Τι άλλαξε στην καθημερινότητα των πολιτών από την Παρασκευή; Έπειτα από μία βδομάδα «βομβαρδισμού» του inbox τους στο ηλεκτρονικό ταχυδρομείο, οι άνθρωποι αισθάνονται πως πλέον ο έλεγχος των προσωπικών τους δεδομένων πέρασε στα χέρια τους;
Η μεγαλύτερη αλλαγή επήλθε για τους απλούς χρήστες του διαδικτύου ή για τις επιχειρήσεις και τους μεγάλους οργανισμούς; Κι αν κάποιοι δεν πρόλαβαν να συμμορφωθούν; Ο GDPR (General Data Protection Regulation)- «Γενικός Κανονισμός για την Προστασία Δεδομένων» έχει επισήμως τεθεί σε ισχύ, αντικαθιστώντας την Παρασκευή 25 Μαΐου την προηγούμενη νομοθεσία, την «Οδηγία 95/46/ΕΚ». Όμως, τι έχει αλλάξει πραγματικά και τι μένει να φανεί στη συνέχεια;
Η καθηγήτρια Δικαίου Πληροφορικής, στο Τμήμα Εφαρμοσμένης Πληροφορικής του Πανεπιστημίου Μακεδονίας Ευγενία Αλεξανδροπούλου – Αιγυπτιάδου, διευθύντρια του Μεταπτυχιακού Προγράμματος «Δίκαιο και Πληροφορική» του Πανεπιστημίου Μακεδονίας και της Νομικής Σχολής του Δημοκριτείου Πανεπιστημίου Θράκης, μιλά στο Αθηναϊκό – Μακεδονικό Πρακτορείο Ειδήσεων για τις καινοτομίες που εισήγαγε ο νέος κανονισμός στην προστασία προσωπικών δεδομένων και εξηγεί ποια είναι τα βήματα που πρέπει να ακολουθήσουν οι επιχειρήσεις, προκειμένου να εναρμονιστούν πλήρως με τις επιταγές του.
Το κενό που ήλθε να καλύψει ο GDPR αφορά στην αναγνώριση των προσωπικών δεδομένων ή στο να μπουν όρια στην δυνατότητα επεξεργασίας και χρήσης τους;
Προσωπικά δεδομένα είναι οποιαδήποτε πληροφορία αφορά συγκεκριμένο φυσικό, όχι νομικό πρόσωπο. Ήδη, εδώ και περισσότερα από 20 χρόνια, και με την Ευρωπαϊκή Οδηγία 95/46 και με τον Νόμο -με τον Ν.2472/1997 ενσωματώθηκε στην ελληνική νομοθεσία η προηγούμενη Οδηγία- τα προσωπικά δεδομένα προστατεύονται. Αυτό που έκανε ο Κανονισμός είναι, χρησιμοποιώντας τις ίδιες αρχές προστασίας των προσωπικών δεδομένων της Οδηγίας 95/46/ΕΚ, να ενδυναμώσει τις υποχρεώσεις των υπεύθυνων επεξεργασίας, καθώς και τα δικαιώματα των υποκειμένων των δεδομένων, δηλ. των ατόμων, των φυσικών προσώπων , του καθενός από εμάς.
Πως ορίζεται η εδαφική εμβέλεια του GDPR;
Ο κανονισμός εφαρμόζεται στον Ευρωπαϊκό Οικονομικό Χώρο, δηλ. στην Ευρωπαϊκή Ένωση και σε Λιχτενστάιν, Νορβηγία και Ισλανδία. Μέχρι τώρα εφαρμοζόταν η Οδηγία για την προστασία των προσωπικών δεδομένων, εφόσον ο υπεύθυνος επεξεργασίας των δεδομένων, που μπορεί να είναι είτε φυσικό είτε νομικό πρόσωπο πχ μια εταιρία , είχε εγκατάσταση στην Ευρωπαϊκή Ένωση ή είχε προσέφευγε σε μέσα επεξεργασίας που βρίσκονταν στην ΕΕ. Με τον GDPR επεκτάθηκε αυτό και ακόμη και υπεύθυνοι επεξεργασίας που δεν είναι εγκατεστημένοι στην ΕΕ δεσμεύονται από τους κανόνες του GDPR, εφόσον είτε προσφέρουν αγαθά ή υπηρεσίες σε άτομα που βρίσκονται στην ΕΕ είτε παρακολουθούν τη συμπεριφορά των προσώπων αυτών π.χ στο πλαίσιο συμπεριφορικής διαφήμισης.
