Γενικός Κανονισμός για την Προστασία Δεδομένων
Συχνές Ερωτήσεις
1. Τι είναι ο ΓΚΠΔ;
Ο όρος ΓΚΠΔ σημαίνει Γενικός Κανονισμός για την Προστασία των Δεδομένων (Κανονισμός (ΕΕ) 2016/679). Ο νέος κανονισμός της Ευρωπαϊκής Ένωσης πρόκειται να αντικαταστήσει την υφιστάμενη οδηγία περί της Προστασίας των Δεδομένων Προσωπικού Χαρακτήρα (95/46/ΕΚ) καθώς και την Κυπριακή Νομοθεσία "Περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμου του 2001" [και τις μετέπειτα τροποποιήσεις του 2003]. Στόχος του Κανονισμού είναι η διευκόλυνση και η ασφαλής ροή δεδομένων προσωπικού χαρακτήρα σε όλα τα 28 κράτη μέλη της ΕΕ. Εφαρμόζεται άμεσα στο εθνικό δίκαιο κάθε κράτους μέλους, εφόσον αποτελεί Κανονισμό της ΕΕ.
2. Πότε θα εφαρμοστεί ο ΓΚΠΔ;
Ο ΓΚΠΔ έχει εγκριθεί από το Κοινοβούλιο της ΕΕ στις 14 Απριλίου του 2016 και θα τεθεί σε ισχύ στις 25 Μαΐου του 2018.
3. Ποιους επηρεάζει ο ΓΚΠΔ;
Το νέο νομικό πλαίσιο επηρεάζει κυρίως τις επιχειρήσεις που προσφέρουν αγαθά ή υπηρεσίες ή επεξεργάζονται προσωπικά δεδομένα φυσικών προσώπων που εδρεύουν στην ΕΕ, είτε πρόκειται για πελάτες, πιθανούς πελάτες, συνεργάτες, ή εργαζόμενους. Επηρεάζει επίσης τις επιχειρήσεις που βρίσκονται εκτός της ΕΕ, οι οποίες κατέχουν ή επεξεργάζονται προσωπικά δεδομένα ατόμων που διαμένουν στην ΕΕ.
4. Τι εννοούμε με τους όρους ‘δεδομένα προσωπικού χαρακτήρα’ και ‘ειδικές κατηγορίες προσωπικών δεδομένων’;
Με τον όρο προσωπικά δεδομένα εννοούμε οποιαδήποτε πληροφορία που αφορά ένα φυσικό πρόσωπο , είτε πρόκειται για τον ιδιωτικό, επαγγελματικό ή δημόσιο βίο του. Περιλαμβάνει όνομα, διεύθυνση, αριθμό τηλεφώνου, διεύθυνση ηλεκτρονικού ταχυδρομείου, στοιχεία Τράπεζας, διεύθυνση IP ή ένας συνδυασμός τους.
Με τον όρο ευαίσθητα προσωπικά δεδομένα εννοούμε κατηγορίες δεδομένων που αναγνωρίζουν με ξεχωριστό τρόπο ένα φυσικό πρόσωπο όπως είναι για παράδειγμα οι γενετικές και βιομετρικές πληροφορίες. Τα ευαίσθητα δεδομένα τυγχάνουν πολύ αυστηρού περιορισμού επεξεργασίας, π.χ. όπως είναι η ανάγκη να δοθεί ρητή συγκατάθεση για την επεξεργασία τους.
5. Τι σημαίνει ο όρος ‘επεξεργασία’;
Επεξεργασία σημαίνει οτιδήποτε γίνεται σε, ή με, προσωπικά δεδομένα (συμπεριλαμβανομένης και της απλής συλλογής, της αποθήκευσης ή της διαγραφής αυτών των δεδομένων). Ο ορισμός αυτός είναι σημαντικός, εξαιτίας του ότι η νομοθεσία της ΕΕ για την Προστασία των Δεδομένων Προσωπικού Χαρακτήρα είναι πιθανό να εφαρμόζεται, όταν ένας οργανισμός κάνει οτιδήποτε το οποίο αφορά ή επηρεάζει προσωπικά δεδομένα.
