Όλγα Ν. Τσιπτσέ, Δικηγόρος Παρ’Αρείω πάγω, Δ.Διαμεσολαβήτρια ΥΔΔΑΔ & Υπεύθυνη Κε.Δια.ΒΕΘΑ, D.P.O. executive & GDPR compliant expertise

Απρίλιος 2016 – Απρίλιος 2018 : 2 χρόνια έχουν ήδη περάσει, προκειμένου οι επιχειρήσεις στον ιδιωτικό τομέα αλλά και το δημόσιο να μπορέσουν να ενημερωθούν για τον GDPR 2016/679, δηλαδή τον Νέο Ευρωπαϊκό Κανονισμό για τα Προσωπικά Δεδομένα, να μάθουν τι λέει σε αυτά τα σχεδόν 100 πολύ πυκνογραμμένα και πολυδαίδαλα άρθρα του, να βρουν τις υποχρεώσεις και τα δικαιώματά τους και να ανακαλύψουν τι πρέπει να κάνουν για να είναι όλοι έτοιμοι και Συμμορφωμένοι με τον GDPR, μέχρι τις 25 Μαΐου 2018.

Τι θα συμβεί τότε; Τελειώνει η προθεσμία για την προετοιμασία και αρχίζει η ΑΜΕΣΗ ΙΣΧΥΣ του ΕΕ Κανονισμού αυτού και μάλιστα σε όλες τις χώρες της Ε.Ε. πανομοιότυπα.

Ποιος ο σκοπός του νέου αυτού Κανονισμού; Η ορθή ροή των προσωπικών δεδομένων των Φυσικών μόνο προσώπων εν ζωή και η ορθή διακίνησή τους, ώστε να πραγματοποιείται σύμφωνα με τον νέο νόμο.

Η προστασία αυτή των προσωπικών δεδομένων δεν είναι νέο φαινόμενο. Υπάρχει με νόμο εθνικό από το 1997, ο οποίος υιοθέτησε ευρωπαϊκή οδηγία του 1995. Όμως, αυτός ο νόμος δεν αρκεί πλέον, καθώς είναι απαρχαιωμένος.

Αυτά τα 20 χρόνια που μεσολάβησαν έγιναν πολλές αλλαγές σε τεχνολογικό επίπεδο, έκαναν την εμφάνισή τους τα μέσα κοινωνικής δικτύωσης τα οποία είναι αμέτρητα, οι συσκευές, όπως οι ηλεκτρονικοί υπολογιστές, τα τάμπλετ, τα τηλέφωνα έχουν εξελιχθεί και τα προγράμματά τους προσφέρουν εντελώς προηγμένες υπηρεσίες, όλως διαφορετικές από αυτά που είχαμε συνηθίσει μέχρι το 1995.

Άρα, όλα αυτά και η παγκοσμιοποίηση που πλέον είναι πραγματικότητα δημιούργησαν νέες ανάγκες για την προστασία της ροής προσωπικών δεδομένων και δη των ειδικών κατηγοριών προσωπικών δεδομένων. Και αυτή η αλλαγή έφερε τον νέο Κανονισμό που οσονούπω καταργεί το υπάρχον νομοθετικό πλαίσιο.

Ο όρος δεδομένα προσωπικού χαρακτήρα είναι πολύ ευρύς. Ξεκινά από το ονοματεπώνυμο και εκτείνεται σε κάθε πληροφορία φραστική ή επιγραμμική που μπορεί να οδηγήσει στην ταυτοποίηση ενός ατόμου (πχ. ΑΦΜ, ημερ. Γέννησης, αρ. πινακίδας οχήματος, IP, email κ.α). Ιδιαίτερη προστασία παρέχεται στον νέο Κανονισμό για τα ειδικής κατηγορίας δεδομένα προσωπικού χαρακτήρα, που μέχρι τώρα τα ονομάζαμε ευαίσθητα προσωπικά δεδομένα, τα οποία έχουν πλέον εμπλουτιστεί. Ενδεικτικά, είναι αυτά που αναφέρονται στην υγεία, πολιτικές / θρησκευτικές πεποιθήσεις ενός ατόμου, γενετικά και βιομετρικά δεδομένα κ.α.

Το πιο ανησυχητικό, όμως, από όλες τις αλλαγές που θα επιφέρει η επικράτηση του ΕΕ Κανονισμού, είναι τα τσουχτερά πρόστιμα που απειλούν και φθάνουν στα 20 εκ. Ευρώ ή στο 4% του παγκόσμιου τζίρου του προηγούμενου έτους, ανάλογα με το ποιο πρόστιμο είναι υψηλότερο.

