Στον πυρετό του GDPR

Ο νέος Κανονισμός για την Προστασία των Προσωπικών Δεδομένων – GDPR, αποτελεί ένα ζήτημα που απασχολεί ιδιαίτερα ιδιώτες και επιχειρηματίες τις τελευταίες εβδομάδες.
Ο κ. Τάκης Στάπας, Managing Director της Wilo Hellas, παραχώρησε στο περιοδικό μας μια πολύ κατατοπιστική ανάλυση του φλέγοντος αυτού θέματος, βασισμένη στην παρουσίαση που έκανε και κατά τη διάρκεια της πρόσφατης γ.σ. της ΕΝ.Ε.ΕΠΙ.Θ.Ε.

Νέο GDPR – Νέα πρόκληση συμμόρφωσης Νέος Κανονισμός για την Προστασία των Προσωπικών Δεδομένων

Ο νέος GDPR αντικαθιστά την Οδηγία 95/46/EC της Ευρωπαϊκής Ένωσης, που ήταν η βάση για την προστασία δεδομένων από το 1995 και λαμβάνει μια πιο αυστηρή και προληπτική προσέγγιση για την προστασία τους. Στην ουσία αποτελεί μια τεράστια αλλαγή στον τρόπο με τον οποίο οι Οργανισμοί οφείλουν να προσεγγίζουν τα ΠΔ γι αυτό και χρειάζεται να αφιερωθεί ο αναγκαίος χρόνος στην μελέτη και ερμηνεία του. Παρόλο που ο κανονισμός ήρθε τον Μάιο 2016 και, μετά από μια 2-ετή μεταβατική περίοδο, είναι σε πλήρη ισχύ από τον Μάιο 2018, λίγα πράγματα έγιναν. Ο κανονισμός έχει άμεση εφαρμογή σε όλα τα Κράτη Μέλη, χωρίς να χρειάζεται τα Εθνικά Όργανα να την ενσωματώσουν στην Εθνική νομοθεσία. Μέσω, όμως, ειδικών διατάξεων προσφέρεται στα Κράτη Μέλη, η δυνατότητα τοπικής τροποποίησης του GDPR, οπότε δεν θα υπάρχει 100% ομοιογενής κανονισμός.

Οι κυριότερες αλλαγές σε σχέση με τον παλαιότερο κανονισμό είναι:
• Υψηλά πρόστιμα τα οποία ανάλογα με την παράβαση μπορεί να φθάσουν έως και 20εκ.€ ή το 4% του παγκόσμιου τζίρου (όποιο είναι μεγαλύτερο) της εταιρείας. Το άρθρο 83 είναι το σπουδαιότερο, όπου περισσότερα από 40 πρότυπα είναι υπεύθυνα για την επιβολή προστίμου.
• Η Υπευθυνότητα όπου καθορίζεται ξεκάθαρα ότι η ευθύνη της συμμόρφωσης βαραίνει τη Διοίκηση της εταιρείας η οποία θα πρέπει να αποδεικνύει πλήρως τη συμμόρφωση με τον κανονισμό, με διοικητικά και τεχνικά μέσα (τεκμηριωμένες διαδικασίες, ενεργά προγράμματα, κλπ).
• Υπεύθυνος Ασφάλειας Δεδομένων που είναι υποχρεωτικό για όλες τις εταιρίες που πληρούν συγκεκριμένα κριτήρια η στις υπόλοιπες περιπτώσεις Σύμβουλος για την ασφάλεια των ΠΔ που μπορεί να είναι Εσωτερικός ή Εξωτερικός.
• Υψηλές απαιτήσεις Συγκατάθεσης από Φυσικά Πρόσωπα, όπου η συγκατάθεση πρέπει να είναι αβίαστη και ελεύθερη και να δίνεται συνεχώς η δυνατότητα άρσης της συγκατάθεσης αυτής. Σε περίπτωση επεξεργασίας ΠΔ από έννομο συμφέρον τα υποκείμενα πρέπει να ενημερώνονται αναλυτικά από το φορέα.
• Προσδιορισμός του κινδύνου από την επεξεργασία ΠΔ μέσα από Μελέτες εκτίμησης αντικτύπου σε περίπτωση απώλειας ΠΔ κάτι που εντάσσεται στη γενικότερη εκτίμηση κινδύνου μιας εταιρείας (Risk Management).
• Οι εταιρίες πλέον ΟΦΕΙΛΟΥΝ να ενημερώσουν την αρχή προστασίας προσωπικών δεδομένων σε περίπτωση απώλειας μέσα σε 72 ώρες.
• Διασυνοριακές μεταφορές ΠΔ όπου ισχύουν αυστηρά μέτρα και κανόνες ασφάλειας

