GDPR, μέσα από 12 ερώτησεις και απαντήσεις

Μάιος 7, 2018 Tips

Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) και η εφαρμογή του με 12 απλές ερωτήσεις και απαντήσεις:

1.Τι είναι ο Γενικός Κανονισμός Προστασίας Δεδομένων;

– Ο Γενικός Κανονισμός Προστασίας Δεδομένων (Κανονισμός ΕΕ 697/2016), γνωστός ως GDPR, είναι ένα νομοθετικό κείμενο της Ευρωπαϊκής Ένωσης το οποίο ρυθμίζει τον τρόπο που συλλέγουν και επεξεργάζονται οι επιχειρήσεις, οι επαγγελματίες, οι πάσης φύσεως οργανισμοί αλλά και οι Δημόσιες Αρχές, τα προσωπικά δεδομένα (απλά και ευαίσθητα) των προσώπων που βρίσκονται στο έδαφός της. Το νομοθετικό αυτό κείμενο ψηφίστηκε από το Ευρωπαϊκό Κοινοβούλιο τον Απρίλιο του 2016 και θα ισχύσει αυτόματα σε ολόκληρη την Ευρωπαϊκή Ένωση στις 25 Μαΐου του 2018.

2.Ποιους αφορά και ποιους επηρεάζει;

– Ο Γενικός Κανονισμός Προστασίας Δεδομένων αφορά κάθε επιχείρηση, ελεύθερο επαγγελματία, οργανισμό, φορέα ή Δημόσια Αρχή που συλλέγει, διατηρεί ή επεξεργάζεται προσωπικά δεδομένα φυσικών προσώπων που βρίσκονται στην Ευρώπη, ανεξαρτήτως της ιθαγένειας ή του τόπου μόνιμης διαμονής τους. Αφορά και επηρεάζει όλους τους φορείς οποιασδήποτε επαγγελματικής ή εμπορικής δραστηριότητας, ασχέτως μεγέθους, είτε αυτοί συλλέγουν και επεξεργάζονται προσωπικά δεδομένα για δικό τους λογαριασμό (data controllers), είτε για λογαριασμό τρίτων, στα πλαίσια της δραστηριότητάς τους (data processors).

3.Τι εννοούμε Προσωπικά Δεδομένα και ποια η διαφορά με τα «Ευαίσθητα» Προσωπικά Δεδομένα;

– Οποιαδήποτε πληροφορία συνδέεται με ένα πρόσωπο και μπορεί να χρησιμοποιηθεί άμεσα ή έμμεσα για την ταυτοποίησή του, αποτελεί προσωπικό δεδομένο αυτού του προσώπου. Τέτοια δεδομένα μπορούν να είναι το ονοματεπώνυμο, ο αριθμός ταυτότητας, η διεύθυνση κατοικίας και εργασίας, τα στοιχεία επικοινωνίας, η διαδικτυακή ταυτότητα (OnLine ID), καθώς και κάθε στοιχείο που προσδιορίζει τη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα προσώπου (φύλο, ύψος, βάρος, εισόδημα, μορφωτικό επίπεδο κλπ). Υπάρχουν επίσης και οι ειδικές κατηγορίες προσωπικών δεδομένων, όπως η φυλετική ή εθνική προέλευση, τα πολιτικά φρονήματα, οι θρησκευτικές ή φιλοσοφικές πεποιθήσεις, η συμμετοχή σε συνδικαλιστική οργάνωση, τα γενετικά και βιομετρικά δεδομένα, η κατάσταση της υγείας, η σεξουαλική ζωή και ο σεξουαλικός προσανατολισμός του προσώπου. Η συλλογή και η επεξεργασία των δεδομένων αυτών (Ευαίσθητα Προσωπικά Δεδομένα) απαγορεύεται ρητά, εκτός πολύ συγκεκριμένων περιπτώσεων και υπό πολύ αυστηρές προϋποθέσεις.

4.Τι θα πει «επεξεργασία» των προσωπικών δεδομένων και γιατί αφορά την επιχείρησή μου;

