Δεν είναι λίγες οι φορές που κάθε ένας από εμάς έχει εκνευριστεί διότι έχει δεχθεί οποιουδήποτε είδους επικοινωνία (πχ μέσω email, τηλεφωνικά, ταχυδρομικά κλπ) για την προώθηση κάποιου προϊόντος ή υπηρεσίας ή ακόμη και για μία απλή διαφημιστική ενημέρωση. Αυτό δε, συμβαίνει τις περισσότερες φορές χωρίς να έχουμε δώσει κάποιου είδους συγκατάθεση, χωρίς να έχουμε συμφωνήσει ή συναινέσει σε μία τέτοιου είδους επεξεργασία των δεδομένων μας.
Πώς μπορούμε λοιπόν να προστατεύσουμε τα προσωπικά μας δεδομένα που αφειδώς γνωστοποιούμε καθημερινά και τα διαμοιραζόμαστε με βάσεις δεδομένων είτε λόγω μιας αγοράς στο διαδίκτυο, ή μίας επίσκεψης στο γιατρό ή λόγω εγγραφής μας σε κάποιο διαδικτυακό τόπο κοκ;
Μετά από 20 και πλέον χρόνια η ΕΕ προέβη στη ριζική και ουσιαστική αναδιαμόρφωση των κανόνων που συνθέτουν το πλαίσιο προστασίας των προσωπικών δεδομένων καθώς και τον τρόπο διαχείρισης και επεξεργασίας τους.
Ο Νέος Κανονισμός έχει δημιουργήσει πλειάδα συζητήσεων και ανησυχιών εδώ και ένα περίπου χρόνο, ονομάζεται Γενικός Κανονισμός για την Προστασία των Δεδομένων (GDPR – General Data Protection Regulation) και θα τεθεί σε άμεση εφαρμογή στις 25 Μαΐου 2018.
Ποιες επιχειρήσεις εμπίπτουν στην εφαρμογή του Κανονισμού;
Ανεξαρτήτως του αν μια επιχείρηση εδρεύει στην ΕΕ ή όχι, από τη στιγμή που παρέχει υπηρεσίες ή προϊόντα και επεξεργάζεται καθ’οιονδήποτε τρόπο δεδομένα πολιτών της ΕΕ, εμπίπτει στο πεδίο εφαρμογής του συγκεκριμένου Κανονισμού. Ως εκ τούτου ο Κανονισμός εφαρμόζεται τόσο στον άμεσο Υπεύθυνο Επεξεργασίας (Controller) των δεδομένων, όσο και στις επιχειρήσεις που λειτουργούν κατ’ εντολήν του Υπεύθυνου ως Εκτελούντες την Επεξεργασία (Processors). Με τον συγκεκριμένο Κανονισμό και οι δύο προαναφερθείσες κατηγορίες καθίστανται για πρώτη φορά από κοινού συνυπεύθυνες αναφορικά με την εκτελούμενη επεξεργασία.
Ποιες είναι οι κυριότερες αλλαγές που επέρχονται με την εφαρμογή του Κανονισμού;
Ο Νέος Κανονισμός αποτελεί ένα κοινό σημαντικό σημείο αναφοράς και ένα ενιαίο θεσμικό περιβάλλον στην Ευρωπαϊκή Ένωση και απαιτεί από όλες τις εταιρείες, ανεξαρτήτως μεγέθους, να αποδείξουν ότι:
• εφαρμόζουν κατάλληλες πολιτικές,
• ακολουθούν συγκεκριμένες διαδικασίες,
• διαθέτουν τα απαραίτητα για το λόγο αυτό πληροφοριακά συστήματα και
• εν τέλει είναι προετοιμασμένες να συμμορφωθούν με τον Κανονισμό από τον Μάιο του 2018.
Οι πιο σημαντικές αλλαγές που επέρχονται με το νέο Κανονισμό είναι:
1. Πλήρης Χαρτογράφηση των Δεδομένων (Data Mapping) και των δραστηριοτήτων επεξεργασίας αυτών.
Η επιχείρηση θα πρέπει να μπορεί να αποδείξει όταν της ζητηθεί από τις Αρχές ότι γνωρίζει ποιες πληροφορίες και δεδομένα συλλέγει, πώς τις αποθηκεύει, επεξεργάζεται, συνδέει, ποιος έχει πρόσβαση, ποια είναι η φύση και ο σκοπός επεξεργασίας, ποιες κατηγορίες αποδεκτών των πληροφοριών, κλπ.
