Η κοινή χρήση δεδομένων είναι η κινητήρια δύναμη του σύγχρονου εμπορίου. Είτε προσλαμβάνετε έναν νέο πάροχο cloud, είτε συνεργάζεστε με ένα πρακτορείο μάρκετινγκ, είτε ενσωματώνετε ένα σύστημα HR τρίτου μέρους, τα προσωπικά δεδομένα ρέουν συνεχώς μεταξύ των οργανισμών. Αλλά ιδού η δυσάρεστη αλήθεια: οι περισσότερες επιχειρήσεις υποτιμούν το νομικό ναρκοπέδιο που αντιπροσωπεύει η κοινή χρήση δεδομένων βάσει του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR).
Τα διακυβεύματα είναι πραγματικά. Τα πρόστιμα μπορούν να φτάσουν τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών —όποιο από τα δύο είναι υψηλότερο. Πέρα από τις οικονομικές κυρώσεις, διατρέχετε τον κίνδυνο βλάβης της φήμης σας, κανονιστικού ελέγχου και αξιώσεων αστικής ευθύνης από τα επηρεαζόμενα άτομα. Η Ολλανδική Αρχή Προστασίας Δεδομένων (Autoriteit Persoonsgegevens ή AP) έχει καταστήσει σαφές: η άγνοια δεν αποτελεί υπεράσπιση.
Αυτό το άρθρο σας καθοδηγεί σε επτά κρίσιμους κινδύνους του GDPR που προκύπτουν κατά την κοινοποίηση προσωπικών δεδομένων. Κάθε κίνδυνος βασίζεται σε συγκεκριμένες διατάξεις του GDPR, απεικονίζεται με συνέπειες στον πραγματικό κόσμο και συνδυάζεται με πρακτικές οδηγίες που θα σας βοηθήσουν να παραμείνετε συμμορφωμένοι. Είτε είστε ιδιοκτήτης επιχείρησης, υπεύθυνος συμμόρφωσης είτε νομικός επαγγελματίας που δραστηριοποιείται στην Ολλανδία, η κατανόηση αυτών των παγίδων είναι απαραίτητη.
1. Κοινοποίηση Δεδομένων Χωρίς Έγκυρη Νομική Βάση (Άρθρο 6 ΓΚΠΔ)
Ο κίνδυνος: Δεν μπορείτε να κοινοποιείτε προσωπικά δεδομένα μόνο και μόνο επειδή είναι βολικό ή ωφέλιμο. Κάθε περίπτωση κοινοποίησης δεδομένων απαιτεί έγκυρη νομική βάση σύμφωνα με το Άρθρο 6 του ΓΚΠΔ.
Γιατί οι εταιρείες κάνουν λάθος: Πολλοί οργανισμοί υποθέτουν ότι η ύπαρξη εμπορικού λόγου για την κοινοποίηση δεδομένων είναι αρκετή. Δεν είναι. Ο ΓΚΠΔ παρέχει έξι νόμιμες βάσεις για την επεξεργασία: συγκατάθεση, συμβατική αναγκαιότητα, νομική υποχρέωση, ζωτικά συμφέροντα, δημόσιο καθήκον και έννομα συμφέροντα. Κάθε μία έχει συγκεκριμένες απαιτήσεις και περιορισμούς.
Για παράδειγμα, συχνά γίνεται επίκληση «έννομων συμφερόντων» για να δικαιολογηθεί η κοινοποίηση δεδομένων με συνεργάτες ή παρόχους υπηρεσιών. Ωστόσο, αυτή η βάση απαιτεί μια προσεκτική εξισορρόπηση: τα συμφέροντά σας δεν πρέπει να υπερισχύουν των δικαιωμάτων και των ελευθεριών των ατόμων των οποίων τα δεδομένα επεξεργάζεστε. Και πρέπει να τεκμηριώσετε αυτήν την αξιολόγηση.
Νομική βάση: Το Άρθρο 6 του ΓΚΠΔ ορίζει τον εξαντλητικό κατάλογο των νόμιμων βάσεων. Το Άρθρο 5(1)(α) του ΓΚΠΔ ορίζει ότι κάθε επεξεργασία πρέπει να είναι νόμιμη, δίκαιη και διαφανής.
Συνέπειες στον πραγματικό κόσμο: Το AP έχει επιβάλει πρόστιμα σε οργανισμούς που κοινοποίησαν δεδομένα πελατών σε τρίτους για σκοπούς μάρκετινγκ χωρίς την κατάλληλη νομική βάση. Ακόμα κι αν τα δεδομένα ήταν ανώνυμα ή συγκεντρωτικά, εάν είναι δυνατή η εκ νέου ταυτοποίηση, παραμένουν προσωπικά δεδομένα και απαιτούν νόμιμη βάση.
