Το GDPR (Γενικός Κανονισμός Προστασίας Δεδομένων) έχει τεθεί πλέον σε εφαρμογή από τις 25/5/2018 και φέρνει αλλαγές στη διαχείριση των ευαίσθητων προσωπικών δεδομένων. Όμως ένα μεγάλο ποσοστό των επιχειρήσεων στην Ελλάδα αλλά και στην Ευρώπη δεν έχουν συμμορφωθεί στο νέο κανονισμό και οι ελεγκτικοί μηχανισμοί εμφανίζονται να μην είναι έτοιμοι.
Ποσοστό της τάξης του 20% στην Ελλάδα εμφανίζεται να είναι compliant στο νέο κανονισμό, ενώ το 49% έχει ξεκινήσει την διαδικασία συμμόρφωσης. Έχουν παρατηρηθεί περιπτώσεις επιχειρήσεων -σε μικρό ποσοστό βέβαια- που δεν γνωρίζουν καν την ύπαρξη του κανονισμού ή το τι θα πρέπει να κάνουν. Στην Ελλάδα αναμένεται η ψήφιση από το Κοινοβούλιο του σχεδίου νόμου που θα ρυθμίζει τις νέες αρμοδιότητες της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία και είναι υπεύθυνη για την εξέταση των καταγγελιών, την επιβολή και την είσπραξη των προστίμων.
Σημειώνουμε ότι αρκετές χώρες της ΕΕ δεν έχουν ψηφίσει ακόμη νέο σχέδιο νόμου για το GDPR, που αποτελεί μια ένδειξη γενικής ετοιμότητας στο νέο κανονισμό, άλλωστε είναι κάτι καινούργιο για όλους μας. Δεν πρέπει επ’ ουδενί να καλλιεργείται αίσθημα άγχους ή φόβου απέναντι στον κανονισμό, παρά μια κινητικότητα και μεθοδικότητα όσον αφορά τα βήματα που θα πρέπει να ακολουθήσετε. Το πρώτο βήμα εξ αυτών είναι η κατανόηση κάποιων βασικών και πολύ σημαντικών εννοιών που περιγράφω παρακάτω:
Τι είναι το GDPR;
Στις 27 Απριλίου 2016 ψηφίσθηκε από το Ευρωπαϊκό Κοινοβούλιο ο Κανονισμός 679/2016 ή Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (General Data Protection Regulation). Ο Κανονισμός τέθηκε σε ισχύ στις 5 Μαΐου 2016 με μεταβατική περίοδο δύο ετών και εφαρμόζεται ως νομοθέτημα άμεσης εφαρμογής (όχι Οδηγία) σε όλες τις χώρες μέλη της Ευρωπαϊκής Ένωσης από τις 25 Μαΐου 2018.
Ο Κανονισμός ρυθμίζει τα δικαιώματα των φυσικών προσώπων σχετικά με:
- Τα προσωπικά τους δεδομένα.
- Την επεξεργασία των προσωπικών τους δεδομένων.
- Την ελεύθερη και ανεμπόδιστη κυκλοφορία και μεταβίβαση των προσωπικών τους δεδομένων εντός των ορίων της Ευρωπαϊκής Ένωσης.
- Τις διαδικασίες μεταφοράς προσωπικών δεδομένων εκτός Ευρωπαϊκής Ένωσης.
Σε ποιους απευθύνεται το GDPR;
Όλες τις ιδιωτικές και δημόσιες επιχειρήσεις, καθώς και τις κρατικές αρχές που με οποιοδήποτε τρόπο διαχειρίζονται δεδομένα προσωπικού χαρακτήρα πελατών, πελατών των πελατών τους, εργαζομένων, συνεργατών ή άλλων φυσικών προσώπων. Ως εκ τούτου, o GDPR αφορά πρακτικά όλες τις επιχειρήσεις, εντός και εκτός Ευρωπαϊκής Ένωσης, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες.
Με βάση τα παραπάνω, απευθύνεται σε:
- Μεγάλες επιχειρήσεις και οργανισμούς.
- Μικρομεσαίες επιχειρήσεις.
