Νέος κανονισμός προστασίας  προσωπικών δεδομένων (GDPR)

Της Χρυσής Χρυσοχού
Δικηγόρου εξειδικευμένης  στο Δίκαιο του Ιντερνετ, των προσωπικών δεδομένων και του κυβερνοεγκλήματος (LL.M)


Στις 27 Απριλίου του 2016 υιοθετήθηκε ο νέος Γενικός Κανονισμός για τα Προσωπικά Δεδομένα (General Data Protection Regulation, εν συντομία, GDPR), ο οποίος θα εφαρμοσθεί άμεσα σε όλα τα Κράτη Μέλη της ΕΕ (χωρίς να απαιτείται εσωτερική νομοθετική εναρμόνιση) στις 25 Μαΐου 2018.

Αυτό πρακτικά σημαίνει ότι μετά τις 25.05.2018, όσοι επεξεργάζονται προσωπικά δεδομένα είτε με αυτοματοποιημένα είτε με μη αυτοματοποιημένα μέσα, υποχρεούνται να εναρμονίσουν τις πολιτικές τους με τον Κανονισμό και να συμμορφωθούν πλήρως με τις επιταγές αυτού. Σε αντίθετη περίπτωση απο τις 25.5.2018, η μη συμμόρφωση επισύρει κυρώσεις (πρόστιμα, προσφυγή στη δικαιοσύνη, αποζημιώσεις, καταγγελίες) που απορρέουν από αυτόν. Τα πρόστιμα που μπορεί να επιβληθούν σε περίπτωση παραβίασης του Κανονισμού μπορούν να φτάσουν έως και τα 20 εκατομμύρια Ευρώ, για δε τις επιχειρήσεις με ετήσιο τζίρο άνω του ποσού αυτού, τα πρόστιμα μπορούν να φτάσουν έως και το 4% του ετήσιου παγκόσμιου κύκλου εργασιών τους.

Ποιους αφορά;
Ο νέος κανονισμός για τα προσωπικά δεδομένα αφορά όλους όσους επεξεργάζονται προσωπικά δεδομένα είτε με αυτοματοποιημένα είτε με μη αυτοματοποιημένα μέσα. Συγκεκριμένα, αφορά το δημόσιο και δημόσιους φορείς, ΝΠΔΔ και ΝΠΙΔ, επιχειρήσεις (μικρές, μεσαίες και μεγάλες) ανεξαρτήτως δραστηριότητας και κλάδου, ενώ καταλαμβάνει την επεξεργασία δεδομένων και την τήρηση αρχείου, είτε αυτή είναι μερικά ή ολικά αυτοματοποιημένη, είτε όχι. Εισάγει μια σειρά από υποχρεώσεις, ώστε να διασφαλιστεί, ότι κάθε υπεύθυνος επεξεργασίας έχει λάβει όλα τα αναγκαία οργανωτικά και τεχνικά μέτρα για την προστασία των δεδομένων, που επεξεργάζεται και εισάγει νέες διαδικασίες και έννοιες, ξένες μέχρι τώρα στην Προστασία Προσωπικών Δεδομένων. 
 
Η πρόκληση για τις επιχειρήσεις
Ιδιαίτερα για τις επιχειρήσεις, ενδεικτικά αναφέρονται ιδιωτικές κλινικές, ξενοδοχειακές μονάδες, ασφαλιστικές εταιρίες και Τράπεζες, τα ιθύνοντα στελέχη των επιχειρήσεων αυτών πρέπει να λάβουν άμεσα τα κατάλληλα μέτρα, ώστε να διασφαλίσουν τη συμμόρφωση και να αποφύγουν την επιβολή αυστηρών κυρώσεων αλλά και αγωγών αποζημίωσεων. Η μη συμμόρφωση μπορεί να οδηγήσει σε σημαντικούς οικονομικούς και επιχειρηματικούς κινδύνους, καθώς η παραβίαση δεδομένων απο οποιονδήποτε τρίτο (πχ Hacker ) οδηγεί στην υποχρέωση κοινοποίησής της παραβίασης με συνέπεια να βλάπτεται η φήμη της επιχείρησης. 

Υποχρεώσεις Συμμόρφωσης
Οι επιχειρήσεις οφείλουν να λάβουν άμεσα την κατάλληλη συμβουλευτική νομική υποστήριξη απο εξειδικευμένους δικηγόρους στον τομέα των προσωπικών δεδομένων και να αρχίσουν το συντομότερο δυνατόν και μάλιστα πριν την 25.05.2018 να διαμορφώνουν το οργανωτικό πλάνο συμμόρφωσης με βάση τις απαιτήσεις του Νέου Κανονισμού. Οι βασικές υποχρεώσεις που θέτει ο Νέος Κανονισμός είναι οι εξής:
• Σεβασμός δικαιωμάτων πολιτών/καταναλωτών (δικαίωμα ενημέρωσης, πρόσβασης, διόρθωσης, περιορισμού επεξεργασίας, φορητότητας, δικαίωμα στη λήθη) 
• Προστασία δεδομένων απο το σχεδιασμό και εξ ορισμού (privacy by default and by design)
• Γνωστοποίηση παραβιάσεων δεδομένων στις εποπτικές Αρχές
• Εκτίμηση αντικτύπου σε επεξεργασίες δεδομένων υψηλού κινδύνου (data protection impact assessments)
• Ο υπό προϋποθέσεις ορισμός υπευθύνου επεξεργασίας προσωπικών δεδομένων (Data Protection Officer, ή DPO)
• Προτείνεται η σύνταξη κωδίκων δεοντολογίας

