Προσωπικά δεδομένα - Αλλάζουν τα πάντα, για πάντα

Η Μαρία Σαρηγιαννίδου, δικηγόρος, μέλος του Δικηγορικού Συλλόγου Θεσσαλονίκης και κάτοχος LL.M. στον τομέα του Ευρωπαϊκού Οικονομικού Δικαίου και ΜΔΕ στον τομέα του Ιατρικού Δικαίου και Βιοηθικής, ειδικεύεται στο ζήτημα των Προσωπικών Δεδομένων. Της ζητήσαμε να μας διαφωτίσει για την νέα κατάσταση μέσα από μερικές ερωτήσεις:

Σε ποιους απευθύνεται και ποιους αφορά ο κανονισμός για την προστασία των προσωπικών δεδομένων;

Ο κανονισμός αφορά οποιονδήποτε οργανισμό, επαγγελματία ή επιχείρηση επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για μη προσωπική χρήση, τόσο στον ιδιωτικό όσο και στο Δημόσιο τομέα, οι οποίοι καλούνται «υπεύθυνοι επεξεργασίας». Οι τελευταίοι οφείλουν να συμμορφώνονται με τις απαιτήσεις του Κανονισμού, ανεξάρτητα από το μέγεθος τους, κάτι που συνεπάγεται ότιο Κανονισμός απευθύνεται ακόμα και σε ατομικές ή μικρές επιχειρήσεις που στο πλαίσιο της δραστηριότητας τους συλλέγουν, καταγράφουν, αποθηκεύουν κ.ο.κ. προσωπικά δεδομένα. Το ίδιο ισχύει και για οργανισμούς και επιχειρήσεις, οι οποίοι επεξεργάζονται προσωπικά δεδομένα για λογαριασμό του υπεύθυνου επεξεργασίας και καλούνται «εκτελούντες την επεξεργασία».

Αξίζει να σημειωθεί ότι οι αυξημένες υποχρεώσεις των υπευθύνων επεξεργασίας και τα αυστηρά πρόστιμα που προβλέπονται από τον Κανονισμό στοχεύουν στην ενίσχυση της προστασίας των δεδομένων προσωπικού χαρακτήρα, που αποτελεί θεμελιώδες δικαίωμα του ατόμου, καθώς και στη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ, με τα φυσικά πρόσωπα να μπαίνουν στο κύριο κάδρο του Κανονισμού.

Με δυο λόγια τι είναι αυτό που αλλάζει όσον αφορά τα προσωπικά δεδομένα, σε πρακτικό επίπεδο;

Ο Κανονισμός προβλέπει πλέον αυστηρότατα διοικητικά πρόστιμα σε περίπτωση παραβάσεων, για την αποφυγή των οποίων οι υπεύθυνοι επεξεργασίας πρέπει να διασφαλίζουν ότι η δραστηριότητα τους είναι σύμφωνη με τις απαιτήσεις του Κανονισμού, κάτι που πρέπει να είναι σε θέση ανά πάσα στιγμή να αποδείξουν σύμφωνα με την αρχή της λογοδοσίας. Παράλληλα, εισάγονται νέες υποχρεώσεις, όπως η υποχρέωση γνωστοποίησης μίας παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εντός 72 ωρών, ο ορισμός Υπευθύνου Προστασίας Δεδομένων (DPO) σε ορισμένες κατηγορίες υπευθύνων επεξεργασίας και η λήψη κατάλληλων οργανωτικών και τεχνικών μέτρων για την προστασία των δεδομένων ήδη από τον σχεδιασμό (privacy by design), αλλά και εξ ορισμού (privacy by default).

Ακόμη, ενισχύεται η προστασία των πολιτών και διευρύνονται τα δικαιώματά τους, καθώς οι πολίτες μπορούν να έχουν πρόσβαση στα προσωπικά δεδομένα τους, να ζητούν τη διαγραφή τους (δικαίωμα στη λήθη) ή να ζητούν από τον υπεύθυνο επεξεργασίας να διαβιβάζει τα δεδομένα τους σε άλλον υπεύθυνο επεξεργασίας (δικαίωμα στην φορητότητα δεδομένων).

