Ο ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Γράφει η Εύη Κοκκίνου – Κελλάρη
Δικηγόρος – Διαμεσολαβήτρια
Πιστοποιημένη Υπεύθυνη Προστασίας Προσωπικών Δεδομένων (DPO)
Καν. (ΕΕ) 2016/679 τίθεται σε εφαρμογή από τις 25 Μαϊου 2018. Τι σημαίνει αυτό για τις επιχειρήσεις και ποιοι επηρεάζονται; Υποχρεωτική η λήψη μέτρων και αυστηρό το πλαίσιο επιβολής διοικητικών προστίμων. Αφορά τον Δημόσιο Τομέα και όλες τις επιχειρήσεις του Ιδιωτικού Τομέα, όλους όσοι τηρούν αρχεία! Η τεχνολογική επανάσταση που βιώνουμε έχει θετικά αποτελέσματα, αλλά σίγουρα έχει και αρνητικές επιπτώσεις. Ο ρόλος του εξειδικευμένου σε θέματα Π.Δ. «Υπευθύνου Προστασίας Δεδομένων…»
Τι σημαίνει αυτό για τις επιχειρήσεις και ποιοι επηρεάζονται;
Όσο και να προσπάθησα να βρω εξαιρέσεις, δεν βρήκα. Εντέλει όλες οι επιχειρήσεις, φυσικά ή νομικά πρόσωπα, ελεύθεροι επαγγελματίες και –εννοείται- το Δημόσιο οφείλουν να συμμορφωθούν στις διατάξεις του Κανονισμού, εφόσον επεξεργάζονται (τηρούν, κάνουν χρήση, διαβιβάζουν) Προσωπικά Δεδομένα (Π.Δ.), είτε αυτοματοποιημένα, είτε μη. Από τα μικρά εμπορικά καταστήματα και e-shops μέχρι τα μεγάλα εμπορικά κέντρα, από τα μικρά γραφεία παροχής υπηρεσιών μέχρι τις πολυεθνικές, από τα μικρά τουριστικά καταλύματα μέχρι της μεγάλες ξενοδοχειακές μονάδες, τις ασφαλιστικές εταιρείες, τα τουριστικά πρακτορεία, τις Εταιρείες Πληροφορικής και Τηλεπικοινωνιών, τα Μέσα Κοινωνικής Δικτύωσης και την Google, ΌΛΟΙ πρέπει να δημιουργήσουν διαδικασίες, πολιτικές ασφάλειας και να λάβουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία και την ασφάλεια των δεδομένων που τηρούν, είτε σε φυσικό, είτε σε ψηφιακό αρχείο. Οι κανόνες είναι πολύπλοκοι και τα πρόστιμα για μη συμμόρφωση μπορεί να ανέλθουν έως τα 20 εκατομμύρια Ευρώ.
Πολλοί θα ρωτήσουν: «Είναι κάτι νέο αυτό;»
Με τον εν ισχύ Νόμο 2472/1997 θεσπίστηκαν διατάξεις που αφορούν την προστασία των Π.Δ. σε συμμόρφωση προς την οικεία Ευρωπαϊκή Οδηγία, πλην όμως τόσο η ελλιπής ενημέρωση των πολιτών από το Κράτος και η γενικότερη «χαλαρή» στάση του Έλληνα σε σχέση με την εφαρμογή των νόμων, όσο και το μη αυστηρό πλαίσιο «ποινών» και διοικητικών κυρώσεων, δεν ευαισθητοποίησε τον επιχειρηματικό κόσμο για τις υποχρεώσεις του και κυρίως δεν «αφύπνισε» τους πολίτες για τα ΔΙΚΑΙΩΜΑΤΑ τους.
Διότι, ναι, οι πολίτες έχουμε και δικαιώματα!
Πόσοι από μας δεν έχουμε πάει σε Υπηρεσίες ή Ιδιωτικές Επιχειρήσεις και καλούμαστε για να συμπληρώσουμε μία απλή αίτηση να δώσουμε προσωπικά στοιχεία, που ΔΕΝ ΧΡΕΙΑΖΟΝΤΑΙ για τον σκοπό της αιτήσεως;
Πόσοι από μας δεν έχουμε ζητήσει από Υπηρεσία ένα έγγραφο που μας αφορά, για να λάβουμε την απάντηση: «Δεν είναι δυνατόν να απασχοληθεί η Υπηρεσία με το έγγραφό σας ή δεν το δίνουμε ή δεν το έχουμε;».
Από τις 25 Μαϊου αυτό ΥΠΟΧΡΕΩΤΙΚΑ θα τελειώσει!