6. Ποιες είναι οι βασικές αρχές που πρέπει να τηρούν οι επιχειρήσεις κατά την επεξεργασία προσωπικών δεδομένων;
- Τα προσωπικά δεδομένα πρέπει να τυγχάνουν επεξεργασίας, με νόμιμο, δίκαιο και διαφανή τρόπο.
- Η συλλογή δεδομένων προσωπικού χαρακτήρα θα πρέπει να βασίζεται σε συγκεκριμένο σκοπό .
- Τα προσωπικά δεδομένα πρέπει να περιορίζονται μόνο σε όσα είναι αναγκαία για το συγκεκριμένο σκοπό.
- Τα προσωπικά δεδομένα πρέπει να είναι ακριβή και να ενημερώνονται σε τακτά χρονικά διαστήματα.
- Τα προσωπικά δεδομένα δεν πρέπει να κρατούνται για περισσότερο από όσο χρειάζεται για το σκοπό που συλλέχτηκαν.
- Τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία με τρόπο που να διασφαλίζει την ασφάλεια των προσωπικών τους δεδομένων.
7. Ποια είναι η διαφορά μεταξύ ενός υπεύθυνου επεξεργασίας και ενός εκτελών την επεξεργασία δεδομένων προσωπικού χαρακτήρα;
Υπεύθυνος επεξεργασίας είναι αυτός που καθορίζει τους σκοπούς, τους όρους και το μέσο με το οποίο θα διεξαχθεί η επεξεργασία των προσωπικών δεδομένων. Ο υπεύθυνος επεξεργασίας είναι αυτός που συλλέγει τα δεδομένα από το υποκείμενο των δεδομένων.
Ο εκτελών την επεξεργασία είναι εκείνος που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εκ μέρους ή κατόπιν αιτήματος του υπευθύνου επεξεργασίας.
Κατά συνέπεια, εάν είστε υπεύθυνος επεξεργασίας, ο ΓΚΠΔ αναθέτει επιπλέον υποχρεώσεις σε σας για να εξασφαλίσει ότι οι συμβάσεις σας με τους εκτελούντες την επεξεργασία συμμορφώνονται με το ΓΚΠΔ.
Για παράδειγμα, η τράπεζα θεωρείται υπεύθυνος επεξεργασίας ενώ ένας εξωτερικός προμηθευτής της Τράπεζας, π.χ. μια εταιρεία παροχής υπηρεσιών πληροφορικής, είναι εκτελών την επεξεργασία.
8. Ποια δικαιώματα θα έχουν τα φυσικά πρόσωπα με βάση το ΓΚΠΔ;
Ένας από τους βασικούς τρόπους με τους οποίους ο ΓΚΠΔ επηρεάζει όλους τους οργανισμούς είναι μέσω του νέου διευρυμένου συνόλου δικαιωμάτων που παρέχει σε ιδιώτες, όπως περιγράφονται πιο κάτω:
Δικαίωμα ενημέρωσης - οι οργανισμοί πρέπει να είναι σαφείς και διαφανείς, όσον αφορά τον τρόπο με τον οποίο χρησιμοποιούν τα προσωπικά δεδομένα, κάτι το οποίο αντικατοπτρίζεται στην Δήλωση περί Απορρήτου του οργανισμού.
Δικαίωμα πρόσβασης - τα φυσικά πρόσωπα δικαιούνται να γνωρίζουν τις πληροφορίες που κρατούνται για το άτομο τους όπως και τον τρόπο επεξεργασίας τους . Ως εκ τούτου, είναι σε θέση να αποκτήσουν πρόσβαση σε αυτές τις πληροφορίες.
Δικαίωμα διόρθωσης - τα φυσικά πρόσωπα έχουν το δικαίωμα να ζητούν τη διόρθωση των προσωπικών τους δεδομένων σε περίπτωση που είναι ανακριβή ή ελλείπει.
Δικαίωμα στη διαγραφή (επίσης γνωστό ως το δικαίωμα στη ‘λήθη’) – τα φυσικά πρόσωπα έχουν το δικαίωμα να ζητήσουν την διαγραφή των προσωπικών τους δεδομένων, όταν δεν υπάρχει επιτακτικός λόγος για τη διατήρηση τους .