Οι νέες διατάξεις καλύπτουν πλέον όλους τους Οργανισμούς και εταιρείες, που πρέπει;
Φτάσαμε σχεδόν στο «όλους», όταν λέμε «όχι μόνο αυτοί που είναι εγκατεστημένοι στην Ευρωπαϊκή Ένωση αλλά και οργανισμοί οι οποίοι είναι και εκτός Ευρωπαϊκής Ένωσης, αλλά παρέχουν αγαθά ή υπηρεσίες στην Ευρωπαϊκή Ένωση εκ του μακρόθεν, εξ αποστάσεως από το διαδίκτυο ή παρακολουθούν συμπεριφορά ατόμων που είναι στην Ευρωπαϊκή Ένωση πχ για να δημιουργήσουν καταναλωτικά προφίλ , προκειμένου να στοχεύσουν την προσφορά των προϊόντων τους. Έχει διευρυνθεί πάρα πολύ το πεδίο εφαρμογής και αυτό σημαίνει ότι προστατεύεται περισσότερο το άτομο, το φυσικό πρόσωπο. Επομένως είναι μεγαλύτερη η προστασία των ατόμων με τον Κανονισμό, λόγω της διεύρυνσης της εδαφικής εμβέλειας. Είναι μία σπουδαία καινοτομία του κανονισμού.
Ποιες άλλες καινοτομίες εισήγαγε ο GDPR;
Aπό τις σημαντικότερες καινοτομίες είναι η εισαγωγή νέων δικαιωμάτων του υποκειμένου των δεδομένων (π.χ. δικαίωμα διαγραφής /δικαίωμα στη λήθη, στη φορητότητα), η προσθήκη νέων αρχών επεξεργασίας (όπως της διαφάνειας, της λογοδοσίας, της ακεραιότητας και εμπιστευτικότητας), το ενισχυμένο πλέγμα υποχρεώσεων του υπευθύνου επεξεργασίας (όπως η λογοδοσία, η γνωστοποίηση παραβιάσεων προσωπικών δεδομένων στην Εποπτική Αρχή και στο υποκείμενο, η προστασία των δεδομένων ήδη από το σχεδιασμό της επεξεργασίας και εξ ορισμού:privacy by design/privacy by default, η εκτίμηση αντικτύπου όταν η επεξεργασία ενέχει σοβαρούς κινδύνους για τα προσωπικά δεδομένα), η αύξηση των υποχρεώσεων του εκτελούντος την επεξεργασία, ο θεσμός του υπευθύνου προστασίας δεδομένων, οι ειδικές προστατευτικές ρυθμίσεις για τα προσωπικά δεδομένα των παιδιών, η ρητή δυνατότητα ανάκλησης της συγκατάθεσης του υποκειμένου, η απάλειψη της γενικής υποχρέωσης δήλωσης της επεξεργασίας στην Εποπτική Αρχή ή λήψη της σχετικής άδειας, η θέσπιση του Ευρωπαϊκού Συμβουλίου Προστασίας δεδομένων, ο μηχανισμός συνεκτικότητας, η ενθάρρυνση για θέσπιση μηχανισμών πιστοποίησης, η αυστηροποίηση των κυρώσεων, ιδίως των διοικητικών προστίμων.
Ιδιαίτερη αναφορά πρέπει να γίνει στη λογοδοσία, στη συμμόρφωση. Πλέον πρέπει αυτός ο οποίος επεξεργάζεται δεδομένα ανά πάσα στιγμή να επιδεικνύει και να αποδεικνύει συμμόρφωση με τον Κανονισμό. Το βάρος απόδειξης, ότι είναι εναρμονισμένος με τον Κανονισμό, το φέρει ο υπεύθυνος επεξεργασίας δεδομένων. Αυτός πρέπει να αποδείξει ότι εκπληρώνει τις επιταγές του Κανονισμού, όχι αυτός ο οποίος καταγγέλλει. Στην προκειμένη περίπτωση έχουμε αντιστροφή του βάρους αποδείξεως. Επίσης επιτρέψτε μου να τονίσω ότι για πρώτη φορά περιλαμβάνονται στον Κανονισμό ειδικές διατάξεις για την προστασία των ανηλίκων, ιδίως κατά τη διαδικτυακή τους περιήγηση, είναι κάτι που το υποστήριζα εδώ και πολλά χρόνια με ομιλίες και δημοσιεύσεις μου, γιατί το ευάλωτο των παιδιών και η ηλικιακή ανωριμότητά τους απαιτεί ιδιαίτερη προστασία.
