Τι αλλαγές φέρνει ο νέος κανονισμός για τα προσωπικά δεδομένα που εφαρμόζεται από χθες
Ποια βήματα πρέπει να ακολουθήσουν οι επιχειρήσεις για να συμμορφωθούν με το νέο καθεστώς για τα προσωπικά δεδομένα
Από χθες, 25 Μαΐου, ενεργοποιήθηκε ο νέος «Γενικός Κανονισμός για την Προστασία Δεδομένων», ο GDPR (General Data Protection Regulation).
Την τελευταία βδομάδα, οι χρήστες ηλεκτρονικού ταχυδρομείου καταιγίστηκαν από emails στο inbox τους από τις εταιρείες που ζητούσαν έγκριση για να συνεχίσουν την ηλεκτρονική επικοινωνία.
Τι πραγματικά αλλάζει όμως ο GDPR; Επηρεάζει τους απλούς χρήστες περισσότερο ή τις εταιρείες; Και τι πρέπει να κάνουν αυτές για να εναρμονιστούν πλήρως με τις επιταγές του νέου κανονισμού για τα προσωπικά δεδομένα;
Η Καθηγήτρια Δικαίου Πληροφορικής, στο Τμήμα Εφαρμοσμένης Πληροφορικής του Πανεπιστημίου Μακεδονίας Ευγενία Αλεξανδροπούλου - Αιγυπτιάδου, μιλά στο Αθηναϊκό - Μακεδονικό Πρακτορείο Ειδήσεων για τις καινοτομίες που εισήγαγε ο GDPR.
Όπως εξηγεί η κ. Αλεξανδροπούλου, τα προσωπικά δεδομένα είναι οποιαδήποτε πληροφορία αφορά συγκεκριμένο φυσικό, όχι νομικό πρόσωπο. Ήδη, εδώ και περισσότερα από 20 χρόνια, και με την Ευρωπαϊκή Οδηγία 95/46 και με τον Νόμο -με τον Ν.2472/1997 ενσωματώθηκε στην ελληνική νομοθεσία η προηγούμενη Οδηγία- τα προσωπικά δεδομένα προστατεύονται. Αυτό που έκανε ο Κανονισμός είναι, χρησιμοποιώντας τις ίδιες αρχές προστασίας των προσωπικών δεδομένων της Οδηγίας 95/46/ΕΚ, να ενδυναμώσει τις υποχρεώσεις των υπεύθυνων επεξεργασίας, καθώς και τα δικαιώματα των υποκειμένων των δεδομένων, δηλ. των ατόμων, των φυσικών προσώπων , του καθενός από εμάς.
Όσο για την εδαφική εμβέλεια του GDPR, λέει πως «ο κανονισμός εφαρμόζεται στον Ευρωπαϊκό Οικονομικό Χώρο, δηλ. στην Ευρωπαϊκή Ένωση και σε Λιχτενστάιν, Νορβηγία και Ισλανδία. Μέχρι τώρα εφαρμοζόταν η Οδηγία για την προστασία των προσωπικών δεδομένων, εφόσον ο υπεύθυνος επεξεργασίας των δεδομένων, που μπορεί να είναι είτε φυσικό είτε νομικό πρόσωπο πχ μια εταιρία , είχε εγκατάσταση στην Ευρωπαϊκή Ένωση ή είχε προσέφευγε σε μέσα επεξεργασίας που βρίσκονταν στην ΕΕ. Με τον GDPR επεκτάθηκε αυτό και ακόμη και υπεύθυνοι επεξεργασίας που δεν είναι εγκατεστημένοι στην ΕΕ δεσμεύονται από τους κανόνες του GDPR, εφόσον είτε προσφέρουν αγαθά ή υπηρεσίες σε άτομα που βρίσκονται στην ΕΕ είτε παρακολουθούν τη συμπεριφορά των προσώπων αυτών π.χ στο πλαίσιο συμπεριφορικής διαφήμισης».
Επιπλέον, ο κανονισμός ισχύει για όλους τους οργανισμούς και εταιρείες που είναι εγκατεστημένοι στην Ευρωπαϊκή Ένωση αλλά και οργανισμοί οι οποίοι είναι και εκτός Ευρωπαϊκής Ένωσης, αλλά παρέχουν αγαθά ή υπηρεσίες στην Ευρωπαϊκή Ένωση εκ του μακρόθεν, εξ αποστάσεως από το διαδίκτυο ή παρακολουθούν συμπεριφορά ατόμων που είναι στην Ευρωπαϊκή Ένωση πχ για να δημιουργήσουν καταναλωτικά προφίλ , προκειμένου να στοχεύσουν την προσφορά των προϊόντων τους. Έχει διευρυνθεί πάρα πολύ το πεδίο εφαρμογής και αυτό σημαίνει ότι προστατεύεται περισσότερο το άτομο, το φυσικό πρόσωπο. Επομένως είναι μεγαλύτερη η προστασία των ατόμων με τον Κανονισμό, λόγω της διεύρυνσης της εδαφικής εμβέλειας. Είναι μία σπουδαία καινοτομία του κανονισμού.
