Ειδικό άρθρο: Ο Γενικός Κανονισμός Προστασίας Δεδομένων

Από τον κ. Γιώργο Χαλόφτη*

Ο Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679 (General Data Protection Regulation, GDPR) του Ευρωπαϊκού Κοινοβουλίου, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία αυτών, έχει ως στόχο τη θέσπιση κανόνων σύννομης επεξεργασίας προσωπικών δεδομένων στον Ευρωπαϊκό Οικονομικό Χώρο.

Αφορά κάθε υπεύθυνο επεξεργασίας και όλες τις επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα, ανεξαρτήτως κλάδου οικονομικής δραστηριότητας και μεγέθους. Κάθε οργανισμός, του ιδιωτικού και του δημοσίου τομέα, που χειρίζεται προσωπικά δεδομένα πελατών, εργαζομένων, συνεργατών και οποιωνδήποτε εν γένει φυσικών προσώπων εντός της Ε.Ε., υποχρεούται να συμμορφωθεί πλήρως με τις διατάξεις του ανωτέρω κανονισμού, επανεξετάζοντας ή και ακόμη αναθεωρώντας τις διαδικασίες διαχείρισης και επεξεργασίας των δεδομένων του.

Θεσπίζει αυστηρές κυρώσεις για την παραβίασή του. Καταργεί τον Ν.2472/1997.

Έναρξη ισχύος είναι η 25/5/2018

Ποιους αφορά

• Αφορά κάθε επιχείρηση που διαχειρίζεται προσωπικά δεδομένα (πελατών, προσωπικού, προμηθευτών, βάσεις δεδομένων κ.α.)
• Επιχειρήσεις που εδρεύουν στην ΕΕ
• Επιχειρήσεις που προσφέρουν υπηρεσίες/αγαθά σε πολίτες της ΕΕ
• Επιχειρήσεις που παρακολουθούν τη συμπεριφορά πολιτών της ΕΕ

Τι θεωρούνται ως “Προσωπικά Δεδομένα”

Θεωρείται κάθε δεδομένο που σχετίζεται με ένα άτομο εν ζωή και παράγεται στη δημόσια σφαίρα, στον επαγγελματικό τομέα αλλά και στην ιδιωτική του ζωή, αποθηκεύεται δε σε χαρτί είτε σε ηλεκτρονικό μέσο. Στα προσωπικά δεδομένα περιλαμβάνονται ενδεικτικά στοιχεία όπως:

• Προσωπικά στοιχεία (ονοματεπώνυμο, τηλέφωνο, διεύθυνση, φωτογραφίες, ΑΦΜ, AMΚΑ, φυσικές και ηλεκτρονικές διευθύνσεις, τραπεζικά στοιχεία, αγορές μέσω καρτών, συναλλαγές κλπ)
• Ευαίσθητα δεδομένα (υγείας, συνδικαλιστικά, φυλή, σεξουαλικές προτιμήσεις κ.τ.λ.)
• Γενετικά δεδομένα
• Βιομετρικά δεδομένα
• Συμπεριφορά (προφίλ-αναρτήσεις σε κοινωνικά δίκτυα, χρήση “έξυπνων” διασυνδεμένων συσκευών, δικτύων wifi, αρχείων επισκεψιμότητας διαδικτυακών ιστοσελίδων (cookies) κοκ.

Προϋποθέσεις νομιμότητας

Η νομιμότητα κάθε επεξεργασίας από τον οργανισμό που συλλέγει και επεξεργάζεται προσωπικά δεδομένα απαιτεί τη ρητή και ειδική συναίνεση των υποκειμένων, τα οποία μπορούν ελεύθερα να την ανακαλέσουν οποτεδήποτε. Η χρήση δεδομένων ανηλίκων απαιτεί συναίνεση του ασκούντος τη γονική μέριμνα. Συγκεκριμένα είναι απαραίτητο:

• Να υπάρχει νόμιμη βάση επεξεργασίας (συγκατάθεση του υποκειμένου ή νόμιμη υποχρέωση ή σύμβαση με το υποκείμενο κ.α.)
• Η διασφάλιση των δικαιωμάτων του υποκειμένου: Ενημέρωση, συγκατάθεση (ως νομιμοποιητική βάση όπου είναι απαραίτητη), πρόσβαση, διόρθωση, διαγραφή, περιορισμός, φορητότητα, εναντίωση

Τι είναι “Επεξεργασία”

Κάθε πράξη που αφορά τα δεδομένα όπως:

• Αποθήκευση
• Καταχώριση στο λογιστήριο
• Marketing
• Έκδοση Κάρτας μέλους (φαρμακεία, ξενοδοχεία κ.τ.λ.)
• Διαγραφή
• Διαβίβαση σε τρίτους (π.χ. ασφαλιστικά ταμεία, νοσοκομεία κ.τ.λ.)

Αντικειμενική ευθύνη υπευθύνου και εκτελούντος επεξεργασία

Οι κυρώσεις αφορούν από κοινού και τον εκτελούντα την επεξεργασία, ήτοι τους συνεργαζόμενους εξωτερικούς συνεργάτες του φορέα (π.χ. διαγνωστικά κέντρα, εταιρίες τεχνολογίας, προμήθειας εξοπλισμού, call centers, εταιρίες μισθοδοσίας, πληροφορικής, cloud providers, data centers) στην Ελλάδα και το εξωτερικό.

Υπεύθυνος και εκτελών την επεξεργασία έχουν ο καθένας το βάρος απόδειξης της κανονιστικής τους συμμόρφωσης με τις υποχρεώσεις τους. Τυχόν παράβαση του ενός επηρεάζει και τον άλλο και τον εκθέτει σε κίνδυνο καταβολής υψηλών χρηματικών αποζημιώσεων.