Και βέβαια σημαντική καινοτομία, που κίνησε και το τεράστιο ενδιαφέρον για τη συμμόρφωση με τον GDPR είναι τα υψηλά πρόστιμα που προβλέπει -έως 20.000.000 ευρώ ή –αν είναι μεγαλύτερο- το 4% του παγκόσμιου ετήσιου τζίρου της επιχείρησης που επεξεργάζεται δεδομένα. Μέχρι σήμερα ο ελληνικός νόμος πρόβλεπε πρόστιμο μέχρι 150.000 ευρώ.
Ποια είναι τα βήματα συμμόρφωσης μιας επιχείρησης , τι πρέπει να κάνει, για να θεωρηθεί πως έχει συμμορφωθεί πλήρως;
Πρώτα είναι η ψυχραιμία. Οι Αρχές Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και άλλοι Οργανισμοί θα δώσουν τα εργαλεία της συμμόρφωσης, ήδη η ελληνική Αρχή Προστασίας δεδομένων στην ιστοσελίδα της www.dpa.gr έχει αναρτήσει χρήσιμες οδηγίες και εργαλεία.
Δεύτερον, αυτό που πρέπει να κάνει ο υπεύθυνος επεξεργασίας, που όπως είπαμε μπορεί να είναι μία επιχείρηση, είναι η ενημέρωση του προσωπικού της για τον Κανονισμό και η δημιουργία κουλτούρας προστασίας των προσωπικών δεδομένων.
Μετά είναι η καταγραφή/χαρτογράφηση, το mapping, τι κάνει αυτή τη στιγμή η επιχείρηση, τι επεξεργασίες δεδομένων κάνει αυτή τη στιγμή και αφού καταγραφεί τι κάνει -υπάρχουν εργαλεία και γι’ αυτό, υπάρχουν excel γι’ αυτό, γνωρίζουμε τι πρέπει να συμπληρωθεί- κατόπιν είναι το gap analysis, εξετάζεται δηλ. η απόκλιση ανάμεσα σε αυτό που κάνει η επιχείρηση και σε αυτό που πρέπει να κάνει σύμφωνα με τον Κανονισμό.
Πρέπει για παράδειγμα η επιχείρηση να ξαναδεί τις συμβάσεις με το προσωπικό, να ξαναδεί τις συμβάσεις με τους προμηθευτές. Υπάρχει όρος εκεί για προστασία προσωπικών δεδομένων; Αν δεν υπάρχει να συμπληρωθεί, π.χ. με μια πρόσθετη συμφωνία. Άλλωστε, νομίζω ότι δεν θα ξεκινήσει η επιβολή προστίμων αμέσως, φαίνεται εύλογο να γίνουν πρώτα κάποιες συστάσεις, να δοθούν οδηγίες κλπ, να δοθεί δηλ. βαρύτητα πρώτα στον συμβουλευτικό ρόλο της Εποπτικής Αρχής, στην κατεύθυνση της ομαλής προσαρμογής και συμμόρφωσης.
Τι είναι ο θεσμός του DPO (Data Protection Officer);
Είναι ο θεσμός του υπεύθυνου προστασίας δεδομένων. Θα πρέπει να ορίσουν DPO οι δημόσιοι οργανισμοί οπωσδήποτε και από εκεί και πέρα στον ιδιωτικό τομέα, εφόσον οι επιχειρήσεις επεξεργάζονται big data -δεδομένα μεγάλης κλίμακος- και εφόσον τα δεδομένα αυτά, είτε είναι ευαίσθητα, μεγάλα νοσοκομεία για παράδειγμα, είτε απορρέουν από συστηματική παρακολούθηση, όπως εταιρείες security, εταιρείες κινητής τηλεφωνίας κ.λπ. Τα δεδομένα μεγάλης κλίμακας είναι αυτά που καθορίζουν τον ορισμό του DPO, ο οποίος μπορεί να είναι είτε μέσα από την επιχείρηση, είτε εξωτερικός.