Δέσποινα Θεοδωρίδου
Director, Τμήμα Διαχείρισης Κινδύνων και Εσωτερικού Ελέγχου, CROWE SOL
Ο Ευρωπαϊκός Κανονισμός 679/2016 General Data Protection Regulation (GDPR) της 27.04.2016 αφορά τη διαμόρφωση ενός ενιαίου νομοθετικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης, χωρίς να απαιτείται ειδική προσαρμογή της εθνικής νομοθεσίας.
Ο παρών Κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
Ποια είναι τα προσωπικά δεδομένα όπως ορίζονται από τον GDPR και τι θεωρείται επεξεργασία αυτών;
Σύμφωνα με το άρθρο 4 του Κανονισμού δίνονται οι κάτωθι ορισμοί:
«Δεδομένα προσωπικού χαρακτήρα»: Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
«Επεξεργασία»: Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
Ποιες είναι οι βασικές αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων;
Σύμφωνα με την παράγραφο 1 & 2 του άρθρου 5 του Κανονισμού, οι βασικές αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι:
α) «Νομιμότητα, αντικειμενικότητα και διαφάνεια»: Υποβάλλονται σε σύννομη και θεμιτή επεξεργασία, με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων.
β) «Περιορισμός του σκοπού»: Συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1.
γ) «Ελαχιστοποίηση των δεδομένων»: Είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.
δ) «Ακρίβεια»: Είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»).
ε) «Περιορισμός της περιόδου αποθήκευσης»: Διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών Κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.
στ) «Ακεραιότητα και εμπιστευτικότητα»: Υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων.
ζ) «Λογοδοσία»: Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τις αρχές που ορίζονται ανωτέρω (παράγραφος 1).
Ποιες επιχειρήσεις αφορά;
Αφορά σχεδόν το σύνολο των επιχειρήσεων, ήτοι επιχειρήσεις ιδιωτικού και δημόσιου τομέα οι οποίες επεξεργάζονται προσωπικά δεδομένα φυσικών προσώπων, όπως εργαζομένων, πελατών, συνεργατών κ.λπ.
Τι υποχρεούνται να κάνουν οι επιχειρήσεις;
Οι υποχρεώσεις των επιχειρήσεων αυξάνονται και ένα πολύ σημαντικό μέρος αυτών άπτεται των αρμοδιοτήτων του υπεύθυνου επεξεργασίας, οι οποίες απορρέουν από τις βασικές αρχές της διαφάνειας στον τρόπο συλλογής, επεξεργασίας και τήρησης δεδομένων, αλλά και τη νέα αρχή της λογοδοσίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και καλείται να είναι σε θέση να αποδείξει τη συμμόρφωση με όλες τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων.
Οι επιχειρήσεις για να ικανοποιήσουν όλα τα ανωτέρω οφείλουν να κάνουν τις ακόλουθες ενέργειες:
Ενημέρωση / Αναγνώριση
Η κάθε επιχείρηση ή οργανισμός χρειάζεται αρχικά να ενημερωθεί ώστε να μπορεί να αναγνωρίσει αν συλλέγει και επεξεργάζεται σε οποιαδήποτε μορφή (φυσική ή ηλεκτρονική) αρχείο με δεδομένα προσωπικού χαρακτήρα, ώστε να προβεί άμεσα στις διαδικασίες συμμόρφωσης προς τις απαιτήσεις του Κανονισμού.
Καταγραφή
Αναλυτική καταγραφή των δεδομένων που τηρούνται και μεταβιβάζονται, τη φύση των δεδομένων, την κατηγορία στην οποία ανήκουν, τον σκοπό που εξυπηρετεί η συλλογή τους, τον χρόνο και τα μέσα αποθήκευσής τους.
Νομιμότητα
Έλεγχος τήρησης της συμμόρφωσης προς τις αρχές που διέπουν τη νόμιμη επεξεργασία των δεδομένων. Ο Κανονισμός προβλέπει συγκεκριμένες συνθήκες υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι νόμιμη.
