Του Απόστολου Βόρρα, Δικηγόρου, CIPP/E, LL.M. mult., μέλος της “Κοϊμτζόγλου – Λεβέντης Δικηγορική Εταιρεία” (Deloitte Legal)

Ποιες εταιρείες αφορά το GDPR;

Ο Γενικός Κανονισμός Προστασίας Δεδομένων («Κανονισμός») αφορά όλες τις εταιρείες που με οποιοδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών, ή άλλων φυσικών προσώπων. Ως προς τις πολύ μικρές, μικρές και μεσαίες εταιρείες, που απασχολούν λιγότερα από 250 άτομα ο Κανονισμός προβλέπει εξαίρεση μόνο από την υποχρέωση τήρησης αρχείου επεξεργασίας, εκτός αν η επεξεργασία θεωρείται ότι ενέχει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, όπως για παράδειγμα στην περίπτωση χρήσης συστήματος βιντεοεπιτήρησης ή επεξεργασίας δεδομένων υγείας.

Ποιες διαδικασίες αφορά το GDPR; Σχετίζεται μόνο με την προς τα έξω επικοινωνία ή πρέπει να εφαρμοστεί και σε διαδικασίες που αφορούν στην εσωτερική επικοινωνία, εντός της εταιρείας;

O Κανονισμός επηρεάζει το σύνολο των δραστηριοτήτων μίας επιχείρησης και επιφέρει αλλαγές στον τρόπο λειτουργίας όλων των επιμέρους τμημάτων αυτής. Κινητήριο μοχλό υπό το πρίσμα αυτό αποτελεί η αρχή της λογοδοσίας, που υποχρεώνει εφεξής τις εταιρείες να είναι σε θέση να μπορούν να αποδείξουν τη συμμόρφωσή τους με τις υποχρεώσεις του Κανονισμού. Πρακτικά, λοιπόν, οι εταιρείες, καλούνται πλέον και επίσημα να υιοθετήσουν/αναθεωρήσουν τις εσωτερικές τους πολιτικές και διαδικασίες, να επικαιροποιήσουν και να προσαρμόσουν τα πληροφοριακά τους συστήματα σε νέες προδιαγραφές, να καθιερώσουν τακτικούς ελέγχους ασφάλειας δικτύων και υποδομών, αλλά και να εκπαιδεύσουν το προσωπικό τους αναφορικά με τη σωστή διαχείριση των προσωπικών δεδομένων και των συστημάτων. Αντίστοιχα, και όσον αφορά στις σχέσεις προς τα έξω, στα πλαίσια του Κανονισμού τίθενται ξανά στο επίκεντρο και επανακαθορίζονται οι συμβατικές σχέσεις με όλα τα τρίτα μέρη, ενώ ταυτόχρονα οι εταιρείες υποχρεούνται «να ανοίξουν τα χαρτιά τους» στο βωμό της διαφάνειας και να καταστήσουν γνωστές στο ευρύ κοινό τις πρακτικές, που εφαρμόζουν για την προστασία των προσωπικών δεδομένων.

Αφορά μόνο συναλλαγές εντός ΕΕ; Εάν πρόκειται για συναλλαγές μεταξύ ευρωπαϊκής και τρίτης χώρας τι ισχύει;

Ο Κανονισμός εφαρμόζεται σε εταιρείες που είναι εγκατεστημένες σε κράτος μέλος της Ε.Ε. – ανεξαρτήτως εάν η επεξεργασία/συναλλαγή τελείται εντός ή εκτός Ε.Ε. – καθώς και υπό προϋποθέσεις σε εταιρείες με έδρα σε τρίτη χώρα εφόσον επεξεργάζονται προσωπικά δεδομένα φυσικών προσώπων, που βρίσκονται σε κράτος μέλος της Ε.Ε. Σε κάθε περίπτωση πρέπει να διευκρινισθεί ότι η διαβίβαση των προσωπικών δεδομένων για συναλλαγές που πραγματοποιούνται εντός Ε.Ε είναι ελεύθερη, ενώ η διαβίβαση σε χώρες εκτός Ε.Ε, υπόκεινται σε αυστηρές προϋποθέσεις, ώστε να διασφαλίζεται επαρκές επίπεδο προστασίας των προσωπικών δεδομένων.

Εάν κάποια εταιρεία δε συμμορφωθεί ποιες είναι οι κυρώσεις,. που θα υποστεί;

Η μη συμμόρφωση με τις υποχρεώσεις που προβλέπονται στον Κανονισμό και αναλόγως της φύσης της παράβασης, μπορεί να οδηγήσει σε (διοικητικά) πρόστιμα που ανέρχονται έως το 4% του ετήσιου συνολικού κύκλου εργασιών ή σε 20 εκατομμύρια ευρώ (όποιο είναι μεγαλύτερο). Είναι σημαντικό να σημειωθεί ότι οι ως άνω κυρώσεις ισχύουν τόσο για τους υπεύθυνους επεξεργασίας όσο και για τους εκτελούντες την επεξεργασία. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μπορεί ακόμη να επιβάλλει πρόσθετα διορθωτικά μέτρα, όπως διαταγή για διακοπή της επεξεργασίας των δεδομένων, προειδοποιήσεις, επιπλήξεις και περιορισμούς.