– Επεξεργασία, σύμφωνα με τον Γενικό Κανονισμό, είναι κάθε ενέργεια που κάνει μια επιχείρηση ή ένας επαγγελματίας και σχετίζεται με προσωπικά δεδομένα (απλά και «ευαίσθητα»), όπως για παράδειγμα η συλλογή, η καταγραφή, η οργάνωση, η διατήρηση, η αποθήκευση, η διόρθωση, η ενημέρωση, η τροποποίηση, η εξαγωγή, η χρήση, η μεταβίβαση, η διάδοση, ο συσχετισμός, η διαγραφή, ακόμη και η καταστροφή τους. Η έννοια της «επεξεργασίας» αφορά τόσο τη χρήση αυτοματοποιημένων ή ψηφιακών μέσων, όσο και τη χρήση αναλογικών ή συμβατικών μέσων, όπως η χειρόγραφη καταγραφή, ή τήρηση έντυπου αρχείου κλπ. Ο Γενικός Κανονισμός θεσπίζει πολύ αυστηρές προϋποθέσεις και διαδικασίες προκειμένου να είναι νόμιμη η επεξεργασία, ενώ σε περίπτωση που αυτές οι προϋποθέσεις και διαδικασίες δεν ακολουθηθούν, θεσπίζει πολύ αυστηρά πρόστιμα σε βάρος της επιχείρησης, αλλά και υποχρέωση αποζημίωσης των προσώπων στα οποία αναφέρονται τα προσωπικά δεδομένα (υποκείμενα των δεδομένων).

5.Είναι η πρώτη φορά που εφαρμόζεται στην Ελλάδα νομοθετική ρύθμιση για τη συλλογή και επεξεργασία των Προσωπικών Δεδομένων;

– Όχι δεν είναι ή πρώτη φορά. Τόσο στην Ελλάδα (Ν. 2472/1997), όσο και στην Ευρωπαϊκή Ένωση (Οδηγίες 95/46/ΕΚ & 97/66/ΕΚ) υπήρχε εδώ και χρόνια νομοθετικό πλαίσιο για την προστασία των προσωπικών και των ευαίσθητων προσωπικών δεδομένων. Οι λόγοι που ο Γενικός Κανονισμός έχει προκαλέσει «αναστάτωση» σε ολόκληρη την αγορά και στους επαγγελματίες είναι με πολύ απλά λόγια οι εξής: α) Από τις 25/5 θα ισχύσει αυτόματα σε ολόκληρη την Ευρωπαϊκή Ένωση και επομένως οι συνέπειές του θα είναι απότομες και ενιαίες, β) Η έννοια των προσωπικών δεδομένων διευρύνεται, όπως διευρύνεται και το επίπεδο προστασίας των δικαιωμάτων των υποκειμένων γ) Εισάγει την δυνατότητα επιβολής υπέρογκων προστίμων στους παραβάτες από τις αρμόδιες εποπτικές αρχές κάθε κράτους μέλους της Ε.Ε. δ) Αυστηροποιεί την προστασία των προσωπικών δεδομένων και αυξάνει τα δικαιώματα των πολιτών, ανοίγοντας το δρόμο για τη διεκδίκηση αποζημιώσεων.

6.Τι αλλάζει για την επιχείρησή μου στις 25 Μαΐου 2018;

– Αλλάζουν πολλά, αλλά όχι απαραίτητα με «βίαιο» τρόπο. Με βάση το Γενικό Κανονισμό από τις 25/5 όλες οι επιχειρήσεις που συλλέγουν και επεξεργάζονται προσωπικά δεδομένα θα είναι διαρκώς υπόλογες στα υποκείμενα των δεδομένων και στις εθνικές εποπτικές αρχές. Με άλλα λόγια, οφείλουν, όχι απλώς να εφαρμόζουν το νέο Κανονισμό, αλλά και να είναι κάθε στιγμή σε θέση να αποδείξουν ότι συμμορφώνονται με όλες τις απαιτήσεις του. Ωστόσο, στην πράξη, οι συνέπειες του Γενικού Κανονισμού θα αργήσουν να φανούν. Είναι απολύτως βέβαιο ότι η επιβολή υπέρογκων προστίμων δεν πρόκειται να αρχίσει από την πρώτη κιόλας ημέρα εφαρμογής, όπως πολλοί διαδίδουν. Περιθώριο προσαρμογής θα υπάρξει, ακόμη κι εάν αυτό δεν θα είναι επίσημο. Τούτο δεν πρέπει να αποτελέσει λόγο εφησυχασμού, αλλά κίνητρο για τις επιχειρήσεις να οργανωθούν σωστά και να επιλέξουν τα σωστά και κατάλληλα μέτρα προσαρμογής και συμμόρφωσης.

