Ο ΓΚΠΔ ρυθμίζει τον τρόπο με τον οποίο οι επιχειρήσεις επεξεργάζονται και διαχειρίζονται δεδομένα προσωπικού χαρακτήρα. Ο ΓΚΠΔ, ο οποίος ισχύει από τις 25 Μαΐου 2018 εφαρμόζεται σε όλες τις επιχειρήσεις και τους οργανισμούς (π.χ. νοσοκομεία, δημόσια διοίκηση κ.λπ.), αποτελεί τη μεγαλύτερη αλλαγή στους κανόνες της ΕΕ για την προστασία των δεδομένων προσωπικού χαρακτήρα εδώ και πάνω από 20 χρόνια.
Ο ΓΚΠΔ όχι μόνο δίνει μεγαλύτερο έλεγχο στους πολίτες όσον αφορά το πώς χρησιμοποιούνται τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν, αλλά εξορθολογίζει σημαντικά το κανονιστικό πλαίσιο για τις επιχειρήσεις. Αυτό το πράττει θεσπίζοντας ένα ενιαίο πλαίσιο για τη νομοθεσία περί προστασίας δεδομένων στην ΕΕ. Με άλλα λόγια, αντί κάθε χώρα να έχει το δικό της δίκαιο περί προστασίας δεδομένων, σήμερα ολόκληρη η ΕΕ διέπεται από έναν κανονισμό.
Ως εκ τούτου, μια εταιρεία που δραστηριοποιείται σε διαφορετικές χώρες δεν χρειάζεται πλέον να συμμορφώνεται με πολλούς —συχνά διαφοροποιούμενους— κανονισμούς. Αντί γι’ αυτό, πρέπει μόνο να συμμορφώνεται με τον ΓΚΠΔ προκειμένου να προσφέρει τις υπηρεσίες της οπουδήποτε στην ΕΕ.
Το GDPR επιδιώκει να δημιουργήσει ένα πιο εναρμονισμένο και ενιαίο πλαίσιο νομοθεσίας για την προστασία των δεδομένων για όλες τις χώρες της ΕΕ και τις επιχειρήσεις που χρησιμοποιούν δεδομένα των πολιτών της ΕΕ με στόχους που περιλαμβάνουν: Ενίσχυση της προστασίας των δικαιωμάτων των υποκειμένων της ΕΕ, διευκόλυνση της ελεύθερης ροής δεδομένων με εναρμόνιση της προστασία των δεδομένων σε ολόκληρη την ΕΕ και τον εκσυγχρονισμό του νόμου λαμβάνοντας υπόψη τις αναδυόμενες τεχνολογίες.
Το GDPR ενισχύει την προστασία των προσωπικών δεδομένων των υποκειμένων της ΕΕ παγκοσμίως. Κωδικοποιεί και διευκρινίζει την ικανότητα τους να ζητούν πρόσβαση και διαγραφή των πληροφοριών τους (δικαίωμα διαγραφής). Επιπλέον, οι οργανισμοί πρέπει να παρέχουν ευκολότερη πρόσβαση σε προσωπικά δεδομένα, με σαφείς και εύκολα κατανοητές πληροφορίες σχετικά με την επεξεργασία που πραγματοποιούν.
Οι οργανισμοί θα υποχρεούνται να αναφέρουν τις παραβιάσεις δεδομένων στις ρυθμιστικές αρχές εντός 72 ωρών και σε σενάρια υψηλού κινδύνου, να ενημερώνουν τα άτομα των οποίων τα δεδομένα ενδέχεται να έχουν υποστεί βλάβη. Όλα τα δεδομένα πρέπει να έχουν τα κατάλληλα επίπεδα ασφάλειας που να αντιστοιχούν στο επίπεδο κινδύνου που φέρουν. Οι οργανισμοί έχουν υποχρεώσεις ασφάλειας και μπορούν να παραβιάζουν τον κανονισμό εάν δεν κάνουν προληπτικά βήματα.
Η συγκατάθεση του πελάτη πρέπει να λαμβάνεται ρητά. Ο τρόπος και ο τόπος χρήσης των δεδομένων πρέπει να γνωστοποιούνται στους πελάτες. Οι πελάτες μπορούν να αποσύρουν τη συγκατάθεσή τους ανά πάσα στιγμή, αυτοί οι παράγοντες θα καθορίσουν τον τρόπο με τον οποίο θα διατηρούνται νόμιμα τα δεδομένα τους, εάν υπάρχει εκτεταμένη ανάγκη για κάτι τέτοιο.
Οι επιχειρήσεις πρέπει να αναμένουν από τους ρυθμιστικούς φορείς να ασκούν ενδεχομένως τις εξουσίες τους για την πρόσβαση σε δεδομένα και εγκαταστάσεις και γενικότερα, να είναι σε θέση να αποδείξουν την τήρηση των αρχών GDPR που αφορούν τα προσωπικά δεδομένα. Θα διατεθούν μηχανισμούς που θα βοηθήσουν στην παροχή αυτής της απόδειξης, συμπεριλαμβανομένης της διενέργειας αξιολογήσεων επιπτώσεων για την προστασία των δεδομένων, τη συμμόρφωση με τους κώδικες δεοντολογίας και την αναζήτηση πιστοποίησης μέσω εγκεκριμένων μηχανισμών.
Οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να εφαρμόζουν τεχνικά και οργανωτικά μέτρα που αποδεικνύουν τη συμμόρφωση με τις βασικές αρχές της GDPR, εξασφαλίζοντας ότι τα δικαιώματα των υποκειμένων των δεδομένων πληρούνται και ότι επεξεργάζονται μόνο τα δεδομένα που είναι απαραίτητα για τον συγκεκριμένο σκοπό.
Διεξαγωγή αξιολογήσεων GDPR σε όλο το φάσμα διεργασιών της επιχείρησης, τη διακυβέρνηση, τους ανθρώπους, τις διαδικασίες, τα δεδομένα, την ασφάλεια
Σχεδιασμός κανόνων διακυβέρνησης, κατάρτισης, επικοινωνίας και επεξεργασίας, πολιτικές & απόρρητο, πρότυπα διαχείρισης της ασφάλειας
Ενσωμάτωση προτύπων με χρήση της προστασίας ιδιωτικού απορρήτου από το σχεδιασμό, πολιτικές διαχείρισης δεδομένων, εκπαίδευση σε διαδικασίες GDPR
Εκτέλεση των σχετικών επιχειρηματικών διαδικασιών. Παρακολούθηση της ασφάλειας και ιδιωτικότητας, εφαρμογή δικαιώματων πρόσβασης στα θέματα των δεδομένων
Παρακολουθεί, ελέγχει, αναφέρει και αξιολογεί την τήρηση των προτύπων του Γενικού Κανονισμού Προστασίας Δεδομένων
