Από τις 25 Μαΐου 2018 τίθεται σε ισχύ ο Κανονισμός 2016/679 για τη προστασία φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Δημόσιοι φορείς και ιδιωτικές επιχειρήσεις, που επεξεργάζονται προσωπικά δεδομένα, π.χ. ταξιδιωτικά γραφεία, ασφαλιστικές εταιρίες, τράπεζες, κλινικές, μέχρι καταστήματα με κάρτες μέλους, όπως καταστήματα ένδυσης και διατροφής (σούπερ μάρκετ), θα έρθουν αντιμέτωποι με τη πρόκληση της συμμόρφωσης προς τον Κανονισμό, που αυστηροποιεί το πλαίσιο νομιμότητας της επεξεργασίας προσωπικών δεδομένων.

Ο νέος Κανονισμός, αναγνωρίζοντας την σημασία της τεχνολογίας στοχεύει κατά πολύ στη προστασία φυσικών προσώπων, που συνδέονται με επιγραμμικά (online) αναγνωριστικά στοιχεία ταυτότητας, τα οποία παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις διαδικτυακού πρωτοκόλλου, αναγνωριστικά cookies ή άλλα αναγνωριστικά στοιχεία όπως ετικέτες αναγνώρισης μέσω ραδιοσυχνοτήτων. Αυτά μπορεί να αφήνουν ίχνη τα οποία, ιδίως όταν συνδυαστούν με μοναδικά αναγνωριστικά στοιχεία ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές, μπορούν να χρησιμοποιηθούν για να δημιουργηθεί το προφίλ των φυσικών προσώπων και να αναγνωριστεί η ταυτότητά τους.

Οι επιχειρήσεις θα βρεθούν μπροστά στη ανάγκη να προσαρμόσουν τις πολιτικές ασφαλείας τους και να είναι πλήρως συμμορφωμένοι στους ρητά αναφερόμενους και νόμιμους σκοπούς επεξεργασίας, όπως αυτοί περιγράφονται στον Κανονισμό. Σε κάθε άλλη περίπτωση επεξεργασίας τα πρόστιμα θα είναι πλέον ιδιαίτερα αυστηρά, φτάνοντας μέχρι τα 20.000.000 ευρώ. Το ρόλο αυτό της προσαρμογής τους στην ανάγκη της σύννομης επεξεργασίας θα κληθούν να αναλάβουν, σε πολλές μάλιστα περιπτώσεις, υποχρεωτικά βάσει του Νέου Κανονισμού, λόγω της εμπειρογνωσίας τους στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, εξειδικευμένοι δικηγόροι και δικηγορικές εταιρίες.

Ο Κανονισμός καταργεί την έως και σήμερα ισχύουσα Οδηγία 95/46 ΕΚ και επιχειρεί τη δημιουργία ενός πιο συνεκτικού πλαισίου προστασίας των δεδομένων στην Ένωση, υποστηριζόμενο από αυστηρή εφαρμογή της νομοθεσίας, δεδομένου ότι είναι σημαντικό να δημιουργηθεί η αναγκαία εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς. Γι’ αυτό το λόγο τα φυσικά πρόσωπα θα πρέπει να έχουν τον έλεγχο των δικών τους δεδομένων προσωπικού χαρακτήρα. Επίσης κρίνεται απολύτως αναγκαία η ενίσχυση της ασφάλειας δικαίου μέσα από την εφαρμογή πρακτικών ασφαλείας για τα φυσικά πρόσωπα, τους οικονομικούς παράγοντες και τις δημόσιες αρχές (αιτιολογική σκέψη 7 ΓΚΠΔ).

Ο νέος κανονισμός διευρύνει μέχρι σήμερα γνωστές έννοιες, εισάγοντας ταυτόχρονα νέες (άρθρο 4 ΓΚΠΔ), συγκεκριμενοποιεί και προσθέτει νέες Αρχές επεξεργασίας δεδομένων (άρθρο 5 ΓΚΠΔ), ενδυναμώνει τα δικαιώματα των υποκειμένων (π.χ. δικαίωμα στη λήθη- άρθρο 17, δικαίωμα φορητότητας- άρθρο 20 ΓΚΠΔ) και θεσπίζει αντίστοιχα αυστηρότερες υποχρεώσεις των Υπευθύνων. Ιδιαίτερης προσοχής είναι η πρόβλεψη τόσο υποχρεώσεων και ευθυνών πλέον και από τον εκτελούντα την επεξεργασία ( άρθρο 28- αιτιολογική σκέψη 81), όσο και της κατάργησης της υποχρέωσης γνωστοποίησης της επεξεργασίας δεδομένων προς την εποπτική αρχή, όπως αυτή ίσχυε κατά την Οδηγία 95/46 ΕΚ. Τέλος, ορίζονται μεγάλα πρόστιμα που μπορεί να φτάνουν μέχρι το ύψος των 20.000.000 ευρώ ή στη περίπτωση των επιχειρήσεων το 4 % του συνολικού παγκόσμιου τζίρου.

Το εγχείρημα θεσμοθέτησης μιας σύννομης, θεμιτής και με διαφανή τρόπο επεξεργασίας στη βάση της νομιμότητας, της αντικειμενικότητας και της διαφάνειας, συμπληρώνει μία σειρά ρυθμίσεων, που προβλέπονται στον νέο Κανονισμό. Π.χ. ο περιορισμός των δανειοδοτήσεων από την εποπτική αρχή για την επεξεργασία ειδικών κατηγοριών δεδομένων (άρθρο 9 ΓΚΠΔ και αιτιολογική σκέψη 53), η εφαρμογή μέτρων προστασίας δεδομένων ήδη από τον σχεδιασμό και εξ’ ορισμού, η γνωστοποίηση παραβίασης δεδομένων στην εποπτική αρχή και ανακοίνωση της παραβίασης στο Υποκείμενο αυτών ( άρθρο 33 και άρθρο 34), η καθιέρωση συλλογικής αγωγής (actiopopularis), για την εκπροσώπηση υποκειμένων προσωπικών δεδομένων για τη προστασία των δικαιωμάτων τους, την επιβολή κυρώσεων και τη διεκδίκηση αποζημίωσης από μη κερδοσκοπικό φορέα, οργάνωση ή ένωση (άρθρο 80).

Στο ίδιο πλαίσιο των ρυθμίσεων, ήδη παρουσιάζουν ενδιαφέρον ως προς την πρακτική εφαρμογή και λειτουργίας τους:

1. Η διενέργεια «Εκτίμησης των Επιπτώσεων σχετικά με την Προστασία των Δεδομένων- Data Protection Impact Assessment (DPIA).

2. Ο ορισμός Υπεύθυνου Προστασίας Δεδομένων- DPO(άρθρο 37), ο οποίος κατά βάση θα πρέπει να είναι ειδικευμένος νομικός σύμβουλος ή ειδικευμένη δικηγορική εταιρεία.

3. Η εκπόνηση και τήρηση Κωδίκων Δεοντολογίας και η θέσπιση μηχανισμών πιστοποίησης, σφραγίδας και σημάτων προστασίας δεδομένων (άρθρά 40 και 42).

4. Η επιβολή διοικητικών προστίμων στον Υπεύθυνο ή Εκτελούντα την Επεξεργασία (μέχρι 20.000.000 ευρώ ή στη περίπτωση των επιχειρήσεων το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους - άρθρο 83).