκομεία, κλινικές και άλλοι πάροχοι ιδιωτικών υπηρεσιών υγείας που επεξεργάζονται ευαίσθητα προσωπικά δεδομένα ασθενών (δε θα ισχύει για ιδιώτες ιατρούς ή άλλους επαγγελματίες υγείας σε επίπεδο ιδιωτικού ιατρείου)
  • οι εταιρίες που παρέχουν υπηρεσίες φύλαξης ή διεξάγουν παρακολούθηση για λόγους ασφαλείας (εταιρίες security) ή και οι ίδιες οι επιχειρήσεις που διεξάγουν παρακολούθηση (πχ μέσω κλειστού κυκλώματος τηλεόρασης στις εγκαταστάσεις ή τα καταστήματά τους)
  • οι επιχειρήσεις μηχανοργάνωσης ή διαχείρισης μισθοδοσίας για λογαριασμό άλλων επιχειρήσεων
  • οι εταιρίες κινητής και σταθερής τηλεφωνίας και υπηρεσιών ίντερνετ
  • οι ασφαλιστικές εταιρίες
  • οι τράπεζες
  • οι ιδιωτικές εταιρίες διαχείρισης μέσων μεταφοράς
  • κάθε επιχείρηση που συλλέγει δεδομένα των συναλλασσομένων με αυτή και τα χρησιμοποιεί για την κατασκευή «προφίλ» που αποκαλύπτουν τις προσωπικές προτιμήσεις, την ιδεολογία ή την καταναλωτική συμπεριφορά
  • κάθε επιχείρηση που συλέγει και χρησιμοποιεί δεδομένα για την ηλεκτρονική προώθηση διαφημιστικών μηνυμάτων και ενημερώσεων
    αλλά και:
  • τα πολιτικά κόμματα
  • οι θρησκευτικές οργανώσεις και οργανισμοί
  • οι διαφημιστικές και εταιρίες και οι εταιρίες δημοσκοπήσεων
  • οι ΜΚΟ που δραστηριοποιούνται σε τομείς όπως οι πρόσφυγες ή οι κοινωνικές μειονότητες
Διαβάστε  GDPR: Η ΕΕ απειλεί με βαριά πρόστιμα από τις 25 Μαΐου

Οι παραπάνω κατηγορίες είναι ενδεικτικές. Από την 25η Μαΐου και μετά, οπότε και θα αρχίσει να εφαρμόζεται ο Κανονισμός, είναι πολύ πιθανόν να διαμορφωθούν και επιπλέον κατηγορίες υποχρέων. Σε κάθε περίπτωση, οι επιχειρήσεις και οι οργανισμοί τόσο του ιδιωτικού όσο και του δημόσιου τομέα είναι σημαντικό να ενημερωθούν αναλυτικά για τις υποχρεώσεις τους, καθώς και τις εξαιρέσεις που εισάγει ο Κανονισμός και να θέσουν σε εφαρμογή τον τρόπο συμμόρφωσής τους, ορίζοντας ΥΠΔ, είτε μέλος του προσωπικού τους, εάν υπάρχει κατάλληλο, είτε εξωτερικό σύμβουλο.
Σε αυτή την προσπάθεια, οι βέλτιστες πρακτικές και οι κατευθυντήριες γραμμές που έχουν διαμορφωθεί από την εφαρμογή του θεσμού του ΥΠΔ στα ίδια τα Όργανα της ΕΕ, θα αποδειχθούν πολύτιμοι σύμβουλοι, καθώς ο χρόνος είναι περιορισμένος και οι κυρώσεις και τα πρόστιμα που προβλέπονται για τη μη συμμόρφωση είναι ιδιαίτερα τσουχτερά, φτάνοντας μέχρι τα 20 εκ. Ευρώ ή το 4% του παγκόσμιου κύκλου εργασιών της επιχείρησης.

Διαβάστε  GDPR Compliance, Data Incident Management & Cyber Insurance Workshop στις 23 Μαΐου

Διαφήμιση