6 πράγματα που πρέπει να γνωρίζετε για τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (GDPR) πριν να είναι αργά !

6 πράγματα που πρέπει να γνωρίζετε για τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (GDPR) πριν να είναι αργά !

Τι πρέπει σίγουρα να γνωρίζετε για το αντίκτυπο του GDPR στην επιχείρηση σας ? Ποια θεωρούνται προσωπικά δεδομένα, πότε είναι η προθεσμία συμμόρφωσης και ποια είναι τα πρόστιμα και οι κυρώσεις ?

1. Πόσο εκτεθειμένα είναι πραγματικά τα προσωπικά μας δεδομένα ?

Ουσιαστικά ότι κάνουμε σήμερα είναι άρρηκτα συνδεδεμένο με προσωπικά δεδομένα : χρήση των social media, ηλεκτρονικές αγορές, άνοιγμα τραπεζικού λογαριασμού, επικοινωνία μέσω Skype, συμπλήρωση έντυπων σε ιστοτόπους προκειμένου να λαμβάνετε προωθήσεις (newsletters), επισκέψεις σε γιατρούς, εγγραφές σε ενημερωτικά δελτία, αλληλεπίδραση με τις κυβερνήσεις ….. ο κατάλογος είναι ατελείωτος.

Οι εταιρείες έχουν πολλά δεδομένα για εμάς τα οποία επεξεργάζονται, αποθηκεύουν, συλλέγουν, αναλύουν και ανταλλάσσουν. Παρόλο που λίγες εταιρείες διαθέτουν όλα τα προσωπικά μας δεδομένα, η συγκέντρωση των προσωπικών δεδομένων μας μπορεί να οδηγήσει σε πολύ βαθιά γνώση της προσωπικής μας ζωής, αυξάνοντας ανησυχητικά το ενδεχόμενο κατάχρησης, δεδομένου ότι αυτά χρησιμοποιούνται συχνά με τρόπους για τους οποίους δεν έχουμε ρητά συμφωνήσει.

Στην ηλεκτρονική διαφήμιση και τα μέσα κοινωνικής δικτύωσης, για παράδειγμα, πολλά προσωπικά δεδομένα χρησιμοποιούνται για την παρακολούθηση και στόχευση κοινού για διαφημιστικούς λόγους.

2. Τι είναι ο GDPR ;

Ο GDPR προσφέρει το ρυθμιστικό πλαίσιο που προσαρμόζεται στην πραγματικότητα του σημερινού ψηφιακού κόσμου, ενώ ταυτόχρονα θέτει τον ιδιώτη πολίτη της ΕΕ στην κορυφή της διαχείρισης των προσωπικών του δεδομένων.

Ο κανονισμός GDPR ή Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) είναι ένα σύνολο κανόνων που αποσκοπούν στην καλύτερη προστασία των πολιτών της ΕΕ όσον αφορά τα προσωπικά τους δεδομένα και έρχεται να αντικαταστήσει την οδηγία 95/46 / ΕΚ. για την προστασία των δεδομένων που υπήρχε ήδη από το 1995. Η ειδοποιός διαφορά ανάμεσα τους είναι ότι η οδηγία για την προστασία των δεδομένων ήταν μια οδηγία, ενώ ο ΓΚΠΔ είναι ένας κανονισμός και σαν κανονισμός είναι δεσμευτικός για όλους αφήνοντας πολύ λίγα περιθώρια για εθνική ερμηνεία και μόνο σε τομείς όπου η ρύθμιση το επιτρέπει.

Στις αρχές του 2012, η Ευρωπαϊκή Επιτροπή δήλωσε ότι η ΕΕ έπρεπε να είναι περισσότερο σε αρμονία με την ψηφιακή εποχή, ενώ στις 15 Δεκεμβρίου 2015, το Ευρωπαϊκό Κοινοβούλιο, το Ευρωπαϊκό Συμβούλιο και η Ευρωπαϊκή Επιτροπή κατέληξαν σε συμφωνία σχετικά με τους νέους κανόνες προστασίας δεδομένων.

Ο GDPR έχει σχεδιαστεί για μια ενιαία ψηφιακή αγορά στην οποία οι οργανισμοί που επεξεργάζονται προσωπικά δεδομένα των πολιτών της ΕΕ γνωρίζουν τι μπορούν να κάνουν και τι δεν μπορούν να κάνουν με αυτά τα δεδομένα και τίθεται σε ισχύ στις 25 Μαΐου 2018.

3. Τι οφείλουν να κάνουν τα κράτη/μέλη της ΕΕ ?

Ενώ ο νέος κανονισμός προβλέπει ενιαίο σύνολο κανόνων που εφαρμόζονται άμεσα σε όλα τα κράτη μέλη, θα απαιτηθούν σημαντικές προσαρμογές για ορισμένες πτυχές, όπως η τροποποίηση της ισχύουσας νομοθεσίας από τις κυβερνήσεις των κρατών μελών της ΕΕ ή τη σύσταση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων από τις αρχές προστασίας δεδομένων.

