Ποιους αφορά και τι πρέπει να γνωρίζετε για τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR)
Στόχος του Γενικού Κανονισμού για την Προστασία Δεδομένων (γνωστός και ως ΓΚΠΔ/GDPR), ο οποίος τίθεται σε εφαρμογή σε όλα τα κράτη – μέλη της Ευρωπαϊκής Ένωσης από την 25η Μαΐου 2018, είναι η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και η διασφάλιση της ελεύθερης κυκλοφορίας αυτών κατά τρόπο ενιαίο εντός της ΕΕ. Η σπουδαιότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα για τον Ευρωπαίο νομοθέτη είναι εμφανής και από τα υψηλά διοικητικά πρόστιμα που προβλέπονται στις περιπτώσεις παραβάσεων. Δεν είναι τυχαίο ότι το αγγλικό περιοδικό “The Economist” χαρακτήρισε τα δεδομένα ως «το πετρέλαιο της ψηφιακής εποχής».
Ο Κανονισμός αφορά οποιοδήποτε άτομο, εταιρεία, επιχείρηση ή οργανισμό έχει εγκατάσταση εντός της ΕΕ και επεξεργάζεται (για μη προσωπικούς λόγους) δεδομένα που αφορούν φυσικά πρόσωπα εν ζωή, καθώς και όσους δεν είναι εγκατεστημένοι στην Ένωση αλλά επεξεργάζονται δεδομένα προσώπων εντός της Ένωσης, ενώ υποχρέωση για συμμόρφωση με τις βασικές απαιτήσεις του Κανονισμού έχουν όλοι οι ανωτέρω ανεξαρτήτως του μεγέθους της επιχείρησης ή της έκτασης της δραστηριότητάς τους. Ενδεικτικά οφείλουν να τηρούν τις απαιτήσεις του Κανονισμού και να αποδεικνύουν τη συμμόρφωσή τους με αυτόν νοσοκομεία, οργανισμοί τοπικής αυτοδιοίκησης, υπηρεσίες, ιδιωτικές κλινικές, ΜΚΟ, ιατροί, δικηγόροι, λογιστές, ιδιοκτήτες e-shop, μέσα κοινωνική δικτύωσης, ταξιδιωτικά πρακτορεία, ασφαλιστικές εταιρείες κ.α.
Σύμφωνα με τον Κανονισμό δεδομένα προσωπικού χαρακτήρα είναι οποιαδήποτε πληροφορία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, οτιδήποτε, δηλαδή, επιτρέπει να εξακριβωθεί είτε άμεσα είτε έμμεσα η ταυτότητα ενός φυσικού προσώπου, όπως τα στοιχεία που αφορούν τη σωματική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή οικονομική ταυτότητά του. Τέτοια είναι – ενδεικτικά – το ονοματεπώνυμο, η διεύθυνση, το επάγγελμα, οι πινακίδες του αυτοκινήτου, η διεύθυνση ip, τα δεδομένα τοποθεσίας (από gps) κ.α.
Αξίζει να σημειωθεί ότι επεξεργασία αυτών των δεδομένων αποτελεί κάθε πράξη που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, όπως ενδεικτικά η συλλογή, καταχώριση, οργάνωση, αποθήκευση, ανάκτηση, διαγραφή, συσχέτιση ή διάδοση αυτών. Επομένως, είναι πολλές οι πράξεις ή δραστηριότητες που εμπίπτουν στις διατάξεις του Κανονισμού, όπως για παράδειγμα η διαχείριση της μισθοδοσίας του προσωπικού, η τήρηση αρχείου πελατών/ασθενών, η συλλογή βιογραφικών για πρόσληψη, η αποστολή newsletter, η δημοσίευση φωτογραφιών, η χρήση συστημάτων βιντεοπαρακολούθησης, ο εντοπισμός της θέσης οχήματος κ.α.
Όπως γίνεται αντιληπτό, το εύρος εφαρμογής του Κανονισμού είναι μεγάλο και αφορά πληθώρα επιχειρήσεων και προσώπων («υπεύθυνοι επεξεργασίας»), οι οποίοι πρέπει να είναι πάντα σε θέση να αποδείξουν τη συμμόρφωση τους με τις απαιτήσεις του Κανονισμού («αρχή της λογοδοσίας»). Η διαδικασία της συμμόρφωσης είναι μια διαρκής διαδικασία και σε ορισμένες περιπτώσεις πολύπλοκη. Ωστόσο παρακάτω αναφέρονται συνοπτικά οι σημαντικότερες ενέργειες που πρέπει να ακολουθήσουν οι υπεύθυνοι επεξεργασίας.
