Γράφει ο Γιώργος Μπιλέκας
Δικηγόρος
Το νέο νομικό πλαίσιο για την προστασία των Προσωπικών Δεδομένων στην ΕΕ και συγκεκριμένα ο υπ’αριθμ. 679/2016 Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ) ή GDPR (General Data Protection Regulation) δημοσιεύτηκε στην επίσημη εφημερίδα της Ευρωπαϊκής Ένωσης στις 4 Μαΐου 2016 και θα τεθεί σε πλήρη εφαρμογή στις 25 Μαΐου 2018. Ο Κανονισμός θα αλλάξει ριζικά τους Ευρωπαϊκούς Νόμους για τα προσωπικά δεδομένα, θα επηρεάσει δραστικά τον τρόπο με τον οποίο οι οργανισμοί συλλέγουν, διαχειρίζονται και επεξεργάζονται προσωπικές πληροφορίες.
Η συμμόρφωση με τον ΓΚΠΔ είναι σημαντική εξαιτίας των ακόλουθων πτυχών:
• Δραματική αύξηση του κανονιστικού κινδύνου – Αυστηρότερες κυρώσεις: Ο ΓΚΠΔ αυξάνει σημαντικά τις ανώτατες κυρώσεις σε περίπτωση μη συμμόρφωσης, οι οποίες καθορίζονται σε €20 εκατομμύρια ευρώ ή στο 4% του ετήσιου παγκόσμιου κύκλου εργασιών.
• Ευρύτερη εφαρμογή: Ο ορισμός των προσωπικών δεδομένων διευρύνεται. Σχεδόν όλοι οι οργανισμοί επηρεάζονται.
• Ευρύτερη γεωγραφική κάλυψη: Όλες οι επιχειρήσεις που έχουν δραστηριότητα στην Ευρωπαϊκή Ένωση επηρεάζονται. Όλες οι επιχειρήσεις που προσφέρουν υπηρεσίες σε πολίτες της ΕΕ υπόκεινται στον GDPR, ανεξαρτήτως της εγκατάστασής τους.
• Υψηλότερο επίπεδο συμμόρφωσης: Οι οργανισμοί θα πρέπει να καταρτίσουν και να εφαρμόσουν διεξοδικά πολιτικές διαχείρισης δεδομένων καθώς και να εφαρμόσουν αποτελεσματικούς τρόπους εκτίμησης κινδύνων, όπως η «Εκτίμηση Αντικτύπου σχετικά με την Προστασία Δεδομένων» (Άρθρο 35 ΓΚΠΔ), οι διαρκείς έλεγχοι, η αναθεώρηση υφιστάμενων διαδικασιών και πολιτικών, η καταγραφή κάθε επεξεργασίας προσωπικών δεδομένων που εκτελούν και, όπου απαιτείται, ο διορισμός ενός υπευθύνου προστασίας προσωπικών δεδομένων (DPO).
• Αρχή Λογοδοσίας: Η απόδειξη συμμόρφωσης είναι απαραίτητη. Οι οργανισμοί που επεξεργάζονται προσωπικά δεδομένα θα πρέπει να είναι σε θέση να αποδείξουν ότι προσεγγίζουν μεθοδικά το ζήτημα της προστασίας δεδομένων και ότι έχουν λάβει όλα τα κατάλληλα οργανωτικά μέτρα που μπορούν να διασφαλίσουν ότι τα υποκείμενα των δεδομένων μπορούν να ασκήσουν αποτελεσματικά τα ενισχυμένα δικαιώματά τους ενώ παράλληλα μπορούν αποτρέψουν την παραβίαση δεδομένων.
Επιπρόσθετα ο ΓΚΠΔ εισάγει νέες έννοιες και ένα νέο πλαίσιο για την επεξεργασία και την προστασία των προσωπικών δεδομένων όπως η συγκατάθεση των υποκειμένων των δεδομένων, η ενίσχυση των αρχής της διαφανούς επεξεργασίας, τα νέα ισχυρά δικαιώματα των πολιτών όπως το δικαίωμα διαγραφής (δικαίωμα στη λήθη), το δικαίωμα στη μεταφορά/φορητότητα δεδομένων και η υποχρέωση ενημέρωσης.
Ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων έχει εφαρμογή σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις, δημοτικές επιχειρήσεις, ΟΤΑ Α’ & Β’ Βαθμού, κρατικές αρχές, συλλόγους, κλπ.) που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα, είτε έχουν έδρα και δραστηριότητα σε χώρα της Ευρωπαϊκής Ένωσης είτε όχι, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς Ευρωπαίους πολίτες.
Οι εταιρείες πλέον καλούνται να ασχοληθούν και επίσημα με την προστασία των πληροφοριακών τους συστημάτων και την προάσπιση και διαφύλαξη των δεδομένων τους, κάνοντας τακτικά ελέγχους ασφάλειας δικτύων και υποδομών, υλοποιώντας πολιτικές ασφάλειας και διαδικασίες, αλλά και εκπαιδεύοντας τους χρήστες πληροφοριακών συστημάτων για την ορθή χρήση των πληροφοριακών συστημάτων τους.
Σύμφωνα με τον Κανονισμό GDPR, θα πρέπει να εφαρμοστεί ένα ευρύ φάσμα μέτρων, προκειμένου να διασφαλιστεί ότι θα μειωθεί ο κίνδυνος υπέρβασης του Κανονισμού. Μεταξύ των αναγκαίων μέτρων λογοδοσίας είναι η αξιολόγηση των επιπτώσεων προσωπικών δεδομένων, ο έλεγχος, η αξιολόγηση της πολιτικής, η διατήρηση αρχείων δραστηριότητας και ο διορισμός υπεύθυνου προστασίας δεδομένων (DPO) ο οποίος αναλαμβάνει ουσιαστικά να εκπροσωπήσει τον φορέα (επιχείρηση, νομικό πρόσωπο κ.λ.π.) έναντι των Αρχών, Εθνικών και Ευρωπαϊκών, να διασφαλίσει την εναρμόνιση της λειτουργίας της επιχείρησης σε ότι αφορά τις πολιτικές πρακτικές και μεθοδολογία επεξεργασίας, αποθήκευσης και μεταφοράς Δεδομένων Προσωπικού Χαρακτήρα με το νέο αυστηρό νομοθετικό πλαίσιο και να προστατέψει την επιχείρηση από τους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμων που προβλέπει ο Κανονισμός.
Η συμμόρφωση με τον Κανονισμό είναι υποχρεωτική καθώς αποτελεί εσωτερικό δίκαιο και οποιοσδήποτε Οργανισμός ή εταιρία που ελέγχει ή επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σε φυσικά πρόσωπα στην Ευρωπαϊκή Ένωση πρέπει να συμμορφώνεται. Οι υποχρεώσεις πλέον είναι πολλές και το ύψος των προστίμων απαγορευτικό για κάθε επιχείρηση τα οποία φτάνουν σε περίπτωση παράβασης βασικών διατάξεων του Κανονισμού σε 20.000.000 ή στο 4% του παγκόσμιου τζίρου στις διεθνείς επιχειρήσεις.
Οι ενέργειες που απαιτούνται για τη συμμόρφωση με τον Κανονισμό είναι σημαντικές, η ημερομηνία της υποχρεωτικής εφαρμογής πλησιάζει και για το λόγο αυτό οι Οργανισμοί πρέπει να ξεκινήσουν να προετοιμάζονται άμεσα.
