Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR – 2016/679) της ΕΕ αποτελεί τη μεγαλύτερη αλλαγή στη νομοθεσία περί προστασίας των δεδομένων τα τελευταία 20 χρόνια και έχει άμεση εφαρμογή σε όλα τα Κράτη-Μέλη από 25/05/2018 χωρίς την προϋπόθεση κρατικής νομοθεσίας. Με απλά λόγια ο Ευρωπαϊκός κανονισμός είναι ήδη Νόμος στην χώρα μας, εφαρμοστέος από σήμερα και από τις 25/5/2018 θα επιβάλλονται πρόστιμα σε όσους δεν έχουν εφαρμόσει αυτόν.

Έχει εφαρμογή σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις, κρατικές αρχές, συλλόγους, Ξενοδοχεία κ.λπ.) που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα, είτε έχουν έδρα και δραστηριότητα σε χώρα της Ευρωπαϊκής Ένωσης είτε όχι, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς Ευρωπαίους πολίτες.

Σκοπός της εφαρμογής του είναι η άρση των νομικών ασαφειών και της ανασφάλειας που δημιουργούσε το προηγούμενο νομικό πλαίσιο, η ενδυνάμωση θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων καθώς και η ομοιομορφία του νομικού πλαισίου σε όλα τα κράτη-μέλη. Ο νόμος αφορά επιχειρήσεις εντός ΕΕ, αλλά και εκείνες είτε με έδρα την ΕΕ και τόπο διεξαγωγής επεξεργασίας εκτός ΕΕ, είτε έδρα εκτός ΕΕ και τόπο διεξαγωγής επεξεργασίας εντός ΕΕ.

Ο έλεγχος γίνεται από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και με τους ειδικούς ελεγκτές που διαθέτει σε όλη την Ελληνική επικράτεια. Σε περίπτωση παραβίασης προβλέπονται αρχικά πρόστιμα ύψους 10.000.000 ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (ανάλογα με το ποιο είναι υψηλότερο) με κορύφωση πρόστιμα ύψους 20.000.000 ευρώ ή 4% του συνολικού παγκόσμιου κύκλου εργασιών του προηγούμενου οικονομικού έτους. Επίσης ορίζεται δικαίωμα αποζημίωσης του υποκειμένου και ευθύνη του υπεύθυνου επεξεργασίας.

Οι σημαντικότερες δυσκολίες που έχουν να αντιμετωπίσουν οι επιχειρήσεις είναι:

• Η ακριβής γνώση για το ποια δεδομένα συλλέγουν και επεξεργάζονται σε κάθε φάση των δραστηριοτήτων τους, ποιοι εμπλέκονται και με ποια εργαλεία και διαδικασίες γίνεται η επεξεργασία.
• Ο καθορισμός και διαχωρισμός των επιχειρησιακών αναγκών, ώστε να διασφαλίζονται όλες οι απαιτούμενες συγκαταθέσεις του υποκειμένου και να μη γίνεται πλεονάζουσα επεξεργασία.
• Ο συστηματικός έλεγχος για την κάλυψη των απαιτήσεων του GDPR σε κάθε στάδιο επεξεργασίας των δεδομένων.
• Η αξιολόγηση των κινδύνων που ενδέχεται να οδηγήσουν σε παραβίαση των προσωπικών δεδομένων, με αποτέλεσμα βαρύτατες οικονομικές κυρώσεις και επιπτώσεις στην εταιρική φήμη.
• Η παρουσίαση των σημαντικότερων κινδύνων και των τρόπων αντιμετώπισής τους στη Διοίκηση με πρακτικό τρόπο, ώστε να αποφασισθεί ένα ρεαλιστικό πλάνο και προϋπολογισμός συμμόρφωσης.
• Η λήψη αποτελεσματικών και οικονομικών μέτρων για τον περιορισμό του κινδύνου παραβιάσεων του GDPR, χωρίς να θίγονται οι επιχειρησιακές προτεραιότητες.