Αρχές του GDPR:
• Πρέπει να εξασφαλίζονται η Νομιμότητα η Αντικειμενικότητα και η Διαφάνεια με την Αρχή της απαγόρευσης διατήρησης και επεξεργασίας ΠΔ και με την ελεύθερη αίρεση της αδείας. Έτσι τα ΠΔ επιτρέπεται να επεξεργαστούν μόνο αν υφίσταται ένας ανάλογος νόμος η συγκατάθεση.
• Επεξεργασία ΠΔ με νόμιμο, θεμιτό, διαφανή τρόπο:
– Βασισμένη στην Ευρωπαϊκή Χάρτα Θεμελιωδών Δικαιωμάτων.
– Τα ΠΔ μπορεί να επεξεργασθούν για έναν συγκεκριμένο σκοπό και με την συγκατάθεση του ενδιαφερόμενου εκτός αν βασίζεται σε άλλη νομική ρύθμιση (πχ. Φορολογικές αρχές, κοινωνική ασφάλιση κλπ).
• Διαφάνεια:
– Η επεξεργασία ΠΔ πρέπει να είναι κατανοητή από τον ενδιαφερόμενο και είναι υποχρεωτική η παροχή πληροφοριών γύρω από αυτήν. Ακόμα ο ενδιαφερόμενος έχει δικαίωμα στην διόρθωση, διαγραφή, πληροφόρηση, εναντίωση, μεταφορά δεδομένων αλλά προς το παρόν λείπουν τα πρότυπα για την εξασφάλιση ανάλογου επιπέδου διαφάνειας.
• Περιορισμός του σκοπού:
– Η επεξεργασία επιτρέπεται μόνον αν τόσο η διαδικασία όσο και η αποθήκευση δεδομένων είναι αναγκαία και λογική σε σχέση με τον σκοπό που πρέπει να έχει καθοριστεί πριν την συλλογή των δεδομένων. Παρόλα αυτά κάτω από συνθήκες μια επέκταση του σκοπού είναι δυνατή.
• Ελαχιστοποίηση των δεδομένων:
– Οι εταιρείες οφείλουν να διατηρούν/επεξεργάζονται τον μικρότερο δυνατό αριθμό δεδομένων και να δεσμεύονται να κάνουν χρήση μόνο όταν είναι απαραίτητο και αιτιολογημένο. Ο χρόνος αποθήκευσης πρέπει να μειωθεί στο ελάχιστο.
• Ακρίβεια των δεδομένων:
– Τα επεξεργασμένα δεδομένα πρέπει να εμφανίζουν την πραγματικότητα και λανθασμένα δεδομένα πρέπει να διορθώνοντα η να σβήνονται. Όταν δε παρέλθει ο χρόνος αποθήκευσης και δεν υφίσταται πλέον ο λόγος επεξεργασίας πρέπει να διαγράφονται. Σε περίπτωση που δεν είναι εφικτή η διαγραφή πρέπει να ανωνυμοποιούνται.
• Ακεραιότητα και Εμπιστευτικότητα των δεδομένων:
– Οι εταιρείες οφείλουν, με δική τους ευθύνη, να λαμβάνουn όλα τα Τεχνικά και Οργανωτικά Μέτρα για αποθήκευση και ασφάλεια δεδομένων.
• Αρχή της λογοδοσίας:
|- Ο Οργανισμός είναι υπεύθυνος για την συμμόρφωση με τις αρχές προστασίας ΠΔ και πρέπει να μπορεί να το αποδείξει με αξιοπιστία.
• Εστιασμός στην ανάλογη τεκμηρίωση:
– Οι εταιρείες οφείλουν να κάνουν αποτελεσματική εφαρμογή των αρχών με εσωτερικά μέτρα και διαδικασίες τα οποία ελέγχονται για την αποτελεσματικότητά τους και να παρέχουν πειστήριων άρτιας τεκμηρίωσης των διαδικασιών επεξεργασίας ΠΔ.