Διαβίβαση δεδομένων σε τρίτους

Η νέα νομοθεσία προβλέπει ακόμα ρητές διαδικασίες διαβίβασης δεδομένων σε τρίτους (π.χ. υποκαταστήματα, πολυεθνικές εταιρίες, cloud providers).

Υψηλά πρόστιμα σε περιπτώσεις μη συμμόρφωσης

Σε περίπτωση μη συμμόρφωσης επιβάλλονται από τις Εποπτικές Αρχές (εθνικές αρχές Προστασίας Δεδομένων) υψηλότατα πρόστιμα κατά των παραβατών, τα οποία, επί σοβαρών παραβιάσεων, μπορούν να ανέλθουν μέχρι ποσοστού 4% επί του ετήσιου κύκλου εργασιών του οργανισμού ή της επιχείρησης, ή μέχρι 20 εκ. ευρώ, όποιο ποσό είναι υψηλότερο.

Επί μικρότερων παραβιάσεων τα πρόστιμα είναι χαμηλότερα ανέρχονται δε μέχρι ποσοστού 2% επί του ετήσιου κύκλου εργασιών του οργανισμού ή της επιχείρησης, ή μέχρι 10 εκ. ευρώ, όποιο ποσό είναι υψηλότερο.

Η επιβολή διοικητικών προστίμων δεν αναιρεί τη δυνατότητα ποινικών διώξεων κατά των παραβατών, καθώς και τη διεκδίκηση αποζημιώσεων με ατομικές ή συλλογικές αγωγές των θιγομένων στα πολιτικά δικαστήρια.

Εποπτεύουσα αρχή στην Ελλάδα

Είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), η οποία είναι αρμόδια για ελέγχους και επιβολή προστίμων

Υπεύθυνος Προστασίας Δεδομένων (DPO)

• Εάν γίνεται τακτική & συστηματική Παρακολούθηση Υποκειμένων σε μεγάλη κλίμακα
• Επεξεργασία Ευαίσθητων Δεδομένων σε μεγάλη κλίμακα (νοσοκομεία, ασφαλιστικές εταιρείες, δημόσιο)
• Ο DPO παρακολουθεί όλα τα έργα που περιλαμβάνουν επεξεργασία προσωπικών δεδομένων, συμβουλεύει για την σύννομη επεξεργασία τους
• Ενημερώνει για την νομοθεσία/απαιτήσεις του Κανονισμού
• Είναι το σημείο επικοινωνίας της επιχείρησης με την Αρχή

Τι πρέπει να κάνει η επιχείρηση

Είναι ζωτικής σημασίας η ενημέρωση και η ευαισθητοποίηση των διοικήσεων κάθε οργανισμού, η αξιολόγηση της υπάρχουσας κατάστασης και η ανάλυση των επιπτώσεων στον φορέα, ανάλογα με τη δραστηριότητα και τις ανάγκες του.

Σε συνεργασία με τους κατάλληλους συμβούλους, ο οργανισμός ή η επιχείρηση οφείλει να καθορίσει ένα χρονοδιάγραμμα ενεργειών στην πορεία προς την κανονιστική συμμόρφωση με τις νέες αυξημένες απαιτήσεις ιδιωτικότητας. Οι ενέργειες που απαιτούνται είναι:

• έλεγχος της επιχείρησης για κενά συμμόρφωσης (GAP Analysis) με τον Κανονισμό
• ανάλυση κινδύνου (risk assessment),
• μελέτη αντίκτυπου ιδιωτικότητας (privacy impact assessment),
• ορισμός εσωτερικής ομάδας κανονιστικής συμμόρφωσης (compliance team),
• αναμόρφωση εσωτερικών διαδικασιών (business process reengineering), – οργάνωση διαδικασιών για την συμμόρφωση αλλά και την απόδειξη της συμμόρφωσης της επιχείρησης με τον Κανονισμό
• Τεχνικά μέτρα ασφαλείας – ανασχεδιασμός πληροφοριακών συστημάτων, προμήθεια κατάλληλων τεχνολογικών μέσων ενίσχυσης της ασφάλειας (ανωνυμοποίηση, κρυπτογράφηση κλπ)
• διαρκής επικαιροποίηση των ανωτέρω
• συμβάσεις με προμηθευτές για την ασφάλεια των δεδομένων
• εκπαίδευση προσωπικού,
• περιοδικοί έλεγχοι συμμόρφωσης.

Με τον τρόπο αυτό όχι μόνο θα μειωθεί η έκθεση του οργανισμού σε κινδύνους, αλλά η συμμόρφωση θα αποτελέσει βέλτιστη πρακτική καθώς και εμπορικό επιχείρημα προώθησης των προϊόντων και υπηρεσιών του στην ελληνική και διεθνή αγορά.

Οι συμβουλευτικές υπηρεσίες

Απαιτείται ομάδα έργου από νομικό με απαραίτητη εξειδίκευση, καθώς και στέλεχος πληροφορικής με εξειδίκευση σε ασφάλεια δεδομένων και πληροφοριών (ιδανικά με εμπειρία σε ISO 27001) αλλά και Risk Management (ιδανικά με εμπειρία σε ISO 31000 και 27005)

* Ο κ. Γιώργος Π. Χαλόφτης είναι σύμβουλος επιχειρήσεων και Business Development Manager της εταιρείας Excellence & Lean Management Consultants, με γραφεία στην Αθήνα και στη Σαντορίνη. Ο ίδιος έχει την ευθύνη του Γραφείου Σαντορίνης.