Ελλάδα

Πολιτική

Οικονομία

Επιχειρήσεις

Εκκλησία

Υγεία

Αυτοκίνητο

Το άρθρο της ημέρας

Άρθρογραφία

Συνεντεύξεις

Social Life με την Τίνα

Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων / GDPR. Πόσο έτοιμοι είμαστε να τον εφαρμόσουμε; – Σοφία Ν. Τσιπτσέ

Τα σκάνδαλα με τις υποκλοπές πληροφοριών στο διαδίκτυο, ολοένα και πληθαίνουν. Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων πιο επίκαιρος και πιο απαραίτητος από ποτέ. Σε λιγότερο από δύο μήνες, την 25η Μαΐου 2018, ξεκινά η εφαρμογή του Κανονισμού (EE) 2016/679 του Ευρωπαϊκού Κοινοβουλίου, γνωστός και ως GDPR (General Data Protection Regulation).

Οι υποχρεώσεις των επιχειρήσεων και δημόσιων υπηρεσιών αυξάνονται, επιβάλλεται να οργανωθούν κατάλληλα με τα απαραίτητα τεχνικά μέσα για να προστατεύσουν τα προσωπικά δεδομένα των φυσικών προσώπων που επεξεργάζονται, και όμως, η πλειοψηφία αυτών ΔΕΝ ΕΧΕΙ ΚΑΝ ΕΝΗΜΕΡΩΘΕΙ για το τι υποχρεούται να πράξει. Τα διοικητικά πρόστιμα που θα επιβληθούν, όμως, σε περίπτωση μη εφαρμογής των ανωτέρω υποχρεώσεων προστασίας είναι ιδιαίτερα τσουχτερά!

Τι είναι ο GDPR; Ήρθε για να προστατεύσει τις επιχειρήσεις και τα δεδομένα των φυσικών προσώπων ή για να τις επιβαρύνει με επιπλέον έξοδα και υποχρέωσεις υπό το φόβο επιβολής προστίμων;

Ο Κανονισμός ψηφίστηκε το Μάιο του 2016 και θα ισχύσει άμεσα, υποχρεωτικά και καθολικά σε όλα τα κράτη-μέλη την 25-5-2018, ΧΩΡΙΣ να απαιτείται ψήφιση κάποιου ειδικότερου νόμου για την έναρξη ισχύος του. Σκόπιμα αφέθηκε το διετές αυτό διάστημα από την ψήφιση έως την έναρξη ισχύος του, προκειμένου τα κράτη-μέλη, οι επιχειρήσεις τους και όλες οι δημόσιες Υπηρεσίες τους να προετοιμαστούν λαμβάνοντας τα κατάλληλα οργανωτικά – τεχνικά μέτρα για την ομαλή εναρμόνισή τους με τις διατάξεις του Κανονισμού. Παρά το γεγονός ότι το διετές χρονικό περιθώριο που μας δόθηκε έχει σχεδόν εξαντληθεί και μας απομένουν λιγότερο από δύο μήνες για την έναρξη ισχύος του Κανονισμού, πάνω από το 65% των επιχειρήσεων και δημόσιων Υπηρεσιών στην Ελλάδα ΔΕΝ ΕΧΕΙ ΚΑΝ ΕΝΗΜΕΡΩΘΕΙ, σύμφωνα με πρόσφατα στατιστικά στοιχεία.

Τι είναι Προσωπικά Δεδομένα: οτιδήποτε μπορεί να ταυτοποιήσει ένα φυσικό πρόσωπο. Το ονοματεπώνυμό μας, η πινακίδα του αυτοκινήτου μας, μέχρι και η αποδοχή όρων «cookies» αποτελούν προσωπικά δεδομένα.

Στόχος του Κανονισμού είναι η αυξημένη προστασία απλών και ευαίσθητων προσωπικών δεδομένων των φυσικών προσώπων από τις επιχειρήσεις και δημόσιες υπηρεσίες που τα επεξεργάζονται.

Η συνεχιζόμενη ανάπτυξη των τεχνολογικών δυνατοτήτων, η εφαρμογή αυτών των δυνατοτήτων στο σύγχρονο επιχειρείν, δίνει μεν πολλές δυνατότητες, αλλά συνάμα κρύβει κινδύνους σχετικά με τα ζητήματα ασφάλειας, εμπιστευτικότητας, και διαθεσιμότητας των πληροφοριών.

Ο Κανονισμός 2016/679 έρχεται για να περιφρουρήσει τα προσωπικά δεδομένα των φυσικών προσώπων και να τα οχυρώσει μέσα από τις επιταγές του και τις θεμελιώδεις αρχές που εισάγει για την προστασίας τους, αυξάνοντας τα δικαιώματα των υποκειμένων και εισάγοντας καινούρια δικαιώματα:

