Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων παρέχει συμβουλές προς τις μικρομεσαίες επιχειρήσεις για τη συμμόρφωσή τους με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων
Στο πλαίσιο ενημέρωσης των εμπλεκομένων προσώπων και φορέων σχετικά με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημιούργησε ειδικές ενότητες στον ιστότοπό του, μέσα από την οποία παρέχει πλήθος συμβουλών και κατευθύνσεων.
Μια από τις ενότητες αυτές απευθύνεται στις μικρομεσαίες επιχειρήσεις που εμπλέκονται σε πράξεις επεξεργασίας προσωπικών δεδομένων, για την υποβοήθηση των οποίων το ΕΣΠΔ εκπόνησε και κείμενο ερωτήσεων – απαντήσεων.
Είμαι υποχρεωμένος να δημοσιοποιήσω το αρχείο δραστηριοτήτων μου;
Όχι, δεν είναι απαραίτητο να δημοσιοποιήσετε το αρχείο δραστηριοτήτων σας. Πρέπει, ωστόσο, να είστε σε θέση να θέσετε το αρχείο στη διάθεση της αρχής προστασίας δεδομένων, όταν αυτό σας ζητηθεί.
Ως υπεύθυνος επεξεργασίας έχω συλλέξει δεδομένα προσωπικού χαρακτήρα ατόμων από τρίτα μέρη. Τι πρέπει να κάνω για βρίσκομαι σε συμμόρφωση;
Βεβαιωθείτε ότι τα δεδομένα που λάβατε συλλέχθηκαν νόμιμα και ότι τα εμπλεκόμενα άτομα έχουν ενημερωθεί για την επεξεργασία των προσωπικών δεδομένων τους.
Σε περίπτωση όπου τρίτος επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό σας, βεβαιωθείτε ότι έχετε συνάψει σύμβαση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, στην οποία περιγράφονται λεπτομερώς οι πράξεις και τα μέσα της επεξεργασίας.
Και φυσικά, να συμμορφώνεστε με όλες τις υποχρεώσεις των υπευθύνων επεξεργασίας.
Χρειάζομαι υποχρεωτικά τη συγκατάθεση του ατόμου για να επεξεργάζομαι προσωπικά δεδομένα του;
Η επεξεργασία προσωπικών δεδομένων επιτρέπεται εάν υπάρχει νομική βάση για αυτήν. Εκτός από την ελεύθερη, συγκεκριμένη, εν πλήρει επιγνώσει και αδιαμφισβήτητη συγκατάθεση, υπάρχουν και άλλες νομικές βάσεις για την επεξεργασία που μπορούν να χρησιμοποιηθούν.
Με άλλα λόγια, η συγκατάθεση είναι αναγκαία, όταν καμία από τις άλλες νομικές βάσεις δεν εφαρμόζεται.
Μπορώ να δημοσιεύσω τα ονόματα των νικητών ενός διαγωνισμού στον ιστότοπό μου;
Η δημοσίευση των ονομάτων των νικητών ενός διαγωνισμού στον ιστότοπό σας θα μπορούσε να θεωρηθεί ως έννομο συμφέρον, εάν μπορείτε να το αποδείξετε διενεργώντας στάθμιση, ώστε να καθορίσετε εάν τα έννομα συμφέροντά σας υπερτερούν των δικαιωμάτων των ατόμων.
Μια καλή πρακτική θα ήταν να διαμορφώσετε μια εσωτερική διαδικασία στην οποία θα εξηγούνται οι κανόνες σχετικά με τη δημοσίευση των προσωπικών δεδομένων των νικητών.
Επιπλέον, η επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς αυτούς θα πρέπει να αποτελεί μέρος της πολιτικής προστασίας προσωπικών δεδομένων του διαγωνισμού, έτσι ώστε οι συμμετέχοντες να ενημερώνονται εκ των προτέρων για το πώς θα τύχουν επεξεργασίας τα δεδομένα τους.
