Συμμόρφωση με το Γενικό Κανονισμό Προστασίας Δεδομένων
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ ή GDPR) είναι ο Ευρωπαϊκός Κανονισμός που ρυθμίζει τον τρόπο με τον οποίο οι επιχειρήσεις και οι φορείς Δημοσίου, επεξεργάζονται προσωπικά δεδομένα. Ο Κανονισμός τέθηκε σε εφαρμογή στις 25.5.2018 και σε ισχύει σε όλα τα κράτη μέλη της Ε.Ε.
Ποιους επηρεάζει;
Γιατί είναι σημαντική η συμμόρφωση με τον Κανονισμό;
Όλες οι επιχειρήσεις, ανεξάρτητα με το εάν είναι μικρές οι μεγάλες, που επεξεργάζονται προσωπικά δεδομένα φυσικών προσώπων οφείλουν να συμμορφώνονται με της διατάξεις του Κανονισμού. Ενδεικτικά αναφέρεται πως υποχρέωση συμμόρφωσης έχουν όλα τα ηλεκτρονικά καταστήματα (e-shop), εταιρίες και επιχειρήσεις που απασχολούν προσωπικό, ιατρεία και ιατρικά κέντρα, γραφεία παροχής υπηρεσιών, καθώς και
Η συμμόρφωση με τον Κανονισμό για μια επιχείρηση είναι πολύ σημαντική για δυο κυρίως λόγους:
-Ο σεβασμός που επιδεικνύει μια επιχείρηση για τα προσωπικά δεδομένα μπορεί να έχει ως αποτέλεσμα την ενδυνάμωση της σχέσης εμπιστοσύνης με το καταναλωτικό κοινό. Αντίθετη περίπτωση μπορεί να οδηγήσει στον κλονισμό της εμπιστοσύνης των πελατών και ανεπανόρθωτη βλάβη στην εικόνα και την φήμη της επιχείρησης.
-Ίσως ακόμα πιο σημαντικό είναι το γεγονός πως η μη συμμόρφωση μπορεί να επιφέρει βαριά πρόστιμα στην επιχείρηση από την ΑΠΔΠΧ, αλλά και άλλου είδους κυρώσεις.
Ως προσωπικό δεδομένο λογίζεται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, το οποίο αποτελεί και το Υποκείμενο των Δεδομένων. Ταυτοποιημένο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα.
Χαρακτηριστικά Παραδείγματα Δεδομένων:
-Βασικά Δεδομένα (π.χ. ονοματεπώνυμο, διεύθυνση, εισόδημα, κωδικός πρωτοκόλλου διαδικτύου -ΙΡ)
-Δεδομένα Ταυτοποίησης (π.χ. ΑΦΜ, ΑΜΚΑ, Αριθμός Ταυτότητας ή Διαβατηρίου)
-Τραπεζικά Στοιχεία (Αρ. Λογαριασμού, Στοιχεία Καρτών, ΙΒΑΝ)
-Ευαίσθητα Δεδομένα (π.χ. φυλετική καταγωγή, πολιτικά/θρησκευτικά φρονήματα, δεδομένα υγείας)
Τι είναι τα Προσωπικά Δεδομένα;
Τι είδους κυρώσεις επιβάλλονται στις επιχειρήσεις που δεν συμμορφώνονται;
Οι κυρώσεις που επιβάλλονται από την ΑΠΔΠΧ ποικίλουν και εξαρτώνται από το είδος από το είδος και το εύρος της παραβίασης. Στην περίπτωση που η παραβίαση δεν έχει μεγάλο αντίκτυπο στα δεδομένα των υποκειμένων, τότε η Αρχή περιορίζεται στον να απευθύνει προειδοποιήσεις ή επιπλήξεις. Ωστόσο, αν η παραβίαση είναι πιο εκτεταμένη, τότε η Αρχή μπορεί να δώσει εντολή στην επιχείρηση να ανακοινώσει την παραβίαση στα ίδια τα Υποκείμενα των δεδομένων, γεγονός που μπορεί να προκαλέσει μεγάλη ζημία στην φήμη και την εικόνα της επιχείρησης. Φυσικά, σε κάθε περίπτωση η Αρχή μπορεί να επιβάλλει και μεγάλα πρόστιμα.
