Στις 27.04.2016 ψηφίσθηκε στην Ευρωπαϊκή Ένωση ο Κανονισμός ΕΕ 2016/679 για την προστασία των φυσικών προσώπων από την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα καθώς και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Ο Κανονισμός, πουφέρει το όνομα “General Data Protection Regulation’’ (GDPR- Γενικός Κανονισμός για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα), ετέθη σε εφαρμογή στις 25.05.2018 οπότε και οδηγήσε στην αυτόματη κατάργηση της Οδηγίας 95/46/ΕΚ.
Η θέση του GDPR Κανονισμού σε ισχύ είναι άμεση και δεν απαιτείται ψήφιση νόμου για την ενσωμάτωσή του στην ελληνική νομοθεσία. Παρ’ όλ’ αυτά, δίνεται η δυνατότητα θέσπισης εθνικών μέτρων σε ειδικά θέματα («escape clauses»).
Όπως προαναφέρθηκε, ο Γενικός Κανονισμός ετέθη σε εφαρμογή στις 25.05.2018, απαιτώντας από όλους τους φορείς Δημοσίου και Ιδιωτικού τομέα των κρατών μελών της Ε.Ε να εναρμονισθούν και να συμμορφωθούν με τις νέες διατάξεις και το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα.
Αρκετές επιχειρήσεις- άλλες σε μικρότερο και άλλες σε μεγαλύτερο βαθμό- έχουν ήδη ξεκινήσει προσπάθειες συμμόρφωσης με τις διατάξεις του Κανονισμού, λόγω όμως της πολυπλοκότητας των νεοεισαχθέντων διατάξεων και των αλλαγών που επιφέρει ο Κανονισμός, κυρίως ως προς τις υποχρεώσεις των εμπλεκόμενων στην επεξεργασία μερών, δεν αναμένεται άμεσα πλήρης εναρμόνιση με αυτόν.
Το υπάρχον εθνικό νομικό πλαίσιο
Η προστασία των προσωπικών δεδομένων αποτελούσε ανέκαθεν ένα θεμελιώδες ζήτημα και μία ανάγκη της κοινωνίας, η οποία έπρεπε να ικανοποιηθεί.
Στην Ελλάδα, τα προσωπικά δεδομένα προστατεύονται έως σήμερα με το ν. 2472/1997 (Περί Προστασίας του Ατόμου από την Επεξεργασία Προσωπικών Δεδομένων), με τον οποίο υιοθετήθηκε η (πλέον καταργηθείσα) Οδηγία 95/46/ΕΚ (Για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και της ελεύθερης κυκλοφορίας των δεδομένων αυτών).
Η προστασία των προσωπικών δεδομένων μετά τον Κανονισμό GDPR
Μετά ην θέση σε ισχύ του Κανονισμού 679/2016, το πλαίσιο προστασίας των Δεδομένων Προσωπικού
Χαρακτήρα, γίνεται αυστηρότερο καθώς μεταξύ άλλων προβλέπονται τα εξής :
• Λογοδοσία Υπευθύνου Επεξεργασίας και Εκτελούντος την Επεξεργασία,
• συλλογή δεδομένων αυστηρά για συγκεκριμένους σκοπούς,
• απαιτήσεις ιδιωτικότητας από το σχεδιασμό των πληροφοριακών συστημάτων
• γραπτές πολιτικές συλλογής, διαχείρισης, και προστασίας ασφάλειας,
• διεύρυνση των δικαιωμάτων των υποκειμένων των δεδομένων και διαφανείς πολιτικές ικανοποίησης των νέων δικαιωμάτων των υποκειμένων,
• διενέργεια Μελέτης Εκτίμησης Αντίκτυπου για τους πιθανούς κινδύνους και επιπτώσεις που μπορεί να έχει μία επεξεργασία,
• αυστηρότερες ποινικές και διοικητικές κυρώσεις με αυξημένα πρόστιμα επί του κύκλου εργασιών της επιχείρησης,
• ύπαρξη Υπευθύνου Προστασίας Δεδομένων ως ένα εσωτερικό όργανο που θα δρα ανεξάρτητα και θα εξασφαλίζει την τήρηση των διατάξεων του Κανονισμού στα πλαίσια της εκάστοτε επιχείρησης/ Εταιρείας.
• Διαδικασίες ενημέρωσης της Αρμόδιας Αρχής (εντός 72 ωρών) και των ατόμων (όπου απαιτείται) για κάθε περίπτωση παραβίασης προσωπικών δεδομένων
Συνοψίζοντας, θα μπορούσαμε να πούμε ότι ο νέος Κανονισμός δημιουργεί νέες υποχρεώσεις για κάθε επιχείρηση. Περισσότερες από τις υποχρεώσεις αυτές προϋπήρχαν, αλλά πολύ συχνά δεν λαμβάνονταν σοβαρά υπόψη. Πλέον όμως, η ανάγκη να αποφευχθούν δυσάρεστες επιπτώσεις προκύπτουσες από την άγνοια και την αμέλεια των εμπλεκόμενων μερών, έχει κάνει αναπόφευκτη την προσαρμογή στις διατάξεις και τις απαιτήσεις του νέου Κανονισμού.