Οι πολίτες ενημερωνόμαστε για τα δικαιώματά μας και οι επιχειρήσεις οφείλουμε να λάβουμε όλα τα μέτρα σύννομης λειτουργίας, με βάση και τις ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ Π.Δ.: Νόμιμη Επεξεργασία, Διαφάνεια στην ενημέρωση των εργαζομένων / προμηθευτών / πελατών / συνεργατών, Συγκατάθεση του ατόμου («υποκειμένου», σύμφωνα με τον Κανονισμό) για τη συλλογή Π.Δ. του, ελαχιστοποίηση των δεδομένων που συλλέγονται ανάλογα με τον σκοπό της επεξεργασίας, ασφάλεια δεδομένων - αποκλεισμό πρόσβασης σε αυτά από μη εξουσιοδοτημένα άτομα, ασφάλεια πληροφοριακών συστημάτων, δυνατότητα πρόσβασης στα Π.Δ. από το υποκείμενο των δεδομένων (φυσικό πρόσωπο), δικαίωμα διόρθωσης και διαγραφής, δικαίωμα περιορισμού της επεξεργασίας, δικαίωμα εναντίωσης και ό,τι άλλο προβλέπεται στον Κανονισμό και στο υπό διαβούλευση Νομοσχέδιο.
Ποιες Καινοτομίες εισάγει ο Κανονισμός;
*Καταρχάς διευρύνεται η υποχρέωση λήψης συγκατάθεσης του «υποκειμένου» (δηλ. του πολίτη) για την επεξεργασία των δεδομένων του και όπου απαιτείται –πλην ελαχίστων εξαιρέσεων- προβλέπεται ρητή, θετική, ελεύθερη συγκατάθεση. Με λίγα λόγια ΔΕΝ αρκεί πλέον αυτό που πολλοί κάνουν έως σήμερα γράφοντας π.χ. «…τα στοιχεία σας θα χρησιμοποιηθούν για την ενημέρωσή σας σε σχέση με τα προϊόντα μας.Αν δεν θέλετε να σας αποστέλλουμε ενημερωτικό υλικό ζητείστε την διαγραφή σας…».
* Προβλέπεται ο ρόλος του εξειδικευμένου σε θέματα Π.Δ. «Υπευθύνου Προστασίας Δεδομένων» (Data Protection Officer – DPO), ο οποίος θα είναι –εκτός άλλων- αρμόδιος να συμβουλεύει την επιχείρηση σε θέματα συμμόρφωσής της προς τον Κανονισμό, να ενημερώνει για τις διατάξεις του Κανονισμού και τις οδηγίες της Επιτροπής τόσο τους επιχειρηματίες, όσο και το προσωπικό, να επικοινωνεί με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) τόσο για διευκρινίσεις, όσο και για καταγγελίες παραβίασης, κ.α..
* Προβλέπεται Υποχρέωση Γνωστοποίησης των Περιστατικών Παραβίασης Δεδομένων στην ΑΠΔΠΧ και ενημέρωσης του υποκειμένου των δεδομένων.
* Ανάγκη ύπαρξης Εσωτερικού Μητρώου Δεδομένων, γραπτών διαδικασιών/πολιτικών/ εκτίμηση αντικτύπου υπό προϋποθέσεις, και άλλα ζητήματα που χρήζουν περαιτέρω ανάλυσης.
Η τεχνολογική επανάσταση που βιώνουμε έχει θετικά αποτελέσματα, αλλά σίγουρα έχει και αρνητικές επιπτώσεις. Το Διαδίκτυο, η Google, η λεγόμενη «Κοινωνία της πληροφορίας», το Facebook, μας φέρνουν πιο κοντά, αλλά εγκυμονούν και κινδύνους. Οι hackers καραδοκούν, το Κυβερνοέγκλημα μας απασχολεί καθημερινά, αλλά και τα καιρικά φαινόμενα ή οι κακόβουλες ενέργειες ενός δυσαρεστημένου εργαζόμενου μπορούν να οδηγήσουν σε διαρροή δεδομένων μας, σε καταστροφή των αρχείων μας – απώλεια Π.Δ. με ό,τι αυτό θα σημαίνει για την επιχείρησή μας ή για μας προσωπικά. Οι Τράπεζες έχουν ξεκινήσει τη συμμόρφωση προς τον Κανονισμό, το μεγαλύτερο μέρος όμως των επιχειρήσεων δεν είναι ενήμερο.
Με την εφαρμογή του Κανονισμού μας δίνεται μία ΕΥΚΑΙΡΙΑ, μία ευκαιρία να «νοικοκυρευτούμε».
Ας μην ενδιαφερθούμε μόνον για το πώς θα αποφύγουμε τις συνέπειες του νόμου –όπως συνηθίζουμε, αλλά ας αξιοποιήσουμε τα θετικά του! Το ταξίδι για τη συμμόρφωση προς τον Κανονισμό δεν σταματά στις 25 Μαϊου 2018, τότε ξεκινά!
ΠΑΡΑΣΚΕΥΗ ΕΥΑΓ. ΚΟΚΚΙΝΟΥ
ΔΙΚΗΓΟΡΟΣ-ΔΙΑΜΕΣΟΛΑΒΗΤΡΙΑ
Υπεύθυνη Προστασίας Προσωπικών Δεδομένων (DPO)
Απ. Παύλου 40 ΚΟΡΙΝΘΟΣ 20131
Τηλ.: 27410 84568 & 6944964225
Αφήστε ένα σχόλιο