“Θωρακίζεται” το πλέγμα προστασίας των προσωπικών δεδομένων, με τον νέο κανονισμό προστασίας προσωπικών δεδομένων (GDPR) που τίθεται σε ισχύ στα τέλη Μαΐου.
Παράλληλα οι περισσότερες επιχειρήσεις θα αναγκαστούν να εξετάσουν προσεκτικά το πλαίσιο λειτουργίας τους, ώστε κατά την εφαρμογή του νέου κανονιστικού πλαισίου να μην αντιμετωπίζουν ρίσκο μη συμμόρφωσης καθώς τα πρόστιμα είναι πραγματικά “τσουχτερά” καθώς οι αρχές προστασίας δεδομένων θα έχουν την εξουσία να επιβάλλουν πρόστιμα από 10 – 20 εκατ. Ευρώ σε επιχειρήσεις ή αλλιώς από 2% – 4% του παγκόσμιου τζίρου. Για το νέο πλαίσιο για την προστασία προσωπικών δεδομένων (GDPR) μίλησε χθες στα Χανιά η Καθηγήτρια του Πανεπιστημίου Αιγαίου, Δικηγόρος Λίλιαν Μήτρου, στο πλαίσιο εκδήλωσης που διοργάνωσε το Περιφερειακό Τμήμα Δυτ. Κρήτης του Οικονομικού Επιμελητηρίου Ελλάδας σε συνεργασία με την “ΔΙΑΣΤΑΣΗ Εκπαιδευτικές & Συμβουλευτικές Υπηρεσίες” στην Συνεταιριστική Τράπεζα Χανίων. Να σημειωθεί ότι η κα Μήτρου υπήρξε μέλος της Αρχής Προστασίας Δεδομένων (στην πρώτη της σύνθεση) ενώ κατά την εκπόνηση του Κανονισμού στην Ε.Ε ήταν πρόεδρος της Ομάδας των Τεχνικών Εμπειρογνωμόνων. Σήμερα είναι Πρόεδρος της Νομοπαρασκευαστικής Επιτροπής η οποία εκπόνησε πλαίσιο Νόμου που πλαισιώνει τον νέο Κανονισμό προστασίας προσωπικών δεδομένων.
Μιλώντας στα “Χανιώτικα νέα”, η κα Μήτρου εξήγησε ότι με τον κανονισμό προστασίας προσωπικών δεδομένων (GDPR), κατοχυρώνονται επαρκέστερα τα δικαιώματα του ατόμου του οποίου τα δεδομένα υπόκεινται σε επεξεργασία, καθώς επίσης εξασφαλίζεται η δυνατότητα αποτελεσματικότερου ελέγχου επί αυτών. Σε επιχειρηματικό επίπεδο, η κρισιμότερη αλλαγή που επιφέρει το νέο θεσμικό πλαίσιο είναι η αυστηροποίηση των συνεπειών μη συμμόρφωσης με αυτό όπου προβλέπονται βαριά πρόστιμο.
ΤΙ ΕΙΝΑΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
Τι είναι όμως προσωπικά δεδομένα; Προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται στο πρόσωπο του ατόμου, όπως: το όνομα και το επάγγελμά του, η οικογενειακή του κατάσταση, η ηλικία του, ο τόπος κατοικίας, η φυλετική του προέλευση, τα πολιτικά του φρονήματα, η θρησκεία που πιστεύει, η συνδικαλιστική του δράση, η υγεία του, τυχόν ποινικές του διώξεις και καταδίκες κ.α Η επεξεργασία αυτών των δεδομένων θα πρέπει να γίνεται σύμφωνα με τον Νόμο.
ΤΙ ΟΡΙΖΕΙ Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ
Ο κανονισμός περιγράφει τα δικαιώματα του ατόμου του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία. Αυτά τα ενισχυμένα δικαιώματα παρέχουν στα άτομα μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων, όπως:
•ενημέρωση με σαφήνεια και διαφάνεια από τον υπεύθυνο επεξεργασίας προσωπικών δεδομένων,
•δυνατότητα πρόσβασης στα προσωπικά του δεδομένα, όταν αυτά υφίστανται επεξεργασία,
•δυνατότητα απαίτησης διόρθωσης ή συμπλήρωσης ελλιπών δεδομένων, από τον υπεύθυνο επεξεργασίας,
•αίτημα διαγραφής (λήθη) των προσωπικών του δεδομένων υπό προϋποθέσεις,
•δυνατότητας εναντίωσης στην επεξεργασία προσωπικών δεδομένων, εάν ο υπεύθυνος επεξεργασίας δεν καταδείξει επιτακτικούς λόγους για την επεξεργασία αυτή.
Μάλιστα οι υπεύθυνοι επεξεργασίας σε ορισμένες περιπτώσεις, πρέπει να κοινοποιούν τα περιστατικά παραβίασης δεδομένων προσωπικού χαρακτήρα εντός 72 ωρών από την ανακάλυψη του περιστατικού παραβίασης και απώλειας προσωπικών δεδομένων στις αρμόδιες αρχές και στα υποκείμενα των δεδομένων αν η φύση των δεδομένων που χάθηκαν το απαιτεί. Επίσης για τις εταιρείες και τις δημόσιες αρχές που εκτελούν πράξεις επεξεργασίας δεδομένων που ενέχουν κινδύνους θα πρέπει να έχουν ορίσει υπεύθυνο προστασίας δεδομένων. Για παράδειγμα οι Τράπεζες, οι Κλινικές και Διαγνωστικά Κέντρα, οι Δήμοι, οι Περιφέρειες, όλες οι δημόσιες αρχές, πρέπει να έχουν υπεύθυνο προστασίας δεδομένων.