Η Epsilon Net Training μου έκανε την τιμή να με ορίσει Επιστημονικό Υπεύθυνο του νέου εξαιρετικά στοχευμένου και συστηματικού εκπαιδευτικού Προγράμματος, το οποίο έχουμε εκπονήσει με βάση ακριβώς τις απαιτήσεις του νέου Κανονισμού και απευθύνεται σε όλους τους υπόχρεους.

Στις ενότητες του Προγράμματος θα παρέχονται αναλυτικές οδηγίες σχετικά με το πως μπορεί να γίνει η διάγνωση και η καταγραφή των προβλημάτων σε μία επιχείρηση μέσα από συνεντεύξεις στελεχών και λοιπού προσωπικού. Θα αναλυθούν οι τρόποι αξιολόγησης για τον εντοπισμό των σημαντικότερων κινδύνων και το πως καταρτίζεται ένα συγκεκριμένο πλάνο ενεργειών για να συμμορφωθεί ο κάθε φορέας με τον Κανονισμό.

Θα παράσχουμε όλες τις κατευθυντήριες γραμμές που θα διασφαλίσουν ότι τα προσωπικά δεδομένα θα υποβάλλονται σε επεξεργασία με τρόπο που να εξασφαλίζεται η ασφάλειά τους, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία, καθώς και κατά της τυχαίας απώλειας, καταστροφής ή ζημιάς αυτών.

Ο κανονισμός προτείνει ορισμένα μέτρα ασφάλειας που μπορούν να χρησιμοποιηθούν για την προστασία των δεδομένων, μεταξύ των οποίων είναι η χρήση ψευδωνύμων και η κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα. Πρέπει να εξασφαλίζεται η συνεχής εμπιστευτικότητα, η ακεραιότητα, η διαθεσιμότητα και η ανθεκτικότητα των συστημάτων και υπηρεσιών που επεξεργάζονται τα προσωπικά δεδομένα και παράλληλα να υπάρχει η ικανότητα να αποκαθίσταται έγκαιρα η χρήση και διαθεσιμότητα αυτών μέσα από μηχανισμούς ασφαλείας.

Σύμφωνα με διεθνείς εκθέσεις ο άνθρωπος είναι ένας από τους μεγαλύτερους κινδύνους. Τα υψηλά standards εκπαίδευσης που θέτουμε μαζί με την Epsilon Net Training είναι σίγουρο ότι θα βοηθήσουν όλους τους υπόχρεους εφαρμογής του νέου Κανονισμού να κατανοήσουν τις προσωπικές τους ευθύνες και τις υποχρεώσεις του Οργανισμού στον οποίο εργάζονται. Αυτό θα μειώσει δραστικά τις πιθανότητες να προβούν σε ενέργειες που θα οδηγήσουν σε παραβίαση των νέων διατάξεων για την προστασία των δεδομένων προσωπικού χαρακτήρα.

Προσωπικά δεδομένα: οι «10 εντολές» για τις επιχειρήσεις

1. Να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ’ αυτών είναι απαραίτητα.
2. Να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν.
3. Να τα αποθηκεύουν για το μικρότερο δυνατό χρονικό διάστημα που απαιτείται, να λαμβάνουν – κατά περίπτωση – την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων.
4. Να τα μεταφέρουν σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις.
5. Να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με το νέο κανονισμό.
6. Να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα για: Ανάκληση της συγκατάθεσης, πρόσβαση στα δεδομένα, διόρθωση των δεδομένων, διαγραφή των δεδομένων, περιορισμό της επεξεργασίας, παράδοση των δεδομένων σε ηλεκτρονική μορφή, μεταφορά των δεδομένων σε άλλο φορέα.
7. Να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους.
8. Να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους.
9. Να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση.
10. Να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.