Δικαίωμα περιορισμού της επεξεργασίας - τα φυσικά πρόσωπα έχουν το δικαίωμα να ζητήσουν τον περιορισμό της επεξεργασία των προσωπικών τους δεδομένων. Αυτό το αίτημα , ωστόσο, μπορεί να απορριφθεί από τον οργανισμό για διάφορους λόγους.
Δικαίωμα στη φορητότητα δεδομένων - το δικαίωμα στη φορητότητα δεδομένων επιτρέπει στα φυσικά πρόσωπα να λαμβάνουν αντίγραφα των προσωπικών τους δεδομένων και να τα μεταφέρουν από ένα υπεύθυνο επεξεργασίας σε άλλο όπου είναι τεχνικά εφικτό, λαμβάνοντας μέτρα για την προστασία και την ασφάλεια τους .
Δικαίωμα ένστασης - τα φυσικά πρόσωπα έχουν το δικαίωμα να αντιτίθενται στην επεξεργασία των προσωπικών τους δεδομένων σε ορισμένες περιπτώσεις.
Δικαίωμα εναντίωσης σε αυτοματοποιημένη λήψη αποφάσεων - σε ειδικές περιστάσεις, τα φυσικά πρόσωπα έχουν το δικαίωμα να μην αποτελούν αντικείμενο απόφασης η οποία μπορεί να έχει είτε νομική επίπτωση σε αυτά, και βασίζεται στην αυτοματοποιημένη επεξεργασία. Αυτό το αίτημα, ωστόσο, μπορεί να απορριφθεί για συγκεκριμένους λόγους.
Δικαίωμα υποβολής καταγγελίας – σε περίπτωση που τα φυσικά πρόσωπα έχουν ασκήσει οποιοδήποτε ή σύνολο των δικαιωμάτων προστασίας των δεδομένων τους και δεν έχουν ικανοποιηθεί σχετικά με τον τρόπο με τον οποίο ο οργανισμός χρησιμοποιεί τα προσωπικά τους δεδομένα, έχουν το δικαίωμα να υποβάλουν καταγγελία στο γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στο http://www.dataprotection.gov.cy/
Τα φυσικά πρόσωπα μπορούν να απευθύνουν όποια προβλήματα που αφορούν τα προσωπικά τους δεδομένα με την υποβολή παραπόνου στο www.bankofcyprus.com.cy
9. Ποιά είναι τα πρόστιμα σε περίπτωση μη συμμόρφωσης;
Για παραβάσεις σχετικά με τη διαφάνεια των πληροφοριών και την επικοινωνία, στους οργανισμούς οι οποίοι επεξεργάζονται δεδομένα θα μπορούσαν να επιβληθούν πρόστιμα έως και 10 εκατομμύρια Ευρώ ή 2% του συνολικού κύκλου εργασιών τους, όποιο είναι υψηλότερο. Για τις παραβάσεις που αφορούν την επεξεργασία προσωπικών δεδομένων, τη συγκατάθεση, τα δικαιώματα επί θεμάτων δεδομένων και τις πραγματικές παραβιάσεις δεδομένων, θα μπορούσε να επιβληθεί πρόστιμο έως 20 εκατομμύρια Ευρώ ή 4% του παγκόσμιου κύκλου εργασιών τους, όποιο είναι υψηλότερο.
10. Τι είναι η Δήλωση περί Απορρήτου ;
Εάν ένας οργανισμός διατηρεί πληροφορίες σχετικά με φυσικά πρόσωπα, θα πρέπει , επίσης, να παρέχει λεπτομερή αιτιολόγηση στα ίδια τα φυσικά πρόσωπα, για τις πληροφορίες που κατέχει για το άτομό τους, πώς γίνεται η επεξεργασία των δεδομένων τους και πού διατηρούνται. Κατά συνέπεια, ο ΓΚΠΔ αναφέρει ότι η δήλωση αυτή θα πρέπει να είναι σαφής, εύκολη στην πρόσβαση και δωρεάν.