ΠΟΙΕΣ ΕΠΙΧΕΙΡΗΣΕΙΣ ΑΦΟΡΑ
Το νέο νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων που εγκαθιδρύει ο GDPR δημιουργεί σημαντικές υποχρεώσεις για τις περισσότερες επιχειρήσεις και πρώτα από όλα την ανάγκη για αυτοέλεγχο.
Σύμφωνα με την κα Μήτρου, ο νέος κανονισμός δεσμεύει κάθε επιχείρηση, από την πιο μικρή ατομική επιχείρηση μέχρι τον κολοσσό, σε δημόσιο και ιδιωτικό τομέα, με το ίδιο “ταβάνι” προστίμων. Ταυτόχρονα η ανάγκη προσαρμογής στις απαιτήσεις του GDPR, δημιουργεί και ένα κίνητρο προληπτικού ελέγχου της λειτουργίας μιας επιχείρησης ώστε να αποφευχθούν σοβαρές δυσάρεστες επιπτώσεις ως συνέπεια αμέλειας, άγνοιας ή υποβάθμισης των σχετικών κινδύνων. «Κάθε επιχείρηση πρέπει να συλλέγει εκείνα και και μόνο εκείνα τα προσωπικά δεδομένα που είναι αναγκαία για τον σκοπό της»τόνισε.
Ο κανονισμός μεταθέτει την ευθύνη της συμμόρφωσης στην επιχείρηση π.χ εάν αποδεικνύονται οι συγκαταθέσεις που έλαβε για την βιντεο-επιτήρηση ή για να αποστέλλει διαφημιστικά μηνύματα ή για την δημιουργία προφίλ πελάτη. « Ο κανονισμός έχει ως σκοπό η επιχείρηση να συνεχίσει αυτήν την δραστηριότητα αλλά με νόμιμο τρόπο και να μπορεί να το αποδείξει» σημείωσε η κα Μήτρου.
Μερικά παραδείγματα
Μερικά πρακτικά παραδείγματα από την εφαρμογή του Νόμου Προστασίας Προσωπικών Δεδομένων μέσα από την εμπειρία της κας Μήτρου στην Αρχή Προστασίας Δεδομένων:
«Κάποιος έλαβε χριστουγεννιάτικη κάρτα από ένα πολύ ακριβό κοσμηματοπωλείο στην Αθήνα. Η γυναίκα του, του είπε ότι δεν είχε λάβει ποτέ δώρο από το συγκεκριμένο κοσμηματοπωλείο και τον ρώτησε πού βρήκαν το όνομα και την διεύθυνση του συζύγου της. Ο σύζυγος άσκησε το δικαίωμα ενημέρωσης του ζητώντας από την επιχείρηση να του πει από που βρήκαν την διεύθυνση του. Από το κοσμηματοπωλείο αρνήθηκαν να του απαντήσουν. Τότε απευθύνθηκε στην Αρχή Προστασίας Προσωπικών Δεδομένων. Κάτι που ισχύει και με τον παρών Νόμο: εάν ο πολίτης δεν λάβει απάντηση από την επιχείρηση από που αντλήθηκαν τα προσωπικά του δεδομένα μπορεί να απευθυνθεί στην Αρχή Προστασίας Προσωπικών Δεδομένων. Όταν η Αρχή έκανε έλεγχο στο κοσμηματοπωλείο, έλαβε την απάντηση ότι τα προσωπικά δεδομένα του πολίτη αντλήθηκαν από την βάση δεδομένων ενός τένις κλαμπ. Και επιβλήθηκε πρόστιμο στο τένις κλαμπ γιατί έδωσε τα στοιχεία της λίστας των μελών τους κάπου αλλού, χωρίς να έχει την συγκατάθεση τους και πρόστιμο 3.000 στο κοσμηματοπωλείο γιατί δεν ικανοποίησε το δικαίωμα πρόσβασης του πολίτη, δηλαδή να του πει την προέλευση των προσωπικών δεδομένων».
« Επιχειρηματίας είχε στραμμένη την κάμερα βιντεο-επιτήρησης όχι μόνο προς την επιχείρηση του αλλά και προς το δρόμο ή προς εισόδους πολυκατοικιών ελέγχοντας την διέλευση πολιτών. Επίσης ιδιοκτήτης διαμερίσματος είχε στραμμένη την κάμερα βιντεο-επιτήρησης προς όλο το διάδρομο και στην είσοδο ιατρείου άρα έβλεπε ποιοι ασθενείς έμπαιναν μέσα στο ιατρείο. Αυτό όμως συνιστά προσβολή της ιδιωτικότητας των δεδομένων υγείας, του ιατρικού απόρρητου, της προσωπικότητας του κτλ και έτσι πολίτες απευθύνθηκαν όχι μόνο στην Αρχή Προστασίας Προσωπικών Δεδομένων αλλά και κατευθείαν στις Δικαστικές αρχές».