Ποιος είναι υπεύθυνος για τη διενέργεια των ελέγχων και ποιος επιβάλλει τα πρόστιμα;

Αρμόδια εποπτική Αρχή για τη διενέργεια ελέγχων και επιβολή κυρώσεων είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία ιδρύθηκε με το προηγούμενο νομοθετικό καθεστώς (Ν.2472/1997).

Πότε θεωρείται ότι η εταιρεία έχει λάβει τη συγκατάθεση του πελάτη;

Η συγκατάθεση για να είναι έγκυρη προϋποθέτει θετική ενέργεια από το υποκείμενο ώστε να καθίσταται σαφές και αδιαμφισβήτητο ότι έχει δοθεί (π.χ. μέσω γραπτής δήλωσης, ενεργοποίησης πεδίου κ.ά.). Παλιότερες πρακτικές, επί τη βάσει προσυμπληρωμένων (preticked) πεδίων ή η υπονοούμενη συγκατάθεση (δηλαδή «εφόσον κάνετε χρήση της υπηρεσίας, τεκμαίρεται ότι αποδέχεστε και τους όρους αυτής») πλέον δεν θεωρούνται έγκυρες.

Τι σημαίνει ότι πρέπει η συγκατάθεση να είναι «ελεύθερη, συγκεκριμένη, ενημερωμένη και ξεκάθαρη»;

Το Συμβούλιο Προστασίας Δεδομένων (πρώην Ομάδα Εργασίας του Άρθρου 29) έχει εκδώσει Κατευθυντήριες Οδηγίες για την ορθή εφαρμογή των διατάξεων για τη συγκατάθεση, οι οποίες επεξηγούν τις προϋποθέσεις για «ελεύθερη, συγκεκριμένη, ενημερωμένη και ξεκάθαρη» συγκατάθεση. Συνοπτικά, ως ελεύθερη νοείται η συγκατάθεση που συνιστά αληθινή επιλογή των υποκειμένων δεδομένων, απαγορεύοντας οποιεσδήποτε πρακτικές εξαναγκασμού ή δυσμενείς συνέπειες σε περίπτωση άρνησης συγκατάθεσης. Επιπλέον, η συγκατάθεση πρέπει να είναι ειδική, υπό την έννοια ότι κάθε συγκατάθεση αφορά ένα συγκεκριμένο σκοπό (π.χ. η συγκατάθεση για πραγματοποίηση προωθητικών ενεργειών από την εταιρεία και η διαβίβαση προσωπικών δεδομένων σε τρίτες εταιρείες για την πραγματοποίηση προωθητικών ενεργειών από μέρους τους συνιστούν δύο διαφορετικούς σκοπούς, για τους οποίους μία συγκατάθεση δεν αρκεί.). Περαιτέρω, τα υποκείμενα των δεδομένων πριν δώσουν την συγκατάθεση τους, θα πρέπει να έχουν λάβει όσες πληροφορίες απαιτεί ο Κανονισμός ώστε να μπορεί να αποδειχθεί η επαρκής ενημέρωση τους.

Πώς μπορεί ο πελάτης να ανακαλέσει τη συναίνεσή του;

Η ανάκληση της συγκατάθεσης κατέχει σημαντική θέση στον Κανονισμό. Οι εταιρείες υποχρεούνται να δίδουν αυτή τη δυνατότητα σε οποιονδήποτε έχει παράσχει τη συγκατάθεσή του και επιθυμεί να την ανακαλέσει, χωρίς κόστος και ανά πάσα στιγμή. Η ενημέρωση για τη δυνατότητα ανάκλησης πρέπει να παρέχεται πριν από την παροχή της συγκατάθεσης. Η ανάκληση της συγκατάθεσης, ισχύει μόνο για το μέλλον και δεν καθιστά παράνομη την επεξεργασία, που έχει πραγματοποιήσει η εταιρεία μέχρι το σημείο της ανάκλησης. Επιπροσθέτως, η ανάκληση της συγκατάθεσης θα πρέπει να είναι εξίσου εύκολη με την παροχή της (π.χ. αν το υποκείμενο είχε παράσχει την συγκατάθεση του μέσω συγκεκριμένου website ή μέσω email, τότε πρέπει να δίνεται στο υποκείμενο η δυνατότητα να ανακαλεί τη συγκατάθεσή του με τον ίδιο τρόπο).

Ποιος είναι αρμόδιος για την ενημέρωση του κοινού/πελάτη/καταναλωτή ως προς το νέο κανονισμό;

Η ενημέρωση αποτελεί αναπόσπαστο τμήμα της υποχρέωσης διαφάνειας, ενός εκ των σημαντικότερων πυλώνων του Κανονισμού. Αρμόδιος για την ενημέρωση του κοινού/πελάτη/καταναλωτή είναι ο Υπεύθυνος Επεξεργασίας, δηλαδή η εταιρεία, η οποία καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των προσωπικών δεδομένων. Η υποχρέωση ενημέρωσης υπήρχε ήδη υπό το προηγούμενο καθεστώς του Ν. 2472/1997, συνεπώς δε συνιστά νέα υποχρέωση του Κανονισμού. Αυτό που συνιστά πράγματι καινοτομία, είναι η υποχρέωση παροχής περισσότερων πληροφοριών στο κοινό, στο πλαίσιο της ενημέρωσης (π.χ. περίοδος διατήρησης, κατάρτιση προφίλ με αυτοματοποιημένα μέσα).

για περισσότερες πληροφορίες avorras@deloitte.gr