Οι εταιρείες από εδώ και στο εξής είναι υποχρεωμένες να δηλώνουν τι είδους και τι όγκο δεδομένων χειρίζονται, ποιός τα διαχειρίζεται, τι κανόνες και διαδικασίες ασφαλείας τηρούν προκειμένου να εμποδίσουν διαρροές και τέλος, με ποιό τρόπο έχουν εξασφαλίσει τη συναίνεση για τη χρήση τους, από τα άτομα τα οποία αφορούν.
Γράφει ο Κοσμάς Ζακυνθινός
Πολύς λόγος έχει γίνει πλέον για τον ευρωπαϊκό κανονισμό προστασίας προσωπικών δεδομένων, το περίφημο GBDR (General Data Protection Regulation). Στην ουσία πρόκειται για αντικατάσταση παρόμοιας, υφιστάμενης Ευρωπαϊκής Οδηγίας του 1995, με ένα πολύ πιο αυστηρό κανονιστικό πλαίσιο, που να ανταποκρίνεται στα δεδομένα την ψηφιακής πραγματικότητας.
Έτσι λοιπόν οι εταιρείες, από εδώ και στο εξής είναι υποχρεωμένες να δηλώσουν τι είδους και τι όγκο δεδομένων χειρίζονται, ποιός τα διαχειρίζεται, τι κανόνες και διαδικασίες ασφαλείας τηρούν προκειμένου αυτά τα δεδομένα να μην διαρρεύσουν και τέλος, με ποιό τρόπο έχουν εξασφαλίσει τη συναίνεση για τη χρήση τους, από τα άτομα τα οποία αφορούν.
Πιο συγκεκριμένα, οι εταιρείες θα πρέπει αφού δηλώσουν τι δεδομένα χειρίζονται και για ποιο σκοπό, να “στήσουν” μια διαδικασία που πρώτα απ’ όλα να αποδεικνύει τη συναίνεση για τη λήψη και τη διατήρηση των δεδομένων. Ένα κείμενο, για παράδειγμα, που να ζητά συγκατάθεση για τη λήψη και τη χρήση πχ του email η του ιατρικού ιστορικού. Στην περίπτωση του e-mail στο κείμενο αυτό πρέπει να δηλώνεται ρητά και η δυνατότητα του ατόμου να ζητήσει διακοπή της χρήσης του mail του από τον συγκεκριμένο φορέα.
Δεύτερον, σε κάθε περίπτωση θα πρέπει η εταιρεία υποχρεωτικά να ορίσει έναν Υπεύθυνο Προστασίας Δεδομένων, και τρίτον να δηλώσει τους μηχανισμούς και τις διαδικασίες με τις οποίες αυτά τα δεδομένα διαφυλάσσονται – για παράδειγμα σε ειδικό λογισμικό πρόγραμμα στο οποίο κανένας άλλος δεν έχει πρόσβαση εκτός από τον Υπεύθυνο Διαχείρισης.
Όλα τα άνω ισχύουν επισήμως από 25 Μαϊου αλλά σύμφωνα με το ΕΕΑ, θα δοθεί άτυπη παράταση μέχρι τον ερχόμενο Οκτώβριο.
Ως προς το ιατρικό ή χρηματοοικονομικό ιστορικό, η συγκατάθεση εξασφαλίζεται με την υπογραφή του κειμένου, το οποίο ενδεχομένως να πρέπει να σταλεί προς υπογραφή και στους ήδη υπάρχοντες ασφαλισμένους. Το ίδιο δεν είναι εύκολο να γίνει με τα ήδη υπάρχοντα ενημερωτικά -διαφημιστικά mail, στην οποία περίπτωση η συγκατάθεση ενδεχομένως, αποδεικνύεται άτυπα από το γεγονός ότι ήδη χρησιμοποιούνται καιρό χωρίς εναντίωση, άρα ο παραλήπτης αποδέχεται την χρήση της διεύθυνσής του.
Κανένα νέο δεδομένο ωστόσο δεν μπορεί να λαμβάνεται ή να χρησιμοποιείται από τις 25 Μαϊου και μετά χωρίς την αποδεδειγμένη συγκατάθεση αυτού τον οποίο αφορά.
Σε ενημερωτική ημερίδα που πραγματοποιήθηκε πριν λίγες μέρες από το Επαγγελματικό Επιμελητήριο Αθηνών, τονίστηκε ότι τα πρόστιμα σε περιπτώσεις μη συμμόρφωσης φτάνουν έως και τα 20 εκατ. ευρώ. Μέχρι στιγμής μόλις το 30% των εταιρειών εκτιμάται ότι είναι προετοιμασμένες σε επίπεδο ΕΕ για την πλήρη εφαρμογή της νομοθεσίας, για αυτό βεβαίως θα δοθεί και η άτυπη παράταση μέχρι τον Οκτώβριο.