Μπορώ να καταγράφω τηλεφωνικές συνομιλίες με πελάτες προκειμένου να βελτιώσω την ποιότητα των υπηρεσιών μου; Χρειάζομαι τη συγκατάθεσή τους για αυτό;
Ναι, οι πελάτες σας πρέπει να ενημερώνονται, όταν πραγματοποιούν τηλεφωνική κλήση, για τους σκοπούς της καταγραφής, τους αποδέκτες των ηχογραφήσεων, το δικαίωμά τους να αντιταχθούν και το δικαίωμά τους να έχουν πρόσβαση στις καταγραφές.
Μπορώ να εγκαταστήσω σύστημα βιντεοεπιτήρησης στις εγκαταστάσεις μου για την προστασία της περιουσίας μου;
Το πρώτο βήμα για την εγκατάσταση συστήματος βιντεοεπιτήρησης είναι να προσδιορίσετε τον σκοπό ή τους σκοπούς της εγκατάστασης. Οι σκοποί για την εγκατάσταση συστήματος βιντεοεπιτήρησης μπορούν να είναι διάφοροι, όπως η διαφύλαξη της ασφάλειας των εγκαταστάσεων, η συνδρομή στην πρόληψη και τον εντοπισμό κλοπών και άλλων εγκλημάτων ή η προστασία της ζωής και της υγείας των εργαζομένων, λόγω της φύσης της εργασίας.
Όπως συμβαίνει με κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, η καταγραφή ατόμων πρέπει να στηρίζεται σε νομική βάση σύμφωνα με τον ΓΚΠΔ. Η συγκατάθεση μπορεί να αποτελέσει νομική βάση για την εν λόγω επεξεργασία δεδομένων. Ωστόσο, είναι απίθανο να εφαρμοστεί στη χρήση συστήματος βιντεοεπιτήρησης στις περισσότερες περιπτώσεις, καθώς θα είναι δύσκολο να ληφθεί η ελεύθερη συγκατάθεση όλων όσοι είναι πιθανό να καταγραφούν. Η πιο συνηθισμένη νομική βάση για αυτού του είδους την επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι το έννομο συμφέρον. Όταν η επεξεργασία βασίζεται σε έννομο συμφέρον, θα πρέπει να διενεργήσετε στάθμιση. ώστε να καθορίσετε αν τα έννομα συμφέροντά σας υπερτερούν των δικαιωμάτων του ατόμου.
Θα πρέπει να ενημερώνετε τα άτομα ότι βιντεοσκοπούνται. Αυτό μπορεί να γίνει με την τοποθέτηση ευανάγνωστων πινακίδων σε εμφανή σημεία. Επιπλέον, σε όλες τις εισόδους θα πρέπει να τοποθετείται πινακίδα που να αναφέρει τον σκοπό του συστήματος και την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας.
Τα άτομα των οποίων οι εικόνες καταγράφονται από ένα σύστημα βιντεοεπιτήρησης θα πρέπει να λαμβάνουν τις ακόλουθες πληροφορίες:
- την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας,
- τους σκοπούς της επεξεργασίας,
- τη νομική βάση της επεξεργασίας (εάν πρόκειται για έννομο συμφέρον, συγκεκριμένες πληροφορίες σχετικά με το ποια έννομα συμφέροντα σχετίζονται με τη συγκεκριμένη επεξεργασία και ποιος φορέας επιδιώκει κάθε έννομο συμφέρον),
- τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, ΥΠΔ (εάν υπάρχει ΥΠΔ),
- τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων,
- τις ρυθμίσεις ασφαλείας για το υλικό,
- την περίοδο διατήρησης του υλικού,
- την ύπαρξη δικαιωμάτων των ατόμων βάσει του ΓΚΠΔ και το δικαίωμα υποβολής καταγγελίας στην εθνική αρχή προστασίας δεδομένων.
Μπορώ να μοιραστώ προσωπικά δεδομένα ατόμων με τους επιχειρηματικούς συνεργάτες μου (τρίτους);
Ναι, μπορείτε, αλλά ο ΓΚΠΔ επιβάλλει ορισμένες υποχρεώσεις στις επιχειρήσεις που μοιράζονται δεδομένα προσωπικού χαρακτήρα. Ο οργανισμός σας πρέπει να ενημερώνει τα άτομα ότι θα μοιραστείτε τα δεδομένα τους με τρίτους. Πρέπει επίσης να τα ενημερώνετε για τους σκοπούς, την ασφάλεια, την πρόσβαση και τα μέτρα διατήρησης που θα ισχύουν.
