Του Νίκου Στελλάκη, Managing Director Baker Tilly Greece

Ποιες εταιρείες αφορά το GDPR;

To GDPR αφορά όλες τις επιχειρήσεις του δημοσίου και ιδιωτικού τομέα που με οποιονδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών ή άλλων φυσικών προσώπων.

Πιο συγκεκριμένα, ο νέος Κανονισμός αφορά υποχρεωτικά επιχειρήσεις με προσωπικό άνω των 250 ατόμων αλλά και φορείς με προσωπικό κάτω των 250 ατόμων εφόσον η επεξεργασία δεν είναι περιστασιακή, ή περιλαμβάνει ειδικές κατηγορίες δεδομένων ή αυτή ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων.

Ποιες διαδικασίες αφορά το GDPR; Σχετίζεται μόνο με την προς τα έξω επικοινωνία ή πρέπει να εφαρμοστεί και σε διαδικασίες που αφορούν στην εσωτερική επικοινωνία, εντός της εταιρείας;

Η συμμόρφωση με τον νέο κανονισμό θα επιφέρει σημαντικές αλλαγές στην οργάνωση και τον τρόπο λειτουργίας των περισσότερων τμημάτων της επιχείρησης συμπεριλαμβανομένων των τμημάτων Ανθρώπινου Δυναμικού, Μισθοδοσίας, Χρηματοοικονομικού, Μάρκετινγκ και ΙΤ.

Κάποιες από τις αλλαγές που εισάγει ο νέος Κανονισμός παρατίθενται παρακάτω:

έλεγχος ως προς την τήρηση των αρχών που διέπουν την νόμιμη επεξεργασία των δεδομένων, καθώς και αν τηρούνται τα δικαιώματα των υποκείμενων στην επεξεργασία προσώπων επιβάλλεται να είναι συνεχής και εμπεριστατωμένος. Στο πλαίσιο αυτό και για κάθε έναν από τους σκοπούς επεξεργασίας, ο GDPR προτείνει συγκεκριμένους τρόπους προστασίας των δεδομένων (πχ. κρυπτογράφηση, ψευδονυμοποίηση) και σαφή διάκριση ως προς τα πρόσωπα, που θα μπορούν να έχουν πρόσβαση σε αυτά. Στο πλαίσιο της ολιστικής προσέγγισης γύρω από το θέμα της ασφάλειας των προσωπικών δεδομένων το GDPR εισάγει την έννοια της ασφάλειας από το επίπεδο του σχεδιασμού και ένθεν. Τα συστήματα ασφαλείας και οι εφαρμογές θα πρέπει να σχεδιάζονται εξαρχής με γνώμονα την ασφάλεια των δεδομένων (Privacy by design and default).

Καταδεικνύει την ανάγκη για επένδυση σε διαδικασίες και αλλαγή νοοτροπίας των υπαλλήλων. Η ευαισθητοποίηση και εκπαίδευση του προσωπικού για την κατανόηση των αλλαγών, που εισάγονται είναι κομβικής σημασίας αφού, πέραν της ασφαλέστερης και αποδοτικότερης διαχείρισης των προσωπικών και επιχειρηματικών δεδομένων, ο νέος Νόμος παρέχει περιθώριο για την υποχρεωτική αναφορά περιστατικών παραβίασης μόλις 72 ωρών.

-Ορισμός Υπεύθυνου Προστασίας Δεδομένων, ο οποίος θα ενεργεί ως συντονιστής της προσπάθειας όλων των εμπλεκόμενων τμημάτων, θα παρακολουθεί την πορεία της συμμόρφωσης, και θα είναι ο αρμόδιος για την επικοινωνία μεταξύ Εταιρείας/Φορέα και Αρχής Προστασίας Προσωπικών Δεδομένων.