Αναθεώρηση διαδικασιών και πολιτικών προστασίας δεδομένων
Η επιχείρηση ή οργανισμός θα πρέπει να λάβει τα απαραίτητα οργανωτικά ή και τεχνικά μέτρα ή να προβεί ενδεχομένως σε αναθεώρηση των διαδικασιών της προκειμένου να τηρήσει τις βασικές αρχές του Κανονισμού για την υλοποίηση των δικαιωμάτων των υποκειμένων:
– Συγκατάθεση για κάθε επιδιωκόμενο σκοπό επεξεργασίας.
– Χειρισμός αιτημάτων.
– Ικανοποίηση δικαιωμάτων πολιτών ως προς την πρόσβαση, την παροχή τους σε αναγνώσιμο ηλεκτρονικό μορφότυπο (φορητότητα δεδομένων), τη διαγραφή δεδομένων (δικαίωμα στη λήθη).
Εκτίμηση επιπτώσεων
Η επιχείρηση ή οργανισμός θα πρέπει να διενεργεί μελέτη εκτίμησης επιπτώσεων στην οποία θα εκτιμηθούν και θα αξιολογηθούν οι πιθανότητες έλευσης κινδύνων και οι συνέπειες αυτών στα προσωπικά δεδομένα που διαχειρίζεται, ώστε να είναι εφικτή και η λήψη των απαιτούμενων μέτρων για τον περιορισμό τους.
Υπεύθυνος Προστασίας Δεδομένων
Ανάλογα με τη δραστηριότητα της επιχείρησης ή οργανισμού θα πρέπει να διερευνηθεί αν απαιτείται να οριστεί Υπεύθυνος Προστασίας Δεδομένων.
Τι είναι ο Υπεύθυνος Προστασίας Δεδομένων (DPO), πότε ορίζεται και τι υποχρεώσεις έχει;
Ο ορισμός Υπεύθυνου Προστασίας Προσωπικών Δεδομένων είναι υποχρεωτικός για όλους τους δημόσιους φορείς, καθώς επίσης και για άλλους οργανισμούς που από την κύρια δραστηριότητά τους απαιτείται η συστηματική παρακολούθηση φυσικών προσώπων σε μεγάλη κλίμακα ή η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Ο ρόλος του Υπεύθυνου Προστασίας Προσωπικών Δεδομένων είναι συμβουλευτικός και υποστηρικτικός, δεδομένου ότι ενημερώνει, συμβουλεύει και παρακολουθεί την εταιρεία αναφορικά με τη συμμόρφωση αυτής με τον Κανονισμό, με σκοπό την ελαχιστοποίηση του κινδύνου παραβίασης. Επίσης ενεργεί ως σημείο επικοινωνίας με την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία.
Επιπτώσεις μη συμμόρφωσης
Ο νέος Κανονισμός τίθεται σε υποχρεωτική εφαρμογή στις 25.5.2018 (άρθρο 99). Το χρονικό διάστημα από την ψήφιση του Κανονισμού έως την έναρξη εφαρμογής του αποτελούσε περίοδο προσαρμογής για τις επιχειρήσεις. Τώρα βέβαια για την προσαρμογή απομένει μόνο ένα τετράμηνο.
Πέραν της σπουδαιότητας του περιεχομένου του GDPR, ανάγκη συμμόρφωσης των επιχειρήσεων επιτάσσουν και οι επιπτώσεις της μη συμμόρφωσης.
Η μη συμμόρφωση επιφέρει μεγάλα πρόστιμα σε όσους δεν λαμβάνουν τα απαραίτητα μέτρα, που, κατά περίπτωση παραβάσεων, ανέρχονται έως τα 20.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Εποπτική αρχή
Εποπτεύουσα αρχή έχει οριστεί η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), γνωστή (ανεπίσημα) και ως Αρχή Προστασίας Προσωπικών Δεδομένων, η οποία ιδρύθηκε με τον νόμο 2472/1997. Με τον νόμο αυτό ενσωματώνεται στο ελληνικό δίκαιο η Ευρωπαϊκή Οδηγία 95/46/ΕΚ, η οποία θέτει κανόνες για την προστασία των προσωπικών δεδομένων σε όλες τις χώρες της Ευρωπαϊκής Ένωσης και πλέον αντικαθίσταται από τον Κανονισμό 679/2016 της Ε.Ε.
