Friday, 15 November, 2024

Στάθης Φουντουκίδης: Ο νέος Κανονισμός για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα

Ενόψει θέσης σε εφαρμογή του νέου Κανονισμού για τα Δεδομένα Προσωπικού Χαρακτήρα, ο πρόοδος του Δικηγορικού Συλλόγου Γιαννιτσών Στάθης Φουντουκίδης δίνει απαντήσεις

προς ενημέρωση των επιχειρήσεων.
Ερωτήσεις και Απαντήσεις σε σχέση με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, δηλαδή το νέο Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ) της Ευρωπαϊκής Ένωσης (ΕΕ)
Από τις 25 Μαΐου 2018, με την εφαρμογή του Γενικού Κανονισμού για την Προστασία των Δεδομένων, θα ισχύει η ίδια δέσμη κανόνων για την προστασία των δεδομένων σε όλες τις εταιρείες που δραστηριοποιούνται στην ΕΕ, όπου και εάν βρίσκεται η έδρα τους.
Η εφαρμογή αυστηρότερων κανόνων για την προστασία των δεδομένων συνεπάγεται ότι:
-οι πολίτες θα ελέγχουν καλύτερα τα δεδομένα τους προσωπικού χαρακτήρα
-οι επιχειρήσεις θα ωφεληθούν από την εφαρμογή ισότιμων όρων ανταγωνισμού
Ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, δηλαδή ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) της Ευρωπαϊκής Ένωσης (ΕΕ), ρυθμίζει την επεξεργασία από άτομο, εταιρεία ή οργανισμό των δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα στην ΕΕ.
Δεν υπάγεται σε αυτόν η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποθανόντων προσώπων ή νομικών προσώπων.
Οι κανόνες δεν εφαρμόζονται σε δεδομένα που υποβάλλονται σε επεξεργασία από ένα άτομο για αυστηρά προσωπικούς λόγους ή για δραστηριότητες που διενεργούνται κατ’ οίκον, υπό την προϋπόθεση ότι δεν συνδέονται με κάποια επαγγελματική ή εμπορική δραστηριότητα. Όταν ένα άτομο χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα εκτός της ιδιωτικής σφαίρας, παραδείγματος χάρη για κοινωνικοπολιτιστικές ή χρηματοοικονομικές δραστηριότητες, τότε το δίκαιο περί προστασίας δεδομένων πρέπει να τηρείται.
Ειδικότερα:
1.Τι είναι ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR)
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) αφορά στην διαμόρφωση ενός ενιαίου νομοθετικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης με ημερομηνία υποχρεωτικής εφαρμογής στις 25 Μαΐου 2018. Πρόκειται για Κανονισμό (και όχι οδηγία) που σημαίνει ότι είναι άμεσα εφαρμοστέος σε όλα τα κράτη μέλη της ΕΕ.
2.Που αποσκοπεί ο νέος Κανονισμός;
Ο Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ έχει ως στόχο να διευρύνει την προστασία των δεδομένων στην εποχή των big data και του cloud computing, εξασφαλίζοντας ότι η προστασία των δεδομένων αποτελεί θεμελιώδες βασικό δικαίωμα, το οποίο θα ρυθμίζεται με συνέπεια σε όλη την Ευρώπη. Στόχος του είναι να διευκολύνει τη ροή δεδομένων προσωπικού χαρακτήρα σε όλα τα 28 κράτη μέλη της ΕΕ. Κάθε εταιρεία που εξυπηρετεί ευρωπαίους πολίτες και συλλέγει τα δεδομένα τους, θα πρέπει να συμμορφώνεται με αυτή την οδηγία, ακόμη και αν η ίδια εδρεύει σε χώρα εκτός Ευρώπης.
3.Σε ποιους απευθύνεται;
Απευθύνεται σε όλες τις επιχειρήσεις, ιδιωτικού και δημόσιου τομέα, που με οποιοδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών, ή άλλων φυσικών προσώπων. Πρακτικά αφορά σχεδόν το σύνολο των επιχειρήσεων.
4.Ποια θεωρούνται Προσωπικά δεδομένα;
Προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται στο πρόσωπο του κάθε ατόμου (ταυτοποιημένο ή ταυτοποιήσιμο), όπως: το όνομα και το επάγγελμά του, η οικογενειακή του κατάσταση, η ηλικία του, ο τόπος κατοικίας, δηλαδή κάθε αναγνωριστικό της ταυτότητας στοιχείο . Από τα παραπάνω, ιδιαίτερη κατηγορία αποτελούν τα ευαίσθητα προσωπικά δεδομένα, αυτά δηλαδή που έχουν δηλαδή ιδιαίτερη βαρύτητα για το σχηματισμό της εικόνας της προσωπικότητάς του ατόμου και η επεξεργασία τους τυγχάνει ιδιαίτερης ευθύνης. Αυτά είναι: δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, οι θρησκευτικές και πολιτικές πεποιθήσεις, η συμμετοχή σε συνδικαλιστικές οργανώσεις, η επεξεργασία βιομετρικών δεδομένων, δεδομένα υγείας και δεδομένα που αφορούν στο σεξουαλικό ή γενετήσιο προσανατολισμό του ατόμου.