Η Δήλωση περί Απορρήτου για την Τράπεζα Κύπρου βρίσκεται στην ιστοσελίδα μας www.bankofcyprus.com.cy και επίσης σε οποιοδήποτε υποκατάστημα της Τράπεζας.
11. Ποιες είναι οι νόμιμες βάσεις της επεξεργασίας και πότε απαιτείται η συγκατάθεση;
Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι νόμιμη, δίκαιη και διαφανής για τα υποκείμενα των δεδομένων, ενώ κάθε πληροφορία και επικοινωνία σχετικά με τα προσωπικά δεδομένα πρέπει να είναι εύκολα κατανοητή και προσβάσιμη .
Ο οργανισμός ορίζει τη νόμιμη βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τα πιο κάτω, δηλαδή εάν:
- Έγινε λήψη της συγκατάθεσης απευθείας από το υποκείμενο των δεδομένων, για την επεξεργασία των προσωπικών του δεδομένων.
- Είναι αναγκαίο για την εκτέλεση της σύμβασης – δηλαδή η επεξεργασία είναι απαραίτητη προκειμένου να συνάψει ή να εκτελέσει μια σύμβαση.
- Για την προστασία των ζωτικών συμφερόντων του ατόμου - δηλαδή είναι ζωτικής σημασίας να υποβάλλονται σε επεξεργασία συγκεκριμένα δεδομένα εάν για παράδειγμα είναι θέμα ζωής και θανάτου.
- Ο οργανισμός υπόκειται σε νομικές υποχρεώσεις – δηλαδή όταν ο οργανισμός υποχρεούται να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα λόγω του ότι υπόκειται σε κάποια νομική υποχρέωση [π.χ. για συμμόρφωση με τους κανονισμούς για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες]
- Είναι αναγκαία η επεξεργασία για θέματα δημοσίου συμφέροντος – δηλαδή είναι αναγκαία η επεξεργασία από τις δημόσιες αρχές και οργανισμούς στα πλαίσια των δημοσίων τους καθηκόντων και συμφερόντων, και
- Υπάρχει έννομο συμφέρον για τον οργανισμό- δηλαδή εφόσον υπάρχει έγκυρη αιτιολόγηση για την επεξεργασία των προσωπικών δεδομένων η επεξεργασία θεωρείται δικαιολογημένη ή όταν ο οργανισμός το χρησιμοποιεί με εύλογο τρόπο που τα φυσικά πρόσωπα θα ανέμεναν. Είναι επίσης σημαντικό να διενεργηθεί μία αξιολόγηση των έννομων συμφερόντων που θα χρησιμοποιήσουν ως βάση και να διατηρήσουν ένα σχετικό αρχείο για αυτά.
12. Πότε μπορούν να μεταφερθούν τα προσωπικά δεδομένα εκτός της ΕΕ;
Υπάρχουν περιορισμοί στη διαβίβαση δεδομένων προσωπικού χαρακτήρα, εκτός της ΕΕ, σε άλλες χώρες ή διεθνείς οργανισμούς, που επιβάλλονται για την προστασία των ατόμων και των προσωπικών τους δεδομένων, όπως προβλέπεται από τον κανονισμό.
Οι μεταφορές απαιτούν την έγκριση της Επιτρόπου για την Προστασία των Προσωπικών Δεδομένων, ενώ σε ορισμένες άλλες περιπτώσεις αρκεί η ενημέρωση στην Επίτροπο.
Η διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός της ΕΕ επιτρέπεται μόνο εφόσον πληρούνται ορισμένες από τις πιο κάτω προϋποθέσεις:
- Όταν η Ευρωπαϊκή Επιτροπή έχει υποδείξει πως μια τρίτη χώρα ή ένας διεθνής οργανισμός παρέχει ένα επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα · ή
- Όταν υπάρχουν πρότυπες συμβάσεις που βασίζονται σε συμφωνίες για μεταβιβάσεις μεταξύ οργανισμών εντός ομίλου, οι οποίες αποκαλούνται και ως τυποποιημένες συμβατικές ρήτρες προστασίας δεδομένων ή δεσμευτικοί εταιρικοί κανόνες · ή
- Όταν εφαρμόζεται ένας εγκεκριμένος μηχανισμός πιστοποίησης, π.χ. στο πλαίσιο της ασπίδα προστασίας μεταξύ ΕΕ-ΗΠΑ.