Τέλος, το ενιαίο ρυθμιστικό πλαίσιο εντός της ΕΕ, χάρη στην άμεση εφαρμογή του Κανονισμού σε όλα τα κράτη μέλη, διευκολύνει τις επιχειρήσεις που δραστηριοποιούνται σε περισσότερες χώρες της ΕΕ.

Ποιοι είναι το πιο απλό και συνηθισμένο παράδειγμα παραβίασης προσωπικών δεδομένων που μπορεί να προκληθεί;

Παραβίαση προσωπικών δεδομένων υφίσταται οποτεδήποτε βάλλεται η εμπιστευτικότητα ή ακεραιότητα των προσωπικών δεδομένων που τηρεί ο υπεύθυνος επεξεργασίας. Έτσι συνηθισμένα παραδείγματα παραβίασης μπορεί είναι η πρόσβαση τρίτων σε δεδομένα που δεν φυλάσσονται επαρκώς, πχ. ένας λογιστής αφήνει εκτεθειμένη τη βεβαίωση αποδοχών του πελάτη του και κάποιος άλλος πελάτης την φωτογραφίζει, ή η πρόσβαση μη εξουσιοδοτημένου υπαλλήλου σε ευαίσθητα ή μη προσωπικά δεδομένα συναδέλφων του και η αλλοίωση αυτών. Ακόμη η κλοπή του laptop που περιέχει προσωπικά δεδομένα πελατών ή η αποστολή αρχείων που περιέχουν προσωπικά δεδομένα σε λάθος παραλήπτη, συνιστούν επίσης παραβιάσεις προσωπικών δεδομένων.

Πόσο σημαντικό είναι για τον κόσμο του διαδικτύου να υπάρχει σωστή ενημέρωση για την ισχύουσα κατάσταση στα προσωπικά δεδομένα;

Σκεφτείτε μόνο τον όγκο των προσωπικών δεδομένων που διακινούνται στο διαδίκτυο μέσω των cookies, μέσω της εγγραφής μας σε newsletter ή της αγοράς από ηλεκτρονικά καταστήματα. Όλο και περισσότεροι έχουν πρόσβαση στο e-mail μας, στην διεύθυνση ip, σε στοιχεία πιστωτικής κάρτας ή τη διεύθυνση αλληλογραφίας μας. Θα πρέπει, λοιπόν, από τη μία ο πολίτης να γνωρίζει τα δικαιώματα του και να ασκεί αυτά όποτε το κρίνει απαραίτητο (πχ. να ζητήσει την διαγραφή των δεδομένων του από μία ιστοσελίδα στην οποία είναι ανενεργός) και από την άλλη οι υπεύθυνοι επεξεργασίας που δραστηριοποιούνται μέσω του διαδικτύου να παρέχουν ένα ασφαλές περιβάλλον επεξεργασίας των προσωπικών δεδομένων του χρήστη προκειμένου να ενισχύεται η εμπιστοσύνη του προς αυτούς. Όλα αυτά θα γίνουν μόνο μέσω σωστής και συστηματικής ενημέρωσης.

Ποια είναι τα βήματα που θα πρέπει να ακολουθήσει μία εταιρία για την ασφάλεια της, όσον αφορά την προστασία των προσωπικών δεδομένων, με τον νέο κανονισμό;

Κατ’ αρχήν θα πρέπει να ενημερωθεί για τις υποχρεώσεις της και για το αν υποχρεούται ή όχι να απασχολεί υπεύθυνο προστασίας δεδομένων (dpo) και να ενημερώσει το προσωπικό της για τον Κανονισμό. Προκειμένου η ενημέρωση να είναι πλήρης θα πρέπει να πραγματοποιηθεί μία μελέτη των δραστηριοτήτων επεξεργασίας στις οποίες προβαίνει η κάθε επιχείρηση, να γίνει δηλαδή μία «χαρτογράφηση» των δεδομένων, πώς συλλέγονται, για ποιο σκοπό, που αποθηκεύονται, ποιος έχει πρόσβαση σε αυτά κλπ. Στη συνέχεια θα πρέπει να ελέγξει αν αυτή η επεξεργασία είναι νόμιμη και αν γίνεται σύμφωνα με τις προϋποθέσεις που θέτει ο Κανονισμός και κατά περίπτωση να διορθώσει ή να επικαιροποιήσει τις διαδικασίες που ακολουθεί και να τροποποιήσει τις συμβάσεις των εργαζόμενων αλλά και με τους τρίτους. Επιπλέον, θα πρέπει να ελεγχθούν όλα τα συστήματα ασφαλείας και να αναβαθμιστούν εφόσον κριθεί απαραίτητο.