Στο μεσοδιάσημα οι εποπτικές αρχές θα κάνουν μόνο παρατηρήσεις συμμόρφωσης, προκειμένου να πειστούν όλα τα ενδιαφερόμενα μέρη ότι πρέπει να αλλάξουν τη στάση τους απέναντι στη χρήση και κυκλοφορία ευαίσθητων πληροφοριών, κάτι που μέχρι σήμερα γινόταν ουσιαστικά χωρίς εποπτεία ή ιδιαίτερους περιορισμούς.
Μετά και το πρόσφατο σκάνδαλο του facebook που προκάλεσε ποικίλα ερωτηματικά παγκοσμίως, οι ευρωπαίοι πολίτες δηλώνουν ιδιαίτερα ανασφαλείς για τη διαχείριση των προσωπικών τους δεδομένων. Αυτό υπογράμμισε στην προχθεσινή εκδήλωση του ΕΕΑ ο Νικόλας Κανελλόπουλος, δικηγόρος και πρόεδρος του Ινστιτούτου Δικαιοσύνης και Ανάπτυξης, του Ευρωπαϊκού Οργανισμού Δημοσίου Δικαίου (European Public Law Organization-EPLO).
Σύμφωνα με τον κ. Κανελλοπουλο, “προσωπικό δεδομένο” , αποτελεί οποιαδήποτε πληροφορία (έντυπη ή ηλεκτρονική), αφορά φυσικό πρόσωπο εν ζωή και μπορεί να χρησιμοποιηθεί για την άμεση ή έμμεση ταυτοποίησή του (για παράδειγμα: όνομα, επώνυμο, e-mail, Α.Δ.Τ., διεύθυνση οικίας, online προσδιοριστικό της ταυτότητας, στοιχείο). Ενώ, “ευαίσθητο προσωπικό δεδομένο” είναι αυτό που αφορά ευαίσθητες πληροφορίες για τη ζωή ενός ατόμου, για παράδειγμα τα πολιτικά φρονήματα, οι θρησκευτικές πεποιθήσεις, η κατάσταση της υγείας, η οικονομική κατάσταση, ακόμη και ο ερωτικός προσανατολισμός !).
Ο νέος κανονισμός αφορά όλες ανεξαιρέτως τις εταιρείες και όλους τους δημόσιους φορείς που επεξεργάζονται προσωπικά δεδομένων Ευρωπαίων Πολιτών. Δηλαδή, αφορά ακόμα και οργανισμούς που έχουν την εγκατάσταση τους εκτός Ευρωπαϊκής Ένωσης, σε περίπτωση που οι οργανισμοί αυτοί προσφέρουν αγαθά ή υπηρεσίες σε πολίτες της Ευρωπαϊκής Ένωσης.
[box]Τα πρόστιμα
Σύμφωνα με τα στοιχεία που παρουσιάστηκαν στην ημερίδα του Επαγγελματικού Επιμελητηρίου Αθηνών, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας δεδομένων, το συνολικό ύψος του διοικητικού προστίμου διαμορφώνεται (αυστηρά πρόστιμα – άρθρο 83) ως εξής:
Α΄ κατηγορία παραβάσεων – Έως 10.000.000 ή για επιχειρήσεις το 2%
Β’ κατηγορία παραβάσεων – Έως 20.000.000 ή για επιχειρήσεις το 4% (και για μη συμμόρφωση προς αποφάσεις Αρχής) του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Για την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, ενδεικτικά λαμβάνονται υπόψη τα ακόλουθα:
- η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν,
- ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,
- οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,
- ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν,
- τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,
- ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,
- οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,
- ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,
- σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,
- η τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα και
- κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση. [/box]
1 Comment
Προσεγγίζοντας ασφαλιστικά το θέμα, κρίνω σκόπιμο να σημειώσω τα εξής:
Απαραίτητη η συμμόρφωση για τον κάθε Επαγγελματία ή Επιχείρηση που τον αφορά ο συγκεκριμένος Κανονισμός GDPR.
Ωστόσο, πέρα από την όποια συμμόρφωση και πρόληψη κινδύνων, πάντα χρειάζεται και η Ασφάλιση. Εδώ, μιλάμε για την Ασφάλιση Επαγγελματικής Ευθύνης του Φορέα παροχής υπηρεσιών συμμόρφωσης με τις απαιτήσεις του Κανονισμού GDPR καθώς και των όποιων επιχειρηματικών Κινδύνων Διαδικτύου (CYBER INSURANCE).