Το μέγεθος του προστίμου εξαρτάται από πολλούς παράγοντες. Μεταξύ άλλων, πολύ σημαντικό ρόλο παίζει το αν και κατά πόσο η επιχείρηση έλαβε τα κατάλληλα μέτρα ώστε αφενός να προστατεύονται τα δεδομένα που συλλέγει και αφετέρου να περιοριστεί η παραβίαση, στην περίπτωση που αυτή επέλθει. Εκτός βέβαια από την επιβολή προστίμου, η κακή διαχείριση των δεδομένων από πλευράς της επιχείρησης, τα Υποκείμενα των δεδομένων μπορούν να απευθυνθούν στα πολιτικά δικαστήρια της χώρας με σκοπό να ζητήσουν και αποκατάσταση της ζημίας που έχουν υποστεί.
Στάδια Συμμόρφωσης
(Χαρτογράφηση-Μελέτη Ανάλυσης Ελλείψεων)
1) Η διαδικασία συμμόρφωσης ξεκινάει πάντα από την χαρτογράφηση (data mapping) των δεδομένων. Για να ολοκληρωθεί σωστά η διαδικασία είναι απαραίτητο η επιχείρηση να γνωρίζει τι είδους προσωπικά δεδομένα συλλέγει. Για τον λόγο αυτό είναι απαραίτητη η δημιουργία ενός Αρχείου στο οποίο θα αναφέρονται αφενός τα δεδομένα που συλλέγονται και αφετέρου ο τρόπος με τον οποίο αυτά επεξεργάζονται. Την υποχρέωση τήρησης έχουν οι Υπεύθυνοι και Εκτελούντες την Επεξεργασία.
2) Στην συνέχεια εκπονείται μια μελέτη ανάληψης κινδύνων (gap analysis), η οποία αφού λάβει υπόψη τα όσα συμπεριλήφθηκαν στην χαρτογράφηση, εντοπίζει τα σημεία της απόκλισης από τις διατάξεις του Κανονισμού και εν συνεχεία, προτείνει της απαραίτητες ενέργειες συμμόρφωσης, ώστε να επιτευχθεί η συμμόρφωση.
Ειδικές Περιπτώσεις Συμμόρφωσης
Cookies
Τα cookies αποτελούν αρχεία μικρού μεγέθους που αποθηκεύονται στον Η/Υ του χρήστη και αποθηκεύουν πληροφορίες σχετικές με τον τρόπο που ο χρήστης πλοηγείται στην ιστοσελίδα. Σε γενικές γραμμές, σκοπός των cookies είναι να θυμούνται τις επιλογές και τις προτιμήσεις του χρήστη, ώστε να προσφέρουν περιεχόμενο σχετικό με τις προτιμήσεις του.
Τα cookies, ωστόσο, δεν βοηθούν μόνο τον επισκέπτη, αλλά παρέχουν και πολύ σημαντικές πληροφορίες στον χρήστη της ιστοσελίδας/e-shop, καθώς συλλέγει πληροφορίες σχετικές με την αποτελεσματικότητα της σελίδας.
Ο νόμος όπως προβλέπει πως η εγκατάσταση των cookies επιτρέπεται μόνο εάν ο χρήστης έχει δώσει την ρητή συγκατάθεση του. Ρητή συγκατάθεση πρακτικά σημαίνει απαιτείται θετική ενέργεια του χρήστη, καθώς απλή ενημέρωση αυτού δεν επαρκεί. Επίσης, πρέπει να σημειωθεί πως από την στιγμή που με αυτόν τον τρόπο συλλέγονται δεδομένα των προσώπων που επισκέπτονται την ιστοσελίδα είναι απαραίτητη η συμμόρφωση με τις διατάξεις του GDPR.
Βιντεοεπιτήρηση-Χρήση Καμερών
Στην χώρα μας το νομικό πλαίσιο που αφορά την χρήση συστήματος βιντεοεπιτήρησης είναι πολύ αυστηρό και έχει οδηγήσει πολλές φορές στην επιβολή τσουχτερών προστίμων, σε επιχειρήσεις που έκαναν λανθασμένη χρήση του. Μάλιστα πρέπει να σημειωθεί πως οι διατάξεις που σχετίζονται με την βιντεοεπιτήρηση ισχύουν και αφορούν όλους τους επαγγελματικούς χώρους (π.χ. ιατρεία, γραφεία, εργοστάσια κτλ.).