– Το δικαίωμα τη φορητότητας (αν θέλει το υποκείμενο του προσωπικού δικαιώματος δύναται να μεταφέρει τα δεδομένα του από μια επιχείρηση σε άλλη)
– Το δικαίωμα στη λήθη (το υποκείμενο του προσωπικού δικαιώματος μπορεί να ζητήσει τη διαγραφή του προσωπικού του δεδομένου)
– Τη σαφή συγκατάθεση του υποκειμένου για τη χρησιμοποίηση των προσωπικών δεδομένων για συγκεκριμένο σκοπό και για ορισμένο χρονικό διάστημα. Μέχρι στιγμής τα προ-συμπληρωμένα κουτάκια περί αποδοχής κάποιων όρων ήταν απαραίτητη προϋπόθεση προκειμένου να συνεχίσουμε την πλοήγησή μας σε μια σελίδα στο διαδίκτυο. Με τον καινούριο Κανονισμό, η συγκατάθεση αυτή πρέπει να είναι ρητή, σαφής και αβίαστη!
– Με το Γενικό Κανονισμό έρχεται για πρώτη φορά ο θεσμός του Υπεύθυνου Προστασίας Δεδομέων – Data Protection Officer (DPO).
– Επιβάλλεται η έγγραφη και λεπτομερής συμφωνία των καθηκόντων και των υποχρεώσεων μεταξύ υπεύθυνων επεξεργασίας και εκτελούντων την επεξεργασία προσωπικών δεδομένων.
– Εισάγεται η έννοια της συνεργασίας με τις εποπτικές Αρχές, ήτοι την Αρχή Προστασίας Προσωπικών Δεδομένων. Η κάθε επιχείρηση οφείλει να συνεργάζεται με την Αρχή αυτή, προκειμένου να οχυρώνεται με τον καλύτερο δυνατό τρόπο η προστασία των προσωπικών δεδομένων. Σε περίπτωση, δε, που υπάρξει κάποια διαρροή είναι υποχρεωμένες οι επιχειρήσεις και οι δημόσιες Υπηρεσίες να ενημερώσουν την Αρχή μέσα σε 72 ώρες και τα υποκείμενα των δεδομένων αμελλητί.

Ποιους αφορά ο GDPR και ποιοι υποχρεούνται να ορίσουν DPO – Υπεύθυνο Προστασίας Προσωπικών Δεδομένων;

Ο νέος Κανονισμός αφορά σε όλο το δημόσιο, αλλά και τον ιδιωτικό τομέα εφόσον γίνεται επεξεργασία απλών ή ευαίσθητων προσωπικών δεδομένων. Όλοι, λοιπόν, οι ανωτέρω επιβάλλεται να λάβουν τα κατάλληλα οργανωτικά και τεχνικά μέτρα προκειμένου να επιτευχθεί η εναρμόνισή τους με τις επιταγές του Κανονισμού.

Ποιος είναι ο DPO – Υπεύθυνος Προστασίας Δεδομένων:
– Ο Υπεύθυνος Προστασίας Δεδομένων είναι ένας επαγγελματίας ο οποίος διαθέτει ΕΙΔΙΚΕΣ ΓΝΩΣΕΙΣ κατόπιν δια βίου εκπαίδευσης, ΕΙΔΙΚΕΣ ΕΜΠΕΙΡΙΕΣ κατόπιν ενασχόλησης με το αντικείμενο της προστασίας προσωπικών δεδομένων, ο οποίος είναι ΑΝΕΞΑΡΤΗΤΟΣ και ΕΛΕΥΘΕΡΟΣ στην εκτέλεση των καθηκόντων του.
Ελέγχει όλα τα αρχεία των φορέων, φυσικά και ηλεκτρονικά, όλες τις συμβάσεις, ελέγχει αν ο φορέας/Υπηρεσία έχει συμμορφωθεί με το νέο Κανονισμό, συντάσσει την έκθεσή του για το τι πρέπει να διορθώσει/συμπληρώσει/αναπτύξει.

Είναι υποχρεωτικός ο διορισμός DPO;
– ΝΑΙ, εφόσον η επιχείρηση έχει ως αντικείμενό της την επεξεργασία μεγάλου όγκου προσωπικών δεδομένων των πελατών τους.
Οι υπόλοιπες επιχειρήσεις που δεν θα χρειαστεί να έχουν DPO θα πρέπει οπωσδήποτε να κάνουν έναν έλεγχο συμμόρφωσης, ο οποίος θα πρέπει να γίνεται ανά τακτά χρονικά διαστήματα.

Η κάθε επιχείρηση – δημόσιος φορέας οφείλει να ενημερωθεί άμεσα για τις υποχρεώσεις της σύμφωνα με το καινούριο πλαίσιο που διαμορφώνεται, καθότι η μη εναρμόνιση με τον Κανονισμό συνεπάγεται επιβολή υπέρογκων διοικητικών προστίμων: ΑΠΟ 2.000.000 ευρώ – 20.000.000 ευρώ ή 4% του συνολικού ετήσιου κύκλου εργασιών της επιχείρησης.

Η ενημέρωση για το θέμα αυτό είναι ελλιπής μέχρι στιγμής, υπάρχουν πολλά ερωτηματικά ως προς την πρακτική εφαρμογή του Κανονισμού, και καμία επιχείρηση δεν είναι ακόμα απολύτως έτοιμη για την εφαρμογή, ούτε καν οι μεγάλες πολυεθνικές που ετοιμάζονται εδώ και αρκετό διάστημα. Το προσεχές χρονικό διάστημα και η εμπειρία μέσα από την πρακτική εφαρμογή του κανονισμού, ίσως να ξεθολώσει το ομιχλώδες τοπίο στο πεδίο αυτό.

Σοφία Ν. Τσιπτσέ

Δικηγόρος παρ’ Εφέταις (ΑΜ ΔΣΘ 9872)
Διαπιστ. Διαμεσολαβήτρια ΥΔΔΑΔ (αστική, εμπορική, ηλεκτρονική τραπεζική Διαμεσολάβηση)
Υπεύθυνη Προστασίας Δεδομένων / D.P.O. exec.

http://tsiptselawfirm.simplesite.com

Η βιογραφία του Κ. Μήτση