GDPR ΣΥΜΜΟΡΦΩΣΗO νέος Γενικός Ευρωπαϊκός Κανονισμός περί προστασίας

Προσωπικών Δεδομένων (GDPR) και οι επιπτώσεις του στις επιχειρήσεις

Το παρακάτω αναλύει τις διατάξεις του νέου Ευρωπαϊκού Κανονισμού ΕΕ 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (Γενικός Κανονισμός για την Προστασία Δεδομένων – General Data Protection Regulation).  Ο Κανονισμός εκδόθηκε στις 27 Απριλίου 2016 και θα εφαρμοστεί άμεσα στα κράτη-μέλη από 25 Μαϊου 2018 αντικαθιστώντας την υπάρχουσα Οδηγία 95/46/EC και την ισχύουσα εθνική νομοθεσία περί ιδιωτικότητας (ν. 2472/1997).

Οι ρυθμίσεις του εφαρμόζονται αδιακρίτως σε κάθε δημόσιο και ιδιωτικό φορέα, οργανισμό (υπουργεία, αυτοδοίκηση, φορείς κοινωνικής ασφάλισης, εκπαιδευτικά ιδρύματα, εφορίες, σωματεία..) ή επιχείρηση (τράπεζες, νοσηλευτικά ιδρύματα, ασφαλιστικές, μεταφορικές, τηλεπικοινωνιακές, διαφημιστικές, εμπορικές εταιρίες κλπ.) που επεξεργάζεται προσωπικά δεδομένα των Ευρωπαίων πολιτών. Το ρυθμιστικό πεδίο προστασίας του Κανονισμού αφορά δηλαδή ένα ευρύτατο  φάσμα υποκειμένων, μεταξύ των οποίων συγκαταλέγονται, ενδεικτικά, πελάτες, φορολογούμενοι, προμηθευτές, αποδέκτες υπηρεσιών υγείας, ασφαλισμένοι, εργαζόμενοι, μέλη κομμάτων, σωματείων,  χρήστες ιστοσελίδων και κοινωνικών δικτύων με ιδιαίτερη έμφαση στην προστασία των ανηλίκων.

Στόχος του Κανονισμού είναι η θέσπιση κανόνων σύννομης επεξεργασίας δεδομένων αγορών, καταναλωτικών προτιμήσεων αλλά και ευαίθητων δεδομένων υγείας, γενετικών και βιομετρικών δεδομένων, οικονομικής κατάστασης, πολιτικών πεποιθήσεων, σεξουαλικού προσανατολισμού και ποινικής καταδίκης απο δικαστήρια. Σε περίπτωση μη συμμόρφωσης επιβάλλονται από τις Εποπτικές Αρχές υψηλότατα πρόστιμα κατά των παραβατών, τα οποία, επί σοβαρών παραβιάσεων, μπορούν να ανέλθουν μέχρι ποσοστού 4% επί του ετήσιου κύκλου εργασιών του οργανισμού ή της επιχείρησης, ή  μέχρι 20 εκ. Ευρώ, όποιο ποσό είναι υψηλότερο.

Η προβλεπόμενη νομική ευθύνη είναι αντικειμενική και δεν αφορά μόνο τον υπεύθυνο επεξεργασίας που συλλέγει και επεξεργάζεται εσωτερικά τέτοια δεδομένα. Οι κυρώσεις αφορούν από κοινού και τον εκτελούντα την επεξεργασία, ήτοι τους συνεργαζόμενους εξωτερικούς συνεργάτες του φορέα (π.χ. call centers, εταιρίες μισθοδοσίας, πληροφορικής, cloud providers). Υπεύθυνος και εκτελών την επεξεργασία έχουν το βάρος απόδειξης της κανονιστικής τους συμμόρφωσης με τις υποχρεώσεις τους.

Ειδικότερα, ο Κανονισμός διευρύνει την έννοια των προσωπικών δεδομένων καλύπτοντας κάθε δεδομένο που σχετίζεται με ένα άτομο εν ζωή και παράγεται στη δημόσια σφαίρα, στον επαγγελματικό τομέα αλλά και στην ιδιωτική του ζωή, αποθηκεύεται δε είτε σε χαρτί είτε σε ηλεκτρονικό μέσο, όπως όνομα, φωτογραφίες, ΑΦΜ, ΑΜΚΑ, φυσικές και ηλεκτρονικές διευθύνσεις, τραπεζικά στοιχεία, αγορές μέσω καρτών, συναλλαγές, αναρτήσεις σε κοινωνικά δίκτυα, χρήση “έξυπνων” διασυνδεμένων συσκευών κλπ. Η νομιμότητα κάθε επεξεργασίας απαιτεί τη ρητή και ειδική συναίνεση των υποκειμένων, τα οποία μπορούν ελεύθερα να την ανακαλέσουν οποτεδήποτε. Η χρήση δεδομένων ανηλίκων απαιτεί συναίνεση του ασκούντος τη γονική μέριμνα.

