Των δρ. Γεωργίου Αθανασίου ICT Research & Innovation Manager Diadikasia Business Consulting και Γεωργίας Χατζηθεοδώρου νομικής συμβούλου Diadikasia Business Consulting

Ποιες εταιρείες αφορά ο GDPR;

Ο Κανονισμός αφορά όλες τις εταιρείες και όλους τους δημόσιους φορείς και οργανισμούς που επεξεργάζονται τα προσωπικά δεδομένων Ευρωπαίων πολιτών. Περαιτέρω, αφορά (και) οργανισμούς που έχουν την έδρα τους εκτός της Ευρωπαϊκής Ένωσης, όταν οι οργανισμοί αυτοί παρέχουν αγαθά ή υπηρεσίες σε πολίτες της Ευρωπαϊκής Ένωσης.

Ποιες διαδικασίες αφορά ο GDPR; Σχετίζεται μόνο με την προς τα έξω επικοινωνία ή πρέπει να εφαρμοστεί και σε διαδικασίες που αφορούν στην εσωτερική επικοινωνία, εντός της εταιρείας;

O Κανονισμός ενδέχεται, πράγματι, να επηρεάσει και τον τρόπο διαχείρισης της εσωτερικής επικοινωνίας εντός μιας εταιρείας ή ενός δημόσιου οργανισμού. Η καταγραφή, η αποθήκευση ή η χρήση των πληροφοριών επαφής των εργαζομένων (που περιλαμβάνει λ.χ. τις προσωπικές ή επαγγελματικές διευθύνσεις ηλεκτρονικού ταχυδρομείου και τους λογαριασμούς των μέσων κοινωνικής δικτύωσής τους) συνιστούν επεξεργασία προσωπικών δεδομένων. Ως εκ τούτου, οι οργανισμοί (ιδιωτικοί ή δημόσιοι) οφείλουν να εξετάσουν το ενδεχόμενο διεξαγωγής ενός ελέγχου σχετικά με τις πληροφορίες που διατηρούν και επεξεργάζονται.

Εξάλλου, ο Κανονισμός δεν αφορά μόνο τη διατήρηση ψηφιακού, αλλά και έγχαρτου αρχείου. Εάν λ.χ. οι υπάλληλοι ενός οργανισμού κρατούν συστηματικά στον υπολογιστή τους τα emails που ανταλλάσσουν μεταξύ τους μέσω ηλεκτρονικού ταχυδρομείου ή εφαρμογών όπως WhatsApp, ή προωθούν ιατρικές εξετάσεις εργαζομένων στο τμήμα ανθρώπινων πόρων δια συνημμένων εγγράφων ή εργάζονται εξ αποστάσεως, ο οργανισμός φέρει ευθύνη για την επεξεργασία αυτών των πληροφοριών. Οι βελτιωμένες πολιτικές και πλατφόρμες εσωτερικής επικοινωνίας βοηθούν τους εργαζόμενους να διαχειρίζονται τη συχνά περίπλοκη διαβίβαση πληροφοριών. Ωστόσο, η συμμόρφωση των εργαζομένων με τον Κανονισμό μπορεί να αποδειχθεί το πιο δύσκολο μέρος της προσαρμογής στις απαιτήσεις του. Ως εκ τούτου, οι οργανισμοί πρέπει να κατανοήσουν τον τρόπο, με τον οποίο επικοινωνούν εσωτερικά τα ποικίλα τμήματα, που τους απαρτίζουν και να διασφαλίσουν ότι οι εργαζόμενοι κατανοούν, ποια είναι η ευθύνη τους να διατηρούν τα προσωπικά δεδομένα ασφαλή.

Αφορά μόνο συναλλαγές εντός ΕΕ; Εάν πρόκειται για συναλλαγές μεταξύ ευρωπαϊκής και τρίτης χώρας τι ισχύει;

Αφορά και σε διαβίβαση προσωπικών δεδομένων σε τρίτη χώρα εκτός Ευρωπαϊκής Ένωσης. Η διαβίβαση αυτή δύναται να πραγματοποιηθεί εάν η συγκεκριμένη Τρίτη χώρα διασφαλίζει ένα επαρκές επίπεδο προστασίας των προσωπικών δεδομένων και η Επιτροπή έχει εκδώσει απόφαση περί επαρκούς προστασίας (Safe Harbour) ή εάν έχουν παρασχεθεί κατάλληλες εγγυήσεις όπως δεσμευτικοί εταιρικοί κανόνες (Βinding Corporate Rules), πιστοποίηση από εγκεκριμένο μηχανισμό, τυποποιημένες ρήτρες προστασίας δεδομένων (EU Standard Contractual Clauses), προσχώρηση σε εγκεκριμένο κώδικα δεοντολογίας κ.λπ.