Άρα, ο Κανονισμός είναι πολύ αυστηρός και αυτό δε διαφαίνεται μόνο από το εύρος των προστίμων, αλλά προκύπτει και από το ύφος των άρθρων. Βλέπουμε ότι τα πράγματα είναι σοβαρά και δεν αρκεί μία τακτική τύπου «βλέπουμε πως θα εφαρμοστεί και αναλόγως πράττουμε»!

Και όμως, παρά το αυστηρότατο αυτό πλαίσιο και παρά τη στενότητα που προσφέρει στους οργανισμούς είτε δημοσίου είτε ιδιωτικού τομέα, εντούτοις μόλις λίγο περισσότερο από το 40% των επιχειρήσεων γνωρίζουν τον Κανονισμό – οι λοιπές τον αγνοούν – ενώ ακόμη και από αυτούς τους οργανισμούς που γνωρίζουν τις νέες υποχρεώσεις, ελάχιστοι άρχισαν να πράττουν προετοιμασία προς τη συμμόρφωση.

Ο λόγος είναι το υψηλό κόστος της συμμόρφωσης, καθώς η διαδικασία απαιτεί πολύ μεγάλη, εκτενή και ενδελεχή απασχόληση και έρευνα ειδικά εκπαιδευμένων ατόμων που καλούνται να κάνουν πράξη τον Κανονισμό και να δημιουργήσουν ασφαλείς επιχειρήσεις στο μέτρο του δυνατού και του αναγκαίου. Η απασχόληση αυτή μπορεί να αγγίξει και τους 4 μήνες ακόμη και όταν οι επιχειρήσεις είναι οι λεγόμενες μικρές, καθώς ο Κανονισμός δεν αγγίζει μόνο το δημόσιο και τις «μεγάλες» επιχειρήσεις. Αγγίζει όλες τις επιχειρήσεις ακόμη και τις μικρές, ανάλογα με τον όγκο και τη συστηματική και τακτική επεξεργασία των δεδομένων που πραγματοποιούν.

Πέρα όμως από την αρχική εργασία Συμμόρφωσης (GDPR compliance) που πρέπει να πραγματοποιήσουν όλοι όσοι στο δημόσιο και στον ιδιωτικό τομέα συλλέγουν και επεξεργάζονται δεδομένα και που πρέπει να επαναλαμβάνουν σε τακτά χρονικά διαστήματα (re-audit), υπάρχει μία καινοτόμα και νέα για τα ελληνικά δεδομένα προσθήκη, αυτή του ορισμού Υπεύθυνου Προστασίας Δεδομένων ή όπως είθισται D.P.O., ο οποίος μπορεί να οριστεί από όποια επιχείρηση το επιθυμεί, όμως για κάποιες επιχειρήσεις είναι Υποχρεωτικός!

Οι επιχειρήσεις αντιμετωπίζουν τον Κανονισμό ως νέο εμπόδιο στη λειτουργία τους, ως ένα επιπλέον έξοδο για τον επιβαρυμένο οργανισμό τους, μία δαπάνη χωρίς ουσία και γενικά βρίσκονται σε ένα ομιχλώδες τοπίο που δεν μπορούν να ελέγξουν.

Εν μέρει βέβαια η διάθεση επιβεβαιώνεται, όμως αντί να κοιτάξουμε τις αλλαγές και την επιβάρυνση κυρίως οικονομική, πρέπει να επικεντρώσουμε στα εξής σημεία:

  • Ο Κανονισμός θα φέρει συγκριτικά πλεονεκτήματα για τις επιχειρήσεις που θα προετοιμαστούν ορθά και θα μπορούν να κάνουν τη διαφορά μέσα από την ορθή Συμμόρφωση με τον Κανονισμό.
  • Οι επιχειρήσεις θα προσφέρουν ασφάλεια σε όσους έρθουν σε επαφή μαζί τους και αυτό θα τις καταστήσει προτιμητέες έναντι άλλων που θα επιλέξουν την μη συμμόρφωση.
  • Η σωστή προετοιμασία και συμμόρφωση θα μετριάσει τους κινδύνους διαρροών δεδομένων και δε θα κινδυνεύει από τα δυσβάσταχτα πρόστιμα.
  • Ο Κανονισμός δε χρειάζεται να τρομάζει τους επιχειρηματίες, γιατί το μόνο που χρειάζεται οι ίδιοι να κάνουν είναι να επιλέξουν τον σωστό επιστήμονα που θα πράξει τα δέοντα και τα πρέποντα.
Ποιος κάνει τη Συμμόρφωση και ποιος είναι ο D.P.O.;