-Ορίζει τον καθορισμό Υπεύθυνου Επεξεργασίας Δεδομένων, ο οποίος και θα είναι υπεύθυνος, μεταξύ άλλων, για την επικοινωνία των περιστατικών παραβίασης στην Αρχή Προστασίας Προσωπικών Δεδομένων καθόσον επίσης και των υπαλλήλων οι οποίοι θα εκτελούν την επεξεργασία (Εκτελών) για λογαριασμό του Υπευθύνου.

-Διατήρηση αρχείου επεξεργασίας ούτως ώστε να είναι, πλέον, ανιχνεύσιμο όλο το ιστορικό της επεξεργασίας που έχουν υποστεί τα εκάστοτε δεδομένα.

-Διενέργεια Μελέτης Εκτίμησης Αντικτύπου (DPIA) για την πραγματική αξιολόγηση των κενών αλλά και των δυνατοτήτων βελτίωσης στις υπάρχουσες διαδικασίες προστασίας, που εφαρμόζει η Εταιρεία. Η Μελέτη Εκτίμησης Αντικτύπου περιλαμβάνει ενδεικτικά, ανάλυση κινδύνων για τις διαδικασίες διαχείρισης επεξεργασίας και αποθήκευσης των πληροφοριών, τις τεχνολογίες επεξεργασίας και προστασίας της ιδιωτικότητας αυτών, καθώς και του προσωπικού που τις χειρίζεται.

Αφορά μόνο συναλλαγές εντός ΕΕ; Εάν πρόκειται για συναλλαγές μεταξύ ευρωπαϊκής και τρίτης χώρας τι ισχύει;

-Η εφαρμογή του GDPR θα έχει σημαντικές επιπτώσεις στο σύνολο των εταιρειών αλλά και του δημοσίου τομέα έκαστης χώρας, όπου γίνεται επεξεργασία προσωπικών δεδομένων πολιτών της ΕΕ (είτε αυτοί βρίσκονται εντός ή εκτός της ΕΕ).

-Εάν η εταιρεία δραστηριοποιείται σε περισσότερα από ένα Κράτη-Μέλη, θα πρέπει να οριστεί το Κράτος της κύριας εγκατάστασης στην Εποπτική Αρχή του οποίου και θα αναφέρεται.

-Ο GDPR θα έχει εφαρμογή και σε επιχειρήσεις που εδρεύουν εκτός ΕΕ από τη στιγμή που αυτές θα προσφέρουν προïόντα και υπηρεσίες σε πολίτες της ΕΕ.

Εάν κάποια εταιρεία δε συμμορφωθεί ποιες είναι οι κυρώσεις που θα υποστεί;

Οι αυξημένες απαιτήσεις του νέου Κανονισμού συνοδεύονται από σημαντικά πρόστιμα σε περίπτωση μη έγκαιρης και αποτελεσματικής συμμόρφωσης, τα οποία κυμαίνονται από €10 εκατ. έως €20 εκατ. ή 2% έως 4% του συνόλου του παγκόσμιου τζίρου κάθε εταιρείας.

Ποιος είναι υπεύθυνος για τη διενέργεια των ελέγχων και ποιος επιβάλλει τα πρόστιμα;

-Αρμόδια Αρχή στην Ελλάδα για την εφαρμογή του GDPR αλλά και την επιβολή προστίμων είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

-Με την εισαγωγή του νέου Κανονισμού, ο ρόλος της Αρχής, επί της ουσίας, αλλάζει. Έτσι, από το γραφειοκρατικό μοντέλο που επικρατούσε έως τώρα, όπου ο ενδιαφερόμενος φορέας έκανε αίτηση για την χρησιμοποίηση δεδομένων και η Αρχή χορηγούσε την άδεια, περνάμε πλέον σε ένα νέο, πιο λειτουργικό μοντέλο, όπου το βάρος της ευθύνης συμμόρφωσης αλλά και απόδειξης αυτής σε περίπτωση ελέγχου, μετατοπίζεται πλέον στην Εταιρεία και στους υπαλλήλους/υπευθύνους επεξεργασίας που η ίδια έχει ορίσει.

