GDPR

Στις 25 Μαΐου 2018, τίθεται σε ισχύ ο νέος Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων, GDPR (General Data Protection Regulation).

Τι είναι o GDPR;

Ο νέος κανονισμός αποτελεί το κανονιστικό πλαίσιο για επιχειρήσεις και οργανισμούς, αλλά και τον ευρύτερο Δημόσιο Τομέα σε ότι αφορά τα προσωπικά δεδομένα. Καθορίζει και καθιερώνει το ενιαίο νομικό πλαίσιο, βάσει του οποίου οι επιχειρήσεις θα συλλέγουν, θα χειρίζονται και θα επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, ατόμων που βρίσκονται εντός της Ευρωπαϊκής Ένωσης.

Ποιες επιχειρήσεις αφορά;

Ο κανονισμός αφορά όλες τις επιχειρήσεις ανεξαρτήτως μεγέθους και κλάδου, οι οποίες στο πλαίσιο των δραστηριοτήτων τους συλλέγουν, χειρίζονται και επεξεργάζονται, άμεσα ή έμμεσα, προσωπικά δεδομένα. Δεν αφορά μόνο ψηφιακή συλλογή και επεξεργασία, αλλά κάθε τύπου ακόμη και αν γίνεται σε χαρτί.

Τι ορίζεται ως προσωπικό δεδομένο;

Ως προσωπικό δεδομένο χαρακτηρίζεται κάθε πληροφορία που αφορά φυσικό πρόσωπο και με βάση την οποία αυτό μπορεί να ταυτοποιηθεί. Χαρακτηριστικό παράδειγμα προσωπικών δεδομένων είναι το όνομα, το email, ο ΑΦΜ, αλλά και οι φωτογραφίες, οι πληροφορίες για απόψεις και πολιτικές πεποιθήσεις κλπ.

Ευαίσθητα χαρακτηρίζονται τα προσωπικά δεδομένα ενός ατόμου που αναφέρονται στα πολιτικά του φρονήματα, στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις, στη συμμετοχή του σε συνδικαλιστική οργάνωση, στην υγεία του, στις ποινικές διώξεις και καταδίκες του κλπ. Τα ευαίσθητα δεδομένα προστατεύονται από τον Νόμο με αυστηρότερες ρυθμίσεις από ότι τα απλά προσωπικά δεδομένα.

Όλα τα προσωπικά δεδομένα παιδιών κάτω από 16 χρονών είναι εξ’ ορισμού ευαίσθητα.

Τι σημαίνει “επεξεργασία προσωπικών δεδομένων”;

Είναι κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, όπως: συλλογή, καταχώριση, οργάνωση, διατήρηση ή αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση, συσχέτιση ή συνδυασμός, διασύνδεση, δέσμευση, διαγραφή, καταστροφή.

Κάθε εκπαιδευτικός οργανισμός ανεξάρτητα από το είδος, τη νομική μορφή και το μέγεθος του τηρεί και επεξεργάζεται προσωπικά δεδομένα και ονομάζεται υπεύθυνος επεξεργασίας (controller).

Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα που επεξεργάζεται δεδομένα για λογαριασμό κάποιου υπεύθυνου επεξεργασίας ονομάζεται εκτελών την επεξεργασία (processor). Παράδειγμα, ένα λογιστικό γραφείο στο οποίο ο εκπαιδευτικός οργανισμός αναθέτει τη μισθοδοσία των εργαζομένων του.

Πότε είναι νόμιμη και πότε όχι η επεξεργασία των προσωπικών δεδομένων;

Οποιαδήποτε επεξεργασία γίνεται για τους σκοπούς λειτουργίας του εκπαιδευτικού οργανισμού είναι νόμιμη. Λόγου χάρη η βαθμολόγηση του παιδιού σε ένα Γυμνάσιο ή η περιγραφική του αξιολόγηση σε διάφορους τομείς στο μάθημα Γλώσσα είναι νόμιμη.

Επίσης νόμιμη είναι η ενημέρωση αρχείων του εκπαιδευτηρίου για απουσίες που κάνουν οι μαθητές, αλλά και η ενημέρωση των γονέων για την απουσία του παιδιού τους με οποιοδήποτε μέσο (τηλεφώνημα, email, SMS κλπ). Δεν απαιτείται καμία άδεια.