Έτσι λοιπόν σε μια επιχείρηση μπορούν να εγκατασταθούν κάμερες σε σημεία εξόδου/εισόδου, στα ταμεία και γενικά σε χώρους φύλαξης χρημάτων, σε χώρους στάθμευσης και αποθήκευσης εμπορευμάτων.
Σε κάθε περίπτωση, η κάμερα δεν επιτρέπεται να καταγράφει δημόσιο χώρο, δεν επιτρέπεται να καταγράφει τους εργαζόμενους ή γενικά να τοποθετούνται κάμερες σε χώρους όπου κινούνται μόνο εργαζόμενοι, εκτός και αν συντρέχει συγκεκριμένος λόγος εξαίρεσης, όπως είναι η ύπαρξη ταμείου. Επίσης, δεν επιτρέπεται σε καμία περίπτωση η χρήση ήχου, η απεικόνιση άλλων ιδιωτικών χώρων και η βιντεοσκόπηση χώρων που δεν σχετίζονται με την επαγγελματική δραστηριότητα των εργαζομένων (π.χ. αποδυτήρια, χώροι ανάπαυσης). Σε περίπτωση πάντως που ένας επαγγελματικός χώρος βιντεοσκοπείται τότε η ενημέρωση του προσωπικού και των πελατών με την χρήση ειδικής σήμανσης είναι απαραίτητη.
Υπεύθυνος Προστασίας
Δεδομένων- DPO
Σύμφωνα με τον Κανονισμό, ορισμένες επιχειρήσεις για να είναι απόλυτα συμμορφωμένες με τον νομοθεσία που αφορά τα προσωπικά δεδομένα, οφείλουν να κάνουν ένα βήμα παραπάνω και να διορίζουν έναν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer- DPO). Ο νομοθέτης ωστόσο δεν όρισε επακριβώς τον τύπο των επιχειρήσεων για τις οποίες ο ορισμός ενός DPO είναι υποχρεωτικός.
Έτσι λοιπόν, σε γενικές γραμμές υποχρέωση διορισμού έχουν οι επιχειρήσεις όταν οι δραστηριότητες που ακούν αφορά την επεξεργασία προσωπικών δεδομένων ειδικών κατηγοριών σε μεγάλη κλίμακα ή την συστηματική παρακολούθηση σε μεγάλη κλίμακα φυσικών προσώπων.
Ποιος διορίζεται DPO και ποια τα καθήκοντα του;
Ο DPO διορίζεται βάσει της επιστημονικής του κατάρτισης, της επαγγελματικής του εμπειρίας και της ικανότητας που έχει να εκπληρώνει τα καθήκοντα που του ανατίθενται. Μην ξεχνάμε πως κάθε επιχείρηση έχει τις δικές της ανάγκες, υποχρεώσεις και τρόπο λειτουργίας.
Οι αρμοδιότητες του DPO είναι αρκετά διευρυμένες. Μεταξύ άλλων υποχρεούται:
-
να ελέγχει το αν και κατά πόσο η επιχείρηση είναι συμμορφωμένη με τις διατάξεις της νομοθεσίας που αφορά τα προσωπικά δεδομένα. Σε περίπτωση που η συμμόρφωση δεν είναι απόλυτη οφείλει να επιδεικνύει λύσεις και τρόπους βελτίωσης.
-
να συμβουλεύει και να το προσωπικό της εταιρίας που έρχεται σε επαφή με προσωπικά δεδομένα πελατών ή συνεργατών
-
να απαντάει σε ρωτήσεις των φυσικών προσώπων, που αποτελούν τα Υποκείμενα των Δεδομένων, που επεξεργάζεται η επιχείρηση σχετικά με απορίες που αφορούν τα δεδομένα τους και να τους ενημερώνει για τα δικαιώματα τους, όταν αυτό ζητηθεί.
-
να αποτελεί τον ενδιάμεσο κρίκο που συνδέει την επιχείρηση με την Αρχή Προστασία Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)