Εάν κάποια εταιρεία δε συμμορφωθεί, ποιες είναι οι κυρώσεις που θα υποστεί;

Το άρθρο 58 του Κανονισμού καθορίζει τις εξουσίες της εκάστοτε ελεγκτικής αρχής, ενώ το άρθρο 83 καθορίζει τις ποινές που περιλαμβάνονται στις εξουσίες αυτές. Οι εξουσίες που διαθέτει η αρχή είναι αφενός μέτρα διορθωτικού χαρακτήρα όπως προειδοποιήσεις, επιπλήξεις, περιορισμούς και εντολές διόρθωσης και αφετέρου η επιβολή διοικητικών προστίμων, ανάλογα με τις περιστάσεις. Μία από τις βασικές καινοτομίες του Κανονισμού είναι η εκτόξευση των διοικητικών προστίμων, σε περίπτωση μη συμμόρφωσης με τις απαιτήσεις του.

Ειδικότερα, ο Κανονισμός περιλαμβάνει δύο κατηγορίες διοικητικών προστίμων που δύνανται να επιβληθούν για τις ακόλουθες παραβάσεις:
► Σοβαρές παραβάσεις που επισύρουν διοικητικά πρόστιμα έως 20.000.000 € ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. Συγκεκριμένα, αφορά παραβάσεις :
i) θεμελιωδών αρχών για την επεξεργασία, περιλαμβανομένων των όρων που ισχύουν για τη συγκατάθεση,
ii) δικαιωμάτων των υποκειμένων των δεδομένων,
iii) διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό,
iv) οιεσδήποτε υποχρεώσεις σύμφωνα με το δίκαιο του κράτους μέρους, οι οποίες θεσπίζονται δυνάμει του κεφαλαίου IX του Κανονισμού,
v) μη συμμόρφωση προς εντολή που επιβάλλει η εποπτική αρχή ή προς διεξαγωγή έρευνας από την εποπτική αρχή.
► Άλλες παραβάσεις επισύρουν διοικητικά πρόστιμα έως 10.000.000 € ή, σε περίπτωση επιχειρήσεων, έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, αναλόγως ποιο είναι υψηλότερο.
Πρέπει να σημειωθεί ότι ορισμένα από τα ανωτέρω πρόστιμα επιβάλλονται (και) με μόνη τη διαπίστωση της απουσίας κατάλληλων οργανωτικών και τεχνικών μέτρων για τη συμμόρφωση με τον Κανονισμό, δηλαδή, χωρίς τη διαπίστωση κάποιας συγκεκριμένης παραβίασης των κανόνων περί προστασίας προσωπικών δεδομένων. Περαιτέρω, τα διοικητικά πρόστιμα, ενίοτε, συνοδεύονται και από αυστηρές ποινικές κυρώσεις για τους νόμιμους εκπροσώπους και εν γένει διοικούντες μια επιχείρηση που δε συμμορφώνεται με τον Κανονισμό.

Ποιος είναι υπεύθυνος για τη διενέργεια των ελέγχων και ποιος επιβάλλει τα πρόστιμα;

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) είναι υπεύθυνη για τη διενέργεια των ελέγχων και την επιβολή των σχετικών διοικητικών προστίμων. Ο ρόλος, ως εκ τούτου, της Αρχής μετουσιώνεται από μάλλον γραφειοκρατικό σε αμιγώς ελεγκτικό. Η Αρχή διαθέτει, επίσης, την αρμοδιότητα να χειρίζεται καταγγελίες και να ερευνά, αν χρειαστεί και από κοινού με εποπτικές αρχές άλλων κρατών μελών της ΕΕ, πιθανές παραβιάσεις της νομοθεσίας για την προστασία δεδομένων προσωπικού χαρακτήρα.

Πότε θεωρείται ότι η εταιρεία έχει λάβει τη συναίνεση του πελάτη; Τι σημαίνει ότι πρέπει η συγκατάθεση να είναι «ελεύθερη, συγκεκριμένη, ενημερωμένη και ξεκάθαρη»;

