Δείτε εδώ την ειδική έκδοση

GDPR: Γρίφος ή ευκαιρία;

Πολύπλοκο νομοθέτημα ο νέος κανονισμός για την προστασία δεδομένων προσωπικού χαρακτήρα. Ποιους επηρεάζει και τί διακυβεύεται σε περίπτωση μη συμμόρφωσης. Ποια συνηθισμένα λάθη κάνουν οι επιχειρήσεις. Γράφει ο Σ. Βερτέλλης.

GDPR: Γρίφος ή ευκαιρία;
  • Του Σωκράτη Βερτέλλη*

Ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων προσωπικού χαρακτήρα (GDPR) 2016/679 υπήρξε προϊόν της ανάγκης για προσαρμογή στις ραγδαίες τεχνολογικές εξελίξεις. Από τη μία πλευρά, όπως χαρακτηριστικά έχει ειπωθεί, τα προσωπικά δεδομένα αποτελούν το νέο «χρήμα».

Ως εκ τούτου η διακίνηση και η κυκλοφορία τους όχι μόνο θεωρείται απαραίτητη αλλά έχει αποτελέσει και βασικό πυλώνα στην Στρατηγική της Επιτροπής για μία Ψηφιακή Ατζέντα για την Ευρώπη. Από την άλλη, ακριβώς λόγω των αστείρευτων δυνατοτήτων των νέων τεχνολογιών να διασταυρώνουν και να συλλέγουν προσωπικά δεδομένα, τα φυσικά πρόσωπα (υποκείμενα δεδομένων) βρίσκονται αντιμέτωπα με μία ολοένα και μεγαλύτερη κατάλυση της ιδιωτικότητάς τους.

Ο GDPR έρχεται να εξισορροπήσει την αδύναμη θέση στην οποία εκ των πραγμάτων βρίσκονται τα υποκείμενα δεδομένων, παρέχοντάς τους πλέον πολύ περισσότερα δικαιώματα σε σχέση με όσα είχαν υπό το προηγούμενο καθεστώς της Οδηγίας 95/46/ΕΕ και επιβάλλοντας αντίστοιχα σε όσους συλλέγουν και επεξεργάζονται τα δεδομένα αυτά πολύ περισσότερες και πολύ αυστηρότερες υποχρεώσεις προκειμένου η επεξεργασία των δεδομένων να είναι σύννομη.

Ο GDPR είναι ένα πολυσέλιδο, πολύπλοκο και βαθιά τεχνικό νομοθέτημα, του οποίου η ανάγνωση και εφαρμογή ως εκ τούτου απαιτεί την εμπλοκή αφενός σωστά καταρτισμένων σχετικά με το ηλεκτρονικό δίκαιο νομικών και αφετέρου τη στενή συνεργασία τους τόσο με τους επικεφαλής των διαφόρων επιχειρήσεων που επεξεργάζονται δεδομένα όσο και με ειδικούς επιστήμονες της πληροφορικής, οι οποίοι φέρουν το βάρος να θωρακίσουν τεχνικά την επιχείρηση εξασφαλίζοντας το μέγιστο βαθμό προστασίας των δεδομένων που αυτή επεξεργάζεται. Το γεγονός, μάλιστα, ότι οι επιχειρήσεις που χρησιμοποιούν ιστοσελίδες και ηλεκτρονικά καταστήματα αυξάνονται με γεωμετρική πρόοδο δημιουργεί επιπρόσθετα ζητήματα σχετικά τόσο με τη σύννομη λειτουργία των ιστοσελίδων όσο και την επεξεργασία δεδομένων online.

Ασφαλώς η πολυπλοκότητα του GDPR, σε συνδυασμό με το υπόλοιπο πλέγμα κανόνων για το ηλεκτρονικό δίκαιο, θα μπορούσε κανείς να σκεφτεί ότι δημιουργεί στις επιχειρήσεις επιπλέον «πονοκεφάλους», καθώς τις εξαναγκάζει να υποβληθούν σε περαιτέρω έξοδα για τη συμμόρφωσή τους, υπό την απειλή δυσβάστακτων προστίμων και κυρώσεων που μπορεί να φτάσουν στην οικονομική τους εξόντωση. Ταυτόχρονα, όμως, η ίδια αυτή πίεση για συμμόρφωση εξασφαλίζει ορθότερες δομές μέσα στην επιχείρηση, συντείνει στην πιο εύρυθμη λειτουργία της και εν τέλει αποτελεί ένα σημαντικότατο εργαλείο στην κούρσα της ανταγωνιστικότητας καθώς η σωστά οργανωμένη έναντι των προσωπικών δεδομένων επιχείρηση είναι βέβαιο ότι τάχιστα θα ξεχωρίσει για την ποιότητά της και θα έχει την ευκαιρία να αυξήσει την πελατεία της καθώς όλο και περισσότερο τα υποκείμενα των δεδομένων θα ενδιαφέρονται για την προστασία της ιδιωτικότητάς τους.