2. Εκτίμηση Αντίκτυπου σχετικά με την Προστασία των Δεδομένων (Privacy Ιmpact Assessment)
Μία δραστηριότητα που έπεται ή εφαρμόζεται παράλληλα με την χαρτογράφηση των δεδομένων αλλά είναι εξίσου υποχρεωτική και ιδιαιτέρως σημαντική προκειμένου η επιχείρηση να είναι σε θέση να εκτιμήσει το επίπεδο κινδύνου στον οποίο εκτίθενται τα προσωπικά δεδομένα κατά την επεξεργασία τους και να τεκμηριώσει ότι έχει λάβει τα δέοντα τεχνικά και οργανωτικά μέτρα είναι η διενέργεια εκτίμησης των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα.
3. Νέα δικαιώματα των Υποκειμένων των Δεδομένων
Με το νέο Κανονισμό είναι υποχρεωτική η λήψη ρητής συναίνεσης του Υποκειμένου προκειμένου να είναι εφικτή η επεξεργασία των δεδομένων προσωπικού χαρακτήρα για μια σειρά σκοπών επεξεργασίας, ενώ παράλληλα δίνεται στο Υποκείμενο (καταναλωτή, πελάτη κοκ) η δυνατότητα πλήρους ελέγχου και διαχείρισης των δεδομένων του, όπως το δικαίωμα διόρθωσης ανακριβών στοιχείων που το αφορούν, το δικαίωμα μη περαιτέρω επεξεργασίας, το δικαίωμα διαγραφής και το δικαίωμα στη φορητότητα (data portability) υπό προϋποθέσεις, που σημαίνει ότι”το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει δεδομένα προσωπικού χαρακτήρα που το αφορούν, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας”. Ενέργειες οι οποίες σύμφωνα με τον Κανονισμό πρέπει να εκτελούνται εντός σύντομου χρονικού διαστήματος και χωρίς χρέωση από τον Υπ/νο Επεξεργασίας.
4. Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή και ενημέρωση του υποκειμένου
Προϋποθέτει την ύπαρξη διαδικασιών και επαρκούς μηχανισμού διαρκούς παρακολούθησης και διαχείρισης ενδεχόμενων παραβιάσεων και ενημέρωσης των υποκειμένων.
Σύμφωνα με τον κανονισμό “… σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση”
5. Ορισμός Υπευθύνου για την Προστασία των Δεδομένων (DPO)
Οι επιχειρήσεις καλούνται να ορίσουν υποχρεωτικά έναν υπάλληλο της εταιρίας, ο οποίος θα διαθέτει τα κατάλληλα προσόντα και το αντίστοιχο γνωστικό υπόβαθρο ή εναλλακτικά έναν εξωτερικό συνεργάτη – επαγγελματία σύμβουλο σε θέματα προστασίας προσωπικών δεδομένων.
6. Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού (Data Protection by Design and by Default)
Όλα τα παραπάνω καθώς και η εφαρμογή μέτρων όπως η ψευδωνυμοποίηση (pseudonymization) συνθέτουν ένα πολυδιάστατο πλαίσιο διαδικασιών και εφαρμογών μέσω των οποίων η επιχείρηση ως υπεύθυνος επεξεργασίας ή εκτελών της επεξεργασία θα βεβαιώνει ότι εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να “διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας”.
Μήπως είναι αργά;
Προκειμένου να αποφευχθούν οι αρνητικές επιπτώσεις και τα εξοντωτικά πρόστιμα τα οποία θα είναι δυνατόν να φτάσουν έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών, ανάλογα με το ποιο είναι υψηλότερο και με λιγότερο από ένα χρόνο στη διάθεσή μας για εφαρμογή των προβλεπόμενων μέτρων και διαδικασιών, κρίνεται επιβεβλημένος ένας σχεδιασμός και η λήψη των απαραίτητων διορθωτικών ενεργειών άμεσα.
* Ο κ. Γιώργος Γαλάνης είναι Regional Director Compliance Central East & South East Europe (CEE&SEE) της First Data (NYSE: FDC) και Data Privacy Officer (DPO) της First Data Hellas.
Γιώργος Γαλάνης, Capital