Παραδείγματα δεδομένων προσωπικού χαρακτήρα

• Όνομα και επώνυμο
• Διεύθυνση κατοικίας
• Ηλεκτρονική διεύθυνση, π.χ. όνομα.επώνυμο@εταιρεία.com
• Αναγνωριστικός αριθμός κάρτας
• Δεδομένα τοποθεσίας (π.χ. η λειτουργία δεδομένων τοποθεσίας σε κινητό τηλέφωνο)*
• Διεύθυνση διαδικτυακού πρωτοκόλλου (IP)
• Αναγνωριστικό cookie*
• Το αναγνωριστικό διαφήμισης του τηλεφώνου σας
• Δεδομένα που φυλάσσονται από νοσοκομείο ή γιατρό, που θα μπορούσαν να είναι ένα σύμβολο που προσδιορίζει αποκλειστικά ένα άτομο.

Προσωπικά δεδομένα: τα δικαιώματα των καταναλωτών

• Ενημέρωση με σαφήνεια και διαφάνεια από τον υπεύθυνο επεξεργασίας (ταυτότητα και στοιχεία υπεύθυνου επεξεργασίας, είδος δεδομένων, σκοπός επεξεργασίας, πιθανοί αποδέκτες των δεδομένων κ.λπ.).
• Δυνατότητα πρόσβασης στα προσωπικά του δεδομένα, όταν αυτά υφίστανται επεξεργασία.
• Δυνατότητα απαίτησης διόρθωσης ή συμπλήρωσης ελλιπών δεδομένων, από τον υπεύθυνο επεξεργασίας.
• Αίτημα διαγραφής (λήθη) των προσωπικών του δεδομένων υπό προϋποθέσεις (ανάκληση συγκατάθεσης, παράνομη απόκτηση, απουσία επιτακτικών και νόμιμων λόγων επεξεργασίας κ.λπ.).
• Δυνατότητα εναντίωσης στην επεξεργασία προσωπικών δεδομένων, εάν ο υπεύθυνος επεξεργασίας δεν καταδείξει επιτακτικούς λόγους για την επεξεργασία αυτή.

Επιπροσθέτως, ο υπεύθυνος επεξεργασίας προσωπικών δεδομένων υποχρεούται:

• Να λαμβάνει η επιχείρηση τη συγκατάθεση του υποκειμένου των προσωπικών δεδομένων, όπου αυτή απαιτείται και να είναι σε θέση να αποδεικνύει τη συγκατάθεση αυτή αν του ζητηθεί.
• Να μην προβαίνει η εταιρεία σε επεξεργασία προσωπικών δεδομένων, ανηλίκων κάτω των 16 ετών, χωρίς προηγούμενη συγκατάθεση του γονέα. Ο υπεύθυνος επεξεργασίας, θα πρέπει να επαληθεύει τη συγκατάθεση αυτή, με κάθε μέσο που του προσφέρει η διαθέσιμη τεχνολογία. Τα κράτη μέλη μπορούν να θεσπίζουν μικρότερο ηλικιακό όριο, σε καμία περίπτωση όμως το όριο δε θα πρέπει να είναι μικρότερο από τα 13 έτη.
• Να μην επεξεργάζεται ο φορέας δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό.

Παραδείγματα επεξεργασίας Προσωπικών Δεδομένων

• Διαχείριση προσωπικού και μισθοδοσία.
• Προσπέλαση/αναζήτηση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα.
• Αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων.
• Καταστροφή διά τεμαχισμού εγγράφων που περιέχουν δεδομένα προσωπικού χαρακτήρα.
• Δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου σε ιστότοπο.
• Αποθήκευση διευθύνσεων IP ή διευθύνσεων MAC.
• Μαγνητοσκόπηση (τηλεόραση κλειστού κυκλώματος).

Μάνος Σφακιανάκης

Ιδρυτής της εταιρείας GDPR Greece και πρώην Διοικητής της Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομία

www.e-forologia.gr