Βήματα Ετοιμότητας
Τα βήματα που πρέπει να ακολουθήσει μια επιχείρηση ώστε να συμμορφωθεί με το Νέο Κανονισμό έως τις 25.5.2018 είναι τα ακόλουθα:
• Ενημέρωση/χαρτογράφηση διαδικασιών και ροών: Ενημέρωση του προσωπικού για τα νέα δεδομένα, αξιολόγηση των πιθανών κινδύνων, αναγνώριση των λανθασμένων έως τώρα πολιτικών, διαμόρφωση στρατηγικής αντιμετώπισης σφαλμάτων και συμμόρφωσης.
• Καταγραφή: Όπου υπάρχει υποχρέωσης τήρησης ειδικού αρχείου δεδομένων πρέπει να ακολουθήσει ενδελεχής καταγραφή των ροών, των διαβιβάσεων, της επεξεργασίας, του σκοπού και της νομιμότητας της επεξεργασίας
• Έλεγχος τήρησης νομιμότητας: η συμμόρφωση με το Νέο Κανονισμό δεν είναι μια μεμονωμένη πράξη αλλά ένα σύνολο ενεργειών με συνεχείς ενημερώσεις και βελτιωτικές ρυθμίσεις. Η επεξεργασία και η νομιμότητα αυτής πρέπει να εξετάζεται ανά τακτά χρονικά διαστήματα.

• Εξασφάλιση και έλεγχος συγκατάθεσης: Εφαρμογή μεθόδων και διαδικασιών για την εξασφάλιση της συγκατάθεσης του υποκειμένου των προσωπικών δεδομένων για κάθε σκοπό επεξεργασίας
• Αναθεώρηση ή σύνταξη για πρώτη φορά πολιτικών προστασίας προσωπικών δεδομένων: επικαιροποίηση διαδικασιών συλλογής και επεξεργασίας προσωπικών δεδομένων ιδίως ως προς τη διαγραφή δεδομένων (δικαίωμα στη λήθη) και τη φορητότητα τους.
• Εκτίμηση αντικτύπου (επιπτώσεων) επεξεργασίας: Εκτίμηση των κινδύνων ή τις πιθανότητες επέλευσης τους και τις συνέπειες στα προσωπικά δεδομένα
• Υπεύθυνος προστασίας προσωπικών δεδομένων: εξέταση εάν πρέπει υποχρεωτικά να ορισθεί υπεύθυνος επεξεργασίας στην επιχείρηση σας. Σε κάθε περίπτωση ρόλος του DPO είναι βοηθητικός και καλό θα ήταν να υπάρχει σε κάθε επιχείρηση έστω και ως εξωτερικός συνεργάτης

• Παραβιάσεις δεδομένων: λήψη όλων των αναγκαίων τεχνολογικών παραμέτρων για την ανίχνευση, καταγραφή και διερεύνηση περιστατικών παραβιάσεων προσωπικών δεδομένων. Υιοθέτηση διαδικασιών γνωστοποίησης στις εποπτικές Αρχές και στα υποκείμενα των προσωπικών δεδομένων τυχόν παραβιάσεων αυτών
• Διαβιβάσεις δεδομένων εκτός ΕΕ: σε περίπτωση διαβίβασης δεδομένων και σε τρίτες χώρες, πρέπει να επιλεγεί κάποιος μηχανισμός διαβίβασης όπως για παράδειγμα δεσμευτικοί εταιρικοί κανόνες (BCRs), τυποποιημένες συμβατικές ρήτρες (SCCs) είτε πιστοποιήσεις στο Privacy Shield (για ΗΠΑ)

*Σημείωση: Οι εκπαιδευτικές ενημερώσεις και οι πιστοποιήσεις που παρέχονται απο πλείονες φορείς στην Ελλάδα έναντι αμοιβής δεν είναι διαπιστευμένες από το κράτος. Η Ελλάδα θα δημιουργήσει φορείς διαπιστευμένους κρατικά, με βάση τις επιταγές του Νέου Κανονισμού, το επόμενο διάστημα, οι οποίοι θα έχουν την αρμοδιότητα και το νόμιμο δικαίωμα να πιστοποιούν ιδιώτες ή άλλους φορείς μαζικά. 
Οποιαδήποτε συμμετοχή έναντι αμοιβής σε ανάλογα προγράμματα γίνεται με δική σας ευθύνη (βλ Δελτίο Τύπου 9/08/2017 της Αρχής Προστασίας Προσωπικών Δεδομένων)