Τέσσερις μήνες από την εκπνοή της προθεσμίας, η Γερμανία και η Αυστρία είναι τα μόνα κράτη που έχουν ολοκληρώσει το νομοθετικό έργο. Η Ευρωπαϊκή Επιτροπή “κάλεσε τις κυβερνήσεις των κρατών μελών της ΕΕ και τις αρχές προστασίας δεδομένων να είναι έτοιμες για να παράσχουν στήριξη”.

Ενώ πρόσθεσε ότι “οι προετοιμασίες προχωρούν με διαφορετικές ταχύτητες από το ένα κράτος μέλος στο άλλο. Τα κράτη μέλη πρέπει να επιταχύνουν την έγκριση της εθνικής νομοθεσίας και να διασφαλίσουν ότι τα μέτρα που λαμβάνονται είναι σύμφωνα με τον κανονισμό. Θα πρέπει επίσης να διασφαλίζουν ότι οι εθνικές αρχές τους διαθέτουν τους αναγκαίους οικονομικούς και ανθρώπινους πόρους για να εξασφαλίσουν την ανεξαρτησία και την αποτελεσματικότητά τους”

4. Οι σημαντικότερες αλλαγές του νέου Κανονισμού

Τα κύρια στοιχεία των νέων κανόνων για την προστασία των δεδομένων είναι τα παρακάτω :

– Ένα μοναδικό σύνολο κανόνων για ολόκληρη την ήπειρο : διασφαλίζοντας την ασφάλεια δικαίου για τις επιχειρήσεις και το ίδιο επίπεδο προστασίας των δεδομένων για όλους τους πολίτες της ΕΕ.

– Εξωεδαφικό πεδίο εφαρμογής : Οι ίδιοι κανόνες ισχύουν για όλες τις εταιρείες που προσφέρουν τις υπηρεσίες τους στην ΕΕ, ακόμη και όταν οι εταιρείες αυτές είναι εγκατεστημένες εκτός της ΕΕ.

– Ισχύ για όλες τις επιχειρήσεις : Η εφαρμογή του κανονισμού για την προστασία των δεδομένων δεν εξαρτάται από το μέγεθος της εταιρείας ή του οργανισμού σας αλλά από τη φύση των δραστηριοτήτων της. Ωστόσο, μερικές από τις υποχρεώσεις του ΓΚΠΔ μπορεί να μην εφαρμόζονται σε όλες τις ΜΜΕ όπως για παράδειγμα η ανάγκη ορισμού ενός υπευθύνου προστασίας δεδομένων.

– Νέα και ισχυρότερα δικαιώματα για τους πολίτες: ενισχύονται το δικαίωμα ενημέρωσης, το δικαίωμα πρόσβασης και το δικαίωμα να λησμονούνται. – Ένα νέο δικαίωμα στη φορητότητα δεδομένων επιτρέπει στους πολίτες να μεταφέρουν τα δεδομένα τους από μια εταιρεία σε μια άλλη, δημιουργώντας νέες επιχειρηματικές ευκαιρίες.

– Υποχρέωση κοινοποίησης παραβίασης : Μια επιχείρηση που παραβιάζει δεδομένα, ή θέτει σε κίνδυνο το υποκείμενο των δεδομένων, πρέπει να ενημερώσει την αρχή προστασίας δεδομένων εντός 72 ωρών.

– Υψηλότερα πρόστιμα και σημαντικότερες οικονομικές κυρώσεις σε περίπτωση σοβαρής παραβίασης ενός οργανισμού και σαφούς μη συμμόρφωσης.

5. Πρόστιμα και Κυρώσεις

Η ΑΠΔ πρέπει να διασφαλίζει ότι τα πρόστιμα που επιβάλλονται σε κάθε ατομική περίπτωση είναι αποτελεσματικά, αναλογικά και αποτρεπτικά. Στο πλαίσιο αυτό, λαμβάνει υπόψη διάφορους παράγοντες, π.χ. τη φύση, τη σοβαρότητα και τη διάρκεια της παράβασης, το αν η παράβαση ήταν εσκεμμένη ή προήλθε από αμέλεια, τυχόν μέτρα που έχουν ληφθεί για τον μετριασμό της ζημίας που υπέστησαν φυσικά πρόσωπα, τον βαθμό συνεργασίας του οργανισμού κ.λ.π.

Ο GDPR ορίζει πρόστιμα μέχρι 4% του ετήσιου συνολικού κύκλου εργασιών ενός οργανισμού ή μέχρι 20 εκατομμύρια ευρώ, με την πρόσθετη προϋπόθεση ότι το υψηλότερο από τα δύο επιλέγεται (άρθρο 83 του κεφαλαίου 8). Αυτό δεν σημαίνει ότι σε περίπτωση μη συμμόρφωσης ή / και παραβιάσεων των προσωπικών δεδομένων, οι οργανισμοί θα πρέπει να πληρώσουν αυτά τα υπέρογκα ποσά. Εκτός από τα μέγιστα πρόστιμα, ο GDPR προβλέπει επίσης χαμηλότερα πρόστιμα (10 εκατομμύρια ευρώ ή δύο τοις εκατό του κύκλου εργασιών) για αρκετές άλλες περιστάσεις στις οποίες οι οργανισμοί δεν συμμορφώνονται.