- Μικρές και πολύ μικρές επιχειρήσεις, εταιρίες και ατομικές επιχειρήσεις.
Όπως ενδεικτικά σε:
- Εταιρείες πληροφορικής και παροχής υπηρεσιών.
- Ασφαλιστικές εταιρίες και γραφεία ασφαλιστικών μεσολαβητών.
- Ιατρικά κέντρα και κλινικές.
- Εταιρίες και επιχειρήσεις με εργατικό δυναμικό.
- Επιχειρήσεις που διατηρούν κάμερες επιτήρησης.
- Εταιρίες που διατηρούν πελατολόγιο για σκοπούς marketing.
- Καταστήματα e-shop.
Τι ορίζουμε ως ‘προσωπικό δεδομένο’;
Προσωπικά δεδομένα θεωρούνται:
- Στοιχεία αναγνώρισης (ΑΦΜ, ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κλπ.).
- Φυσικά χαρακτηριστικά, εκπαίδευση, εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κλπ.).
- Οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά).
- Ενδιαφέροντα, δραστηριότητες, συνήθειες.
- IP Address, e-mail, internet cookies.
- GPS Location.
- Τα ιατρικά, τα θρησκευτικά, τα πολιτικά, οι ερωτικές προτιμήσεις, η συνδικαλιστική δραστηριότητα, κ.ά., θεωρούνται ευαίσθητα προσωπικά δεδομένα.
Επεξεργασία Δεδομένων
Είναι κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, όπως: συλλογή, καταχώριση, οργάνωση, διατήρηση ή αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση, συσχέτιση ή συνδυασμός, διασύνδεση, δέσμευση, διαγραφή, καταστροφή.
Ποιος είναι ο Υπεύθυνος Επεξεργασίας (Data Controller);
Ο Υπεύθυνος Επεξεργασίας (Data Controller) είναι η οντότητα (το φυσικό ή νομικό πρόσωπο δημοσίου ή ιδιωτικού δικαίου) που καθορίζει το σκοπό, τις προϋποθέσεις και τον τρόπο επεξεργασίας προσωπικών δεδομένων. Για παράδειγμα, Υπεύθυνος Επεξεργασίας είναι κάθε εταιρεία, σωματείο, σύλλογος κλπ. που τηρεί προσωπικά δεδομένα τουλάχιστον ενός φυσικού προσώπου: των υπαλλήλων ή των υποψηφίων υπαλλήλων της, των μελών, πελατών, προμηθευτών, συνεργατών και συμβούλων της, κλπ.
Ποιος είναι ο Εκτελών την Επεξεργασία (Data Processor);
Ο Εκτελών την Επεξεργασία (Data Processor) είναι αντίστοιχα η οντότητα που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Υπευθύνου Επεξεργασίας. Στο ως άνω παράδειγμα, Εκτελών την Επεξεργασία είναι μεταξύ άλλων και ο Πάροχος ηλεκτρονικού ταχυδρομείου της εταιρίας, καθώς επεξεργάζεται και προσωπικά δεδομένα φυσικών προσώπων (π.χ. τα προσωπικά δεδομένα που υπάρχουν σε αφθονία μέσα στα βιογραφικά σημειώματα που οι υποψήφιοι αποστέλλουν στην εταιρία). Λέγοντας οντότητα, εννοούμε νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα.
Τι ορίζουμε Συγκατάθεση του υποκειμένου των δεδομένων;
Κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρη επίγνωση, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
Παραβίαση δεδομένου προσωπικού χαρακτήρα
Παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
Εάν συμβεί η παραβίαση δεδομένων τι κάνουμε;
Εάν αυτό συμβεί, και είναι πιθανό η παραβίαση να θέτει σε κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικού προσώπου, η εταιρεία ή ο οργανισμός πρέπει να ειδοποιήσει την εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 72 ωρών αφού αντιληφθεί την παραβίαση. Εάν η εταιρεία ή ο οργανισμός είναι ο εκτελών την επεξεργασία, πρέπει να ενημερώνει τον υπεύθυνο επεξεργασίας δεδομένων για κάθε παραβίαση δεδομένων.