Η Συμμόρφωση, όπως έχει ήδη λεχθεί ανωτέρω, είναι μία δύσκολη, λεπτομερής και επίπονη διαδικασία που στην ουσία είναι το σκανάρισμα της επιχείρησης για την εξακρίβωση όλων των θεμάτων που αφορούν στα δεδομένα: συλλέγονται δεδομένα, τι είδους, για ποια νομική βάση, για πόσο χρόνο, που τηρούνται, ποιες είναι οι οργανωτικές και τεχνικές δομές ώστε να μη κινδυνεύουν τα δεδομένα από διαρροή, ποια τα μέτρα προστασίας από ενδεχόμενες διαρροές και πολλά άλλα ζητήματα που πρέπει να ελέγξει ο ειδικός Compliant expertise. Ο ειδικός αυτό είναι καλό να είναι ομάδα επιστημόνων που να συμπεριλαμβάνει υποχρεωτικά Νομικό, ο οποίος έχει την κατάλληλη εξοικείωση, εκπαίδευση, εμπειρία με το θέμα, αλλά και έναν Πληροφορικό, ο οποίος έχει γνώσεις για όλα τα τεχνικά θέματα που θα αντιμετωπίσει και να έχει εμπειρία στην ασφάλεια των πληροφορικών συστημάτων.

D.P.O. μπορεί να είναι κάποιος υπάλληλος της επιχείρησης με όλα τα απαιτούμενα προσόντα, αρκεί αυτός ο υπάλληλος να μην ανήκει στα ανώτατα και διευθυντικά κλιμάκια. Μπορεί όμως να είναι και κάποιος εξωτερικός συνεργάτης ή ομάδα, όπως αναφέρθηκε ανωτέρω, Νομικών / ΙΤ. Η επιλογή βαρύνει τον οργανισμό καθώς υπάρχουν πλεονεκτήματα και μειονεκτήματα και στις δύο επιλογές.

Προσωπική γνώμη, είναι ότι όταν ο οργανισμός είναι Δημόσιο, θεωρείται πιο συμφέρουσα η επιλογή να προσλάβει κάποιον ειδικό ως εσωτερικό, ενώ στον Ιδιωτικό τομέα, είναι προτιμότερη η επιλογή εξωτερικού συνεργάτη.

Ολοκληρώνοντας κρίνεται απαραίτητο να αναφερθούν χωρίς ανάλυση τα Δικαιώματα που έχουν τα υποκείμενα των Δεδομένων κυρίως αυτά που προστέθηκαν με τον νέο Κανονισμό, οι 6 βασικές αρχές του Κανονισμού και κάποιες βασικές αλλαγές του Κανονισμού σε σχέση με την ισχύουσα νομοθεσία που καταργείται στις 25-05-2018:

Δικαιώματα των Υποκειμένων:
  • Της ενημέρωσης του πότε, που κλπ χρησιμοποιούνται τα Δ.Π.Χ.
  • Της πρόσβασης στα δεδομένα εκάστου
  • Της διόρθωσης των δεδομένων που είναι λάθος
  • Του περιορισμού της επεξεργασίας
  • Της εναντίωσης της επεξεργασίας
  • Της εναντίωσης της αυτοματοποιημένης λήψης αποφάσεων και profiling
Και τα ΝΕΑ
  • Της Λήθης (Διαγραφής δεδομένων)
  • Της Φορητότητας δεδομένων

Κάθε παραβίαση των δικαιωμάτων αυτών επιφέρει τις κυρώσεις που αναφέρθηκαν ανωτέρω.

Αρχές του νέου Κανονισμού:
  • υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»)
  • συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς
  • είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»)
  • είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται
  • διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα
  • υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
Επιγραμματικά οι νεωτερισμοί:
  • Απαιτείται πλέον η δόση σαφούς, ρητής και ελεύθερης συγκατάθεσης του υποκειμένου για τη χρησιμοποίηση των προσωπικών δεδομένων για συγκεκριμένο σκοπό και για ορισμένο χρονικό διάστημα.
  • Με τον Γενικό Κανονισμό έρχεται για πρώτη φορά ο θεσμός του Υπεύθυνου Προστασίας Δεδομένων – Data Protection Officer (D.P.O).
  • Επιβάλλεται η έγγραφη και λεπτομερής συμφωνία των καθηκόντων και των υποχρεώσεων μεταξύ υπεύθυνων επεξεργασίας και εκτελούντων την επεξεργασία προσωπικών δεδομένων.
  • Εισάγεται η έννοια της συνεργασίας με τις Εποπτικές Αρχές, ήτοι την Αρχή Προστασίας Προσωπικών Δεδομένων. Η κάθε επιχείρηση οφείλει να συνεργάζεται με την Αρχή αυτή , προκειμένου να οχυρώνονται με το καλύτερο δυνατό τρόπο η προστασία των προσωπικών δεδομένων. Σε περίπτωση δε που υπάρξει κάποια διαρροή, είναι υποχρεωμένες οι επιχειρήσεις και οι Δημόσιες Υπηρεσίες να ενημερώσουν την Αρχή μέσα σε 72 ώρες και τα υποκείμενα των δεδομένων αμελλητί.

This Post Has One Comment

Απάντηση