Προετοιμασία για το GDPR
• Πρέπει πρώτα να καταγραφεί η παρούσα κατάσταση
Ένα σημαντικό πρώτο βήμα είναι να έχει καθαρή εικόνα ο οργανισμός για το τι ΠΔ διαθέτει και επεξεργάζεται, όπως:
– Τι είδους ΠΔ επεξεργάζεται;
– Πως τα επεξεργάζεται;
– Που βρίσκονται μέσα σε όλη την εταιρεία;
– Από πού και προς τα πού μεταφέρονται ;(συμπεριλαμβανόμενων και τρίτων εντός και εκτός χώρας)
– Ποιος έχει πρόσβαση σε αυτά;
– Πώς ασφαλίζονται καθ’ όλη την διάρκεια παραμονής τους;
– Πότε σβήνονται;

Παραδείγματα ΠΔ
Τι θεωρείται ΠΔ:
Ονοματεπώνυμο, οδός και αριθμός κατοικίας, ο αριθμός ταυτότητας, η ατομική ηλεκτρονική διεύθυνση (e-mail), o αριθμός ασφαλείας τραπεζικής κάρτας, οι συντεταγμένες τοποθεσίας (π.χ. GPS σε κινητό τηλέφωνο), η διεύθυνση διαδικτυακού πρωτοκόλλου (IP) και τα δεδομένα υγείας.
Τι δεν θεωρείται ΠΔ: Το ΑΦΜ, η εταιρική ηλεκτρονική διεύθυνση «πληροφορίες@εταιρεία.com» και οποιουδήποτε είδους ανώνυμα δεδομένα.

Τι εννοούμε με τον όρο «Επεξεργασία»
Αφορά μεγάλο φάσμα διεργασιών δεδομένων προσωπικού χαρακτήρα, που εκτελείται χειροκίνητα η αυτόματα, όπως συλλογή, εγγραφή, αρχειοθέτηση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, επανάκτηση, αναζήτηση, χρήση, κοινοποίηση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή.
Μερικά παραδείγματα επεξεργασίας είναι η διαχείριση προσωπικών δεδομένων του προσωπικού, η μισθοδοσία, η ομαδική ασφάλιση, η πρόσβαση/αναζήτηση/συσχέτιση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα, η αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων, η δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου σε ιστότοπο, η αποθήκευση διευθύνσεων IP και η μαγνητοσκόπηση με τηλεόραση κλειστού κυκλώματος.

Παράδειγμα: Το GDPR και το e-mail marketing
– Σε ποιόν μπορώ να στείλω e-mail?
– Διαφημιστικά e-mail μπορώ να στείλω μόνο αν έχω την συγκατάθεση του λήπτη.
– Το GDPR δεν κάνει διάκριση B2C η B2B η μεταξύ δυνητικών και υπαρχόντων πελατών.
Εξαίρεση: πελάτες που η ηλεκτρονική διεύθυνση ελήφθη μαζί με αγορά. Κάτω από συγκεκριμένες συνθήκες:
– Ο πελάτης δεν διαφώνησε.
– Κατά την λήψη της διεύθυνσης αλλά και σε κάθε e-mail πρέπει να εμφανίζεται η δυνατότητα ο πελάτης να μπορεί να αρνηθεί οποτεδήποτε.
– Πρέπει να είναι ξεκάθαρο για τον πελάτη ότι ο αποστολέας έχει εμπορικούς σκοπούς και αποστέλλει την διαφήμιση η το e-mail marketing.
– Η διαφήμιση πρέπει να περιέχει προϊόντα η υπηρεσίες που είναι παρόμοιες με αυτά που έχει ήδη αγοράσει.