7.Τι γνωρίζουμε για τον τρόπο εφαρμογής του Γενικού Κανονισμού στην πράξη;

– Η αλήθεια είναι ότι το τοπίο δεν είναι ακόμη ξεκάθαρο όσον αφορά την εφαρμογή των ρυθμίσεων που εισάγει ο Γενικός Κανονισμός. Επί της ουσίας πρόκειται για ένα πολύ φιλόδοξο νομοθέτημα το οποίο όμως περιλαμβάνει αρκετές ασάφειες και αόριστες έννοιες. Αυτές οι ασάφειες και οι αοριστίες θα ερμηνευτούν μέσα στα επόμενα χρόνια από τα δικαστήρια (εθνικά και ευρωπαϊκά) και μόνο τότε το πλαίσιο εφαρμογής θα γίνει σαφές. Επιπλέον, δεν είμαστε σε θέση να γνωρίζουμε την πολιτική που θα ακολουθήσει η ελληνική εποπτική αρχή, δηλαδή η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Κατά πόσον, δηλαδή, θα ακολουθήσει μια «επιθετική» πολιτική ελέγχων, ή εάν θα δώσει περιθώρια στις επιχειρήσεις να προσαρμόσουν τη λειτουργία τους ενεργώντας με επιείκεια. Εκτός αυτού, αναμένεται μέσα στο επόμενο διάστημα και η ψήφιση εφαρμοστικού νόμου από το ελληνικό Κοινοβούλιο, ο οποίος θα εξειδικεύσει τον Γενικό Κανονισμό, θα θεσπίσει εξαιρέσεις και θα δώσει επιπλέον κατευθύνσεις. Σε κάθε περίπτωση όμως πρέπει να γίνει ξεκάθαρο ότι δεν πρόκειται να δοθεί παράταση στην έναρξη της εφαρμογής του Γενικού Κανονισμού, όπως διαδίδεται αφελώς, καθότι οι ελληνικές αρχές δεν διαθέτουν τέτοια εξουσία.

8.Τι μέτρα πρέπει να λάβω ώστε να είναι η επιχείρησή μου ασφαλής;

– Παρά τις όποιες ασάφειές του, ο Γενικός Κανονισμός περιλαμβάνει πολύ συγκεκριμένες αρχές και προτείνει πολύ ειδικές μεθόδους επεξεργασίας των προσωπικών δεδομένων από τις επιχειρήσεις και τους επαγγελματίες. Συνεπώς, είναι απολύτως επιβεβλημένο όσοι συλλέγουν και επεξεργάζονται προσωπικά δεδομένα και εμπίπτουν στο πεδίο εφαρμογής του Γενικού Κανονισμού να αρχίσουν άμεσα να λαμβάνουν τα μέτρα τους. Τα μέτρα αυτά θα πρέπει να είναι προσαρμοσμένα στο είδος της κάθε δραστηριότητας και στο μέγεθος της κάθε επιχείρησης. Συνεπώς, το πρώτο βήμα είναι η εξοικείωση με το Γενικό Κανονισμό, η αποτύπωση των ενεργειών της επιχείρησης που εμπίπτουν σε αυτόν, η κατάρτιση πλάνου κατάλληλων ενεργειών για τη συμμόρφωση με τις αρχές που αυτός επιβάλει, καθώς και η διασφάλιση ότι η συμμόρφωση της επιχείρησης θα είναι διαρκής και αποτελεσματική.

9.Μπορεί η επιχείρησή μου να λάβει κάποια πιστοποίηση (π.χ. κάποιο πρότυπο ISO) ώστε να είναι επαρκώς καλυμμένη;

– Δυστυχώς όχι. Το πνεύμα του Γενικού Κανονισμού είναι εντελώς αντίθετο από την τυπική λήψη κάποιας πιστοποίησης, ως «διαπίστευση» συμμόρφωσης με τις επιταγές του. Αντίθετα, ο Γενικός Κανονισμός θεσπίζει την υποχρέωση της ουσιαστικής και διαρκούς συμμόρφωσης των επιχειρήσεων με το περιεχόμενό του, μεταθέτοντας σε αυτές το σχετικό βάρος. Με άλλα λόγια οι επιχειρήσεις καλούνται να λαμβάνουν οι ίδιες όποια μέτρα κρίνουν κατάλληλα προκειμένου να συμμορφωθούν, αλλά και να είναι κάθε στιγμή σε θέση να αποδείξουν ότι συμμορφώνονται. Συνεπώς, η ευθύνη αυτή δεν εξαλείφεται από μόνη τη λήψη κάποιας πιστοποίησης, εάν δεν συνοδεύεται και από ουσιαστική συμμόρφωση. Σε κάθε περίπτωση όμως, η λήψη τέτοιων πιστοποιήσεων είναι ενδεχομένως ένας από τους τρόπους για να αποδείξει η επιχείρηση ότι κατέβαλε τις απαιτούμενες προσπάθειες συμμόρφωσης με το Γενικό Κανονισμό.