5.Η υποχρέωση συμμόρφωσης των επιχειρήσεων/οργανισμών
Όλες οι επιχειρήσεις/οργανισμοί/Δημόσιοι φορείς οφείλουν να εναρμονιστούν με τα νέα δεδομένα που ορίζει ο κανονισμός, εστιάζοντας στην προστασία των πληροφοριακών τους συστημάτων και των δεδομένων τους, εφαρμόζοντας τακτικά ελέγχους ασφάλειας δικτύων και υποδομών, Παράλληλα οφείλουν να υλοποιήσουν πολιτικές ασφάλειας και διαδικασίες και να εκπαιδεύσουν τους χρήστες πληροφοριακών συστημάτων για την ορθή χρήση των πληροφοριακών συστημάτων τους.
6.Υπάρχουν κυρώσεις σε περίπτωση μη συμμόρφωσης με τον Κανονισμό;
Οι Παραβάσεις επιφέρουν υψηλά πρόστιμα (έως 10.000.000 € ή 20.000.00 ανάλογα με την παράβαση, ή έως το 2-4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο και πάλι ανάλογα με την παράβαση).
-Βασικές απαιτήσεις του GDPR
Οι βασικές απαιτήσεις του GDPR είναι:
-Η κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα
-Η προσεκτική συγκέντρωση και ασφαλής αποθήκευση προσωπικών δεδομένων.
-Η δυνατότητα διαγραφής ή εξαγωγής και παράδοσης των δεδομένων κατ’ απαίτηση
-Η εξασφάλιση της συνεχής εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας και ανθεκτικότητας των συστημάτων και υπηρεσιών επεξεργασίας
-Η έγκαιρη διαθεσιμότητα και την πρόσβαση σε προσωπικά δεδομένα σε περίπτωση φυσικού ή τεχνικού συμβάντος
-Η διασφάλιση συμμόρφωσης και από τις συνεργαζόμενες εταιρείες που διαχειρίζονται τα προσωπικά δεδομένα για λογαριασμό του οργανισμού.
-Η ύπαρξη διαδικασίας τακτικού ελέγχου, αξιολόγησης της εφαρμογής του και η αξιολόγηση της αποτελεσματικότητας τεχνικών και οργανωτικών μέτρων για την εξασφάλιση της ασφάλειας της επεξεργασίας.
Οι ΥΠΟΧΡΕΩΣΕΙΣ των επιχειρήσεων/οργανισμών
-να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ αυτών είναι απαραίτητα, να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν, να τα αποθηκεύουν για το ελάχιστο χρονικό διάστημα που απαιτείται, να λαμβάνουν κατά περίπτωση την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων
-να τα μεταφέρουν σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις
-να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με τον GDPR
-να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα για ανάκληση της συγκατάθεσης, πρόσβαση στα δεδομένα, διόρθωση των δεδομένων, διαγραφή των δεδομένων, περιορισμό της επεξεργασίας, παράδοση των δεδομένων σε ηλεκτρονική μορφή, μεταφορά των δεδομένων σε άλλο φορέα
-να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους
-να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους
-να τηρούν σε αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση
-να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.