Πότε θεωρείται ότι η εταιρεία έχει λάβει τη συναίνεση του πελάτη;

Καθόσον η νομική βάση για την επεξεργασία προσωπικών δεδομένων είναι η συναίνεση, ο υπεύθυνος επεξεργασίας θα πρέπει να μπορεί να αποδείξει ότι έχει λάβει αυτή την συγκατάθεση. Η συναίνεση του πελάτη αποδεικνύεται όταν η λήψη της έχει γίνει είτε εγγράφως, είτε ηλεκτρονικά είτε μέσω ηχογραφημένου μηνύματος. Αυτή πρέπει να είναι ελεύθερη, ρητή, ενημερωμένη και ξεκάθαρη.

Τι σημαίνει ότι πρέπει η συγκατάθεση να είναι «ελεύθερη, συγκεκριμένη, ενημερωμένη και ξεκάθαρη»;

Ο υπεύθυνος επεξεργασίας, κατ’επέκταση και ο φορέας, θα πρέπει να μπορεί να αποδεικνύει ότι η συναίνεση του Υποκείμενου της επεξεργασίας περιλαμβάνει τα παρακάτω χαρακτηριστικά: της ελευθερίας (η εκχώρηση της συγκατάθεσης να είναι οικειοθελής) να είναι ρητή (να αφορά σαφώς προσδιορισμένο σκοπό), να έχει προκύψει με σαφή ενέργεια του προσώπου, πχ. συμπλήρωση συγκεκριμένου τετραγωνιδίου από τον ίδιο, αντί για την αποδοχή προ-συμπληρωμένων επιλογών (το οποίο δεν αποδεικνύει συναίνεση), ενημερωμένη και ξεκάθαρη (το πρόσωπο θα πρέπει να ενημερωθεί ξεκάθαρα για τις λεπτομέρειες που θα περιλαμβάνει η επεξεργασία των προσωπικών του δεδομένων, η εκχώρηση της συγκατάθεσης του καθώς και για τα δικαιώματα που προβλέπει ο νέος Κανονισμός, όπως το δικαίωμα στη λήθη, και στη φορητότητα).

Πώς μπορεί ο πελάτης να ανακαλέσει τη συναίνεσή του;

Ο νέος νόμος δίνει την δυνατότητα στον κάθε πολίτη να αιτηθεί την χαρτογράφηση όλων των προσωπικών δεδομένων, που κατέχει η Εταιρεία ή ο Οργανισμός για αυτόν. Κατόπιν αυτού, ο πολίτης μπορεί να ζητήσει τη διόρθωση τους ή να ανακαλέσει τη συναίνεση του ανά πάσα στιγμή (δικαίωμα στη λήθη) όπως επίσης και να ζητήσει τη μεταφορά των δεδομένων που τον αφορούν σε άλλο φορέα (δικαίωμα στη φορητότητα). Το πλέον απαιτητικό σημείο του νέου Νόμου για την Εταιρεία, όσον αφορά την ανάκληση της συναίνεσης του πελάτη, είναι η δημιουργία των δομών και διαδικασιών οι οποίες θα επιτρέπουν αυτήν την ανάθεση και ανάκληση (opt-in και opt-out) με τον πλέον απλό και εύχρηστο τρόπο.

Ποιος είναι αρμόδιος για την ενημέρωση του κοινού/πελάτη/καταναλωτή ως προς το νέο κανονισμό;

Κάθε επιχείρηση, πέραν της εναρμόνισης της με τον νέο Κανονισμό, πρέπει να ξεκινήσει μια ευρεία προσπάθεια ενημέρωσης των πελατών της για τις αλλαγές που φέρνει το GDPR, ζητώντας τους εκ νέου τη συγκατάθεσή τους, αναφέροντας δε εκτενώς και τα διευρυμένα δικαιώματα που αποκτούν με την εφαρμογή του από 25/5/17.

για περισσότερες πληροφορίες info@bakertilly.gr