Ο DPO (Data Protection Officer) και ποιοι υποχρεούνται να διορίσουν DPO;
Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) διευκολύνει τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τις διατάξεις του Γενικού Κανονισμού για την Προστασία Δεδομένων και μεσολαβεί μεταξύ των διαφόρων ενδιαφερομένων (π.χ. εποπτικές αρχές, υποκείμενα των δεδομένων).Ο ρόλος του είναι συμβουλευτικός (όχι αποφασιστικός) και δε φέρει προσωπική ευθύνη για τη μη συμμόρφωση με τον Κανονισμό.
Ο ορισμός DPO είναι υποχρεωτικός όταν:
- Η επεξεργασία διενεργείται από δημόσια αρχή ή δημόσιο φορέα (συμπεριλαμβανομένων και φυσικών ή νομικών προσώπων δημοσίου ή ιδιωτικού δικαίου που ασκούν δημόσια εξουσία). Εξαιρούνται τα δικαστήρια όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα.
- Απαιτείται τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα (π.χ. ασφαλιστικές ή τραπεζικές υπηρεσίες, υπηρεσίες τηλεφωνίας ή διαδικτύου, παροχή υπηρεσιών ασφαλείας, όλες οι μορφές παρακολούθησης και διαμόρφωσης «προφίλ» στο διαδίκτυο, διατήρηση στοιχείων όπως φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, όπως για σκοπούς συμπεριφορικής διαφήμισης).
- Διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων (π.χ. στο πλαίσιο παροχής υπηρεσιών υγείας από νοσοκομεία) ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.
- Οργανισμοί που απασχολούν παραπάνω από 200 άτομα προσωπικό.
- Οργανισμοί που διατηρούν σύστημα καμερών και βιντεοεπιτήρησης.
Βήματα & Στάδια Συμμόρφωσης
- Εκπαίδευση/ ευαισθητοποίηση: Αποτελεί το βασικότερο και η Αχίλλειος πτέρνα όλων των οργανισμών για μία πιθανή διαρροή. Θα πρέπει να υιοθετηθεί και να εμπεδωθεί πλήρως στο προσωπικό η έννοια του GDPR και οι κανονισμοί περί προστασίας προσωπικών δεδομένων. Να καλλιεργηθεί πλήρως και να αναπτυχθεί αυτή η νοοτροπία, ‘mentality’ είναι η λέξη κλειδί.
- Data Mapping: Συγκέντρωση δεδομένων και καταγραφή Σημείων Τήρησης Προσωπικών Δεδομένων
- Gap Analysis & Compliance Plan: Ανάλυση Ελλείψεων και αποκλίσεων, εντοπίζοντας τις αποκλίσεις και τις παρατηρούμενες ελλείψεις ή ασυμβατότητες διαδικασιών σε σχέση με τον επιδιωκόμενο σκοπό της πλήρους συμμόρφωσης με όλα τα άρθρα του GDPR.
- Risk Assessment: Αξιολόγηση επικινδυνότητας των παραγόντων κινδύνου, που απειλούν τα Δεδομένα Προσωπικού Χαρακτήρα που κατέχει η εταιρεία.
- Privacy Protection Plan: Σχεδιασμός Προγράμματος Προστασίας Προσωπικών Δεδομένων.
- Privacy Impact Assessment(PIA): Συγγραφή Μελέτης Αντικτύπου Ιδιωτικότητας
- Συγγραφή ή διόρθωση ελλιπών διαδικασιών: Ανάπτυξη τεχνικών προτύπων ή νομικής υποστήριξης και εφαρμογή αυτών.
Προκειμένου να υλοποιήσετε όλα τα παραπάνω θα πρότεινα να συμβουλευθείτε το νομικό σας σύμβουλο, ο οποίος θα σας κατατοπίσει αρμόδια, δίνοντας τις απαραίτητες διευκρινήσεις κι ερμηνείες που αφορούν ειδικά την δική σας εταιρία. Για την τεχνική υλοποίηση, θα χρειαστείτε συμβούλους Πληροφορικής, οι οποίοι θα εφαρμόσουν με κατάλληλα εργαλεία, μέτρα και πολιτικές ασφάλειας και προστασίας δεδομένων καθώς και κρυπτογράφησης αυτών.
