Ο GDPR εφαρμόζεται σε όλες τις εταιρείες που επεξεργάζονται και συλλέγουν προσωπικά δεδομένα υποκειμένων που διαμένουν στην Ευρωπαϊκή Ένωση, δηλαδή Ευρωπαίων πολιτών, χωρίς να παίζει ρόλο αν οι εταιρείες αυτές είναι εγκατεστημένες σε τρίτο κράτος, μη μέλος της Ευρωπαϊκής Ένωσης.

Το πρόστιμο που δύναται να επιβληθεί σε μία επιχείρηση που παραβιάζει τις υποχρεώσεις του GDPR ενδέχεται να φτάσει το 4% του ετήσιου παγκόσμιου κύκλου εργασιών της επιχείρησης, ή μιλώντας με αριθμούς τα 20 εκατομμύρια ευρώ! Πρόκειται για το μέγιστο πρόστιμο που μπορεί να επιβληθεί για τις πιο σοβαρές παραβάσεις [π.χ. αδυναμία εξασφάλισης της συναίνεσης του πελάτη για επεξεργασία δεδομένων με σύννομο τρόπο, ή παραβίαση του της πολιτικής «Απόρρητο από το σχεδιασμό» (“privacy by design”)]. Υπάρχει κλιμάκωση στα απειλούμενα πρόστιμα. Για παράδειγμα, μια επιχείρηση μπορεί απειληθεί με πρόστιμο ύψους 2% σε περιπτώσεις μη νόμιμης τήρησης των αρχείων της, καθυστερημένης αναγγελίας προς την εποπτεύουσα αρχή προστασίας δεδομένων και προς το υποκείμενο των δεδομένων, εάν διαπιστώσει παραβίαση των δεδομένων (“data breach”), ή όταν παραλείπει την διενέργεια εκτιμήσεων αντικτύπου.

Οι κανόνες ευθύνης ισχύουν τόσο για τους υπεύθυνους επεξεργασίας όσο και για τους εκτελούντες την επεξεργασία, που σημαίνει ότι οι υπηρεσίες «cloud» δεν εξαιρούνται από την εφαρμογή του GDPR.

Υπεύθυνος επεξεργασίας είναι η επιχείρηση που καθορίζει τους σκοπούς, τους όρους και τα μέσα επεξεργασίας των προσωπικών δεδομένων, ενώ ο εκτελών την επεξεργασία είναι η επιχείρηση που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας.

Οι επιχειρήσεις πρέπει: Να επεξεργάζονται νόμιμα, δίκαια και με διαφάνεια τα προσωπικά δεδομένα των πελατών τους. Πρέπει να συλλέγουν προσωπικά δεδομένα μόνο για καθορισμένους, σαφείς και νόμιμους σκοπούς. Η επεξεργασία πρέπει να είναι περιορισμένη στις περιπτώσεις που κρίνεται απαραίτητη. Η επεξεργασία πρέπει να διενεργείται με ακρίβεια. Η διενέργεια της επεξεργασίας δεν πρέπει να επεκτείνεται πέραν του αναγκαίου χρονικού πλαισίου. Η επεξεργασία είναι νόμιμη όταν εξασφαλίζονται κατάλληλες εγγυήσεις για την προστασία των προσωπικών δεδομένων.

Προσωπικά δεδομένα αποτελούν οποιεσδήποτε πληροφορίες σχετικές με ένα φυσικό πρόσωπο ή ένα υποκείμενο δεδομένων, που μπορούν να χρησιμοποιηθούν για την άμεση ή έμμεση ταυτοποίησή του. Προσωπικά δεδομένα αποτελούν το όνομα, η φωτογραφία, η διεύθυνση ηλεκτρονικού ταχυδρομείου, τα στοιχεία τραπεζικού λογαριασμού, οι αναρτήσεις σε ιστότοπους κοινωνικής δικτύωσης, οι ιατρικές πληροφορίες ή διεύθυνση IP του υπολογιστή.