Ποια είναι τα πρόστιμα που φέρνει ο GDPR
Σημαντική καινοτομία, που κίνησε και το τεράστιο ενδιαφέρον για τη συμμόρφωση με τον GDPR είναι τα υψηλά χρηματικά πρόστιμα που προβλέπει -έως 20.000.000 ευρώ ή –αν είναι μεγαλύτερο- το 4% του παγκόσμιου ετήσιου τζίρου της επιχείρησης που επεξεργάζεται δεδομένα. Μέχρι σήμερα ο ελληνικός νόμος πρόβλεπε πρόστιμο μέχρι 150.000 ευρώ.
Ποια είναι τα βήματα συμμόρφωσης μιας επιχείρησης , τι πρέπει να κάνει, για να θεωρηθεί πως έχει συμμορφωθεί πλήρως;
Οι Αρχές Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και άλλοι Οργανισμοί θα δώσουν τα εργαλεία της συμμόρφωσης, ήδη η ελληνική Αρχή Προστασίας δεδομένων στην ιστοσελίδα της www.dpa.gr έχει αναρτήσει χρήσιμες οδηγίες και εργαλεία. Δεύτερον, αυτό που πρέπει να κάνει ο υπεύθυνος επεξεργασίας, που όπως είπαμε μπορεί να είναι μία επιχείρηση, είναι η ενημέρωση του προσωπικού της για τον Κανονισμό και η δημιουργία κουλτούρας προστασίας των προσωπικών δεδομένων. Μετά είναι η καταγραφή/χαρτογράφηση, το mapping, τι κάνει αυτή τη στιγμή η επιχείρηση, τι επεξεργασίες δεδομένων κάνει αυτή τη στιγμή και αφού καταγραφεί τι κάνει -υπάρχουν εργαλεία και γι’ αυτό, υπάρχουν excel γι’ αυτό, γνωρίζουμε τι πρέπει να συμπληρωθεί- κατόπιν είναι το gap analysis, εξετάζεται δηλ. η απόκλιση ανάμεσα σε αυτό που κάνει η επιχείρηση και σε αυτό που πρέπει να κάνει σύμφωνα με τον Κανονισμό. Πρέπει για παράδειγμα η επιχείρηση να ξαναδεί τις συμβάσεις με το προσωπικό, να ξαναδεί τις συμβάσεις με τους προμηθευτές. Υπάρχει όρος εκεί για προστασία προσωπικών δεδομένων; Αν δεν υπάρχει να συμπληρωθεί, π.χ. με μια πρόσθετη συμφωνία. Άλλωστε, νομίζω ότι δεν θα ξεκινήσει η επιβολή προστίμων αμέσως, φαίνεται εύλογο να γίνουν πρώτα κάποιες συστάσεις, να δοθούν οδηγίες κλπ, να δοθεί δηλ. βαρύτητα πρώτα στον συμβουλευτικό ρόλο της Εποπτικής Αρχής, στην κατεύθυνση της ομαλής προσαρμογής και συμμόρφωσης.
Ποιες άλλες αλλαγές φέρνει ο GDPR
Σύμφωνα με την κ. Αλεξανδροπούλου, από τις σημαντικότερες καινοτομίες είναι η εισαγωγή νέων δικαιωμάτων του υποκειμένου των δεδομένων (π.χ. δικαίωμα διαγραφής /δικαίωμα στη λήθη, στη φορητότητα), η προσθήκη νέων αρχών επεξεργασίας (όπως της διαφάνειας, της λογοδοσίας, της ακεραιότητας και εμπιστευτικότητας), το ενισχυμένο πλέγμα υποχρεώσεων του υπευθύνου επεξεργασίας (όπως η λογοδοσία, η γνωστοποίηση παραβιάσεων προσωπικών δεδομένων στην Εποπτική Αρχή και στο υποκείμενο, η προστασία των δεδομένων ήδη από το σχεδιασμό της επεξεργασίας και εξ ορισμού:privacy by design/privacy by default, η εκτίμηση αντικτύπου όταν η επεξεργασία ενέχει σοβαρούς κινδύνους για τα προσωπικά δεδομένα), η αύξηση των υποχρεώσεων του εκτελούντος την επεξεργασία, ο θεσμός του υπευθύνου προστασίας δεδομένων, οι ειδικές προστατευτικές ρυθμίσεις για τα προσωπικά δεδομένα των παιδιών, η ρητή δυνατότητα ανάκλησης της συγκατάθεσης του υποκειμένου, η απάλειψη της γενικής υποχρέωσης δήλωσης της επεξεργασίας στην Εποπτική Αρχή ή λήψη της σχετικής άδειας, η θέσπιση του Ευρωπαϊκού Συμβουλίου Προστασίας δεδομένων, ο μηχανισμός συνεκτικότητας, η ενθάρρυνση για θέσπιση μηχανισμών πιστοποίησης, η αυστηροποίηση των κυρώσεων, ιδίως των διοικητικών προστίμων.