Κατ’ αρχήν θα πρέπει να γίνει χαρτογράφηση της τρέχουσας επεξεργασίας των δεδομένων που πραγματοποιεί η επιχείρηση και της ροής που ακολουθείται, καταγράφοντας ποια δεδομένα επεξεργάζεται, πώς συλλέγονται και για ποιο σκοπό, που αποθηκεύονται, ποιος έχει πρόσβαση σε αυτά και ποιος είναι αρμόδιος για την τήρησή τους. Έπειτα θα πρέπει να ελεγχθεί αν αυτή η επεξεργασία είναι νόμιμη και ιδιαίτερα να ελεγχθεί αν η βάση, σύμφωνα με την οποία γίνεται η επεξεργασία, (πχ. η συγκατάθεση του υποκειμένου ή σύμβαση εργασίας κ.α.) πληροί τις προϋποθέσεις που θέτει ο Κανονισμός. Οι ελλείψεις που ενδέχεται να προκύψουν από τον έλεγχο θα πρέπει να συμπληρωθούν ή να αντιμετωπιστούν κατά περίπτωση με την κατάλληλη προσαρμογή της δραστηριότητας της επιχείρησης και την τροποποίηση ή επικαιροποίηση των διαδικασιών και των εγγράφων που αφορούν την επεξεργασία, όπως οι συμβάσεις, οι όροι χρήσης, τα έντυπα συγκατάθεσης κλπ.
Παράλληλα θα πρέπει να ληφθούν κατάλληλα μέτρα τόσο για την εγγύηση της ασφάλειας των δεδομένων και την προστασία τους από παράνομη επεξεργασία ή απώλεια, όσο και για την δυνατότητα εξυπηρέτησης των αιτημάτων των υποκειμένων των δεδομένων, όπως αιτήματα για ενημέρωση, διόρθωση ή διαγραφή των δεδομένων, περιορισμό της επεξεργασίας ή αίτημα για διαβίβαση των δεδομένων σε άλλο υπεύθυνο επεξεργασίας. Ειδικά για την επεξεργασία με αυτοματοποιημένα μέσα θα πρέπει να διασφαλιστεί κατά το δυνατόν η ασφάλεια του λογισμικού και να ληφθούν τα απαραίτητα τεχνολογικά μέτρα προστασίας του συστήματος από κακόβουλο λογισμικό.
Είναι, επίσης, σημαντική η εκπαίδευση του προσωπικού της επιχείρησης σε θέματα προστασίας δεδομένων προσωπικού χαρακτήρα και η διαρκής ενημέρωση και συνεχής προσαρμογή των διαδικασιών επεξεργασίας της επιχείρησης στις απαιτήσεις του Κανονισμού. Ακόμη, ορισμένοι υπεύθυνοι επεξεργασίας, όπως οι δημόσιοι φορείς και οι επιχειρήσεις που διενεργούν επεξεργασία δεδομένων σε μεγάλη κλίμακα οφείλουν να ορίσουν υπεύθυνο προστασίας δεδομένων (data protection officer). Τέλος, όταν η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας υποχρεούται σε διενέργεια μελέτης εκτίμησης αντικτύπου, ενώ ειδικότερες ρυθμίσεις προβλέπονται και για όσους διαβιβάζουν δεδομένα προς χώρες εκτός ΕΕ ή σε διεθνείς οργανισμούς.
Η συμμόρφωση της επιχείρησης με τον Κανονισμό, όχι μόνο δεν είναι μία περιττή υποχρέωση και ένα επιπρόσθετο βάρος, αλλά αποτελεί ανταγωνιστικό πλεονέκτημα, καθώς θα ενισχύσει την εμπιστοσύνη των καταναλωτών σε αυτή. Το, δε, κόστος της συμμόρφωσης αντισταθμίζεται σίγουρα με τα οφέλη που μπορεί να αποκομίσει ο υπεύθυνος επεξεργασίας από τη νόμιμη τήρηση και επεξεργασία των δεδομένων προσωπικού χαρακτήρα.