Πρακτικό Takeaway: Πριν από την κοινοποίηση οποιωνδήποτε προσωπικών δεδομένων, προσδιορίστε και τεκμηριώστε ποια νομική βάση ισχύει. Εάν βασίζεστε σε έννομα συμφέροντα, διεξάγετε και καταγράψτε μια αξιολόγηση έννομων συμφερόντων (LIA). Εάν χρησιμοποιείτε συγκατάθεση, βεβαιωθείτε ότι παρέχεται ελεύθερα, είναι συγκεκριμένη, ενημερωμένη και σαφής.
2. Σύγχυση σχετικά με τους ρόλους: Υπεύθυνος επεξεργασίας έναντι επεξεργαστή (Άρθρο 4(7)–(8) ΓΚΠΔ)
Ο κίνδυνος: Ο ΓΚΠΔ κάνει διάκριση μεταξύ υπευθύνων επεξεργασίας (οι οποίοι καθορίζουν τους σκοπούς και τα μέσα επεξεργασίας) και εκτελούντων την επεξεργασία (οι οποίοι επεξεργάζονται δεδομένα για λογαριασμό ενός υπευθύνου επεξεργασίας). Η εσφαλμένη αναγνώριση του ρόλου σας —ή του ρόλου του συνεργάτη σας— δημιουργεί σοβαρά κενά συμμόρφωσης.
Γιατί οι εταιρείες κάνουν λάθος: Στην πράξη, οι ρόλοι μπορεί να είναι ασαφείς. Εάν κοινοποιείτε δεδομένα με έναν πάροχο SaaS, είναι υπεύθυνος επεξεργασίας ή επεξεργαστής; Τι γίνεται αν χρησιμοποιούν τα δεδομένα σας για να βελτιώσουν τους αλγόριθμούς τους; Πολλές επιχειρήσεις αποκαλούν κατά προεπιλογή κάθε προμηθευτή «επεξεργαστή» χωρίς να αναλύουν σωστά τη σχέση.
Η λανθασμένη ταξινόμηση έχει σημασία επειδή οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία έχουν διαφορετικές υποχρεώσεις. Οι υπεύθυνοι επεξεργασίας πρέπει να διασφαλίζουν ότι οι εκτελούντες την επεξεργασία παρέχουν επαρκείς εγγυήσεις συμμόρφωσης (άρθρο 28 του ΓΚΠΔ). Οι από κοινού υπεύθυνοι επεξεργασίας πρέπει να συμφωνούν σχετικά με τις αντίστοιχες ευθύνες τους (άρθρο 26 του ΓΚΠΔ). Αν κάνετε λάθος, ενδέχεται να θεωρηθείτε υπεύθυνοι για παραβιάσεις που δεν γνωρίζατε καν ότι συνέβαιναν.
Νομική βάση: Το άρθρο 4(7) και (8) του ΓΚΠΔ ορίζει τους όρους «υπεύθυνος επεξεργασίας» και «εκτελών την επεξεργασία». Το άρθρο 24 του ΓΚΠΔ περιγράφει τις υποχρεώσεις λογοδοσίας του υπεύθυνου επεξεργασίας.
Συνέπειες στον πραγματικό κόσμο: Το Ευρωπαϊκό Δικαστήριο αποφάνθηκε το Fashion ID (C-40/17) ότι ακόμη και ο μερικός προσδιορισμός των σκοπών μπορεί να σας καταστήσει συνυπεύθυνο επεξεργασίας. Αυτό σημαίνει ότι μπορείτε να θεωρηθείτε από κοινού υπεύθυνοι για παραβιάσεις του ΓΚΠΔ, ακόμη και αν κάποιο άλλο μέρος τις προκάλεσε.
Πρακτικό Takeaway: Χαρτογραφήστε τις ροές δεδομένων και προσδιορίστε ποιος αποφασίζει γιατί Αυτό που μπερδεύει, είναι το πώς. δεδομένα υποβάλλονται σε επεξεργασία. Τεκμηριώστε αυτό εγγράφως και βεβαιωθείτε ότι κάθε μέρος κατανοεί τον ρόλο και τις υποχρεώσεις του.
3. Ελλιπής ή ανεπαρκής συμφωνία επεξεργασίας δεδομένων (άρθρο 28 του ΓΚΠΔ)
Ο κίνδυνος: Εάν αναθέσετε σε έναν επεξεργαστή την επεξεργασία την επεξεργασία προσωπικών δεδομένων εκ μέρους σας, είστε νομικά υποχρεωμένοι να έχετε σε ισχύ γραπτή συμφωνία επεξεργασίας δεδομένων (DPA). Δεν υπάρχουν εξαιρέσεις.
