Οι 6 πρακτικές διαφορές του Νέου Κανονισμού για την Προστασία των Προσωπικών Δεδομένων

19
Apr
2018
19.04.2018

Στις 25.5.2018 αρχίζει η εφαρμογή του Νέου Κανονισμού Προστασίας των Προσωπικών Δεδομένων 2016/679, γνωστός και ως General Data Protection Regulation (GDPR), και ο οποίος περιέχει διατάξεις με δραστικές αλλαγές στον τομέα των προσωπικών δεδομένων, σε σύγκριση με τον ισχύοντα νόμο 2472/1997. Βασικοί φορείς που υπόκεινται στις διατάξεις του είναι οι δημόσιες υπηρεσίες, καθώς και οι επιχειρήσεις, ιδίως εκείνες που επεξεργάζονται ευαίσθητα δεδομένα ή δεδομένα σε ευρεία κλίμακα, όπως νοσοκομεία, κλινικές, διαγνωστικά κέντρα, εταιρίες συλλογής προσωπικών δεδομένων για διαφημιστικούς σκοπούς, τράπεζες, ασφαλιστικές εταιρείες και άλλες.

Η πρώτη δραστική αλλαγή αφορά τον τρόπο της συγκατάθεσης των πολιτών ως προς την επεξεργασία των δεδομένων τους, είτε πρόκειται για απλά δεδομένα, είτε πρόκειται για δεδομένα ευαίσθητης φύσης. Ουσιαστικά δεν αρκεί πλέον η σιωπηρή ή έμμεση συγκατάθεση του προσώπου για την επεξεργασία των δεδομένων του, αλλά η ρητή και συνειδητή συγκατάθεση για οποιαδήποτε επεξεργασία δεδομένων του, πέραν των αναγκαίων δεδομένων για τη συναλλαγή στην οποία επιθυμεί να προβεί με οποιαδήποτε επιχείρηση. Μάλιστα η πλήρης και συνειδητή συγκατάθεση δεν αφορά μόνο τους πελάτες μιας επιχείρησης, αλλά και τους εργαζόμενους ή συνεργαζόμενους με την επιχείρηση, όσον αφορά και τα δικά τους δεδομένα, γεγονός που καθιστά αναγκαία τη σύνταξη συμφωνητικών για την επεξεργασία των δεδομένων τους ή την αναθεώρηση των υπογεγραμμένων συμβάσεων, στο πλαίσιο της διαδικασίας συμμόρφωσης.

Η δεύτερη αλλαγή αφορά τον τρόπο συμμόρφωσης (compliance) των επιχειρήσεων με τον κανονισμό, καθώς δεν αρκεί πλέον μια απλή δήλωση περί ισχύουσας νομοθεσίας στους όρους χρήσης μιας ιστοσελίδας ή μια απλή συγκατάθεση. Αντιθέτως η συμμόρφωση με τον Κανονισμό αποτελεί πολυσύνθετη διαδικασία, η οποία ξεκινάει με την πλήρη χαρτογράφηση των δεδομένων και των κατηγοριών τους σε μια επιχείρηση, με έλεγχο της νομιμότητας όσον αφορά την επεξεργασία τους, καθώς και με πλήρη αξιολόγηση της τεχνικής τους ασφάλειας ως προς το ενδεχόμενο απώλειάς τους και παράνομης πρόσβασης σε αυτά. Ο έλεγχος επικεντρώνεται σε δεύτερο στάδιο σε διαπιστωθέντα κενά νομιμότητας και ασφάλειας, με νομική – τεχνολογική καθοδήγηση ως προς τον τρόπο κάλυψης των κενών, με τρόπο νομοτεχνικά εύστοχο και οικονομικά βιώσιμο. Η συμμόρφωση ολοκληρώνεται με την υπογραφή αναφοράς ελέγχου από την οποία προκύπτει ότι η επιχείρηση υλοποίησε τις οδηγίες του ελέγχου σε όλα τα στάδια συμμόρφωσης και πλέον έχει συμμορφωθεί με τον Κανονισμό, καθώς έχουν εκπληρωθεί όλες οι απαιτήσεις που εμπεριέχονται στις διατάξεις του.

