Ο Ευρωπαϊκός Κανονισμός έχει ψηφιστεί από το Ευρωπαϊκό Κοινοβούλιο και πρέπει να εφαρμοστεί υποχρεωτικά από όλα τα κράτη μέλη από 25-05-2018. Δεν απαιτείται κρατική νομοθεσία και από την ημέρα εφαρμογής του θα επιβάλλονται πρόστιμα σε όσους δεν είναι σύμφωνοι με αυτόν.
Ο νέος κανονισμός πρέπει να εφαρμοστεί από όλους ανεξαιρέτως όσοι χειρίζονται προσωπικά δεδομένα. Απευθύνεται κατά συνέπεια σε ιδιωτικές επιχειρήσεις, δημόσιες υπηρεσίες, κρατικούς φορείς και συλλόγους που χρησιμοποιούν δεδομένα που αφορούν κατοίκους της Ε.Ε.
Παραδείγματα προσωπικών δεδομένων
- Όνομα και επώνυμο
- Διεύθυνση IP
- Αριθμός δελτίου ταυτότητας
- Αριθμός πιστωτικής κάρτας
- Διεύθυνση, γεωγραφικός εντοπισμός κινητού τηλεφώνου
Και γενικότερα όλα τα δεδομένα που αφορούν την οικονομική, κοινωνική, σωματική και ψυχολογική κατάσταση κάθε φυσικού προσώπου. Επομένως δεν αφορά δεδομένα νομικών προσώπων (π.χ. εταιρειών), αφορά όμως μια ατομική επιχείρηση.
Βασικές οδηγίες προς τις επιχειρήσεις
- Να συλλέγουν δεδομένα μόνο για τον συγκεκριμένο σκοπό χωρίς να τα επεξεργάζονται για διαφορετικούς σκοπούς
- Να τα αποθηκεύουν για το μικρότερο δυνατό χρονικό διάστημα και να τα μεταφέρουν μόνο υπό συγκεκριμένες προϋποθέσεις
- Να μην υπάρχει πρόσβαση στα δεδομένα από συνεργάτες που δεν ακολουθούν τον κανονισμό
- Σε περίπτωση αιτήματος ανάκλησης της συγκατάθεσης, διόρθωση, διαγραφή κτλ να έχουν αναπτύξει ηλεκτρονικά εργαλεία μέσω την οποίων να ανταποκρίνονται άμεσα
- Να ενημερώνουν την αρμόδια αρχή εντός 72 ωρών κάθε παραβίαση δεδομένων
- Να ενημερώνουν τα φυσικά πρόσωπα για τα δικαιώματά τους
- Να μπορούν να αποδείξουν ότι πληρούν όσα υποδεικνύει ο κανονισμός
Τα νέα δεδομένα
- Ορισμός υπεύθυνου επεξεργασίας
- Εφαρμογή προστίμων βάσει του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, που μπορεί να φτάσουν τα 20.000.000€
- Ανακοίνωση παραβίασης δεδομένων σε 72 ώρες
- Οι προϋποθέσεις με τις οποίες πραγματοποιείται η συναίνεση επεξεργασίας δεδομένων γίνεται αυστηρότερη (π.χ. το προεπιλεγμένο κουτάκι αποδοχής Πολιτικής Απορρήτου δεν αρκεί για να θεωρηθεί νόμιμη η αποδοχή των όρων).
- Δικαίωμα στη λήθη: Τα πρόσωπα μπορούν να ζητήσουν διαγραφή των δεδομένων αν αυτά διατηρούνται για μεγαλύτερο διάστημα, αν χρησιμοποιούνται για διαφορετικό σκοπό ή αν συλλέχτηκαν παράνομα.
- Ψευδωνυμοποίηση: Τα δεδομένα αποθηκεύονται με τέτοιο τρόπο ώστε να μην μπορεί να γίνει αποκωδικοποίηση των δεδομένων με κανένα τρόπο.
Χαρακτηριστικό παράδειγμα αποτελεί η περίπτωση της παραβίασης των στοιχείων του Κυβερνήτη της Μασαχουσέτης. Η διαρροή έγινε μέσω της διασταύρωσης των στοιχείων του εκλογικού καταλόγου (με στοιχεία Τ.Κ., Ημ/νία Γέννησης, Φύλο, Όνομα, Διεύθυνση, Ημ/νία εγγραφής, Τελευταία φορά που ψήφισε) και των ανώνυμων ιατρικών δεδομένων που διατηρούσε ο πάροχος ασφάλισής του (με στοιχεία Τ.Κ., Ημ/νία Γέννησης, Φύλο, Ημερομηνία επίσκεψης, Εθνικότητα, Διάγνωση, Θεραπεία, Αγωγή, Χρέωση).
Επομένως με μοναδικά κοινά δεδομένα τον Τ.Κ., την ημερομηνία γέννησης, και το φύλο διαπιστώθηκε το όνομα του ατόμου που νοσηλεύτηκε.
Από την έρευνα στην οποία έχει δημοσιευτεί αυτό το παράδειγμα (Sweeney, 2002) το 87% του πληθυσμού των Η.Π.Α. μπορεί να ταυτοποιηθεί με μοναδικές πληροφορίες το φύλο, τον Τ.Κ. και την ημερομηνία γέννησης.*
*Sweeney, L. 2002. K-anonymity: a model for protecting privacy. International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, 10 (5), 557-570.