Βρείτε τις απαντήσεις της Ευρωπαϊκής Επιτροπής σε συχνές ερωτήσεις για τον ΓΚΠΔ εδώ: https://ec.europa.eu/info/law/law-topic/data-protection/reform_el και περισσότερες πληροφορίες από την Επιτροπή σχετικά με το θέμα εδώ: http://ec.europa.eu/justice/smedataprotect/index_el.htm
Στόχος του Γενικού Κανονισμού για την Προστασία Δεδομένων (γνωστός και ως ΓΚΠΔ/GDPR), ο οποίος τίθεται σε εφαρμογή σε όλα τα κράτη – μέλη της Ευρωπαϊκής Ένωσης από την 25η Μαΐου 2018, είναι η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και η διασφάλιση της ελεύθερης κυκλοφορίας αυτών κατά τρόπο ενιαίο εντός της ΕΕ. Η σπουδαιότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα για τον Ευρωπαίο νομοθέτη είναι εμφανής και από τα υψηλά διοικητικά πρόστιμα που προβλέπονται στις περιπτώσεις παραβάσεων. Δεν είναι τυχαίο ότι το αγγλικό περιοδικό “The Economist” χαρακτήρισε τα δεδομένα ως «το πετρέλαιο της ψηφιακής εποχής».
Ο Κανονισμός αφορά οποιοδήποτε άτομο, εταιρεία, επιχείρηση ή οργανισμό έχει εγκατάσταση εντός της ΕΕ και επεξεργάζεται (για μη προσωπικούς λόγους) δεδομένα που αφορούν φυσικά πρόσωπα εν ζωή, καθώς και όσους δεν είναι εγκατεστημένοι στην Ένωση αλλά επεξεργάζονται δεδομένα προσώπων εντός της Ένωσης, ενώ υποχρέωση για συμμόρφωση με τις βασικές απαιτήσεις του Κανονισμού έχουν όλοι οι ανωτέρω ανεξαρτήτως του μεγέθους της επιχείρησης ή της έκτασης της δραστηριότητάς τους. Ενδεικτικά οφείλουν να τηρούν τις απαιτήσεις του Κανονισμού και να αποδεικνύουν τη συμμόρφωσή τους με αυτόν νοσοκομεία, οργανισμοί τοπικής αυτοδιοίκησης, υπηρεσίες, ιδιωτικές κλινικές, ΜΚΟ, ιατροί, δικηγόροι, λογιστές, ιδιοκτήτες e-shop, μέσα κοινωνική δικτύωσης, ταξιδιωτικά πρακτορεία, ασφαλιστικές εταιρείες κ.α.
Σύμφωνα με τον Κανονισμό δεδομένα προσωπικού χαρακτήρα είναι οποιαδήποτε πληροφορία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, οτιδήποτε, δηλαδή, επιτρέπει να εξακριβωθεί είτε άμεσα είτε έμμεσα η ταυτότητα ενός φυσικού προσώπου, όπως τα στοιχεία που αφορούν τη σωματική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή οικονομική ταυτότητά του. Τέτοια είναι – ενδεικτικά – το ονοματεπώνυμο, η διεύθυνση, το επάγγελμα, οι πινακίδες του αυτοκινήτου, η διεύθυνση ip, τα δεδομένα τοποθεσίας (από gps) κ.α.
Αξίζει να σημειωθεί ότι επεξεργασία αυτών των δεδομένων αποτελεί κάθε πράξη που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, όπως ενδεικτικά η συλλογή, καταχώριση, οργάνωση, αποθήκευση, ανάκτηση, διαγραφή, συσχέτιση ή διάδοση αυτών. Επομένως, είναι πολλές οι πράξεις ή δραστηριότητες που εμπίπτουν στις διατάξεις του Κανονισμού, όπως για παράδειγμα η διαχείριση της μισθοδοσίας του προσωπικού, η τήρηση αρχείου πελατών/ασθενών, η συλλογή βιογραφικών για πρόσληψη, η αποστολή newsletter, η δημοσίευση φωτογραφιών, η χρήση συστημάτων βιντεοπαρακολούθησης, ο εντοπισμός της θέσης οχήματος κ.α.
Όπως γίνεται αντιληπτό, το εύρος εφαρμογής του Κανονισμού είναι μεγάλο και αφορά πληθώρα επιχειρήσεων και προσώπων («υπεύθυνοι επεξεργασίας»), οι οποίοι πρέπει να είναι πάντα σε θέση να αποδείξουν τη συμμόρφωση τους με τις απαιτήσεις του Κανονισμού («αρχή της λογοδοσίας»). Η διαδικασία της συμμόρφωσης είναι μια διαρκής διαδικασία και σε ορισμένες περιπτώσεις πολύπλοκη. Ωστόσο παρακάτω αναφέρονται συνοπτικά οι σημαντικότερες ενέργειες που πρέπει να ακολουθήσουν οι υπεύθυνοι επεξεργασίας.
