Στις 25 Μαΐου 2018 ξεκινάει η εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR – General Data Protection Regulation) με ενιαία και άμεση εφαρμογή του σε όλα τα κράτη-μέλη της Ε.Ε. Η αναγκαιότητα υπάρξεως κανονισμού προκύπτει, όπως αναφέρεται στην παράγραφο 13 του προοιμίου του Κανονισμού, «Για να διασφαλιστεί συνεκτικό επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και προς αποφυγή αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά, απαιτείται κανονισμός ο οποίος θα κατοχυρώνει την ασφάλεια δικαίου και τη διαφάνεια για τους οικονομικούς παράγοντες, περιλαμβανομένων των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, και θα προβλέπει για τα φυσικά πρόσωπα σε όλα τα κράτη μέλη το ίδιο επίπεδο νομικά εκτελεστών δικαιωμάτων και υποχρεώσεων, καθώς και ευθυνών για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, ώστε να διασφαλιστεί η συνεκτική παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και οι ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη και η αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών των διάφορων κρατών μελών».
Η έννοια των προσωπικών δεδομένων αλλά και η προστασία αυτών δεν είναι σαφώς νέα. Η Οδηγία (ΕΚ) 95/46, που ενσωματώθηκε στο εθνικό δίκαιο με τον Νόμο 2472/1997, η Σύμβαση του Συμβουλίου της Ευρώπης για την προστασία των φυσικών προσώπων έναντι της αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα («Σύμβαση 108») και άλλα ειδικότερα νομοθετήματα ήταν το σύστημα προστασίας των προσωπικών δεδομένων μέχρι σήμερα. Γιατί χρειάστηκε ένα νέο νομοθέτημα τώρα; Η απάντηση προκύπτει πάλι από το προοίμιο του Κανονισμού και την παράγραφο 6, όπου «Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους».
Η παράθεση και η ανάλυση όλων των ειδικότερων εννοιών και των καινοτομιών, που ορίζονται στον Κανονισμό είναι εξαιρετικά δύσκολη, μια σύντομη παράθεση, όμως, μερικών βασικών εννοιών κρίνεται αναγκαία για την κατανόηση των νέων μέτρων, που θα πρέπει να ληφθούν. Σύμφωνα με τη γνώμη 1/2010 της ομάδας εργασίας 29 και του άρθρου 4 του Κανονισμού, «δεδομένα προσωπικού χαρακτήρα» ορίζεται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»), δηλαδή ακόμα και το ονοματεπώνυμο ενός υπαλλήλου, μια διεύθυνση ηλεκτρονικού ταχυδρομείου και όχι μόνο-όπως πολλοί εσφαλμένα θεωρούν-ένα δεδομένο/πληροφορία υγείας, «υπεύθυνος επεξεργασίας» είναι η οντότητα που καθορίζει τον σκοπό και τον τρόπο επεξεργασίας προσωπικών δεδομένων, δηλαδή λ.χ. μια επιχείρηση/εταιρεία, που συλλέγει δεδομένα για λόγους καταβολής μισθοδοσίας, «εκτελών την επεξεργασία» ορίζεται η οντότητα που διεξάγει την επεξεργασία δεδομένων για λογαριασμό του υπεύθυνου επεξεργασίας, δηλαδή στο προηγούμενο παράδειγμα της επιχείρησης/εταιρείας θα είναι η επιχείρηση που έχει αναλάβει την μηχανοργάνωση για την έκδοση της μισθοδοσίας, «αρχείο δεδομένων προσωπικού χαρακτήρα ή σύστημα αρχειοθέτησης» ορίζεται κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, δηλαδή ως άνω η λίστα των εργαζομένων της επιχείρησης, «υπεύθυνος προστασίας δεδομένων (DPO)» είναι ο σύμβουλος του υπευθύνου της επεξεργασίας και του εκτελούντος την επεξεργασία σχετικά με την συμμόρφωση στον κανονισμό και ο μεσολαβητής μεταξύ των εποπτικών αρχών και των υποκειμένων των δικαιωμάτων, ο οποίος πρέπει να διορίζεται σε μια επιχείρηση βάσει «των επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων (…)»-άρθρο 37 Κανονισμού.