Γιατί οι εταιρείες κάνουν λάθος: Είναι δελεαστικό να παραλείψετε τα έγγραφα, ειδικά με αξιόπιστους ή μακροχρόνιους συνεργάτες. Αλλά χωρίς μια συμβατή DPA, παραβιάζετε το Άρθρο 28 του ΓΚΠΔ από την πρώτη κιόλας ημέρα — ακόμη και αν δεν προκληθεί πραγματική βλάβη.
Μια σωστή DPA πρέπει να περιλαμβάνει συγκεκριμένες υποχρεωτικές ρήτρες: το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των προσωπικών δεδομένων, τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπεύθυνου επεξεργασίας. Πρέπει επίσης να καλύπτει την υπεργολαβία επεξεργασίας, την ασφάλεια των δεδομένων και την κοινοποίηση παραβιάσεων.
Νομική βάση: Το άρθρο 28(3) του ΓΚΠΔ απαριθμεί το υποχρεωτικό περιεχόμενο μιας DPA. Το άρθρο 28(4) του ΓΚΠΔ απαιτεί ρητή άδεια για τους υπεργολάβους επεξεργασίας.
Συνέπειες στον πραγματικό κόσμο: Η Αρχή Προστασίας Δεδομένων (AP) έχει επιβάλει κυρώσεις σε οργανισμούς για την πρόσληψη επεξεργαστών χωρίς επαρκείς ΑΠΔ. Ακόμα και αν ο ίδιος ο επεξεργαστής συμμορφώνεται, ο υπεύθυνος επεξεργασίας μπορεί να επιβληθεί πρόστιμο επειδή δεν έχει συνάψει κατάλληλη συμφωνία.
Πρακτικό Takeaway: Χρησιμοποιήστε ένα τυποποιημένο πρότυπο DPA που καλύπτει όλες τις απαιτήσεις του Άρθρου 28(3). Εξετάστε τις υπάρχουσες συμφωνίες για να βεβαιωθείτε ότι συμμορφώνονται με τον ΓΚΠΔ. Μην ενσωματώνετε κανέναν νέο επεξεργαστή χωρίς υπογεγραμμένη DPA.
4. Παράνομη μεταφορά σε τρίτες χώρες εκτός του ΕΟΧ (άρθρα 44–49 GDPR & Schrems II)
Ο κίνδυνος: Η μεταφορά προσωπικών δεδομένων εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) υπόκειται σε αυστηρούς περιορισμούς. Μπορείτε να το κάνετε μόνο εάν η χώρα προορισμού παρέχει επαρκές επίπεδο προστασίας ή εάν εφαρμόζετε κατάλληλες δικλείδες ασφαλείας.
Γιατί οι εταιρείες κάνουν λάθος: Πολλές επιχειρήσεις χρησιμοποιούν υπηρεσίες cloud, επεξεργαστές πληρωμών ή εργαλεία ανάλυσης που φιλοξενούνται στις ΗΠΑ ή την Ασία χωρίς να συνειδητοποιούν ότι ενεργοποιούν διεθνείς κανόνες μεταφοράς. Ακόμα κι αν η σύμβασή σας είναι με οντότητα της ΕΕ, εάν τα δεδομένα αποθηκεύονται ή προσπελαύνονται εκτός του ΕΟΧ, ισχύουν οι κανόνες μεταφοράς.
The Σχέδια II Η απόφαση (Υπόθεση C-311/18) ακύρωσε την Ασπίδα Προστασίας Προσωπικών Δεδομένων ΕΕ-ΗΠΑ και ενίσχυσε το γεγονός ότι οι τυποποιημένες συμβατικές ρήτρες (SCC) από μόνες τους δεν επαρκούν. Πρέπει επίσης να διενεργήσετε εκτίμηση επιπτώσεων στις μεταφορές (TIA) για να αξιολογήσετε εάν οι νόμοι της χώρας προορισμού υπονομεύουν την προστασία που εγγυώνται οι SCC.
Νομική βάση: Τα άρθρα 44–49 του ΓΚΠΔ διέπουν τις διεθνείς μεταφορές. Το Κεφάλαιο V του ΓΚΠΔ απαιτεί αποφάσεις επάρκειας (Άρθρο 45) ή κατάλληλες διασφαλίσεις (Άρθρο 46), όπως οι Τερματικοί Όροι Συναλλαγών (ΤΣΔ).