Δυστυχώς βέβαια σε αντίθεση με άλλες ευρωπαϊκές χώρες όπου το Κράτος ανέλαβε εγκαίρως να ενημερώσει επιχειρήσεις και φυσικά πρόσωπα εκτενώς σχετικά με τον GDPR, στην Ελλάδα έως τώρα από επίσημους κρατικούς φορείς δεν έχει γίνει το παραμικρό με αποτέλεσμα πολλές επιχειρήσεις τις οποίες θίγει άμεσα ο Κανονισμός από την ημερομηνία θέσης του σε ισχύ την 25η Μαΐου του 2018 είτε να μην γνωρίζουν καθόλου ότι επηρεάζονται είτε να μην γνωρίζουν πώς πρέπει να αντιδράσουν είτε, τέλος, να θεωρούν ότι οι αλλαγές στο επιχειρηματικό τοπίο δεν θα είναι και τόσο σοβαρές.

Το παρόν δεν φιλοδοξεί φυσικά να καλύψει, εντός ολίγων γραμμών, ολόκληρο το καθεστώς που εισάγει ο Κανονισμός. Έχει απλώς σκοπό να αναδείξει μερικά από τα βασικά δικαιώματα των φυσικών προσώπων και αντίστοιχα τις υποχρεώσεις των επιχειρήσεων προκειμένου οι τελευταίες να συνειδητοποιήσουν το βάρος που καλούνται να σηκώσουν και να έχουν έτσι το έναυσμα να αναζητήσουν το δυνατό γρηγορότερο τα κενά τους και να τα εξαλείψουν.

Ποιούς ωφελεί ο GDPR;

Τα φυσικά πρόσωπα των οποίων τα δεδομένα τυγχάνουν αντικείμενο επεξεργασίας.

Τι θεωρείται ως επεξεργασία;

Οποιαδήποτε δραστηριότητα σχετικά με τα προσωπικά δεδομένα, όπως για παράδειγμα (αλλά όχι περιοριστικά): η συλλογή, αποθήκευση, τροποποίηση, μεταφορά, διαβίβαση, διαγραφή των δεδομένων.

Ποιους επηρεάζει ο GDPR;

Οποιοδήποτε πρόσωπο φυσικό ή νομικό που διαχειρίζεται και επεξεργάζεται προσωπικά δεδομένα. Εάν όμως η επεξεργασία γίνεται στα στενά πλαίσια της προσωπικής/ατομικής δραστηριότητας, αυτή δεν καταλαμβάνεται από τον GDPR.

Τι διακυβεύεται σε περίπτωση μη συμμόρφωσης;

* Η καταβολή αποζημίωσης στο υποκείμενο δεδομένων μετά από αγωγή.

* Διοικητικό πρόστιμο έως €20.000.000 ή έως το 4% του ετήσιου παγκόσμιου τζίρου μίας επιχείρησης αναλόγως το μεγαλύτερο.

* Περαιτέρω κυρώσεις ανάλογα με την εθνική νομοθεσία κάθε κράτους-μέλους (η Ελλάδα δεν έχει ακόμα θεσπίσει σχετικούς νόμους).

Δικαιώματα των υποκειμένων των δεδομένων

Τα φυσικά πρόσωπα έχουν, μεταξύ άλλων, το δικαίωμα:

* Να δίνουν ελεύθερα καθώς και να ανακαλούν οποτεδήποτε τη συγκατάθεσή τους για την επεξεργασία των δεδομένων τους.

* Να ρωτούν και να μαθαίνουν με λεπτομέρειες πληροφορίες σχετικά με όσους συλλέγουν και όσους επεξεργάζονται τα δεδομένα τους, τον τρόπο επεξεργασίας αυτών, τα πρόσωπα στα οποία διαβιβάζονται τυχόν περαιτέρω τα δεδομένα.

* Ακόμα και αν δεν έχουν κανενός είδους σύμβαση με όποιον επεξεργάζεται τα δεδομένα τους, να ζητήσουν την άμεση διαγραφή τους (με ελάχιστες εξαιρέσεις επί του κανόνα).

* Να απευθύνουν απευθείας παράπονα σε όποιον επεξεργάζεται τα δεδομένα τους για μη ορθή επεξεργασία και αντίστοιχα να παραπονεθούν στην Αρχή Προστασίας Προσωπικών Δεδομένων.

* Να ζητήσουν αποζημίωση από αυτόν που επεξεργάζεται τα δεδομένα τους εφόσον προκύπτει ότι η επεξεργασία δεν έγινε με τη σύμφωνη γνώμη τους.