Πλείονα άρθρα, δημοσιεύσεις και συζητήσεις –ίσως και με μια τάση καταστροφολογίας-αναφέρονται στο τι θα πρέπει να κάνει μια επιχείρηση μέχρι την 25η Μαΐου, αν είναι υποχρεωτική η πρόσληψη ενός Υπευθύνου Προστασίας Δεδομένων για όλες τις επιχειρήσεις, προσθέτοντας άλλη μια οικονομική επιβάρυνση σε αυτές, αν μπορεί να αναλάβει την νέα αυτή ευθύνη ένας υπάλληλος της επιχείρησης, κ.ο.κ.
Τι πρέπει να κάνει, λοιπόν, μια επιχείρηση για να συμμορφωθεί με τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων;
Δυστυχώς δεν μπορεί να δοθεί μια προκαθορισμένη λίστα ενεργειών, καθώς κάθε επιχείρηση είναι μια διαφορετική οντότητα. Σε άλλες πρακτικές συμμόρφωσης θα προβεί μια εμπορική επιχείρηση με μόνο φυσικό κατάστημα, σε άλλες μια εμπορική επιχείρηση που διατηρεί και ηλεκτρονικό κατάστημα, διαφορετικές πρακτικές απαιτούνται λ.χ. για μια εταιρεία ταχυμεταφορών, διαφορετικές για ένα ταξιδιωτικό γραφείο κ.ο.κ.
Θα πρέπει, συνεπώς, να γίνει αρχικά ένας έλεγχος από εξειδικευμένο επιστήμονα στη νομοθεσία προστασίας προσωπικών δεδομένων, ο οποίος θα σας καθοδηγήσει για τη συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων, θέτοντας σας ερωτήσεις, όπως ενδεικτικά αν επεξεργάζεστε προσωπικά δεδομένα, ευαίσθητα ή μη, αν υπάρχει νομική βάση για την επεξεργασία αυτή, αν έχουν τα υποκείμενα των προσωπικών δεδομένων δηλώσει την συγκατάθεσή τους για την επεξεργασία, αν μπορούν να ανακαλέσουν την συγκατάθεσή τους, αν τα δεδομένα συλλέχτηκαν από το ίδιο το υποκείμενο ή η συλλογή τους προέρχεται από άλλη πηγή, αν τηρούνται οι αρχές που διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα (ενδεικτικά «νομιμότητα, αντικειμενικότητα και διαφάνεια», «περιορισμός του σκοπού» κλπ), αν διασφαλίζονται τα δικαιώματα του υποκειμένου των δεδομένων (ενδεικτικά δικαίωμα διόρθωσης και «δικαίωμα στη λήθη»), αν έχετε λάβει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας (ενδεικτικά «ψευδωνυμοποίηση και κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα»), αν για οποιοδήποτε λόγο συμβεί παραβίαση των δεδομένων είστε σε θέση να ενημερώσετε άμεσα το υποκείμενο των δεδομένων κ.ο.κ.
Είναι αλήθεια ότι ίσως ελάχιστες επιχειρήσεις θα ασχολούνταν με τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων αν δεν «απειλούνταν» υψηλά διοικητικά πρόστιμα από την αρμόδια εποπτική αρχή κατόπιν ελέγχου από αυτήν ή καταγγελίας από το υποκείμενο των δεδομένων. Όμως, η μη συμμόρφωση μιας επιχείρησης με τον Γενικό Κανονισμό δεν έχει μόνο αυτό το «κόστος». Κάθε υποκείμενο δεδομένων/ιδιώτης «που υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του Κανονισμού δικαιούται αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη» και η κυριότερη επίπτωση, στις δύσκολες οικονομικές παρούσες συγκυρίες και τον ανταγωνισμό μεταξύ των επιχειρήσεων, είναι ότι «καταστρέφεται» η φήμη μιας επιχείρησης και «χάνεται» η εμπιστοσύνη των καταναλωτών προς αυτή.
Η BISTORMING βρίσκεται δίπλα σας και σε αυτόν τον τομέα, με την εξειδικευμένη νομική της σύμβουλο, Πετροπούλου Σταυρούλα, Δικηγόρο Τρίπολης και συμβούλους πληροφορικής, για να σας παρέχει οποιαδήποτε περαιτέρω πληροφόρηση και να βοηθήσει την επιχείρησή σας στη συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR).
