Ο GDPR καθορίζει κανόνες ασφάλειας των δεδομένων παρόμοιους με εκείνους της ισχύουσας οδηγίας, στους οποίους συμπεριλαμβάνονται: η δικαιοσύνη, η νομιμότητα και η διαφάνεια, o περιορισμός του σκοπού, η ελαχιστοποίηση και η ποιότητα των δεδομένων, η ασφάλεια, η ακεραιότητα και η εμπιστευτικότητα.
Ο GDPR καθιερώνει μια νέα αρχή λογοδοσίας, καθιστώντας τα άτομα μέσα στην εταιρεία που διαχειρίζονται και επεξεργάζονται τα προσωπικά δεδομένα, ως υπεύθυνους για την απόδειξη της συμμόρφωσης με τις αρχές.
O GDPR προσθέτει νέες πτυχές στις υφιστάμενες αρχές προστασίας των δεδομένων.
Όσον αφορά τη δικαιοσύνη, τη νομιμότητα και τη διαφάνεια:
Τα δεδομένα προσωπικού χαρακτήρα πρέπει πλέον να υποβάλλονται σε επεξεργασία με τρόπο διαφανή σε σχέση με το υποκείμενο των δεδομένων.
Όσον αφορά το τρόπο που θα χρησιμοποιηθούν τα δεδομένα:
Με κάποιες επιφυλάξεις, η αρχειοθέτηση των δεδομένων προσωπικού χαρακτήρα, τα οποία είναι προς το δημόσιο συμφέρον δεν θα θεωρείται ασυμβίβαστη με τον αρχικό σκοπό της επεξεργασίας.
Όσον αφορά το τρόπο που αποθηκεύονται τα δεδομένα που συλλέγονται:
Τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρούνται σε μορφή που να επιτρέπει την αναγνώριση των υποκειμένων των δεδομένων για διάστημα όχι μεγαλύτερο από
ό, τι είναι αναγκαίο για τους σκοπούς για τους οποίους γίνεται η επεξεργασία τους.
Ο ελεγκτής επεξεργασίας των δεδομένων προσωπικού χαρακτήρα καθίσταται υπεύθυνος και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τις αρχές.
Θα πρέπει να διασφαλιστεί ότι τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που να κατοχυρώνει την ασφάλειά τους, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά: «Ο οργανισμός και οποιοσδήποτε τρίτος πάροχος υπηρεσιών θα πρέπει να εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, για να εξασφαλιστεί επίπεδο ασφάλειας ανάλογο προς τον κίνδυνο».
Ο κανονισμός προτείνει μια σειρά από μέτρα ασφαλείας τα οποία μπορούν να χρησιμοποιηθούν για την επίτευξη της προστασίας των δεδομένων, συμπεριλαμβανομένων των: ψευδή ταυτότητα και κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα, η δυνατότητα να εξασφαλιστεί η συνεχής εμπιστευτικότητα, η ακεραιότητα, η διαθεσιμότητα και η ανθεκτικότητα των συστημάτων και των υπηρεσιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η δυνατότητα αποκατάστασης της διαθεσιμότητας και η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού περιστατικού και η διαδικασία για την τακτική δοκιμή, την αξιολόγηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Θα πρέπει να τεκμηριώσετε τι προσωπικά δεδομένα κατέχετε, από πού προήλθαν και με ποιους τα μοιράζεστε.
Εάν έχετε ανακριβή δεδομένα προσωπικού χαρακτήρα και τα έχετε μοιραστεί με κάποιον άλλον οργανισμό ο GDPR απαιτεί να του επισημάνετε την ανακρίβεια, έτσι ώστε να μπορεί να διορθώσει τα δικά του αρχεία. Για να το κάνετε αυτό μπορεί να απαιτηθεί έλεγχος των πληροφοριών σε ολόκληρη την επιχείρησή σας ή σε συγκεκριμένες επιχειρηματικές περιοχές. Αυτό θα σας βοηθήσει επίσης να συμμορφωθείτε με την αρχή της λογοδοσίας του GDPR.
Σύμφωνα με τον GDPR θα πρέπει να εξετάσετε πώς πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα και να προσδιορίσετε τη νομική βάση επί της οποίας θα πραγματοποιήσετε και θα τεκμηριώσετε αυτές τις διαδικασίες.
Αυτό είναι απαραίτητο διότι τα δικαιώματα κάποιων ατόμων θα τροποποιηθούν από τον GDPR ανάλογα με τη νομική βάση για την επεξεργασία των προσωπικών τους δεδομένων. Για παράδειγμα οι άνθρωποι θα έχουν ισχυρότερο δικαίωμα σε ότι αφορά τη διαγραφή των δεδομένων τους σε όποιες περιπτώσεις χρησιμοποιήσετε τη συγκατάθεση ως νομική βάση για την επεξεργασία. Ωστόσο, η συναίνεση είναι μόνο μία από μια σειρά διαφορετικών τρόπων νομιμοποίηση της δραστηριότητας επεξεργασίας και μπορεί να μην είναι η καλύτερη
(καθώς μπορεί να ανακληθεί).
Κάποιοι από τους κανόνες του GDPR αποτελούν συνέχεια αυτών που υπάρχουν ήδη στην υφιστάμενη ντιρεκτίβα Προστασίας Προσωπικών Δεδομένων, όπως για παράδειγμα τα εξής: δικαιοσύνη, νομιμότητα, διαφάνεια, περιορισμός σκοπού, περιορισμός δεδομένων, ποιότητα δεδομένων, ασφάλεια, ακεραιότητα και εμπιστευτικότητα.
Πηγή: eset.com