10.Τι κινδύνους αντιμετωπίζει η επιχείρησή μου εάν δεν συμμορφωθεί με τον Γενικό Κανονισμό;

|- Η μη συμμόρφωση μιας επιχείρησης στις αρχές και τους κανόνες του Γενικού Κανονισμού την εκθέτει σε διπλό κίνδυνο. Αφενός αντιμετωπίζει την πιθανότητα επιβολής προστίμου σε βάρος της εκ μέρους της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (σε περίπτωση καταγγελίας ή τυπικού ελέγχου) και, αφετέρου, δίνει τη δυνατότητα σε οποιοδήποτε πρόσωπο ισχυριστεί και αποδείξει ότι θίχτηκαν τα δικαιώματά του να στραφεί κατά της επιχείρησης διεκδικώντας αποζημίωση. Με βάση την σχετική πρόβλεψη του Γενικού Κανονισμού τα πρόστιμα που μπορεί να επιβάλει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μπορεί να φτάσουν σε ύψος τα 20 εκατομμύρια Ευρώ ή το 4% του παγκόσμιου τζίρου μιας επιχείρησης, όποιο από τα δύο είναι υψηλότερο. Όσο ακραίο κι αν φαίνεται το παραπάνω νούμερο, είναι απόλυτα πραγματικό, τουλάχιστον ως δυνατότητα.

11.Υπάρχει λόγος πανικού ενόψει της επικείμενης εφαρμογής;

– Κατά τη γνώμη μας όχι. Είναι αλήθεια ότι η τάση όλων μας να αφυπνιζόμαστε την τελευταία στιγμή έχει δημιουργήσει έντονο αίσθημα πανικού σε όλη την αγορά. Ο πανικός, εκτός από κακός σύμβουλος, έχει επιτρέψει να αναπτυχθεί μια ολόκληρη βιομηχανία «συμβούλων» και «ειδικών», οι οποίοι οδηγούν τις επιχειρήσεις στην επένδυση δυσανάλογου, σε σχέση με το μέγεθος και τη δραστηριότητά τους, χρόνου και χρήματος για την πολυπόθητη «συμμόρφωση». Ο Γενικός Κανονισμός σίγουρα θα επηρεάσει τον τρόπο που λειτουργούμε όλοι μας ως επαγγελματίες. Σίγουρα όμως δεν πρόκειται από τις 26/5 να «εξολοθρεύσει» όσους δεν συμμορφώνονται. Το ζητούμενο είναι κάθε επιχείρηση να καταρτίσει εγκαίρως ένα πλάνο και μια μέθοδο σύμμετρων και στοχευμένων ενεργειών οι οποίες θα την οδηγήσουν με ασφάλεια και χωρίς ακρότητες στην εποχή της εφαρμογής του Γενικού Κανονισμού.

12.Που πρέπει να απευθυνθώ και ποιος είναι ο κατάλληλος για να βοηθήσει την επιχείρησή να συμμορφωθεί με τις διατάξεις του Γενικού Κανονισμού;

– Οι επιλογές που υπάρχουν σήμερα στην αγορά είναι πολυάριθμες. Υπάρχουν «σύμβουλοι» και «ειδικοί» προερχόμενοι από πολλά επαγγελματικά πεδία. Η δική μας θέση είναι ότι ο Γενικός Κανονισμός είναι πρωτίστως ένα νομικό κείμενο το οποίο φιλοδοξεί να ρυθμίσει οριζόντια όλο το φάσμα της οικονομίας. Ως εκ τούτου, η λήψη συμβουλών από νομικούς με όσο το δυνατόν μεγαλύτερη εξοικείωση με την αγορά και την οικονομία φαντάζει ως η μόνη λογική λύση. Εν τούτοις, είναι πρακτικά αδύνατο οι νομικοί σύμβουλοι να καλύψουν ολόκληρο το πεδίο συμμόρφωσης με το Γενικό Κανονισμό, και ιδίως τα μέρη που άπτονται ειδικών τεχνικών και οργανωτικών θεμάτων, όπως της ψηφιακής ασφάλειας, της επικοινωνίας και οικονομικής δραστηριοποίησης μέσω διαδικτύου και εν γένει της χρήσης ψηφιακών εργαλείων. Στους τομείς αυτούς είναι απολύτως αναγκαία η σύμπραξη ειδικών στα πληροφοριακά συστήματα, τεχνικών δικτύων και ειδικών στο σχεδιασμό διαδικτυακών εφαρμογών. Η επιλογή και συγκρότηση της κατάλληλης ομάδας αποτελεί και το κλειδί για την επιτυχία του εγχειρήματος.

Επικοινωνήστε μαζί μας για περισσότερες πληροφορίες στο πως μπορεί η Mindseed και οι συνεργάτες της να σας βοηθήσουν στην κατανόηση και την βέλτιστη εφαρμογή του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR)