Στις 25 Μαϊου τα πράγματα σε ότι αφορά τη διαχείριση των προσωπικών δεδομένων από τις επιχειρήσεις αλλάζουν. Ήδη αρκετές επιχειρήσεις ενημερώνουν τους πελάτες τους με ηλεκτρονικά μηνύματα για τις αλλαγές που έρχονται ενόψει της εναρμόνισης τους με τον νέο Ευρωπαϊκό Κανονισμό για τα Προσωπικά Δεδομένα (GDPR). Ο κανονισμός είναι άμεσα εφαρμόσιμος από όλα τα κράτη-μέλη της ΕΕ και προβλέπει ένα διαφοροποιημένο και αυστηρότερο καθεστώς προστασίας των προσωπικών δικαιωμάτων, το οποίο οι επιχειρήσεις είναι υποχρεωμένες να ενσωματώσουν στην οργανωτική και λειτουργική τους δομή. Ρόλο επόπτη αναλαμβάνει το Γραφείο της Επιτρόπου Προστασίας των Δεδομένων Προσωπικού χαρακτήρα.
Γνωρίζοντας ότι ο Κανονισμός, σε περίπτωση μη συμμόρφωσης, προβλέπει εξαιρετικά δυσμενείς επιπτώσεις, αποταθήκαμε σε ειδικούς, με σκοπό να συλλέξουμε κάποιες βασικές και πολύτιμες πληροφορίες για τον Κανονισμό. Η δικηγόρος, Μαρία Ραφαήλ, συνέταιρος στην εταιρεία PRIVACY MINDERS, (email:[email protected], τηλ:24812581), η οποία παρέχει υπηρεσίες συμμόρφωσης με τον Κανονισμό, κλήθηκε να απαντήσει συνοπτικά τα πιο κάτω ερωτήματα:
Ποιοι οφείλουν να εφαρμόσουν τον Κανονισμό;
Οι οργανισμοί/επιχειρήσεις που συλλέγουν/επεξεργάζονται προσωπικά δεδομένα και είτε είναι εγκατεστημένοι στην Ευρωπαϊκή Ένωση (Ε.Ε), είτε δεν είναι εγκατεστημένοι στην Ε.Ε., αλλά προσφέρουν αγαθά ή υπηρεσίες σε φυσικά πρόσωπα στην Ε.Ε., ή παρακολουθούν την συμπεριφορά τους εντός της Ε.Ε.Ποιες είναι οι βασικές συνέπειες της μη συμμόρφωσης;
Δίδει στα θιγόμενα πρόσωπα το δικαίωμα δικαστικής προσφυγής ενώπιον των αρμόδιων δικαστηρίων, καθώς και δικαίωμα αποζημιώσης. Η Εποπτική Αρχή έχει την εξουσία να επιβάλει διοικητικά πρόστιμα, τα οποία μπορούν να φθάσουν μέχρι και τα € 20.000.000 ή το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Βλάβη στη φήμη των οργανισμών/επιχειρήσεων, η οποία προκαλείται από περιστατικά παραβίασης του Κανονισμού.
Διαφοροποιούνται τα δικαιώματα των φυσικών προσώπων σε σχέση με τα προσωπικά τους δεδομένα; Ποιες είναι οι υποχρεώσεις των επιχειρήσεων σε σχέση με αυτά τα δικαιώματα;
Ο Κανονισμός παρέχει νέα και ενισχυμένα δικαιώματα στα φυσικά πρόσωπα, τα οποία αποκτούν περισσότερο έλεγχο επί των προσωπικών τους δεδομένων. Παραδειγματικά, οι επιχειρήσεις υποχρεούνται να παρέχουν περισσότερες πληροφορίες στα φυσικά πρόσωπα κατά τον χρόνο συλλογής των προσωπικών δεδομένων, όπως πληροφόρηση σε σχέση με τον σκοπό της χρήσης των δεδομένων και το χρονικό διάστημα που θα διατηρούν τα δεδομένα. Άλλο παράδειγμα είναι το νέο δικαίωμα στη φορητότητα των δεδομένων, με βάση το οποίο τα φυσικά πρόσωπα δικαιούνται να λάβουν τα δεδομένα που έδωσαν σε μία επιχείρηση σε μορφή κοινώς χρησιμοποιούμενη και αναγνώσιμη ή να ζητήσουν από την επιχείρηση να τα διαβιβάσει απευθείας σε άλλη επιχείρηση.
Γενικότερα, οι οργανισμοί και οι επιχειρήσεις οφείλουν να δημιουργήσουν το κατάλληλο υπόβαθρο ή να αναπροσαρμόσουν το υπάρχον καθεστώς, ώστε να είναι σε θέση να ανταποκρίνονται στα αιτήματα των φυσικών προσώπων για άσκηση των δικαιωμάτων τους.
Ποια είναι, κατά τη γνώμη σας, η πιο αξιοσημείωτη αλλαγή που επιφέρει ο Κανονισμός και ποιες οι πρακτικές της συνέπειες;
Η νεοείσακτη αρχή λογοδοσίας επιβάλλει στις επιχειρήσεις να διασφαλίζουν και να αποδεικνύουν συμμόρφωση με τον Κανονισμό. Οι νέες υποχρεώσεις των επιχειρήσεων, μεταξύ άλλων, περιλαμβάνουν:
- Εφαρμογή πολιτικών και μέτρων προστασίας και ασφάλειας των προσωπικών δεδομένων με σκοπό τη συμμόρφωση με τον Κανονισμό.
- Προστασία δεδομένων από το σχεδιασμό και εξ ορισμού.
- Υποχρεωτικός διορισμός Υπεύθυνου Προστασίας Δεδομένων, όπου απαιτείται.
- Τήρηση αρχείου των δραστηριοτήτων επεξεργασίας, όπου απαιτείται.
- Διεξαγωγή εκτιμήσεων αντικτύπου σε περιπτώσεις που ενδέχεται να υπάρχει υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
- Συνεργασία με την Εποπτική Αρχή.
- Υποχρέωση γνωστοποίησης της παραβίασης προσωπικών δεδομένων στην Εποπτική Αρχή εντός 72 ωρών.
Τι θα συμβουλεύατε τις επιχειρήσεις;
Οι επιχειρήσεις οφείλουν να μην επιδείξουν απάθεια και αδιαφορία στον Κανονισμό, αλλά να αξιολογήσουν άμεσα τις οργανωτικές και λειτουργικές τους υποδομές και να τις αναπροσαρμόσουν, ώστε αυτές να καταστούν συμβατές με τον Κανονισμό. Η συμμόρφωση με τον Κανονισμό δεν συνιστά εύκολο εγχείρημα και δεν μπορεί να επιτευχθεί χωρίς αφοσίωση, αποφασιστικότητα και την υιοθέτηση συγκροτημένης και δομημένης μεθοδολογίας, η οποία θα αποκαλύψει τα όποια κενά υφίστανται και θα τα καλύψει μέσω της υιοθέτησης των κατάλληλων πολιτικών και της λήψης των απαραίτητων μέτρων. Η απόδειξη συμμόρφωσης με τον Κανονισμό θωρακεύει τις επιχειρήσεις έναντι των δυσμενών επιπτώσεων που μπορεί να επιφέρει η όποια παραβίαση του Κανονισμού, αλλά παρέχει και ανταγωνιστικά πλεονεκτήματα στις επιχειρήσεις που θα λάβουν διαβήματα συμμόρφωσης έναντι αυτών που θα επιλέξουν να παραμείνουν αδρανείς.