Συνέπειες στον πραγματικό κόσμο: Η Αρχή Ισχύος (AP) μπορεί να σας διατάξει να αναστείλετε ή να απαγορεύσετε τις μεταφορές δεδομένων σε τρίτες χώρες εάν δεν υπάρχουν επαρκείς εγγυήσεις. Οι εταιρείες έχουν αντιμετωπίσει μέτρα επιβολής του νόμου και ζημία στη φήμη τους για τη μεταφορά δεδομένων στις ΗΠΑ χωρίς τη διενέργεια TIA μετά την...Σχέδια II.
Πρακτικό Takeaway: Εντοπίστε όλες τις μεταφορές από τρίτες χώρες στις ροές δεδομένων σας. Ελέγξτε εάν υπάρχει απόφαση επάρκειας. Εάν όχι, εφαρμόστε SCC και διενεργήστε TIA. Καταγράψτε συμπληρωματικά μέτρα, εάν χρειάζεται (π.χ. κρυπτογράφηση, ψευδωνυμοποίηση).
5. Μη διενέργεια Εκτίμησης Επιπτώσεων στην Προστασία Δεδομένων (Άρθρο 35 ΓΚΠΔ)
Ο κίνδυνος: Η διενέργεια Εκτίμησης Επιπτώσεων στην Προστασία Δεδομένων (ΕΕΠΔ) είναι υποχρεωτική όταν η κοινοποίηση δεδομένων είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων. Αυτό περιλαμβάνει την επεξεργασία ειδικών κατηγοριών δεδομένων σε μεγάλη κλίμακα, τη συστηματική παρακολούθηση ή τη χρήση νέων τεχνολογιών.
Γιατί οι εταιρείες κάνουν λάθος: Πολλοί οργανισμοί αντιμετωπίζουν τις DPIA ως προαιρετικές ή σχετικές μόνο για «μεγάλα» έργα. Στην πραγματικότητα, η κοινοποίηση δεδομένων υγείας με μια πλατφόρμα ανάλυσης τρίτων, η ανάπτυξη εργαλείων δημιουργίας προφίλ που βασίζονται σε τεχνητή νοημοσύνη ή ο συνδυασμός συνόλων δεδομένων από πολλαπλές πηγές μπορούν να ενεργοποιήσουν την απαίτηση DPIA.
Μια ΕΑΠΔ δεν είναι απλώς μια διαδικασία συμπλήρωσης κριτηρίων. Είναι μια δομημένη διαδικασία για τον εντοπισμό κινδύνων, την αξιολόγηση της σοβαρότητάς τους και τον καθορισμό μέτρων για τον μετριασμό τους. Εάν οι υπολειπόμενοι κίνδυνοι παραμένουν υψηλοί, πρέπει να συμβουλευτείτε τον Ερευνητή Κινδύνων (APD) πριν προχωρήσετε.
Νομική βάση: Το Άρθρο 35 του ΓΚΠΔ επιβάλλει την διενέργεια ΕΑΠΔ για επεξεργασίες υψηλού κινδύνου. Η Αρχή Προστασίας Δεδομένων (APD) έχει δημοσιεύσει κατευθυντήριες γραμμές σχετικά με το πότε απαιτείται ΕΑΠΔ.
Συνέπειες στον πραγματικό κόσμο: Η μη διεξαγωγή ΕΑΠΔ όταν απαιτείται αποτελεί από μόνη της παραβίαση του ΓΚΠΔ. Το AP έχει επιβάλει πρόστιμα σε οργανισμούς επειδή προχώρησαν σε κοινοποίηση δεδομένων υψηλού κινδύνου χωρίς να ολοκληρώσουν ΕΑΠΔ, ακόμη και όταν δεν υπήρξε πραγματική παραβίαση δεδομένων.
Πρακτικό Takeaway: Ελέγξτε όλες τις δραστηριότητες κοινής χρήσης δεδομένων για ενεργοποιητές DPIA. Σε περίπτωση αμφιβολίας, διενεργήστε έναν. Συμπεριλάβετε τον Υπεύθυνο Προστασίας Δεδομένων (DPO) και καταγράψτε διεξοδικά τη διαδικασία αξιολόγησης.
6. Ανεπαρκής ενημέρωση των υποκειμένων των δεδομένων (Άρθρα 13 και 14 του ΓΚΠΔ)
Ο κίνδυνος: Η διαφάνεια αποτελεί ακρογωνιαίο λίθο του ΓΚΠΔ. Κάθε φορά που συλλέγετε ή κοινοποιείτε προσωπικά δεδομένα, πρέπει να ενημερώνετε τα υποκείμενα των δεδομένων σχετικά με το ποιος θα λάβει τα δεδομένα τους, για ποιο σκοπό και με ποια νομική βάση.