Ο Κανονισμός θέτει συγκεκριμένα και, μάλλον, απαιτητικά κριτήρια σε σχέση με τη συγκατάθεση του υποκειμένου των δεδομένων, αν και συχνά αυτή δεν είναι απαραίτητη. Με άλλα λόγια, εάν η συναίνεση δεν είναι εφικτή, πρέπει και δύναται να αναζητείται από την εταιρεία μια διαφορετική νόμιμη βάση επεξεργασίας. Η συναίνεση πρέπει να προσφέρει στα υποκείμενα των δεδομένων μια πραγματική δυνατότητα επιλογής και τον απόλυτο έλεγχο επί της επεξεργασίας των δεδομένων τους. Η γνήσια συγκατάθεση πρέπει να δημιουργεί εμπιστοσύνη μεταξύ των εμπλεκόμενων μερών και, με αυτόν τον τρόπο, να ενισχύει (και) τη φήμη της εταιρείας. Η συγκατάθεση πρέπει να διατυπώνεται από τον υπεύθυνο επεξεργασίας σε κατανοητή και εύκολα προσβάσιμη μορφή με σαφή και απλή διατύπωση, χωρίς καταχρηστικές ρήτρες. Επιπλέον, το υποκείμενο της επεξεργασίας θα πρέπει να έχει λάβει γνώση της ταυτότητας του υπευθύνου επεξεργασίας, τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα και να του δίνεται το δικαίωμα να αποσύρει τη συγκατάθεσή του οποτεδήποτε επιθυμεί. Η συγκατάθεση απαιτεί θετική συμμετοχή του υποκειμένου. Η εταιρεία δεν πρέπει, δηλαδή, να κάνει χρήση κουτιών προεπιλογής (tickboxes) που έχουν επισημανθεί προηγουμένως. Η ρητή συγκατάθεση απαιτεί μια ιδιαιτέρως σαφή και εξειδικευμένη δήλωση συναίνεσης. Η εταιρεία οφείλει να διατηρεί τα αιτήματα συναίνεσης ξεχωριστά από άλλους όρους και προϋποθέσεις και να είναι όσο το δυνατόν περισσότερο συγκεκριμένη, ζητώντας ξεχωριστή, ειδική συγκατάθεση για κάθε επιμέρους επεξεργασία. Η ασαφής ή γενική, δηλαδή, συναίνεση δεν αρκεί. Η συγκατάθεση πρέπει να είναι κατανοητή και συνοπτική και να κατονομάζει ρητώς τα τρίτα μέρη που τυχόν θα βασίζονται σε αυτήν. Είναι σημαντικό οι εταιρείες να έχουν τη δυνατότητα να αποδείξουν ότι έχουν λάβει τη συγκατάθεση του υποκειμένου, για αυτό το λόγο προτιμάται αυτή να είναι γραπτή και όχι προφορική και η εταιρεία να μπορεί ανά πάσα στιγμή να αναφέρει και να αποδείξει ποιος, πότε και για ποιο σκοπό την έδωσε. Περαιτέρω, πρέπει να αποφεύγεται η πρακτική της λήψης συγκατάθεσης ως προϋπόθεσης για την παροχή μας υπηρεσίας.

Πώς μπορεί ο πελάτης να ανακαλέσει τη συναίνεσή του;

Η ορθή διαχείριση της συναίνεσης του πελάτη απαιτεί, μεταξύ άλλων, τη δυνατότητα του τελευταίου να μπορεί ανά πάσα στιγμή να ανακαλεί αυτή τη συναίνεση. Για το σκοπό αυτό, σύμφωνα με τον Κανονισμό, τα υποκείμενα πρέπει αφενός να ενημερώνονται ρητώς και με σαφήνεια για αυτό το δικαίωμά τους και αφετέρου να μπορούν να ανακαλούν την προηγούμενη συναίνεσή τους εύκολα και γρήγορα. Οι εταιρείες θα πρέπει, ως εκ τούτου, να εξετάσουν τη δυνατότητα αξιοποίησης συγκεκριμένων εργαλείων διαχείρισης προτιμήσεων και να εντάξουν τον τακτικό έλεγχο της συγκατάθεσης των υποκειμένων στις επιχειρηματικές τους διαδικασίες.

Ποιος είναι αρμόδιος για την ενημέρωση του κοινού/πελάτη/καταναλωτή ως προς το νέο κανονισμό;

Δεν υφίσταται, τυπικά τουλάχιστον, αρμόδια αρχή για την ενημέρωση των ανωτέρω. Σε κάθε περίπτωση, έχει ανακοινωθεί ότι η ΑΠΔΠΧ έχει εντάξει στον προγραμματισμό της, μεταξύ άλλων, ενημερωτικές ημερίδες προς συγκεκριμένες κατηγορίες υπευθύνων επεξεργασίας, καθώς και σεμινάρια που θα παρέχονται από την Εθνική Σχολή Δημόσιας Διοίκησης για τα στελέχη του Δημοσίου, τα οποία θα επιφορτιστούν με την εφαρμογή του Κανονισμού.

για περισσότερες πληροφορίες gathanasiou@diadikasia.gr