Κατ’ αρχήν θα πρέπει να γίνει χαρτογράφηση της τρέχουσας επεξεργασίας των δεδομένων που πραγματοποιεί η επιχείρηση και της ροής που ακολουθείται, καταγράφοντας ποια δεδομένα επεξεργάζεται, πώς συλλέγονται και για ποιο σκοπό, που αποθηκεύονται, ποιος έχει πρόσβαση σε αυτά και ποιος είναι αρμόδιος για την τήρησή τους. Έπειτα θα πρέπει να ελεγχθεί αν αυτή η επεξεργασία είναι νόμιμη και ιδιαίτερα να ελεγχθεί αν η βάση, σύμφωνα με την οποία γίνεται η επεξεργασία, (πχ. η συγκατάθεση του υποκειμένου ή σύμβαση εργασίας κ.α.) πληροί τις προϋποθέσεις που θέτει ο Κανονισμός. Οι ελλείψεις που ενδέχεται να προκύψουν από τον έλεγχο θα πρέπει να συμπληρωθούν ή να αντιμετωπιστούν κατά περίπτωση με την κατάλληλη προσαρμογή της δραστηριότητας της επιχείρησης και την τροποποίηση ή επικαιροποίηση των διαδικασιών και των εγγράφων που αφορούν την επεξεργασία, όπως οι συμβάσεις, οι όροι χρήσης, τα έντυπα συγκατάθεσης κλπ.
Παράλληλα θα πρέπει να ληφθούν κατάλληλα μέτρα τόσο για την εγγύηση της ασφάλειας των δεδομένων και την προστασία τους από παράνομη επεξεργασία ή απώλεια, όσο και για την δυνατότητα εξυπηρέτησης των αιτημάτων των υποκειμένων των δεδομένων, όπως αιτήματα για ενημέρωση, διόρθωση ή διαγραφή των δεδομένων, περιορισμό της επεξεργασίας ή αίτημα για διαβίβαση των δεδομένων σε άλλο υπεύθυνο επεξεργασίας. Ειδικά για την επεξεργασία με αυτοματοποιημένα μέσα θα πρέπει να διασφαλιστεί κατά το δυνατόν η ασφάλεια του λογισμικού και να ληφθούν τα απαραίτητα τεχνολογικά μέτρα προστασίας του συστήματος από κακόβουλο λογισμικό.
Είναι, επίσης, σημαντική η εκπαίδευση του προσωπικού της επιχείρησης σε θέματα προστασίας δεδομένων προσωπικού χαρακτήρα και η διαρκής ενημέρωση και συνεχής προσαρμογή των διαδικασιών επεξεργασίας της επιχείρησης στις απαιτήσεις του Κανονισμού. Ακόμη, ορισμένοι υπεύθυνοι επεξεργασίας, όπως οι δημόσιοι φορείς και οι επιχειρήσεις που διενεργούν επεξεργασία δεδομένων σε μεγάλη κλίμακα οφείλουν να ορίσουν υπεύθυνο προστασίας δεδομένων (data protection officer). Τέλος, όταν η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας υποχρεούται σε διενέργεια μελέτης εκτίμησης αντικτύπου, ενώ ειδικότερες ρυθμίσεις προβλέπονται και για όσους διαβιβάζουν δεδομένα προς χώρες εκτός ΕΕ ή σε διεθνείς οργανισμούς.
Η συμμόρφωση της επιχείρησης με τον Κανονισμό, όχι μόνο δεν είναι μία περιττή υποχρέωση και ένα επιπρόσθετο βάρος, αλλά αποτελεί ανταγωνιστικό πλεονέκτημα, καθώς θα ενισχύσει την εμπιστοσύνη των καταναλωτών σε αυτή. Το, δε, κόστος της συμμόρφωσης αντισταθμίζεται σίγουρα με τα οφέλη που μπορεί να αποκομίσει ο υπεύθυνος επεξεργασίας από τη νόμιμη τήρηση και επεξεργασία των δεδομένων προσωπικού χαρακτήρα.
Βρείτε τις απαντήσεις της Ευρωπαϊκής Επιτροπής σε συχνές ερωτήσεις για τον ΓΚΠΔ εδώ: https://ec.europa.eu/info/law/law-topic/data-protection/reform_el και περισσότερες πληροφορίες από την Επιτροπή σχετικά με το θέμα εδώ: http://ec.europa.eu/justice/smedataprotect/index_el.htm