-να προστατεύουν τα προσωπικά δεδομένα λαμβάνοντας κατάλληλα μέτρα ασφαλείας
-να γνωστοποιούν στις αρχές τις παραβιάσεις προσωπικών δεδομένων
-να λαμβάνουν συγκατάθεση για τη συλλογή και την επεξεργασία προσωπικών δεδομένων
-να τηρούν αρχεία που θα παρέχουν αναλυτικές πληροφορίες για τις δραστηριότητες επεξεργασίας δεδομένων
-να παρέχουν σαφή γνωστοποίηση για τη συλλογή δεδομένων
-να περιγράφουν το λόγο και τις περιπτώσεις επεξεργασίας των προσωπικών δεδομένων
-να ορίζουν πολιτικές διατήρησης και διαγραφής δεδομένων
-να παρέχουν σαφή γνωστοποίηση για τη συλλογή δεδομένων
-να περιγράφουν το λόγο και τις περιπτώσεις επεξεργασίας των προσωπικών δεδομένων
-να ορίζουν πολιτικές διατήρησης και διαγραφής δεδομένων
7.Ποιες υπηρεσίες παρέχει στις επιχειρήσεις/οργανισμούς ο ειδικός που θα αναλάβει την «συμμόρφωση» με τον Κανονισμό;
-Ενημέρωση του υπεύθυνου επεξεργασίας ή του εκτελούντα την επεξεργασία και των υπαλλήλων που επεξεργάζονται δεδομένα σχετικά με τις υποχρεώσεις τους που απορρέουν από τη νομοθεσία προστασίας δεδομένων
-Διάγνωση και αποτύπωση του επιπέδου συμμόρφωσης με τον GDPR με δημιουργία του αρχείου δραστηριοτήτων επεξεργασίας
-Αξιολόγηση επιπτώσεων (Privacy Impact Assessment) σχετικά με την προστασία δεδομένων για τον εντοπισμό των σημαντικότερων κινδύνων
-Πρόταση μέτρων αντιμετώπισης (Compliance Plan), υποστήριξη και καθοδήγηση στην υλοποίησή τους, με συμβουλευτικό και μόνο ρόλο, όχι αποφασιστικό
-Ανάπτυξη όλων των απαιτούμενων πολιτικών και διαδικασιών προστασίας προσωπικών δεδομένων, σε ένα πλήρες Σύστημα Διαχείρισης Προσωπικών Δεδομένων
-Επιθεωρήσεις ετοιμότητας (Compliance Audit) ως προς τον GDPR
-Συνεργασία με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
-Εκπαίδευση προσωπικού
8.Είναι αναγκαίος ο ορισμός DPO (υπεύθυνου προστασίας προσωπικών δεδομένων);
Ο ρόλος του υπεύθυνου προστασίας δεδομένων είναι πρωτίστως συμβουλευτικός και υποστηρικτικός. Λαμβάνοντας υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ο υπεύθυνος προστασίας οφείλει να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία δεδομένων και τους υπαλλήλους της επιχείρησης σχετικά με τη νέα νομοθεσία για την προστασία δεδομένων, καθώς επίσης να παρακολουθεί τη συμμόρφωση με τον Κανονισμό με σκοπό την ελαχιστοποίηση του κινδύνου παραβίασης, η οποία θα επιφέρει υψηλά πρόστιμα, τα οποία μπορεί να ανέρχονται μέχρι το ποσό των Ευρώ 20 εκατ. ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους.
Ο ορισμός DPO συνιστά ένα εργαλείο στα χέρια κάθε επιχείρησης μιας και αυτός, έχοντας, πέρα από τα παραπάνω, ρόλο διαμεσολαβητή μπορεί να συνδράμει στη λογοδοσία και την επικοινωνία με την εποπτεύουσα Αρχή και να διαβουλεύεται με αυτή όταν αυτό απαιτείται.
Λόγω των επαγγελματικών προσόντων και ιδίως λόγω της εμπειρογνωσίας που πρέπει να διαθέτει στον τομέα της προστασίας δεδομένων, ο DPO αποτελεί εχέγγυο για την καλή εφαρμογή του Κανονισμού και μπορεί να αποτελέσει ένα “ανταγωνιστικό πλεονέκτημα” στην αγορά έναντι άλλων επιχειρήσεων, αφού αποδεικνύει την ευαισθησία των επιχειρήσεων για συμμόρφωση, όπως έχει σωστά επισημάνει η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα του άρθρου 29.
Ένα ισχυρό πρόγραμμα συμμόρφωσης με τον ΓΚΠΔ, εποπτευόμενο από έναν κατάλληλο DPO μπορεί να συμβάλει στην ελαχιστοποίηση του κινδύνου παραβίασης προσωπικών δεδομένων και συνεπώς στην αποφυγή προστίμων και λοιπών κυρώσεων, αξιώσεων αποζημίωσης από τα υποκείμενα των δεδομένων σε περίπτωση παραβίασης των δεδομένων τους. Μπορεί, τέλος, να ενισχύσει την αφοσίωση του προσωπικού της εταιρείας που το υιοθετεί, καθώς επίσης και τη φήμη και την αξιοπιστία της βοηθώντας την να κερδίσει νέες ευκαιρίες.
Πρόεδρος Δικηγορικού Συλλόγου Γιαννιτσών
Μέλος της Συντονιστικής Επιτροπής της Ολομέλειας των Δικηγορικών Συλλόγων Ελλάδος
Στάθης Φουντουκίδης

Μοιραστείτε με τους φίλους σας
Μοιράσου με τους φίλους σου