Ποια είναι τα πρόστιμα;
Τα πρόστιμα που προβλέπει ο Γενικός Κανονισμός είναι υψηλά. Το ανώτερο ανέρχεται στα 20 εκατ. ευρώ ή στο 4% του παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, εφόσον πρόκειται για επιχείρηση – όποιο είναι υψηλότερο.
Το πρόστιμο αυτό δύναται να επιβληθεί σε σοβαρές παραβιάσεις του Κανονισμού, όπως: παραβιάσεις που αφορούν την συγκατάθεση του ατόμου, τις βασικές αρχές προστασίας δεδομένων, τη μεταφορά δεδομένων Ευρωπαίων πολιτών εκτός Ευρώπης, τη μη συμμόρφωση με τις υποδείξεις των Εποπτικών Αρχών.
Υπάρχουν και περιπτώσεις όπου προβλέπεται πρόστιμο 10 εκατ. ευρώ, ή το 2% του παγκόσμιου ετήσιου κύκλου εργασιών – όποιο είναι υψηλότερο – για παράδειγμα: για τη μη τήρηση οργανωμένων αρχείων, τη μη γνωστοποίηση για παραβίαση ασφαλείας, την παράλειψη ορισμού DPO στις περιπτώσεις που επιβάλλεται, την παράλειψη διενέργειας Εκτίμησης Αντικτύπου, την ατελή εφαρμογή ή απουσία τεχνικών και οργανωτικών μέτρων για την εξασφάλιση της προστασίας δεδομένων.
Χρήσιμα tips για τις επιχειρήσεις εστίασης
- Αν απασχολείτε προσωπικό πάνω από 200 άτομα ή έχετε σύστημα καμερών βιντεοεπιτήρησης θα πρέπει να ορίσετε DPO και να τον δηλώσετε στην Αρχή Προστασίας Προσωπικών δεδομένων άμεσα.
- Τα συστήματα Καμερών-Βιντεοεπιτήρησης δεν πρέπει να καλύπτουν κοινόχρηστους χώρους, τραπέζια πελατών, χώρους εργασίας και συγκέντρωσης προσωπικού (κουζίνα, αποδυτήρια κλπ.), δεν πρέπει να είναι υψηλής ευκρίνειας, να κάνουν zoom, να περιστρέφονται και να έχουν οπτική γωνία προς δρόμους και πεζοδρόμια.
- Ουσιαστικά οι κάμερες επιτρέπεται να καλύπτουν εισόδους-εξόδους και ταμεία. Απαγορεύεται να διατηρείται η καταγραφή των καμερών πάνω από 30 ημέρες. Σε αντίθετη περίπτωση υπάρχει σοβαρός κίνδυνος καταγγελίας.
- Προσοχή με τα στοιχεία που διατηρείτε των υπάλληλων ηλεκτρονικά και μη, για παράδειγμα βιογραφικά, e-mail, καρτέλες σε προγράμματα μισθοδοσίας, αποστολή στοιχείων σε δημόσιους οργανισμούς, σε χαρακτηρισμούς αυτών, διατήρηση στοιχείων ιατρικών από πιθανές ασθένειες του παρελθόντος.
- Προσοχή σε στοιχεία πελατολογίου, και χαρακτηρισμός αυτών βάση κάποιων συνήθειών, για παράδειγμα τυχόν αλλεργίες ή προτιμήσεις που έχουν παρουσιαστεί κατά το παρελθόν. E-mail που πιθανώς αποθηκεύονται σε βάση δεδομένων για σκοπούς marketing, ή για διαφημίσεις μέσω των social media.
- Αν διατηρείται official web site, θα πρέπει να ορίσετε πολιτικές ασφαλείας απορρήτου και συγκατάθεσης προς τον επισκέπτη όσον αφορά τα cookies και τυχόν στοιχεία που καταχωρεί.
Πηγή: grillmagazine.gr