Enterprises and General Data Protection

Enterprises and General Data Protection

Ευρωπαϊκή επιταγή η ενίσχυση για την Προστασία Προσωπικών Δεδομένων. Νέοι κανόνες συμμόρφωσης (Κανονισμός 2016/679)

 

Προοίμιο: Τι σημαίνει άραγε η μη συμμόρφωση

Είναι αλήθεια πως κάθε νέα υποχρέωση που δημιουργείται σε μια επιχείρηση επιβαρύνει το λειτουργικό της κόστος. Θα μπορούσε όμως κανένας να εισηγηθεί τη μη συμμόρφωση με τις υποχρεώσεις που απορρέουν από τον συγκεκριμένο Κανονισμό για την Προστασία Προσωπικών Δεδομένων;

Η συγκεκριμένη περίπτωση δεν είναι από αυτές που θα μπορούσαν να μας αφήσουν αδιάφορους. Ο Ευρωπαϊκός Κανονισμός 2016/679) ισχύει χωρίς να υπάρχει ανάγκη επικύρωσής του από τον Έλληνα νομοθέτη.

Οι κυρώσεις που απειλούνται; Δυσβάστακτες! Χωρίς να υπεισέλθουμε στις ποινικές κυρώσεις, τα ανώτατα όρια των διοικητικών κυρώσεων (πρόστιμα) κινούνται στα 10.000.000 ή 20.000.000€ και ποσοστιαία στο 2% ή 4% αντιστοίχως του παγκόσμιου κύκλου εργασιών του παραβάτη (αν τα προαναφερθέντα ποσά υπολείπονται των αντίστοιχων  ποσοστών επί του παγκόσμιου κύκλου εργασιών του!)

Τα πράγματα ΔΕΝ είναι απλά…

 

Το υφιστάμενο θεσμικό πλαίσιο

Την ανάγκη προστασίας των προσώπων από την διαρκώς κλιμακούμενη (λόγω της ραγδαίας προόδου της τεχνολογίας) έκθεση των Προσωπικών τους Δεδομένων, και την διαμόρφωση ενός εξασφαλιστικού modus operandi των φορέων που επεξεργάζονται δεδομένα,  υπογραμμίζει ο Ευρωπαϊκός Κανονισμός 679 της 27.4.2016, που τίθεται σε πλήρη εφαρμογή για όλα τα κράτη μέλη (βεβαίως και την χώρα μας) την 25.5.2018.  

Με τον ν. 2472/1997 περί Προστασίας του ατόμου από την επεξεργασία Προσωπικών Δεδομένων (και τις αναθεωρήσεις του) ο Έλληνας νομοθέτης ενσωμάτωσε την ευρωπαϊκή Οδηγία 95/46/ΕΚ «Για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και της ελεύθερης κυκλοφορίας των δεδομένων αυτών».

Τα βασικά θεμέλια για την Προστασία Προσωπικών Δεδομένων που είχαν ήδη τεθεί, λοιπόν, είκοσι χρόνια πριν αφορούσαν στον προσδιορισμό:

(α) των  βασικών εννοιών όπως «αρχείο», «υποκείμενο δεδομένων», «δεδομένα απλά», «δεδομένα ευαίσθητα», «υπεύθυνος επεξεργασίας», «εκτελών την επεξεργασία»,

(β) των δικαιωμάτων των Υποκειμένων της Επεξεργασίας (του καθενός από  εμάς)

(γ) των υποχρεώσεων των Υπευθύνων Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (φυσικών και νομικών προσώπων, φορέων και οργανισμών με τους οποίους στην καθημερινότητά μας καλούμαστε να έχουμε συναλλαγές, από τον εργοδότη μας μέχρι το μητρώο μιας Εφορίας) και

(δ) την σύσταση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα η οποία θα λειτουργούσε στο εξής ανεξάρτητα, εποπτικά και ως θεσμική εγγυήτρια για τον έλεγχο τήρησης των ευρωπαϊκών επιταγών.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει συσταθεί και λειτουργεί έκτοτε έχει δε πλούσια δράση και έχει απασχολήσει με τις αποφάσεις της όχι μόνο τον νομικό κόσμο αλλά και το σύνολο της κοινής γνώμης όπως στην περίπτωση της αναγραφής του θρησκεύματος στις ταυτότητες.

