Του Θεόδωρου Στεργίου, Senior Manager, KPMG

Ποιες εταιρείες αφορά το GDPR;

Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) αφορά όλους τους οργανισμούς, κερδοσκοπικούς ή μη, οι οποίοι επεξεργάζονται προσωπικά δεδομένα ως μέρος εκτέλεσης των δραστηριοτήτων τους. Αυτό σημαίνει ότι ουσιαστικά αφορά όλες τις εταιρείες, ανεξαρτήτως μεγέθους ή πελατολογίου.

Ποιες διαδικασίες αφορά το GDPR; Σχετίζεται μόνο με την προς τα έξω επικοινωνία ή πρέπει να εφαρμοστεί και σε διαδικασίες που αφορούν στην εσωτερική επικοινωνία, εντός της εταιρείας;

Η συμμόρφωση με το GDPR αφορά στην προστασία των προσωπικών δεδομένων του προσωπικού μιας εταιρείας, των πελατών και των συνεργατών της. Κατά συνέπεια, αφορά όλων των ειδών επικοινωνίας, είτε αυτές είναι εξωτερικές ή εσωτερικές.
Χαρακτηριστικό παράδειγμα εσωτερικής επικοινωνίας αποτελεί η αποστολή βιογραφικών σημειωμάτων υποψηφίων στελεχών από τη Διεύθυνση Ανθρώπινου Δυναμικού σε Διευθυντή, προκειμένου εκείνη/εκείνος να αποφανθεί για την επιλογή του στελέχους. Το βιογραφικό σημείωμα περιέχει προσωπικά δεδομένα και η αποστολή του αποτελεί «επεξεργασία» σύμφωνα με το GDPR. Η δε αποθήκευσή τους από τον Διευθυντή αποτελεί «τήρηση αρχείου», και, κατά συνέπεια, επεξεργασία προσωπικών δεδομένων.

Αφορά μόνο συναλλαγές εντός ΕΕ; Εάν πρόκειται για συναλλαγές μεταξύ ευρωπαϊκής και τρίτης χώρας τι ισχύει;

Οι συναλλαγές, όπως η διαβίβαση, ανταλλαγή ή/και επεξεργασία προσωπικών δεδομένων εντός ΕΕ, θεωρούνται ότι εντάσσονται στο ευρύτερο πλαίσιο προστασίας του GDPR που εφαρμόζεται καθολικά στα κράτη μέλη της ΕΕ, οπότε και θα διέπονται από τις απαιτήσεις του GDPR.

Αναφορικά με διαβιβάσεις εκτός ΕΕ, θα πρέπει για αυτές να εφαρμοστούν τα κατάλληλα μέτρα που περιγράφονται στο GDPR, λαμβάνοντας υπόψη, μεταξύ άλλων, τον λόγο και σκοπό της διαβίβασης, την τρίτη χώρα στην οποία διαβιβάζονται προσωπικά δεδομένα και τυχόν συμφωνίες που έχει συνάψει η EE με τις χώρες αυτές. Το GDPR έχει συμπεριλάβει αρκετά άρθρα που αφορούν τις περίφημες διασυνοριακές διαβιβάσεις.

Εάν κάποια εταιρεία δε συμμορφωθεί ποιες είναι οι κυρώσεις που θα υποστεί;

Οι κυρώσεις ποικίλουν από απλή παρατήρηση, επίπληξη, παύση δραστηριοτήτων, μέχρι επιβολή χρηματικού προστίμου. Για τα δε χρηματικά πρόστιμα το GDPR έχει εισάγει δύο ειδών κατηγοριοποιήσεις αναλόγως των άρθρων του Κανονισμού για τα οποία θα πιστωθεί μη συμμόρφωση, εξ ου και η αναφορά σε πρόστιμα έως 2% του παγκόσμιου τζίρου ή 10.000 000 ευρώ ότι είναι μεγαλύτερο, και, έως 4% του παγκόσμιου τζίρου ή 20.000 000 ευρώ ότι είναι μεγαλύτερο.

Αξίζει όμως να σημειωθεί ότι οι εν λόγω κυρώσεις είναι διοικητικές και δεν αφορούν αποζημιώσεις φυσικών προσώπων ή ποινικές ευθύνες που ενδέχεται να προκύψουν από νομοθετικές παραβάσεις.