Ο DPO πρέπει να διορίζεται όταν: α) η επεξεργασία δεδομένων πραγματοποιείται από δημόσιες αρχές, β)μια επιχείρηση ασκεί συστηματική παρακολούθηση δεδομένων μεγάλης κλίμακας, ή γ) μία επιχείρηση ασχολείται ευρέως με την επεξεργασία ευαίσθητων προσωπικών δεδομένων.

Ως τυπικά προσόντα αναφέρονται ενδεικτικά: Η καλή γνώση του εθνικού και ευρωπαϊκού νομοθετικού πλαισίου για την προστασία προσωπικών δεδομένων. Η πιστοποιημένη εξειδίκευσή του στον τομέα προστασίας προσωπικών δεδομένων, μέσω της εργασιακής του απασχόλησης σε επιχειρήσεις διεθνώς πιστοποιημένες: ISO 27001, το βασικό διεθνές πρότυπο για την ασφάλεια πληροφοριών PCI, το διεθνές πρότυπο για τις επιχειρήσεις που διαχειρίζονται δεδομένα καρτών πληρωμών ISO 27018, το διεθνές πρότυπο για την προστασία των προσωπικών δεδομένων στο cloud ISO 27017, το διεθνές πρότυπο για την ασφάλεια των δεδομένων στην παροχή υπηρεσιών μέσω cloud ISO 27799, το διεθνές πρότυπο για την ασφάλεια των δεδομένων υγείας ISO 27011, το διεθνές πρότυπο για την ασφάλεια των δεδομένων στους τηλεπικοινωνιακούς οργανισμούς ISO 27015, το διεθνές πρότυπο για την ασφάλεια δεδομένων στις οικονομικές υπηρεσίες. Η επαγγελματική του εμπειρία στον επιχειρηματικό κλάδο του νομικού προσώπου και η γνώση του φάσματος των προσωπικών δεδομένων που επεξεργάζεται η εν λόγω επιχείρηση. Η γνώση των σύγχρονων διαδικασιών επεξεργασίας, της νέας τεχνολογίας πληροφοριακών συστημάτων, καθώς και των μέτρων ασφαλείας.

Οι παραβιάσεις δεδομένων που ενδέχεται να θέτουν σε κίνδυνο τα υποκείμενα των δεδομένων πρέπει να κοινοποιούνται στην αρμόδια αρχή προστασίας δεδομένων εντός 72 ωρών. Επιβάλλεται, επιπρόσθετα, η αντίστοιχη ενημέρωση των υποκειμένων των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση.

Εάν επεξεργάζεστε δεδομένα στο πλαίσιο πώλησης αγαθών ή παροχής υπηρεσιών σε πολίτες άλλων χωρών της ΕΕ, τότε θα πρέπει να συμμορφωθείτε με τον GDPR. Εάν οι δραστηριότητές σας περιορίζονται στο Ηνωμένο Βασίλειο, τότε το πεδίο (μετά την αρχική περίοδο εξόδου) είναι πολύ λιγότερο σαφές. Βέβαια, η κυβέρνηση του Ηνωμένου Βασιλείου δήλωσε ότι θα εφαρμόσει ισοδύναμους ή εναλλακτικούς νομικούς μηχανισμούς με αυτούς που προβλέπονται στον GDPR. Η δική μας εκτίμηση είναι ότι η μελλοντική νομοθεσία του Ηνωμένου Βασιλείου θα ακολουθήσει σε μεγάλο βαθμό τον GDPR, δεδομένης της υποστήριξης που παρείχε προηγουμένως στον GDPR η εποπτική αρχή του Ηνωμένου Βασιλείου (ICO) και η κυβέρνηση του, χαρακτηρίζοντάς τον ως αποτελεσματικό πρότυπο προστασίας της ιδιωτικής ζωής.