Διατηρώντας τα παραδοσιακά δικαιώματα των υποκειμένων (δικαίωμα ενημέρωσης, πρόσβασης, αντίρρησης, προσωρινής δικαστικής προστασίας κλπ.) και αρχές επεξεργασίας (αναλογικότητα, περιορισμός σκοπού και χρονικής διάρκειας διατήρησης) η ευρωπαϊκή νομοθεσία  προβλέπει και νέα δικαιώματα των πολιτών, όπως το δικαίωμα στη λήθη με τη διαγραφή δεδομένων καθώς και η φορητότητα δεδομένων, όταν το υποκείμενο αλλάζει προμηθευτή (π.χ εταιρία τηλεπικοινωνιών, χρηματοπιστωτικό η ασφαλιστικό φορέα). Η νέα νομοθεσία προβλέπει ακόμα ρητές διαδικασίες διαβίβασης δεδομένων σε τρίτους (π.χ. υποκαταστήματα, πολυεθνικές εταιρίες, cloud providers). Η διαβίβαση δεδομένων εντός του Ευρωπαϊκού Οικονομικού Χώρου είναι ελεύθερη, σε αντίθεση με τη διαβίβαση σε τρίτες χώρες εκτός Ευρώπης (π.χ ΗΠΑ, Ασία) η οποία υπόκειται σε συγκεκριμένες αυστηρές προϋποθέσεις (αντίστοιχο επίπεδο προστασίας, απόφαση “επάρκειας” της αλλοδαπής νομοθεσίας, δεσμευτικοί εταιρικοί κανόνες, τυποιημένες συμβάσεις, κώδικες δεοντολογίας).

Στο πλαίσιο του Κανονισμού, ο Υπεύθυνος επεξεργασίας οφείλει να λάβει τα κατάλληλα τεχνικά και οργανωτικά αντίμετρα ώστε να διασφαλίζεται η αποτελεσματική προστασία και ο περιορισμός ευθύνης των διοικούντων και των εργαζομένων. Μεταξύ αυτών περιλαμβάνονται μελέτες επιπτώσεων ιδιωτικότητας, αναθεώρηση πολιτικών ασφαλείας, συμμόρφωση προς πρότυπα, ανασχεδιασμός πληροφοριακών συστημάτων, διαδικασίες και λογισμικά εργαλεία ανωνυμοποίησης και κρυπτογράφησης, εκπαίδευση προσωπικού, διορισμός Υπευθύνου Επεξεργασίας Δεδομένων (Data Protection Officer – DPO), διαδικασίες αναφοράς συμβάντων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), διαδικασίες ανάκαμψης απο προσβολές, ασφαλιστική κάλυψη κινδύνων κλπ. Η ύπαρξη των ως άνω θεσμοθετημένων διαδικασιών και εργαλείων πρέπει να αποδεικνύεται σε περίπτωση ελέγχου από τις Εποπτικές Αρχές.

Στο πλαίσιο αυτό, είναι ζωτικής σημασίας η ενημέρωση και η ευαισθητοποίηση των διοικήσεων κάθε οργανισμού, η αξιολόγηση της υπάρχουσας κατάστασης και η ανάλυση των επιπτώσεων στον φορέα, ανάλογα με τη δραστηριότητα και τις ανάγκες του. Σε συνεργασία με τους κατάλληλους συμβούλους, ο οργανισμός ή η επιχείρηση οφείλει να καθορίσει ένα χρονοδιάγραμμα ενεργειών στην πορεία προς την κανονιστική συμμόρφωση με τις νέες αυξημένες απαιτήσεις ιδιωτικότητας. Με τον τρόπο αυτό όχι μόνο θα μειωθεί η έκθεση του οργανισμού σε κινδύνους  αλλά η συμμόρφωση θα αποτελέσει βέλτιστη πρακτική και εμπορικό επιχείρημα προώθησης των προϊόντων και  υπηρεσιών του στην ελληνική και διεθνή αγορά.