Επιπλέον, μπορεί να γίνει μεταβίβαση όταν το άτομο έχει δώσει ειδική συγκατάθεση, η οποία είναι αναγκαία για την εκτέλεση σύμβασης μεταξύ του ατόμου και του οργανισμού αν:
- είναι απαραίτητο για λόγους δημόσιου συμφέροντος,
- είναι απαραίτητο για τον καθορισμό, την άσκηση ή υπεράσπιση νομικών αξιώσεων,
- είναι απαραίτητο να προστατεύονται τα ζωτικά συμφέροντα του υποκειμένου των δεδομένων ή άλλων προσώπων.
13. Είναι αναγκαίο η εταιρεία μου να διορίσει υπεύθυνο προστασίας δεδομένων (ΥΠΔ) ;
Οι οργανισμοί υποχρεούνται να διορίζουν έναν υπεύθυνο προστασίας δεδομένων (ΥΠΔ), εάν οι κύριες δραστηριότητές τους, περιλαμβάνουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μεγάλη κλίμακα ή/και συνεπάγεται η συνεχής επεξεργασία των δεδομένων προσωπικού χαρακτήρα.
Ο ΥΠΔ μπορεί να είναι ένας υπάλληλος του οργανισμού, μόνο εάν τα καθήκοντά του δεν έρχονται σε σύγκρουση με το ρόλο του ως ΥΠΔ, αλλιώς ο ρόλος μπορεί να ανατεθεί σε εξωτερικό συνεργάτη.
14. Ποιες είναι οι αρμοδιότητες του ΥΠΔ στο πλαίσιο του ΓΚΠΔ;
Οι αρμοδιότητες του ΥΠΔ, όπως ορίζονται στο άρθρο 39, είναι, εν συντομία, οι εξής:
- Να ενημερώνει και να συμβουλεύει τον οργανισμό και το προσωπικό σχετικά με τις υποχρεώσεις τους μέσα από το πλαίσιο του ΓΚΠΔ,
- Να παρακολουθεί τη συμμόρφωση με το ΓΚΠΔ του υπεύθυνου επεξεργασίας ή του εκτελώντα την επεξεργασία,
- Να συμβουλεύει σχετικά με την εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων και να παρακολουθεί την απόδοσή των σχετικών αξιολογήσεων, και
- Να συνεργάζεται με την εποπτική αρχή για θέματα που σχετίζονται με την επεξεργασία δεδομένων.
Τα στοιχεία επικοινωνίας του ΥΠΔ της Τράπεζας Κύπρου αναφέρονται στη Δήλωση περί απορρήτου της Τράπεζας Κύπρου και ενημερώνονται στην ιστοσελίδα μας στο www.bankofcyprus.com.cy.
15. Ποιοι είναι οι κανόνες για την ασφάλεια στο πλαίσιο του ΓΚΠΔ;
Η ΓΚΠΔ διαφυλάσσει τα προσωπικά δεδομένα προστατεύει την επεξεργασία τους με τρόπο που να διαβεβαιώνει την ασφάλειά τους, συμπεριλαμβανομένης της προστασίας από μη εγκεκριμένη ή παράνομη επεξεργασία, καθώς και από τυχαία απώλεια, καταστροφή ή ζημιά.
Οι οργανισμοί θα πρέπει να διαθέτουν τα κατάλληλα τεχνικά ή οργανωτικά μέτρα για την αποτροπή τυχών διαρροών ή παράνομης επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
ΧΡΗΣΙΜΟΙ ΣΥΝΔΕΣΜΟΙ:
Για επιπλέον αναφορά σχετικά με τη νομοθεσία ΓΚΠΔ, παρακαλώ όπως ανατρέξατε στον Γενικό Κανονισμό Προστασίας Δεδομένων