Γιατί οι εταιρείες κάνουν λάθος: Οι ειδοποιήσεις απορρήτου είναι συχνά αόριστες ή ξεπερασμένες. Φράσεις όπως «ενδέχεται να κοινοποιήσουμε τα δεδομένα σας σε αξιόπιστους συνεργάτες» δεν επαρκούν. Πρέπει να προσδιορίσετε τις κατηγορίες παραληπτών (π.χ. «πάροχοι cloud hosting», «εταιρείες μάρκετινγκ») και, όπου είναι σχετικό, να τις κατονομάσετε.
Όταν τα δεδομένα λαμβάνονται έμμεσα — για παράδειγμα, από έναν μεσίτη δεδομένων ή άλλον υπεύθυνο επεξεργασίας — το Άρθρο 14 του ΓΚΠΔ επιβάλλει πρόσθετες υποχρεώσεις πληροφόρησης, συμπεριλαμβανομένης της πηγής των δεδομένων.
Νομική βάση: Τα άρθρα 13 και 14 του ΓΚΠΔ απαριθμούν τις πληροφορίες που πρέπει να παρέχονται στα υποκείμενα των δεδομένων. Το άρθρο 5(1)(α) του ΓΚΠΔ απαιτεί διαφάνεια σε όλες τις δραστηριότητες επεξεργασίας.
Συνέπειες στον πραγματικό κόσμο: Το AP έχει επιβάλει κυρώσεις σε εταιρείες επειδή δεν ενημέρωσαν τα άτομα ότι τα δεδομένα τους κοινοποιούνταν σε τρίτους. Ακόμα κι αν η ίδια η κοινοποίηση ήταν νόμιμη, η ανεπαρκής διαφάνεια αποτελεί αυτόνομη παραβίαση.
Πρακτικό Takeaway: Ελέγξτε και ενημερώστε τις ειδοποιήσεις απορρήτου σας ώστε να περιγράφουν με σαφήνεια τις πρακτικές κοινής χρήσης δεδομένων. Βεβαιωθείτε ότι οι ειδοποιήσεις είναι εύκολα προσβάσιμες και γραμμένες σε απλή γλώσσα. Όταν κοινοποιείτε δεδομένα σε νέους συνεργάτες, ενημερώστε τις ειδοποιήσεις σας πριν ξεκινήσει η κοινοποίηση.
7. Ψευδωνυμοποίηση ως ψευδές αίσθημα ασφάλειας
Ο κίνδυνος: Η ψευδωνυμοποίηση —η αντικατάσταση των άμεσων αναγνωριστικών με κωδικούς ή διακριτικά— ενθαρρύνεται βάσει του ΓΚΠΔ ως μέτρο ασφαλείας. Ωστόσο, δεν καθιστά τα δεδομένα ανώνυμα. Εάν τα δεδομένα εξακολουθούν να μπορούν να συνδεθούν με ένα άτομο, παραμένουν προσωπικά δεδομένα και υπόκεινται στο πλήρες πεδίο εφαρμογής του ΓΚΠΔ.
Γιατί οι εταιρείες κάνουν λάθος: Οι επιχειρήσεις συχνά υποθέτουν ότι τα ψευδωνυμοποιημένα δεδομένα είναι «ασφαλή» για κοινοποίηση χωρίς περιορισμούς. Στην πράξη, η ψευδωνυμοποίηση μόνο μειώνει τον κίνδυνο και δεν τον εξαλείφει. Εάν κοινοποιείτε ψευδωνυμοποιημένα δεδομένα σε έναν συνεργάτη που έχει πρόσβαση στο κλειδί ή σε άλλα σύνολα δεδομένων που επιτρέπουν την επαναταυτοποίηση, εξακολουθείτε να επεξεργάζεστε προσωπικά δεδομένα.
Νομική βάση: Το Άρθρο 4(5) του ΓΚΠΔ ορίζει την ψευδωνυμοποίηση. Η Αιτιολογική Σκέψη 26 του ΓΚΠΔ διευκρινίζει ότι τα ψευδωνυμοποιημένα δεδομένα παραμένουν προσωπικά δεδομένα εκτός εάν είναι πραγματικά ανώνυμα (δηλαδή, η εκ νέου ταυτοποίηση δεν είναι πλέον δυνατή με κανένα εύλογο μέσο).
Συνέπειες στον πραγματικό κόσμο: Το AP έχει διευκρινίσει σε οδηγίες ότι η ψευδωνυμοποίηση δεν αποτελεί κάρτα «απαλλαγής από τη φυλακή». Εάν η εκ νέου ταυτοποίηση είναι εφικτή, ισχύουν όλες οι υποχρεώσεις του GDPR, συμπεριλαμβανομένης της ύπαρξης νομικής βάσης, της διεξαγωγής ΕΑΠΔ και της διασφάλισης επαρκούς ασφάλειας.
