Τα προσωπικά δεδομένα και η προστασία τους αποτελούν καίριας σημασίας ζήτημα που απασχολεί όλο και περισσότερο τον επιχειρηματικό κόσμο. Ενόψει της έναρξης ισχύος του Γενικού Κανονισμού για την Προστασία των Δεδομένων (GPDR) τον Μάιο του 2018, οι επιχειρήσεις καλούνται να δώσουν έμφαση στις υποχρεώσεις που απορρέουν από τη νομοθεσία.
Ο Κανονισμός αυτός εφαρμόζεται στην αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται σε σύστημα αρχειοθέτησης. Επομένως, ο Κανονισμός αυτός ισχύει και εφαρμόζεται τόσο στην περίπτωση μιας εταιρείας, η οποία δραστηριοποιείται διαδικτυακά, συλλέγει και επεξεργάζεται προσωπικά δεδομένα με αυτοματοποιημένα μέσα μέσω αλγόριθμων, με σκοπό την κατάρτιση προφίλ κάθε πελάτη της, όσο και στην περίπτωση μιας κλινικής, η οποία συλλέγει προσωπικά στοιχεία των ασθενών της και τα καταχωρεί σε φακέλους, οι οποίοι τηρούνται σε αρχεία εντός της κλινικής.
Παραδείγματα επιχειρήσεων που επηρεάζονται είναι: κατά την επεξεργασία δεδομένων ασθενών σε νοσοκομείο / κλινική, επεξεργασία δεδομένων πελατών τράπεζας / ασφαλιστικής εταιρείας, επεξεργασία δεδομένων πάροχων υπηρεσιών διαδικτύου κι επεξεργασία δεδομένων για παροχή τηλεπικοινωνιακών υπηρεσιών.
Ο Κανονισμός ενισχύει τα δικαιώματα των πολιτών καθώς μπορεί να χρειαστεί να αναθεωρηθεί ο τρόπος με τον οποίο λαμβάνεται η συγκατάθεση των υπαλλήλων. Επίσης, ο εργαζόμενος μπορεί να έχει πρόσβαση στον προσωπικό του φάκελο και σε κάθε αρχείο στο οποίο τηρούνται προσωπικά του δεδομένα, στην έκταση που αναφέρονται σε αυτόν.
Παράλληλα, η νομοθεσία προνοεί τον διορισμό Υπεύθυνου Προστασίας Δεδομένων (designation of a data protection officer) όταν η επεξεργασία εκτελείται από δημόσια αρχή (συμπεριλαμβανομένων των νομικών προσώπων δημοσίου δικαίου) ή όταν γίνεται τακτική και συστηματική παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα. Τα καθήκοντα του Υπεύθυνου Προστασίας Δεδομένων είναι να συμβουλεύει τη διεύθυνση για τα αναγκαία τεχνικά και οργανωτικά μέτρα που πρέπει να ληφθούν για συμμόρφωση με τον Κανονισμό, να συλλέγει πληροφορίες από τα διάφορα τμήματα για να αναγνωρίσει τις δραστηριότητες του οργανισμού (IT, Marketing, HR, νομικό κ.λπ.) και να ξεχωρίζει για ποιες δραστηριότητες ο οργανισμός ενεργεί ως υπεύθυνος επεξεργασίας και για ποιες ως εκτελών.
Επιπρόσθετα, είναι υπεύθυνος να αναλύει και ελέγχει κατά πόσον οι επεξεργασίες είναι σύμφωνες με τον Κανονισμό και να συμβουλεύει τη διεύθυνση στη σύνταξη πολιτικών ασφάλειας και προστασίας προσωπικών δεδομένων.
Τέλος, προνοούνται αυστηρότατα πρόστιμα, με ανώτατο όριο: €10.000.000 ή 2% του παγκόσμιου κύκλου εργασιών για παραβιάσεις που αφορούν, μεταξύ άλλων: στις υποχρεώσεις σχετικά με τη συγκατάθεση ανηλίκων και στην προστασία των προσωπικών δεδομένων από τον σχεδιασμό και εξ ορισμού. Το ανώτατο όριο του προστίμου που μπορεί να τεθεί εάν παραβιαστεί η νομοθεσία είναι €20.000.000 ή 4% του παγκόσμιου κύκλου εργασιών για παραβιάσεις των υποχρεώσεων που σχετίζονται, μεταξύ άλλων: με τις βασικές αρχές επεξεργασίας και τα δικαιώματα των φυσικών προσώπων.