* Να ζητήσουν εκτός από τη διαγραφή των δεδομένων τους, την τροποποίηση ή συμπλήρωσή τους ή τη διαβίβασή τους σε άλλο φορέα καθώς και να εκφράσουν την αντίθεσή τους στην επεξεργασία.

Υποχρεώσεις όσων επεξεργάζονται προσωπικά δεδομένα (φυσικών και νομικών προσώπων)

Οι υποχρεώσεις όσων επεξεργάζονται προσωπικά δεδομένα είναι πολλές, ποικίλες και διάσπαρτες σε όλο το κείμενο του Κανονισμού και ως εκ τούτου είναι αδύνατον να παρατεθούν στο παρόν. Ωστόσο, οι κυριότερες υποχρεώσεις είναι:

* Να ενημερώνεται επαρκώς το υποκείμενο των δεδομένων για το σκοπό επεξεργασίας των δεδομένων του, ποια ακριβώς δεδομένα του θα συλλεγούν, από ποιόν και για πόσο διάστημα ώστε να είναι σε θέση να συναινέσει θετικά στην επεξεργασία των δεδομένων του.

* Να μην ξεκινά η επεξεργασία των δεδομένων εάν προηγουμένως το φυσικό πρόσωπο δεν δώσει θετικά τη συγκατάθεσή του (προσυμπληρωμένες φόρμες και τικαρισμένα κουτάκια απαγορεύονται).

* Τα δεδομένα που συγκεντρώνονται να είναι αυτά για τα οποία έχει ενημερωθεί το φυσικό πρόσωπο, να είναι ακριβή και να περιορίζονται αυστηρά και μόνο σε όσα χρειάζονται για το σκοπό της επεξεργασίας, μόνο για το χρόνο που απαιτείται για την εκπλήρωση του σκοπού αυτού και μόνο για πολύ συγκεκριμένο σκοπό.

* Οι διαδικασίες που χρησιμοποιούνται για την επεξεργασία δεδομένων να είναι απολύτως διαφανείς ώστε να διευκολύνεται και το φυσικό πρόσωπο όταν ζητά διευκρινίσεις και ο έλεγχος από την Αρχή Προστασίας.

* Εάν και εφόσον ο υπεύθυνος επεξεργασίας των δεδομένων αποφασίσει να χρησιμοποιήσει περαιτέρω πρόσωπα για την επεξεργασία τους (πχ. μία επιχείρηση αναθέσει σε μία άλλη μέρος της επεξεργασίας) θα πρέπει να υπάρχει ειδική έγγραφη συμφωνία με αυστηρούς όρους για την προστασία δεδομένων.

* Τα δεδομένα δεν πρέπει να εξέρχονται του Ενιαίου Ευρωπαϊκού Χώρου, παρά μόνο υπό πολύ αυστηρές προϋποθέσεις.

* Τα δεδομένα να γίνονται αντικείμενο επεξεργασίας με εχεμύθεια και με διαδικασίες απολύτως ασφαλείς αναφορικά με τη διασφάλιση του απορρήτου.

(Σημειωτέον ότι όταν πρόκειται για ευαίσθητα προσωπικά δεδομένα, όπως δεδομένα υγείας, πολιτικής/θρησκευτικής πεποίθησης, σεξουαλικής προτίμησης, η τήρηση των άνω υποχρεώσεων πρέπει να είναι ακόμα σχολαστικότερη και με επιπλέον διασφαλίσεις)

Σφάλματα που παρατηρούνται συχνά από επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα

* Δεδομένα που υπάρχουν σε έγγραφα διάσπαρτα επάνω σε γραφεία ή ράφια.

* Η/Υ οι οποίοι δεν είναι κλειδωμένοι με κωδικό κατά την εισαγωγή και όταν ενεργοποιείται το screensaver.

* Πρόσβαση όλου του προσωπικού σε όλα τα δεδομένα, χωρίς διάκριση εργασιών.

* Διαβίβαση δεδομένων μέσω mails χωρίς κρυπτογράφηση.

* Τήρηση και αποθήκευση δεδομένων σε ψηφιακή μορφή στον Η/Υ χωρίς κρυπτογράφηση.

* Τήρηση δεδομένων σε φυσική μορφή χωρίς αυτά να κλειδώνονται κάπου με ασφάλεια.

* Έλλειψη συναγερμού/πυρασφάλειας σε χώρους όπου τηρούνται πολλά δεδομένα (πέραν των κυρώσεων που η έλλειψη πυρασφάλειας μπορεί να έχει για την εργατική νομοθεσία).

* Τήρηση δεδομένων χωρίς αντίγραφα ασφαλείας ή χωρίς έλεγχο για το αν πρόκειται για ακριβή αντίγραφα.