Το Ευρωπαϊκό Κοινοβούλιο επιλέγει με τον εν λόγω Κανονισμό μία πιο δυναμική θέση έναντι της προηγούμενης Οδηγίας, καθώς ο πρώτος αποτελεί δίκαιο αυξημένης τυπικής ισχύος (υπέρκειται του νόμου του κάθε κράτους μέλους) και είναι (σε αντίθεση με την Οδηγία) εφαρμοστέος οριζόντια κατά τρόπο άμεσο (δεν απαιτείται ενσωμάτωσή του από το εθνικό νομοθέτη).

 

Η αυστηροποίηση για την προστασία προσωπικών δεδομένων στο πλαίσιο του ευρωπαϊκού Κανονισμού

Με τον Κανονισμό αυστηροποιείται το πλαίσιο προστασίας και ειδικά:

(α) ο Υπεύθυνος Επεξεργασίας υποχρεούται να επιλέγει τα πλέον εξασφαλιστικά, οργανωτικά και τεχνικά μέτρα τόσο κατά τη στιγμή του καθορισμού των μέσων συλλογής και επεξεργασίας των δεδομένων όσο και κατά τη στιγμή της επεξεργασίας τους.

Οι υποχρεώσεις του Υπευθύνου και του Εκτελούντος την επεξεργασία διευρύνονται (:τήρηση αρχείου- συγκεκριμένων προδιαγραφών- δραστηριοτήτων επεξεργασίας) ενώ αποκτά συγκεκριμένη ευθύνη να λάβει και να είναι σε θέση να αποδείξει ότι έχει λάβει όλα τα απαραίτητα μέτρα για να διασφαλίσει ότι η επεξεργασία διενεργείται σύμφωνα με τον Κανονισμό.

(β) Διευρύνονται τα δικαιώματα των Υποκειμένων, περιλαμβάνοντας τα δικαιώματα: (i) στην πρόσβαση, (ii) στη διόρθωση (ή συμπλήρωση) (iii) στη λήθη (διαγραφή των δεδομένων υπό προϋποθέσεις), (iv) στην εναντίωση (v) στη φορητότητα των δεδομένων.

 (γ) Προβλέπεται ειδικά για περιπτώσεις συστηματικής, εκτενούς και ευρείας κλίμακας αξιολόγησης προσωπικών δεδομένων ή συστηματικής παρακολούθησης σε μεγάλη κλίμακα δημοσίων χώρων υποχρέωση για διεξαγωγή μίας εκτίμησης αντικτύπου (impact assessment) των πιθανών κινδύνων και επιπτώσεων για τα δικαιώματα και τις ελευθερίες των ατόμων, από τον τρόπο, το πλαίσιο, το εύρος και τον σκοπό που τελείται η επεξεργασία.

(δ) ο Υπεύθυνος επεξεργασίας υποχρεούται να ενημερώνει άμεσα την αρχή για κάθε παραβίαση της ασφάλειας του συστήματός του (μέσα σε 72 ώρες από τη στιγμή που θα λάβει γνώση)

(ε) ο Υπεύθυνος Επεξεργασίας (στις περιπτώσεις που λεπτομερώς ορίζονται στον Κανονισμό, ενδεικτικά επεξεργασία δεδομένων σε μεγάλη κλίμακα ή/και ευαίσθητων δεδομένων) ορίζει έναν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer) ήτοι ένα εσωτερικό εποπτικό όργανο (υπάλληλο ή εξωτερικό συνεργάτη), που δρα ανεξάρτητα (σημ: όπως έναν τεχνικός ασφαλείας) και ο οποίος θα διασφαλίζει την τήρηση του κανονιστικού πλαισίου (του Κανονισμού σε συνδυασμό με όποια ειδικότερη ρύθμιση, τυχόν, προβλέψει ο εθνικός νομοθέτης, στα πεδία που του δίνεται διακριτική ευχέρεια) και έχει άμεση επαφή, συνεργασία και υποχρέωση αναφοράς για κάθε παραβίαση στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

(στ) Προβλέπονται σημαντικά αυστηρότερες από τις υφιστάμενες διοικητικές και ποινικές κυρώσεις με τα πρόστιμα να κινούνται στα 10.000.000 ή 20.000.000€ ή και ποσοστιαία επί του κύκλου εργασιών της επιχείρησης ανάλογα με την περίπτωση και τον φορέα παραβίασης (αν το ποσοστό αυτό υπερβαίνει τα ως άνω ποσά).