Η συμμόρφωση της δραστηριότητας μίας επιχείρησης με τον Κανονισμό είναι μία διαρκής διαδικασία και πολλές φορές διαφέρει ανάλογα με τις ανάγκες και τη λειτουργία της κάθε επιχείρησης και απαιτεί έλεγχο και επίβλεψη τόσο από νομικό όσο και από τεχνικό σύμβουλο.

Ποιοι είναι οι κίνδυνοι που μπορεί να προκύψουν για τις εταιρείες από την εφαρμογή του νέου κανονισμού; Είναι πιθανό να προκύψει κλίμα ανταγωνιστικότητας;

Κάθε άλλο παρά κίνδυνοι μπορεί να προκύψουν για τις εταιρείες από την εφαρμογή του Κανονισμού! Το κόστος της συμμόρφωσης μπορεί σε ορισμένες περιπτώσεις να είναι αυξημένο αλλά εξασφαλίζει την προστασία της εταιρείας από ενδεχόμενο έλεγχο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ή ενδεχόμενη καταγγελία. Δεδομένου, δε, ότι η εφαρμογή του Κανονισμού είναι υποχρεωτική για όλους όσοι επεξεργάζονται προσωπικά δεδομένα, θεωρώ ότι η προσαρμογή στις απαιτήσεις του μόνο κλίμα υγιούς ανταγωνισμού θα μπορούσε να δημιουργήσει στην αγορά.

Ποιες είναι οι συνέπειες σε περίπτωση παραβίασης του κανονισμού;

Όπως προανέφερα, ο Κανονισμός προβλέπει αυξημένα Διοικητικά πρόστιμα που μπορεί να αγγίξουν και τα 20.000.000 ευρώ ή το 4% του συνολικού παγκοσμίου ετήσιου κύκλου εργασιών, ενώ οι πολίτες μπορούν επίσης να επιδιώξουν και δικαστικά την αποζημίωση τους (σε χρήμα) σε περίπτωση που παραβιάστηκε το δικαίωμα προστασίας των προσωπικών δεδομένων τους. Σημαντικότερο, όμως, μπορεί να είναι το πλήγμα που θα υποστεί η φήμη της εταιρείας, ειδικά αν πρόκειται για εταιρείες, η κύρια δραστηριότητα των οποίων είναι η επεξεργασία προσωπικών δεδομένων.

Τελικά πόσο αναγκαίο είναι να κινητοποιηθούν οι επιχειρήσεις άμεσα για να συμμορφωθούν με τον νέο κανονισμό; Κάτι τέτοιο αυξάνει την εμπιστοσύνη εκ μέρους των πελατών προς την επιχείρηση;

Η συμμόρφωση των εταιρειών με τον Κανονισμό σίγουρα τις καθιστά πιο ελκυστικές στον πολίτη, καθώς αντιλαμβάνεται ότι δεν θα παραβιαστεί το δικαίωμα στην ιδιωτικότητά του. Ωστόσο, θα πρέπει να τονίσω ότι η συμμόρφωση με τον Κανονισμό είναι υποχρεωτική και δεσμευτική για όλους και οι επιχειρήσεις θα πρέπει να έχουν προετοιμαστεί κατάλληλα μέχρι να τεθεί σε ισχύ σε περίπου έναν μήνα από τώρα, την 25η Μαΐου. Όσοι, λοιπόν, δεν έχουν ενημερωθεί-κινηθεί σχετικά, καλό θα ήταν να το πράξουν άμεσα!