* Ελλιπής ή καθόλου ενημέρωση των υποκειμένων των δεδομένων για τους σκοπούς επεξεργασίας ή τους παραλήπτες των δεδομένων.

* Τήρηση δεδομένων περισσότερων από όσα είναι απαραίτητα.

* Μη διαγραφή των δεδομένων όταν πλέον δεν χρειάζονται.

* Ελλιπή μέτρα προστασίας των Η/Υ από ιούς ή επιθέσεις hacking.

* Χρησιμοποίηση τρίτων για εκτέλεση μέρους της επεξεργασίας χωρίς συμβάσεις, χωρίς σαφείς υποχρεώσεις

Μέτρα συμμόρφωσης βάσει του GDPR

«Χαρτογράφηση» των ροών προσωπικών δεδομένων (data flow mapping) της επιχείρησης (τι είδους προσωπικά δεδομένα επεξεργάζεται η εταιρεία, με ποιο τρόπο, ποιούς αφορούν, πώς αποκτήθηκαν, για ποιό σκοπό, σε ποιούς ενδέχεται να διαβιβαστούν).

* Σύνταξη εσωτερικού κανονισμού (ο κανονισμός πρέπει να ορίζει τις υποχρεώσεις του προσωπικού, ποιος έχει πρόσβαση πού, ποιός έχει αναλάβει συγκεκριμένα τι, τι μέτρα έχει πάρει γενικά και ειδικά η επιχείρηση κλπ.)

* Διενέργεια risk-assessment (εκτίμηση κινδύνου): η επιχείρηση βάσει του data flow map εντοπίζει την «αχίλλειο πτέρνα» της, διενεργεί penetration tests στα συστήματά της και εξετάζει τον κίνδυνο που μπορεί τυχόν να προκύψει για τα προσωπικά δεδομένα που επεξεργάζεται και τον αντίκτυπο που ενδέχεται αυτός να έχει στα υποκείμενα δεδομένων (αναλόγως της εκτίμησης, μπορεί να πρέπει να ενημερώσει τα υποκείμενα δεδομένων ή την Αρχή Προστασίας)

* Λήψη μέτρων για την αντιμετώπιση των κινδύνων που αναδείχτηκαν.

* Λήψη φυσικών (συγκέντρωση των δεδομένων σε συγκεκριμένη μορφή, συγκεκριμένο χώρο κ.λπ.), οργανωτικών (πχ. ενημέρωση προσωπικού, υπογραφή δηλώσεων εχεμύθειας) και τεχνικών μέτρων (κρυπτογράφηση, τοποθέτηση firewalls κλπ.) για την διασφάλιση γενικά των δεδομένων.

* Σύναψη ειδικών συμβάσεων (data protection agreements) με όλους τους προμηθευτές δεδομένων ή επιχειρήσεις που θα επεξεργαστούν για λογαριασμό της επιχείρησης προσωπικά δεδομένα.

* Διορισμός Υπευθύνου Επεξεργασίας (ειδικά για επιχειρήσεις που διαχειρίζονται μεγάλο όγκο δεδομένων).

* Απόδειξη της συμμόρφωσης: η επιχείρηση πρέπει να τηρεί αναλυτική κατάσταση όλων των ενεργειών της (reporting).

 

* Ο Σωκράτης Βερτέλλης είναι δικηγόρος Αθηνών. Μετά την ολοκλήρωση των βασικών σπουδών του στη Νομική Σχολή του Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών, συνέχισε τις σπουδές του αρχικώς στο Παρίσι όπου εξειδικεύτηκε στο Εμπορικό και Ασφαλιστικό Δίκαιο στο Πανεπιστήμιο της Σορβόννης (Université Paris 1, Panthéon-Sorbonne) και ακολούθως στο Λονδίνο όπου εξειδικεύτηκε στο Δίκαιο των Η/Υ και της τεχνολογίας στο Πανεπιστήμιο Queen Mary (Queen Mary University of London).

Σήμερα ασκεί μάχιμη δικηγορία ενώ είναι σύμβουλος μεγάλης ασφαλιστικής εταιρείας καθώς και Υπεύθυνος Προστασίας Δεδομένων εταιρείας τηλεπικοινωνιών. Eίναι Επιστημονικός συνεργάτης της IBL και του Λογιστικού Συλλόγου Αθηνών.


Oι απόψεις που διατυπώνονται σε ενυπόγραφο άρθρο γνώμης ανήκουν στον συγγραφέα και δεν αντιπροσωπεύουν αναγκαστικά, μερικώς ή στο σύνολο, απόψεις του Euro2day.gr.

ΣΧΟΛΙΑ ΧΡΗΣΤΩΝ

blog comments powered by Disqus
v