Ομοίως νόμιμη είναι η επεξεργασία στοιχείων που επιβάλλεται από τη νομοθεσία. Λόγου χάρη η λήψη του ΑΦΜ του γονέα σε ιδιωτικό εκπαιδευτήριο όπως επίσης και η αποστολή στις αρχές του Υπουργείου Οικονομικών της σχετικής κατάστασης των ετησίων πληρωμών με οποιοδήποτε μέσο ηλεκτρονικό ή έντυπο είναι νόμιμη και δεν χρειάζεται άδεια.

Σε οποιαδήποτε άλλη περίπτωση επεξεργασία προσωπικών δεδομένων επιτρέπεται μόνο όταν το άτομο έχει δώσει γραπτώς ή με ηλεκτρονικό τρόπο τη συγκατάθεσή του. Για παράδειγμα δεν επιτρέπεται σε έναν παιδικό σταθμό να στέλνει διαφημιστικά έντυπα σε γονείς, τα στοιχεία των οποίων βρήκε από κάποιο μαιευτήριο. Δεν επιτρέπεται επίσης σε ένα Κέντρο Ξένων Γλωσσών να στείλει σε γονείς μαθητών του ένα διαφημιστικό φυλλάδιο για τα μαθήματα Αγγλικών για ενήλικες που προσθέτει στις υπηρεσίες του καθώς δεν αφορά το φυλλάδιο την εκπαίδευση του παιδιού του.

Επιπλέον πρέπει να προστατεύει και να ασφαλίζει τα προσωπικά δεδομένα που νόμιμα κατέχει και επεξεργάζεται. Για παράδειγμα δεν πρέπει να «πέσει» η κατάσταση πληρωμών σε άσχετα χέρια. Πιο συγκεκριμένα:

Βασικές υποχρεώσεις σύμφωνα με το νέο κανονισμό

Το πνεύμα του κανονισμού είναι η διασφάλιση και ο σεβασμός των προσωπικών δεδομένων, σχεδιάζοντας και υλοποιώντας μηχανισμούς και διαδικασίες προστασίας. Ο κανονισμός δίνει ιδιαίτερη έμφαση στα ακόλουθα:

  • Στην “αρχή της διαφάνειας” σχετικά με τη συλλογή, επεξεργασία και τήρηση των δεδομένων, καθώς και
  • Στην “αρχή της λογοδοσίας” σύμφωνα με την οποία η επιχείρηση φέρει την ευθύνη και πρέπει να μπορεί να αποδείξει τη συμμόρφωσή της με όλες τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων.

Επιπλέον, οι βασικές αρχές του κανονισμού επιβάλουν τα παρακάτω:

Προστασία Δεδομένων: Ο κανονισμός επιβάλλει την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων που να διασφαλίζουν ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα που είναι απαραίτητα για το σκοπό της επεξεργασίας. Δεν νομιμοποιείστε να ζητάτε το θρήσκευμα όταν προσλαμβάνετε έναν οδηγό σχολικού λεωφορείου.

Ασφάλεια Επεξεργασίας: O υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία πρέπει να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το ενδεδειγμένο επίπεδο ασφάλειας.

Σημειώνουμε ότι η ασφάλεια δεν αφορά μόνο την ψηφιακή επεξεργασία. Αν παραπέσει η έντυπη κατάσταση των εκπαιδευτικών που αποστέλλεται στο λογιστικό γραφείο είτε από ευθύνη του εκπαιδευτηρίου είτε από ευθύνη του λογιστικού γραφείου έχουμε παραβίαση ασφαλείας και διαρροή δεδομένων.

Γνωστοποίηση Παραβιάσεων: Το εκπαιδευτήριο έχει υποχρέωση, μόλις αντιληφθεί παραβίαση, να ενημερώσει τις αρμόδιες εποπτικές Αρχές και το φυσικό πρόσωπο, εφόσον η παραβίαση αυτή θέτει το φυσικό πρόσωπο σε σοβαρό κίνδυνο. Επίσης πρέπει να γνωστοποιείται και πιθανή παραβίαση όπως πχ η κλοπή ενός υπολογιστή ο οποίος περιέχει δεδομένα γονέων.

Εκτίμηση Επιπτώσεων: Όταν η επεξεργασία ενδέχεται να έχει υψηλό κίνδυνο για τα δικαιώματα των ατόμων - ιδίως επειδή είναι συστηματική και μεγάλης κλίμακας, αφορά ειδικές κατηγορίες δεδομένων και βασίζεται στη χρήση νέων τεχνολογιών - ο υπεύθυνος επεξεργασίας πρέπει να διενεργήσει εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων.