Δεδομένα για το GDPR
Γράφει ο Αλέξανδρος Νίκλαν
Σύμβουλος Θεμάτων Ασφαλείας
1. Τα προσωπικά δεδομένα ανήκουν μόνο στο υποκείμενο που αφορούν. Κάθε είδους επεξεργασία , όποια και αν είναι αυτή και σε όποιο βαθμό και αν γίνεται θα πρέπει να έχει ρητή συναίνεση τόσο για τον όγκο των δεδομένων όσο και για τον τρόπο και την πορεία της επεξεργασίας τους.
2. Το υποκείμενο έχει συνεχές δικαίωμα χρήσης της πρόσβασης στα στοιχεία του ( για διόρθωση, ενημέρωση κοκ), έχει συνεχές δικαίωμα στην λήθη (απόλυτη διαγραφή των δεδομένων μετά από αίτηση), έχει συνεχές δικαίωμα άρσης συναίνεσης οποτεδήποτε χωρίς καμία υποχρέωση δικαιολογίας.
3. Το υποκείμενο έχει δικαίωμα ενημέρωσης για το αν μια εταιρία διατηρεί τα στοιχεία του ακόμα και αν αυτός έχει σταματήσει συνεργασία μαζί τους. Αυτό γίνεται με έγγραφη αίτηση και πρέπει να εκπληρωθεί εντός 30 ημερών ή 60 αν και εφόσον έχει γίνει η ειδοποίηση κατά την ώρα της αίτησης.
4. ΚΑΜΙΑ ΑΠΟΛΥΤΩΣ ΝΟΜΟΘΕΣΙΑ ΔΕΝ ΥΠΕΡΒΑΙΝΕΙ ΤΟ GDPR πλην εκείνων που αφορούν φορολογικά, εθνική ασφάλεια και, φυσικά, δικαστικές αποφάσεις. Οτιδήποτε άλλο είναι παράνομο και καταχρηστικό όταν θα προσπαθήσει να δώσει βάση επεξεργασίας δεδομένων σε τρίτους.
5. Συμβάσεις: Κάθε σύμβαση πρέπει να γράφει με απλό τρόπο και χωρίς αναφορές σε νομοθετικά εδάφια το τι γίνεται με τα δεδομένα του συμβεβλημένου. Αυτό θα γίνεται σε όρους όπου ο συμβεβλημένος έχει απόλυτο δικαίωμα άρνησης παραχώρησης αδείας, χωρίς αυτό να ακυρώνει ή να επικυρώνει την σύμβαση ( κοινώς “δε εξαγοράζεται” η συναίνεση).
Γενικά θα ξαναπώ πώς καλό είναι να ψαχτείτε για τα δικαιώματα σας. Η νομοθεσία έχει 99 άρθρα εκ των οποίων κάπου στα 15-20 αφορούν αποκλειστικά τα φυσικά πρόσωπα. Υπόψη εδώ πώς ο Ελληνικός νόμος που έχει περάσει (και δεν έχει ψηφιστεί ακόμα) δεν υπερβαίνει τον Ευρωπαϊκό, αντίθετα καλείται να τον εφαρμόσει αυτούσιο και ίσως να αυξήσει την αυστηρότητα του αν είναι δυνατόν. Δεν μπορεί όμως να αναιρέσει βασικά άρθρα του.
Να πω για μια ακόμη φορά πώς δεν είναι μόνο νομικό το θέμα συμμόρφωσης. Είναι θέμα και τεχνολογικό και εργασιακής λειτουργικότητας. Έχοντας ήδη τελειώσει έργα για πολυεθνικές με χιλιάδες ανθρώπους, γνωρίζω πολύ καλά γιατί πράγμα μιλάω και πώς αυτό θα επηρεάσει άπαντες, ειδικά όταν υπάρχουν γραφεία νομικών έξω που ετοιμάζονται για Πανευρωπαϊκές “εκδρομές”.
Πώς θα γίνονται οι καταγγελίες
Για το πώς θα γίνονται οι καταγγελίες για παραβιάσεις προσωπικών δεδομένων στο πλαίσιο του GDPR, να αναφέρω πώς η αρχή προστασίας προσωπικών δεδομένων ήδη έχει ανανεώσει την σελίδα της και έχει βάλει online αιτήσεις για τους θιγόμενους που θα πρέπει να ταυτοποιούν τα στοιχεία τους σε δεύτερο χρόνο.
Υπόψη επίσης πώς από την στιγμή που διαπιστωθεί πώς η καταγγελία ευσταθεί, η απόδειξη πώς τα δεδομένα του θιγόμενου έχουν υποστεί παράνομη επεξεργασία ΔΕΝ ΕΙΝΑΙ ΕΥΘΥΝΗ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ, αλλά ΕΥΘΥΝΗ ΤΗΣ ΕΠΙΧΕΙΡΗΣΗΣ που θα πρέπει με τις ειδικές εκθέσεις αξιολόγησης διαδικασιών διαχείρισης προσωπικών δεδομένων (PIA) να αποδείξουν πώς τηρούν τις διαδικασίες και πολιτικές συμμόρφωσης σύμφωνα με τον κανονισμό.