Πρακτικό Takeaway: Αντιμετωπίστε τα ψευδωνυμοποιημένα δεδομένα ως προσωπικά δεδομένα, εκτός εάν έχετε υποβληθεί σε αυστηρή διαδικασία ανωνυμοποίησης επικυρωμένη από ειδικούς. Καταγράψτε τα τεχνικά και οργανωτικά μέτρα που εφαρμόζονται για την αποτροπή της εκ νέου ταυτοποίησης.
Συχνές ερωτήσεις
Πότε επιτρέπεται η κοινοποίηση δεδομένων βάσει του ΓΚΠΔ;
Η κοινοποίηση δεδομένων είναι νόμιμη μόνο εάν έχετε έγκυρη νομική βάση σύμφωνα με το Άρθρο 6 του ΓΚΠΔ. Οι έξι νομικές βάσεις είναι: συγκατάθεση, συμβατική αναγκαιότητα, νομική υποχρέωση, ζωτικά συμφέροντα, δημόσιο καθήκον και έννομα συμφέροντα. Πρέπει επίσης να συμμορφώνεστε με τις αρχές της νομιμότητας, της δικαιοσύνης, της διαφάνειας, του περιορισμού του σκοπού, της ελαχιστοποίησης των δεδομένων, της ακρίβειας, του περιορισμού αποθήκευσης, της ακεραιότητας και της εμπιστευτικότητας (Άρθρο 5 του ΓΚΠΔ). Στην πράξη, αυτό σημαίνει σαφή τεκμηρίωση του λόγου για τον οποίο κοινοποιείτε δεδομένα, διασφάλιση της ευθυγράμμισης του σκοπού με τον λόγο για τον οποίο τα συλλέξατε αρχικά και ενημέρωση των υποκειμένων των δεδομένων σχετικά με την κοινοποίηση.
Ποια είναι η διαφορά μεταξύ ενός ελεγκτή και ενός επεξεργαστή;
A ελεγκτής καθορίζει τους σκοπούς και τα μέσα επεξεργασίας των προσωπικών δεδομένων. A επεξεργαστή επεξεργάζεται δεδομένα για λογαριασμό του υπεύθυνου επεξεργασίας βάσει συγκεκριμένων οδηγιών. Αυτή η διάκριση έχει σημασία επειδή οι υπεύθυνοι επεξεργασίας είναι κυρίως υπεύθυνοι για τη συμμόρφωση με τον ΓΚΠΔ, ενώ οι επεξεργαστές έχουν πιο περιορισμένες υποχρεώσεις (κυρίως διασφαλίζοντας την ασφάλεια και την εμπιστευτικότητα). Εάν κοινοποιείτε δεδομένα σε έναν προμηθευτή που τα επεξεργάζεται βάσει των οδηγιών σας - για παράδειγμα, έναν πάροχο μισθοδοσίας ή μια υπηρεσία αποθήκευσης cloud - συνήθως είναι επεξεργαστής. Εάν αποφασίζουν επίσης πώς να χρησιμοποιήσουν τα δεδομένα για τους δικούς τους σκοπούς, μπορεί να είναι (κοινός) υπεύθυνος επεξεργασίας. Η εσφαλμένη αναγνώριση ρόλων μπορεί να οδηγήσει σε κενά στη λογοδοσία και στην κοινή ευθύνη για παραβιάσεις.
Πότε είναι υποχρεωτική μια συμφωνία επεξεργασίας δεδομένων (DPA);
Μια DPA είναι υποχρεωτική κάθε φορά που αναθέτετε σε έναν επεξεργαστή την επεξεργασία να χειρίζεται προσωπικά δεδομένα εκ μέρους σας (Άρθρο 28 ΓΚΠΔ). Αυτό ισχύει ανεξάρτητα από το μέγεθος του οργανισμού σας ή τον όγκο των δεδομένων που εμπλέκονται. Η DPA πρέπει να είναι γραπτή και να περιλαμβάνει συγκεκριμένες υποχρεωτικές ρήτρες, όπως το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό, τους τύπους δεδομένων και τις κατηγορίες των υποκειμένων των δεδομένων, καθώς και τις υποχρεώσεις και των δύο μερών σχετικά με την ασφάλεια, την ειδοποίηση παραβίασης και την υπεργολαβία επεξεργασίας. Χωρίς μια συμβατή DPA, θεωρείτε ότι έχετε παραβιάσει τα δικαιώματα από τη στιγμή που ο επεξεργαστής ξεκινά την επεξεργασία, ακόμη και αν δεν προκληθεί βλάβη.