Η τρίτη αλλαγή αφορά τον δημόσιο τομέα και τις επιχειρήσεις που επεξεργάζονται δεδομένα σε ευρεία κλίμακα, καθώς πρόκειται για φορείς που υποχρεώνονται πλέον να προσλάβουν με σύμβαση εργασίας ή ανεξάρτητων υπηρεσιών έναν υπεύθυνο προστασίας δεδομένων, ή αλλιώς Data Protection Officer (DPO). Βασικό καθήκον του DPO είναι η διαρκής παρακολούθηση της συμμόρφωσης του δημόσιου φορέα ή της -συγκεκριμένης κατηγορίας- επιχείρησης, και η διαρκής επιμόρφωση του προσωπικού σύμφωνα με τις εκάστοτε νομοθετικές – πρακτικές εξελίξεις. Ουσιαστικά μοιάζει ο ρόλος του με αυτόν του ορκωτού ελεγκτή στις μεγάλες επιχειρήσεις, και αποτελεί υπεύθυνο της επικοινωνίας της επιχείρησης με την Αρχή Προστασίας Προσωπικών Δεδομένων.

Η τέταρτη αλλαγή αφορά μεταξύ άλλων το δικαίωμα διαγραφής των δεδομένων, ή αλλιώς το λεγόμενο “δικαίωμα στη λήθη”, το οποίο δεν υπήρχε μέχρι σήμερα. Πρόκειται για το δικαίωμα του πολίτη να ζητήσει την πλήρη διαγραφή των δεδομένων του από το αρχείο μιας επιχείρησης, ακόμη και αν κάποτε είχε δώσει τη συγκατάθεσή του για την επεξεργασία. Κατά συνέπεια, ακόμη κι αν έχει δώσει κανείς με πολλαπλούς τρόπους τη συγκατάθεσή του, μπορεί ανά πάσα στιγμή όχι μόνο να την ανακαλέσει, αλλά και να διαγραφούν πλήρως τα προσωπικά του δεδομένα (αν δεν υπάρχει νομικός λόγος για το αντίθετο).

Η πέμπτη αλλαγή αφορά τα υψηλά πρόστιμα που προβλέπει ο Κανονισμός, σε περίπτωση παραβίασης των διατάξεων του, τα οποία ανέρχονται μέχρι και στο 4% επί του τζίρου των επιχειρήσεων. Παράλληλα, όμως, θεσπίζονται και κριτήρια καθορισμού του ποσού του προστίμου, τα οποία αφορούν ουσιαστικά την αξιολόγηση της συμπεριφοράς της επιχείρησης,  καθώς και του βαθμού συμμόρφωσης της επιχείρησης, αν δεν τηρήθηκε πλήρως η διαδικασία συμμόρφωσης.

Η έκτη βασική αλλαγή συνίσταται στον αναγκαίο σεβασμό των επιχειρήσεων απέναντι στα προσωπικά δεδομένα πελατών και εργαζομένων “ήδη από τον σχεδιασμό τους και εξ ορισμού”. Με άλλα λόγια ο σεβασμός των δεδομένων θα πρέπει να αποτελεί κριτήριο για τον κεντρικό σχεδιασμό της λειτουργίας της επιχείρησης, ώστε η δομή της να βασίζεται στην νομιμότητα και την ασφαλή επεξεργασία των δεδομένων, μέσω της υιοθέτησης των κατάλληλων πολιτικών ασφαλείας και των σύγχρονων τεχνολογικών μέτρων ασφάλειας των δεδομένων. Πρωταγωνιστικό ρόλο σε αυτόν τον σκοπό έχει η κρυπτογράφηση και η ψευδωνυμοποίηση των δεδομένων, γεγονός που τονίζεται σε πολλά σημεία του κανονισμού.

Σε τελική ανάλυση, η διαδικασία συμμόρφωσης με τον Κανονισμό 679/2016 αφενός βάζει μια τάξη στην επεξεργασία και στην ασφάλεια των προσωπικών δεδομένων, αφετέρου προστατεύει την επιχείρηση απέναντι σε ελέγχους και πρόστιμα της Αρχής Προστασίας Προσωπικών Δεδομένων. Η πρόβλεψη του Κανονισμού ότι οι αρχές προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού θα πρέπει επίσης να λαμβάνονται υπόψη στο πλαίσιο των δημόσιων διαγωνισμών αποδεικνύει ότι ο GDPR θα μας απασχολεί διαρκώς σε πολλαπλά επίπεδα, είτε βρισκόμαστε στη θέση του πολίτη που αναζητά προστασία, είτε βρισκόμαστε στη θέση της επιχείρησης, που αναζητά τη δημιουργία ανταγωνιστικών πλεονεκτημάτων, στο πλαίσιο της επαγγελματικής της λειτουργίας.

πηγή