Παράδειγμα

Μια εταιρεία πουλάει είδη σπιτιού στο διαδίκτυο. Μέσω του ιστοτόπου της οι καταναλωτές μπορούν να αγοράζουν ηλεκτρικές συσκευές κουζίνας, τραπέζια, καρέκλες και άλλα είδη σπιτιού εισάγοντας τα στοιχεία του τραπεζικού τους λογαριασμού. Ο ιστότοπος δέχτηκε κυβερνοεπίθεση που είχε ως αποτέλεσμα να αποκτηθεί πρόσβαση στα προσωπικά στοιχεία από τον υπεύθυνο της επίθεσης. Σε αυτήν την περίπτωση, η μη λήψη κατάλληλων τεχνικών μέτρων από την εταιρεία φαίνεται να είναι η αιτία της απώλειας των δεδομένων.

Σε αυτή την περίπτωση, η εποπτική αρχή θα πρέπει να λάβει υπόψη διάφορους παράγοντες πριν τη λήψη απόφασης σχετικά με το ποιο διορθωτικό εργαλείο πρέπει να χρησιμοποιηθεί. Τέτοιοι παράγοντες είναι οι εξής: Πόσο σοβαρή ήταν η ανεπάρκεια στο σύστημα ΤΠ; Πόσο καιρό οι υποδομές ΤΠ ήταν εκτεθειμένες σε έναν τέτοιο κίνδυνο; Έγιναν στο παρελθόν δοκιμές για την πρόληψη μιας τέτοιας επίθεσης; Τα δεδομένα πόσων πελατών κλάπηκαν/κοινολογήθηκαν; Τι είδους ήταν τα δεδομένα προσωπικού χαρακτήρα που επηρεάστηκαν και συμπεριλαμβάνονταν σε αυτά ευαίσθητα δεδομένα; Όλοι αυτοί και άλλοι παράγοντες θα ληφθούν υπόψη από την εποπτική αρχή.

Παραπομπές

• Άρθρα 58, 60, 83 και 84 και αιτιολογικές σκέψεις 129, 148, 150 και 151 του ΓΚΠΔ
• Κατευθυντήριες οδηγίες της ομάδας εργασίας του άρθρου 29 για την εφαρμογή και τον ορισμό διοικητικών προστίμων για τους σκοπούς του κανονισμού (ΕΕ) 2016/679, 3 Οκτωβρίου 2017

6. Νέο εργαλείο ενημέρωσης στο διαδίκτυο

Όσο για τις εταιρείες, φαίνεται να καθυστερούν. Η Ευρωπαϊκή Επιτροπή ανησυχεί για αυτό και εκδίδει νέες κατευθύνσεις, με σκοπό να επιταχύνει τα πράγματα.

Στις 24 Ιανουαρίου, η Επιτροπή δημοσίευσε κατευθυντήριες γραμμές με στόχο τη διευκόλυνση της εφαρμογής των νέων κανόνων προστασίας δεδομένων σε όλη την ΕΕ από τις 25 Μαΐου.

Η Επιτροπή σημειώνει ότι η γνώση των ευκαιριών και των ωφελειών των νέων κανόνων δεν αντιμετωπίζεται ισότιμα και ότι, ειδικότερα, είναι απαραίτητο να αυξηθεί η ευαισθητοποίηση και να υποστηριχθούν οι προσπάθειες συμμόρφωσης των Μικρομεσαίων Επιχειρήσεων.

Για τον λόγο αυτό η Επιτροπή έβαλε σε εφαρμογή ένα νέο πρακτικό ηλεκτρονικό εργαλείο για να βοηθήσει τους πολίτες, τις επιχειρήσεις, και ειδικά τις ΜΜΕ και τους οργανισμούς, να συμμορφωθούν και να επωφεληθούν από τους νέους κανόνες προστασίας δεδομένων.

Επίλογος

Σε έναν ψηφιακό κόσμο, όπου η διαχείριση όλο και μεγαλύτερου όγκου προσωπικής πληροφορίας είναι μονόδρομος, καλούμαστε, σαν πολίτες να ενημερωθούμε για τα δικαιώματα μας και σαν επιχειρήσεις να ευθυγραμμιστούμε με την νομοθεσία ώστε να μην συμβάλουμε άθελα μας στην κακόβουλη χρήση αυτών των πληροφοριών. Η νέα εποχή μας ωθεί να αντιμετωπίσουμε διαφορετικά την ευθύνη που έχουμε απέναντι στους πελάτες μας και να μπούμε σε μια διαδικασία αναθεώρησης του τρόπου που η επιχείρηση μας διαχειρίζεται την πληροφορία, αλλά και επιλέγει εξωτερικούς συνεργάτες που εμπλέκονται σε αυτήν την διαδικασία.