Μπορώ να κοινοποιήσω δεδομένα πελατών σε τρίτους εκτός ΕΕ;
Ναι, αλλά μόνο εάν πληρούνται αυστηρές προϋποθέσεις. Σύμφωνα με τα άρθρα 44–49 του ΓΚΠΔ, μπορείτε να μεταφέρετε δεδομένα σε τρίτη χώρα εάν: (α) η Ευρωπαϊκή Επιτροπή έχει εκδώσει απόφαση επάρκειας για τη συγκεκριμένη χώρα ή (β) έχετε θεσπίσει κατάλληλες διασφαλίσεις, όπως τυποποιημένες συμβατικές ρήτρες (SCC). Μετά την Σχέδια II Σε περίπτωση κρίσης, πρέπει επίσης να διενεργήσετε εκτίμηση επιπτώσεων στις μεταφορές (TIA) για να αξιολογήσετε εάν οι νόμοι της χώρας προορισμού (π.χ., η κυβερνητική επιτήρηση) υπονομεύουν την προστασία που εγγυώνται οι ΤΣΠ. Εάν εξακολουθούν να υπάρχουν κίνδυνοι, πρέπει να εφαρμόσετε συμπληρωματικά μέτρα, όπως κρυπτογράφηση ή ελαχιστοποίηση δεδομένων. Οι μεταφορές χωρίς επαρκείς εγγυήσεις μπορούν να οδηγήσουν σε μέτρα επιβολής από τον AP, συμπεριλαμβανομένης της αναστολής της μεταφοράς.
Πότε απαιτείται ΕΑΠΔ για την κοινοποίηση δεδομένων;
Η διενέργεια ΕΑΠΔ είναι υποχρεωτική βάσει του Άρθρου 35 του ΓΚΠΔ όταν η επεξεργασία είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων. Αυτό περιλαμβάνει: επεξεργασία μεγάλης κλίμακας ειδικών κατηγοριών δεδομένων (π.χ. δεδομένα υγείας, βιομετρικά, γενετικά δεδομένα), συστηματική παρακολούθηση δημοσίως προσβάσιμων περιοχών, αυτοματοποιημένη λήψη αποφάσεων με νομικές ή παρόμοια σημαντικές επιπτώσεις και χρήση νέων τεχνολογιών. Κατά την κοινοποίηση δεδομένων, απαιτείται συχνά ΕΑΠΔ εάν συνδυάζετε σύνολα δεδομένων, κοινοποιείτε ευαίσθητες πληροφορίες ή χρησιμοποιείτε τα δεδομένα για τη δημιουργία προφίλ ή αναλύσεις που βασίζονται στην τεχνητή νοημοσύνη. Το AP έχει δημοσιεύσει μια λίστα με τις πράξεις επεξεργασίας που απαιτούν ΕΑΠΔ. Σε περίπτωση αμφιβολίας, διενεργήστε μία - είναι καλύτερο να είστε προσεκτικοί παρά να το μετανιώσετε.
Τι πρόστιμα μπορούν να αντιμετωπίσουν οι εταιρείες για παραβίαση του GDPR;
Ο ΓΚΠΔ προβλέπει δύο επίπεδα προστίμων. Το κατώτερο επίπεδο —έως 10 εκατομμύρια ευρώ ή 2% του παγκόσμιου ετήσιου κύκλου εργασιών— εφαρμόζεται σε παραβιάσεις όπως η μη εφαρμογή κατάλληλων μέτρων ασφαλείας ή η μη διεξαγωγή ΕΑΠΔ όταν απαιτείται. Το ανώτερο επίπεδο —έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών— εφαρμόζεται σε πιο σοβαρές παραβάσεις, όπως η έλλειψη νόμιμης βάσης για την επεξεργασία, οι παράνομες διεθνείς μεταφορές ή η παραβίαση των δικαιωμάτων των υποκειμένων των δεδομένων. Ο Αρχηγός Δεδομένων καθορίζει το ποσό του προστίμου με βάση παράγοντες όπως η φύση και η σοβαρότητα της παράβασης, το αν ήταν εκ προθέσεως ή εξ αμελείας, ο αριθμός των επηρεαζόμενων ατόμων και τυχόν μέτρα μετριασμού που ελήφθησαν. Η πρόσφατη εφαρμογή δείχνει ότι ο Αρχηγός Δεδομένων είναι πρόθυμος να επιβάλει σημαντικά πρόστιμα, ιδίως για συστηματικές ή εκ προθέσεως παραβιάσεις.