Μπορώ να διαβιβάσω δεδομένα προσωπικού χαρακτήρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ);
Σύμφωνα με τον ΓΚΠΔ, υπάρχουν, κατ’ αρχήν, δύο βασικοί τρόποι για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε χώρα εκτός ΕΟΧ ή διεθνή οργανισμό. Οι διαβιβάσεις μπορούν να πραγματοποιηθούν βάσει απόφασης επάρκειας ή, ελλείψει τέτοιας απόφασης, βάσει κατάλληλων εγγυήσεων, συμπεριλαμβανομένων εκτελεστών δικαιωμάτων και ένδικων μέσων για τα άτομα.
Έχουν και οι εκτελούντες την επεξεργασία την υποχρέωση να τηρούν τον ΓΚΠΔ;
Ναι, οι εκτελούντες την επεξεργασία (δηλαδή τα φυσικά ή νομικά πρόσωπα που επεξεργάζονται δεδομένα για λογαριασμό ενός υπευθύνου επεξεργασίας), έχουν υποχρεώσεις βάσει του ΓΚΠΔ. Υπάρχουν, ωστόσο, ορισμένες διαφορές μεταξύ των ευθυνών των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία.
Πρέπει να τηρώ αρχείο δραστηριοτήτων;
Σε γενικές γραμμές, κάθε οργανισμός θα πρέπει να τηρεί αρχείο των δραστηριοτήτων επεξεργασίας του. Πρόκειται για μια απογραφή όλων των πράξεων επεξεργασίας, η οποία μπορεί να σας βοηθήσει να κάνετε σωστές αξιολογήσεις σχετικά με τις ευθύνες σας βάσει του ΓΚΠΔ και τους πιθανούς κινδύνους.
Κάθε πράξη επεξεργασίας πρέπει να καταγράφεται στο αρχείο δραστηριοτήτων με τις ακόλουθες πληροφορίες:
- ο σκοπός της επεξεργασίας (π.χ. πιστότητα πελατών),
- οι κατηγορίες δεδομένων που υποβάλλονται σε επεξεργασία (π.χ. για τη μισθοδοσία: όνομα, ονοματεπώνυμο, ημερομηνία γέννησης, μισθός κ.λπ,)
- ποιος έχει πρόσβαση στα δεδομένα (οι αποδέκτες – π.χ.: το τμήμα που είναι υπεύθυνο για την πρόσληψη, το τμήμα ΙΤ, η διοίκηση, οι πάροχοι υπηρεσιών, οι συνεργάτες…),
- κατά περίπτωση, πληροφορίες σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ),
- όπου είναι δυνατόν, την περίοδο αποθήκευσης (το χρονικό διάστημα για το οποίο τα δεδομένα είναι χρήσιμα από επιχειρησιακή άποψη και από άποψη αρχειοθέτησης).
- όπου είναι δυνατόν, γενική περιγραφή των μέτρων ασφαλείας.
Η καταγραφή των δραστηριοτήτων επεξεργασίας εμπίπτει στην αρμοδιότητα του διευθυντή του οργανισμού σας.
Το αρχείο αυτό πρέπει να είναι διαθέσιμο στην αρχή προστασίας δεδομένων της χώρας του ΕΟΧ όπου δραστηριοποιείστε, εφόσον ζητηθεί.
Οργανισμοί που απασχολούν λιγότερα από 250 άτομα δεν απαιτείται να αναφέρουν στο αρχείο τους καθαρά περιστασιακές δραστηριότητες (π.χ. δεδομένα που υποβάλλονται σε επεξεργασία για μεμονωμένες εκδηλώσεις, όπως το άνοιγμα ενός καταστήματος).
Το κείμενο των FAQs είναι διαθέσιμο εδώ στα αγγλικά: https://edpb.europa.eu/sme-data-protection-guide/faq-frequently-asked-questions_en
Ο πλήρης Οδηγός για τις μικρομεσαίες επιχειρήσεις είναι διαθέσιμος εδώ: https://edpb.europa.eu/sme-data-protection-guide/home_en