Σημαντική διαφορά με το ισχύον νομικό πλαίσιο είναι ότι δεν προβλέπονται Γνωστοποιήσεις στην Αρχή παρά η διαθεσιμότητα του υλικού (:αρχείου επεξεργασίας) σε άμεση ζήτηση της Αρχής. Ωστόσο, ο κάθε εθνικός νομοθέτης μπορεί να εξειδικεύσει τις απαιτήσεις του και να ζητήσει Γνωστοποιήσεις ή έκδοση Αδειών ειδικά σε περιπτώσεις που αφορούν σε επεξεργασία Ευαίσθητων Προσωπικών Δεδομένων. Για την εξέταση του ενδεχομένου λήψης νομοθετικών μέτρων για την εφαρμογή του Κανονισμού έχει ήδη συσταθεί (ΦΕΚ 1913/27.6.2016) νομοπαρασκευαστική επιτροπή της οποίας το έργο αναμένουμε να ολοκληρωθεί πριν τον χρόνο εφαρμογής του Κανονισμού.

Είναι επιβεβλημένο κάθε Υπεύθυνος Επεξεργασίας να ελέγξει (με τους κατάλληλους προς τούτο συνεργάτες) το status ασφαλείας των τεχνικών του συστημάτων και της οργανωτικής του δομής ώστε να είναι σε ετοιμότητα να εναρμονισθεί με τις απαιτήσεις του Κανονισμού.

 

Υπάρχει, άραγε, χρόνος;

Όπως ήδη αναφέρθηκε η ημερομηνία εφαρμογής του νέου Ευρωπαϊκού Κανονισμού είναι η 25.5.2018-σε μια πρώτη ανάγνωση δηλαδή έχουμε αρκετό χρόνο για να δράσουμε. Είναι όμως έτσι;

Πολλοί παράγοντες είναι αυτοί που θα πρέπει να αξιολογηθούν για να απαντήσουμε: «εντάξει, έχουμε καιρό».

Το είδος της επιχειρηματικής δραστηριότητας, η συμμόρφωση με το σήμερα ισχύον θεσμικό πλαίσιο, η συγκέντρωση (ή/και διακίνηση) ευαίσθητων, εκτός από τα απλά, προσωπικών δεδομένων, κ.ο.κ.

Κι ας μη βιαστούμε να απαντήσουμε πως «ευαίσθητα προσωπικά δεδομένα εμείς δεν διαθέτουμε». Μήπως ζητάμε ποινικά μητρώα για κάποιους από τους εργαζόμενους μας; Μήπως διαθέτουμε κάποιο αρχείο για την κατάσταση της υγείας κάποιων από αυτούς; Μήπως διαθέτουμε κάμερες ασφαλείας για την ασφάλεια της επιχείρησής μας;

 

Συμπέρασμα

Μολονότι αναμένουμε (και) όσα ο εθνικός νομοθέτης θα επιβάλλει, το θεσμικό πλαίσιο για την προστασία των προσωπικών δεδομένων έχει ήδη καταστεί περισσότερο περίπλοκο. Οι επαπειλούμενες κυρώσεις όχι μόνον δεν είναι αμελητέες αλλά και, κατ’ ακρίβεια, δραματικά υψηλές.

Η προετοιμασία της επιχείρησης, τις περισσότερες φορές, ούτε εύκολη ούτε ταχεία.

Η ανάγκη για λεπτομερέστερη ενημέρωση, μια πρώτη αξιολόγηση και τα πρώτα διαδικαστικά βήματα, παρούσα.

Σήμερα!

0

You May Also Like