Ποιος είναι υπεύθυνος για τη διενέργεια των ελέγχων και ποιος επιβάλλει τα πρόστιμα;

Υπεύθυνος για τη διενέργεια των ελέγχων και επιβολή κυρώσεων είναι η εκάστοτε Εποπτική Αρχή.

Πότε θεωρείται ότι η εταιρεία έχει λάβει τη συναίνεση του πελάτη;

Η συγκατάθεση του υποκειμένου για την οποία γίνεται μνεία στο GDPR, ή αλλιώς ρητή συναίνεση, αποτελεί μια εκ των νομιμοποιητικών βάσεων σύμφωνα με τις οποίες δύναται να λάβει χώρα επεξεργασία προσωπικών δεδομένων. Εάν πρέπει να ληφθεί συγκατάθεση από το υποκείμενο, αυτή θα πρέπει να είναι ρητή (opt-in) και να μην τεκμαίρεται, να είναι σαφής ο λόγος για την οποία ζητείται, να δίνεται η δυνατότητα ανάκλησής της και να εξηγείται το αντίκτυπο που ενδέχεται να έχει για το υποκείμενο, καθώς και να μπορεί να αποδειχτεί ότι η συγκατάθεση όντως έχει ληφθεί. Όλα τα ανωτέρω δηλώνουν ότι το υποκείμενο έχει δώσει ελεύθερα τη συγκατάθεσή του.

Πώς μπορεί ο πελάτης να ανακαλέσει τη συναίνεσή του;

Η ανάκληση της συναίνεσης αποτελεί δικαίωμα του υποκειμένου το οποίο θα πρέπει να είναι σε θέση να το εξασκήσει ανά πάσα στιγμή, με εύκολο και σαφή τρόπο. Οι μέθοδοι ανάκλησης ποικίλουν και εξαρτώνται από τη φύση της εταιρείας και των δραστηριοτήτων για τις οποίες ζητήθηκε η συγκατάθεση. Σε γενικές γραμμές, η εταιρεία θα πρέπει να είναι σε θέση να αποδείξει την ανάκλησή της, όπως ακριβώς και τη λήψη της. Θα πρέπει εδώ να σημειωθεί ότι η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που είχε βασιστεί στη συγκατάθεση προ ανάκλησής της.

Ποιος είναι αρμόδιος για την ενημέρωση του κοινού/πελάτη/καταναλωτή ως προς το νέο Κανονισμό;

Η ΕΕ έχει εκδώσει ενημερωτικό υλικό προκειμένου κάθε φυσικό πρόσωπο να μπορεί να ενημερωθεί αναφορικά με τον Κανονισμό, τα Άρθρα και τις αιτιολογικές σκέψεις, καθώς και οδηγίες που κατά καιρούς δημοσιεύονται από την ομάδα εργασίας του Άρθρου 29.
Κάθε εταιρία βέβαια είναι υποχρεωμένη, σύμφωνα με τον Κανονισμό, να ενημερώνει τα υποκείμενα των προσωπικών δεδομένων (προσωπικό, πελάτες, συνεργάτες), αναφορικά με τον σκοπό επεξεργασίας και τα μέσα που χρησιμοποιεί για αυτό.

Λίγα λόγια για την KPMG

Η KPMG είναι ένα παγκόσμιο δίκτυο εταιρειών παροχής Ελεγκτικών, Φορολογικών και Συμβουλευτικών υπηρεσιών. Δραστηριοποιούμαστε σε 154 χώρες και περιοχές και απασχολούμε περισσότερα από 200 000 άτομα σε εταιρείες-μέλη παγκοσμίως. Οι ανεξάρτητες εταιρίες-μέλη του δικτύου της KPMG είναι συνδεδεμένες με την KPMG International Cooperative (KPMG International), μια ελβετική εταιρεία. Κάθε εταιρεία της KPMG είναι νομικά διακριτή και αυτοτελής οντότητα και αυτοχαρακτηρίζεται ως τέτοια.

για περισσότερες πληροφορίες: tstergiou@kpmg.gr