Είναι πάντα ασφαλής η κοινοποίηση ψευδωνυμοποιημένων δεδομένων;
Όχι. Η ψευδωνυμοποίηση μειώνει τον κίνδυνο αλλά δεν τον εξαλείφει. Σύμφωνα με το Άρθρο 4(5) του ΓΚΠΔ, ψευδωνυμοποίηση σημαίνει αντικατάσταση άμεσων αναγνωριστικών (όπως ονόματα) με κωδικούς ή ψευδώνυμα. Ωστόσο, εάν τα δεδομένα εξακολουθούν να μπορούν να συνδεθούν με ένα άτομο — για παράδειγμα, χρησιμοποιώντας πρόσθετες πληροφορίες που κατέχετε εσείς ή ο παραλήπτης — παραμένουν προσωπικά δεδομένα και υπόκεινται πλήρως στον ΓΚΠΔ. Αυτό σημαίνει ότι εξακολουθείτε να χρειάζεστε νομική βάση, πρέπει να ενημερώνετε τα υποκείμενα των δεδομένων και πρέπει να διασφαλίζετε επαρκή ασφάλεια. Μόνο η πραγματική ανωνυμοποίηση — όπου η εκ νέου ταυτοποίηση δεν είναι πλέον δυνατή με κανένα εύλογο μέσο — αφαιρεί τα δεδομένα από το πεδίο εφαρμογής του ΓΚΠΔ. Στην πράξη, η επίτευξη πραγματικής ανωνυμοποίησης είναι δύσκολη και απαιτεί επικύρωση από ειδικούς.
Τι πρέπει να κάνω εάν η επιχείρησή μου έχει υποστεί παραβίαση δεδομένων λόγω παράνομης κοινοποίησης δεδομένων;
Εάν ανακαλύψετε παραβίαση προσωπικών δεδομένων—συμπεριλαμβανομένης μιας παραβίασης που προκαλείται από παράνομη κοινοποίηση δεδομένων—έχετε 72 ώρες να ειδοποιήσετε τον ΑΡ σύμφωνα με το Άρθρο 33 του ΓΚΠΔ (εκτός εάν η παραβίαση είναι απίθανο να οδηγήσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες των ατόμων). Πρέπει επίσης να ειδοποιήσετε τα επηρεαζόμενα άτομα χωρίς αδικαιολόγητη καθυστέρηση εάν η παραβίαση είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για αυτά (Άρθρο 34 του ΓΚΠΔ). Τα άμεσα βήματα περιλαμβάνουν: τον περιορισμό της παραβίασης, την αξιολόγηση του εύρους και των επιπτώσεών της, την καταγραφή του τι συνέβη και των ενεργειών σας σχετικά με αυτό και την ενημέρωση του ΑΡ μέσω της διαδικτυακής τους πύλης. Η μη ειδοποίηση μπορεί να οδηγήσει σε ξεχωριστό πρόστιμο. Ο ΑΡ θα αξιολογήσει εάν δικαιολογείται η λήψη μέτρων επιβολής με βάση τη σοβαρότητα της παραβίασης και την αντίδρασή σας.
Προστατέψτε την επιχείρησή σας—Λάβετε εξειδικευμένη νομική συμβουλή
Η κοινοποίηση δεδομένων είναι αναπόφευκτη, αλλά οι παραβιάσεις του GDPR δεν χρειάζεται να είναι. Οι επτά κίνδυνοι που περιγράφονται παραπάνω δεν είναι θεωρητικοί—προέρχονται από πραγματικές υποθέσεις επιβολής του νόμου, δικαστικές αποφάσεις και κανονιστικές οδηγίες. Κάθε ένας από αυτούς μπορεί να οδηγήσει σε πρόστιμα, αξιώσεις ευθύνης και βλάβη της φήμης.
Τα καλά νέα; Με το σωστό νομικό πλαίσιο, σαφή τεκμηρίωση και προληπτικά μέτρα συμμόρφωσης, μπορείτε να κοινοποιείτε δεδομένα με σιγουριά και νομιμότητα. Αλλά για να γίνει σωστά, απαιτούνται περισσότερα από γενικές συμβουλές - απαιτείται εξατομικευμένη νομική υποστήριξη που κατανοεί την επιχείρησή σας, τις ροές δεδομένων σας και τους συγκεκριμένους κινδύνους που αντιμετωπίζετε.
Μην περιμένετε να σας χτυπήσει η AP. Εάν δεν είστε σίγουροι εάν οι πρακτικές σας σχετικά με την κοινοποίηση δεδομένων συμμορφώνονται με τον GDPR ή εάν χρειάζεστε βοήθεια για τη σύνταξη DPA, τη διεξαγωγή DPIA ή τη διαχείριση διεθνών μεταφορών, επικοινωνήστε με έναν εξειδικευμένο δικηγόρο σε θέματα απορρήτου. Η επιχείρησή σας —και οι πελάτες σας— δεν αξίζουν τίποτα λιγότερο.
